JP2006244420A - Identification information generation management device, and its system and program - Google Patents

Identification information generation management device, and its system and program Download PDF

Info

Publication number
JP2006244420A
JP2006244420A JP2005063062A JP2005063062A JP2006244420A JP 2006244420 A JP2006244420 A JP 2006244420A JP 2005063062 A JP2005063062 A JP 2005063062A JP 2005063062 A JP2005063062 A JP 2005063062A JP 2006244420 A JP2006244420 A JP 2006244420A
Authority
JP
Japan
Prior art keywords
identification information
service
user
encryption key
management
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2005063062A
Other languages
Japanese (ja)
Other versions
JP4637612B2 (en
Inventor
Tatsu Watanabe
龍 渡辺
Ayumi Kubota
歩 窪田
Toshiaki Tanaka
俊昭 田中
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Research Inc
Original Assignee
KDDI R&D Laboratories Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI R&D Laboratories Inc filed Critical KDDI R&D Laboratories Inc
Priority to JP2005063062A priority Critical patent/JP4637612B2/en
Publication of JP2006244420A publication Critical patent/JP2006244420A/en
Application granted granted Critical
Publication of JP4637612B2 publication Critical patent/JP4637612B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To efficiently manage an ID which is generated and provided by a reliable third party for a service provider to identify a user when the user uses service. <P>SOLUTION: When generating an ID required for a previously registered user to use service, a specific code key is used for coding the log-in ID of the user to generate the ID for new service (an ID generating means 32). The code key is only held instead of the generated ID, and when there is an inquiry from a service provider server (the need exists for associating the user with the ID) the generated ID is decoded to be acquired (an ID managing means 33). <P>COPYRIGHT: (C)2006,JPO&NCIPI

Description

本発明は、ユーザ認証を行ってユーザがサービスを利用するためのサービス利用識別情報を生成し、管理する、識別情報生成管理装置およびシステムならびにプログラムに関する。   The present invention relates to an identification information generation management device, system, and program for generating and managing service use identification information for a user to use a service by performing user authentication.

インターネットの普及によりサービスを提供するプロバイダが増加し、また、認証機能が付加されたサービスの利用形態も多数出現するようになった。
例えば、ユーザの作業量軽減とサービス提供側の負担軽減を目的としてサービス内容を容易に変更できるように、利用目的に従う特有の情報をユーザIDと共に受信し、サーバが認証によりネットワークへの接続の可否を判断し、取得した利用目的に応じてサービス内容を変更するネットワーク接続装置が知られている(例えば、特許文献1参照)。 With the spread of the Internet, the number of providers providing services has increased, and many forms of using services with an authentication function have appeared.
For example, in order to easily change the service contents for the purpose of reducing the amount of work for the user and reducing the burden on the service provider side, specific information according to the purpose of use is received together with the user ID, and whether the server can connect to the network through authentication There is known a network connection device that determines the service content and changes the service content according to the acquired purpose of use (see, for example, Patent Document 1).

また、ユーザとプロバイダとの間に信頼のおける第三者機関(TTP:Trusted Third Party)が存在し、そのTTPがユーザとサービスを管理する形態も存在する(例えば、非特許文献1参照)。
具体的に、ユーザとサービスは、それぞれTTPに登録されており、ユーザがあるサービスを利用したい場合、TTPに対してサービス利用のためのID(識別情報)生成要求を発行する。これに対し、TTPはユーザを認証した上で、ユーザの要求に従ってサービスを利用するためのIDを生成し、ユーザ(またはサービス提供者の両方)に対して生成されたIDを提供する。そしてユーザは提供されたIDをサービス提供者に提示し、サービス提供者では提示されたIDをもとにユーザを識別してユーザに所定のサービスを提供する。このとき、サービス提供者は、ユーザが誰であるかを感知する必要がない。
特開2002−111744号公報 2005年2月5日閲覧、インターネットURL<HTTP://magazine.fujitsu.com/vol48-2/03-3/html>「ネットワークコンピューティングにおけるセキュリティ技術」 In addition, there is a trusted third party (TTP) between the user and the provider, and there is a form in which the TTP manages the user and the service (see, for example, Non-Patent Document 1).
Specifically, the user and the service are each registered in the TTP, and when the user wants to use a certain service, an ID (identification information) generation request for using the service is issued to the TTP. On the other hand, after authenticating the user, the TTP generates an ID for using the service according to the user's request, and provides the generated ID to the user (or both of the service providers). Then, the user presents the provided ID to the service provider, and the service provider identifies the user based on the presented ID and provides the user with a predetermined service. At this time, the service provider does not need to sense who the user is.
JP 2002-111744 A Accessed on February 5, 2005, Internet URL <HTTP://magazine.fujitsu.com/vol48-2/03-3/html> “Security Technology in Network Computing”

上記のようなサービス利用形態において、TTPがサービスに対してユーザの身元を保証するためには、例えば、ユーザが不正な行為を行った場合等、何らかの問題があった場合、サービス提供者からの要請に従って、サービスに使用されたIDの使用者(=ユーザ)の身元を開示する必要がある。このため、TTPは、IDとその使用者であるユーザとの対応付けを管理しておく必要があった。
しかしながら、TTPに登録されているユーザとサービス提供者の数が多い場合、TTPが生成し提供するIDの数は膨大な数にのぼり、生成したIDを全てデータベースに保存することは管理の効率上好ましくない。 In the service usage form as described above, in order for TTP to guarantee the identity of the user to the service, for example, when there is some problem such as when the user performs an illegal act, According to the request, it is necessary to disclose the identity of the user (= user) of the ID used for the service. For this reason, the TTP needs to manage the association between the ID and the user who is the user.
However, when the number of users and service providers registered in TTP is large, the number of IDs generated and provided by TTP is enormous, and storing all the generated IDs in the database is effective for management efficiency. It is not preferable.

本発明は、上記事情に基づいてなされたものであり、ユーザがサービスを利用する際、サービス提供者がユーザを識別するためのIDを信頼のおける第三者機関が生成し提供する場合に、提供したIDを効率良く管理することのできる、識別情報生成管理装置およびシステムならびにプログラムを提供することを目的とする。   The present invention has been made based on the above circumstances, and when a user uses a service, a reliable third-party organization generates and provides an ID for identifying the user by the service provider. An object of the present invention is to provide an identification information generation management device, system, and program capable of efficiently managing provided IDs.

上記した課題を解決するために本発明は、ユーザ端末とサービス提供サーバとはネットワークを介して接続され、ユーザ認証を行ってユーザがサービスを利用するためのサービス利用識別情報を生成し管理する識別情報生成管理装置であって、前記ユーザ端末から識別情報生成要求を受信し、登録済みのログイン情報を暗号化して前記サービス利用識別情報を生成し、応答するサービス識別情報生成手段と、前記サービス提供サーバから、ユーザと前記生成したサービス利用識別情報との対応付けについての問い合わせを受信したときに前記暗号化のときに使用した暗号鍵を用いて前記サービス利用識別情報を復号化して応答する識別情報管理手段と、を具備することを特徴とする。   In order to solve the above-described problems, the present invention provides an identification in which a user terminal and a service providing server are connected via a network, and user authentication is performed to generate and manage service usage identification information for the user to use the service. An information generation management device, which receives an identification information generation request from the user terminal, encrypts registered login information to generate the service usage identification information, and responds with service identification information generation means, and the service provision Identification information that responds by decrypting the service usage identification information using the encryption key used at the time of the encryption when receiving an inquiry about the association between the user and the generated service usage identification information from the server And a management means.

また、本発明において、前記識別情報生成手段は、登録済みのユーザとサービス利用識別情報のビット結合列を生成し、あらかじめ用意された唯一の暗号鍵を用いて暗号化し、前記識別情報管理手段は、前記ビット結合列を前記暗号鍵により復号化して前記ビット結合列のユーザとサービス利用識別情報との対応付けを出力すること、を特徴とする。   In the present invention, the identification information generating means generates a bit combination string of registered users and service use identification information, encrypts it using a unique encryption key prepared in advance, and the identification information management means The bit combination sequence is decrypted with the encryption key, and the correspondence between the user of the bit combination sequence and service use identification information is output.

また、本発明において、前記識別情報生成手段は、前記ビット結合列に、更に、現在時刻情報もしくは乱数情報を付加して前記サービス利用識別情報を生成することを特徴とする。   In the present invention, the identification information generating means generates the service usage identification information by adding current time information or random number information to the bit combination sequence.

また、本発明において、前記識別情報生成手段は、鍵データベースに格納される、サービス毎にあらかじめ用意された暗号鍵の一つを用いて前記サービス利用識別情報を暗号化し、前記識別情報管理手段は、前記暗号化されたサービス利用識別情報と、利用されるサービスを受信し、データベースを参照して前記サービスに対応する暗号鍵を取得し、当該暗号鍵を用いて前記暗号化されたサービス利用識別情報を復号化し、ユーザとの対応付けを出力することを特徴とする。   Further, in the present invention, the identification information generating means encrypts the service use identification information using one of encryption keys prepared in advance for each service stored in a key database, and the identification information management means Receiving the encrypted service usage identification information and the service to be used, obtaining an encryption key corresponding to the service by referring to a database, and using the encryption key to encrypt the service usage identification The information is decrypted, and the association with the user is output.

また、本発明は、ユーザ端末と、サービス提供サーバと、ユーザ認証を行いユーザがサービスを利用するためのサービス利用識別情報を生成し管理する管理サーバとが、ネットワークを介して接続される識別情報生成管理システムであって、前記管理サーバは、登録済みのログイン情報を暗号化して前記サービス利用識別情報を生成し応答するサービス識別情報生成手段と、前記暗号化のときに使用した暗号鍵を用いて前記サービス利用識別情報を復号化して応答する識別情報管理手段から成り、前記前記ユーザ端末から識別情報生成要求を受信したときにサービス識別情報生成手段が、前記登録済みのログイン情報を暗号化して前記サービス利用識別情報を生成して応答し、前記サービス利用端末からユーザと前記生成したサービス利用識別情報との対応付けについての問い合わせを受信したときに、前記サービス識別情報管理手段が、前記暗号化のときに使用した暗号鍵を用いて前記サービス利用識別情報を復号化して応答することを特徴とする。   In addition, the present invention provides identification information in which a user terminal, a service providing server, and a management server that performs user authentication and generates and manages service usage identification information for a user to use a service are connected via a network. In the generation management system, the management server uses service identification information generating means for encrypting registered login information to generate and respond to the service use identification information, and an encryption key used at the time of the encryption. An identification information management unit that decrypts and responds to the service use identification information, and when receiving an identification information generation request from the user terminal, the service identification information generation unit encrypts the registered login information. The service usage identification information is generated and responded, and the user and the generated service usage identification are received from the service usage terminal. The service identification information management means responds by decrypting the service use identification information using the encryption key used at the time of encryption when receiving an inquiry about the association with information. To do.

また、本発明は、ユーザ端末と、サービス提供サーバとは、ネットワークを介して接続され、ユーザ認証を行ってユーザがサービスを利用するためのサービス利用識別情報を生成し管理する識別情報生成管理装置に用いられるプログラムであって、前記ユーザ端末から識別情報生成要求を受信し、登録済みのログイン情報を暗号化して前記サービス利用識別情報を生成し、応答する処理と、前記サービス提供サーバから、ユーザと前記生成したサービス利用識別情報との対応付けについての問い合わせを受信したときに前記暗号化のときに使用した暗号鍵を用いて前記サービス利用識別情報を復号化して応答する処理と、をコンピュータに実行させることを特徴とする。   In addition, the present invention provides an identification information generation and management apparatus in which a user terminal and a service providing server are connected via a network and perform user authentication to generate and manage service usage identification information for the user to use the service. Processing for receiving an identification information generation request from the user terminal, encrypting registered login information to generate the service use identification information, and responding, and from the service providing server, And a process of responding by decrypting the service usage identification information using the encryption key used at the time of encryption when receiving an inquiry about the association between the generated service usage identification information and the computer. It is made to perform.

本発明によれば、あらかじめ登録されたユーザがあるサービスを利用するために必要とする識別情報(以下、単にサービス利用IDという)を識別情報生成管理装置が生成する際に、ユーザのログインIDを固有の暗号鍵を用いて暗号化することで新しいサービス利用のためのIDを生成し、また、生成したIDを保持することなく暗号鍵のみを保持し、サービス提供サーバから問合せがあったときに(ユーザと生成したIDとの対応づけを必要とする場合)、生成したIDを復号化して取得することで暗号技術を用いてIDを生成するため生成されたIDとIDのユーザとの関連付けはIDを復号化することで把握でき、このことにより、識別情報生成管理装置は、生成したIDを全てデータベース等により管理する必要はなくなり、暗号鍵のみを保持すれば済むため必要とするデータベース量を小さくすることができる。従って、IDを効率良く管理することが可能になる。
また、IDを生成する際に、ユーザのログインIDに、例えば、生成した時刻、あるいは乱数などの情報を付与しておけば、必ずユニークなIDになると共に、IDを復号化したときに付加された情報をも取得することができる。 According to the present invention, when the identification information generation management device generates identification information (hereinafter, simply referred to as a service usage ID) required for a user registered in advance to use a certain service, the login ID of the user is set. An ID for using a new service is generated by encrypting using a unique encryption key, and only the encryption key is stored without storing the generated ID. (When it is necessary to associate the user with the generated ID), the generated ID and the user of the ID are associated with each other by generating the ID by using the encryption technique by decrypting and acquiring the generated ID. The ID can be grasped by decrypting the ID, and this eliminates the need for the identification information generation management device to manage all the generated IDs using a database or the like. Only it is possible to reduce the database amount required for need be retained. Therefore, IDs can be managed efficiently.
In addition, when generating an ID, if information such as the time of generation or a random number is given to the login ID of the user, for example, the ID is always unique and added when the ID is decrypted. Information can also be obtained.

図1は、本発明実施形態に係る識別情報生成管理システムのシステム構成の一例を示す図である。
本発明の識別情報生成管理システムは、ユーザ端末1と、サービス提供サーバ(SPサーバ2)と、ユーザ認証を行いユーザがサービスを利用するためのサービス利用IDを生成し管理する管理サーバ(TTPサーバ3)とで構成され、上記したそれぞれの装置1、2、3は、ネットワーク4を介して接続される。 FIG. 1 is a diagram showing an example of a system configuration of an identification information generation management system according to an embodiment of the present invention.
The identification information generation management system of the present invention includes a user terminal 1, a service providing server (SP server 2), and a management server (TTP server) that generates and manages a service use ID for performing user authentication and using the service by the user. 3), and the above-described devices 1, 2, and 3 are connected via the network 4.

TTPサーバ3は、後述するように、ユーザの登録済みのログイン情報を暗号化してサービス利用IDを生成し、応答するサービスID生成手段と、暗号化のときに使用した暗号鍵を用いてサービス利用IDを復号化して応答する識別情報管理手段から成り、ユーザ端末1からID生成要求を受信したときに、サービスID生成手段が、登録済みのログイン情報を暗号化してサービス利用IDを通知(応答)し、SPサーバ2からユーザと生成したサービス利用IDとの対応付けについての問い合わせを受信したときに、サービスID管理手段が、暗号化のときに使用した暗号鍵を用いてサービス利用IDを復号化して応答する。
なお、ユーザ端末1とSPサーバ2は、TTPサーバ3により認証され通知されるサービスIDに従い、サービス利用およびサービス提供を行う。 As will be described later, the TTP server 3 encrypts the user's registered login information to generate a service usage ID, and uses the service ID generation means to respond and the service usage using the encryption key used at the time of encryption. It consists of identification information management means that decrypts and responds to an ID, and when receiving an ID generation request from the user terminal 1, the service ID generation means encrypts the registered login information and notifies the service use ID (response) When the inquiry about the association between the user and the generated service usage ID is received from the SP server 2, the service ID management means decrypts the service usage ID using the encryption key used at the time of encryption. Respond.
Note that the user terminal 1 and the SP server 2 perform service use and service provision according to the service ID authenticated and notified by the TTP server 3.

図2は、本発明実施形態に係る識別情報生成管理装置(図1に示すTTPサーバ3)の内部構成を機能展開して示したブロック図である。
本発明の識別情報生成管理装置は、通信管理部31と、ID生成部32と、ID管理部33と、鍵DB(Data Base)34と、ユーザDB35と、サービスDB36で構成される。 FIG. 2 is a block diagram showing a functional development of the internal configuration of the identification information generation management device (TTP server 3 shown in FIG. 1) according to the embodiment of the present invention.
The identification information generation management device of the present invention includes a communication management unit 31, an ID generation unit 32, an ID management unit 33, a key DB (Data Base) 34, a user DB 35, and a service DB 36.

通信管理部31は、ユーザ端末1からID生成要求を受信してTTPサーバ3により生成されるサービス利用IDを送信する他に、SPサーバ2からユーザに関する問い合わせを受信してTTPサーバ3により検索出力されるユーザ情報を応答する機能を持つ。
ID生成部32は、ユーザ端末1から通信管理部31を介してID生成要求を受信し、登録済みのログイン情報を暗号化してサービス利用IDを生成し、応答する請求項に示すID生成手段として機能し、ID管理部33は、SPサーバ2から、ユーザと生成したサービス利用IDとの対応付けに関する情報ついての問い合わせを受信したときに、先に暗号化のときに使用した暗号鍵を用いてサービス利用IDを復号化して応答する請求項に記載のID管理手段として機能する。なお、鍵DB34には上記した暗号鍵が、ユーザDB35には、購買記録等ユーザに係る個人情報が、サービスDB36には、サービス内容にかかわるサービス情報が保存される。 The communication management unit 31 receives an ID generation request from the user terminal 1 and transmits a service use ID generated by the TTP server 3, and also receives an inquiry about the user from the SP server 2 and retrieves and outputs the inquiry from the TTP server 3. Has a function to respond to user information.
The ID generation unit 32 receives an ID generation request from the user terminal 1 via the communication management unit 31, encrypts the registered login information, generates a service use ID, and responds as an ID generation unit shown in the claims The ID management unit 33 uses the encryption key previously used for encryption when receiving an inquiry from the SP server 2 regarding information relating to the association between the user and the generated service usage ID. It functions as an ID management means described in the claim that responds by decrypting the service use ID. The key DB 34 stores the encryption key, the user DB 35 stores personal information such as purchase records, and the service DB 36 stores service information related to service contents.

図3は、本発明の実施形態に係る動作を説明するために引用したシーケンス図であり、ID生成に係る部分の動作を抽出して示したものである。
以下、図3に示すシーケンス図を参照しながら図2に示す本発明の識別情報生成管理装置のID生成に係る動作を説明する。 FIG. 3 is a sequence diagram cited for explaining the operation according to the embodiment of the present invention, and shows the operation of the part related to ID generation.
Hereinafter, an operation related to ID generation of the identification information generation management apparatus of the present invention shown in FIG. 2 will be described with reference to the sequence diagram shown in FIG.

まず、サービス利用にあたり、ユーザ端末1は、TTPサーバ3に対してID生成要求を発行する(S31)。通信管理部31は、これを受信してユーザDB35を参照してユーザIDを取得し(S32、S33)、また、サービスDB36に対してサービスID取得要求を発行し、サービスDB36を参照してサービスIDを取得する(S34、S35)。更に、通信管理部31は、暗号鍵取得要求を発行し、鍵DB34を参照して暗号鍵を取得する(S36、S37)。
最後に、ユーザID、サービスID、暗号鍵を取得した通信管理部31は、ID生成部32に対してID生成要求(暗号化要求)を発行し(S38)、ID生成部32によるサービス利用IDのための暗号化処理を待ち、暗号化されたサービス利用IDを取得して(S39:ID生成応答)、要求のあったユーザ端末1に通知し、また、必要に応じてSP提供サーバ2にも通知する(S40)。 First, in using the service, the user terminal 1 issues an ID generation request to the TTP server 3 (S31). The communication management unit 31 receives this, acquires the user ID by referring to the user DB 35 (S32, S33), issues a service ID acquisition request to the service DB 36, and refers to the service DB 36 for service. ID is acquired (S34, S35). Furthermore, the communication management unit 31 issues an encryption key acquisition request and acquires the encryption key by referring to the key DB 34 (S36, S37).
Finally, the communication management unit 31 that has acquired the user ID, service ID, and encryption key issues an ID generation request (encryption request) to the ID generation unit 32 (S38). Waiting for encryption processing, obtains the encrypted service use ID (S39: ID generation response), notifies the requested user terminal 1 and, if necessary, sends it to the SP providing server 2 Is also notified (S40).

図4〜図6は、本発明実施形態の動作を説明するために引用したフローチャートであり、本発明のプログラムの処理手順も示している。ここでは、ID生成方法について3つの例が示されている。
以下、それぞれのフローチャートについて詳細説明を行うが、以下の説明に出てくる記号を定義すれば以下のようになる。すなわち、TTPは信頼のおける第三者機関、UはTTPに登録されているユーザ、SはTTPに登録されているサービス、ID_uはユーザUのTTPにおけるID、ID_sはサービスSの第三者機関TTPにおけるID、Kは第三者機関TTPが管理する暗号化鍵、K_sは第三者機関TTPが管理するサービスSのための暗号化鍵、ID_u_sは第三者機関TTPにより生成されたユーザUのサービスSのためのID、E_k()は鍵Kによる暗号化、D_k()は鍵Kによる復号化、Tは現在時刻、Rは乱数、STはビット結合列である。 FIGS. 4 to 6 are flowcharts cited for explaining the operation of the embodiment of the present invention, and also show the processing procedure of the program of the present invention. Here, three examples of the ID generation method are shown.
In the following, each flowchart will be described in detail, but the symbols appearing in the following description are defined as follows. That is, TTP is a reliable third party organization, U is a user registered in TTP, S is a service registered in TTP, ID_u is the ID of user U in TTP, ID_s is a third party organization of service S ID in TTP, K is an encryption key managed by the third party organization TTP, K_s is an encryption key for the service S managed by the third party organization TTP, and ID_u_s is a user U generated by the third party organization TTP. ID for service S, E_k () is encrypted with key K, D_k () is decrypted with key K, T is the current time, R is a random number, and ST is a bit combination string.

図4に示すフローチャートは、IDの暗号化に唯一の鍵を使用する場合の本発明実施形態に係る識別情報生成管理装置の動作を示す。
ここでは、TTPサーバ3は暗号化のための暗号化鍵Kを一個のみ準備し、鍵DB34に保持しておく(S41)。このとき、ユーザUがサービスSを利用するためのID_u_sは、以下のように作成される。すなわち、TTPサーバ3は、ID生成要求を受信すると(S42“Yes”)、ID生成部32において、ID_uと、ID_sのビットの結合列STを生成する(s43)。そして、ビット結合列STを、暗号化鍵Kを用いて暗号化し、得られる暗号化列E_k(ST)をID_u_sとする(S44)。 The flowchart shown in FIG. 4 shows the operation of the identification information generation management apparatus according to the embodiment of the present invention when a unique key is used for ID encryption.
Here, the TTP server 3 prepares only one encryption key K for encryption, and holds it in the key DB 34 (S41). At this time, ID_u_s for the user U to use the service S is created as follows. That is, when the TTP server 3 receives the ID generation request (S42 “Yes”), the ID generation unit 32 generates a combined string ST of ID_u and ID_s bits (s43). Then, the bit combination string ST is encrypted using the encryption key K, and the obtained encrypted string E_k (ST) is set as ID_u_s (S44).

次に、SPサーバ2から問い合わせ要求があった場合(S45“Yes”)、ID管理部33は、ID_u_sを鍵DB34に保存された暗号化鍵Kにより復号化して応答することで(S46)、サービス提供者は、ID_u_sのユーザUとUが利用するサービスSの対応付けがわかる。上記した方法によれば、第三者機関TTPが必要な鍵は1個で済む。   Next, when there is an inquiry request from the SP server 2 (S45 “Yes”), the ID management unit 33 responds by decrypting ID_u_s with the encryption key K stored in the key DB 34 (S46), The service provider knows the association between the user U with ID_u_s and the service S used by U. According to the method described above, only one key is required for the third party organization TTP.

図5に示すフローチャートは、サービスごとに固有の暗号化鍵Kを用いる場合の本発明実施形態に係るID生成管理装置の動作を示す。
ここでは、TTPサーバ3は、登録されているサービスSに対して固有な暗号化鍵K_sをサービスの数だけ準備し、また、サービスSと暗号化鍵K_sの関係を鍵DB34に保持しておく(S51)。そして、ユーザUがサービスSを利用するためのID_u_sを以下のようにして作成する。 The flowchart shown in FIG. 5 shows the operation of the ID generation management device according to the embodiment of the present invention when the unique encryption key K is used for each service.
Here, the TTP server 3 prepares encryption keys K_s unique to the registered service S by the number of services, and holds the relationship between the service S and the encryption key K_s in the key DB 34. (S51). Then, ID_u_s for the user U to use the service S is created as follows.

まず、TTPサーバ3のID生成部32は、通信管理部31を介してID生成要求を受信すると(S52“Yes”)、ID_uを、暗号化鍵K_sを用いて暗号化してサービス利用のためのIDを生成し、ここで得られる暗号化列E_ks(ID_u)をID_u_sとする(S53)。   First, when the ID generation unit 32 of the TTP server 3 receives the ID generation request via the communication management unit 31 (S52 “Yes”), the ID_u is encrypted using the encryption key K_s to use the service. An ID is generated, and the encrypted string E_ks (ID_u) obtained here is set as ID_u_s (S53).

ID_u_sのユーザUを知るためにSPサーバ2から問い合わせを受けたときに(S54“Yes”)、TTPサーバ3のID管理部33は以下の動作を行う。まず、ユーザ端末1は、TTPサーバ3に対し、ID_u_sとそのIDが利用されたサービスSの2つを提示する(S55“Yes”)。これを、通信管理部31を介して受信したID管理部33は、鍵DB34を参照してサービスSに対応する暗号化鍵K_sを検索する(S56)。続いて、暗号化鍵K_sを用いて、ID_u_sを復号して通信管理部31を介して要求のあったSPサーバ2へ応答する(D_ks(ID_u_s))ことで(S57)、サービス提供者はID_u_sとユーザUの対応関係を知ることができる。   When receiving an inquiry from the SP server 2 to know the user U of ID_u_s (S54 “Yes”), the ID management unit 33 of the TTP server 3 performs the following operation. First, the user terminal 1 presents the ID_u_s and the service S using the ID to the TTP server 3 (S55 “Yes”). The ID management unit 33 that has received this via the communication management unit 31 searches the encryption key K_s corresponding to the service S with reference to the key DB 34 (S56). Subsequently, using the encryption key K_s, ID_u_s is decrypted and responded to the requested SP server 2 via the communication management unit 31 (D_ks (ID_u_s)) (S57). And the correspondence relationship between the user U and the user U can be known.

上記方法によれば、暗号化のための鍵は、サービスの数だけ必要となるが、万が一、暗号化鍵K_sが漏れた場合でも、他のサービスで利用されているIDに対しては影響が及ばない。   According to the above method, the number of encryption keys is required for the number of services, but even if the encryption key K_s is leaked, there is an effect on IDs used in other services. It doesn't reach.

図6に示すフローチャートは、ユーザUのサービスに対するIDを複数生成する場合の本発明実施形態に係る識別情報生成管理装置の動作を示す。
ここでは、図4に示す例と同様、TTPサーバ3は一個の暗号化鍵Kを準備し、鍵DB34に保持しておく(S61)。まず、TTPサーバ3は、通信管理部31を介してユーザ端末1からID生成要求を受信したとき(S62“Yes”)、ID生成部32においてID_uとID_sと現在時刻Tのビットの結合列STを生成する(S63)。そして、ビット結合列STを、暗号化鍵Kを用いて暗号化し、得られた暗号化ビット列E_k(ST)をID_u_sとする(S64)。 The flowchart shown in FIG. 6 shows the operation of the identification information generation management apparatus according to the embodiment of the present invention when a plurality of IDs for the service of the user U are generated.
Here, as in the example shown in FIG. 4, the TTP server 3 prepares one encryption key K and holds it in the key DB 34 (S61). First, when the TTP server 3 receives an ID generation request from the user terminal 1 via the communication management unit 31 (S62 “Yes”), the ID generation unit 32 includes a combination string ST of bits of ID_u, ID_s, and the current time T. Is generated (S63). Then, the bit combination string ST is encrypted using the encryption key K, and the obtained encrypted bit string E_k (ST) is set as ID_u_s (S64).

次に、SPサーバ2から問い合わせ要求があった場合(S65“Yes”)、ID管理部33は、ID_u_sを鍵DB34に保存された暗号化鍵Kにより復号化して応答することで(S66)、サービス提供者は、ID_u_sのユーザUとUが利用するサービスSの対応付けがわかる。   Next, when there is an inquiry request from the SP server 2 (S65 “Yes”), the ID management unit 33 responds by decrypting ID_u_s with the encryption key K stored in the key DB 34 (S66). The service provider knows the association between the user U with ID_u_s and the service S used by U.

上記した実施形態によれば、例えば、Tを秒単位で管理し、IDの生成を1回1秒以下に限定すれば、生成されるID_u_sは全て異なるIDとなる。また、復号化することで、ユーザUとID_u_sの生成した時刻についての情報の取得が可能になる。
なお、現在時刻の代わり乱数Rを用いれば、生成毎にランダムなIDを生成できることになる。 According to the above-described embodiment, for example, if T is managed in seconds and ID generation is limited to 1 second or less at a time, all generated ID_u_s are different IDs. Also, by decoding, it is possible to acquire information about the time generated by the user U and ID_u_s.
If a random number R is used instead of the current time, a random ID can be generated for each generation.

以上説明のように本発明は、あらかじめ登録されたユーザがあるサービスを利用するために必要となるIDを識別情報生成管理装置が生成する際に、ユーザのログインIDを固有の暗号鍵を用いて暗号化することで新しいサービス利用のためのIDを生成するものである。また、生成したIDを保持することなく暗号鍵のみを保持し、サービス提供サーバから問合せがあったときに(ユーザと生成したIDとの対応づけを必要とする場合)、生成したIDを復号化して取得するものである。
このことにより、暗号技術を用いてIDを生成するため、生成されたIDとIDのユーザとの関連付けはIDを復号化することで把握でき、従って、生成したIDを全てデータベース等により管理する必要はなくなり、暗号鍵のみを保持すれば済むため必要とするデータベース量を小さくすることができ、IDを効率良く管理することが可能になる。 As described above, according to the present invention, when an identification information generation management device generates an ID necessary for a user registered in advance to use a certain service, the login ID of the user is used using a unique encryption key. The ID for generating a new service is generated by encryption. Also, only the encryption key is retained without retaining the generated ID, and when the service providing server makes an inquiry (when it is necessary to associate the user with the generated ID), the generated ID is decrypted. To get.
As a result, since the ID is generated using the encryption technology, the association between the generated ID and the user of the ID can be grasped by decrypting the ID. Therefore, it is necessary to manage all the generated IDs by a database or the like. Since only the encryption key needs to be held, the amount of database required can be reduced, and IDs can be managed efficiently.

また、IDを生成する際に、ユーザのログインIDに、例えば、生成した時刻、あるいは乱数などの情報を付与しておけば必ずユニークなIDになると共に、IDを復号化したときに付加された情報をも取得することができる。   In addition, when generating an ID, if information such as the time of generation or a random number is given to the login ID of the user, for example, the ID is always unique and added when the ID is decrypted. Information can also be obtained.

なお、図2に示す、通信管理部31と、ID生成部32と、ID管理部33のそれぞれで実行される手順をコンピュータ読み取り可能な記録媒体に記録し、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することによって本発明の識別情報生成管理装置およびシステムを実現することができる。ここでいうコンピュータシステムとは、OSや周辺装置等のハードウェアを含む。   The procedure executed by each of the communication management unit 31, ID generation unit 32, and ID management unit 33 shown in FIG. 2 is recorded on a computer-readable recording medium, and the program recorded on the recording medium is recorded. The identification information generation management device and system of the present invention can be realized by being read and executed by a computer system. The computer system here includes an OS and hardware such as peripheral devices.

また、「コンピュータシステム」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組合せで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。 Further, the “computer system” includes a homepage providing environment (or display environment) if a WWW system is used.
The program may be transmitted from a computer system storing the program in a storage device or the like to another computer system via a transmission medium or by a transmission wave in the transmission medium. Here, the “transmission medium” for transmitting the program refers to a medium having a function of transmitting information, such as a network (communication network) such as the Internet or a communication line (communication line) such as a telephone line.
The program may be for realizing a part of the functions described above. Furthermore, what can implement | achieve the function mentioned above in combination with the program already recorded on the computer system, and what is called a difference file (difference program) may be sufficient.

以上、この発明の実施形態につき、図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。   The embodiments of the present invention have been described in detail with reference to the drawings. However, the specific configuration is not limited to the embodiments, and includes designs and the like that do not depart from the gist of the present invention.

本発明実施形態にかかわる識別情報生成管理システムのシステム構成の一例を示す図である。It is a figure which shows an example of the system configuration | structure of the identification information production | generation management system concerning this invention embodiment. 本発明実施形態にかかわる識別情報生成管理装置の内部構成を機能展開して示したブロック図である。It is the block diagram which expanded the function and showed the internal structure of the identification information production | generation management apparatus concerning embodiment of this invention. 本発明実施形態の動作を説明するために引用したシーケンス図である。It is the sequence diagram quoted in order to demonstrate operation | movement of this invention embodiment. 本発明実施形態の動作を説明するために引用したフローチャートである。It is the flowchart quoted in order to demonstrate operation | movement of embodiment of this invention. 本発明の他の実施形態における動作を説明するために引用したフローチャートである。It is the flowchart quoted in order to demonstrate the operation | movement in other embodiment of this invention. 本発明の更に他の実施形態における動作を説明するために引用したフローチャートである。It is the flowchart quoted in order to demonstrate the operation | movement in other embodiment of this invention.

符号の説明Explanation of symbols

1…ユーザ端末、2…SPサーバ、3…TTPサーバ、4…ネットワーク、31…通信管理部、32…ID生成部(ID生成手段)、33…ID管理部(ID管理手段)、34…鍵DB、35…ユーザDB、36…サービスDB

DESCRIPTION OF SYMBOLS 1 ... User terminal, 2 ... SP server, 3 ... TTP server, 4 ... Network, 31 ... Communication management part, 32 ... ID production | generation part (ID production | generation means), 33 ... ID management part (ID management means), 34 ... Key DB, 35 ... user DB, 36 ... service DB

Claims (6)

ユーザ端末とサービス提供サーバとはネットワークを介して接続され、ユーザ認証を行ってユーザがサービスを利用するためのサービス利用識別情報を生成し、管理する識別情報生成管理装置であって、
前記ユーザ端末から識別情報生成要求を受信し、登録済みのユーザのログイン情報を暗号化して前記サービス利用識別情報を生成し、応答するサービス識別情報生成手段と、
前記サービス提供サーバから、前記ユーザと前記生成したサービス利用識別情報との対応付けについての問い合わせを受信したときに、前記暗号化のときに使用した暗号鍵を用いて前記サービス利用識別情報を復号化して応答する識別情報管理手段と、
を具備することを特徴とする識別情報生成管理装置。 The user terminal and the service providing server are connected via a network, and are identification information generation and management devices for generating and managing service use identification information for a user to use a service by performing user authentication,
Service identification information generating means for receiving an identification information generation request from the user terminal, encrypting login information of a registered user, generating the service use identification information, and responding;
When an inquiry about the association between the user and the generated service usage identification information is received from the service providing server, the service usage identification information is decrypted using the encryption key used for the encryption. Identification information management means that responds,
An identification information generation management device comprising: 前記識別情報生成手段は、
登録済みのユーザとサービス利用識別情報のビット結合列を生成し、あらかじめ用意された唯一の暗号鍵を用いて暗号化し、
前記識別情報管理手段は、
前記ビット結合列を前記暗号鍵により復号化して前記ビット結合列のユーザとサービス利用識別情報との対応付けを出力すること、
を特徴とする請求項1に記載の識別情報生成管理装置。 The identification information generating means
Generate a bit combination string of registered user and service usage identification information, encrypt it using a unique encryption key prepared in advance,
The identification information management means includes
Decrypting the bit combination sequence with the encryption key and outputting a correspondence between a user of the bit combination sequence and service use identification information;
The identification information generation management device according to claim 1. 前記識別情報生成手段は、
前記ビット結合列に、更に、現在時刻情報もしくは乱数情報を付加して前記サービス利用識別情報を生成することを特徴とする請求項2に記載の識別情報生成管理装置。 The identification information generating means
The identification information generation management apparatus according to claim 2, wherein the service use identification information is generated by further adding current time information or random number information to the bit combination sequence. 前記識別情報生成手段は、
鍵データベースに格納される、サービス毎にあらかじめ用意された暗号鍵の一つを用いて前記サービス利用識別情報を暗号化し、
前記識別情報管理手段は、
前記暗号化されたサービス利用識別情報と、利用されるサービスを受信し、データベースを参照して前記サービスに対応する暗号鍵を取得し、当該暗号鍵を用いて前記暗号化されたサービス利用識別情報を復号化し、ユーザとの対応付けを出力することを特徴とする請求項1に記載の識別情報生成管理装置。 The identification information generating means
Encrypting the service use identification information using one of encryption keys prepared in advance for each service stored in the key database,
The identification information management means includes
The encrypted service use identification information and the service to be used are received, an encryption key corresponding to the service is obtained by referring to a database, and the encrypted service use identification information is obtained using the encryption key. The identification information generation management apparatus according to claim 1, wherein the identification information is decrypted and the association with the user is output. ユーザ端末と、サービス提供サーバと、ユーザ認証を行いユーザがサービスを利用するためのサービス利用識別情報を生成し管理する管理サーバとが、ネットワークを介して接続される識別情報生成管理システムであって、
前記管理サーバは、登録済みのログイン情報を暗号化して前記サービス利用識別情報を生成し応答するサービス識別情報生成手段と、前記暗号化のときに使用した暗号鍵を用いて前記サービス利用識別情報を復号化して応答する識別情報管理手段から成り、前記前記ユーザ端末から識別情報生成要求を受信したときに、サービス識別情報生成手段が、前記登録済みのログイン情報を暗号化して前記サービス利用識別情報を生成して応答し、前記サービス利用端末からユーザと前記生成したサービス利用識別情報との対応付けについての問い合わせを受信したときに前記サービス識別情報管理手段が、前記暗号化のときに使用した暗号鍵を用いて前記サービス利用識別情報を復号化して応答することを特徴とする識別情報生成管理システム。 An identification information generation management system in which a user terminal, a service providing server, and a management server that performs user authentication and generates and manages service use identification information for a user to use a service are connected via a network. ,
The management server encrypts the registered login information to generate and respond to the service use identification information, and uses the encryption key used at the time of encryption to obtain the service use identification information. It comprises identification information management means that decrypts and responds, and when receiving an identification information generation request from the user terminal, the service identification information generation means encrypts the registered login information to obtain the service use identification information. The encryption key used by the service identification information management means at the time of the encryption when receiving an inquiry about the correspondence between the user and the generated service usage identification information from the service usage terminal An identification information generation and management system characterized in that the service use identification information is decrypted and responded using. ユーザ端末とサービス提供サーバとはネットワークを介して接続され、ユーザ認証を行ってユーザがサービスを利用するためのサービス利用識別情報を生成し、管理する識別情報生成管理装置に用いられるプログラムであって、
前記ユーザ端末から識別情報生成要求を受信し、登録済みのログイン情報を暗号化して前記サービス利用識別情報を生成し、応答する処理と、
前記サービス提供サーバから、ユーザと前記生成したサービス利用識別情報との対応付けについての問い合わせを受信したときに、前記暗号化のときに使用した暗号鍵を用いて前記サービス利用識別情報を復号化して応答する処理と、
をコンピュータに実行させるプログラム。

A user terminal and a service providing server are connected to each other via a network, and are programs used in an identification information generation and management apparatus that performs user authentication and generates and manages service use identification information for a user to use a service. ,
Processing for receiving an identification information generation request from the user terminal, encrypting registered login information to generate the service use identification information, and responding;
When an inquiry about the association between the user and the generated service usage identification information is received from the service providing server, the service usage identification information is decrypted using the encryption key used for the encryption. Processing to respond,
A program that causes a computer to execute.

JP2005063062A 2005-03-07 2005-03-07 Identification information generation management device, system, and program Expired - Fee Related JP4637612B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005063062A JP4637612B2 (en) 2005-03-07 2005-03-07 Identification information generation management device, system, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005063062A JP4637612B2 (en) 2005-03-07 2005-03-07 Identification information generation management device, system, and program

Publications (2)

Publication Number Publication Date
JP2006244420A true JP2006244420A (en) 2006-09-14
JP4637612B2 JP4637612B2 (en) 2011-02-23

Family

ID=37050749

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005063062A Expired - Fee Related JP4637612B2 (en) 2005-03-07 2005-03-07 Identification information generation management device, system, and program

Country Status (1)

Country Link
JP (1) JP4637612B2 (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008165707A (en) * 2007-01-05 2008-07-17 Kddi R & D Laboratories Inc Identification information update system, identification information update method, and program
JP2008210101A (en) * 2007-02-26 2008-09-11 Kddi R & D Laboratories Inc Device, system and method for generating service use identification information, and program
JP2008242585A (en) * 2007-03-26 2008-10-09 Kddi R & D Laboratories Inc Service use identification creating device, service use identification creation system, service use identification creation method, and program
US8239684B2 (en) 2007-03-28 2012-08-07 Nec Corporation Software IC card system, management server, terminal, service providing server, service providing method, and program
US10769622B2 (en) 2015-03-25 2020-09-08 Facebook, Inc. User communications with a merchant through a social networking system

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4727353B2 (en) * 2005-09-06 2011-07-20 株式会社Kddi研究所 Identification information generation management device, system, and program

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001188757A (en) * 1999-12-28 2001-07-10 Nippon Telegr & Teleph Corp <Ntt> Service providing method using certificate

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001188757A (en) * 1999-12-28 2001-07-10 Nippon Telegr & Teleph Corp <Ntt> Service providing method using certificate

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008165707A (en) * 2007-01-05 2008-07-17 Kddi R & D Laboratories Inc Identification information update system, identification information update method, and program
JP2008210101A (en) * 2007-02-26 2008-09-11 Kddi R & D Laboratories Inc Device, system and method for generating service use identification information, and program
JP2008242585A (en) * 2007-03-26 2008-10-09 Kddi R & D Laboratories Inc Service use identification creating device, service use identification creation system, service use identification creation method, and program
US8239684B2 (en) 2007-03-28 2012-08-07 Nec Corporation Software IC card system, management server, terminal, service providing server, service providing method, and program
US10769622B2 (en) 2015-03-25 2020-09-08 Facebook, Inc. User communications with a merchant through a social networking system

Also Published As

Publication number Publication date
JP4637612B2 (en) 2011-02-23

Similar Documents

Publication Publication Date Title
JP2021022945A (en) Data security using request-supplied keys
JP4958246B2 (en) Method, apparatus and system for fast searchable encryption
CN102427442B (en) Combining request-dependent metadata with media content
KR101982237B1 (en) Method and system for data sharing using attribute-based encryption in cloud computing
JP5395372B2 (en) Communication device, key server and data
CN113067699B (en) Data sharing method and device based on quantum key and computer equipment
JP2004304304A (en) Electronic signature generating method, electronic signature authenticating method, electronic signature generating request program and electronic signature authenticate request program
JP6546100B2 (en) Service providing method, service request method, information processing apparatus, and client apparatus
JP4637612B2 (en) Identification information generation management device, system, and program
JP4979210B2 (en) Login information management apparatus and method
KR101541165B1 (en) Mobile message encryption method, computer readable recording medium recording program performing the method and download server storing the method
JP4684714B2 (en) File management system and program
JP2007142504A (en) Information processing system
CN112040279B (en) Audio and video playing method and storage medium for self-defined DRM (digital rights management)
JP2008177752A (en) Key management device, terminal device, content management device, and computer program
JP4679934B2 (en) Identification information generation management device, system, and program
JP2007060581A (en) Information management system and method
JP4727353B2 (en) Identification information generation management device, system, and program
US20100115584A1 (en) Information processing system
JP2009055428A (en) Information processor, server device, information processing program and method
JP3674772B2 (en) Multiple server login cooperation system, client device, login management device, server device, and storage medium
JP2023532976A (en) Method and system for verification of user identity
JP6919484B2 (en) Cryptographic communication method, cryptographic communication system, key issuing device, program
JP2020127084A (en) Encryption system and encryption method
CN115174966B (en) Online playing method, device and system of encrypted video

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070905

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20071019

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20071019

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100817

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20101018

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20101019

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20101116

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20101124

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131203

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees