JP2006185227A - 認証システムおよび同システムにおける認証情報委譲方法ならびにセキュリティデバイス - Google Patents
認証システムおよび同システムにおける認証情報委譲方法ならびにセキュリティデバイス Download PDFInfo
- Publication number
- JP2006185227A JP2006185227A JP2004378653A JP2004378653A JP2006185227A JP 2006185227 A JP2006185227 A JP 2006185227A JP 2004378653 A JP2004378653 A JP 2004378653A JP 2004378653 A JP2004378653 A JP 2004378653A JP 2006185227 A JP2006185227 A JP 2006185227A
- Authority
- JP
- Japan
- Prior art keywords
- information
- authentication
- server
- random number
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
【解決手段】 セキュリティデバイス1が、サーバ3を介して発行される認証情報を基にサーバ3と共通鍵を共有する秘密鍵情報を暗号化した情報を生成し、電子署名を施して一時的な認証情報を生成してクライアント2に転送する。クライアント2は、サービスの利用にあたり、サーバ3との間で一時的な認証情報を用いて相互認証を行う。
【選択図】 図1
Description
但し、その方式は、常に利用者の手元で簡単にできることが望ましいが、このとき、利用者によって不正な情報が書き込まれる可能性がある。このように安全性と利便性はトレードオフの関係にある。
委譲する際には、サーバ3と共通鍵(認証用のセッション鍵)を共有するための秘密情報を暗号化して隠蔽した特殊な電子チケット情報を生成し、その電子チケット情報に電子署名を施して委譲する。クライアント2とサーバ3間は、委譲されたSIを基に後述する認証プロトコルに従い相互認証を行う。
セキュリティデバイス1は、サーバ3を介して発行されるPIを基にサーバ3と共通鍵を共有する秘密鍵情報を暗号化した情報を生成し、この情報に電子署名を施して一時的な認証情報であるSIを生成し、このSIをクライアント2に転送して認証を促す認証制御手段10を備える。認証制御手段10は、乱数生成部11と、暗号化部12と、ハッシュ演算部13と、付加情報定義部14と、電子チケット生成部15と、電子署名付与部16と、SI転送部17と、PI格納部18と、公開鍵証明書格納部19で構成される。
一方、付加情報定義部14は、SIの有効期限他を定義して電子チケット生成部15へ供給する。電子チケット生成部15は、ユーザ識別情報、暗号化された乱数、有効期限情報他を連結して電子チケット情報を生成してSI転送部17へ供給する。SI転送部17は、電子チケット生成部15から出力される電子チケット情報に電子署名付与部16で電子署名が施された情報、ならびにハッシュ関数値、公開鍵証明書を連結してクライアント2に転送する機能を持つ。
以下、図3〜図5に示すフローチャートを参照しながら図1、図2に示す本発明実施形態の動作について詳細に説明する。
ユーザは、希望するクライアント(例えば、ホームコンピュータ、街頭にあるPC、レンタルした携帯端末等)に、PIが格納されたセキュリティデバイス1を操作することにより、SI(Secondary Information)の移譲処理を開始する。
上記により生成されるUid、E(R)、Infoを連結することで電子チケット生成部15により電子チケット情報が生成される(S35)。続いて電子署名付与部16では、この電子チケット情報にユーザの秘密鍵で署名を行い、SI転送部17へ供給する(S36)。SI転送部17は、上記した電子署名付きの電子チケット、k_auth、ユーザの公開鍵(証明書)の各情報を一時的な認証情報SIとして、サービスを利用するクライアント2に転送する。
クライアント2は、セキュリティデバイス1から転送されてきたSIを受信し、内蔵メモリ(図示せず)に格納する(図4、S41)。続いてユーザは、クライアント2を操作して、サービスを提供するサーバ3に対してサービス提供の要求を発行する(S42)。なお、サービスを提供するサーバ3の運用者は、PIを発行したサービス提供者と異なっていても良い。
次に、サーバ3は、乱数R’を生成してクライアント2に送信する(図5、S62)。また、サービスによっては、移譲してほしいサービスのID(Service ID)やサービス提供者の公開鍵(証明書)送信する場合もある。なお、事前にPI(公開鍵と秘密鍵のペアおよびUid)は発行してあるものとする(S61)。
また、乱数RとUidから鍵付きハッシュ関数により、k_authを計算する。ここで計算した、k_authに基づきMAC値を検証する(S67)。以上の全ての検証が成功した場合に正当なユーザだと判断する。次に、サーバ3は、、k_authと乱数R’’から、鍵付きハッシュ関数値(鍵はk_auth)を使ってMAC値(、k_auth,R’’)を生成してクライアント2に返信する(S68)。
以上のように、クライアント2およびサーバ3双方における正当性が確認された後、サービスが提供される。有効期限が切れた電子チケットはクライアント2によって自動的に消去される。なお、サービス提供時の認証プロトコルは、提供鍵を使ったものであれば他の方式でもかまわない。
図6に示されるように、クライアント2は、セキュリティデバイス1に対し、委譲してほしいサービスのID(Service ID)やサービス提供者の公開鍵証明書を送ったとする(S71)。これに対し、セキュリティデバイス1は、クライアント2に、乱数Rを鍵とする鍵付きハッシュ関数値k_authと、Uid、E(R)、Infoを連結した電子チケット情報、公開鍵証明書情報を送信する(S72)。
また、サーバ3はクライアント2に対して、第1の鍵付きハッシュ関数値(k_auth)と第3の乱数(R’’)から、鍵を第1の鍵付きハッシュ関数値(k_auth)とする第2の鍵付きハッシュ関数値(MAC)を利用して第1の鍵付きハッシュ関数値と第3の乱数(MAC(k_auth,R’’))を送信して認証を促す(S75)。クライアント2は、MAC(k_auth,R’’)を検証して正しければサーバ3が正当なサーバであると判断する。そして、サーバ3、クライアント2双方の正当性が確認されたときにサービスが提供される。
(1)PIの安全性を確保できる。すなわち、SIのみで認証が可能となるため、PIはオフライン環境下で安全に確保することが可能である。また、SIの有効期限を短く設定することで、SIの盗難に対してもリスクを最小化できる。例えば、常時携帯する携帯電話端末にはSIのみを入れておくことで、万が一の紛失や盗難にも対応できる。
(2)権限委譲ツールとしての利用が可能となる。すなわち、個人の紐つきが強い携帯電話端末にPIを格納しておき、他の端末には、都度、SIを委譲して利用する。このことにより、上記した移譲処理を使用すれば様々な端末へ一時的な権限委譲が可能である。例えば、公共の場に設置してあるPC、家庭のSTBへの権限委譲が考えられる。その他のアプリケーションとしては、来客時において、客に対して、一時的に権限を貸与するようなアプリケーションが考えられる。
(4)認証情報の一元管理が可能である。すなわち、様々な認証情報を単一の端末に委譲することにより、認証情報の一元管理が可能となる。例えば、所有する複数のクレジットカードに格納された認証情報を携帯端末に委譲すれば、携帯端末を持ち歩くだけで、様々なサービスを受けられるようになる。
(5)認証情報の統一が可能になる。すなわち、複数のプラットフォームにおいて、上記した移譲処理により統一された認証情報を使用可能にすることで、シームレスなサービス認証を実現する。例えば、携帯端末において認証に使用している情報をPCに移譲することで、PCにおいても同様のサービスを利用可能となる。
さらに、安全性を理論的に照明可能な本発明方法により従来よりも安全な認証基盤が実現できる。従って本発明は、サービスの安全性、利便性を大幅に向上させるため、CS(顧客満足度)の上昇に大きく貢献するものと考えられる。
Claims (7)
- メモリ内にユーザ認証情報が記憶されたセキュリティデバイスと、ユーザにサービスを提供するサーバと、前記セキュリティデバイスと通信を行うと共に、前記サーバとネットワークを介して接続されるクライアントとから成る認証システムであって、
前記セキュリティデバイスは、前記サーバを介して発行される認証情報を基に前記サーバと共通鍵を共有する秘密鍵情報を暗号化した情報を生成し、前記情報をもとにして一時的な認証情報を生成し、前記一時的な認証情報を前記クライアントに転送する手段を備え、
前記クライアントは、前記サービスの利用にあたり、前記サーバとの間で前記一時的な認証情報を用いて相互認証を行う手段を備える、
ことを特徴とする認証システム。 - メモリ内にユーザ認証情報が記憶されたセキュリティデバイスと、ユーザにサービスを提供するサーバと、前記セキュリティデバイスと通信を行うと共に、前記サーバとネットワークを介して接続されるクライアントとから成る認証システムにおける認証情報の委譲方法であって、
前記セキュリティデバイスが、前記サーバを介して発行される認証情報を基に前記サーバと共通鍵を共有する秘密鍵情報を暗号化した情報を生成し、前記情報をもとにして一時的な認証情報を生成し、前記一時で機名認証情報を前記クライアントに転送する第1のステップと、
前記クライアントが、前記サービスの利用にあたり、前記サーバとの間で前記一時的な認証情報を用いて相互認証を行う第2のステップと、
を有することを特徴とする認証システムにおける認証情報の委譲方法。 - 前記第1のステップは、
前記セキュリティデバイスにおいて、第1の乱数を生成し、前記第1の乱数をサービス提供者の公開鍵で暗号化するサブステップと、
前記第1の乱数とユーザ識別情報とを入力として前記乱数を鍵とする第1の鍵付きハッシュ関数値を計算するサブステップと、
前記認証情報の有効期限を定義するサブステップと、
前記ユーザ識別情報、前記暗号化された乱数、前記有効期限情報を連結して電子チケット情報を生成するサブステップと、
前記電子チケット情報にユーザの秘密鍵で電子署名を行うサブステップと、
前記電子署名が施された電子チケット情報を前記クライアントに転送するサブステップと、
を含むことを特徴とする請求項2に記載の認証システムにおける認証情報の委譲方法。 - 前記第2のステップは、
前記クライアントにおいて、前記転送される電子署名付き電子チケット情報と、前記第1の鍵付きハッシュ関数値と、ユーザの公開鍵証明書の情報を前記一時的な認証情報としてメモリに格納するサブステップと、
前記サーバにより生成され、送信される第2の乱数とは異なる第3の乱数を生成し、前記第2、第3の乱数と、ユーザ識別情報と、電子署名付き電子チケット情報と、ユーザの公開鍵証明書情報と、前記第1の鍵付きハッシュ関数値とを入力とし、前記第1の鍵付きハッシュ関数値を鍵とする第2の鍵付きハッシュ関数値を生成するサブステップと、
前記第2、第3の乱数と、前記電子チケット情報と、前記ユーザの公開鍵証明書情報と、前記第2の鍵付きハッシュ関数値とを前記サーバへ送信して認証を促すサブステップと、
を含むことを特徴とする請求項2または3に記載の認証システムにおける認証情報の委譲方法。 - 前記第2のステップは、
前記サーバにおいて、前記クライアントから送信される、前記第2、第3の乱数と、前記電子チケット情報と、前記ユーザの公開鍵証明書情報と、前記第2の鍵付きハッシュ関数値とを受信するサブステップと、
前記ユーザの公開鍵証明書、ならびに前記公開鍵を利用して電子チケット情報の電子署名を検証し、かつ、前記有効期限を確認するサブステップと、
前記電子チケット情報から暗号化された第1の乱数を取得し、自身の秘密鍵で復号して第1の乱数を取得するサブステップと、
前記第1の乱数とユーザ識別情報とから前記第1の乱数を鍵とする第1の鍵付きハッシュ関数値を計算し、前記第1の鍵付きハッシュ関数値に基づき前記第2の鍵付きハッシュ関数値を検証するサブステップと、
前記第1の鍵付きハッシュ関数値と前記第3の乱数から、鍵を第1の鍵付きハッシュ関数値とする第2の鍵付きハッシュ関数値を利用して前記第1の鍵付きハッシュ関数値と第3の乱数を生成して前記クライアントに送信して認証を促すサブステップと、
を更に含むことを特徴とする請求項4に記載の認証システムにおける認証情報の委譲方法。 - メモリ内にユーザ認証情報が記憶されたセキュリティデバイスと、ユーザにサービスを提供するサーバと、前記セキュリティデバイスと通信を行うと共に、前記サーバとネットワークを介して接続されるクライアントとから成る認証システムにおける前記セキュリティデバイスであって、
前記サーバを介して発行される前記認証情報を基に前記サーバと共通鍵を共有する秘密鍵情報を暗号化した情報を生成し、前記情報に電子署名を施して一時的な認証情報を生成し、前記一時的な認証情報を前記クライアントに転送して認証を促す認証制御手段、
を具備することを特徴とするセキュリティデバイス。 - 前記認証制御手段は、
乱数を生成する乱数生成部と、
前記乱数をサービス提供者の公開鍵で暗号化する暗号化部と、
前記乱数とユーザ識別情報を入力して前記乱数を鍵とする鍵付きハッシュ関数値を計算するハッシュ演算部と、
前記認証情報の有効期限を定義する負付加情報定義部と、
前記ユーザ識別情報、暗号化された乱数、有効期限情報を連結して電子チケット情報を生成する電子チケット生成部と、
前記電子チケット情報にユーザの秘密鍵で電子署名を行う電子署名付与部と、
前記電子署名が施された電子チケット情報を前記クライアントに転送する認証情報転送部と、
を具備することを特徴とする請求項6に記載のセキュリティデバイス。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004378653A JP4663315B2 (ja) | 2004-12-28 | 2004-12-28 | 認証システムおよび同システムにおける認証情報委譲方法ならびにセキュリティデバイス |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004378653A JP4663315B2 (ja) | 2004-12-28 | 2004-12-28 | 認証システムおよび同システムにおける認証情報委譲方法ならびにセキュリティデバイス |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2006185227A true JP2006185227A (ja) | 2006-07-13 |
JP4663315B2 JP4663315B2 (ja) | 2011-04-06 |
Family
ID=36738292
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004378653A Expired - Fee Related JP4663315B2 (ja) | 2004-12-28 | 2004-12-28 | 認証システムおよび同システムにおける認証情報委譲方法ならびにセキュリティデバイス |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4663315B2 (ja) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009130833A (ja) * | 2007-11-27 | 2009-06-11 | Nec Corp | 権限委譲システム、携帯端末、id管理サーバ、権限委譲方法および権限委譲プログラム |
JP2010072760A (ja) * | 2008-09-16 | 2010-04-02 | Ricoh Co Ltd | 認証機能連携機器、認証機能連携システム及び認証機能連携プログラム |
JP2017076413A (ja) * | 2016-11-24 | 2017-04-20 | 株式会社リコー | 情報処理装置、情報処理方法及びプログラム |
US10382439B2 (en) | 2016-03-18 | 2019-08-13 | Fuji Xerox Co., Ltd. | Information processing system, information processing apparatus, information processing method, and storage medium |
JP7367230B2 (ja) | 2020-03-09 | 2023-10-23 | ソニーグループ株式会社 | プライバシー保護署名 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004133916A (ja) * | 2002-09-20 | 2004-04-30 | Ricoh Co Ltd | サービス提供装置、サービス提供方法、サービス提供プログラム及び記録媒体 |
-
2004
- 2004-12-28 JP JP2004378653A patent/JP4663315B2/ja not_active Expired - Fee Related
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004133916A (ja) * | 2002-09-20 | 2004-04-30 | Ricoh Co Ltd | サービス提供装置、サービス提供方法、サービス提供プログラム及び記録媒体 |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009130833A (ja) * | 2007-11-27 | 2009-06-11 | Nec Corp | 権限委譲システム、携帯端末、id管理サーバ、権限委譲方法および権限委譲プログラム |
JP2010072760A (ja) * | 2008-09-16 | 2010-04-02 | Ricoh Co Ltd | 認証機能連携機器、認証機能連携システム及び認証機能連携プログラム |
US10382439B2 (en) | 2016-03-18 | 2019-08-13 | Fuji Xerox Co., Ltd. | Information processing system, information processing apparatus, information processing method, and storage medium |
JP2017076413A (ja) * | 2016-11-24 | 2017-04-20 | 株式会社リコー | 情報処理装置、情報処理方法及びプログラム |
JP7367230B2 (ja) | 2020-03-09 | 2023-10-23 | ソニーグループ株式会社 | プライバシー保護署名 |
Also Published As
Publication number | Publication date |
---|---|
JP4663315B2 (ja) | 2011-04-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108270571B (zh) | 基于区块链的物联网身份认证系统及其方法 | |
CN101300808B (zh) | 安全认证的方法和设置 | |
KR100721522B1 (ko) | 위치토큰을 이용한 위치기반 서비스 제공 방법 | |
CN101212293B (zh) | 一种身份认证方法及系统 | |
CN106713279B (zh) | 一种视频终端身份认证系统 | |
US8806206B2 (en) | Cooperation method and system of hardware secure units, and application device | |
CN108696360A (zh) | 一种基于cpk密钥的ca证书发放方法及系统 | |
CN101682505A (zh) | 用于安全通信的方法和系统 | |
JP2004032731A (ja) | 暗号を用いたセキュリティ方法、ならびにそれに適した電子装置 | |
CN104683107B (zh) | 数字证书保管方法和装置、数字签名方法和装置 | |
JP4823704B2 (ja) | 認証システムおよび同システムにおける認証情報委譲方法ならびにセキュリティデバイス | |
KR20000024445A (ko) | 전자서명을 이용한 사용자 인증기법과 무선 전자서명을이용한사용자 인증기법 및 휴대형 처리 도구 | |
CN101252432B (zh) | 一种基于域的数字权限管理方法、域管理服务器及系统 | |
JP4663315B2 (ja) | 認証システムおよび同システムにおける認証情報委譲方法ならびにセキュリティデバイス | |
CN111225001A (zh) | 区块链去中心化通讯方法、电子设备及系统 | |
JP4959152B2 (ja) | 認証システムおよび同システムにおける認証情報委譲方法 | |
JP4948789B2 (ja) | 認証システムにおける認証情報委譲方法およびセキュリティデバイス | |
JP2003298574A (ja) | 電子機器、認証局、電子機器認証システム、電子機器の認証方法 | |
KR100726074B1 (ko) | 무선 인터넷 사용자 인증 방법 및 시스템 | |
JP4350685B2 (ja) | 携帯端末装置および属性情報交換システム | |
JP4058035B2 (ja) | 公開鍵基盤システム及び公開鍵基盤方法 | |
JP2005086428A (ja) | 認証を得て暗号通信を行う方法、認証システムおよび方法 | |
JP2005318269A (ja) | 電子証明書管理システム、電子証明書管理方法、及び、サーバ | |
JP2005175879A (ja) | 認証システム及び認証装置及び管理装置 | |
JP2005123996A (ja) | デバイス間において認証用情報を委譲する情報処理方法及び情報処理システム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070905 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20071011 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20071011 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20101019 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20101129 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20101130 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20101220 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110105 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4663315 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140114 Year of fee payment: 3 |
|
LAPS | Cancellation because of no payment of annual fees |