CN109428725B - 信息处理设备、控制方法和存储介质 - Google Patents

信息处理设备、控制方法和存储介质 Download PDF

Info

Publication number
CN109428725B
CN109428725B CN201811014801.8A CN201811014801A CN109428725B CN 109428725 B CN109428725 B CN 109428725B CN 201811014801 A CN201811014801 A CN 201811014801A CN 109428725 B CN109428725 B CN 109428725B
Authority
CN
China
Prior art keywords
information
authentication
registration
server
biometric
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201811014801.8A
Other languages
English (en)
Other versions
CN109428725A (zh
Inventor
白河祐贵
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Inc
Original Assignee
Canon Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Canon Inc filed Critical Canon Inc
Publication of CN109428725A publication Critical patent/CN109428725A/zh
Application granted granted Critical
Publication of CN109428725B publication Critical patent/CN109428725B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/629Protecting access to data via a platform, e.g. using keys or access control rules to features or functions of an application
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2117User registration

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Automation & Control Theory (AREA)
  • Computing Systems (AREA)
  • Biomedical Technology (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Biodiversity & Conservation Biology (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明涉及一种信息处理设备及其控制方法和存储介质。便携式终端具有生物特征识别认证所用的认证器、以及用于存储在利用认证器进行认证处理时所需的用户的生物特征识别信息和针对该生物特征识别信息所生成的私钥的TPM。在OS的初始化时,便携式终端针对登记了包括与私钥配对的公钥的登记信息的服务器,使用登记取消URL来发送对登记取消的请求。在从服务器接收到对登记取消的登记请求时,使用根据使用生物特征识别信息传感器所读取的生物特征识别信息的认证器的生物特征识别认证的认证成功而提取的私钥来生成签名,并且在通过将该签名发送至服务器而成功验证了该签名的情况下,在服务器中进行登记信息的登记取消。

Description

信息处理设备、控制方法和存储介质
技术领域
本发明涉及取消登记在服务器中的诸如便携式终端、PC或打印机等的装置的登记信息的方法。
背景技术
近年来,在线快速识别(FIDO)作为包括生物特征识别(biometric)认证的新认证系统已引起关注。在生物特征识别认证中使用诸如指纹或静脉图案等的生物特征识别信息的情况下,不同于传统的ID/密码认证所用的密码,由于该信息不能被重写,因此信息泄漏到外部的情况变得致命。
另一方面,在FIDO中,预先在用户手中的终端和提供Web服务的服务器之间进行登记处理。在登记处理中,将与用户的生物特征识别认证相关联的私钥(secret key)存储在终端中,并且将诸如与生物特征识别认证相关联的认证标识信息或者与私钥成对的公钥(public key)等的信息登记在服务器中。另外,经由因特网在用户手中的装置上而不是在服务器上进行认证,并且利用私钥签名后的认证结果在网络上传递。也就是说,由于生物特征识别信息不经由网络传递,因此该信息泄漏的风险低。
系统可以通过预先将诸如PC或打印机等的设备的信息登记在管理装置(服务器)中来管理该设备。在这种系统中,与FIDO相同,经常使用在登记时创建的私钥和公钥来进行认证。另外,为了管理设备信息,管理装置可以从设备获取该信息,或者在设备中发生事件时,可以将设备信息发送至管理装置。
在具有这种结构的系统中,例如在丢弃或更换等时设备在服务器的管理外的情况下,管理用户需要取消对象设备在服务器中的登记。然而,在存在许多要丢弃的设备的情况下或者在设备分散开等的情况下等,在确认了要丢弃的对象设备与实际设备一致之后进行登记取消处理,该确认作业需要时间并且有可能发生确认遗漏。
日本特开2005-275616公开了资产管理系统,其中在该资产管理系统中,资产管理服务器在网络环境下尝试周期性地获取与资产管理服务器本身中登记的资产设备有关的信息,并且在资产管理服务器判断为不能获取到设备信息的情况下,资产管理服务器使用户进行对象设备的丢弃确认。
在通过将与用户的认证信息相关联的信息或者设备信息等登记在诸如FIDO等的服务器中来使用Web服务的系统中,在终端被丢弃等的情况下,优选取消该终端在服务器中的登记。这不仅是因为由服务提供的帐户所不需要的登记信息将继续保留,而且还因为存在对在一个帐户中能够登记的终端的数量存在上限的情况。
然而,在进行取消处理的情况下,由于存在终端的用户可能忘记了登记了哪个服务或者用户可能没有意识首先使用诸如FIDO等的认证系统的可能性,因此可能难以可靠地取消登记。
在日本特开2005-275616中,由于管理装置周期性地获取设备的信息以提示用户进行丢弃确认,因此假定诸如在设备和管理装置之间的使用WAN或LAN等的恒定连接等的网络的连接形式。然而,在诸如FIDO等的认证系统的情况下,由于个人的智能电话或PC等有许多用途、并且电源可能断开且可能经常存在离线状态,因此没有限制认证系统必定具有恒定连接。
另外,在智能电话或PC的情况下,智能电话或PC经由Web浏览器或本机应用程序与Web服务器进行通信,但由于平台的性质,因此可能存在难以始终激活应用程序并恒定地与服务器进行通信的应用程序。
发明内容
本发明提供能够在信息处理设备的初始化时可靠地取消登记在外部服务器中的信息处理设备的登记信息、同时减轻用户的负担的信息处理设备。
本发明的典型实施例的一种信息处理设备,包括:认证模块,用于使用生物特征识别信息传感器所读取的生物特征识别信息来进行生物特征识别认证;以及存储单元,其被配置成具有防篡改性,并且用于存储在利用所述认证模块进行认证处理的情况下所需的用户的生物特征识别信息、以及针对该生物特征识别信息所生成的私钥,所述信息处理设备还包括:请求单元,其被配置为在所述信息处理设备的OS初始化时,针对登记了包括与所述私钥配对的公钥的登记信息的服务器,使用用于所述登记信息的登记取消的请求目的地信息来发送对所述登记取消的请求,其中,在从所述服务器接收到对所述登记取消的认证请求的情况下,使用根据使用所述生物特征识别信息传感器所读取的生物特征识别信息的所述认证模块的生物特征识别认证的认证成功而提取的私钥,来生成签名,以及在通过将所述签名发送至所述服务器而成功验证了所述签名的情况下,在所述服务器中进行所述登记信息的登记取消。
本发明的典型实施例的一种信息处理设备的控制方法,所述信息处理设备包括:认证模块,用于使用生物特征识别信息传感器所读取的生物特征识别信息来进行生物特征识别认证;以及存储部件,其被配置成具有防篡改性,并且用于存储在利用所述认证模块进行认证处理的情况下所需的用户的生物特征识别信息、以及针对该生物特征识别信息所生成的私钥,所述控制方法包括:在所述信息处理设备的OS初始化时,针对登记了包括与所述私钥配对的公钥的登记信息的服务器,使用用于所述登记信息的登记取消的请求目的地信息来发送对所述登记取消的请求,其中,在从所述服务器接收到对所述登记取消的认证请求的情况下,使用根据使用所述生物特征识别信息传感器所读取的生物特征识别信息的所述认证模块的生物特征识别认证的认证成功而提取的私钥,来生成签名,以及在通过将所述签名发送至所述服务器而成功验证了所述签名的情况下,在所述服务器中进行所述登记信息的登记取消。
本发明的典型实施例的一种非暂时性存储介质,其存储用于使计算机执行用于信息处理设备的方法的计算机程序,所述信息处理设备包括:认证模块,用于使用生物特征识别信息传感器所读取的生物特征识别信息来进行生物特征识别认证;以及存储部件,其被配置成具有防篡改性,并且用于存储在利用所述认证模块进行认证处理的情况下所需的用户的生物特征识别信息、以及针对该生物特征识别信息所生成的私钥,所述方法包括:在所述信息处理设备的OS初始化时,针对登记了包括与所述私钥配对的公钥的登记信息的服务器,使用用于所述登记信息的登记取消的请求目的地信息来发送对所述登记取消的请求,其中,在从所述服务器接收到对所述登记取消的认证请求的情况下,使用根据使用所述生物特征识别信息传感器所读取的生物特征识别信息的所述认证模块的生物特征识别认证的认证成功而提取的私钥,来生成签名,以及在通过将所述签名发送至所述服务器而成功验证了所述签名的情况下,在所述服务器中进行所述登记信息的登记取消。
通过以下(参考附图)对典型实施例的说明,本发明的其它特征将变得明显。
附图说明
图1是示出系统的网络结构的图。
图2A和2B是示出服务器、PC和便携式终端的硬件结构示例的图。
图3A和3B是示出便携式终端和PC的软件结构示例的图。
图4是示出用于将认证器登记在服务器中的处理的序列的图。
图5A~5C是示出在认证器的登记时使用的参数的示例的图。
图6是示出在认证器的登记时显示的画面的示例的图。
图7是示出用于进行认证器的登记取消的处理的序列的图。
图8A和8B是示出在与登记取消有关的认证时使用的参数的示例的图。
图9A~9C是示出在便携式终端中进行初始化时的画面转变的示例的图。
图10A和10B是示出在便携式终端的初始化之后服务所显示的画面的示例的图。
图11是示出系统的网络结构和软件结构的图。
图12A和12B是示出根据便携式终端的初始化的操作的流程图。
图13是示出在便携式终端的初始化中服务所显示的画面的示例的图。
具体实施方式
以下将参考附图等来说明用于实现本发明的典型实施例。
另外,本发明涉及如下的机制:Web服务为了认证用户而对该用户所拥有的终端进行生物特征识别认证,并且该服务基于认证的结果来认证该用户。这可以通过预先将与用户所拥有的终端中的生物特征识别认证相关联的信息(例如,认证标识信息和公钥等)登记在Web上的服务中来实现。尽管将FIDO描述为这种机制的示例,但事先应当注意,本发明不限于FIDO。
第一典型实施例
图1是示出本系统的网络结构示例的图。
信息处理设备104是通过光线路与提供商103进行通信并且经由提供商103连接至因特网102的、诸如个人计算机(PC)、打印机或多功能打印机等的信息处理设备。在本典型实施例中,信息处理设备104将被描述为PC 104。
信息处理设备107是无线地与基站106进行通信并且经由核心网105连接至因特网102的终端,例如平板式PC、智能电话或笔记本式PC等。信息处理设备107可以是具有无线通信功能的台式PC或打印机等。在本实施例中,信息处理设备107将被描述为移动终端107。
服务器101是将Web内容或Web API经由因特网102提供至信息处理设备的系统。另外,以下将服务器101的客户端装置(诸如PC 104或便携式终端107等)简称为装置。
图2A是示出服务器101和PC 104的硬件结构示例的图。
CPU 201使用RAM 202作为工作存储器来执行ROM 203和存储装置210中所存储的程序,并且经由内部总线211控制后面所述的各个组件。键盘控制器204控制来自键盘208或未示出的指点装置(鼠标、触摸板、触摸面板或跟踪球等)的操作输入。
显示控制器205控制显示器209的显示。盘控制器206控制对用于存储各种数据的诸如硬盘(HD)和软盘(FD)等的存储装置210的数据访问。网络接口207连接至诸如LAN等的网络,并且控制与连接至网络的其它设备的通信。构成硬件的各个单元201~207经由内部总线211连接。
图2B是示出便携式终端107的硬件结构示例的图。
图2B的便携式终端107除包括构成服务器101或PC 104的基本硬件外,还包括无线通信功能。CPU 221、RAM 222和ROM 223具有与图2A中的CPU 201、RAM 202和ROM 203的功能相同的功能。
存储装置224是诸如固态驱动器(SSD)或SD存储卡等的存储装置,并且与存储装置210相同存储各种数据。网络接口225除控制与连接至网络的其它设备的通信外,还具有无线通信功能。
信任平台模块(TPM)226是被配置为为了处理或存储机密信息的目的而具有用于防止从外部读取所存储的数据的防篡改性的存储单元。TPM 226具有以下功能:存储生物特征识别信息传感器227所输入的生物特征识别信息和在便携式终端107中生成的私钥,并且验证所存储的生物特征识别信息和所输入的生物特征识别信息。另外,PC 104也可以包括TPM 226。
生物特征识别信息传感器227是用于读取诸如用户的指纹、静脉图案和面部等的生物特征识别信息的传感器。触摸面板228是具有显示功能和指点功能这两者的装置,并且用户能够利用手指或触摸笔等对显示器上所显示的对象等进行操作。另外,触摸面板228可以是一部分或整个表面是用于诸如指纹或静脉等的生物特征识别信息传感器的触摸面板,并且在这种情况下,触摸面板228设置有生物特征识别信息传感器227。
图3A是示出PC 104和便携式终端107的软件结构示例的图。
以下将基于便携式终端107的硬件结构来给出说明,但这同样适用于PC 104。通过CPU 221读出ROM 223中所存储的程序并将该程序输出至RAM 222来实现协作应用程序310和初始化应用程序320。
协作应用程序310与服务器101协作将认证功能或服务器101的服务提供至用户。协作应用程序310是便携式终端107中所安装的本机应用程序或Web浏览器。显示单元311是用于经由触摸面板228向用户提供UI的软件模块。通信单元312是用于经由网络接口225与诸如服务器101等的外部设备进行通信的软件模块。
认证器登记控制部313是用于进行后面针对认证器330将说明的证书的创建请求的软件模块。另外,在本典型实施例中,认证器登记控制单元313包括在协作应用程序310中,但不限于此。例如,认证器登记控制单元313可以独立于协作应用程序310来配置,并且协作应用程序310可以调用独立的认证器登记控制单元313。
另外,认证器登记控制部313可以以标准方式安装在OS中。通过如上所述独立于应用程序配置认证器登记控制单元313,不仅协作应用程序310而且其它应用程序也能够调用认证器登记控制单元313。
认证器认证控制单元314向认证器330请求认证处理或者在认证时生成向服务器101的发送请求。后面将说明认证器认证控制单元314所进行的具体处理流程。另外,与认证器登记控制单元313相同,认证器认证控制单元314也可以独立于协作应用程序310来配置。
初始化应用程序320是用于在OS级别初始化便携式终端107内的数据的应用程序。OS级别的初始化意味着通过初始化删除了用户所安装的应用程序、与该应用程序有关的数据和OS的基本设置信息等。另外,由于初始化,还删除了TPM 226中所存储的生物特征识别信息和在便携式终端107中生成的私钥等。
在本典型实施例中,假定初始化应用程序320标准地安装在OS上,但只要用户所安装的应用程序具有与初始化应用程序相同的功能,可以利用用户所安装的应用程序来替换初始化应用程序320。
显示单元321接收来自用户的初始化请求,并且向用户提供用于进行与初始化有关的操作的UI。初始化单元322执行便携式终端107的初始化处理。认证器认证信息获取单元323获取TPM 226中所存储的各种数据。将说明认证器认证信息获取单元323的详情。
认证器330是使用生物特征识别信息传感器227所读取的生物特征识别信息的生物特征识别认证所用的认证模块。认证器登记处理单元331是用于从协作应用程序310的认证器登记控制单元313接收证书的创建请求、并且进行成对密钥(私钥和公钥)的创建或者证书的创建的软件模块。
生物特征识别认证处理单元332是用于从协作应用程序310的认证器认证控制单元314等接收生物特征识别认证请求、并且使用生物特征识别信息传感器227所读取的生物特征识别信息来进行生物特征识别认证的软件模块。认证信息存储单元333是用于将认证信息等存储在TPM 226中的软件模块。认证信息例如是在后面将说明的表A或表B中示出的信息。生物特征识别信息请求单元334是用于经由触摸面板228向用户提供用于接收生物特征识别信息的输入的UI的软件模块。
便携式终端107侧的表的示例
以下将使用表A和表B来说明由便携式终端107存储在TPM 226中的各种数据。详细地,在表A和表B中示出的表数据是由便携式终端107内所包括的认证器330的认证信息存储单元333存储在TPM 226中的数据。
表A 认证信息管理表
Figure BDA0001785873900000091
在表A的认证信息管理表中,一个记录表示认证信息的一个条目。在将认证器330登记在服务中时,创建表A的记录并将该记录添加至表A。将用于唯一标识各个认证信息的ID存储在认证信息ID列中。在服务ID列中,存储用于唯一地标识后面将说明的服务器101的服务的ID。在本典型实施例中,使用服务340的域名作为服务ID。
在用户ID列中,存储用于利用传统标识所使用的服务340来唯一地标识用户的ID。在私钥列中,存储所创建的密钥对中的私钥。将与该私钥相对应(配对)的公钥登记到在服务ID的列中示出的服务中。在生物特征识别信息ID列中,存储与生物特征识别信息的特征量相对应的ID。后面将说明用于将相应的信息存储在认证信息管理表的各列中的过程和用于将公钥存储在服务340中的过程。
表B API管理表
Figure BDA0001785873900000101
表B的API管理表是在向服务340请求认证器330的登记取消时使用的表。另外,API管理表可以是与表A组合的一个表。在API管理表中,一个记录表示针对各个认证信息的各服务的登记取消的API的条目。与表A相同,在将认证器330登记在服务中时,创建表B的记录并将该记录添加至表B。
认证信息ID和服务ID的各个列与表A的各个列相同。在应用程序ID列中,存储唯一地指定在将认证器330登记在服务340中时使用的协作应用程序310的应用程序ID(以下称为应用程序ID)。在协作应用程序310的认证器登记控制单元313向认证器330进行后面将说明的证书的创建请求时,传送该应用程序ID。
应用程序ID是便携式终端107中的各应用程序的唯一值,并且用于从便携式终端107中所安装的其它应用程序激活与该应用程序ID相对应的应用程序。作为使用诸如应用程序ID等的用于标识应用程序的ID来从应用程序激活其它应用程序的技术,存在URL方案和意图(intent)等。
另外,在使用应用程序ID从应用程序激活其它应用程序时,也可以使用参数来激活其它应用程序。另外,在协作应用程序310是本机应用程序的情况下,如表B的第1行和第2行所示,存储本机应用程序的应用程序ID作为应用程序ID。另外,在协作应用程序310是Web浏览器的情况下,如表B的第3行所示,存储Web浏览器的应用程序ID作为应用程序ID。
在登记取消URL列中,存储用于请求认证器330的登记取消的请求目的地(URL)。在请求了登记取消时,协作应用程序310将该请求发送至登记取消URL。在认证器330登记在服务340中时,从服务340经由协作应用程序310传送登记取消URL。另外,登记取消URL是作为来自服务340的响应而传送的,并且在一些情况下可能不受服务340支持。因此,如表B的第2行所示,在一些情况下,登记取消URL可能不存在(空)。
另外,表B是API管理表的示例,并且内部可以存储与上述列中的数据不同的数据。例如,考虑到期望在登记取消URL中具有URL参数的情况等,可以扩展API管理表。
图3B是示出服务器101的软件的结构示例的图。
服务340是Web服务,并且通过CPU 201将ROM 203中所存储的程序读取到RAM 202并执行该程序来实现。另外,在本典型实施例中,将用于验证用户ID与密码的一致的认证描述为传统认证,以将用于验证用户ID和密码的一致的认证与生物特征识别认证区分开。
传统认证处理单元341是用于验证通信单元343所接收到的传统认证请求中所包括的用户ID和密码与用户信息存储单元344中所存储的用户ID和密码是否一致的软件模块。
认证器信息处理单元342是用于使用通信单元343所接收到的证书来将与认证器330有关的信息存储在认证器信息存储单元345中的软件模块。另外,认证器信息处理单元342验证通信单元343所接收到的后面将说明的断言信息(assertion)。
通信单元343是用于经由网络接口207与诸如便携式终端107等的外部设备进行通信的软件模块。例如,通信单元343从便携式终端107接收到各种请求。用户信息存储单元344是用于将后面使用表C将说明的用户信息存储在存储装置210或外部存储系统(未示出)中的软件模块。
认证器信息存储单元345是用于将后面使用表E将说明的与认证器330有关的信息(认证器信息)存储在存储装置210或外部存储系统(未示出)的软件模块。扩展请求处理单元346是用于接收从便携式终端107发送来的登记取消的请求并且处理该请求的软件模块。后面将说明接收到请求的时间的详情和处理的详情。
呈现单元347是用于根据通信单元343所接收到的认证器的登记和取消等所用的各种画面的获取请求来生成HTML、CSS或JavaScript(登记商标)的软件模块。令牌管理单元348是用于发出或验证后面将说明的令牌的软件模块。
服务器101侧的表的示例
以下将使用表C~F来说明服务器101所存储的各种数据。详细地,在表C~F中示出的表数据是由服务器101中包括的服务340的各软件模块存储在存储装置210或外部存储系统(未示出)中的数据。
表C 用户信息管理表
用户ID 密码 邮件地址
user001 ****** user001@xxx.co.jp
user102 ****** user002@xxx.co.jp
表C的用户信息管理表是服务340的用户信息存储单元344所管理的数据。在用户信息管理表中,一个记录表示一个用户信息。在用户ID列中,存储用于唯一地标识服务340的用户的ID。在密码列中,存储用于认证用户的密码。在邮件地址列中,存储用户的邮件地址。另外,在用户信息管理表中,作为用户信息,除邮件地址外,还可以存储诸如用户的地址等的与用户有关的属性信息。
表D 证明质询管理表
证明质询 用户ID 有效期
65C9B063-9C33 user001 2017-05-02T12:00:34Z
7317EFBA-4E63 user201 2017-05-02T12:03:12Z
表D的证明质询(attestation challenge)管理表数据是服务340的用户信息存储单元344所管理的数据。在证明质询管理表中,一个记录表示与一个证明质询有关的信息。证明质询是作为质询响应认证用的验证用数据所使用的参数,并且是针对各用户发出的。
后面将说明证明质询的发出处理。在证明质询列中,存储证明质询的值。在用户ID列中,存储发出证明质询的用户的用户ID。在有效期列中,存储证明质询的有效期。
表E 认证器信息管理表
Figure BDA0001785873900000131
表E的认证器信息管理表是服务340的认证器信息存储单元345所管理的数据。在认证器信息管理表中,一个记录表示一个认证器信息。在登记认证器330的情况下,向认证器的信息管理表添加记录。在认证信息ID列中,存储由所登记的认证器330在认证信息管理表(表A)中管理的认证信息的认证信息ID列的值。
在装置名称列中,存储安装了认证器330的装置的名称。装置名称是用户可以设置的属性。在公钥列中,存储与认证器330所创建的并且在认证信息管理表(表A)中管理的私钥相对应(配对)的公钥。
也就是说,对于认证信息管理表(表A)和认证器信息管理表(表E)中认证ID的值相同的公钥和私钥,可以利用表E的公钥对利用表A的私钥加密后的数据进行解密。在用户ID列中,存储用于利用服务340唯一地标识用户的ID。
表F 令牌管理表
Figure BDA0001785873900000141
表F的令牌管理表是服务340的用户信息存储单元344所管理的数据。在本典型实施例中,作为后面将说明的使用生物特征识别信息的一系列认证处理成功的结果,利用服务340发出令牌。在使用服务340时,协作应用程序310可以通过提供所发出的令牌以发送请求来使用服务340所提供的服务。
在令牌管理表中,一个记录表示与一个令牌有关的信息。在令牌列中,存储令牌。在用户ID列中,存储用于利用服务340唯一地标识用户的ID。在有效期列中,存储令牌的有效期。在分配给来自用户的请求的令牌存在于令牌管理表的令牌列中并且没有超过有效期列的有效期的情况下,服务340接收到该请求。
接着,将使用图4~6来说明将装置的认证器340登记在服务器101的服务340中的处理。
以下将说明装置是便携式终端107的情况,但即使在装置是PC 104的情况下也同样适用。另外,将认证器330的信息登记在服务340中被简称为认证器的登记。
图4是示出用于将认证器330登记在服务340中的处理的序列的图。
首先,在S401中,从便携式终端107的协作应用程序310向服务器101的服务340请求登记画面。另外,登记画面在协作应用程序310是Web浏览器的情况下是诸如HTML或JavaScript等的文件,并且是用于将登记所需的画面显示在装置上的数据。
登记画面可包括各种程序或数据。在S402中,服务340响应于S401中的请求而返回用于进行传统认证的画面。在S403中,协作应用程序310经由显示单元311显示传统认证画面并且从用户接收ID/密码。另外,协作应用程序310将经由显示单元311从用户接收到的ID/密码发送至服务340。
在S404中,服务340的传统认证处理单元341进行所接收到的ID/密码的验证。在传统认证的结果与错误相对应的情况下,传统认证处理单元341将认证错误返回至协作应用程序310。另外,在图4中,假定传统认证成功。在S405中,服务340的令牌管理单元348发出令牌,并且用户信息存储单元344在令牌管理表(表F)中管理与令牌有关的信息。
在S406中,认证器信息处理单元342创建登记参数。登记参数是在服务器101执行认证器330的登记处理时使用的数据。认证器330经由协作应用程序接收登记参数,并且使用登记参数中所包括的数据来创建证书。另外,服务器101经由协作应用程序310接收证书,并且服务器101基于该证书验证出来自协作应用程序310的登记请求不是非法请求。以下将说明登记参数。
图5A~5C是示出在认证器330的登记中在便携式终端107和服务器101之间的通信中所包括的参数的示例的图。
这里,将使用图5A来说明登记参数。登记参数510包括账户信息511、加密参数512、证明质询513和认证扩展区域514。
在帐户信息511中,存储服务340中的与用户有关的属性信息(诸如通过S404的传统认证所指定的用户ID和与用户ID相关联的邮件地址等)。在加密参数512中,存储与要登记的认证信息有关的属性信息(诸如服务340所支持的加密算法等)。在证明质询513中,存储用于进行质询响应认证的验证用数据。
验证用数据(也就是说,证明质询513)是在S406中创建登记参数时创建的,并且与用户ID和有效期等相关联地存储在证明质询管理表(表D)中。在认证扩展区域514中,存储利用服务340能够指定的并且用于利用服务340控制认证器330等的操作的扩展参数。在本典型实施例中,将在表B中示出的登记取消URL作为扩展参数存储在认证扩展区域514中。
说明将返回至图4的说明。在S407中,服务340的通信单元312将呈现单元347所创建的认证器的登记画面返回至协作应用程序310。在S407中所返回的数据中,除用于显示登记画面的各种程序或数据外,还包括在S405中发出的令牌和在S406中创建的登记参数510。
在S408中,协作应用程序310的认证器登记控制单元313对认证器330进行证书的创建请求。在协作应用程序310的显示单元311读取认证器330的登记画面时执行该创建请求。例如,在读取认证器330的登记画面时发生的加载(onload)事件中执行S408的处理。证书的创建请求包括登记请求参数。以下将说明登记请求参数。
图5B是示出登记请求参数520的示例的图。
登记请求参数520包括登记参数510、服务ID 521和应用程序ID 522。登记参数510是在S407中从服务340接收到的登记参数510。
如在表A或B中所述,服务ID 521是用于唯一地标识认证器所要登记的服务340的ID。如在表B中所述,应用程序ID 522是用于唯一地指定在将认证器330登记在服务340中时使用的协作应用程序310的ID。另外,该应用程序ID是协作应用程序310所创建的。
该说明返回至图4的说明。在S409中,认证器330的生物特征识别信息请求单元334向用户显示用于请求在生物特征识别认证中所使用的生物特征识别信息的输入的画面。以下将说明S409中所显示的画面。
图6是示出在认证器330的登记期间协作应用程序310的显示单元311上所显示的画面的示例的图。在同意画面611中,为了将认证器330登记在服务340中,提示正在操作便携式终端107的用户输入生物特征识别信息。按钮612是不同意生物特征识别信息的输入的用户所用的、用于取消向服务340的登记的按钮。
按钮613是用于读取诸如指纹等的生物特征识别信息的按钮,并且包括生物特征识别信息传感器227。另外,作为生物特征识别信息,可以使用静脉、虹膜、声纹和面部图像等,并且生物特征识别信息不限于这些生物特征识别信息其中之一。这里,便携式终端107被配置为输入任一生物特征识别信息或者任意的多个生物特征识别信息的组合作为生物特征识别认证中所使用的生物特征识别信息。
说明返回至图4的说明。在S410中,认证器登记处理单元331创建用于唯一地对所读取的生物特征识别信息的特征量和该生物特征识别信息进行标识的生物特征识别信息ID。在S411中,认证器登记处理单元331创建公钥和私钥的对。另外,认证器登记处理单元331针对认证信息存储单元333将以下信息存储在TPM 226内所存储的认证信息管理表(表A)中。
即,将在S410中创建的生物特征识别信息ID和在S411中创建的密钥对中的私钥与证书的创建请求中所包含的登记请求参数520的服务ID和用户ID相关联地存储作为认证信息。另外,在所存储的认证信息中,创建用于唯一地标识各个认证信息的ID并且将该ID存储在认证信息管理表(表A)中。
另外,认证器登记处理单元331将认证信息ID、服务ID、应用程序ID和登记取消URL存储在API管理表(表B)中。与服务ID相同,应用程序ID和登记取消URL也包括在登记请求参数520中。在S412中,认证器登记处理单元331创建证书。以下将说明证书。
图5C是示出证书的示例的图。
证书530包括认证信息ID 531、算法532、公钥533、证明534和认证器名称535。认证信息ID 531是在S411中存储在认证信息管理表(表A)中的认证信息ID,并且公钥533是在S411中创建的密钥对的公钥。
算法532存储在S411中创建密钥对时使用的算法。另外,证明534是通过使用在S411中创建的私钥对证书的创建请求中所包括的登记请求参数的证明质询513进行加密而获得的数据。认证器名称535是认证器330的名称,并且是认证器330所创建的。
在S413中,认证器登记处理单元331将在S412中创建的证书530返回至协作应用程序310。在S414中,协作应用程序310的通信单元312将在S413中接收到的证书530发送至服务340。
在S415中,服务340的认证器信息处理单元342使用所接收到的证书530来进行认证器的认证处理。以下将说明认证器信息处理单元342所执行的证书的登记处理。
认证器信息处理单元342利用证书530中所包括的公钥533对同一证书530中所包括的证明534进行解密,并且验证出请求不是非法的登记请求。另外,在证明质询管理表(表D)中,认证器信息处理单元342将与通过利用公钥533对证明534进行解密所获得的值相同的值指定为证明质询列中的记录。
另外,认证器信息处理单元342将所指定的记录的用户ID设置为与证书530相关联的用户ID。另外,认证器信息处理单元342将证书530中所包括的认证信息ID 531和公钥533以及与证书530相关联的用户ID存储(登记)在认证信息管理表(表E)中。最后,服务340的通信单元343向协作应用程序310通知认证器330的登记处理正常完成。
接着,将使用7~9C来说明用于在进行装置的初始化时在服务器101中进行该装置的认证器330的登记取消的处理。
以下将说明装置是便携式终端107的情况,但这同样适用于装置是PC 104的情况。另外,在服务器101中,在进行认证器的登记取消的情况下,删除与登记在服务340中的认证器330有关的信息。
图7是示出用于在进行便携式终端107的初始化时、进行登记在服务340中的便携式终端107的认证器330的登记取消的处理的序列的图。在本典型实施例中,在进行便携式终端107的初始化的情况下,取消登记在服务器101的服务340中的认证器330的登记。
在本典型实施例,在取消登记时,使用登记时所使用的便携式终端107自身的协作应用程序310来执行取消处理。另外,为了取消服务340中的登记,针对各服务340进行协作应用程序310的认证。另外,在便携式终端107中,进行所有数据的初始化,但在图7所示的序列中,示出仅一部分,并且省略了该部分之前和之后的序列。
在便携式终端107中执行初始化时,首先,在便携终端107执行初始化应用程序320。然后,在S701中,初始化应用程序320的认证器认证信息获取单元323对认证器330进行认证信息的获取请求。在S702中,认证器330的认证信息存储单元333获取认证信息管理表(表A)和API管理表(表B)中所存储的数据,并且将该数据返回至初始化应用程序320。
图9A是利用初始化应用程序320基于在S702中获取到的数据所显示的画面的示例。
画面911是用于根据便携式终端107的初始化来确认是否要进行认证器330的登记取消的画面。
画面912显示登记了认证器330的服务340的列表。在按下按钮913的情况下,进行认证器330的登记取消。在按下按钮914的情况下,取消认证器330的登记取消。另外,假定在图9A中按下按钮913。
说明返回至图7的说明。在下文,使S703~S716所示的登记取消处理重复如下次数,其中该次数是在API管理表(表B)中存在登记取消URL的记录数量。首先,在S703中,初始化应用程序320使用API管理表(表B)的应用程序ID来激活协作应用程序310以进行登记取消。
另外,此时,初始化应用程序320可以根据需要将在S702中接收到的认证信息管理表(表A)和API管理表(表B)的各个数据作为参数传送至协作应用程序310。
在S706中,所激活的协作应用程序310针对API管理表(表B)的登记取消URL请求登记取消。服务器101的服务340的扩展请求处理单元346接收到并处理登记取消的请求。
另外,在协作应用程序310是Web浏览器(Web应用程序)的情况下,在激活Web浏览器的时刻,协作应用程序310不具有UI。因此,在S704和S705中,向服务340请求并且从服务340获取用于在便携式终端107上显示登记取消时所需的画面的诸如HTML或JavaScript等的程序或数据。所获取到的这种程序或数据被称为登记取消程序。
另外,另一方面,在协作应用程序310是本机应用程序的情况下,可以使用预先安装在便携式终端107中的UI和登记取消程序,但可以再次从服务340获取登记取消程序。
在S706中,协作应用程序310向服务340的登记取消URL请求登记取消。在S707中,服务340的认证器信息处理单元342创建认证参数。认证参数是在服务340进行协作应用程序310的认证时使用的数据。以下将说明认证参数。
图8A和8B是示出在认证器330的登记取消中在便携式终端107和服务器101之间的通信中所包括的参数的示例的图。
这里,使用图8A来说明认证参数。认证参数810包括断言质询811和断言扩展区域812。
在断言质询811中,存储用于进行质询响应认证的验证用数据。在断言扩展区域812中,存储利用服务340能够指定的并且用于控制服务340对认证器330等的操作的扩展参数。
说明返回至图7的说明。在S708中,服务340的通信单元312将由认证器信息处理单元342在S707中创建的认证参数810返回至协作应用程序310。在S709中,协作应用程序310的认证器认证控制单元314将认证参数810传送至认证器330的生物特征识别认证处理单元332,以进行认证请求。
在S710中,认证器330的生物特征识别信息请求单元334向用户请求生物特征识别认证。在生物特征识别认证的请求中,显示用于提示用户输入生物特征识别信息的画面。以下将说明在S710中显示的画面。
图9B是在认证器330进行生物特征识别认证时协作应用程序310的显示单元311上所显示的画面的示例。
针对作为认证器330的登记取消的对象的各服务340显示输入画面921,并且输入画面921请求用户输入在生物特征识别认证中使用的生物特征识别信息。在图9B所示的示例中,请求对服务340“X-mobile”的认证。
在按下按钮922的情况下,停止对输入画面921上所显示的服务340的认证请求,并且跳过服务340中的认证器330的登记取消。如参考图6所述,按钮613是用于读取诸如指纹等的生物特征识别信息的按钮,并且包括在生物特征识别信息传感器227中。在用户经由按钮613输入生物特征识别信息的情况下,生物特征识别认证处理单元332获取到生物特征识别信息。
说明返回至图7的说明。在S710中,认证器330的生物特征识别认证处理单元332经由输入画面921(图9B)获取生物特征识别信息。另外,生物特征识别认证处理单元332创建断言信息。该断言信息是在服务器101中为了验证出进行登记取消的用户没有进行非法请求所使用的数据。以下将说明断言信息。
图8B是示出断言信息的示例的图。
断言信息820包括认证信息ID 821和签名822。以下将说明生物特征识别认证处理单元332获取构成断言信息820的认证信息ID 821和签名822、并且创建断言信息820的序列。
在S710中,经由输入画面921(图9B),基于认证器330的生物特征识别认证处理单元332所获取到的生物特征识别信息来从认证信息存储单元333所管理的认证信息管理表(表A)中指定记录。具体地,通过指定表示所获取到的生物特征识别信息的生物特征识别信息ID,来在认证信息管理表(表A)中指定与该生物特征识别信息相对应的认证信息ID 821和私钥。也就是说,认证器330进行生物特征识别认证,并且在认证成功的情况下,获取到私钥。
另外,生物特征识别认证处理单元332创建通过使用所指定的私钥对认证参数810中所包括的断言质询811进行加密而获得的签名822。另外,生物特征识别认证处理单元332创建包括所指定的认证信息ID 821和所创建的签名822的断言信息820。
这里,将图9C所示的画面显示在协作应用程序310的显示单元311上。
确认画面931是用于通知在便携式终端107中生物特征识别认证完成的画面。在按下按钮932的情况下,处理进入下一处理(S711)。
说明返回至图7的说明。在S711中,生物特征识别认证处理单元332将在S710中创建的断言信息820返回至协作应用程序310。在S712中,协作应用程序310的通信单元312将所接收到的断言信息820发送至服务340。
在S713中,服务340的认证器信息处理单元342进行所接收到的断言信息820的验证。具体地,认证器信息处理单元342使用由断言信息820中包括的认证信息ID 821所指定的公钥来对断言信息820中包括的签名822进行解密。
此外,进行关于解密得到的值与在S707中创建的认证参数810中所包括的断言质询811是否一致的验证。另外,在指定公钥时,使用认证器信息管理表(表E)。
在S714中,认证器信息处理单元342请求认证器信息存储单元345删除认证器信息管理表(表E)中的具有在S713中验证后的认证信息ID 821的记录。认证器信息存储单元345删除请求了删除的记录,即取消登记。
在S715中,认证器信息处理单元342向协作应用程序310返回登记被取消。在S716中,结束协作应用程序310,并且为了针对作为认证器330的登记取消的对象的下一服务340重复S703~S715的处理,使处理返回至初始化应用程序320。
如上所述,本典型实施例提供了如下的机制:在认证器330的登记时,通过将登记取消URL存储在装置侧,使用装置的初始化作为触发来取消服务侧的认证器310的登记。因此,可以在适当定时将不必要装置的认证器的登记信息从服务侧所存储的该装置自身的帐户中取消。
另外,在本典型实施例中,说明了在对装置进行初始化的情况下、针对各协作应用程序310重复登记取消的处理的示例。然而,例如,在将协作应用程序310作为单个单元卸载的情况下,可以执行与S704~S715相对应的处理。另外,在本典型实施例中,说明了便携式终端107作为示例,然而只要装置具有认证器,该装置可以具有与便携式终端107的硬件和软件不同的结构。
第二典型实施例
在第一典型实施例中,在对装置进行初始化时,通过在该装置中对登记了认证器330的各服务340进行认证来取消认证器的登记。
然而,在多个用户使用单个装置的情况下,在尝试从登记了认证器的所有服务中取消认证器的登记时,向进行该登记的所有用户中的各用户请求生物特征识别信息。然而,由于在对装置进行初始化时所有用户都应在现场,因此这是不现实的。
由于通过装置的初始化还删除了装置的TPM中所存储的诸如私钥等的信息,因此不使用服务侧所登记的与认证器有关的信息。因此,原本可以在无需在服务中进行认证的情况下取消认证器的登记,但存在以下两个问题。
首先,由于在装置中假冒是可能的,因此存在以下的点:在不进行认证的情况下,服务不能判断是否由于假冒而请求了登记取消。另一点是如下的点:对于与进行初始化的用户不同的用户,似乎在自身并不知情的情况下取消了登记。
因此,在本典型实施例中,将说明以下的手段:在多个用户使用一个装置的情况下,敦促取消根据装置的初始化而在服务340中变得不必要或无效的登记信息的登记。另外,向与第一典型实施例的结构共同的结构赋予相同的附图标记,并且将省略针对这些结构的说明。另外,在下文,将说明装置是便携式终端107的情况,但是该说明也适用于装置是PC 104的情况。
便携式终端107侧的表的示例
在下文,将使用表G和表B’来说明由便携式终端107存储在TPM 226中的各种数据。详细地,在表G和表B’中示出的表数据是由便携式终端107中包括的认证器330的认证信息存储单元333存储在TPM 226中的数据。
表G 装置用户认证信息管理表
认证信息ID 装置用户ID
5a1c-ed28-ef22 devuser001
98ea-b657-bf00 devuser002
48ab-5ecb-ed54 devuser003
表G的装置用户认证信息管理表是通过扩展表A的认证信息管理表所获得的表,并且在将认证器330登记在服务中时,创建记录并将该记录添加至表G。认证信息ID列与表A的认证信息ID相同。在装置用户ID列中,存储用于唯一地标识便携式终端107的登录帐户的ID。在与用于将认证器330登记在服务340中的处理的序列(图4)中的S411相对应的处理中,使装置用户ID与认证信息ID相关联地存储。
表B’ API管理表
Figure BDA0001785873900000251
表B’的API管理表与第一典型实施例的表B相似。表B和表B’之间的不同之处是:代替表B的登记取消URL列,表B’具有操作URL列。在操作URL列中,存储作为针对表B’的各记录所要进行的操作的操作名称和用于请求该操作的请求目的地(URL)的集合的关键字·值的数据。
与第一典型实施例中的登记取消URL相同,在将认证器330登记在服务340中时,从服务340经由协作应用程序310传送操作URL。详细地,将操作URL作为响应(S407)包括在登记参数510(图5A)的认证扩展区域514中,并且从服务340传送至协作应用程序310。另外,在协作应用程序310在认证器330上进行证书的创建请求(S408)时,将操作URL作为该请求中所包括的登记请求参数520传送至认证器330。
在表B’中,在操作URL列中,包括具有“deregister”(取消)和“notify”(通知)的操作名称。在与具有“deregister”的操作名称相对应的操作(URL)中,与表B的登记取消URL相同,存储用于请求认证器330的登记取消的请求目的地(URL)。在与具有“notify”的操作名称相对应的操作(URL)中,存储用于敦促认证器的登记取消的通知的请求目的地(URL)。
例如,考虑以下情况:在装置用户ID是“devuser001”的用户对便携式终端107进行初始化时,进行认证器的登记取消。此时,在装置用户认证信息管理表(表G)中,指定装置用户ID与“devuser001”相关联的认证信息ID。另外,在API管理表(表B’)中,关于具有认证信息ID的记录,与第一典型实施例相同,进行登记取消的处理(图7)。
具体地,关于利用与“devuser001”相关联的认证信息ID表示的API管理表(表B’)的记录,可以通过向操作名称为“deregister”的URL发送请求来将登记取消的请求发送至服务340。
然而,关于使用便携式终端107的具有除“devuser001”以外的装置用户ID的用户的记录,在一些情况下,由于以上所述的原因,因而可能不执行S710。因此,在装置用户认证信息管理表中,关于利用与除“devuser001”以外的装置用户ID相关联的认证信息ID表示的API管理表(表B’)的记录,向操作名称为“notify”的URL发送请求。
因此,针对服务340,可以向服务340发送请求,以向具有除“deuser001”以外的装置用户ID的用户通知敦促自身所登记的登记信息的取消。另外,在S703~S716的重复处理结束之后,利用初始化应用程序320对服务340进行上述的将请求发送至“notify”的URL的处理。
也就是所,初始化应用程序320向“notify”的URL发送请求。与向登记取消URL的请求相同,所发送的请求由服务340的扩展请求处理单元346来处理,但不进行认证处理(S713)。
图10A和10B示出向除“devuser001”以外的用户的通知的示例。
详细地,在便携式终端107的初始化之后,在除“devuser001”以外的用户从与初始化后的便携式终端107不同的装置登录服务340时,示出图10A和10B。
图10A是显示服务340所提供的Web站点的画面的示例。图标1011是用于向登录用户显示诸如邮件或消息等的通知的图标。在按下图标1011的情况下,显示通知的详情。
图10B是显示通知的详情的画面的示例。通知画面1021是示出服务340所提供的Web站点的通知内容的画面。在区域1022中,显示与向上述的通知的请求目的地(URL)发送了请求的便携式终端107有关的信息。在按下按钮1023的情况下,在认证信息管理表(表E)中删除相应认证器330的记录,并且取消在服务340中登记的认证器330的登记。在按下按钮1024的情况下,关闭通知画面1021而不进行任何操作。
如上所述,在本典型实施例中,在用户对多个用户共享的装置进行初始化时,在存在另一用户登记了认证器的服务340的情况下,向该另一用户进行通知。因此,可以在抑制登记的非法取消的同时,来通知已登记的认证器根据初始化而变得不必要。
此外,在本典型实施例中,作为操作URL,使用“deregister”和“notify”,但操作URL不限于此。作为用于操作服务340的登记信息等的请求目的地,还可以使用除“deregister”和“notify”以外的操作。另外,作为进行请求时的通信协议,通信协议不限于http或https,并且只要通信协议与协作应用程序310和服务340相对应,还可以使用另一协议。
第三典型实施例
在第一典型实施例中,说明了用于在对装置进行初始化时取消认证器的登记的处理(图7)。然而,在所登记的服务340很多的情况下,对装置进行初始化花费时间,并且这成为用户的负担。
另外,在如在第一典型实施例和第二典型实施例中所述、服务340侧不对应于诸如登记取消URL等的操作URL的情况下,在对装置进行初始化的定时不能取消验证器330的登记。另外,在服务340侧不对应于诸如登记取消URL等的操作URL的情况下,不能通知存在根据装置的初始化而变得不必要的登记信息。因此,存在如下的可能性:除非装置的用户注意到自身,否则不必要的登记可能残留在服务340侧。
因此,在本典型实施例中,说明了如下的手段:通过使用不同于与装置相关联的服务340的其它服务的帐户,在无需使用登记取消URL或操作URL的情况下,向用户敦促认证器的登记取消。另外,向与第一典型实施例的结构共同的结构赋予相同的附图标记,并且将省略对这些结构的说明。另外,在下文,将说明装置是便携式终端107的情况,但该说明也适用于装置是PC 104的情况。
图11是示出本典型实施例中的网络结构、以及服务器1101和便携式终端107的软件结构示例的图。另外,服务器1101的硬件结构与服务器101相同,并且向相同的结构赋予相同的附图标记。
图11所示的网络结构是图1的延伸部分,并且向该网络结构添加了服务器1101。首先,将说明服务器1101。服务器1101是与提供服务340的服务器101不同的服务器。服务器1101使PC 104和便携式终端107与同一帐户相关联并且提供各种服务。
服务器1101具有帐户服务1110作为所提供的服务的示例。帐户服务1110包括同步单元1111、认证单元1112、通信单元1113和用户信息存储单元1114。同步单元1111是用于提供同步功能的软件模块,其中该同步功能用于经由通信单元1113与诸如PC 104和便携式终端107等的外部设备进行通信,并且与该设备共享数据。
认证单元1112是用于提供与PC 104或便携式终端107进行同步所需的认证功能的软件模块。认证单元1112所提供的认证功能不同于在第一典型实施例和第二典型实施例中所述的服务340提供的认证功能;只要能够实现认证功能,可以使用任何手段。通信单元1113是用于与诸如PC 104或便携式终端107等的外部设备进行通信的软件模块。
用户信息存储单元1114是用于存储与用户的账户相关联的各种属性(数据)的软件模块。本典型实施例中所需的数据存储在用户信息存储单元1114中或者是从用户信息存储单元1114获取到的。后面将说明用户信息存储单元1114中所存储的数据的具体内容。
存储服务1120和邮件服务1130是服务器1101所提供的其它服务的示例,并且本发明不限于此。服务器1101可以提供各种其它服务。
接着,将针对不同于图3A的点来说明便携式终端107的软件结构示例。便携式终端107除包括协作应用程序310、初始化应用程序320和认证器330外,还包括服务管理单元1140。初始化应用程序320除包括认证器认证信息获取单元323外,还包括同步单元324。
同步单元324是用于在便携式终端107中进行初始化时与服务器1101的帐户服务1110进行同步处理的软件模块。后面将说明同步处理的详情。
服务管理单元1140包括同步单元1141、登记管理单元1142和监视单元1143。同步单元1141是用于与服务器1101的账户服务1110进行通信并且共享数据的软件模块。登记管理单元1142是用于管理利用帐户服务1110与同一帐户相关联的其它装置的认证器330(即,登记在服务340中的认证器330)的登记状态的软件模块。
通过使服务管理单元1140的同步单元1141与帐户服务1110的同步单元1111同步,在与同一帐户相关联的诸如PC 104和便携式终端107等的装置之间共享认证器330的登记状态。另外,所共享的数据由登记管理单元1142管理。监视单元1143是具有以下功能的软件模块:监视验证器330的登记信息是否变得不必要,并且在验证器330的登记信息变得不必要的情况下,通知验证器330的登记信息变得不必要。后面将说明监视单元1143的操作的详情。
服务器1101和装置所共享的表的示例
以下将使用表H来说明服务器1101和装置所共享的各种数据。详细地,表H所示的表数据是由服务器1101中包括的帐户服务1110的各软件模块存储在存储装置210或外部存储系统(未示出)中的数据。
另外,表H所示的表数据是由便携式终端107或PC 104中所包括的服务管理单元1140的同步单元1141与服务器1101共享的、并且存储在便携式终端107的存储装置224或PC104的存储装置210中的数据。
表H 认证器初始化管理表
初始化ID 装置名称 服务ID 通知标志
abc-123-def ABC_no_tablet x-mobile.com
987-zyx-654 ABC_no_phone z-market.com
表H的认证器初始化管理表是针对帐户服务1110的用户的各帐户所创建的,并且由帐户服务1110的用户信息存储单元1114进行管理。一个记录表示与一个装置中的初始化有关的信息的条目。在初始化ID列中,存储在对装置进行初始化时发出的并且用于唯一地标识各初始化的ID。
在装置名称列中,存储初始化后的装置的名称。在服务ID列中,存储与表A中所存储的服务ID相同的ID、即用于唯一地标识在进行初始化时登记了认证器330的服务340的ID。在通知标志列中,存储用于利用诸如便携式终端107和PC 104等的装置的监视单元1143来判断认证器330的登记信息是否不必要的标志。
图12A是示出在利用便携式终端107执行初始化时的初始化应用程序320的操作的一部分的流程图。
另外,在本典型实施例中,将说明在便携式终端107中执行初始化的情况,但该情况与在PC 104中执行初始化的情况相同。
在用户执行作为便携式终端107的初始化应用程序320的功能的初始化处理的情况下,执行S1211。在S1211中,初始化应用程序320的认证器认证信息获取单元323从要初始化的装置(即,便携式终端107)获取装置名称。
在S1212中,认证器认证信息获取单元323获取经由认证信息存储单元333存储在认证信息管理表(表A)中的所有记录的服务ID列的值。在S1213中,认证器认证信息获取单元323发出初始化ID,并且使如下的信息与账户服务1110同步,其中该信息是通过将在S1211中获取到的装置名称和在S1212中获取到的服务ID的列表与初始化ID相关联所获得的。也就是说,将通过使初始化ID、装置名称、服务ID和服务ID的列表与初始化ID相关联所获得的信息发送至账户服务1110。
在进行与帐户服务1110的同步的情况下,在帐户服务1110的用户信息存储单元1114中,创建除同步后的初始化ID、装置名称和服务ID外还给出了通知标志的认证器初始化管理表(表H)。另外,通知标志的默认值被设置为“真”。
图12B是示出在与执行初始化的便携式终端107不同的装置的协作应用程序310访问服务340时的监视单元1143的操作的流程图。
另外,这里,访问服务340的装置是同与执行初始化处理的便携式终端107相同的帐户相关联的装置。
此外,假定:通过使装置的同步单元1141与帐户服务1110的同步单元1111同步,使认证器初始化管理表(表H)的数据与装置同步(即,获取到该数据)。通过装置的同步单元1141的同步所获取到的数据由登记管理单元1142来管理。以下示出在同步后的装置访问服务340的情况下的处理的流程图。
在S1221中,装置的监视单元1143判断协作应用程序310所访问的服务的域名与登记管理单元1142所管理的认证器初始化管理表(表H)中存在的服务ID是否一致。另外,如上所述,服务ID与服务340的域名相对应。
在所访问的服务的域名与认证器初始化管理表中存在的服务ID一致的情况下,处理进入S1222,并且在所访问的服务的域名与认证器初始化管理表中存在的服务ID不一致的情况下,处理结束。在S1222中,监视单元1143判断在认证器初始化管理表中具有在S1221中一致的服务ID的记录的通知标志列的值是否为“真”。
在通知标志列的值为“真”的情况下,处理进入S1223,并且在通知标志列的值不为“真”的情况下,处理结束。在S1223中,监视单元1143在协作应用程序310的显示单元311上进行用于敦促认证器330的登记取消的显示,并且将认证器初始化管理表的对象记录的通知标志改变为“假”。
图13是在S1223中在协作应用程序310的显示单元311上显示的、敦促认证器330的登记取消的显示的示例。
在本典型实施例中,在协作应用程序310中显示横幅1311,并且进行用于显示进行了初始化的装置并敦促根据装置的初始化而变得不必要的认证器的登记取消的显示。
如上所述,在对装置进行初始化之后,在从使用某账户的装置访问进行了使用同一账户的另一装置的认证器330的登记的服务340(Web站点)时,显示横幅1311。因此,即使在服务340不对应于诸如登记取消URL等的操作URL的情况下,也可以向用户敦促不必要的认证器330的登记取消。
如上所述,根据本典型实施例,使用账户服务1110来在使用同一账户的装置之间监视装置的初始化,并且判断是否存在根据初始化而变得不必要的登记信息。因此,即使在存在很多登记了认证器330的服务340的情况下或者在服务340不对应于诸如登记取消URL等的操作URL的情况下,也可以向用户通知存在不必要的登记信息。
其它实施例
本发明的实施例还可以通过如下的方法来实现,即,通过网络或者各种存储介质将执行上述实施例的功能的软件(程序)提供给系统或装置,该系统或装置的计算机或是中央处理单元(CPU)、微处理单元(MPU)读出并执行程序的方法。
尽管已经参考典型实施例说明了本发明,但是应该理解,本发明不限于所公开的典型实施例。所附权利要求书的范围符合最宽的解释,以包含所有这类修改、等同结构和功能。
本申请要求2017年9月1日提交的日本专利申请2017-168272的优先权,在此通过引用包含其全部内容。

Claims (10)

1.一种信息处理设备,包括:认证模块,用于使用生物特征识别信息传感器所读取的生物特征识别信息来进行生物特征识别认证;以及存储单元,其被配置成具有防篡改性,并且用于存储在利用所述认证模块进行认证处理的情况下所需的用户的生物特征识别信息、以及针对该生物特征识别信息所生成的私钥,所述信息处理设备还包括:
请求单元,其被配置为在所述信息处理设备的OS初始化时,在根据所述OS初始化进行所述私钥的删除之前,使用请求目的地信息来向服务器发送对登记取消的请求,其中所述请求目的地信息先前被存储在所述信息处理设备中,
其中,在从所述服务器接收到对所述登记取消的认证请求的情况下,所述认证模块被配置为使用根据使用所述生物特征识别信息传感器所读取的生物特征识别信息的所述认证模块的生物特征识别认证的认证成功而提取的私钥,来生成签名,以及
其中,所述请求单元还被配置为将所述签名发送至所述服务器,用于在成功验证了所述签名的情况下,删除包括与所述私钥配对的公钥的服务器登记信息作为所述服务器中的登记取消。
2.根据权利要求1所述的信息处理设备,其中,所述请求目的地信息是在所述登记信息登记在所述服务器中的情况下从所述服务器获取到的。
3.根据权利要求1所述的信息处理设备,其中,所述请求目的地信息由所述认证模块管理。
4.根据权利要求1所述的信息处理设备,其中,所述登记信息还包括所述认证模块的标识信息。
5.根据权利要求4所述的信息处理设备,其中,将所述认证模块的标识信息与所述信息处理设备的登录账户相关联地进行管理。
6.根据权利要求1所述的信息处理设备,其中,所述请求单元针对作为所述信息处理设备的用户的并且与在所述信息处理设备的OS初始化时登录到所述信息处理设备中的用户不同的其它用户,使用用于通知所述其它用户进行被所述其它用户登记在所述服务器中的登记信息的登记取消的请求目的地信息,来发送所述通知的请求。
7.根据权利要求6所述的信息处理设备,其中,用于通知所述其它用户进行所述登记取消的请求目的地信息是在所述登记信息登记在所述服务器中的情况下从所述服务器获取到的。
8.根据权利要求1所述的信息处理设备,还包括:
发送单元,其被配置为在所述信息处理设备的OS初始化时,将包括由所述信息处理设备登记了所述登记信息的服务器的列表的信息发送至用于管理账户的服务器;
获取单元,其被配置为从用于管理账户的服务器获取包括服务器的列表的信息,其中该列表是从同与所述信息处理设备的账户相同的账户相关联的其它信息处理设备发送来的;以及
显示单元,其被配置为在访问所获取到的信息中所包括的服务器的列表的情况下,进行表示所述其它信息处理设备的登记信息的登记取消是有必要的显示。
9.一种信息处理设备的控制方法,所述信息处理设备包括:认证模块,用于使用生物特征识别信息传感器所读取的生物特征识别信息来进行生物特征识别认证;以及存储部件,其被配置成具有防篡改性,并且用于存储在利用所述认证模块进行认证处理的情况下所需的用户的生物特征识别信息、以及针对该生物特征识别信息所生成的私钥,所述控制方法包括:
在所述信息处理设备的OS初始化时,在根据所述OS初始化进行所述私钥的删除之前,使用请求目的地信息来向服务器发送对登记取消的请求,其中所述请求目的地信息先前被存储在所述信息处理设备中,
其中,在从所述服务器接收到对所述登记取消的认证请求的情况下,所述认证模块被配置为使用根据使用所述生物特征识别信息传感器所读取的生物特征识别信息的所述认证模块的生物特征识别认证的认证成功而提取的私钥,来生成签名,以及
其中,在所述发送中还将所述签名发送至所述服务器,用于在成功验证了所述签名的情况下,删除包括与所述私钥配对的公钥的服务器登记信息作为所述服务器中的登记取消。
10.一种非暂时性存储介质,其存储用于使计算机执行用于信息处理设备的方法的计算机程序,所述信息处理设备包括:认证模块,用于使用生物特征识别信息传感器所读取的生物特征识别信息来进行生物特征识别认证;以及存储部件,其被配置成具有防篡改性,并且用于存储在利用所述认证模块进行认证处理的情况下所需的用户的生物特征识别信息、以及针对该生物特征识别信息所生成的私钥,所述方法包括:
在所述信息处理设备的OS初始化时,在根据所述OS初始化进行所述私钥的删除之前,使用请求目的地信息来向服务器发送对登记取消的请求,其中所述请求目的地信息先前被存储在所述信息处理设备中,
其中,在从所述服务器接收到对所述登记取消的认证请求的情况下,所述认证模块被配置为使用根据使用所述生物特征识别信息传感器所读取的生物特征识别信息的所述认证模块的生物特征识别认证的认证成功而提取的私钥,来生成签名,以及
其中,在所述发送中还将所述签名发送至所述服务器,用于在成功验证了所述签名的情况下,删除包括与所述私钥配对的公钥的服务器登记信息作为所述服务器中的登记取消。
CN201811014801.8A 2017-09-01 2018-08-31 信息处理设备、控制方法和存储介质 Active CN109428725B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2017-168272 2017-09-01
JP2017168272A JP6910894B2 (ja) 2017-09-01 2017-09-01 情報処理装置、制御方法、およびプログラム

Publications (2)

Publication Number Publication Date
CN109428725A CN109428725A (zh) 2019-03-05
CN109428725B true CN109428725B (zh) 2022-03-29

Family

ID=63207660

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811014801.8A Active CN109428725B (zh) 2017-09-01 2018-08-31 信息处理设备、控制方法和存储介质

Country Status (4)

Country Link
US (1) US10853477B2 (zh)
EP (1) EP3451217B1 (zh)
JP (2) JP6910894B2 (zh)
CN (1) CN109428725B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110784395B (zh) * 2019-11-04 2023-02-21 航天信息股份有限公司 一种基于fido认证的邮件安全登录方法及系统
US11121864B1 (en) * 2020-03-13 2021-09-14 International Business Machines Corporation Secure private key distribution between endpoint instances
WO2021205660A1 (ja) * 2020-04-10 2021-10-14 日本電気株式会社 認証サーバ、認証システム、認証サーバの制御方法及び記憶媒体
JP2022187370A (ja) * 2021-06-07 2022-12-19 株式会社日立製作所 データ管理システム、データ管理方法、及びデータ管理プログラム

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1480871A (zh) * 2003-06-20 2004-03-10 林建春 一种非生物物理特征的数字身份认证方法
WO2006083141A1 (en) * 2005-02-07 2006-08-10 Samsung Electronics Co., Ltd. Key management method using hierarchical node topology, and method of registering and deregistering user using the same
CN101438316A (zh) * 2005-01-19 2009-05-20 微软公司 将设备绑定到计算机
US8625796B1 (en) * 2012-11-30 2014-01-07 Mourad Ben Ayed Method for facilitating authentication using proximity
CN104700012A (zh) * 2013-12-06 2015-06-10 神盾股份有限公司 生物数据辨识设备及其方法、和计算机可读取式媒体
CN104992088A (zh) * 2015-06-30 2015-10-21 小米科技有限责任公司 设备安全保护方法及装置
CN105245545A (zh) * 2015-10-29 2016-01-13 安徽省万薇网络科技有限公司 一种基于用户终端的接入授权方法及路由器
CN106330838A (zh) * 2015-07-01 2017-01-11 阿里巴巴集团控股有限公司 一种动态签名方法及应用该方法的客户端和服务器
CN106790070A (zh) * 2016-12-21 2017-05-31 杨宪国 基于鉴权装置的电子身份证认证服务系统
CN107070667A (zh) * 2017-06-07 2017-08-18 国民认证科技(北京)有限公司 身份认证方法、用户设备和服务器

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005275616A (ja) 2004-03-23 2005-10-06 Fujitsu Fip Corp 資産管理方法、位置管理方法、資産管理サーバ、資産機器、資産管理システム及び記録媒体
US9178948B2 (en) * 2004-07-30 2015-11-03 Qualcomm Incorporated Methods and apparatus for subscribing to multimedia delivery services in a data network
CN1852136A (zh) * 2005-07-19 2006-10-25 华为技术有限公司 一种注册/注销系统和注册/注销方法
JP4449934B2 (ja) * 2006-03-31 2010-04-14 ブラザー工業株式会社 通信装置及びプログラム
US9712486B2 (en) * 2006-09-25 2017-07-18 Weaved, Inc. Techniques for the deployment and management of network connected devices
US10637724B2 (en) * 2006-09-25 2020-04-28 Remot3.It, Inc. Managing network connected devices
JP2008219787A (ja) * 2007-03-07 2008-09-18 Toshiba Corp 鍵管理システム、鍵管理プログラムおよびicカード
US20120066501A1 (en) * 2009-03-17 2012-03-15 Chuyu Xiong Multi-factor and multi-channel id authentication and transaction control
JP5425496B2 (ja) * 2009-03-19 2014-02-26 日立公共システムエンジニアリング株式会社 通信システム、証明書検証装置及びサービス提供方法
EP2343677A1 (en) * 2010-01-06 2011-07-13 Validity Sensors, Inc. Monitoring secure financial transactions
JP5710439B2 (ja) * 2011-10-06 2015-04-30 株式会社日立製作所 テンプレート配信型キャンセラブル生体認証システムおよびその方法
JP2013179473A (ja) * 2012-02-28 2013-09-09 Kddi Corp アカウント生成管理システム、アカウント生成管理サーバ、アカウント生成管理方法及びアカウント生成管理プログラム
US9172699B1 (en) * 2012-11-30 2015-10-27 Microstrategy Incorporated Associating a device with a user account
US9998922B2 (en) * 2013-03-06 2018-06-12 Assa Abloy Ab Instant mobile device based capture and credentials issuance system
US9367701B2 (en) * 2013-03-08 2016-06-14 Robert Bosch Gmbh Systems and methods for maintaining integrity and secrecy in untrusted computing platforms
WO2016038729A1 (ja) * 2014-09-12 2016-03-17 株式会社東芝 認証システム、利用者端末、制御装置、サービス提供装置、プログラム、および認証方法
JP6122924B2 (ja) * 2015-09-11 2017-04-26 ヤフー株式会社 提供装置、端末装置、提供方法、提供プログラム及び認証処理システム

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1480871A (zh) * 2003-06-20 2004-03-10 林建春 一种非生物物理特征的数字身份认证方法
CN101438316A (zh) * 2005-01-19 2009-05-20 微软公司 将设备绑定到计算机
WO2006083141A1 (en) * 2005-02-07 2006-08-10 Samsung Electronics Co., Ltd. Key management method using hierarchical node topology, and method of registering and deregistering user using the same
US8625796B1 (en) * 2012-11-30 2014-01-07 Mourad Ben Ayed Method for facilitating authentication using proximity
CN104700012A (zh) * 2013-12-06 2015-06-10 神盾股份有限公司 生物数据辨识设备及其方法、和计算机可读取式媒体
CN104992088A (zh) * 2015-06-30 2015-10-21 小米科技有限责任公司 设备安全保护方法及装置
CN106330838A (zh) * 2015-07-01 2017-01-11 阿里巴巴集团控股有限公司 一种动态签名方法及应用该方法的客户端和服务器
CN105245545A (zh) * 2015-10-29 2016-01-13 安徽省万薇网络科技有限公司 一种基于用户终端的接入授权方法及路由器
CN106790070A (zh) * 2016-12-21 2017-05-31 杨宪国 基于鉴权装置的电子身份证认证服务系统
CN107070667A (zh) * 2017-06-07 2017-08-18 国民认证科技(北京)有限公司 身份认证方法、用户设备和服务器

Also Published As

Publication number Publication date
JP2021152975A (ja) 2021-09-30
JP6910894B2 (ja) 2021-07-28
US10853477B2 (en) 2020-12-01
CN109428725A (zh) 2019-03-05
EP3451217A1 (en) 2019-03-06
JP7196241B2 (ja) 2022-12-26
EP3451217B1 (en) 2022-03-16
US20190073470A1 (en) 2019-03-07
JP2019046133A (ja) 2019-03-22

Similar Documents

Publication Publication Date Title
US20200274859A1 (en) User authentication system with self-signed certificate and identity verification with offline root certificate storage
US10348715B2 (en) Computer-implemented systems and methods of device based, internet-centric, authentication
CN109428725B (zh) 信息处理设备、控制方法和存储介质
US11556617B2 (en) Authentication translation
KR20210121307A (ko) 복수의 장치로부터 데이터에 액세스하기 위한 시스템
JP2014529837A (ja) 身分認証管理装置及びその方法
CN112425114A (zh) 受公钥-私钥对保护的密码管理器
EP3782062B1 (en) Password reset for multi-domain environment
JP2019086937A (ja) 画像処理装置、画像処理装置の制御方法、プログラム、システム、およびシステムの制御方法
US12107956B2 (en) Information processing device, information processing method, and non-transitory computer readable storage medium
JP2016024715A (ja) 情報処理装置及びプログラム
CN114006700A (zh) 客户端登录方法、装置、计算机设备和存储介质
JP7395938B2 (ja) 情報処理装置、情報処理システム及びプログラム
US20210359986A1 (en) Terminal device, information processing method, and non-transitory computer readable storage medium
JP2016085638A (ja) サーバー装置、端末装置、システム、情報処理方法及びプログラム
KR20170096691A (ko) 자체확장인증을 이용한 키관리 방법
JP2023010223A (ja) 情報管理システム、情報管理方法、サーバ装置、及びプログラム
Abd Jalil et al. Multiple trusted devices authentication protocol for ubiquitous computing applications

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant