JP2003304242A - 単一秘密鍵による複数認証装置及び方法並び該方法を用いたwebサービス利用方法 - Google Patents

単一秘密鍵による複数認証装置及び方法並び該方法を用いたwebサービス利用方法

Info

Publication number
JP2003304242A
JP2003304242A JP2002108358A JP2002108358A JP2003304242A JP 2003304242 A JP2003304242 A JP 2003304242A JP 2002108358 A JP2002108358 A JP 2002108358A JP 2002108358 A JP2002108358 A JP 2002108358A JP 2003304242 A JP2003304242 A JP 2003304242A
Authority
JP
Japan
Prior art keywords
user
authentication
secret key
created
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2002108358A
Other languages
English (en)
Inventor
Kenji Terada
賢二 寺田
Kenji Takahashi
健司 高橋
Shintaro Mizuno
伸太郎 水野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2002108358A priority Critical patent/JP2003304242A/ja
Publication of JP2003304242A publication Critical patent/JP2003304242A/ja
Pending legal-status Critical Current

Links

Abstract

(57)【要約】 【課題】単一秘密鍵を構成員が複数のグループにて使用
し、かつ当該グループを構成する各構成員毎の認証をも
実現できる単一秘密鍵による複数認証装置及び方法並び
に該方法を用いたWEBサービス利用方法の提供。 【解決手段】ユーザ端末2から通信装置1に対して、S
12として、ログイン名を入力しログイン名の追加処理
を要求する第一ステップと、通信装置1にて、当該要求
に係るログイン名に対して(仮の)ログインIDを作成
すると共に、ログイン名と自己に格納された単一秘密鍵
からそれ用の公開鍵を作成する第二ステップと、通信装
置1にて、当該作成したログインID及びそれ用の公開
鍵の登録をS15として依頼し、認証機関3に登録させ
る第三ステップと、を順次行って、単一秘密鍵による複
数認証を行えるようにした、特徴的な構成手法の採用。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、耐タンパ性記憶装
置に格納された単一秘密鍵にて、複数のユーザ毎に又は
一人のユーザであってもその利用シーン毎に、個別に応
じた複数認証を可能にする、単一秘密鍵による複数認証
装置及び方法並びに該方法を用いてWEBサービスの利
用を実現する、単一秘密鍵による複数認証方法を用いた
WEBサービス利用方法に関する。
【0002】
【従来の技術】従来、WEBシステムを利用する際に、
ユーザは利用するWEBサービス毎に、ログオンする必
要があるところ、これはユーザにとって極めて煩雑であ
るので、この点を解決する技術として、シングルサイン
オンなる技術がある。
【0003】この代表例として、マイクロソフトの.n
et passportがある。それによると、ユーザ
は.net passportにログオンするだけで、
他のWEBシステムは、.net passportの
認証情報を用いる為、ログオンの必要がない。つまり、
認証処理の為に一度サインすれば、.net pass
port対応サービスを利用する場合なら、再度認証す
る為にサインなどする必要がない、というものである。
【0004】
【発明が解決しようとする課題】ところが、前述の.n
et passportにおいては、ユーザの情報を第
三者に(ここでは、.net passportのサー
バを保有するマイクロソフトに)登録しなければなら
ず、しかもユーザが利用するサービスに対する情報など
が集中的に管理されてしまう危険性があり、それ故、ユ
ーザはプライバシー保護の観点から、これらのサービス
の利用を躊躇したり、差し控えたりすることになる。
【0005】そこで、本発明者によりなされた発明とし
て、「WEBサービス利用の為の通信方法及び装置並び
にWEBサービス利用連携方法」(本件出願人により出
願)がある。当該発明は、WEBサービス利用の為の通
信装置内に記憶している秘密鍵を用いて、認証を行うも
のである。
【0006】もっとも、そこにおいても、利用できる秘
密鍵は一つであって、秘密鍵を記憶した媒体を複数の者
で構成したグループにて共有し各構成員毎に利用するこ
とまでは想定していない。また、同一のユーザであって
も利用シーン毎に対応させてそのユーザが使用するこ
と、いわば、ユーザ自身の身分を変えて使用することも
想定していない。かように想定されていないケースにお
いては、一つの秘密鍵を記憶した媒体を複数、突き詰め
れば、WEBサービス(アプリケーションを含む)利用
の為の通信装置を複数用いなければならない、という不
都合を生じさせることになる。
【0007】ここにおいて、本発明の解決すべき主要な
目的は、以下の通りである。本発明の第1の目的は、単
一秘密鍵を構成員が複数のグループにて使用し、かつ当
該グループを構成する各構成員毎の認証をも実現でき
る、単一秘密鍵による複数認証装置及び方法を提供する
ことにある。
【0008】本発明の第2の目的は、単一秘密鍵を一個
人で使用しても、認証する場面毎において異なる認証を
することができる、単一秘密鍵による複数認証装置及び
方法を提供することにある。
【0009】本発明の第3の目的は、本発明の第1又は
第2の目的にて提供される単一秘密鍵による複数認証方
法を、WEBサービスを利用する場合の認証に用いる、
単一秘密鍵による複数認証方法を用いたWEBサービス
利用方法を提供することにある。
【0010】本発明の他の目的は、明細書、図面、特に
特許請求の範囲における各請求項の記載から自ずと明ら
かとなろう。
【0011】
【課題を解決するための手段】本発明装置は、上記課題
の解決に当たり、単一秘密鍵を格納した耐タンパ性が確
保された耐タンパ性記憶装置と、ユーザにより入力され
た入力情報を元にユーザIDを作成し、当該作成された
ユーザIDに対し当該耐タンパ性記憶装置に格納された
単一秘密鍵と当該入力情報とを用いて、公開鍵及び秘密
鍵の作成を行うと共に、当該作成された公開鍵をその際
決定されるユーザIDと共に認証機関に登録させるCP
Uとを具備する、という特徴的構成手段を講じる。
【0012】本発明認証方法は、上記課題の解決に当た
り、既に耐タンパ性記憶装置に記憶された単一秘密鍵と
ユーザが入力した入力情報とを元にして、ユーザID及
びその公開鍵を新たに作成し、認証機関に対して当該作
成した公開鍵をその際決定されるユーザIDと共に登録
することにより、それ以後、当該ユーザIDが使用され
る場合には、その公開鍵及びそれに対応する秘密鍵とを
用いて、認証がなされる、という特徴的構成手法を講じ
る。
【0013】本発明利用方法は、上記課題の解決に当た
り、WEBサービスの利用に当たり入力されるログイン
名を元に、通信装置、当該WEBサービスを提供する一
以上のWEBサービス提供装置、認証機関との間におい
てなされるやり取りにおいて、本発明認証方法により作
成された公開鍵と認証の度に作成される秘密鍵とを用い
ることにより認証を行い、当該認証に成功した場合に限
り当該WEBサービスの提供がなされる、という特徴的
構成手法を講じる。
【0014】更に、具体的詳細に述べると、当該課題の
解決では、本発明が次に列挙する上位概念から下位概念
に亙る新規な特徴的構成手段、手法を採用することによ
り、上記目的を達成するようになされる。
【0015】本発明装置の第1の特徴は、単一秘密鍵に
より複数認証を可能にする装置であって、当該装置固有
の単一秘密鍵を格納した耐タンパ性が確保された耐タン
パ性記憶装置と、ユーザにより入力された入力情報を元
にユーザIDを作成し、当該作成されたユーザIDに対
し当該耐タンパ性記憶装置に格納された単一秘密鍵と当
該入力情報とを用いて、公開鍵及び秘密鍵の作成を行う
と共に、当該作成された公開鍵をその際決定されるユー
ザIDと共に認証機関に登録させるCPUとを具備して
なる、単一秘密鍵による複数認証装置の構成採用にあ
る。
【0016】本発明装置の第2の特徴は、上記本発明装
置の第1の特徴における前記入力情報が、前記装置の使
用につき許諾の判断基準となるパスワードと、前記CP
Uにより前記ユーザID作成の際の基準となるログイン
名とである、単一秘密鍵による複数認証装置の構成採用
にある。
【0017】本発明装置の第3の特徴は、上記本発明装
置の第1又は第2の特徴における前記装置が、ユーザI
Dの秘密鍵による暗号化又は復号の処理が必要になる
と、再現可能な方式に基き当該必要となる秘密鍵がその
度に作成され、かつ当該作成された秘密鍵により暗号化
又は復号の処理をも行う前記CPUを具備してなる、単
一秘密鍵による複数認証装置の構成採用にある。
【0018】本発明装置の第4の特徴は、上記本発明装
置の第1、第2又は第3の特徴における前記装置が、ユ
ーザID毎に入力された個人情報を格納する記憶装置を
も具備してなる、単一秘密鍵による複数認証装置の構成
採用にある。
【0019】本発明認証方法の第1の特徴は、単一秘密
鍵により複数認証を行う方法であって、既に耐タンパ性
記憶装置に記憶された単一秘密鍵とユーザが入力した入
力情報とを元にして、ユーザID及びその公開鍵を新た
に作成し、認証機関に対して当該作成した公開鍵をその
際決定されるユーザIDと共に登録することにより、そ
れ以後、当該ユーザIDが使用される場合には、その公
開鍵及びそれに対応する秘密鍵とを用いて、認証がなさ
れてなる、単一秘密鍵による複数認証方法の構成採用に
ある。
【0020】本発明認証方法の第2の特徴は、上記本発
明認証方法の第1の特徴における前記対応する秘密鍵
が、特定の場所に格納されることなく、必要となる度
に、再現可能に作成されて暗号化又は復号の用に供され
てなる、単一秘密鍵による複数認証方法の構成採用にあ
る。
【0021】本発明認証方法の第3の特徴は、上記本発
明認証方法の第1又は第2の特徴における前記方法が、
前記新たにユーザID及びその公開鍵を作成した後に、
ユーザが入力したユーザの個人情報を、そのユーザID
毎に書換え可能に格納し、それ以後同一の入力情報の入
力があった場合に備えてなる、単一秘密鍵による複数認
証方法の構成採用にある。
【0022】本発明認証方法の第4の特徴は、上記本発
明認証方法の第3の特徴における前記格納が、異なるユ
ーザIDであっても、同一のユーザであれば、同一のメ
モリ空間に書換え可能になされてなる、単一秘密鍵によ
る複数認証方法の構成採用にある。
【0023】本発明認証方法の第5の特徴は、上記本発
明認証方法の第1、第2、第3又は第4の特徴における
前記認証機関への登録が、ログインしたユーザ専用のI
Dにつき、ユーザから匿名IDの希望がある場合に備え
て当該認証機関に準備してある、匿名用ID空間から割
当てられ、当該割当てられたユーザIDが前記登録され
て用いられてなる、単一秘密鍵による複数認証方法の構
成採用にある。
【0024】本発明認証方法の第6の特徴は、ユーザ端
末に接続された通信装置に格納された単一秘密鍵にて複
数認証を可能にする方法であって、前記ユーザ端末から
前記通信装置に対して、ログイン名を入力して、当該入
力したログイン名の追加処理を要求する第一ステップ
と、当該第一ステップを経た前記通信装置にて、当該要
求に係るログイン名に対してユーザIDを作成すると共
に、ログイン名と単一秘密鍵から、当該作成したユーザ
IDの公開鍵を生成する第二ステップと、当該第二ステ
ップを経た前記通信装置にて、当該作成したユーザID
及び当該生成したユーザIDの公開鍵を、認証機関に登
録させる第三ステップと、を順次踏むことにより、単一
秘密鍵による複数認証を行えるようにしてなる、単一秘
密鍵による複数認証方法の構成採用にある。
【0025】本発明利用方法の第1の特徴は、WEBサ
ービスの利用に当たり入力されるログイン名を元に、通
信装置、当該WEBサービスを提供する一以上のWEB
サービス提供装置、認証機関との間においてなされるや
り取りにおいて、本発明認証方法である単一秘密鍵によ
る複数認証方法により作成された公開鍵と認証の度に作
成される秘密鍵とを用いることにより認証を行い、当該
認証に成功した場合に限り当該WEBサービスの提供が
なされてなる、単一秘密鍵による複数認証方法を用いた
WEBサービス利用方法の構成採用にある。
【0026】
【発明の実施の形態】ここで、本発明の実施の形態の説
明においては、最初に概要を説明し、それを具現化した
装置例及び方法例につき、該当図面を参照して説明す
る。
【0027】(概要)本発明は、単一秘密鍵を記憶し
た耐タンパ性記憶装置を具備した通信装置を利用する場
合には、ログイン名及びパスワードをユーザが入力する
構成、このにて入力されたログイン名と通信装置I
Dからログイン名用のIDを作成し、該IDに通信装置
提供者識別子を付加して、対象ログイン用のユーザID
とする構成、その通信装置は、その内部で、入力され
たログイン名と当該記憶されている単一秘密鍵とを用い
て、再現可能な方式により、秘密鍵と公開鍵の対を新た
に作成する(又は公開鍵のみ作成し、必要な場合に対と
なる秘密鍵をも作成する)構成、新たなログイン名が
登録される度に、ログイン名とで作成した公開鍵を通
信装置提供者が指定する認証機関に(単一秘密鍵にて暗
号化して)送付し、当該作成した公開鍵の登録を依頼す
る構成、という各構成により、複数認証(グループで使
用する場合にはその構成員毎の認証、一個人で使用する
場合には認証する場面毎の認証)を実現できる。
【0028】上記乃至の各構成に加えて、通信装
置は、ログイン名の秘密鍵が必要になると、その度、ロ
グイン名と耐タンパ性記憶装置に記憶されている単一秘
密鍵とを用いて、当該必要となる秘密鍵を導出し、それ
を用いて暗号化又は復号の処理を行う構成(かかる場合
には、にて作成された対の内秘密鍵については記憶さ
れないことになる。尚、対の内公開鍵は必要に応じて通
信装置に記憶する。)とすることで、秘密鍵の漏洩、改
竄などの蓋然性を著しく低減させることになる。
【0029】(装置例)図1は、単一秘密鍵による複数
認証装置を、通信装置(ネットワークカードなど)とし
て示した場合の内部構成模式図である。尚、ログイン名
rootは、通信装置1が通信装置1提供者からユーザ
に与えられた場合においては、その所有責任者として登
録され、ログイン名rootの各情報は、所有責任者の
情報として管理されることになる。
【0030】通信装置1は、秘密鍵、端末ID(秘密
鍵、端末IDはユーザに提供したサービス事業者により
付与される。)、ID発行元識別子を格納する、優れた
耐タンパ性の記憶装置(ROM)である耐タンパ性記憶
装置11と、通信装置1の利用の照合に必要となるログ
イン名、パスワードを記憶すると共に、そのログイン名
毎に、ネットワーク接続に必要な情報(例えば、ISP
のパスワードとユーザ名、通信装置1が無線LANによ
り接続する場合には、無線LANのアクセスポントを利
用する為の、ネットワーク名、ネットワークキーなどの
情報)のみならず、作成された公開鍵をも記憶し、更に
は、ネットワークサービスを利用する為に一般に必要に
なる(又は必要となることが予想される)個人の情報
(氏名、電話番号、住所、生年月日、電子メールアドレ
ス、クレジットカード情報(番号、有効期限、カード会
社名などを含む))をも格納する記憶装置12と、公開
鍵及び秘密鍵の作成、秘密鍵による暗号化、復号の処
理、作成した公開鍵の認証機関への登録依頼などを行う
CPU13と、ネットワークと接続させるネットワーク
接続部14と、外部と通信を実行する通信機能15、ユ
ーザ端末と接続する端末接続部16とを、構成要素とす
る。
【0031】(方法例)ここで、単一秘密鍵による複数
認証方法及びそれを用いたWEBサービス利用方法を、
時系列に説明する。図2、3、4は、それぞれ、かかる
方法における、ログインID登録処理手順、登録処理手
順、認証処理手順の概要を示したであり、図の様に、そ
の方法は、前述の通信装置1、ユーザが使用するユーザ
端末2、認証機関3、WEBサービス提供装置4におい
てやり取りがなされる。
【0032】[ログインID登録処理手順]第一に、通
信装置1へのログイン名の登録の処理(ログインID登
録処理)について、それを示してある図2を参照して説
明する。ST1−1として、ユーザはユーザ端末2を介
して、ログイン名rootとして、通信装置1にログイ
ンする[図2のS11に該当。]。
【0033】ST1−2として、ユーザはユーザ端末2
を介して、通信装置1に対してログイン名を入力してロ
グイン名の追加処理を要請する[図2のS12に該
当。]。ST1−3として、通信装置1は、ユーザ端末
2を介してユーザに対して、パスワードの他、ログイン
名に記載する個人情報の入力、匿名IDの希望の有無の
選択を要求する[図2のS13に該当。(概要のに対
応。)]。
【0034】ST1−4として、ユーザは、ユーザ端末
2に対して、ST1−3にて要求された情報を入力し、
ユーザ端末2は当該情報を通信装置1に渡す[図2のS
14に該当。]。ST1−5として、通信装置1は、追
加処理の要求された(新)ログイン名に対して、通信装
置IDとからログイン名用のIDを作成し(該IDは、
通信装置ID+ログイン名の形で単純に作成され、該I
Dから通信装置IDを一意に特定可能とする。概要の
に対応。)、更に、単一秘密鍵とログイン名とにより、
ログイン名用の公開鍵を作成する(概要のに対
応。)。
【0035】ST1−6として、通信装置1は、ユーザ
による匿名IDの希望の有無とST1−5で作成したロ
グイン名用のID及び公開鍵を、自己の単一秘密鍵を用
いて暗号化(署名)を行い、更に、通信装置1提供者に
より予め指定されている認証機関(認証局、以下、「指
定認証機関」とする。)3の公開鍵を用いて暗号化す
る。
【0036】ST1−7として、通信装置1は、ST1
−6にて暗号化したデータを指定認証機関3に送信し、
登録を要請する[図2のS15に該当。概要のに対
応]。ST1−8として、指定認証機関3は、ST1−
7の要請を受けると、自己の秘密鍵を用いて復号し、更
に、依頼主の通信装置1の公開鍵を自己のデータベース
から検索して、該公開鍵を用いて通信装置1の認証を行
う。
【0037】ST1−9として、指定認証機関3は、S
T1−8の認証に成功すると、対象通信装置1のユーザ
として、当該復号により得たログイン名用のID及び公
開鍵を自己のデータベースに記憶させる。その際、ユー
ザより匿名IDが希望されていれば、匿名用のID空間
から、IDをログインIDとして割り当て、ユーザから
送られてきたログイン名用のIDの代わりに、該割当て
られたログインIDを記憶させる(尚、これ以降「ログ
イン名用のID(=「仮のログインID」)は「ログイ
ンID」となる。)。
【0038】ST1−10として、指定認証機関3は、
ST1−9にて記憶したログインIDと登録完了の旨と
を、自己の秘密鍵を用いて暗号化(署名)を行い、更
に、通信装置1の公開鍵により暗号化を行う。ST1−
11として、指定認証機関3は、ST1−10にて暗号
化したデータを、通信装置1に対して送付する[図2の
S16に該当。]。
【0039】ST1−12として、通信装置1は、ST
1−11にて送信されたデータを受け、通信装置1の秘
密鍵にて復号して、更に、認証機関3の公開鍵を用いて
復号することにより、認証を行い、当該認証に成功する
と、その復号の結果からログインIDを取得し、該ログ
インIDとユーザから入力された情報とをログイン名の
情報(個人情報)として、記憶装置12に記憶させる
(尚、その際、ログインIDは確定的に決定される。ま
た、ユーザが入力したユーザの個人情報を、そのログイ
ン名毎に書換え可能に格納し、それ以後同一のログイン
名の入力があった場合に備えることが好ましい。
【0040】また、その個人情報から、今後同一ユーザ
のログイン名の追加要求処理があった場合(氏名、生年
月日などユーザ固有の情報から同一ユーザと判定された
場合)、再度そのユーザ固有の情報の入力を省く為に同
一のメモリ空間に格納させて管理するのが好まし
い。)。ST1−13として、通信装置1はユーザ端末
1を介してユーザに登録の完了したことを(場合によっ
てはそのログイン名などをも)通知する[図2のS17
に該当。]。
【0041】以上の説明において、ST1−5において
ログイン名用のIDを作成する場合(新)ログイン名に
対してログイン名識別子を付与し、該ログイン名識別子
と通信装置IDとからログイン名用のIDとするように
してもよい。即ち、ログイン名に一意にログイン名識別
子を対応させ、それを中間項として、ログイン名用のI
D(以上ST1−13までを経ることにより、実質的に
は今後使用されるログインIDとなる。)としてもよい
(この点には、ログイン名用のID(ログインID)の
公開鍵、秘密鍵の作成についても同様。)。
【0042】ここで、通信装置1の付加機能(ST2−
1乃至2−4で実現)につき説明しておく。ST2−1
として、ユーザ端末2に通信装置1を接続(セット)す
る。ST2−2として、ユーザは、ユーザ端末2を介し
て通信装置1にログイン名及びパスワードを入力し、利
用要求を行う。
【0043】ST2−3として、通信装置1は、ユーザ
端末2から得たログイン名及びパスワードを、自己の内
部に格納されているログイン名及びパスワードとそれぞ
れ比較対照する。ST2−4として、比較対照の結果、
正しければ、通信装置1内に格納されているそのログイ
ン名に係るユーザに関する情報、端末IDなどの情報に
ついての利用を許可する一方、正しくなければ再度要求
する(このとき、パスワードなしの利用にあっては、い
わゆる通信機能としてのみの利用を許可することも
可。)。
【0044】[WEBサービス提供装置との認証手順]
前述の処理が実行されていることを前提に、WEBサー
ビス提供装置4との認証手順を説明する。ST3−1と
して、ユーザは利用したいWEBサービス提供装置4に
接続する。
【0045】ST3−2として、WEBサービス提供装
置4は、公開鍵暗号基盤により、通信装置1との間でセ
キュアなセッションを張る。ST3−3として、WEB
サービス提供装置4は、通信装置1に対してユーザID
を要求する。
【0046】ST3−4として、通信装置1は、ユーザ
に通信装置1による認証を利用するか否かの選択を求
め、利用する場合にはユーザID(=通信装置提供者識
別子+ログイン名用のID)の送付につきユーザの了承
を得る一方、利用しない場合には従来と同様に、ユーザ
は自分で認証処理を行う(例えば、WEBブラウザ等を
用いてそのWEBサービス用の個人ID、個人情報を自
分で入力して登録を行ったり、既に登録済みのユーザ
名、パスワードによる通常の認証処理を行う。)。
【0047】ST3−5として、ST3−4で利用する
場合に、通信装置1はユーザIDをWEBサービス提供
装置4に送付する[尚、この点は、図3のS21、図4
のS31に該当する。]。ST3−6として、ST3−
5を受けて、WEBサービス提供装置4は、送付された
ユーザIDが登録されたものか否か確認して、ユーザI
Dが未登録の場合には、後述の「登録処理」(ST4)
を、登録されている場合には、後述の「認証処理」(S
T5)を、それぞれ行う。
【0048】[ST4:登録処理]ここで、登録処理に
ついて該当の図3を参照して説明する。ST4−1とし
て、WEBサービス提供装置4が、通信装置1に対し
て、ユーザがサービスの提供を受ける為に必要な情報
(例えば、氏名、電子メールアドレスなど)及びそのユ
ーザIDの公開鍵をユーザ側に要求する[S22に該
当。]。
【0049】ST4−2として、通信装置1がST4−
1にて要求された情報を提供してよいか、提供する情報
をユーザに提示した上で了解を求めると同時に、通信装
置1内に記憶されている個人情報では、WEBサービス
提供装置4からの要求に応えられない場合には、ユーザ
に対して入力を求める。ここで、変更などがある場合に
はユーザによる変更を許容する。
【0050】ST4−3として、ST4−2においてユ
ーザが了解しない場合には、WEBサービス提供装置4
の要求に応じられない旨を伝えて通信を終了する一方、
了解した場合には、通信装置1に求められた情報の内足
りない追加情報の入力をユーザがユーザ端末2に対して
行う。ここで、この入力された追加情報に対して通信装
置1が今後同様の質問・要請があった場合に備えて、か
かる追加情報を自己の記憶装置12に記憶しておく。
【0051】ST4−4として、ST4−2において変
更がある場合には、ユーザは変更に係る情報の入力をユ
ーザ端末2に対して行い、通信装置1はかかる変更の入
力を受けて、現在格納されている情報を入力された情報
と入れ替えを行う。もっとも、現在格納されている情報
については、今後ユーザが変更容易ならしめる為に、選
択肢の一つとして、いわば履歴として、保存しておくこ
とにより、ユーザは今後最後に利用した情報以外の情報
を利用したい場合においては、その保存した履歴から選
択することにより、容易に変更できるようになる。
【0052】ST4−5として、ST4−3、ST4−
4のように追加、変更を行い了承した場合には、通信装
置1はかように得られた、要請された情報を、対象WE
Bサービス識別情報を付加して、「単一秘密鍵とログイ
ン名により導出される秘密鍵」を用いて暗号化(署名)
して、WEBサービス提供装置2に返信する[S23に
該当。]。
【0053】それと共に、予め決められた通信装置1用
の認証機関3に対して、対象WEBサービス提供装置4
へ電子証明書(ユーザIDの公開鍵)を発行するよう
に、依頼内容を「単一秘密鍵とログイン名により導出さ
れる秘密鍵」を用いて暗号化(署名)して(これによ
り、登録本人である旨を証明することになる。)ユーザ
IDが特定できる様にして送信する[S24に該
当。]。
【0054】ST4−6として、認証機関3は、送られ
てきた情報からユーザIDを特定し、ユーザID用の公
開鍵を自己のデータベースより検索し獲得する。更に、
当該獲得したユーザIDの公開鍵を用いて当該送られて
きた情報を復号して有効な情報であった場合に限り、W
EBサービス提供装置4にユーザIDの公開鍵(電子証
明書)を、対象WEBサービス提供装置4宛であること
を明記して、認証機関3の秘密鍵で暗号化(署名)して
WEBサービス提供装置4に対して送信し[S25に該
当。]、後にその送信先につき検索可能に自己のデータ
ベースに必要な情報を登録する。
【0055】ST4−7として、WEBサービス提供装
置4は、ユーザIDより通信装置1提供者指定の認証機
関3を特定し、その特定された認証機関3の公開鍵を獲
得すると共に、その認証機関3から送られてきたデータ
(即ち、電子証明書)を、該公開鍵で復号して有効な情
報である場合に限り、それをそのユーザIDの公開鍵と
して使用する。
【0056】ST4−8として、WEBサービス提供装
置4は、ST4−7にて認証機関3から獲得したユーザ
IDの公開鍵を用いて、ユーザ側から返信された個人情
報を復号する。そして、有効な情報を得た場合には、こ
の公開鍵と共にサービス利用者として自己のデータベー
スに登録する。
【0057】[ST5:認証処理(登録済みの場合:登
録を伴わない認証処理)]ここで、認証処理について該
当の図4を参照して説明する。この処理は、通常の電子
認証と同様に、通信装置1とWEBサービス提供装置4
との間において行われる。この際、何等問題なく処理が
進んだ場合には、ユーザ自身による操作は入らない。こ
こで示すのは簡略化した手順である(尚、本来は、この
ままでは問題が残る為、通信装置1によるチャレンジデ
ータの付加、ハッシュ関数が用いられる。)。
【0058】ST5−1として、WEBサービス提供装
置4は、任意の平文(いわば、チャレンジデータ)を送
信すると共にそれの暗号化(署名)を通信装置1に要求
する[S32に該当。]。ST5−2として、通信装置
1は、送られてきた任意の平文を「単一秘密鍵とログイ
ン名により導出される秘密鍵」を用いて暗号化して、当
該暗号化された平文をWEBサービス提供装置4に送付
する[S33に該当。]。
【0059】ST5−3として、送られてきた、暗号化
された任意の平文を、ユーザIDを元に、自己のデータ
ベースからユーザ登録(ST4)の際に得たユーザID
の公開鍵を検索し、その検索結果(公開鍵)を用いて、
送信された平文を解読し、解読された平文と最初に用い
た(送信した)平文を比較して、一致した場合には認証
成功となりそのユーザに対して当該サービスを提供可能
とする一方、一致しない場合には、認証失敗となり、ユ
ーザにその旨を伝え、ユーザIDの要求を再度行う。
【0060】かようにして、通信装置1固有の秘密鍵一
つ(単一秘密鍵)に基きそれとログイン名とから導出さ
れる(ユーザIDの)秘密鍵、公開鍵を用いるようにす
ることにより、結果として、単一秘密鍵でもって、ログ
イン名の入力により、ある特定のグループ構成員の認
証、一人について複数の認証、その組み合わせた認証を
も実現できることになる。
【0061】[他のWEBサービス提供装置との連携
(特にユーザ主導の場合を例として)]ここで、現にW
EBサービス提供装置4からサービスの提供を受けてい
る場合に、他のWEBサービス提供装置5に格納してあ
る個人情報を、当該受けているサービスの提供に利用す
る場合を例として、更に、説明する。図5は、その場合
の、他のWEBサービス提供装置利用処理手順の概要で
ある。
【0062】かかる図のように、かかる手順では、更
に、他のWEBサービス提供装置5との間でもやり取り
がなされ、ST6−1乃至6−16の処理を行うことに
より、他のWEBサービス提供装置5に蓄積された個人
情報を、(従来、一般には必要とされた認証等なしに)
利用可能にする。
【0063】ST6−1として、WEBサービス提供装
置4は、ユーザ側からサービス要求を受けると[S41
に該当。]、ユーザに対してある情報の入力を求める。
更に、連携可能な他のWEBサービス提供装置があれば
その旨通知する。[S42に該当。] ST6−2として、ユーザが現利用のWEBサービス提
供装置4内のサービスメニューから他のWEBサービス
提供装置(図5では、他のWEBサービス提供装置5が
それに該当する。)との連携を選択する[S43に該
当。]。
【0064】ST6−3として、現利用WEBサービス
提供装置4は、連携可能な他のWEBサービス提供装置
(図5では、他のWEBサービス提供装置5がそれに該
当する。)の識別子を通信装置1に対して送付する[S
44に該当。]。
【0065】ST6−4として、通信装置1は、かかる
連携可能な他のWEBサービス提供装置とユーザが現に
登録済みの(即ち、利用可能な)WEBサービス提供装
置とが一致するものを選び(論理積をとるなどして)、
それ(ら)を連携可能なWEBサービス提供装置として
ユーザに提示し、何れのWEBサービス提供装置に格納
された情報を用いるかを選択させる。
【0066】ST6−5として、ユーザが利用する他の
WEBサービス提供装置を選択し(ここでは、図5に示
してある、他のWEBサービス提供装置5を選択したも
のとする。)、通信装置1に対して通知する。ST6−
6として、その通知を受けた通信装置1は、利用する他
のWEBサービス提供装置の識別子を現利用のWEBサ
ービス提供装置4に通知する[S45に該当。]一方
で、ユーザは利用するWEBサービス提供装置を直接選
択する。
【0067】ST6−7として、現利用のWEBサービ
ス提供装置4は、他のWEBサービス提供装置5から獲
得する情報について、如何なる情報を獲得するのか、更
にはユーザから情報を得る必要がある場合には、ユーザ
にかかる情報の選択を要求し[S46に該当。]、かか
る情報をも獲得する[S47に該当。]。ST6−8と
して、ユーザの選択等により獲得された情報を元に、現
WEBサービス提供装置4は、他のWEBサービス提供
装置5の識別情報、それに対する要求コマンド−直接又
は間接的なデータベース操作コマンド−を獲得する。
【0068】ST6−9として、現WEBサービス提供
装置4は、他のWEBサービス提供装置5の識別情報と
要求コマンドとを、現WEBサービス提供装置4の秘密
鍵で暗号化し、更に自己の識別子を付加したものを他の
WEBサービス提供装置5の公開鍵により暗号化を行っ
て、それに他のWEBサービス提供装置5のURL(及
び識別情報)を付加した情報を通信装置1に送信する。
[S48に該当。]
【0069】ST6−10として、通信装置1は、現W
EBサービス提供装置4より送られた情報から他のWE
Bサービス提供装置5に対するURL情報を抜き取り、
残りの情報を「単一秘密鍵とログイン名により導出され
る秘密鍵」を用いて暗号化する。更に、当該暗号化した
情報にユーザIDに付加する。そして、その付加して加
工された結果(情報)を、その抜き取ったURL(他の
WEBサービス提供装置5)に対して送信し、情報を要
求する。[S49に該当。]
【0070】ST6−11として、他のWEBサービス
提供装置5では、付加されているユーザIDより、利用
者、即ちユーザ登録者であるか確認する。ST6−12
として、ST6−11における確認にて、付されたユー
ザIDが登録者でなければ、その旨他のWEBサービス
提供装置5の秘密鍵を用いて署名しユーザに返送する。
【0071】ST6−13として、ST6−11におけ
る確認にて、登録者であれば、自己のデータベースか
ら、その付されたユーザIDを元にユーザIDの公開鍵
を取得し、該公開鍵により送信された情報を復号し、更
に(当該復号した)当該送信された情報を自己の秘密鍵
を用いて復号し、当該復号により得られた情報提供先で
あるWEBサービス提供装置4の識別情報を元に、その
WEBサービス提供装置4の公開鍵を(認証機関3又は
独自のデータベースより)取得し、該公開鍵により更に
復号する。
【0072】かかる処理を行うことにより、他のWEB
サービス提供装置5は情報の要求元及び要求されている
データ(データベース操作コマンド)に関する情報を取
得し、その要求されている(データベース操作コマン
ド)に関する情報を用いて、要求元に返送する為の情報
を、自己のデータベースから取得し、かようにして得ら
れた情報とそれらに関する情報を、自己の秘密鍵で暗号
化し、更にユーザIDの公開鍵で暗号化し、通信装置1
に送信する[S50に該当。]。(以上がST6−13
である。)
【0073】ST6−14として、通信装置1は当該送
信された情報を「単一秘密鍵とログイン名により導出さ
れる秘密鍵」を用いて復号する(その結果を「結果情
報」とする。)、また、更に他のWEBサービス提供装
置5の公開鍵を用いて復号して得たデータの説明を、ユ
ーザに対して提示し、かかる情報を現WEBサービス提
供装置4に送信してよいかの確認をユーザに対して求め
る。
【0074】ST6−15として、ST6−14にてユ
ーザが不許可とした場合には、現WEBサービス提供装
置4に対して情報を提供できない旨通知する一方、許可
した場合には、現WEBサービス提供装置4に対して前
述の結果情報を送信する[S51に該当。]。ST6−
16として、現WEBサービス提供装置4は、送信され
た結果情報を、他のWEBサービス提供装置5の公開鍵
で復号して得られた情報を用いて、現在提供しているサ
ービスに反映させる。尚、このとき用いられた要求コマ
ンドをユーザの要求コマンドの履歴として記述してお
き、情報の更新を容易ならしめることも可能である。
【0075】[証明書の破棄と更新]ところで、通信装
置1の利用の停止、紛失、秘密鍵の漏洩などにより、単
一秘密鍵が通信装置1の利用者認証のツールとして使用
し得なくなると、証明書の破棄又は更新を行うことにな
る。
【0076】証明書の破棄については、「ユーザから
の秘密鍵利用中止の申請を受けて、通信装置1提供者が
指定した認証機関3が、登録ユーザの利用停止を自己の
データベースに反映させ、更には、データベースから
獲得されるそのユーザが利用しているWEBサービス情
報を元に、登録している全てのWEBサービス提供装置
4、5に対して、ユーザIDの失効を、当該認証機関3
の署名と共に送信を行う。
【0077】当該送信を受けたWEBサービス提供装
置4、5においては、署名の有効性を確認し、ユーザI
Dの公開鍵の破棄を行う。このとき、ユーザによる利
用中止の申請が一つのユーザIDに関するものでなく、
その通信装置1そのものの場合には、その通信装置1に
係る全てのユーザIDに対してかかる利用中止処理を行
う。」という、手順にて行われる。
【0078】証明書の更新については、「ユーザから
の通信装置1の変更申請を受けて、通信装置1提供者が
指定した認証機関3が、ユーザに対して新たな通信装置
1を提供する。そして、データベースに登録されてい
るログイン名を新たな通信装置1に登録し、公開鍵と新
たなユーザIDを取得する。
【0079】データベース内のかかる通信装置1を利
用している全てのユーザのデータを、新しい通信装置1
に変更する。全てのユーザIDに対して、ユーザが登
録しているWEBサービス提供装置を抽出し、ユーザが
登録している全てのWEBサービス提供装置に対して、
ユーザIDの更新(公開鍵の更新)に関する情報を認証
機関3の署名と共に送信する。」という、手順にて行わ
れる。
【0080】以上、本発明の実施の形態を説明したが、
本発明の目的を達し、下記する効果を奏する範囲におい
て、適宜変更して実施可能である。
【0081】
【発明の効果】本発明によれば、耐タンパ性記憶装置に
格納されている単一秘密鍵から、ユーザの入力情報と共
にその入力情報に応じて作成されるユーザIDに対して
秘密鍵と公開鍵の対を作成するようにしたので、複数の
ユーザ又は同一のユーザであってもその認証場面に応じ
て認証を行え、しかもその作成した秘密鍵は記憶するこ
となく必要に応じて同様に作成するようにし、当該対の
作成はその秘密鍵による暗号化及び復号を行うCPU内
でのみ行う様にしたので、セキュリティが極めて高いも
のとなる、という顕著な効果を発揮する。
【図面の簡単な説明】
【図1】本発明の実施形態の一つである、単一秘密鍵に
よる複数認証装置を、通信装置として示した場合の内部
構成図である。
【図2】本発明の実施形態の一つである、単一秘密鍵に
よる複数認証方法における、ログインID登録処理につ
いての概念図である。
【図3】本発明の実施形態の一つである、単一秘密鍵に
よる複数認証方法における、登録処理についての概念図
である。
【図4】本発明の実施形態の一つである、単一秘密鍵に
よる複数認証方法における、認証処理についての概念図
である。
【図5】本発明の実施形態の一つである、単一秘密鍵に
よる複数認証方法を用いたWEBサービス利用方法にお
ける、他のWEBサービス提供装置利用処理についての
概念図である。
【符号の説明】
1…通信装置 11…耐タンパ性記憶装置 12…記憶装置 13…CPU 14…ネットワーク接続部 15…通信機能 16…端末接続部 2…ユーザ端末 3…認証機関 4…WEBサービス提供装置 5…他のWEBサービス提供装置
───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.7 識別記号 FI テーマコート゛(参考) H04L 9/00 673A 621A (72)発明者 水野 伸太郎 東京都千代田区大手町二丁目3番1号 日 本電信電話株式会社内 Fターム(参考) 5B085 AE01 AE08 AE29 BA06 BC01 BG02 5J104 AA07 KA01 KA05 MA01 NA37

Claims (11)

    【特許請求の範囲】
  1. 【請求項1】単一秘密鍵により複数認証を可能にする装
    置であって、 当該装置固有の単一秘密鍵を格納した耐タンパ性が確保
    された耐タンパ性記憶装置と、ユーザにより入力された
    入力情報を元にユーザIDを作成し、当該作成されたユ
    ーザIDに対し当該耐タンパ性記憶装置に格納された単
    一秘密鍵と当該入力情報とを用いて、公開鍵及び秘密鍵
    の作成を行うと共に、当該作成された公開鍵をその際決
    定されるユーザIDと共に認証機関に登録させるCPU
    とを具備する、 ことを特徴とする単一秘密鍵による複数認証装置。
  2. 【請求項2】前記入力情報は、 前記装置の使用につき許諾の判断基準となるパスワード
    と、前記CPUにより前記ユーザID作成の際の基準と
    なるログイン名とである、 ことを特徴とする請求項1に記載の単一秘密鍵による複
    数認証装置。
  3. 【請求項3】前記装置は、 ユーザIDの秘密鍵による暗号化又は復号の処理が必要
    になると、再現可能な方式に基き当該必要となる秘密鍵
    がその度に作成され、かつ当該作成された秘密鍵により
    暗号化又は復号の処理をも行う前記CPUを具備する、 ことを特徴とする請求項1又は2に記載の単一秘密鍵に
    よる複数認証装置。
  4. 【請求項4】前記装置は、 ユーザID毎に入力された個人情報を格納する記憶装置
    をも具備する、 ことを特徴とする請求項1、2又は3に記載の単一秘密
    鍵による複数認証装置。
  5. 【請求項5】単一秘密鍵により複数認証を行う方法であ
    って、 既に耐タンパ性記憶装置に記憶された単一秘密鍵とユー
    ザが入力した入力情報とを元にして、ユーザID及びそ
    の公開鍵を新たに作成し、認証機関に対して当該作成し
    た公開鍵をその際決定されるユーザIDと共に登録する
    ことにより、 それ以後、当該ユーザIDが使用される場合には、その
    公開鍵及びそれに対応する秘密鍵とを用いて、認証がな
    される、 ことを特徴とする単一秘密鍵による複数認証方法。
  6. 【請求項6】前記対応する秘密鍵は、 特定の場所に格納されることなく、必要となる度に、再
    現可能に作成されて暗号化又は復号の用に供される、 ことを特徴とする請求項5に記載の単一秘密鍵による複
    数認証方法。
  7. 【請求項7】前記方法は、 前記新たにユーザID及びその公開鍵を作成した後に、 ユーザが入力したユーザの個人情報を、そのユーザID
    毎に書換え可能に格納し、それ以後同一の入力情報の入
    力があった場合に備える、 ことを特徴とする請求項5又は6に記載の単一秘密鍵に
    よる複数認証方法。
  8. 【請求項8】前記格納は、 異なるユーザIDであっても、同一のユーザであれば、
    同一のメモリ空間に書換え可能になされる、 ことを特徴とする請求項7に記載の単一秘密鍵による複
    数認証方法。
  9. 【請求項9】前記認証機関への登録は、 ログインしたユーザ専用のIDにつき、ユーザから匿名
    IDの希望がある場合に備えて当該認証機関に準備して
    ある、匿名用ID空間から割当てられ、当該割当てられ
    たユーザIDが前記登録されて用いられる、 ことを特徴とする請求項5、6、7又は8に記載の単一
    秘密鍵による複数認証方法。
  10. 【請求項10】ユーザ端末に接続された通信装置に格納
    された単一秘密鍵にて複数認証を可能にする方法であっ
    て、 前記ユーザ端末から前記通信装置に対して、ログイン名
    を入力して、当該入力したログイン名の追加処理を要求
    する第一ステップと、 当該第一ステップを経た前記通信装置にて、当該要求に
    係るログイン名に対してユーザIDを作成すると共に、
    ログイン名と単一秘密鍵から、当該作成したユーザID
    の公開鍵を生成する第二ステップと、 当該第二ステップを経た前記通信装置にて、当該作成し
    たユーザID及び当該生成したユーザIDの公開鍵を、
    認証機関に登録させる第三ステップと、 を順次踏むことにより、単一秘密鍵による複数認証を行
    えるようにした、 ことを特徴とする単一秘密鍵による複数認証方法。
  11. 【請求項11】WEBサービスの利用に当たり入力され
    るログイン名を元に、通信装置、当該WEBサービスを
    提供する一以上のWEBサービス提供装置、認証機関と
    の間においてなされるやり取りにおいて、請求項5、
    6、7、8、9又は10に記載の単一秘密鍵による複数
    認証方法により作成された公開鍵と認証の度に作成され
    る秘密鍵とを用いることにより認証を行い、当該認証に
    成功した場合に限り当該WEBサービスの提供がなされ
    る、 ことを特徴とする単一秘密鍵による複数認証方法を用い
    たWEBサービス利用方法。
JP2002108358A 2002-04-10 2002-04-10 単一秘密鍵による複数認証装置及び方法並び該方法を用いたwebサービス利用方法 Pending JP2003304242A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002108358A JP2003304242A (ja) 2002-04-10 2002-04-10 単一秘密鍵による複数認証装置及び方法並び該方法を用いたwebサービス利用方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002108358A JP2003304242A (ja) 2002-04-10 2002-04-10 単一秘密鍵による複数認証装置及び方法並び該方法を用いたwebサービス利用方法

Publications (1)

Publication Number Publication Date
JP2003304242A true JP2003304242A (ja) 2003-10-24

Family

ID=29392161

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002108358A Pending JP2003304242A (ja) 2002-04-10 2002-04-10 単一秘密鍵による複数認証装置及び方法並び該方法を用いたwebサービス利用方法

Country Status (1)

Country Link
JP (1) JP2003304242A (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007135054A (ja) * 2005-11-11 2007-05-31 Felica Networks Inc 携帯通信装置,情報処理方法,およびコンピュータプログラム
JP2009253490A (ja) * 2008-04-03 2009-10-29 Nec Corp メモリシステムの暗号化方式
JP2011211593A (ja) * 2010-03-30 2011-10-20 Fujitsu Ltd 認証装置、暗号化装置、トークンデバイス、認証方法、および認証プログラム

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007135054A (ja) * 2005-11-11 2007-05-31 Felica Networks Inc 携帯通信装置,情報処理方法,およびコンピュータプログラム
JP2009253490A (ja) * 2008-04-03 2009-10-29 Nec Corp メモリシステムの暗号化方式
JP2011211593A (ja) * 2010-03-30 2011-10-20 Fujitsu Ltd 認証装置、暗号化装置、トークンデバイス、認証方法、および認証プログラム

Similar Documents

Publication Publication Date Title
US6993652B2 (en) Method and system for providing client privacy when requesting content from a public server
KR101265873B1 (ko) 분산된 단일 서명 서비스 방법
EP2351316B1 (en) Method and system for token-based authentication
US5818936A (en) System and method for automically authenticating a user in a distributed network system
US20080155267A1 (en) Identity management system with an untrusted identity provider
US8117438B1 (en) Method and apparatus for providing secure messaging service certificate registration
US20200412554A1 (en) Id as service based on blockchain
JP5602165B2 (ja) ネットワーク通信を保護する方法および装置
MXPA04007546A (es) Metodo y sistema para proporcionar una tercera autenticacion de autorizacion.
CN101405759A (zh) 用户中心私人数据管理的方法和设备
MXPA04007547A (es) Sistema y metodo para proporcionar un protocolo de manejo de clave con verificacion de cliente de autorizacion.
US20080155664A1 (en) Identity management system with an untrusted identity provider
JP5992535B2 (ja) 無線idプロビジョニングを実行するための装置及び方法
JPH08297638A (ja) 利用者認証方式
EP2414983B1 (en) Secure Data System
JPH05333775A (ja) ユーザ認証システム
JP5495194B2 (ja) アカウント発行システム、アカウントサーバ、サービスサーバおよびアカウント発行方法
JPH08335208A (ja) 代理認証方法及びシステム
JP3914193B2 (ja) 認証を得て暗号通信を行う方法、認証システムおよび方法
JP2007074745A (ja) 認証を得て暗号通信を行う方法、認証システムおよび方法
JP2003304242A (ja) 単一秘密鍵による複数認証装置及び方法並び該方法を用いたwebサービス利用方法
JPH08335207A (ja) ネットワークユーザ認証方法
RU2386220C2 (ru) Способ и устройство для аутентификации и конфиденциальности
JP2007043750A (ja) 認証を得て暗号通信を行う方法、認証システムおよび方法
KR20050001173A (ko) 응용 서비스 시스템에서의 인증서 발급인가 서비스 장치및 그 방법