JP2008152737A - Service provision server, authentication server, and authentication system - Google Patents
Service provision server, authentication server, and authentication system Download PDFInfo
- Publication number
- JP2008152737A JP2008152737A JP2006343012A JP2006343012A JP2008152737A JP 2008152737 A JP2008152737 A JP 2008152737A JP 2006343012 A JP2006343012 A JP 2006343012A JP 2006343012 A JP2006343012 A JP 2006343012A JP 2008152737 A JP2008152737 A JP 2008152737A
- Authority
- JP
- Japan
- Prior art keywords
- communication terminal
- session code
- service providing
- providing server
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、通信端末を介してネットワーク上のサービスを利用する利用者やその通信端末の認証を行うサービス提供サーバ、認証サーバ、および認証システムに関する。 The present invention relates to a user who uses a service on a network via a communication terminal, a service providing server that authenticates the communication terminal, an authentication server, and an authentication system.
従来より、利用者が、インターネットカフェ等に設置された共用端末(パーソナルコンピュータ)などの低信頼の通信端末からネットワーク上のサービス提供サイト(サービス提供サーバ)にアクセスしてそのサービスを利用しようとする際に、図1に示すように、利用者自身が所有する携帯電話機などの高信頼の通信端末を併用することで、セキュリティを確保したサービス提供を可能とする認証システムが知られている。 Conventionally, a user tries to use a service providing site (service providing server) on a network from a low-reliability communication terminal such as a shared terminal (personal computer) installed in an Internet cafe or the like. In this case, as shown in FIG. 1, there is known an authentication system that can provide a secure service by using a highly reliable communication terminal such as a mobile phone owned by the user.
詳細には、共用端末のブラウザに、利用者IDとともにセッションを一意に表す識別子(以下、本明細書では、この「セッションを一意に表す識別子」のことを「セッションコード」と呼ぶ。)等の情報を入力し、サービス提供サーバもしくはサービス提供サーバとの間で安全な通信が可能な認証サーバは、前記入力された情報に応じて共用端末の仮認証を行い、さらに、前記サービス提供サーバもしくは認証サーバは、携帯電話機に入力されたセッションコードに応じて携帯電話機の確認認証を行うことにより、サービスを許可するものが知られている(例えば、特許文献1参照)。
しかしながら、上述した従来の認証システムでは、サービス提供サーバもしくは認証サーバと低信頼の通信端末との間の通信が暗号化されていなかったり、単純にPKI(Public Key Infrastructure)ベースの暗号(SSLなど)を用いて暗号化していたため、単にセッションコードを用いるだけでは、低信頼の通信端末に仕掛けられた不正なソフトウェアなどによって、図2に示すようにフィッシングを受けて偽のサービス提供サーバもしくは認証サーバに誘導されたり、図3に示すように中間者攻撃(man-in-the-middle attack)を受けて通信内容を盗聴・改ざんされる恐れがあった。この際、利用者がPKI証明書の中身を精査することは少なく、また、hostsファイルの書き換えやDNSポイズニングによって、入力したURLが正しくても、偽のサイトに誘導されてしまうことがあった。 However, in the above-described conventional authentication system, communication between the service providing server or the authentication server and the low-reliability communication terminal is not encrypted, or simply PKI (Public Key Infrastructure) -based encryption (SSL, etc.) Therefore, if you simply use a session code, you can use phishing as shown in FIG. 2 to obtain a fake service providing server or authentication server by using unauthorized software installed on a low-reliable communication terminal. There is a risk that the contents of communication may be eavesdropped or tampered with as a result of a man-in-the-middle attack as shown in FIG. At this time, the user rarely scrutinizes the contents of the PKI certificate, and rewriting the hosts file or DNS poisoning may lead to a fake site even if the input URL is correct.
本発明は、このような従来の課題を解決するためになされたもので、図4に示すように、サービス提供サーバもしくは認証サーバの識別子を基にして当該サーバと低信頼の通信端末との間で安全に鍵を共有し、その鍵を用いて暗号通信を行うことにより、フィッシングや中間者攻撃を防止でき、認証情報を持たない通信端末でも他の通信端末を併用しながら安全性の高い認証を伴うオンラインサービスを利用者に提供することができるサービス提供サーバ、認証サーバ、および認証システムを提供することを目的とする。 The present invention has been made to solve such a conventional problem, and as shown in FIG. 4, between the server and the unreliable communication terminal based on the identifier of the service providing server or the authentication server. By sharing the key securely and performing cryptographic communication using the key, it is possible to prevent phishing and man-in-the-middle attacks, and even a communication terminal without authentication information can be used together with other communication terminals for highly secure authentication It is an object of the present invention to provide a service providing server, an authentication server, and an authentication system that can provide an online service with a user.
請求項1に記載のサービス提供サーバは、第1の通信端末によって生成され送信されたセッションコードを受信するセッションコード受信手段と、前記セッションコード受信手段で受信したセッションコードを記憶部に保存するセッションコード保存手段と、第2の通信端末からサービスの要求を受け付けると共に当該サーバの識別子を基にした暗号鍵で暗号化されたセッションコードを受信・復号するサービス要求受信手段と、前記記憶部に保存されたセッションコードと前記サービス要求受信手段で受信・復号したセッションコードとを比較・照合するセッションコード比較手段と、前記セッションコード比較手段で比較・照合された互いのセッションコードが一致した場合は確認済みとするセッションコードの状態情報を前記記憶部に記憶し、一致しない場合は未確認とするセッションコードの状態情報を前記記憶部に記憶する状態更新手段と、前記記憶部における前記セッションコードの状態情報が確認済みであるとき、前記第2の通信端末の利用者にサービスの提供を許可するサービス提供可否判定手段と、前記第2の通信端末の利用者に提供するサービスの内容を、当該サーバの識別子を基にした暗号鍵で暗号化する暗号化手段とを備えた構成を有している。 The service providing server according to claim 1, wherein a session code receiving unit that receives a session code generated and transmitted by a first communication terminal, and a session that stores the session code received by the session code receiving unit in a storage unit Code storage means, service request reception means for receiving a service request from the second communication terminal and receiving / decrypting a session code encrypted with an encryption key based on the identifier of the server, and saving in the storage section The session code comparing means for comparing / collating the received session code with the session code received / decoded by the service request receiving means, and confirmation if the session codes compared / verified by the session code comparing means match. State information of the session code to be stored in the storage unit A state update unit that stores in the storage unit state information of a session code that is unconfirmed if it does not match, and when the state information of the session code in the storage unit has been confirmed, the second communication terminal A service provision availability determination unit for permitting the user to provide a service, and encryption for encrypting the contents of the service provided to the user of the second communication terminal with an encryption key based on the identifier of the server And means.
この構成により、第1の通信端末によって生成されたセッションコードと第2の通信端末からサービス提供サーバの識別子を基にした暗号鍵で暗号化されて送られてきたセッションコードとを比較・照合し、互いのセッションコードが一致した場合、第2の通信端末の利用者にサービスの提供を許可し、また、第2の通信端末の利用者に提供するサービスの内容もサービス提供サーバの識別子を基にした暗号鍵によって暗号化するため、サービス提供サーバと第2の通信端末との間の通信に対するフィッシングや中間者攻撃を受けることなく、認証情報を持たない通信端末でも他の通信端末を併用しながら安全性の高いオンラインサービスを利用者に提供することができる。 With this configuration, the session code generated by the first communication terminal is compared with the session code sent from the second communication terminal by being encrypted with the encryption key based on the identifier of the service providing server. If the session codes match each other, the user of the second communication terminal is permitted to provide the service, and the content of the service provided to the user of the second communication terminal is also based on the identifier of the service providing server. Since the encryption key is used for encryption, communication terminals that do not have authentication information can be used in combination with other communication terminals without phishing or man-in-the-middle attacks on communication between the service providing server and the second communication terminal. However, it is possible to provide users with a highly secure online service.
ここで、サーバの識別子(URLなど)を基にした鍵共有の手法としてIBE(Identity Based Enctyption)が挙げられるが、これに限定されるものではない。IBEは、URLやメールアドレスといった任意の文字列を基に、送信者と受信者との間で安全に鍵共有を行う手法であり、最初のアイデアはShamirによって発表された(A.Shamir, "Identity-Based cryptosystems and signature schemes", in Advances in Cryptology Crypto '84, Lecture Notes in Computer Science, Vol.196, Springer-Verlag, 1984, pp.47-53参照)。また、IBEの具体的なアルゴリズムに関しては、Kiyoshi Ohgishi, Ryuichi Sakai and Masao Kasahara, "Notes on ID-based Key Sharing Systems over Elliptic Curve", Technical Report of IEICE, ISEC99-57, Nov. 1999、D.Boneh and M.Franklin, "Identity-based encryption from the Weil pairing", In Proc. Crypto '01, LNCS 2139, 2001, pp.213-229等に述べられている。 Here, IBE (Identity Based Enctyption) can be cited as a key sharing technique based on a server identifier (URL or the like), but is not limited thereto. IBE is a technique for securely sharing a key between a sender and a receiver based on an arbitrary character string such as a URL or an email address. The first idea was published by Shamir (A. Shamir, " Identity-Based cryptosystems and signature schemes ", in Advances in Cryptology Crypto '84, Lecture Notes in Computer Science, Vol. 196, Springer-Verlag, 1984, pp. 47-53). Regarding the specific algorithm of IBE, Kiyoshi Ohgishi, Ryuichi Sakai and Masao Kasahara, "Notes on ID-based Key Sharing Systems over Elliptic Curve", Technical Report of IEICE, ISEC99-57, Nov. 1999, D.Boneh and M. Franklin, “Identity-based encryption from the Weil pairing”, In Proc. Crypto '01, LNCS 2139, 2001, pp.213-229.
請求項2に記載のサービス提供サーバは、請求項1に記載のサービス提供サーバにおいて、前記暗号化されたセッションコードを前記第2の通信端末から受信したとき、当該サーバの識別子を基にした暗号鍵で暗号化された前記第2の通信端末の利用者を確認するための確認情報を受信・復号する確認情報受信手段と、前記確認情報受信手段で受信・復号した確認情報を前記第1の通信端末に送信する確認情報送信手段と、前記第1の通信端末から前記確認情報が正当であるか否かを示す確認結果を受信する確認結果受信手段と、前記セッションコード比較手段で比較・照合された互いのセッションコードが一致し、かつ前記確認結果受信手段で受信した確認結果が正当を示している場合は確認済みとするセッションコードの状態情報を前記記憶部に記憶し、一致しないもしくは確認結果が正当を示していない場合は未確認とするセッションコードの状態情報を前記記憶部に記憶する状態更新手段とを備えた構成を有している。
The service providing server according to
この構成により、セッションコードが盗み出されてしまった場合に備えて、確認情報が正当であることを第1の通信端末の利用者に確認させながら、第2の通信端末の利用者にサービスの提供を許可するため、より安全性の高いオンラインサービスを利用者に提供することができる。 With this configuration, in preparation for the case where the session code is stolen, providing the service to the user of the second communication terminal while allowing the user of the first communication terminal to confirm that the confirmation information is valid Therefore, it is possible to provide a user with a safer online service.
請求項3に記載のサービス提供サーバは、第2の通信端末からサービスの要求を受け付けると共に当該サーバの識別子を基にした暗号鍵で暗号化されたセッションコードを受信・復号するサービス要求受信手段と、前記サービス要求受信手段で受信・復号したセッションコードを記憶部に保存するセッションコード保存手段と、前記記憶部に保存されたセッションコードを認証サーバに送信するセッションコード送信手段と、認証サーバから第1の通信端末からのセッションコードと第2の通信端末からのセッションコードとが一致した場合は確認済みとするセッションコードの状態情報を、一致しない場合は未確認とするセッションコードの状態情報を受信する状態情報受信手段と、前記状態情報受信手段で受信した状態情報を前記記憶部に記憶する状態更新手段と、前記記憶部における前記セッションコードの状態情報が確認済みであるとき、前記第2の通信端末の利用者にサービスの提供を許可するサービス提供可否判定手段と、前記第2の通信端末の利用者に提供するサービスの内容を、当該サーバの識別子を基にした暗号鍵で暗号化する暗号化手段とを備えた構成を有している。 A service request receiving means for receiving a service request from the second communication terminal and receiving / decrypting a session code encrypted with an encryption key based on an identifier of the server; A session code storage unit that stores the session code received / decoded by the service request reception unit in a storage unit; a session code transmission unit that transmits the session code stored in the storage unit to an authentication server; If the session code from the first communication terminal matches the session code from the second communication terminal, the status information of the session code that has been confirmed is received, and if not, the status information of the session code that has not been confirmed is received. Status information receiving means and status information received by the status information receiving means in the storage unit A state update unit for storing; a service provision availability determination unit for permitting a user of the second communication terminal to provide a service when the state information of the session code in the storage unit has been confirmed; And encryption means for encrypting the contents of the service provided to the user of the communication terminal with an encryption key based on the identifier of the server.
この構成により、認証サーバから受信したセッションコードの状態情報が、第1の通信端末からのセッションコードと第2の通信端末からのセッションコードとが一致したことを表す確認済みであるとき、第2の通信端末の利用者にサービスの提供を許可し、また、第2の通信端末の利用者に提供するサービスの内容もサービス提供サーバの識別子を基にした暗号鍵によって暗号化するため、サービス提供サーバと第2の通信端末との間の通信に対するフィッシングや中間者攻撃を受けることなく、認証情報を持たない通信端末でも他の通信端末を併用しながら安全性の高いオンラインサービスを利用者に提供することができる。 With this configuration, when the status information of the session code received from the authentication server has been confirmed to indicate that the session code from the first communication terminal matches the session code from the second communication terminal, the second Service is provided to the user of the communication terminal, and the content of the service provided to the user of the second communication terminal is encrypted with the encryption key based on the identifier of the service providing server. Providing users with highly secure online services without using phishing or man-in-the-middle attacks on the communication between the server and the second communication terminal, while using other communication terminals in combination with other communication terminals. can do.
請求項4に記載のサービス提供サーバは、請求項3に記載のサービス提供サーバにおいて、前記暗号化されたセッションコードを前記第2の通信端末から受信したとき、当該サーバの識別子を基にした暗号鍵で暗号化された前記第2の通信端末の利用者を確認するための確認情報を受信・復号する確認情報受信手段と、前記確認情報受信手段で受信・復号した確認情報を認証サーバに送信する確認情報送信手段とを備えた構成を有している。 The service providing server according to claim 4 is an encryption based on an identifier of the server when the encrypted session code is received from the second communication terminal in the service providing server according to claim 3. Confirmation information receiving means for receiving and decrypting confirmation information for confirming the user of the second communication terminal encrypted with the key, and transmitting the confirmation information received and decrypted by the confirmation information receiving means to the authentication server And a confirmation information transmitting means.
この構成により、セッションコードが盗み出されてしまった場合に備えて、確認情報が正当であることを第1の通信端末の利用者に確認させながら、第2の通信端末の利用者にサービスの提供を許可するため、より安全性の高いオンラインサービスを利用者に提供することができる。 With this configuration, in preparation for the case where the session code is stolen, providing the service to the user of the second communication terminal while allowing the user of the first communication terminal to confirm that the confirmation information is valid Therefore, it is possible to provide a user with a safer online service.
請求項5に記載のサービス提供サーバは、請求項3または4に記載のサービス提供サーバにおいて、前記セッションコードの状態情報を認証サーバから受信したとき、当該認証サーバで生成され送信された共通鍵を受信する共通鍵受信手段と、前記共通鍵受信手段が受信・復号した共通鍵を前記記憶部に保存する共通鍵保存手段とを備え、前記暗号化手段は、前記第2の通信端末の利用者に提供するサービスの内容を、前記記憶部に保存された共通鍵で暗号化する構成を有している。 When the service providing server according to claim 5 receives status information of the session code from the authentication server in the service providing server according to claim 3 or 4, the service providing server receives the common key generated and transmitted by the authentication server. A common key receiving unit for receiving, and a common key storing unit for storing the common key received and decrypted by the common key receiving unit in the storage unit, wherein the encryption unit is a user of the second communication terminal. The content of the service to be provided is encrypted with a common key stored in the storage unit.
この構成により、サービス提供サーバから第2の通信端末の利用者に提供するサービスの内容を、認証サーバで生成された、暗号化や復号に必要な計算量が少なくて済む共通鍵によって暗号化させることができるため、サービス提供サーバや第2の通信端末における処理負荷を減らすことができる。 With this configuration, the content of the service provided from the service providing server to the user of the second communication terminal is encrypted with the common key generated by the authentication server and requiring a small amount of calculation required for encryption and decryption. Therefore, the processing load on the service providing server and the second communication terminal can be reduced.
請求項6に記載のサービス提供サーバは、請求項1乃至4のいずれかに記載のサービス提供サーバにおいて、前記記憶部に保存されたセッションコードを基に暗号鍵を生成する暗号鍵生成手段と、前記暗号鍵生成手段で生成された暗号鍵を前記記憶部に保存する暗号鍵保存手段とを備え、前記暗号化手段は、前記第2の通信端末の利用者に提供するサービスの内容を、前記記憶部に保存された暗号鍵で暗号化する構成を有している。 The service providing server according to claim 6 is the service providing server according to any one of claims 1 to 4, wherein an encryption key generating unit that generates an encryption key based on a session code stored in the storage unit; Encryption key storage means for storing the encryption key generated by the encryption key generation means in the storage unit, and the encryption means provides the contents of the service provided to the user of the second communication terminal, It has the structure which encrypts with the encryption key preserve | saved at the memory | storage part.
この構成により、サービス提供サーバから第2の通信端末の利用者に提供するサービスの内容を、第2の通信端末からサービス提供サーバにセッションコードを送る時とは異なる、該セッションコードを基に生成した暗号鍵によって暗号化するため、より安全性の高いオンラインサービスを利用者に提供することができる。 With this configuration, the content of the service provided from the service providing server to the user of the second communication terminal is generated based on the session code, which is different from when the session code is sent from the second communication terminal to the service providing server. Since the encryption is performed using the encryption key, a more secure online service can be provided to the user.
請求項7に記載のサービス提供サーバは、請求項1乃至4のいずれかに記載のサービス提供サーバにおいて、前記暗号化されたセッションコードを前記第2の通信端末から受信したとき、当該サーバの識別子を基にした暗号鍵で暗号化された前記第2の通信端末により生成された共通鍵を受信・復号する共通鍵受信手段と、前記共通鍵受信手段で受信・復号した共通鍵を前記記憶部に保存する共通鍵保存手段とを備え、前記暗号化手段は、前記第2の通信端末の利用者に提供するサービスの内容を、前記記憶部に保存された共通鍵で暗号化する構成を有している。 When the encrypted session code is received from the second communication terminal in the service providing server according to any one of claims 1 to 4, the service providing server according to claim 7 is an identifier of the server. A common key receiving means for receiving / decrypting a common key generated by the second communication terminal encrypted with an encryption key based on the common key and a common key received / decrypted by the common key receiving means Common key storage means for storing the content of the service provided to the user of the second communication terminal using the common key stored in the storage unit. is doing.
この構成により、サービス提供サーバから第2の通信端末の利用者に提供するサービスの内容を、第2の通信端末で生成された、暗号化や復号に必要な計算量が少なくて済む共通鍵によって暗号化するため、サービス提供サーバや第2の通信端末における処理負荷を減らすことができる。 With this configuration, the content of the service provided from the service providing server to the user of the second communication terminal is generated by the common key that is generated by the second communication terminal and requires a small amount of calculation required for encryption and decryption. Since encryption is performed, the processing load on the service providing server and the second communication terminal can be reduced.
請求項8に記載の認証サーバは、第1の通信端末によって生成され送信されたセッションコードを受信するセッションコード受信手段と、前記セッションコード受信手段で受信したセッションコードを記憶部に保存するセッションコード保存手段と、前記記憶部に保存されたセッションコードと第2の通信端末からサービス提供サーバの識別子を基にした暗号鍵で暗号化されて該サービス提供サーバに送信され、当該サービス提供サーバで受信・復号されて転送されてきたセッションコードとを比較・照合するセッションコード比較手段と、前記セッションコード比較手段で比較・照合された互いのセッションコードが一致した場合は確認済みとするセッションコードの状態情報を前記記憶部に記憶し、一致しない場合は未確認とするセッションコードの状態情報を前記記憶部に記憶する状態更新手段と、前記記憶部における前記セッションコードの状態情報を前記サービス提供サーバに送信する状態情報送信手段とを備えた構成を有している。 9. The authentication server according to claim 8, wherein a session code receiving unit that receives a session code generated and transmitted by the first communication terminal, and a session code that stores the session code received by the session code receiving unit in a storage unit. The storage means, the session code stored in the storage unit and the encryption key based on the service providing server identifier from the second communication terminal are encrypted and transmitted to the service providing server and received by the service providing server The state of the session code that is confirmed when the session code comparison means that compares and collates the session code that has been decrypted and transferred and the session code that is compared and collated by the session code comparison means match. The information is stored in the storage unit. And state updating means for storing the state information of Nkodo in the storage unit, the status information of the session codes in the storage unit has a configuration in which a status information transmitting means for transmitting to the service providing server.
この構成により、第1の通信端末によって生成されたセッションコードとサービス提供サーバから第2の通信端末において該サービス提供サーバの識別子を基にした暗号鍵で暗号化され転送されてきたセッションコードとを比較・照合し、照合された互いのセッションコードが一致した場合、確認済みとするセッションコードの状態情報をサービス提供サーバに送信するため、サービス提供サーバと第2の通信端末との間の通信に対するフィッシングや中間者攻撃を受けることなく、認証情報を持たない通信端末でも他の通信端末を併用しながら安全性の高いオンラインサービスを利用者に提供することができる。 With this configuration, the session code generated by the first communication terminal and the session code encrypted and transferred from the service providing server by the encryption key based on the identifier of the service providing server in the second communication terminal When the session codes that have been compared and matched match each other, the status information of the session code that has been confirmed is transmitted to the service providing server, so that communication between the service providing server and the second communication terminal is performed. Without receiving phishing or man-in-the-middle attacks, a communication terminal without authentication information can provide a highly secure online service to a user while using another communication terminal together.
請求項9に記載の認証サーバは、請求項8に記載の認証サーバにおいて、前記セッションコード比較手段で比較・照合された互いのセッションコードが一致した場合、サービス提供サーバの正当性を確認するためのサービス提供サーバ確認情報を生成するサービス提供サーバ確認情報生成手段と、前記サービス提供サーバ確認情報生成手段で生成されたサービス提供サーバ確認情報を第1の通信端末に送信するサービス提供サーバ確認情報送信手段と、前記第1の通信端末から前記サービス提供サーバ確認情報が正当であるか否かを示す確認結果を受信する確認結果受信手段と、前記セッションコード比較手段で比較・照合された互いのセッションコードが一致し、かつ前記確認結果受信手段で受信した確認結果が正当を示している場合は確認済みとするセッションコードの状態情報を前記記憶部に記憶し、一致しないもしくは確認結果が正当を示していない場合は未確認とするセッションコードの状態情報を前記記憶部に記憶する状態更新手段とを備えた構成を有している。 The authentication server according to claim 9 is configured to confirm the validity of the service providing server when the session codes compared and verified by the session code comparison unit match in the authentication server according to claim 8. Service providing server confirmation information generating means for generating the service providing server confirmation information, and service providing server confirmation information transmission for transmitting the service providing server confirmation information generated by the service providing server confirmation information generating means to the first communication terminal. A confirmation result receiving means for receiving a confirmation result indicating whether or not the service providing server confirmation information is valid from the first communication terminal; and a mutual session compared and collated by the session code comparison means If the codes match and the confirmation result received by the confirmation result receiving means indicates validity, State update means for storing state information of a session code to be completed in the storage unit, and storing state information of a session code to be unconfirmed in the storage unit if they do not match or the confirmation result does not indicate validity It has a configuration.
この構成により、セッションコードが盗み出されてしまった場合に備えて、サービス提供サーバの正当性を確認するための確認情報が正当であることを第1の通信端末の利用者に確認させながら、セッションコードの状態を確認済みとするため、より安全性の高いオンラインサービスを利用者に提供することができる。 With this configuration, in preparation for the case where the session code is stolen, the user of the first communication terminal confirms that the confirmation information for confirming the validity of the service providing server is valid. Since the code status is confirmed, a more secure online service can be provided to the user.
請求項10に記載の認証サーバは、請求項8に記載の認証サーバにおいて、前記セッションコードをサービス提供サーバから受信したとき、前記第2の通信端末からサービス提供サーバの識別子を基にした暗号鍵で暗号化されて該サービス提供サーバに送信され、当該サービス提供サーバで受信・復号されて転送されてきた前記第2の通信端末の利用者を確認するための確認情報を受信する確認情報受信手段と、前記確認情報受信手段で受信した確認情報を前記第1の通信端末に送信する確認情報送信手段と、前記第1の通信端末から前記確認情報が正当であるか否かを示す確認結果を受信する確認結果受信手段と、前記セッションコード比較手段で比較・照合された互いのセッションコードが一致し、かつ前記確認結果受信手段で受信した確認結果が正当を示している場合は確認済みとするセッションコードの状態情報を前記記憶部に記憶し、一致しないもしくは確認結果が正当を示していない場合は未確認とするセッションコードの状態情報を前記記憶部に記憶する状態更新手段とを備えた構成を有している。 An authentication server according to claim 10 is the authentication server according to claim 8, wherein when the session code is received from the service providing server, an encryption key based on an identifier of the service providing server from the second communication terminal. Confirmation information receiving means for receiving confirmation information for confirming the user of the second communication terminal that has been encrypted and transmitted to the service providing server and received and decrypted by the service providing server Confirmation information transmitting means for transmitting the confirmation information received by the confirmation information receiving means to the first communication terminal, and a confirmation result indicating whether or not the confirmation information is valid from the first communication terminal. The received confirmation result receiving means and the session code compared and collated by the session code comparing means match each other and received by the confirmation result receiving means If the authentication result indicates validity, the state information of the session code to be confirmed is stored in the storage unit, and if it does not match or the confirmation result does not indicate validity, the state information of the session code to be unconfirmed is stored in the storage unit. And a state update means for storing in the storage unit.
この構成により、セッションコードが盗み出されてしまった場合に備えて、第2の通信端末の利用者を確認するための確認情報が正当であることを第1の通信端末の利用者に確認させながら、セッションコードの状態を確認済みとするため、より安全性の高いオンラインサービスを利用者に提供することができる。 With this configuration, in preparation for the case where the session code is stolen, the user of the first communication terminal confirms that the confirmation information for confirming the user of the second communication terminal is valid. Since the session code status is confirmed, a more secure online service can be provided to the user.
請求項11に記載の認証サーバは、第1の通信端末によって生成され送信されたセッションコードを受信するセッションコード受信手段と、前記セッションコード受信手段で受信したセッションコードを記憶部に保存するセッションコード保存手段と、第2の通信端末から当該サーバの識別子を基にした暗号鍵で暗号化され送信されたセッションコードを受信・復号するセッションコード受信・復号手段と、前記記憶部に保存されたセッションコードと第2の通信端末からのセッションコードとを比較・照合するセッションコード比較手段と、前記セッションコード比較手段で比較・照合された互いのセッションコードが一致した場合は確認済みとするセッションコードの状態情報を前記記憶部に記憶し、一致しない場合は未確認とするセッションコードの状態情報を前記記憶部に記憶する状態更新手段と、サービス提供サーバからのセッションコードの状態の問い合わせに応じて、前記記憶部における前記セッションコードの状態情報を返送する状態情報送信手段とを備えた構成を有している。 The authentication server according to claim 11, comprising: a session code receiving unit that receives a session code generated and transmitted by the first communication terminal; and a session code that stores the session code received by the session code receiving unit in a storage unit. Storage means, session code reception / decryption means for receiving / decrypting a session code encrypted and transmitted from the second communication terminal with an encryption key based on the identifier of the server, and a session stored in the storage unit A session code comparison means for comparing / collating the code with the session code from the second communication terminal, and a session code to be confirmed when the session codes compared and collated by the session code comparison means match Store the status information in the storage unit. Status update means for storing the status information of the session code in the storage section, and status information transmission means for returning the status information of the session code in the storage section in response to an inquiry about the status of the session code from the service providing server. It has the composition provided.
この構成により、第1の通信端末によって生成されたセッションコードと第2の通信端末からサービス提供サーバの識別子を基にした暗号鍵で暗号化されたセッションコードとを比較・照合し、照合された互いのセッションコードが一致した場合、確認済みとするセッションコードの状態情報を、サービス提供サーバからのセッションコードの状態の問い合わせに応じてサービス提供サーバに返送するため、サービス提供サーバと第2の通信端末との間の通信に対するフィッシングや中間者攻撃を受けることなく、認証情報を持たない通信端末でも他の通信端末を併用しながら安全性の高いオンラインサービスを利用者に提供することができる。 With this configuration, the session code generated by the first communication terminal and the session code encrypted with the encryption key based on the identifier of the service providing server from the second communication terminal are compared and verified. When the session codes match each other, the status information of the confirmed session code is returned to the service providing server in response to the session code status inquiry from the service providing server. Without being subject to phishing or man-in-the-middle attacks on communication with a terminal, a highly secure online service can be provided to a user while using another communication terminal even with a communication terminal having no authentication information.
請求項12に記載の認証サーバは、請求項11に記載の認証サーバにおいて、前記セッションコード比較手段で比較・照合された互いのセッションコードが一致した場合、前記第2の通信端末の利用者に提供するサービスの内容を暗号化するための共通鍵を生成する共通鍵生成手段と、前記共通鍵生成手段で生成された共通鍵を前記記憶部に保存する共通鍵保存手段と、前記記憶部に保存された共通鍵を、当該サーバの識別子を基にした暗号鍵で暗号化して前記第2の通信端末に送信する共通鍵送信手段とを備え、前記状態情報送信手段は、サービス提供サーバからのセッションコードの状態の問い合わせに応じて、前記記憶部における前記セッションコードの状態情報とともに前記共通鍵を返送する構成を有している。 An authentication server according to a twelfth aspect is the authentication server according to the eleventh aspect, in which when the session codes compared and verified by the session code comparison means match, the user of the second communication terminal is notified. A common key generating unit that generates a common key for encrypting the contents of the service to be provided; a common key storing unit that stores the common key generated by the common key generating unit in the storage unit; and A common key transmitting unit that encrypts the stored common key with an encryption key based on an identifier of the server and transmits the encrypted common key to the second communication terminal, and the state information transmitting unit includes: In response to an inquiry about the status of the session code, the common key is returned together with the status information of the session code in the storage unit.
この構成により、サービス提供サーバから第2の通信端末の利用者に提供するサービスの内容を、認証サーバで生成された、暗号化や復号に必要な計算量が少なくて済む共通鍵によって暗号化させることができるため、サービス提供サーバや第2の通信端末における処理負荷を減らすことができる。 With this configuration, the content of the service provided from the service providing server to the user of the second communication terminal is encrypted with the common key generated by the authentication server and requiring a small amount of calculation required for encryption and decryption. Therefore, the processing load on the service providing server and the second communication terminal can be reduced.
請求項13に記載の認証システムは、サービスを提供するサービス提供サーバと、前記サービスに関わるセッションコードを生成する第1の通信端末と、前記サービスを要求する第2の通信端末とを備え、前記第1の通信端末は、生成したセッションコードを前記サービス提供サーバに送信し、前記第2の通信端末は、前記第1の通信端末によって生成されたセッションコードを前記サービス提供サーバの識別子を基にした暗号鍵で暗号化して前記サービス提供サーバに送信し、前記サービス提供サーバは、前記第1の通信端末から受信したセッションコードと前記第2の通信端末から受信・復号したセッションコードとを比較・照合し、互いのセッションコードが一致した場合、前記第2の通信端末の利用者に前記サービスの提供を許可する構成を有している。 The authentication system according to claim 13, comprising a service providing server that provides a service, a first communication terminal that generates a session code related to the service, and a second communication terminal that requests the service, The first communication terminal transmits the generated session code to the service providing server, and the second communication terminal uses the session code generated by the first communication terminal based on the identifier of the service providing server. The service providing server compares the session code received from the first communication terminal with the session code received / decrypted from the second communication terminal. If the session codes match, the second communication terminal user is allowed to provide the service. It has a configuration.
この構成により、サービス提供サーバが、第1の通信端末によって生成されたセッションコードと第2の通信端末から当該サーバの識別子を基にした暗号鍵で暗号化されて送られてきたセッションコードとを照合し、互いのセッションコードが一致した場合、第2の通信端末の利用者にサービスの提供を許可し、また、第2の通信端末の利用者に提供するサービスの内容も当該サーバの識別子を基にした暗号鍵によって暗号化するため、サービス提供サーバと第2の通信端末との間の通信に対するフィッシングや中間者攻撃を受けることなく、認証情報を持たない通信端末でも他の通信端末を併用しながら安全性の高いオンラインサービスを利用者に提供することができる。 With this configuration, the service providing server includes a session code generated by the first communication terminal and a session code encrypted and transmitted from the second communication terminal with an encryption key based on the identifier of the server. If the session codes match, the user of the second communication terminal is allowed to provide the service, and the content of the service provided to the user of the second communication terminal also uses the identifier of the server. Since encryption is performed using the encryption key based on the communication terminal, it does not suffer from phishing or man-in-the-middle attacks on the communication between the service providing server and the second communication terminal. However, it is possible to provide users with a highly secure online service.
請求項14に記載の認証システムは、請求項13に記載の認証システムにおいて、前記第2の通信端末は、前記セッションコードと共に前記第2の通信端末の利用者を確認するための確認情報を暗号化して前記サービス提供サーバに送信し、前記サービス提供サーバは、前記第2の通信端末から受信・復号した確認情報を前記第1の通信端末に送信し、前記第1の通信端末は、前記サービス提供サーバから送信された確認情報が正当であるか否かを示す確認結果を前記サービス提供サーバに送信し、前記サービス提供サーバは、前記第1の通信端末から受信したセッションコードと前記第2の通信端末から受信・復号したセッションコードとが一致し、かつ前記確認結果が正当を示しているとき、前記第2の通信端末の利用者に前記サービスの提供を許可する構成を有している。 The authentication system according to claim 14 is the authentication system according to claim 13, wherein the second communication terminal encrypts confirmation information for confirming a user of the second communication terminal together with the session code. Transmitted to the service providing server, the service providing server transmits confirmation information received / decoded from the second communication terminal to the first communication terminal, and the first communication terminal transmits the service information to the service providing server. A confirmation result indicating whether or not the confirmation information transmitted from the providing server is valid is transmitted to the service providing server, and the service providing server includes the session code received from the first communication terminal and the second When the session code received / decoded from the communication terminal matches and the confirmation result indicates validity, the service of the second communication terminal is given to the user. It has a configuration that permits provided.
この構成により、セッションコードが盗み出されてしまった場合に備えて、確認情報が正当であることを第1の通信端末の利用者に確認させながら、第2の通信端末の利用者にサービスの提供を許可するため、より安全性の高いオンラインサービスを利用者に提供することができる。 With this configuration, in preparation for the case where the session code is stolen, providing the service to the user of the second communication terminal while allowing the user of the first communication terminal to confirm that the confirmation information is valid Therefore, it is possible to provide a user with a safer online service.
請求項15に記載の認証システムは、サービスを提供するサービス提供サーバと、前記サービスに関わるセッションコードを生成する第1の通信端末と、前記サービスを要求する第2の通信端末と、前記第1の通信端末の利用者を認証する認証サーバとを備え、前記第1の通信端末は、生成したセッションコードを前記認証サーバに送信し、前記第2の通信端末は、前記第1の通信端末によって生成されたセッションコードを前記サービス提供サーバの識別子を基にした暗号鍵で暗号化して前記サービス提供サーバに送信し、サービス提供サーバは、前記第2の通信端末から受信・復号したセッションコードを前記認証サーバに転送し、前記認証サーバは、前記第1の通信端末から受信したセッションコードと前記サービス提供サーバで受信・復号されて転送されてきたセッションコードとを比較・照合し、一致した場合は確認済みとするセッションコードの状態情報を、一致しない場合は未確認とするセッションコードの状態情報を前記サービス提供サーバに送信する構成を有している。 The authentication system according to claim 15, a service providing server that provides a service, a first communication terminal that generates a session code related to the service, a second communication terminal that requests the service, and the first An authentication server for authenticating a user of the communication terminal, wherein the first communication terminal transmits the generated session code to the authentication server, and the second communication terminal is transmitted by the first communication terminal. The generated session code is encrypted with an encryption key based on the identifier of the service providing server and transmitted to the service providing server. The service providing server receives the session code received and decrypted from the second communication terminal. The authentication server receives the session code received from the first communication terminal and the service providing server. The session code that has been decrypted and transferred is compared and checked, and if it matches, the status information of the session code that has been confirmed is sent to the service providing server. It has the composition to do.
この構成により、認証サーバが、第1の通信端末によって生成されたセッションコードとサービス提供サーバから第2の通信端末において該サービス提供サーバの識別子を基にした暗号鍵で暗号化され転送されてきたセッションコードとを比較・照合し、照合された互いのセッションコードが一致した場合、確認済みとするセッションコードの状態情報をサービス提供サーバに送信するため、サービス提供サーバと第2の通信端末との間の通信に対するフィッシングや中間者攻撃を受けることなく、認証情報を持たない通信端末でも他の通信端末を併用しながら安全性の高いオンラインサービスを利用者に提供することができる。 With this configuration, the authentication server has been encrypted and transferred by the encryption key based on the session code generated by the first communication terminal and the identifier of the service providing server in the second communication terminal from the service providing server. When the session codes are compared and collated, and the collated session codes match, the status information of the session code to be confirmed is transmitted to the service providing server, so that the service providing server and the second communication terminal Without being subjected to phishing or man-in-the-middle attacks on inter-communication, a communication terminal having no authentication information can provide a highly secure online service to a user while using another communication terminal together.
請求項16に記載の認証システムは、請求項15に記載の認証システムにおいて、前記認証サーバは、前記第1の通信端末から受信したセッションコードと前記サービス提供サーバで受信・復号されて転送されてきたセッションコードとを比較・照合し、一致しない場合は未確認とするセッションコードの状態情報を前記サービス提供サーバに送信し、一致した場合はサービス提供サーバの正当性を確認するためのサービス提供サーバ確認情報を生成して前記第1の通信端末に送信し、前記第1の通信端末は、前記認証サーバから送信されたサービス提供サーバ確認情報が正当であるか否かを示す確認結果を前記認証サーバに送信し、前記認証サーバは、前記確認結果が正当を示しているとき、確認済みとするセッションコードの状態情報を前記サービス提供サーバに送信する構成を有している。 An authentication system according to claim 16 is the authentication system according to claim 15, wherein the authentication server is received and decrypted by the session code received from the first communication terminal and the service providing server and transferred. Compares and collates with the session code, and if it does not match, sends the status information of the unconfirmed session code to the service providing server, and if it matches, confirms the service providing server to confirm the validity of the service providing server Information is generated and transmitted to the first communication terminal, and the first communication terminal sends a confirmation result indicating whether or not the service providing server confirmation information transmitted from the authentication server is valid. And the authentication server sends the status information of the session code to be confirmed when the confirmation result indicates validity. It has a configuration for transmitting the serial service providing server.
この構成により、セッションコードが盗み出されてしまった場合に備えて、サービス提供サーバの正当性を確認するための確認情報が正当であることを第1の通信端末の利用者に確認させながら、セッションコードの状態を確認済みとするため、より安全性の高いオンラインサービスを利用者に提供することができる。 With this configuration, in preparation for the case where the session code is stolen, the user of the first communication terminal confirms that the confirmation information for confirming the validity of the service providing server is valid. Since the code status is confirmed, a more secure online service can be provided to the user.
請求項17に記載の認証システムは、請求項15に記載の認証システムにおいて、前記第2の通信端末は、前記セッションコードと共に前記第2の通信端末の利用者を確認するための確認情報を暗号化して前記サービス提供サーバに送信し、前記サービス提供サーバは、前記セッションコードと共に前記第2の通信端末から受信・復号した確認情報を前記認証サーバに転送し、前記認証サーバは、前記第1の通信端末から受信したセッションコードと前記サービス提供サーバで受信・復号されて転送されてきたセッションコードとを比較・照合し、一致しない場合は未確認とするセッションコードの状態情報を前記サービス提供サーバに送信し、一致した場合は前記サービス提供サーバで受信・復号されて転送されてきた確認情報を前記第1の通信端末に送信し、前記第1の通信端末は、前記認証サーバから送信された確認情報が正当であるか否かを示す確認結果を前記認証サーバに送信し、前記認証サーバは、前記確認結果が正当を示しているとき、確認済みとするセッションコードの状態情報を前記サービス提供サーバに送信する構成を有している。 The authentication system according to claim 17 is the authentication system according to claim 15, wherein the second communication terminal encrypts confirmation information for confirming a user of the second communication terminal together with the session code. Transmitted to the service providing server, and the service providing server transfers the confirmation information received and decrypted from the second communication terminal together with the session code to the authentication server. The session code received from the communication terminal is compared and collated with the session code received / decoded and transferred by the service providing server. If they do not match, the status information of the unconfirmed session code is transmitted to the service providing server. If there is a match, the confirmation information received and decrypted by the service providing server is transferred to the first information. Transmitted to the communication terminal, the first communication terminal transmits a confirmation result indicating whether or not the confirmation information transmitted from the authentication server is valid, to the authentication server, the authentication server Is valid, the session code status information to be confirmed is transmitted to the service providing server.
この構成により、セッションコードが盗み出されてしまった場合に備えて、第2の通信端末の利用者を確認するための確認情報が正当であることを第1の通信端末の利用者に確認させながら、セッションコードの状態を確認済みとするため、より安全性の高いオンラインサービスを利用者に提供することができる。 With this configuration, in preparation for the case where the session code is stolen, the user of the first communication terminal confirms that the confirmation information for confirming the user of the second communication terminal is valid. Since the session code status is confirmed, a more secure online service can be provided to the user.
請求項18に記載の認証システムは、サービスを提供するサービス提供サーバと、前記サービスに関わるセッションコードを生成する第1の通信端末と、前記サービスを要求する第2の通信端末と、前記第1の通信端末の利用者を認証する認証サーバとを備え、前記第1の通信端末は、生成したセッションコードを前記認証サーバに送信し、前記第2の通信端末は、前記第1の通信端末によって生成されたセッションコードを前記認証サーバの識別子を基にした暗号鍵で暗号化して前記認証サーバに送信し、前記第2の通信端末は、前記第1の通信端末によって生成されたセッションコードを前記サービス提供サーバの識別子を基にした暗号鍵で暗号化して前記サービス提供サーバに送信し、前記サービス提供サーバは、前記第2の通信端末から受信・復号したセッションコードの状態の問い合わせを前記認証サーバに送信し、前記認証サーバは、前記第1の通信端末から受信したセッションコードと前記第2の通信端末から受信・復号したセッションコードとを比較・照合し、一致した場合は確認済みとするセッションコードの状態情報を、一致しない場合は未確認とするセッションコードの状態情報を、前記サービス提供サーバからのセッションコードの状態の問い合わせに応じて前記サービス提供サーバに返送する構成を有している。 The authentication system according to claim 18, wherein a service providing server that provides a service, a first communication terminal that generates a session code related to the service, a second communication terminal that requests the service, and the first An authentication server for authenticating a user of the communication terminal, wherein the first communication terminal transmits the generated session code to the authentication server, and the second communication terminal is transmitted by the first communication terminal. The generated session code is encrypted with an encryption key based on the identifier of the authentication server and transmitted to the authentication server, and the second communication terminal transmits the session code generated by the first communication terminal to the authentication server. Encrypted with an encryption key based on the identifier of the service providing server and transmitted to the service providing server, and the service providing server sends the second communication terminal The session code received and decrypted is sent to the authentication server, and the authentication server receives the session code received from the first communication terminal and the session code received and decrypted from the second communication terminal. In response to an inquiry about the status of the session code from the service providing server, the status information of the session code that has been confirmed if they match, the status information of the session code that has not been confirmed if they do not match, It has the structure which returns to the said service provision server.
この構成により、第1の通信端末によって生成されたセッションコードと第2の通信端末から認証サーバの識別子を基にした暗号鍵で暗号化されたセッションコードとを比較・照合し、照合された互いのセッションコードが一致した場合、セッションコードの状態を確認済みとする状態確認情報を、サービス提供サーバからのセッションコードの状態の問い合わせに応じてサービス提供サーバに返送するため、サービス提供サーバと第2の通信端末との間の通信に対するフィッシングや中間者攻撃を受けることなく、認証情報を持たない通信端末でも他の通信端末を併用しながら安全性の高いオンラインサービスを利用者に提供することができる。 With this configuration, the session code generated by the first communication terminal and the session code encrypted by the encryption key based on the identifier of the authentication server from the second communication terminal are compared and verified, and the verified mutual codes are compared. If the session codes match, the status confirmation information indicating that the session code status has been confirmed is returned to the service providing server in response to the session code status inquiry from the service providing server. Without being subject to phishing or man-in-the-middle attacks on communications with other communication terminals, it is possible to provide users with highly secure online services while using other communication terminals even on communication terminals that do not have authentication information. .
本発明によれば、サービス提供サーバもしくは認証サーバの識別子を基にして共有された鍵を利用することで、真のサーバと通信していることが保証される。また、安全に共有された鍵を用いて暗号通信を行うため、盗聴・改ざんを防止できる。さらに、サーバ認証のためのPKI証明書が不要となり、利用者はサーバの識別子に誤りがないことを確認すれば良く、証明書の確認が不要となる。 According to the present invention, by using a key shared based on an identifier of a service providing server or an authentication server, it is guaranteed that communication is performed with a true server. Further, since encrypted communication is performed using a securely shared key, wiretapping and tampering can be prevented. Furthermore, a PKI certificate for server authentication is not required, and the user only needs to confirm that there is no error in the server identifier, and the certificate confirmation is not necessary.
以下、本発明の実施の形態に係る認証システムについて、図面を参照して説明する。 Hereinafter, an authentication system according to an embodiment of the present invention will be described with reference to the drawings.
<本発明の第1の実施の形態>
本発明の第1の実施の形態に係る認証システムのシステム構成図を図5に示す。図5に示した認証システムは、サービス提供サーバ100と、高信頼の第1の通信端末1と、低信頼の第2の通信端末2とから構成されている。なお、識別子を基にした鍵共有の手法として前記IBEを用いる場合は、該識別子を基にした暗号鍵(公開鍵)に対応する秘密鍵を生成・発行するキーサーバが必要であり、サービス提供サーバや第2の通信端末も、前記暗号鍵で暗号化されたデータを復号するために当該キーサーバから対応する秘密鍵を入手する必要があるが、この点は本願発明と直接関係しないため省略する。また、サービス提供サーバ100は、例えば、EC(電子商取引:Electronic Commerce)サイトを提供するものであり、汎用のコンピュータ等によって構成される。
<First embodiment of the present invention>
FIG. 5 shows a system configuration diagram of the authentication system according to the first embodiment of the present invention. The authentication system illustrated in FIG. 5 includes a
サービス提供サーバ100および通信端末2は、ネットワーク3を介して互いに通信可能であり、また、サービス提供サーバ100および通信端末1は、ネットワーク4およびネットワーク3を介して互いに通信可能である。なお、本発明の実施の形態では、通信端末1を利用者が契約し所有している携帯電話機、通信端末2をインターネットカフェ等に設置されたパーソナルコンピュータや通信端末1の利用者が所有するパーソナルコンピュータ、ネットワーク3をインターネット、ネットワーク4を携帯電話網として説明する。但し、通信端末1、通信端末2、ネットワーク3およびネットワーク4は、上述したものに限定されることはない。
The
なお、本発明の第1の実施の形態では、鍵共有の手法として前記IBEを用い、認証を必要とするオンラインサービス、例えば電子商取引等のサービスを受けたいときに、通信端末1を利用しながら、電子証明書等の認証情報を持たない通信端末2が、サービス提供サーバ100によって行われる認証を成功させるような形態について説明している。
In the first embodiment of the present invention, the IBE is used as a key sharing method, and the communication terminal 1 is used when receiving an online service requiring authentication, for example, a service such as electronic commerce. A mode in which the
図6は本実施の形態に係る認証システムの動作の概要を示すものである。 FIG. 6 shows an outline of the operation of the authentication system according to the present embodiment.
まず、通信端末2の利用者は、例えば、サービス提供サーバ(SP)100でこれから購入する物品について電子決済する場合、サービス提供サーバ100に対し電子決済サービスの要求を行うときに、利用者が所有する通信端末(携帯電話機)1を操作することによって、通信端末1は、セッションコードを生成し(1.)て画面に表示すると共に、生成したセッションコードをネットワーク4,3経由でサービス提供サーバ100に送信する(2.)。
First, when the user of the
なお、セッションコードは、任意の文字列やQRコード(登録商標)等、サービスの商取引を識別可能なものであれば如何なるものでも良い。また、セッションコードは、本認証システムで唯一に識別されるコードであり、他の通信端末1(携帯電話機)が生成したセッションコードとは重複しないようになっている。例えば、セッションコードには、携帯電話番号が含まれるようにしても良い。 The session code may be any character string or QR code (registered trademark) as long as it can identify the business transaction of the service. The session code is a code uniquely identified by the authentication system, and does not overlap with a session code generated by another communication terminal 1 (mobile phone). For example, the session code may include a mobile phone number.
また、通信端末1は、セッションコードを送信する前に、SSL(Secure Sockets Layer)等に準拠してサービス提供サーバ100とのセッションを確立させ、確立させたセッションを通じてセッションコードをサービス提供サーバ100に送信するようにしても良い。
Further, before transmitting the session code, the communication terminal 1 establishes a session with the
次に、通信端末2の利用者は、通信端末1の画面に表示されたセッションコードを見て、通信端末2のキーボード等の入力機器を利用して通信端末2に入力する(2.)。セッションコードが入力されたとき、通信端末2は、入力されたセッションコードをサービス要求と共に、サービス提供サーバ100の識別子(URLなど)を基にしたIBE鍵で暗号化し、ネットワーク3経由でサービス提供サーバ100に送信する(3.)。
Next, the user of the
なお、セッションコードを入力機器を利用して通信端末2に入力するとして説明したが、通信端末1と通信端末2との間をブルートゥース(Blue tooth:登録商標)や赤外線、またはその他の種々の方法で通信することにより、通信端末2が、セッションコードを通信端末1から入力するようにしても良い。なお、セッションコードがQRコードである場合には、通信端末2にQRコードの読取装置を接続しておき、この読取装置が、通信端末1の画面に表示されたQRコードを読み取ってセッションコードを通信端末2に入力するようにしても良い。
Although the session code has been described as being input to the
次に、サービス提供サーバ100は、通信端末2から受信したセッションコードを前記IBE鍵に対応する(キーサーバから予め取得した)秘密鍵で復号し、これと通信端末1から受信したセッションコードとを比較・照合し(4.)、互いのセッションコードが一致した場合、セッションコードの状態を確認済みとして通信端末2の利用者に電子決済サービスの提供を許可し、前記IBE鍵で暗号化したサービスをネットワーク3経由で提供する(5.)。なお、ここで説明した電子決済サービスは、1つの例示に過ぎず、本発明でいうサービスは、ネットワーク上で行うことができるサービスであれば、如何なるものでも良い。
Next, the
本発明の第1の実施の形態に係るサービス提供サーバの装置構成図を図7に示す。 FIG. 7 shows a device configuration diagram of the service providing server according to the first embodiment of the present invention.
図7に示したサービス提供サーバ100は、ネットワーク3との間で通信を行う通信インタフェース110とともに、CPU等のプロセッサおよびハードディスク等の記憶装置等によって構成される各手段、即ち記憶部120と、セッションコード受信手段131、セッションコード保存手段132、セッションコード比較手段133、状態更新手段134および端末1認証手段135からなるセッションコード処理部130と、サービス要求受信手段141、サービス提供可否判定手段142、暗号化手段143および送信手段144からなるサービス提供部140と、IBE鍵部分情報取得手段151、IBE鍵生成手段152およびIBE鍵保存手段153からなるIBE鍵処理部150と、要求処理部160とを有する。
The
記憶部120は、セッションコードおよびIBE鍵に関する情報を記憶・保存する。
The
セッションコード受信手段131は、通信端末1によって生成され送信されたセッションコードを受信する。セッションコード保存手段132は、セッションコード受信手段131で受信したセッションコードを記憶部120に保存する。また、セッションコード保存手段132は、受信したセッションコードに対応付けて、そのセッションコードの正当性を確認したか否か(「確認済み」/「未確認」)を表す状態情報を記憶部120に保存(当初は「未確認」を保存)する。また、セッションコード保存手段132は、必要に応じて、通信端末1からのセッションコードを受信・保存してから通信端末2からのセッションコードを受信するまでの時間が所定の指定時間以内かどうかを判定し、指定時間を超えたときは当該セッションコードを記憶部120から削除するための図示しないタイマ(タイムアウト用タイマ)をセットする。なお、セッションコードの正当性については、後述するようにセッションコード同士の比較・照合、各種の確認情報などにより判定される。
The session
サービス要求受信手段141は、通信端末2からサービスの要求を受け付けると共に当該サーバ100の識別子を基にしたIBE鍵で暗号化されたセッションコードを受信し、当該IBE鍵に対応する(キーサーバから予め取得した)秘密鍵で復号する。
The service
セッションコード比較手段133は、記憶部120に保存された通信端末1からのセッションコードとサービス要求受信手段141で受信・復号した通信端末2からのセッションコードとを比較・照合する。状態更新手段134は、セッションコード比較手段133によって比較・照合された互いのセッションコードが一致した場合は記憶部120に保存された当該セッションコードの状態情報を「確認済み」に更新し、一致しない場合はそのままの状態(「未確認」)とする。また、状態更新手段134は、前述したタイムアウト用タイマがセットされており、状態情報が「未確認」のままその指定時間が経過した場合は該当するセッションコードおよびこれに対応して保存されている他の情報(状態情報など)を記憶部120から削除する(タイムアウト処理)。
The session code comparison unit 133 compares and collates the session code from the communication terminal 1 stored in the
サービス提供可否判定手段142は、記憶部120における前記セッションコードの状態情報が「確認済み」であるとき、通信端末1と対応する通信端末2の利用者にサービスの提供を許可する。暗号化手段143は、通信端末2の利用者に提供するサービスの内容を、記憶部120に記憶されたIBE鍵で暗号化する。送信手段144は、暗号化手段143で暗号化されたサービス内容を通信端末2に送信する。
When the status information of the session code in the
IBE鍵部分情報取得部151は、IBE鍵を生成する際の基となる情報、即ち当該サーバ100の識別子やセッションコードを記憶部120などから、また、IBEの公開パラメータをキーサーバから取得する。IBE鍵生成手段152は、IBE鍵部分情報取得部151で取得した情報、例えば当該サーバ100の識別子を基にしてIBE鍵を生成する。IBE鍵保存手段153は、IBE鍵生成手段152で生成したIBE鍵を記憶部120に保存する。
The IBE key part
要求処理部160は、各手段から出力された情報を通信インタフェース110を介してネットワーク3に送信し、ネットワーク3から通信インタフェース110を介して受信した情報を振り分けて対象となる手段に出力するようになっている。
The
なお、端末1認証手段135は、通信端末1からセッションコードを送信する前に、必要に応じて通信端末1とサービス提供サーバ100との間で認証を行うための手段であり、通信端末からの通信端末1の利用者を認証するための認証情報、例えば利用者識別子およびパスワード、電子証明書、または生体認証するための情報などを含む認証要求を受け付け、予め記憶装置に保持している認証情報に基づいて通信端末1の利用者を認証する。
The terminal 1
なお、セッションコード処理部130、サービス提供処理部140、IBE鍵処理部150、および要求処理部160は、CPU等のプロセッサによって処理されるプログラムのモジュールで構成されるようにしても良い。
The session
以上のように構成された本発明の第1の実施の形態に係るサービス提供サーバ100の動作について、システム全体の動作とともに図面を参照して説明する。図8は、本発明の第1の実施の形態に係る認証システムの動作シーケンス図である。
The operation of the
まず、セッションコード受信手段131が通信端末1によって生成され送信されたセッションコードを受信すると、セッションコード保存手段132は、セッションコード受信手段131で受信したセッションコードを記憶部120に保存する。また、セッションコード保存手段132は、受信したセッションコードに対応付けて「未確認」の状態情報を記憶部120に保存する。さらにまた、必要に応じて、セッションコード保存手段132は、タイムアウト用タイマをセットする。
First, when the session
なお、通信端末1からのセッションコードの受信に先立って、端末1認証手段135により、当該サービス提供サーバ100と通信端末1との間で通信端末1の利用者の認証を行うようにしても良い。
Prior to receiving the session code from the communication terminal 1, the terminal 1
次に、サービス要求受信手段141が通信端末2からサービスの要求を受け付けると共に当該サーバ100の識別子を基にしたIBE鍵で暗号化されたセッションコードを受信し、当該IBE鍵に対応する秘密鍵で復号すると、セッションコード比較手段133は、記憶部120に保存されたセッションコードとサービス要求受信手段141で受信・復号したセッションコードとを比較・照合する。
Next, the service
セッションコード比較手段133による比較・照合の結果、互いのセッションコードが一致した場合、状態更新手段134は、記憶部120に保存された該当するセッションコードの状態情報を「確認済み」に更新し、一致しない場合はそのままの状態(「未確認」)とする。
As a result of the comparison / collation by the session code comparison unit 133, when the session codes match each other, the
なお、前述したタイムアウト用タイマがセットされている場合、状態情報が「未確認」のまま所定の指定時間が経過したとき、状態更新手段134は、該当するセッションコードおよびこれに対応して保存されている他の情報を記憶部120から削除する。
When the above-described timeout timer is set, when a predetermined designated time has passed with the status information “unconfirmed”, the
記憶部120における前記セッションコードの状態情報が「確認済み」であるとき、サービス提供可否判定手段142は、通信端末1と対応する通信端末2の利用者にサービスの提供を許可する。通信端末2の利用者に提供されるサービスの内容は、暗号化手段143により記憶部120に記憶されたIBE鍵で暗号化され、送信手段144から通信端末2に送信される。
When the status information of the session code in the
以上説明したように、本発明の第1の実施の形態に係るサービス提供サーバおよび認証システムは、携帯電話網等の安全なネットワーク4を経由して、携帯電話機等の通信端末1によって送信されたセッションコードと、通信端末2からサービスの要求を受け付けたときの当該サービス提供サーバの識別子を基にしたIBE鍵で暗号化されて送られてきたセッションコードとを比較・照合し、互いのセッションコードが一致した場合に、通信端末2の利用者にサービスの提供を許可し、また、通信端末2の利用者に提供するサービスの内容もサービス提供サーバの識別子を基にしたIBE鍵によって暗号化するため、サービス提供サーバと通信端末2との間の通信に対するフィッシングや中間者攻撃を受けることなく、認証情報を持たない通信端末2でも通信端末1を併用しながら安全性の高いオンラインサービスを利用者に提供することができる。
As described above, the service providing server and the authentication system according to the first embodiment of the present invention are transmitted by the communication terminal 1 such as a mobile phone via the secure network 4 such as the mobile phone network. The session code is compared and collated with a session code encrypted with an IBE key based on the identifier of the service providing server when a service request is received from the
<本発明の第2の実施の形態>
本発明の第2の実施の形態に係る認証システムの動作の概要を図9に示す。
<Second embodiment of the present invention>
FIG. 9 shows an outline of the operation of the authentication system according to the second embodiment of the present invention.
本発明の第2の実施の形態は、前述した第1の実施の形態において、通信端末2の利用者にサービスを提供する際、サービス内容を当該通信端末2で生成した共通鍵で暗号化するような形態である。
In the second embodiment of the present invention, in providing the service to the user of the
また、本発明の第2の実施の形態では、鍵共有の手法として前記IBEを用い、認証を必要とするオンラインサービス、例えば電子商取引等のサービスを受けたいときに、通信端末1を利用しながら、電子証明書等の認証情報を持たない通信端末2が、サービス提供サーバ100によって行われる認証を成功させるような形態について説明している。
In the second embodiment of the present invention, the IBE is used as a key sharing method, and the communication terminal 1 is used when receiving an online service requiring authentication, for example, a service such as electronic commerce. A mode in which the
なお、本実施の形態に係る認証システムの構成は第1の実施の形態の場合と同様である。 The configuration of the authentication system according to the present embodiment is the same as that in the first embodiment.
まず、通信端末2の利用者は、例えば、サービス提供サーバ(SP)100でこれから購入する物品について電子決済する場合、サービス提供サーバ100に対し電子決済サービスの要求を行うときに、利用者が所有する通信端末(携帯電話機)1を操作することによって、通信端末1は、セッションコードを生成し(1.)て画面に表示すると共に、生成したセッションコードをネットワーク4,3経由でサービス提供サーバ100に送信する(2.)。
First, when the user of the
次に、通信端末2の利用者は、通信端末1の画面に表示されたセッションコードを見て、通信端末2のキーボード等の入力機器を利用して通信端末2に入力する(2.)。セッションコードが入力されると、通信端末2は、例えば所定ビット数の乱数などからなる共通鍵を生成し(3.)、入力されたセッションコードをサービス要求および前述した共通鍵と共に、サービス提供サーバ100の識別子(URLなど)を基にしたIBE鍵で暗号化し、サービス提供サーバ100に送信する(4.)。
Next, the user of the
次に、サービス提供サーバ100は、通信端末2から受信したセッションコードを前記IBE鍵に対応する(キーサーバから予め取得した)秘密鍵で復号し、これと通信端末1から受信したセッションコードとを比較・照合し(5.)、互いのセッションコードが一致した場合、セッションコードの状態を確認済みとして通信端末2の利用者に電子決済サービスの提供を許可し、前記セッションコードと共に受信・復号した共通鍵でサービスの内容を暗号化し、ネットワーク3経由で提供する(6.)。
Next, the
本発明の第2の実施の形態に係るサービス提供サーバの装置構成図を図10に示す。図10に示したサービス提供サーバ100は、第1の実施の形態に係るサービス提供サーバ100の構成に加えて、共通鍵受信手段171および共通鍵保存手段172からなる共通鍵処理部170を有する。
FIG. 10 shows an apparatus configuration diagram of a service providing server according to the second embodiment of the present invention. The
共通鍵受信手段171は、サービス提供サーバ100の識別子を基にしたIBE鍵で暗号化されたセッションコードを通信端末2から受信したとき、当該通信端末2で生成され、同様なIBE鍵で暗号化されて送られてきた共通鍵を受信し、当該IBE鍵に対応する(キーサーバから予め取得した)秘密鍵で復号する。共通鍵保存手段172は、前記共通鍵受信手段171で受信・復号した共通鍵を、前記セッションコードに対応付けて記憶部120に保存する。
When the common
なお、共通鍵処理部170は、CPU等のプロセッサによって処理されるプログラムのモジュールで構成されるようにしても良い。
The common
また、暗号化手段143は、通信端末2の利用者に提供するサービスの内容を、記憶部120に前記セッションコードに対応付けられて記憶された共通鍵で暗号化するものとする。
The
以上のように構成された本発明の第2の実施の形態に係るサービス提供サーバの動作について、システム全体の動作とともに図面を参照して説明する。図11は、本発明の第2の実施の形態に係る認証システムの動作シーケンス図である。 The operation of the service providing server according to the second embodiment of the present invention configured as described above will be described with reference to the drawings together with the operation of the entire system. FIG. 11 is an operation sequence diagram of the authentication system according to the second embodiment of the present invention.
まず、セッションコード受信手段131が通信端末1によって生成され送信されたセッションコードを受信すると、セッションコード保存手段132は、セッションコード受信手段131で受信したセッションコードを記憶部120に保存する。また、セッションコード保存手段132は、受信したセッションコードに対応付けて「未確認」の状態情報を記憶部120に保存する。さらにまた、必要に応じて、セッションコード保存手段132は、タイムアウト用タイマをセットする。
First, when the session
なお、通信端末1からのセッションコードの受信に先立って、端末1認証手段135により、当該サービス提供サーバ100と通信端末1との間で通信端末1の利用者の認証を行うようにしても良い。
Prior to receiving the session code from the communication terminal 1, the terminal 1
次に、サービス要求受信手段141が通信端末2からサービスの要求を受け付けると共に当該サーバ100の識別子を基にしたIBE鍵で暗号化されたセッションコードを受信し、当該IBE鍵に対応する秘密鍵で復号すると、セッションコード比較手段133は、記憶部120に保存されたセッションコードとサービス要求受信手段141で受信・復号したセッションコードとを比較・照合する。また、この際、共通鍵受信手段171は、通信端末2からサービス要求およびセッションコードとともに送られてきた共通鍵、即ち通信端末2で生成され、サーバ100の識別子を基にしたIBE鍵で暗号化された共通鍵を受信し、当該IBE鍵に対応する秘密鍵で復号する。さらに、共通鍵保存手段172は、前記共通鍵受信手段171で受信・復号した共通鍵を、前記セッションコードに対応付けて記憶部120に保存する。
Next, the service
セッションコード比較手段133による比較・照合の結果、互いのセッションコードが一致した場合、状態更新手段134は、記憶部120に保存された該当するセッションコードの状態情報を「確認済み」に更新し、一致しない場合はそのままの状態(「未確認」)とする。
As a result of the comparison / collation by the session code comparison unit 133, when the session codes match each other, the
なお、前述したタイムアウト用タイマがセットされている場合、状態情報が「未確認」のまま所定の指定時間が経過したとき、状態更新手段134は、該当するセッションコードおよびこれに対応して保存されている他の情報を記憶部120から削除する。
When the above-described timeout timer is set, when a predetermined designated time has passed with the status information “unconfirmed”, the
記憶部120における前記セッションコードの状態情報が「確認済み」であるとき、サービス提供可否判定手段142は、通信端末1と対応する通信端末2の利用者にサービスの提供を許可する。通信端末2の利用者に提供されるサービスの内容は、暗号化手段143により記憶部120に前記セッションコードに対応付けられて記憶された共通鍵で暗号化され、送信手段144から通信端末2に送信される。
When the status information of the session code in the
以上説明したように、本発明の第2の実施の形態に係るサービス提供サーバおよび認証システムは、携帯電話網等の安全なネットワーク4を経由して、携帯電話機等の通信端末1によって送信されたセッションコードと、通信端末2からサービスの要求を受け付けたときの当該サービス提供サーバの識別子を基にしたIBE鍵で暗号化されて送られてきたセッションコードとを比較・照合し、互いのセッションコードが一致した場合に、通信端末2の利用者にサービスの提供を許可し、また、通信端末2の利用者に提供するサービスの内容を通信端末2で作成した共通鍵によって暗号化するため、サービス提供サーバと通信端末2との間の通信に対するフィッシングや中間者攻撃を受けることなく、認証情報を持たない通信端末2でも通信端末1を併用しながら安全性の高いオンラインサービスを利用者に提供することができると共に、サービス提供サーバや通信端末2におけるサービス内容の暗号化や復号に必要な処理負荷を減らすことができる。
As described above, the service providing server and the authentication system according to the second embodiment of the present invention are transmitted by the communication terminal 1 such as a mobile phone via the secure network 4 such as the mobile phone network. The session code is compared and collated with a session code encrypted with an IBE key based on the identifier of the service providing server when a service request is received from the
<本発明の第3の実施の形態>
本発明の第3の実施の形態に係る認証システムの動作の概要を図12に示す。
<Third embodiment of the present invention>
An outline of the operation of the authentication system according to the third embodiment of the present invention is shown in FIG.
本発明の第3の実施の形態は、前述した第1の実施の形態において、通信端末2の利用者を確認するための端末2確認情報を、通信端末2からサービス要求およびセッションコードと共にサービス提供サーバに送信するような形態である。
The third embodiment of the present invention provides terminal 2 confirmation information for confirming the user of the
また、本発明の第3の実施の形態では、鍵共有の手法として前記IBEを用い、認証を必要とするオンラインサービス、例えば電子商取引等のサービスを受けたいときに、通信端末1を利用しながら、電子証明書等の認証情報を持たない通信端末2が、サービス提供サーバ100によって行われる認証を成功させるような形態について説明している。
In the third embodiment of the present invention, the IBE is used as a key sharing method, and the communication terminal 1 is used when receiving an online service requiring authentication, for example, a service such as electronic commerce. A mode in which the
なお、本実施の形態に係る認証システムの構成は第1の実施の形態の場合と同様である。 The configuration of the authentication system according to the present embodiment is the same as that in the first embodiment.
まず、通信端末2の利用者は、例えば、サービス提供サーバ(SP)100でこれから購入する物品について電子決済する場合、サービス提供サーバ100に対し電子決済サービスの要求を行うときに、利用者が保有する通信端末(携帯電話機)1を操作することによって、通信端末1は、セッションコードを生成し(1.)て画面に表示すると共に、生成したセッションコードをネットワーク4,3経由でサービス提供サーバ100に送信する(2.)。
First, when the user of the
次に、通信端末2の利用者は、通信端末1の画面に表示されたセッションコードを見て、通信端末2のキーボード等の入力機器を利用して通信端末2に入力する。セッションコードが入力されると、通信端末2は、当該通信端末2の利用者を確認するための端末2確認情報を生成し(3.)、これをその画面に表示し、さらに入力されたセッションコードをサービス要求および前述した端末2確認情報と共に、サービス提供サーバ100の識別子(URLなど)を基にしたIBE鍵で暗号化し、サービス提供サーバ100にネットワーク3経由で送信する(4.)。
Next, the user of the
なお、上述した端末2確認情報は、通信端末2の入力機器を利用して利用者によって任意に入力されたテキスト情報、あるいは任意に入力または選択された画像を表す画像情報などでも良い。
Note that the
次に、サービス提供サーバ100は、通信端末2から受信したセッションコードを前記IBE鍵に対応する(キーサーバから予め取得した)秘密鍵で復号し、これと通信端末1から受信したセッションコードとを比較・照合し(5.)、互いのセッションコードが一致した場合、前記セッションコードと共に通信端末2から受信・復号した端末2確認情報を、通信端末1および通信端末2を同一の利用者が利用する状況において、これが第三者より入力または選択された情報ではないことを利用者に確認させるため、通信端末1にネットワーク3,4経由で送信する(6.)。
Next, the
通信端末1の画面に、通信端末2で生成され、その画面に表示された端末2確認情報と同一の端末2確認情報が表示されたとき、利用者は、端末2確認情報が正当であり、第三者が介在していないことを確認できる。
When the
正当な端末2確認情報を確認したとき、利用者が通信端末1を操作することにより、通信端末1は端末2確認情報が正当であることを示す確認結果をサービス提供サーバ100にネットワーク4,3経由で送信する(7.)。
When the user confirms the
サービス提供サーバ100は、通信端末1から端末2確認情報が正当であることを示す確認結果を受信すると、セッションコードの状態を確認済みとして通信端末2の利用者に電子決済サービスの提供を許可し、前記IBE鍵で暗号化したサービスをネットワーク3経由で提供する(8.)。
When the
本発明の第3の実施の形態に係るサービス提供サーバの装置構成図を図13に示す。図13に示したサービス提供サーバ100は、第1の実施の形態に係るサービス提供サーバ100の構成に加えて、端末2確認情報受信手段181、端末2確認情報送信手段182、確認結果受信手段183および状態更新手段184からなる端末2確認情報処理部180を有する。
FIG. 13 shows an apparatus configuration diagram of a service providing server according to the third embodiment of the present invention. The
端末2確認情報受信手段181は、サービス提供サーバ100の識別子を基にしたIBE鍵で暗号化されたセッションコードを通信端末2から受信したとき、当該通信端末2で生成され、同様なIBE鍵で暗号化されて送られてきた、通信端末2の利用者を確認するための端末2確認情報を受信し、当該IBE鍵に対応する(キーサーバから予め取得した)秘密鍵で復号する。端末2確認情報送信手段182は、セッションコード比較手段133で比較・照合された互いのセッションコードが一致した場合、端末2確認情報受信手段181で受信・復号した端末2確認情報を通信端末1に送信する。
When the terminal 2 confirmation
確認結果受信手段183は、通信端末1から前記端末2確認情報が正当であるか否かを示す確認結果を受信する。状態更新手段184は、確認結果受信手段183で受信した確認結果が正当を示している場合は記憶部120における前記セッションコードの状態情報を「確認済み」に更新し、正当を示していない場合はそのままの状態(「未確認」)とする。
The confirmation
なお、端末2確認情報処理部180は、CPU等のプロセッサによって処理されるプログラムのモジュールで構成されるようにしても良い。
The
また、セッションコード処理部130の状態更新手段134は、通信端末2から前述した端末2確認情報を受信した場合、セッションコード比較手段133で比較・照合された互いのセッションコードが一致しても、記憶部120の状態情報を更新しないものとする。
Further, when the
以上のように構成された本発明の第3の実施の形態に係るサービス提供サーバの動作について、システム全体の動作とともに図面を参照して説明する。図14は、本発明の第3の実施の形態に係る認証システムの動作シーケンス図である。 The operation of the service providing server according to the third embodiment of the present invention configured as described above will be described with reference to the drawings together with the operation of the entire system. FIG. 14 is an operation sequence diagram of the authentication system according to the third embodiment of the present invention.
まず、セッションコード受信手段131が通信端末1によって生成され送信されたセッションコードを受信すると、セッションコード保存手段132は、セッションコード受信手段131で受信したセッションコードを記憶部120に保存する。また、セッションコード保存手段132は、受信したセッションコードに対応付けて「未確認」の状態情報を記憶部120に保存する。さらにまた、必要に応じて、セッションコード保存手段132は、タイムアウト用タイマをセットする。
First, when the session
なお、通信端末1からのセッションコードの受信に先立って、端末1認証手段135により、当該サービス提供サーバ100と通信端末1との間で通信端末1の利用者の認証を行うようにしても良い。
Prior to receiving the session code from the communication terminal 1, the terminal 1
次に、サービス要求受信手段141が通信端末2からサービスの要求を受け付けると共に当該サーバ100の識別子を基にしたIBE鍵で暗号化されたセッションコードを受信し、当該IBE鍵に対応する秘密鍵で復号すると、セッションコード比較手段133は、記憶部120に保存されたセッションコードとサービス要求受信手段141で受信・復号したセッションコードとを比較・照合する。また、この際、端末2確認情報受信手段181は、通信端末2からサービス要求およびセッションコードとともに送られてきた端末2確認情報、即ち通信端末2で生成され、サーバ100の識別子を基にしたIBE鍵で暗号化された端末2確認情報を受信し、当該IBE鍵に対応する秘密鍵で復号する。
Next, the service
セッションコード比較手段133による比較・照合の結果、互いのセッションコードが一致した場合、確認情報送信手段182は、端末2確認情報受信手段181で受信・復号した端末2確認情報を通信端末1に送信する。
As a result of the comparison / collation by the session code comparison unit 133, when the session codes match each other, the confirmation
次に、確認結果受信手段183が通信端末1から前記端末2確認情報が正当であるか否かを示す確認結果を受信すると、状態更新手段184は、確認結果受信手段183で受信した確認結果が正当を示している場合は記憶部120における前記セッションコードの状態情報を「確認済み」に更新し、正当を示していない場合はそのままの状態(「未確認」)とする。
Next, when the confirmation
なお、前述したタイムアウト用タイマがセットされている場合、状態情報が「未確認」のまま所定の指定時間が経過したとき、状態更新手段134は、該当するセッションコードおよびこれに対応して保存されている他の情報を記憶部120から削除する。
When the above-described timeout timer is set, when a predetermined designated time has passed with the status information “unconfirmed”, the
記憶部120における前記セッションコードの状態情報が「確認済み」であるとき、サービス提供可否判定手段142は、通信端末1と対応する通信端末2の利用者にサービスの提供を許可する。通信端末2の利用者に提供されるサービスの内容は、暗号化手段143により記憶部120に記憶されたIBE鍵で暗号化され、送信手段144から通信端末2に送信される。
When the status information of the session code in the
なお、第2の実施の形態の場合と同様に、通信端末2からセッションコードと共に当該通信端末2で生成した共通鍵を送信し、通信端末2の利用者に提供するサービスの内容を前記共通鍵で暗号化するようにしても良い。
As in the case of the second embodiment, the common key generated by the
以上説明したように、本発明の第3の実施の形態に係るサービス提供サーバおよび認証システムは、携帯電話網等の安全なネットワーク4を経由して、携帯電話機等の通信端末1によって送信されたセッションコードと、通信端末2からサービスの要求を受け付けたときの当該サービス提供サーバの識別子を基にしたIBE鍵で暗号化されて送られてきたセッションコードとを比較・照合し、互いのセッションコードが一致した場合は、さらに通信端末2からセッションコードとともに受信した端末2確認情報を通信端末1に送信し、当該端末2確認情報が正当であることを通信端末1の利用者に確認させた上で、通信端末2の利用者にサービスの提供を許可し、また、通信端末2の利用者に提供するサービスの内容もサービス提供サーバの識別子を基にしたIBE鍵によって暗号化するため、セッションコードが盗み出された場合でも、サービス提供サーバと通信端末2との間の通信に対するフィッシングや中間者攻撃を受けることなく、認証情報を持たない通信端末2でも通信端末1を併用しながら安全性の高いオンラインサービスを利用者に提供することができる。
As described above, the service providing server and the authentication system according to the third embodiment of the present invention are transmitted by the communication terminal 1 such as a mobile phone via the secure network 4 such as the mobile phone network. The session code is compared and collated with a session code encrypted with an IBE key based on the identifier of the service providing server when a service request is received from the
<本発明の第4の実施の形態>
本発明の第4の実施の形態に係る認証システムのシステム構成図を図15に示す。なお、本発明の第4の実施の形態に係る認証システムを構成する構成要素のうち、本発明の第1乃至第3の実施の形態に係る認証システムを構成する構成要素と同一の構成要素には同一の符号を付し、それぞれの説明を省略する。
<Fourth embodiment of the present invention>
FIG. 15 shows a system configuration diagram of an authentication system according to the fourth embodiment of the present invention. Of the constituent elements constituting the authentication system according to the fourth embodiment of the present invention, the same constituent elements as those constituting the authentication system according to the first to third embodiments of the present invention are used. Are denoted by the same reference numerals, and description thereof is omitted.
図15に示した認証システムは、サービス提供サーバ200と、認証サーバ300と、携帯電話機等の高信頼の通信端末1と、通信端末1の利用者に関わるパーソナルコンピュータ等の低信頼の通信端末2とから構成されている。なお、識別子を基にした鍵共有の手法として前記IBEを用いる場合は、該識別子を基にした暗号鍵(公開鍵)に対応する秘密鍵を生成・発行するキーサーバが必要であり、サービス提供サーバ、認証サーバや第2の通信端末も、前記暗号鍵で暗号化されたデータを復号するために当該キーサーバから対応する秘密鍵を入手する必要があるが、この点は本願発明と直接関係しないため省略する。また、サービス提供サーバ200は、例えば、EC(電子商取引:Electronic Commerce)サイトを提供するものであり、汎用のコンピュータ等によって構成される。
The authentication system shown in FIG. 15 includes a
サービス提供サーバ200、認証サーバ300および通信端末2は、ネットワーク3を介して互いに通信可能であり、また、サービス提供サーバ200、認証サーバ300および通信端末1は、ネットワーク4およびネットワーク3を介して互いに通信可能である。
The
なお、本発明の第4の実施の形態では、鍵共有の手法として前記IBEを用い、認証を必要とするオンラインサービス、例えば電子商取引等のサービスを受けたいときに、通信端末1を利用しながら、電子証明書等の認証情報を持たない通信端末2が、認証サーバ300の認証を受ければ、サービス提供サーバ200によって提供されるサービスを受けることができるような形態について説明している。
In the fourth embodiment of the present invention, the IBE is used as a key sharing technique, and the communication terminal 1 is used when receiving an online service requiring authentication, for example, a service such as electronic commerce. A mode is described in which a
図16は本実施の形態に係る認証システムの動作の概要を示すものである。 FIG. 16 shows an outline of the operation of the authentication system according to the present embodiment.
まず、通信端末2の利用者は、サービス提供サーバ200に対し電子決済サービスの要求を行う場合、通信端末1において、本発明の第1の実施の形態で説明したセッションコードを生成し(1.)て画面に表示すると共に、生成したセッションコードをネットワーク4,3経由で認証サーバ300に送信する(2.)。
First, when the user of the
なお、サービス提供サーバ200と認証サーバ300との間では、事前に、周知の相互認証処理がなされているものとする(0.)。また、通信端末1と認証サーバ300との間でも、必要に応じてセッションコードを送信する前に認証処理を行うようにしても良い。
It is assumed that a known mutual authentication process is performed in advance between the
次に、通信端末2の利用者は、通信端末1の画面に表示されたセッションコードを通信端末2に入力する(2.)。セッションコードが入力されたとき、通信端末2は、入力されたセッションコードをサービス要求と共に、サービス提供サーバ200の識別子(URLなど)を基にしたIBE鍵で暗号化し、ネットワーク3経由でサービス提供サーバ200に送信する(3.)。
Next, the user of the
次に、サービス提供サーバ200は、通信端末2から受信したセッションコードを前記IBE鍵に対応する(キーサーバから予め取得した)秘密鍵で復号し、当該セッションコードをネットワーク3経由で認証サーバ300に送信する(4.)。
Next, the
次に、認証サーバ300は、通信端末1から受信したセッションコードと通信端末2からサービス提供サーバ200の識別子を基にした暗号鍵で暗号化されて該サービス提供サーバ200に送信され、当該サービス提供サーバ200で受信・復号されて転送されてきたセッションコードとを比較・照合し(5.)、互いのセッションコードが一致した場合、確認済みとするセッションコードの状態情報をネットワーク3経由でサービス提供サーバ200に送信する(6.)。
Next, the
次に、サービス提供サーバ200は、認証サーバ300から受信したセッションコードの状態情報が確認済みであれば、通信端末2の利用者に電子決済サービスの提供を許可し、前記IBE鍵で暗号化したサービスをネットワーク3経由で提供する(7.)。なお、ここで説明した電子決済サービスは、1つの例示に過ぎず、本発明でいうサービスは、ネットワーク上で行うことができるサービスであれば、如何なるものでも良い。
Next, if the status information of the session code received from the
本発明の第4の実施の形態に係るサービス提供サーバの装置構成図を図17に示す。 FIG. 17 shows an apparatus configuration diagram of a service providing server according to the fourth embodiment of the present invention.
図17に示したサービス提供サーバ200は、ネットワーク3との間で通信を行う通信インタフェース210とともに、CPU等のプロセッサおよびハードディスク等の記憶装置等によって構成される各手段、即ち記憶部220と、セッションコード送信手段231、状態問合せ手段232、状態情報受信手段233および状態更新手段234からなるセッションコード処理部230と、サービス要求受信手段241、セッションコード保存手段242、サービス提供可否判定手段243、暗号化手段244および送信手段245からなるサービス提供部240と、IBE鍵部分情報取得手段251、IBE鍵生成手段252およびIBE鍵保存手段253からなるIBE鍵処理部250と、要求処理部260とを有する。
The
記憶部220は、セッションコードおよびIBE鍵に関する情報を記憶・保存する。
The
サービス要求受信手段241は、通信端末2からサービスの要求を受け付けると共に当該サーバ100の識別子を基にしたIBE鍵で暗号化されたセッションコードを受信し、当該IBE鍵に対応する(キーサーバから予め取得した)秘密鍵で復号する。
The service
セッションコード保存手段242は、サービス要求受信手段241で受信・復号したセッションコードを記憶部220に保存する。また、セッションコード保存手段242は、受信したセッションコードに対応付けて、そのセッションコードの正当性を確認したか否か(「確認済み」/「未確認」)を表す状態情報を記憶部220に保存(当初は「未確認」を保存)する。
The session
サービス提供可否判定手段243、暗号化手段244および送信手段245はそれぞれ、第1の実施の形態におけるサービス提供可否判定手段142、暗号化手段143および送信手段144と同一の機能を有する。
The service provision
セッションコード送信手段231は、記憶部220に保存されたセッションコードを認証サーバ300に送信する。状態問合せ手段232は、記憶部220に保存されたセッションコードの正当性が確認されたか否か(「確認済み」/「未確認」)を表す状態の問合せを認証サーバ300に送信する。
The session
状態情報受信手段233は、認証サーバ300から、通信端末1からのセッションコードと通信端末2からのセッションコードとを比較・照合した結果としてのセッションコードの状態情報、即ち一致した場合は確認済みとするセッションコードの状態情報を、一致しない場合は未確認とするセッションコードの状態情報を受信する。
The status information receiving means 233 receives from the
状態更新手段234は、状態情報受信手段233で受信した状態情報を記憶部220に記憶、即ち記憶部220に保存された前記セッションコードの状態情報を更新する。
The
IBE鍵部分情報取得部251、IBE鍵生成手段252およびIBE鍵保存手段253はそれぞれ、第1の実施の形態におけるIBE鍵部分情報取得部151、IBE鍵生成手段152およびIBE鍵保存手段153と同一の機能を有する。
The IBE key part
要求処理部260は、各手段から出力された情報を通信インタフェース210を介してネットワーク3に送信し、ネットワーク3から通信インタフェース210を介して受信した情報を振り分けて対象となる手段に出力するようになっている。
The
なお、セッションコード処理部230、サービス提供処理部240、IBE鍵処理部250、および要求処理部260は、CPU等のプロセッサによって処理されるプログラムのモジュールで構成されるようにしても良い。
The session
また、本発明の第4の実施の形態に係る認証サーバの装置構成図を図18に示す。 FIG. 18 shows a device configuration diagram of an authentication server according to the fourth embodiment of the present invention.
図18に示した認証サーバ300は、ネットワーク3との間で通信を行う通信インタフェース310とともに、CPU等のプロセッサおよびハードディスク等の記憶装置等によって構成される各手段、即ち記憶部320と、セッションコード受信手段331、セッションコード保存手段332、セッションコード比較手段333、状態更新手段334、端末1認証手段335、サービス提供サーバ認証手段336、問合せ受信手段337および状態情報送信手段338からなるセッションコード処理部330と、IBE鍵部分情報取得手段341、IBE鍵生成手段342およびIBE鍵保存手段343からなるIBE鍵処理部340と、要求処理部350とを有する。
The
記憶部320は、セッションコードおよびIBE鍵に関する情報を記憶・保存する。
The
セッションコード受信手段331は、通信端末1によって生成され送信されたセッションコードを受信する。セッションコード保存手段332は、セッションコード受信手段331で受信したセッションコードを記憶部320に保存する。また、セッションコード保存手段332は、受信したセッションコードに対応付けて、そのセッションコードの正当性を確認したか否か(「確認済み」/「未確認」)を表す状態情報を記憶部320に保存(当初は「未確認」を保存)する。また、セッションコード保存手段332は、必要に応じて、通信端末1からのセッションコードを受信・保存してから通信端末2からのセッションコードを(通信端末2から直接もしくはサービス提供サーバ200を介して)受信するまでの時間が所定の指定時間以内かどうかを判定し、指定時間を超えたときは当該セッションコードを記憶部320から削除するための図示しないタイマ(タイムアウト用タイマ)をセットする。
The session
セッションコード比較手段333は、記憶部320に保存された通信端末1からのセッションコードと通信端末2からサービス提供サーバ200の識別子を基にした暗号鍵で暗号化されて該サービス提供サーバ200に送信され、当該サービス提供サーバ200で受信・復号されて転送されてきたセッションコードとを比較・照合する。状態更新手段334は、セッションコード比較手段333によって比較・照合された互いのセッションコードが一致した場合は記憶部320に保存された当該セッションコードの状態情報を「確認済み」に更新し、一致しない場合はそのままの状態(「未確認」)とする。また、状態更新手段334は、前述したタイムアウト用タイマがセットされており、状態情報が「未確認」のままその指定時間が経過した場合は該当するセッションコードおよびこれに対応して保存されている他の情報(状態情報など)を記憶部320から削除する(タイムアウト処理)。
The session code comparison means 333 is encrypted with an encryption key based on the session code stored in the
問合せ受信手段337は、サービス提供サーバ200からのセッションコードまたはセッションコードの状態の問い合わせを受信する。状態情報送信手段338は、問合せ受信手段337でサービス提供サーバ200からのセッションコードまたはセッションコードの状態の問い合わせを受信したとき、記憶部320における前記セッションコードの状態情報をサービス提供サーバ200に送信する。
The
端末1認証手段335は、第1の実施の形態における端末1認証手段135と同一の機能を有する。サービス提供サーバ認証手段336は、サービス提供サーバ200との間で周知の相互認証処理を行う機能を有する。
The terminal 1
IBE鍵部分情報取得部341、IBE鍵生成手段342およびIBE鍵保存手段343はそれぞれ、第1の実施の形態におけるIBE鍵部分情報取得部151、IBE鍵生成手段152およびIBE鍵保存手段153と同一の機能を有する。
The IBE key part
要求処理部350は、各手段から出力された情報を通信インタフェース310を介してネットワーク3に送信し、ネットワーク3から通信インタフェース310を介して受信した情報を振り分けて対象となる手段に出力するようになっている。
The
なお、セッションコード処理部330、IBE鍵処理部340、および要求処理部350は、CPU等のプロセッサによって処理されるプログラムのモジュールで構成されるようにしても良い。
The session
以上のように構成された本発明の第4の実施の形態に係るサービス提供サーバ200および認証サーバ300の動作について、システム全体の動作とともに図面を参照して説明する。図19は、本発明の第4の実施の形態に係る認証システムの動作シーケンス図である。
Operations of the
まず、サービス提供サーバ200と認証サーバ300との間で、周知の相互認証処理を行う。
First, a known mutual authentication process is performed between the
次に、認証サーバ300において、セッションコード受信手段331が通信端末1によって生成され送信されたセッションコードを受信すると、セッションコード保存手段332は、セッションコード受信手段331で受信したセッションコードを記憶部320に保存する。また、セッションコード保存手段332は、受信したセッションコードに対応付けて「未確認」の状態情報を記憶部320に保存する。さらにまた、必要に応じて、セッションコード保存手段332は、タイムアウト用タイマをセットする。
Next, in the
なお、通信端末1からのセッションコードの受信に先立って、端末1認証手段335により、当該認証サーバ300と通信端末1との間で通信端末1の利用者の認証を行うようにしても良い。
Prior to receiving the session code from the communication terminal 1, the user of the communication terminal 1 may be authenticated between the
次に、サービス提供サーバ200において、サービス要求受信手段241が通信端末2からサービスの要求を受け付けると共に当該サーバ200の識別子を基にしたIBE鍵で暗号化されたセッションコードを受信し、当該IBE鍵に対応する秘密鍵で復号すると、セッションコード保存手段242は、サービス要求受信手段241で受信・復号したセッションコードを記憶部220に保存する。また、セッションコード保存手段242は、受信したセッションコードに対応付けて「未確認」の状態情報を記憶部220に保存する。
Next, in the
また、サービス提供サーバ200において、セッションコード送信手段231が記憶部220に保存されたセッションコードを認証サーバ300に送信する。
In the
次に、認証サーバ300において、問合せ受信手段337が通信端末2からサービス提供サーバ200の識別子を基にした暗号鍵で暗号化されて該サービス提供サーバ200に送信され、当該サービス提供サーバ200で受信・復号されて転送されてきたセッションコードを受信すると、セッションコード比較手段333は、記憶部320に保存されたセッションコードと問合せ受信手段337で受信したセッションコードとを比較・照合する。
Next, in the
また、認証サーバ300において、セッションコード比較手段333による比較・照合の結果、互いのセッションコードが一致した場合、状態更新手段334は、記憶部320に保存された該当するセッションコードの状態情報を「確認済み」に更新し、一致しない場合はそのままの状態(「未確認」)とする。
In the
なお、前述したタイムアウト用タイマがセットされている場合、状態情報が「未確認」のまま所定の指定時間が経過したとき、状態更新手段334は、該当するセッションコードおよびこれに対応して保存されている他の情報を記憶部320から削除する。
When the above-described timeout timer is set, when a predetermined designated time has passed with the status information “unconfirmed”, the
さらに、認証サーバ300において、状態更新手段334が記憶部320におけるセッションコードの状態情報を更新すると、状態情報送信手段338は、当該セッションコードの状態情報をサービス提供サーバ200に送信する。
Further, in the
次に、サービス提供サーバ200において、状態情報受信手段233が認証サーバ300から前記セッションコードの状態情報を受信すると、状態更新手段234は、記憶部220に保存された該当するセッションコードの状態情報を前記受信した状態情報で更新、即ち認証サーバ300の記憶部320における当該セッションコードの状態情報と同一状態になるように更新する。
Next, in the
さらに、サービス提供サーバ200において、記憶部220における前記セッションコードの状態情報が「確認済み」であるとき、サービス提供可否判定手段243は、通信端末1と対応する通信端末2の利用者にサービスの提供を許可する。通信端末2の利用者に提供されるサービスの内容は、暗号化手段244により記憶部220に記憶されたIBE鍵で暗号化され、送信手段245から通信端末2に送信される。
Further, in the
なお、第2の実施の形態の場合と同様に、通信端末2からセッションコードと共に当該通信端末2で生成した共通鍵を送信し、通信端末2の利用者に提供するサービスの内容を前記共通鍵で暗号化するようにしても良い。
As in the case of the second embodiment, the common key generated by the
以上説明したように、本発明の第4の実施の形態に係るサービス提供サーバ、認証サーバおよび認証システムは、サービス提供サーバと認証サーバとが異なる構成においても、携帯電話網等の安全なネットワーク4を経由して、携帯電話機等の通信端末1によって送信されたセッションコードと、通信端末2からサービスの要求を受け付けたときのサービス提供サーバの識別子を基にしたIBE鍵で暗号化されて送られてきたセッションコードとを比較・照合し、互いのセッションコードが一致した場合に、通信端末2の利用者にサービスの提供を許可し、また、通信端末2の利用者に提供するサービスの内容もサービス提供サーバの識別子を基にしたIBE鍵によって暗号化するため、サービス提供サーバと通信端末2との間の通信に対するフィッシングや中間者攻撃を受けることなく、認証情報を持たない通信端末2でも通信端末1を併用しながら安全性の高いオンラインサービスを利用者に提供することができる。
As described above, the service providing server, the authentication server, and the authentication system according to the fourth embodiment of the present invention can be used in a secure network 4 such as a cellular phone network even when the service providing server and the authentication server are different. And encrypted with an IBE key based on the session code transmitted by the communication terminal 1 such as a mobile phone and the identifier of the service providing server when the service request is received from the
<本発明の第5の実施の形態>
本発明の第5の実施の形態に係る認証システムの動作の概要を図20に示す。
<Fifth embodiment of the present invention>
An outline of the operation of the authentication system according to the fifth embodiment of the present invention is shown in FIG.
本発明の第5の実施の形態は、前述した第4の実施の形態において、サービス提供サーバを確認するためのサービス提供サーバ(SP)確認情報を、通信端末1と認証サーバとの間でやりとりするような形態である。 In the fifth embodiment of the present invention, service providing server (SP) confirmation information for confirming the service providing server is exchanged between the communication terminal 1 and the authentication server in the fourth embodiment described above. It is a form to do.
また、本発明の第5の実施の形態では、鍵共有の手法として前記IBEを用い、認証を必要とするオンラインサービス、例えば電子商取引等のサービスを受けたいときに、通信端末1を利用しながら、電子証明書等の認証情報を持たない通信端末2が、認証サーバ300の認証を受ければ、サービス提供サーバ200によって行われる認証を成功させるような形態について説明している。
Further, in the fifth embodiment of the present invention, the IBE is used as a key sharing technique, and the communication terminal 1 is used when receiving an online service requiring authentication, for example, a service such as electronic commerce. A mode is described in which the
なお、本実施の形態に係る認証システムの構成は第4の実施の形態の場合と同様である。 The configuration of the authentication system according to the present embodiment is the same as that of the fourth embodiment.
まず、通信端末2の利用者は、サービス提供サーバ200に対し電子決済サービスの要求を行う場合、通信端末1において、本発明の第1の実施の形態で説明したセッションコードを生成し(1.)て画面に表示すると共に、生成したセッションコードをネットワーク4,3経由で認証サーバ300に送信する(2.)。
First, when the user of the
なお、サービス提供サーバ200と認証サーバ300との間では、事前に、周知の相互認証処理がなされているものとする(0.)。また、通信端末1と認証サーバ300との間でも、必要に応じてセッションコードを送信する前に認証処理を行うようにしても良い。
It is assumed that a known mutual authentication process is performed in advance between the
次に、通信端末2の利用者は、通信端末1の画面に表示されたセッションコードを通信端末2に入力する(2.)。セッションコードが入力されたとき、通信端末2は、入力されたセッションコードをサービス要求と共に、サービス提供サーバ200の識別子(URLなど)を基にしたIBE鍵で暗号化し、ネットワーク3経由でサービス提供サーバ200に送信する(3.)。
Next, the user of the
次に、サービス提供サーバ200は、通信端末2から受信したセッションコードを前記IBE鍵に対応する(キーサーバから予め取得した)秘密鍵で復号し、当該セッションコードをネットワーク3経由で認証サーバ300に送信する(4.)。
Next, the
次に、認証サーバ300は、通信端末1から受信したセッションコードと通信端末2からサービス提供サーバ200の識別子を基にした暗号鍵で暗号化されて該サービス提供サーバ200に送信され、当該サービス提供サーバ200で受信・復号されて転送されてきたセッションコードとを比較・照合し(5.)、互いのセッションコードが一致した場合、SP確認情報を生成し、通信端末1および通信端末2を同一の利用者が利用する状況において、通信端末2の接続先が偽のサーバでないことを利用者に確認させるため、ネットワーク3,4経由で通信端末1に送信する(6.)。
Next, the
なお、上述したSP確認情報としては、サービス提供サーバ200の何らかの識別子(URLなど)を用いることができる。
As the SP confirmation information described above, any identifier (URL or the like) of the
通信端末1の画面に、認証サーバ300で生成されたSP確認情報が表示されたとき、利用者は、通信端末2の接続先が正当であり、第三者が介在していないことを確認できる。
When the SP confirmation information generated by the
正当なSP確認情報を確認したとき、利用者が通信端末1を操作することにより、通信端末1はSP確認情報が正当であることを示す確認結果をネットワーク4,3経由で認証サーバ300に送信する(7.)。
When valid SP confirmation information is confirmed, when the user operates the communication terminal 1, the communication terminal 1 transmits a confirmation result indicating that the SP confirmation information is valid to the
認証サーバ300は、通信端末1からSP確認情報が正当であることを示す確認結果を受信すると、確認済みとするセッションコードの状態情報をネットワーク3経由でサービス提供サーバ200に送信する(8.)。
When the
次に、サービス提供サーバ200は、認証サーバ300から受信したセッションコードの状態情報が確認済みであれば、通信端末2の利用者に電子決済サービスの提供を許可し、前記IBE鍵で暗号化したサービスをネットワーク3経由で提供する(9.)。なお、ここで説明した電子決済サービスは、1つの例示に過ぎず、本発明でいうサービスは、ネットワーク上で行うことができるサービスであれば、如何なるものでも良い。
Next, if the status information of the session code received from the
本発明の第5の実施の形態に係る認証サーバの装置構成図を図21に示す。図21に示した認証サーバ300は、第4の実施の形態に係る認証サーバ300の構成に加えて、SP確認情報生成手段361、SP確認情報送信手段362、確認結果受信手段363および状態更新手段364からなるSP確認情報処理部360を有する。
FIG. 21 shows a device configuration diagram of an authentication server according to the fifth embodiment of the present invention. In addition to the configuration of the
SP確認情報生成手段361は、セッションコード比較手段333で比較・照合された互いのセッションコードが一致した場合、サービス提供サーバ200の何らかの識別子を用いてSP確認情報を生成する。SP確認情報送信手段362は、SP確認情報生成手段361で生成したSP確認情報を通信端末1に送信する。
The SP confirmation
確認結果受信手段363は、通信端末1から前記SP確認情報が正当であるか否かを示す確認結果を受信する。状態更新手段364は、確認結果受信手段363で受信した確認結果が正当を示している場合は記憶部320における前記セッションコードの状態情報を「確認済み」に更新し、正当を示していない場合はそのままの状態(「未確認」)とする。
The confirmation
なお、SP確認情報処理部360は、CPU等のプロセッサによって処理されるプログラムのモジュールで構成されるようにしても良い。
The SP confirmation
また、セッションコード処理部330の状態更新手段334は、SP確認情報を生成して通信端末1に送信する場合、セッションコード比較手段333で比較・照合された互いのセッションコードが一致しても、記憶部320の状態情報を更新しないものとする。
Further, when the
なお、本実施の形態に係るサービス提供サーバの構成は第4の実施の形態の場合と同様である。 Note that the configuration of the service providing server according to the present embodiment is the same as that of the fourth embodiment.
以上のように構成された本発明の第5の実施の形態に係るサービス提供サーバ200および認証サーバ300の動作について、システム全体の動作とともに図面を参照して説明する。図22は、本発明の第5の実施の形態に係る認証システムの動作シーケンス図である。
Operations of the
まず、サービス提供サーバ200と認証サーバ300との間で、周知の相互認証処理を行う。
First, a known mutual authentication process is performed between the
次に、認証サーバ300において、セッションコード受信手段331が通信端末1によって生成され送信されたセッションコードを受信すると、セッションコード保存手段332は、セッションコード受信手段331で受信したセッションコードを記憶部320に保存する。また、セッションコード保存手段332は、受信したセッションコードに対応付けて「未確認」の状態情報を記憶部320に保存する。さらにまた、必要に応じて、セッションコード保存手段332は、タイムアウト用タイマをセットする。
Next, in the
なお、通信端末1からのセッションコードの受信に先立って、端末1認証手段335により、当該認証サーバ300と通信端末1との間で通信端末1の利用者の認証を行うようにしても良い。
Prior to receiving the session code from the communication terminal 1, the user of the communication terminal 1 may be authenticated between the
次に、サービス提供サーバ200において、サービス要求受信手段241が通信端末2からサービスの要求を受け付けると共に当該サーバ200の識別子を基にしたIBE鍵で暗号化されたセッションコードを受信し、当該IBE鍵に対応する秘密鍵で復号すると、セッションコード保存手段242は、サービス要求受信手段241で受信・復号したセッションコードを記憶部220に保存する。また、セッションコード保存手段242は、受信したセッションコードに対応付けて「未確認」の状態情報を記憶部220に保存する。
Next, in the
また、サービス提供サーバ200において、セッションコード送信手段231が記憶部220に保存されたセッションコードを認証サーバ300に送信する。
In the
次に、認証サーバ300において、問合せ受信手段337が通信端末2からサービス提供サーバ200の識別子を基にした暗号鍵で暗号化されて該サービス提供サーバ200に送信され、当該サービス提供サーバ200で受信・復号されて転送されてきたセッションコードを受信すると、セッションコード比較手段333は、記憶部320に保存されたセッションコードと問合せ受信手段337で受信したセッションコードとを比較・照合する。
Next, in the
また、認証サーバ300において、セッションコード比較手段333による比較・照合の結果、互いのセッションコードが一致した場合、SP確認情報生成手段361は、SP確認情報を生成し、SP確認情報送信手段362がSP確認情報生成手段361で生成したSP確認情報を通信端末1に送信する。
In the
また、認証サーバ300において、確認結果受信手段363が通信端末1から前記SP確認情報が正当であるか否かを示す確認結果を受信すると、状態更新手段364は、確認結果受信手段363で受信した確認結果が正当を示している場合は記憶部320における前記セッションコードの状態情報を「確認済み」に更新し、正当を示していない場合はそのままの状態(「未確認」)とする。
In the
なお、前述したタイムアウト用タイマがセットされている場合、状態情報が「未確認」のまま所定の指定時間が経過したとき、状態更新手段334は、該当するセッションコードおよびこれに対応して保存されている他の情報を記憶部320から削除する。
When the above-described timeout timer is set, when a predetermined designated time has passed with the status information “unconfirmed”, the
さらに、認証サーバ300において、状態更新手段364が記憶部320におけるセッションコードの状態情報を更新すると、状態情報送信手段338は、当該セッションコードの状態情報をサービス提供サーバ200に送信する。
Further, in the
次に、サービス提供サーバ200において、状態情報受信手段233が認証サーバ300から前記セッションコードの状態情報を受信すると、状態更新手段234は、記憶部220に保存された該当するセッションコードの状態情報を前記受信した状態情報で更新、即ち認証サーバ300の記憶部320における当該セッションコードの状態情報と同一状態になるように更新する。
Next, in the
さらに、サービス提供サーバ200において、記憶部220における前記セッションコードの状態情報が「確認済み」であるとき、サービス提供可否判定手段243は、通信端末1と対応する通信端末2の利用者にサービスの提供を許可する。通信端末2の利用者に提供されるサービスの内容は、暗号化手段244により記憶部220に記憶されたIBE鍵で暗号化され、送信手段245から通信端末2に送信される。
Further, in the
なお、第2の実施の形態の場合と同様に、通信端末2からセッションコードと共に当該通信端末2で生成した共通鍵を送信し、通信端末2の利用者に提供するサービスの内容を前記共通鍵で暗号化するようにしても良い。
As in the case of the second embodiment, the common key generated by the
以上説明したように、本発明の第5の実施の形態に係るサービス提供サーバ、認証サーバおよび認証システムは、サービス提供サーバと認証サーバとが異なる構成においても、携帯電話網等の安全なネットワーク4を経由して、携帯電話機等の通信端末1によって送信されたセッションコードと、通信端末2からサービスの要求を受け付けたときのサービス提供サーバの識別子を基にしたIBE鍵で暗号化されて送られてきたセッションコードとを比較・照合し、互いのセッションコードが一致した場合は、さらにSP確認情報を通信端末1に送信し、通信端末2の接続先が偽のサーバでないことを通信端末1の利用者に確認させた上で、通信端末2の利用者にサービスの提供を許可し、また、通信端末2の利用者に提供するサービスの内容もサービス提供サーバの識別子を基にしたIBE鍵によって暗号化するため、サービス提供サーバと通信端末2との間の通信に対するフィッシングや中間者攻撃を受けることなく、認証情報を持たない通信端末2でも通信端末1を併用しながら安全性の高いオンラインサービスを利用者に提供することができる。
As described above, the service providing server, the authentication server, and the authentication system according to the fifth embodiment of the present invention can be used in a secure network 4 such as a cellular phone network even when the service providing server and the authentication server are different. And encrypted with an IBE key based on the session code transmitted by the communication terminal 1 such as a mobile phone and the identifier of the service providing server when the service request is received from the
<本発明の第6の実施の形態>
本発明の第6の実施の形態に係る認証システムの動作の概要を図23に示す。
<Sixth Embodiment of the Present Invention>
FIG. 23 shows an outline of the operation of the authentication system according to the sixth embodiment of the present invention.
本発明の第6の実施の形態は、前述した第4の実施の形態において、通信端末2の利用者を確認するための端末2確認情報を、通信端末2からサービス要求およびセッションコードと共にサービス提供サーバに送信するような形態である。
The sixth embodiment of the present invention provides terminal 2 confirmation information for confirming the user of the
また、本発明の第6の実施の形態では、鍵共有の手法として前記IBEを用い、認証を必要とするオンラインサービス、例えば電子商取引等のサービスを受けたいときに、通信端末1を利用しながら、電子証明書等の認証情報を持たない通信端末2が、認証サーバ300の認証を受ければ、サービス提供サーバ200によって行われる認証を成功させるような形態について説明している。
In the sixth embodiment of the present invention, the IBE is used as a key sharing technique, and the communication terminal 1 is used when receiving an online service requiring authentication, for example, a service such as electronic commerce. A mode is described in which the
なお、本実施の形態に係る認証システムの構成は第4の実施の形態の場合と同様である。 The configuration of the authentication system according to the present embodiment is the same as that of the fourth embodiment.
まず、通信端末2の利用者は、サービス提供サーバ200に対し電子決済サービスの要求を行う場合、通信端末1において、本発明の第1の実施の形態で説明したセッションコードを生成し(1.)て画面に表示すると共に、生成したセッションコードをネットワーク4,3経由で認証サーバ300に送信する(2.)。
First, when the user of the
なお、サービス提供サーバ200と認証サーバ300との間では、事前に、周知の相互認証処理がなされているものとする(0.)。また、通信端末1と認証サーバ300との間でも、必要に応じてセッションコードを送信する前に認証処理を行うようにしても良い。
It is assumed that a known mutual authentication process is performed in advance between the
次に、通信端末2の利用者は、通信端末1の画面に表示されたセッションコードを通信端末2に入力する(2.)。セッションコードが入力されると、通信端末2は、当該通信端末2の利用者を確認するための端末2確認情報を生成し(3.)、これをその画面に表示し、さらに入力されたセッションコードをサービス要求および前述した端末2確認情報と共に、サービス提供サーバ200の識別子(URLなど)を基にしたIBE鍵で暗号化し、ネットワーク3経由でサービス提供サーバ200に送信する(4.)。なお、上述した端末2確認情報は、第3の実施の形態で説明したものと同じである。
Next, the user of the
次に、サービス提供サーバ200は、通信端末2から受信したセッションコードおよび端末2確認情報を前記IBE鍵に対応する(キーサーバから予め取得した)秘密鍵で復号し、当該セッションコードおよび端末確認情報をネットワーク3経由で認証サーバ300に送信する(5.)。
Next, the
次に、認証サーバ300は、通信端末1から受信したセッションコードと通信端末2からサービス提供サーバ200の識別子を基にした暗号鍵で暗号化されて該サービス提供サーバ200に送信され、当該サービス提供サーバ200で受信・復号されて転送されてきたセッションコードとを比較・照合し(6.)、互いのセッションコードが一致した場合、前記セッションコードと共にサービス提供サーバ200から転送されてきた端末2確認情報を、通信端末1および通信端末2を同一の利用者が利用する状況において、これが第三者より入力または選択された情報ではないことを利用者に確認させるため、通信端末1にネットワーク3,4経由で送信する(7.)。
Next, the
通信端末1の画面に、通信端末2で生成され、その画面に表示された端末2確認情報と同一の端末2確認情報が表示されたとき、利用者は、端末2確認情報が正当であり、第三者が介在していないことを確認できる。
When the
正当な端末2確認情報を確認したとき、利用者が通信端末1を操作することにより、通信端末1は端末2確認情報が正当であることを示す確認結果を認証サーバ300にネットワーク4,3経由で送信する(8.)。
When the user confirms the
認証サーバ300は、通信端末1から端末2確認情報が正当であることを示す確認結果を受信すると、確認済みとするセッションコードの状態情報をネットワーク3経由でサービス提供サーバ200に送信する(9.)。
When the
次に、サービス提供サーバ200は、認証サーバ300から受信したセッションコードの状態情報が確認済みであれば、通信端末2の利用者に電子決済サービスの提供を許可し、前記IBE鍵で暗号化したサービスをネットワーク3経由で提供する(10.)。なお、ここで説明した電子決済サービスは、1つの例示に過ぎず、本発明でいうサービスは、ネットワーク上で行うことができるサービスであれば、如何なるものでも良い。
Next, if the status information of the session code received from the
本発明の第6の実施の形態に係るサービス提供サーバの装置構成図を図24に示す。図24に示したサービス提供サーバ200は、第4の実施の形態に係るサービス提供サーバ200の構成に加えて、端末2確認情報受信手段271および端末2確認情報送信手段272からなる端末2確認情報処理部270を有する。
The apparatus block diagram of the service provision server which concerns on the 6th Embodiment of this invention is shown in FIG. 24 provides terminal 2 confirmation
端末2確認情報受信手段271は、サービス提供サーバ200の識別子を基にしたIBE鍵で暗号化されたセッションコードを通信端末2から受信したとき、当該通信端末2で生成され、同様なIBE鍵で暗号化されて送られてきた、通信端末2の利用者を確認するための端末2確認情報を受信し、当該IBE鍵に対応する(キーサーバから予め取得した)秘密鍵で復号する。端末2確認情報送信手段272は、端末2確認情報受信手段271で受信・復号した端末2確認情報を、記憶部220に保存されたセッションコードと共に認証サーバ300に送信する。
When the terminal 2 confirmation
なお、端末2確認情報処理部270は、CPU等のプロセッサによって処理されるプログラムのモジュールで構成されるようにしても良い。
The
本発明の第6の実施の形態に係る認証サーバの装置構成図を図25に示す。図25に示した認証サーバ300は、第4の実施の形態に係る認証サーバ300の構成に加えて、端末2確認情報受信手段371、端末2確認情報送信手段372、確認結果受信手段373および状態更新手段374からなる端末2確認情報処理部370を有する。
FIG. 25 shows a device configuration diagram of an authentication server according to the sixth embodiment of the present invention. 25, in addition to the configuration of the
端末2確認情報受信手段371は、セッションコードをサービス提供サーバ200から受信したとき、通信端末2で生成され、サービス提供サーバ200の識別子を基にした暗号鍵で暗号化されて該サービス提供サーバ200に送信され、当該サービス提供サーバ200で受信・復号されて転送されてきた通信端末2の利用者を確認するための端末2確認情報を受信する。端末2確認情報送信手段372は、端末2確認情報受信手段371で受信した端末2確認情報を通信端末1に送信する。
When the terminal 2 confirmation information receiving means 371 receives the session code from the
確認結果受信手段373は、通信端末1から前記端末2確認情報が正当であるか否かを示す確認結果を受信する。状態更新手段374は、確認結果受信手段373で受信した確認結果が正当を示している場合は記憶部320における前記セッションコードの状態情報を「確認済み」に更新し、正当を示していない場合はそのままの状態(「未確認」)とする。
The confirmation
なお、端末2確認情報処理部370は、CPU等のプロセッサによって処理されるプログラムのモジュールで構成されるようにしても良い。
The
また、セッションコード処理部330の状態更新手段334は、サービス提供サーバ200から端末2確認情報が転送されてきた場合、セッションコード比較手段333で比較・照合された互いのセッションコードが一致しても、記憶部320の状態情報を更新しないものとする。
In addition, when the
以上のように構成された本発明の第6の実施の形態に係るサービス提供サーバ200および認証サーバ300の動作について、システム全体の動作とともに図面を参照して説明する。図26は、本発明の第6の実施の形態に係る認証システムの動作シーケンス図である。
Operations of the
まず、サービス提供サーバ200と認証サーバ300との間で、周知の相互認証処理を行う。
First, a known mutual authentication process is performed between the
次に、認証サーバ300において、セッションコード受信手段331が通信端末1によって生成され送信されたセッションコードを受信すると、セッションコード保存手段332は、セッションコード受信手段331で受信したセッションコードを記憶部320に保存する。また、セッションコード保存手段332は、受信したセッションコードに対応付けて「未確認」の状態情報を記憶部320に保存する。さらにまた、必要に応じて、セッションコード保存手段332は、タイムアウト用タイマをセットする。
Next, in the
なお、通信端末1からのセッションコードの受信に先立って、端末1認証手段335により、当該認証サーバ300と通信端末1との間で通信端末1の利用者の認証を行うようにしても良い。
Prior to receiving the session code from the communication terminal 1, the user of the communication terminal 1 may be authenticated between the
次に、サービス提供サーバ200において、サービス要求受信手段241が通信端末2からサービスの要求を受け付けると共に当該サーバ200の識別子を基にしたIBE鍵で暗号化されたセッションコードを受信し、当該IBE鍵に対応する秘密鍵で復号すると、セッションコード保存手段242は、サービス要求受信手段241で受信・復号したセッションコードを記憶部220に保存する。また、セッションコード保存手段242は、受信したセッションコードに対応付けて「未確認」の状態情報を記憶部220に保存する。また、この際、端末2確認情報受信手段271は、通信端末2からサービス要求およびセッションコードとともに送られてきた端末2確認情報、即ち通信端末2で生成され、サーバ200の識別子を基にしたIBE鍵で暗号化された端末2確認情報を受信し、当該IBE鍵に対応する秘密鍵で復号する。
Next, in the
また、サービス提供サーバ200において、セッションコード送信手段231が記憶部220に保存されたセッションコードを認証サーバ300に送信すると共に、端末2確認情報送信手段272が端末2確認情報受信手段271で受信・復号した端末2確認情報を認証サーバ300に送信する。
In the
次に、認証サーバ300において、問合せ受信手段337が通信端末2からサービス提供サーバ200の識別子を基にした暗号鍵で暗号化されて該サービス提供サーバ200に送信され、当該サービス提供サーバ200で受信・復号されて転送されてきたセッションコードを受信すると、セッションコード比較手段333は、記憶部320に保存されたセッションコードと問合せ受信手段337で受信したセッションコードとを比較・照合する。また、この際、端末2確認情報受信手段371は、サービス提供サーバ200からセッションコードとともに送られてきた端末2確認情報を受信する。
Next, in the
また、認証サーバ300において、セッションコード比較手段333による比較・照合の結果、互いのセッションコードが一致した場合、端末2確認情報送信手段372は、端末2確認情報受信手段371で受信した端末2確認情報を通信端末1に送信する。
Further, in the
また、認証サーバ300において、確認結果受信手段373が通信端末1から前記端末2確認情報が正当であるか否かを示す確認結果を受信すると、状態更新手段374は、確認結果受信手段373で受信した確認結果が正当を示している場合は記憶部320における前記セッションコードの状態情報を「確認済み」に更新し、正当を示していない場合はそのままの状態(「未確認」)とする。
In the
なお、前述したタイムアウト用タイマがセットされている場合、状態情報が「未確認」のまま所定の指定時間が経過したとき、状態更新手段334は、該当するセッションコードおよびこれに対応して保存されている他の情報を記憶部320から削除する。
When the above-described timeout timer is set, when a predetermined designated time has passed with the status information “unconfirmed”, the
さらに、認証サーバ300において、状態更新手段374が記憶部320におけるセッションコードの状態情報を更新すると、状態情報送信手段338は、当該セッションコードの状態情報をサービス提供サーバ200に送信する。
Further, in the
次に、サービス提供サーバ200において、状態情報受信手段233が認証サーバ300から前記セッションコードの状態情報を受信すると、状態更新手段234は、記憶部220に保存された該当するセッションコードの状態情報を前記受信した状態情報で更新、即ち認証サーバ300の記憶部320における当該セッションコードの状態情報と同一状態になるように更新する。
Next, in the
さらに、サービス提供サーバ200において、記憶部220における前記セッションコードの状態情報が「確認済み」であるとき、サービス提供可否判定手段243は、通信端末1と対応する通信端末2の利用者にサービスの提供を許可する。通信端末2の利用者に提供されるサービスの内容は、暗号化手段244により記憶部220に記憶されたIBE鍵で暗号化され、送信手段245から通信端末2に送信される。
Further, in the
なお、第2の実施の形態の場合と同様に、通信端末2からセッションコードおよび端末2確認情報と共に当該通信端末2で生成した共通鍵を送信し、通信端末2の利用者に提供するサービスの内容を前記共通鍵で暗号化するようにしても良い。
As in the case of the second embodiment, the
以上説明したように、本発明の第6の実施の形態に係るサービス提供サーバ、認証サーバおよび認証システムは、サービス提供サーバと認証サーバとが異なる構成においても、携帯電話網等の安全なネットワーク4を経由して、携帯電話機等の通信端末1によって送信されたセッションコードと、通信端末2からサービスの要求を受け付けたときのサービス提供サーバの識別子を基にしたIBE鍵で暗号化されて送られてきたセッションコードとを比較・照合し、互いのセッションコードが一致した場合は、さらに通信端末2からセッションコードとともに送られてきた端末2確認情報を通信端末1に送信し、当該端末2確認情報が正当であることを通信端末1の利用者に確認させた上で、通信端末2の利用者にサービスの提供を許可し、また、通信端末2の利用者に提供するサービスの内容もサービス提供サーバの識別子を基にしたIBE鍵によって暗号化するため、サービス提供サーバと通信端末2との間の通信に対するフィッシングや中間者攻撃を受けることなく、認証情報を持たない通信端末2でも通信端末1を併用しながら安全性の高いオンラインサービスを利用者に提供することができる。
As described above, the service providing server, the authentication server, and the authentication system according to the sixth embodiment of the present invention can be used in a secure network 4 such as a cellular phone network even when the service providing server and the authentication server are different. And encrypted with an IBE key based on the session code transmitted by the communication terminal 1 such as a mobile phone and the identifier of the service providing server when the service request is received from the
<本発明の第7の実施の形態>
本発明の第7の実施の形態に係る認証システムの動作の概要を図27に示す。
<Seventh embodiment of the present invention>
FIG. 27 shows an outline of the operation of the authentication system according to the seventh embodiment of the present invention.
本発明の第7の実施の形態は、前述した第4の実施の形態において、通信端末2がサービス提供サーバ200にサービスを要求する前に、通信端末2から認証サーバ300にセッションコードを送信して認証を行うような形態である。
In the seventh embodiment of the present invention, the
また、本発明の第7の実施の形態では、鍵共有の手法として前記IBEを用い、認証を必要とするオンラインサービス、例えば電子商取引等のサービスを受けたいときに、通信端末1を利用しながら、電子証明書等の認証情報を持たない通信端末2が、認証サーバ300の認証を受ければ、サービス提供サーバ200によって行われる認証を成功させるような形態について説明している。
Further, in the seventh embodiment of the present invention, the IBE is used as a key sharing method, and the communication terminal 1 is used when receiving an online service requiring authentication, for example, a service such as electronic commerce. A mode is described in which the
なお、本実施の形態に係る認証システムの構成は第4の実施の形態の場合と同様である。 The configuration of the authentication system according to the present embodiment is the same as that of the fourth embodiment.
まず、通信端末2の利用者は、サービス提供サーバ200に対し電子決済サービスの要求を行う場合、通信端末1において、本発明の第1の実施の形態で説明したセッションコードを生成し(1.)て画面に表示すると共に、生成したセッションコードをネットワーク4,3経由で認証サーバ300に送信する(2.)。
First, when the user of the
なお、サービス提供サーバ200と認証サーバ300との間では、事前に、周知の相互認証処理がなされているものとする(0.)。また、通信端末1と認証サーバ300との間でも、必要に応じてセッションコードを送信する前に認証処理を行うようにしても良い。
It is assumed that a known mutual authentication process is performed in advance between the
次に、通信端末2の利用者は、通信端末1の画面に表示されたセッションコードを通信端末2に入力する(2.)。セッションコードが入力されたとき、通信端末2は、入力されたセッションコードを、認証サーバ300の識別子(URLなど)を基にしたIBE鍵で暗号化し、ネットワーク3経由で認証サーバ300に送信する(3.)。
Next, the user of the
次に、認証サーバ300は、通信端末2から受信したセッションコードを前記IBE鍵に対応する(キーサーバから予め取得した)秘密鍵で復号すると共に、これを通信端末1から受信したセッションコードと比較・照合し、互いのセッションコードが一致した場合、当該セッションコードの状態を確認済みとする(4.)。
Next, the
また、通信端末2は、入力されたセッションコードをサービス要求と共に、サービス提供サーバ200の識別子(URLなど)を基にしたIBE鍵で暗号化し、ネットワーク3経由でサービス提供サーバ200に送信する(5.)。
Further, the
次に、サービス提供サーバ200は、通信端末2から受信したセッションコードを前記IBE鍵に対応する(キーサーバから予め取得した)秘密鍵で復号し、当該セッションコードの状態の問い合わせをネットワーク3経由で認証サーバ300に送信する(6.)。
Next, the
次に、認証サーバ300は、サービス提供サーバ300からのセッションコードの状態の問い合わせに応じて、当該セッションコードの状態情報、ここでは確認済みとするセッションコードの状態情報をネットワーク3経由でサービス提供サーバ200に送信する(7.)。
Next, in response to the session code status inquiry from the
次に、サービス提供サーバ200は、認証サーバ300から受信したセッションコードの状態情報が確認済みであれば、通信端末2の利用者に電子決済サービスの提供を許可し、前記IBE鍵で暗号化したサービスをネットワーク3経由で提供する(8.)。なお、ここで説明した電子決済サービスは、1つの例示に過ぎず、本発明でいうサービスは、ネットワーク上で行うことができるサービスであれば、如何なるものでも良い。
Next, if the status information of the session code received from the
本発明の第7の実施の形態に係るサービス提供サーバ200および認証サーバ300の装置構成は、第4の実施の形態のものと基本的に同一である。
The device configurations of the
但し、サービス提供サーバ200のセッションコード送信手段231は動作しない。また、認証サーバ300のセッションコード受信手段331は、通信端末1によって生成され送信されたセッションコードを受信すると共に、通信端末2から当該認証サーバ300の識別子を基にした暗号鍵で暗号化され送信されたセッションコードを受信・復号するものとする。また、認証サーバ300のセッションコード保存手段332は、セッションコード受信手段131で受信したセッションコードのうち、通信端末1から送信されたセッションコードのみを記憶部320に保存するものとする。さらにまた、認証サーバ300のセッションコード比較手段333は、記憶部320に保存された通信端末1からのセッションコードと通信端末2から認証サーバ300の識別子を基にした暗号鍵で暗号化されて送られてきたセッションコードとを比較・照合するものとする。
However, the session
以上のように構成された本発明の第7の実施の形態に係るサービス提供サーバ200および認証サーバ300の動作について、システム全体の動作とともに図面を参照して説明する。図28は、本発明の第7の実施の形態に係る認証システムの動作シーケンス図である。
Operations of the
まず、サービス提供サーバ200と認証サーバ300との間で、周知の相互認証処理を行う。
First, a known mutual authentication process is performed between the
次に、認証サーバ300において、セッションコード受信手段331が通信端末1によって生成され送信されたセッションコードを受信すると、セッションコード保存手段332は、セッションコード受信手段331で受信したセッションコードを記憶部320に保存する。また、セッションコード保存手段332は、受信したセッションコードに対応付けて「未確認」の状態情報を記憶部320に保存する。さらにまた、必要に応じて、セッションコード保存手段332は、タイムアウト用タイマをセットする。
Next, in the
なお、通信端末1からのセッションコードの受信に先立って、端末1認証手段335により、当該認証サーバ300と通信端末1との間で通信端末1の利用者の認証を行うようにしても良い。
Prior to receiving the session code from the communication terminal 1, the user of the communication terminal 1 may be authenticated between the
次に、認証サーバ300において、セッションコード受信手段331が通信端末2によって当該認証サーバ300の識別子を基にしたIBE鍵で暗号化され送信されたセッションコードを受信・復号すると、セッションコード比較手段333は、記憶部320に保存されたセッションコードとセッションコード受信手段331で受信・復号したセッションコードとを比較・照合する。
Next, in the
また、認証サーバ300において、セッションコード比較手段333による比較・照合の結果、互いのセッションコードが一致した場合、状態更新手段334は、記憶部320に保存された該当するセッションコードの状態情報を「確認済み」に更新し、一致しない場合はそのままの状態(「未確認」)とする。
In the
なお、前述したタイムアウト用タイマがセットされている場合、状態情報が「未確認」のまま所定の指定時間が経過したとき、状態更新手段334は、該当するセッションコードおよびこれに対応して保存されている他の情報を記憶部320から削除する。
When the above-described timeout timer is set, when a predetermined designated time has passed with the status information “unconfirmed”, the
次に、サービス提供サーバ200において、サービス要求受信手段241が通信端末2からサービスの要求を受け付けると共に当該サーバ200の識別子を基にしたIBE鍵で暗号化されたセッションコードを受信し、当該IBE鍵に対応する秘密鍵で復号すると、セッションコード保存手段242は、サービス要求受信手段241で受信・復号したセッションコードを記憶部220に保存する。また、セッションコード保存手段242は、受信したセッションコードに対応付けて「未確認」の状態情報を記憶部220に保存する。
Next, in the
また、サービス提供サーバ200において、状態問合せ手段232が記憶部220に保存されたセッションコードの状態の問い合わせを認証サーバ300に送信する。
In the
次に、認証サーバ300において、問合せ受信手段337が通信端末2からサービス提供サーバ200の識別子を基にした暗号鍵で暗号化されて該サービス提供サーバ200に送信され、当該サービス提供サーバ200で受信・復号されて転送されてきたセッションコードの状態の問い合わせを受信すると、状態情報送信手段338は、当該セッションコードの状態情報をサービス提供サーバ200に送信する。
Next, in the
次に、サービス提供サーバ200において、状態情報受信手段233が認証サーバ300から前記セッションコードの状態情報を受信すると、状態更新手段234は、記憶部220に保存された該当するセッションコードの状態情報を前記受信した状態情報で更新、即ち認証サーバ300の記憶部320における当該セッションコードの状態情報と同一状態になるように更新する。
Next, in the
さらに、サービス提供サーバ200において、記憶部220における前記セッションコードの状態情報が「確認済み」であるとき、サービス提供可否判定手段243は、通信端末1と対応する通信端末2の利用者にサービスの提供を許可する。通信端末2の利用者に提供されるサービスの内容は、暗号化手段244により記憶部220に記憶されたIBE鍵で暗号化され、送信手段245から通信端末2に送信される。
Further, in the
なお、第2の実施の形態の場合と同様に、通信端末2からセッションコードと共に当該通信端末2で生成した共通鍵を送信し、通信端末2の利用者に提供するサービスの内容を前記共通鍵で暗号化するようにしても良い。また、第5または第6の実施の形態の場合と同様に、SP確認情報または端末2確認情報を用いて第三者が介入していないことを確認するようにしても良い。
As in the case of the second embodiment, the common key generated by the
以上説明したように、本発明の第7の実施の形態に係るサービス提供サーバ、認証サーバおよび認証システムは、サービス提供サーバと認証サーバとが異なる構成においても、携帯電話網等の安全なネットワーク4を経由して、携帯電話機等の通信端末1によって送信されたセッションコードと、通信端末2から認証サーバの識別子を基にしたIBE鍵で暗号化されて送られてきたセッションコードとを認証サーバにて比較・照合し、互いのセッションコードが一致した場合に、通信端末2の利用者にサービス提供サーバにおけるサービスの提供を許可し、また、通信端末2の利用者に提供するサービスの内容もサービス提供サーバの識別子を基にしたIBE鍵によって暗号化するため、サービス提供サーバと通信端末2との間の通信に対するフィッシングや中間者攻撃を受けることなく、認証情報を持たない通信端末2でも通信端末1を併用しながら安全性の高いオンラインサービスを利用者に提供することができる。
As described above, the service providing server, the authentication server, and the authentication system according to the seventh embodiment of the present invention have a secure network 4 such as a cellular phone network even in a configuration in which the service providing server and the authentication server are different. The session code transmitted by the communication terminal 1 such as a mobile phone and the session code encrypted by the IBE key based on the identifier of the authentication server and transmitted from the
<本発明の第8の実施の形態>
本発明の第8の実施の形態に係る認証システムの動作の概要を図29に示す。
<Eighth Embodiment of the Present Invention>
FIG. 29 shows an outline of the operation of the authentication system according to the eighth embodiment of the present invention.
本発明の第8の実施の形態は、前述した第7の実施の形態において、通信端末2の利用者にサービスを提供する際、サービス内容を認証サーバで生成した共通鍵で暗号化するような形態である。
In the eighth embodiment of the present invention, when providing a service to the user of the
また、本発明の第8の実施の形態では、鍵共有の手法として前記IBEを用い、認証を必要とするオンラインサービス、例えば電子商取引等のサービスを受けたいときに、通信端末1を利用しながら、電子証明書等の認証情報を持たない通信端末2が、認証サーバ300の認証を受ければ、サービス提供サーバ200によって行われる認証を成功させるような形態について説明している。
Further, in the eighth embodiment of the present invention, the IBE is used as a key sharing method, and the communication terminal 1 is used when receiving an online service requiring authentication, for example, a service such as electronic commerce. A mode is described in which the
なお、本実施の形態に係る認証システムの構成は第4の実施の形態の場合と同様である。 The configuration of the authentication system according to the present embodiment is the same as that of the fourth embodiment.
まず、通信端末2の利用者は、サービス提供サーバ200に対し電子決済サービスの要求を行う場合、通信端末1において、本発明の第1の実施の形態で説明したセッションコードを生成し(1.)て画面に表示すると共に、生成したセッションコードをネットワーク4,3経由で認証サーバ300に送信する(2.)。
First, when the user of the
なお、サービス提供サーバ200と認証サーバ300との間では、事前に、周知の相互認証処理がなされているものとする(0.)。また、通信端末1と認証サーバ300との間でも、必要に応じてセッションコードを送信する前に認証処理を行うようにしても良い。
It is assumed that a known mutual authentication process is performed in advance between the
次に、通信端末2の利用者は、通信端末1の画面に表示されたセッションコードを通信端末2に入力する(2.)。セッションコードが入力されたとき、通信端末2は、入力されたセッションコードを、認証サーバ300の識別子(URLなど)を基にしたIBE鍵で暗号化し、ネットワーク3経由で認証サーバ300に送信する(3.)。
Next, the user of the
次に、認証サーバ300は、通信端末2から受信したセッションコードを前記IBE鍵に対応する(キーサーバから予め取得した)秘密鍵で復号すると共に、これを通信端末1から受信したセッションコードと比較・照合し、互いのセッションコードが一致した場合、当該セッションコードの状態を確認済みとする(4.)。
Next, the
さらに、認証サーバ300は、互いのセッションコードが一致した場合、所定ビット数の乱数などからなる共通鍵を生成し(5.)、これを当該サーバ300の識別子を基にしたIBE鍵で暗号化し、ネットワーク3経由で通信端末2に送信する(6.)。
Further, when the session codes match each other, the
また、通信端末2は、入力されたセッションコードをサービス要求と共に、サービス提供サーバ200の識別子(URLなど)を基にしたIBE鍵で暗号化し、ネットワーク3経由でサービス提供サーバ200に送信する(7.)。
Further, the
次に、サービス提供サーバ200は、通信端末2から受信したセッションコードを前記IBE鍵に対応する(キーサーバから予め取得した)秘密鍵で復号し、当該セッションコードの状態の問い合わせをネットワーク3経由で認証サーバ300に送信する(8.)。
Next, the
次に、認証サーバ300は、サービス提供サーバ300からのセッションコードの状態の問い合わせに応じて、当該セッションコードの状態情報、ここでは確認済みとするセッションコードの状態情報を前記生成した共通鍵と共にネットワーク3経由でサービス提供サーバ200に送信する(9.)。
Next, in response to the session code status inquiry from the
次に、サービス提供サーバ200は、認証サーバ300から受信したセッションコードの状態情報が確認済みであれば、通信端末2の利用者に電子決済サービスの提供を許可し、同時に受信した共通鍵により暗号化したサービスをネットワーク3経由で提供する(810)。なお、ここで説明した電子決済サービスは、1つの例示に過ぎず、本発明でいうサービスは、ネットワーク上で行うことができるサービスであれば、如何なるものでも良い。
Next, if the status information of the session code received from the
本発明の第8の実施の形態に係るサービス提供サーバの装置構成図を図30に示す。図30に示したサービス提供サーバ200は、第7の実施の形態に係るサービス提供サーバ200の構成に加えて、共通鍵受信手段281および共通鍵保存手段282からなる共通鍵処理部280を有する。
FIG. 30 shows a device configuration diagram of a service providing server according to the eighth embodiment of the present invention. The
共通鍵受信手段281は、セッションコードの状態情報を認証サーバから受信したとき、当該認証サーバで生成され送信された共通鍵を受信する。共通鍵保存手段282は、共通鍵受信手段が受信した共通鍵を、記憶部220の前記セッションコードに対応付けて記憶部220に保存する。
When receiving the session code status information from the authentication server, the common
なお、共通鍵処理部280は、CPU等のプロセッサによって処理されるプログラムのモジュールで構成されるようにしても良い。
The common
また、暗号化手段244は、通信端末2の利用者に提供するサービスの内容を、記憶部220に前記セッションコードに対応付けられて記憶された共通鍵で暗号化するものとする。
The
本発明の第8の実施の形態に係る認証サーバの装置構成図を図31に示す。図31に示した認証サーバ300は、第7の実施の形態に係る認証サーバ300の構成に加えて、共通鍵生成手段381、共通鍵保存手段382および共通鍵送信手段383からなる共通鍵処理部380を有する。
FIG. 31 shows a device configuration diagram of an authentication server according to the eighth embodiment of the present invention. The
共通鍵生成手段381は、セッションコード比較手段333で比較・照合された互いのセッションコードが一致した場合、通信端末2の利用者に提供するサービスの内容を暗号化するための共通鍵を生成する。共通鍵保存手段382は、共通鍵生成手段381で生成された共通鍵を、記憶部320の前記セッションコードに対応付けて保存する。共通鍵送信手段383は、共通鍵保存手段382により記憶部320に保存された共通鍵を、当該サーバ300の識別子を基にした暗号鍵で暗号化して通信端末2に送信する。
The common
なお、共通鍵処理部380は、CPU等のプロセッサによって処理されるプログラムのモジュールで構成されるようにしても良い。
The common
また、状態情報送信手段338は、サービス提供サーバ200からのセッションコードの状態の問い合わせに応じて、記憶部320における当該セッションコードの状態情報とともに、これに対応付けられて記憶された共通鍵を返送するものとする。
Further, in response to the session code status inquiry from the
以上のように構成された本発明の第8の実施の形態に係るサービス提供サーバ200および認証サーバ300の動作について、システム全体の動作とともに図面を参照して説明する。図32は、本発明の第8の実施の形態に係る認証システムの動作シーケンス図である。
Operations of the
まず、サービス提供サーバ200と認証サーバ300との間で、周知の相互認証処理を行う。
First, a known mutual authentication process is performed between the
次に、認証サーバ300において、セッションコード受信手段331が通信端末1によって生成され送信されたセッションコードを受信すると、セッションコード保存手段332は、セッションコード受信手段331で受信したセッションコードを記憶部320に保存する。また、セッションコード保存手段332は、受信したセッションコードに対応付けて「未確認」の状態情報を記憶部320に保存する。さらにまた、必要に応じて、セッションコード保存手段332は、タイムアウト用タイマをセットする。
Next, in the
なお、通信端末1からのセッションコードの受信に先立って、端末1認証手段335により、当該認証サーバ300と通信端末1との間で通信端末1の利用者の認証を行うようにしても良い。
Prior to receiving the session code from the communication terminal 1, the user of the communication terminal 1 may be authenticated between the
次に、認証サーバ300において、セッションコード受信手段331が通信端末2によって当該認証サーバ300の識別子を基にしたIBE鍵で暗号化され送信されたセッションコードを受信・復号すると、セッションコード比較手段333は、記憶部320に保存されたセッションコードとセッションコード受信手段331で受信・復号したセッションコードとを比較・照合する。
Next, in the
また、認証サーバ300において、セッションコード比較手段333による比較・照合の結果、互いのセッションコードが一致した場合、状態更新手段334は、記憶部320に保存された該当するセッションコードの状態情報を「確認済み」に更新し、一致しない場合はそのままの状態(「未確認」)とする。
In the
なお、前述したタイムアウト用タイマがセットされている場合、状態情報が「未確認」のまま所定の指定時間が経過したとき、状態更新手段334は、該当するセッションコードおよびこれに対応して保存されている他の情報を記憶部320から削除する。
When the above-described timeout timer is set, when a predetermined designated time has passed with the status information “unconfirmed”, the
さらに、認証サーバ300において、セッションコード比較手段333による比較・照合の結果、互いのセッションコードが一致した場合、共通鍵生成手段381は、通信端末2の利用者に提供するサービスの内容を暗号化するための共通鍵を生成する。共通鍵生成手段381で生成された共通鍵は、共通鍵保存手段382により、記憶部320に前記セッションコードに対応付けられて保存され、さらに共通鍵送信手段383により、当該サーバ300の識別子を基にしたIBE鍵で暗号化され、通信端末2に送信される。
Further, in the
なお、通信端末2に送られた共通鍵は、サービス提供サーバ200により提供されるサービスの内容を復号するため、当該通信端末2の記憶装置に保存される。
The common key sent to the
次に、サービス提供サーバ200において、サービス要求受信手段241が通信端末2からサービスの要求を受け付けると共に当該サーバ200の識別子を基にしたIBE鍵で暗号化されたセッションコードを受信し、当該IBE鍵に対応する秘密鍵で復号すると、セッションコード保存手段242は、サービス要求受信手段241で受信・復号したセッションコードを記憶部220に保存する。また、セッションコード保存手段242は、受信したセッションコードに対応付けて「未確認」の状態情報を記憶部220に保存する。
Next, in the
また、サービス提供サーバ200において、状態問合せ手段232が記憶部220に保存されたセッションコードの状態の問い合わせを認証サーバ300に送信する。
In the
次に、認証サーバ300において、問合せ受信手段337が通信端末2からサービス提供サーバ200の識別子を基にした暗号鍵で暗号化されて該サービス提供サーバ200に送信され、当該サービス提供サーバ200で受信・復号されて転送されてきたセッションコードの状態の問い合わせを受信すると、状態情報送信手段338は、当該セッションコードの状態情報を、対応付けられて保存された共通鍵と共にサービス提供サーバ200に送信する。
Next, in the
次に、サービス提供サーバ200において、状態情報受信手段233が認証サーバ300から前記セッションコードの状態情報を受信すると、状態更新手段234は、記憶部220に保存された該当するセッションコードの状態情報を前記受信した状態情報で更新、即ち認証サーバ300の記憶部320における当該セッションコードの状態情報と同一状態になるように更新する。
Next, in the
また、サービス提供サーバ200において、共通鍵受信手段281が、前記セッションコードの状態情報と同時に送られてきた共通鍵を受信すると、共通鍵保存手段282は、当該共通鍵を前記セッションコードに対応付けて記憶部220に保存する。
In the
さらに、サービス提供サーバ200において、記憶部220における前記セッションコードの状態情報が「確認済み」であるとき、サービス提供可否判定手段243は、通信端末1と対応する通信端末2の利用者にサービスの提供を許可する。通信端末2の利用者に提供されるサービスの内容は、暗号化手段244により記憶部220に当該セッションコードに対応付けられて記憶された共通鍵で暗号化され、送信手段245から通信端末2に送信される。
Further, in the
なお、第5または第6の実施の形態の場合と同様に、SP確認情報または端末2確認情報を用いて第三者が介入していないことを確認するようにしても良い。
As in the case of the fifth or sixth embodiment, it may be confirmed that a third party has not intervened using the SP confirmation information or the
以上説明したように、本発明の第8の実施の形態に係るサービス提供サーバ、認証サーバおよび認証システムは、サービス提供サーバと認証サーバとが異なる構成においても、携帯電話網等の安全なネットワーク4を経由して、携帯電話機等の通信端末1によって送信されたセッションコードと、通信端末2から認証サーバの識別子を基にしたIBE鍵で暗号化されて送られてきたセッションコードとを認証サーバにて比較・照合し、互いのセッションコードが一致した場合に、通信端末2の利用者にサービス提供サーバにおけるサービスの提供を許可し、この際、認証サーバで生成した共通鍵を通信端末2およびサービス提供サーバへ送り、通信端末2の利用者に提供するサービスの内容を当該共通鍵によって暗号化するため、サービス提供サーバと通信端末2との間の通信に対するフィッシングや中間者攻撃を受けることなく、認証情報を持たない通信端末2でも通信端末1を併用しながら安全性の高いオンラインサービスを利用者に提供することができると共に、サービス提供サーバや通信端末2におけるサービス内容の暗号化や復号に必要な処理負荷を減らすことができる。
As described above, the service providing server, the authentication server, and the authentication system according to the eighth embodiment of the present invention can be used in a secure network 4 such as a cellular phone network even when the service providing server and the authentication server are different. The session code transmitted by the communication terminal 1 such as a mobile phone and the session code encrypted by the IBE key based on the identifier of the authentication server and transmitted from the
以上のように、本発明に係るサービス提供サーバ、認証サーバ、および認証システムは、フィッシングや中間者攻撃を防止でき、認証情報を持たない通信端末でも他の通信端末を併用しながら安全性の高い認証を伴うオンラインサービスを利用者に提供することができるという効果を有し、通信端末を利用する利用者や通信端末の認証を行う認証サーバ、認証サーバを用いるシステム等として有用である。 As described above, the service providing server, the authentication server, and the authentication system according to the present invention can prevent phishing and man-in-the-middle attacks, and even a communication terminal that does not have authentication information is highly safe while using other communication terminals in combination. This has the effect of providing an online service with authentication to a user, and is useful as a user using a communication terminal, an authentication server for authenticating the communication terminal, a system using the authentication server, and the like.
1,2:通信端末
3:インターネット
4:携帯電話網
100,200:サービス提供サーバ
300:認証サーバ
110,210,310:通信インタフェース
120,220,320:記憶部
130,230,330:セッションコード処理部
131,331:セッションコード受信手段
132,332:セッションコード保存手段
133,333:セッションコード比較手段
134,234,334:状態更新手段
135,335:端末1認証手段
231:セッションコード送信手段
232:状態問合せ手段
233:状態情報受信手段
336:サービス提供サーバ(SP)確認手段
337:問合せ受信手段
338:状態情報送信手段
140,240:サービス提供処理部
141,241:サービス要求受信手段
142,243:サービス提供可否判定手段
143,244:暗号化手段
144,245:送信手段
242:セッションコード保存手段
150,250,340:IBE処理部
151,251,341:IBE鍵部分情報取得手段
152,252,342:IBE鍵生成手段
153,253,343:IBE鍵保存手段
160,260,350:要求処理部
170,280,380:共通鍵処理部
171,281:共通鍵受信手段
172,282,382:共通鍵保存手段
381:共通鍵生成手段
383:共通鍵送信手段
180,270,370:端末2確認情報処理部
181,271,371:端末2確認情報受信手段
182,272,372:端末2確認情報送信手段
183,373:確認結果受信手段
184,374:状態更新手段
360:SP確認情報処理部
361:SP確認情報生成手段
362:SP確認情報送信手段
363:確認結果受信手段
364:状態更新手段
1, 2: Communication terminal 3: Internet 4: Mobile phone network 100, 200: Service providing server 300: Authentication server 110, 210, 310: Communication interface 120, 220, 320: Storage units 130, 230, 330: Session code processing Units 131, 331: Session code receiving means 132, 332: Session code storage means 133, 333: Session code comparison means 134, 234, 334: Status update means 135, 335: Terminal 1 authentication means 231: Session code transmission means 232: Status inquiry means 233: Status information reception means 336: Service provision server (SP) confirmation means 337: Inquiry reception means 338: Status information transmission means 140, 240: Service provision processing units 141, 241: Service request reception means 142, 243: Service offer Acceptability judging means 143, 244: encryption means 144, 245: transmission means 242: session code storage means 150, 250, 340: IBE processing units 151, 251 and 341: IBE key part information acquisition means 152, 252, 342: IBE Key generation means 153, 253, 343: IBE key storage means 160, 260, 350: Request processing sections 170, 280, 380: Common key processing sections 171, 281: Common key reception means 172, 282, 382: Common key storage means 381: Common key generation means 383: Common key transmission means 180, 270, 370: Terminal 2 confirmation information processing units 181, 271, 371: Terminal 2 confirmation information reception means 182, 272, 372: Terminal 2 confirmation information transmission means 183 373: Confirmation result receiving means 184, 374: State updating means 360: SP confirmation information processing unit 3 1: SP confirmation information generating means 362: SP confirmation information transmitting unit 363: check result receiving means 364: the state updating means
Claims (18)
前記セッションコード受信手段で受信したセッションコードを記憶部に保存するセッションコード保存手段と、
第2の通信端末からサービスの要求を受け付けると共に当該サーバの識別子を基にした暗号鍵で暗号化されたセッションコードを受信・復号するサービス要求受信手段と、
前記記憶部に保存されたセッションコードと前記サービス要求受信手段で受信・復号したセッションコードとを比較・照合するセッションコード比較手段と、
前記セッションコード比較手段で比較・照合された互いのセッションコードが一致した場合は確認済みとするセッションコードの状態情報を前記記憶部に記憶し、一致しない場合は未確認とするセッションコードの状態情報を前記記憶部に記憶する状態更新手段と、
前記記憶部における前記セッションコードの状態情報が確認済みであるとき、前記第2の通信端末の利用者にサービスの提供を許可するサービス提供可否判定手段と、
前記第2の通信端末の利用者に提供するサービスの内容を、当該サーバの識別子を基にした暗号鍵で暗号化する暗号化手段とを備えた
ことを特徴とするサービス提供サーバ。 Session code receiving means for receiving a session code generated and transmitted by the first communication terminal;
Session code storing means for storing the session code received by the session code receiving means in a storage unit;
Service request receiving means for receiving a service request from the second communication terminal and receiving and decrypting a session code encrypted with an encryption key based on the identifier of the server;
Session code comparing means for comparing and collating the session code stored in the storage unit with the session code received and decoded by the service request receiving means;
If the session codes compared and collated by the session code comparison means match, state information of the session code to be confirmed is stored in the storage unit, and if they do not match, state information of the session code to be unconfirmed is stored. State update means for storing in the storage unit;
A service provision availability determination unit for permitting a user of the second communication terminal to provide a service when the status information of the session code in the storage unit has been confirmed;
A service providing server comprising: encryption means for encrypting the contents of the service provided to the user of the second communication terminal with an encryption key based on the identifier of the server.
前記確認情報受信手段で受信・復号した確認情報を前記第1の通信端末に送信する確認情報送信手段と、
前記第1の通信端末から前記確認情報が正当であるか否かを示す確認結果を受信する確認結果受信手段と、
前記セッションコード比較手段で比較・照合された互いのセッションコードが一致し、かつ前記確認結果受信手段で受信した確認結果が正当を示している場合は確認済みとするセッションコードの状態情報を前記記憶部に記憶し、一致しないもしくは確認結果が正当を示していない場合は未確認とするセッションコードの状態情報を前記記憶部に記憶する状態更新手段とを備えた
ことを特徴とする請求項1に記載のサービス提供サーバ。 Confirmation information for confirming the user of the second communication terminal encrypted with the encryption key based on the identifier of the server when the encrypted session code is received from the second communication terminal Confirmation information receiving means for receiving and decoding
Confirmation information transmitting means for transmitting confirmation information received / decoded by the confirmation information receiving means to the first communication terminal;
Confirmation result receiving means for receiving a confirmation result indicating whether or not the confirmation information is valid from the first communication terminal;
If the session codes compared and collated by the session code comparing means match and the confirmation result received by the confirmation result receiving means is valid, the stored state information of the session code is confirmed. 2. State update means for storing in the storage unit state information of a session code that is stored in the storage unit and is unconfirmed if the results do not match or the confirmation result does not indicate correctness. Service providing server.
前記サービス要求受信手段で受信・復号したセッションコードを記憶部に保存するセッションコード保存手段と、
前記記憶部に保存されたセッションコードを認証サーバに送信するセッションコード送信手段と、
前記認証サーバから第1の通信端末からのセッションコードと第2の通信端末からのセッションコードとが一致した場合は確認済みとするセッションコードの状態情報を、一致しない場合は未確認とするセッションコードの状態情報を受信する状態情報受信手段と、
前記状態情報受信手段で受信した状態情報を前記記憶部に記憶する状態更新手段と、
前記記憶部における前記セッションコードの状態情報が確認済みであるとき、前記第2の通信端末の利用者にサービスの提供を許可するサービス提供可否判定手段と、
前記第2の通信端末の利用者に提供するサービスの内容を、当該サーバの識別子を基にした暗号鍵で暗号化する暗号化手段とを備えた
ことを特徴とするサービス提供サーバ。 Service request receiving means for receiving a service request from the second communication terminal and receiving and decrypting a session code encrypted with an encryption key based on the identifier of the server;
Session code storage means for storing the session code received / decoded by the service request reception means in a storage unit;
Session code transmitting means for transmitting the session code stored in the storage unit to an authentication server;
When the session code from the first communication terminal and the session code from the second communication terminal match from the authentication server, the status information of the session code to be confirmed is confirmed. Status information receiving means for receiving status information;
State updating means for storing the state information received by the state information receiving means in the storage unit;
A service provision availability determination unit for permitting a user of the second communication terminal to provide a service when the status information of the session code in the storage unit has been confirmed;
A service providing server comprising: encryption means for encrypting the contents of the service provided to the user of the second communication terminal with an encryption key based on the identifier of the server.
前記確認情報受信手段で受信・復号した確認情報を認証サーバに送信する確認情報送信手段とを備えた
ことを特徴とする請求項3に記載のサービス提供サーバ。 Confirmation information for confirming the user of the second communication terminal encrypted with the encryption key based on the identifier of the server when the encrypted session code is received from the second communication terminal Confirmation information receiving means for receiving and decoding
The service providing server according to claim 3, further comprising confirmation information transmitting means for transmitting confirmation information received and decrypted by the confirmation information receiving means to an authentication server.
前記共通鍵受信手段が受信した共通鍵を前記記憶部に保存する共通鍵保存手段とを備え、
前記暗号化手段は、前記第2の通信端末の利用者に提供するサービスの内容を、前記記憶部に保存された共通鍵で暗号化する
ことを特徴とする請求項3または4に記載のサービス提供サーバ。 A common key receiving means for receiving a common key generated and transmitted by the authentication server when the status information of the session code is received from the authentication server;
A common key storage unit that stores the common key received by the common key reception unit in the storage unit;
The service according to claim 3 or 4, wherein the encryption means encrypts the content of the service provided to the user of the second communication terminal with a common key stored in the storage unit. Provision server.
前記暗号鍵生成手段で生成された暗号鍵を前記記憶部に保存する暗号鍵保存手段とを備え、
前記暗号化手段は、前記第2の通信端末の利用者に提供するサービスの内容を、前記記憶部に保存された暗号鍵で暗号化する
ことを特徴とする請求項1乃至4のいずれかに記載のサービス提供サーバ。 Encryption key generation means for generating an encryption key based on the session code stored in the storage unit;
An encryption key storage means for storing the encryption key generated by the encryption key generation means in the storage unit;
The said encryption means encrypts the content of the service provided to the user of said 2nd communication terminal with the encryption key preserve | saved at the said memory | storage part. The service providing server described.
前記共通鍵受信手段で受信・復号した共通鍵を前記記憶部に保存する共通鍵保存手段とを備え、
前記暗号化手段は、前記第2の通信端末の利用者に提供するサービスの内容を、前記記憶部に保存された共通鍵で暗号化する
ことを特徴とする請求項1乃至4のいずれかに記載のサービス提供サーバ。 When the encrypted session code is received from the second communication terminal, the common key generated by the second communication terminal encrypted with the encryption key based on the identifier of the server is received and decrypted. A common key receiving means to
A common key storing means for storing the common key received / decrypted by the common key receiving means in the storage unit,
The said encryption means encrypts the content of the service provided to the user of said 2nd communication terminal with the common key preserve | saved at the said memory | storage part. The service providing server described.
前記セッションコード受信手段で受信したセッションコードを記憶部に保存するセッションコード保存手段と、
前記記憶部に保存されたセッションコードと第2の通信端末からサービス提供サーバの識別子を基にした暗号鍵で暗号化されて該サービス提供サーバに送信され、当該サービス提供サーバで受信・復号されて転送されてきたセッションコードとを比較・照合するセッションコード比較手段と、
前記セッションコード比較手段で比較・照合された互いのセッションコードが一致した場合は確認済みとするセッションコードの状態情報を前記記憶部に記憶し、一致しない場合は未確認とするセッションコードの状態情報を前記記憶部に記憶する状態更新手段と、
前記記憶部における前記セッションコードの状態情報を前記サービス提供サーバに送信する状態情報送信手段とを備えた
ことを特徴とする認証サーバ。 Session code receiving means for receiving a session code generated and transmitted by the first communication terminal;
Session code storing means for storing the session code received by the session code receiving means in a storage unit;
The session code stored in the storage unit and the encryption key based on the service providing server identifier are encrypted from the second communication terminal, transmitted to the service providing server, and received and decrypted by the service providing server. Session code comparison means for comparing and collating the transferred session code,
If the session codes compared and collated by the session code comparison means match, state information of the session code to be confirmed is stored in the storage unit, and if they do not match, state information of the session code to be unconfirmed is stored. State update means for storing in the storage unit;
An authentication server, comprising: status information transmitting means for transmitting status information of the session code in the storage unit to the service providing server.
前記サービス提供サーバ確認情報生成手段で生成されたサービス提供サーバ確認情報を第1の通信端末に送信するサービス提供サーバ確認情報送信手段と、
前記第1の通信端末から前記サービス提供サーバ確認情報が正当であるか否かを示す確認結果を受信する確認結果受信手段と、
前記セッションコード比較手段で比較・照合された互いのセッションコードが一致し、かつ前記確認結果受信手段で受信した確認結果が正当を示している場合は確認済みとするセッションコードの状態情報を前記記憶部に記憶し、一致しないもしくは確認結果が正当を示していない場合は未確認とするセッションコードの状態情報を前記記憶部に記憶する状態更新手段とを備えた
ことを特徴とする請求項8に記載の認証サーバ。 Service providing server confirmation information generating means for generating service providing server confirmation information for confirming the validity of the service providing server when the session codes compared and verified by the session code comparing means match;
Service providing server confirmation information transmitting means for transmitting the service providing server confirmation information generated by the service providing server confirmation information generating means to the first communication terminal;
Confirmation result receiving means for receiving a confirmation result indicating whether or not the service providing server confirmation information is valid from the first communication terminal;
If the session codes compared and collated by the session code comparing means match and the confirmation result received by the confirmation result receiving means is valid, the stored state information of the session code is confirmed. 9. A state updating unit for storing in the storage unit state information of a session code that is stored in the storage unit and is unconfirmed if they do not match or the confirmation result does not indicate validity. Authentication server.
前記確認情報受信手段で受信した確認情報を前記第1の通信端末に送信する確認情報送信手段と、
前記第1の通信端末から前記確認情報が正当であるか否かを示す確認結果を受信する確認結果受信手段と、
前記セッションコード比較手段で比較・照合された互いのセッションコードが一致し、かつ前記確認結果受信手段で受信した確認結果が正当を示している場合は確認済みとするセッションコードの状態情報を前記記憶部に記憶し、一致しないもしくは確認結果が正当を示していない場合は未確認とするセッションコードの状態情報を前記記憶部に記憶する状態更新手段とを備えた
ことを特徴とする請求項8に記載の認証サーバ。 When the session code is received from the service providing server, it is encrypted from the second communication terminal with an encryption key based on the identifier of the service providing server, transmitted to the service providing server, and received by the service providing server. Confirmation information receiving means for receiving confirmation information for confirming a user of the second communication terminal that has been decrypted and transferred;
Confirmation information transmitting means for transmitting the confirmation information received by the confirmation information receiving means to the first communication terminal;
Confirmation result receiving means for receiving a confirmation result indicating whether or not the confirmation information is valid from the first communication terminal;
If the session codes compared and collated by the session code comparing means match and the confirmation result received by the confirmation result receiving means is valid, the stored state information of the session code is confirmed. 9. A state updating unit for storing in the storage unit state information of a session code that is stored in the storage unit and is unconfirmed if they do not match or the confirmation result does not indicate validity. Authentication server.
前記セッションコード受信手段で受信したセッションコードを記憶部に保存するセッションコード保存手段と、
第2の通信端末から当該サーバの識別子を基にした暗号鍵で暗号化され送信されたセッションコードを受信・復号するセッションコード受信・復号手段と、
前記記憶部に保存されたセッションコードと第2の通信端末からのセッションコードとを比較・照合するセッションコード比較手段と、
前記セッションコード比較手段で比較・照合された互いのセッションコードが一致した場合は確認済みとするセッションコードの状態情報を前記記憶部に記憶し、一致しない場合は未確認とするセッションコードの状態情報を前記記憶部に記憶する状態更新手段と、
サービス提供サーバからのセッションコードの状態の問い合わせに応じて、前記記憶部における前記セッションコードの状態情報を返送する状態情報送信手段とを備えた
ことを特徴とする認証サーバ。 Session code receiving means for receiving a session code generated and transmitted by the first communication terminal;
Session code storing means for storing the session code received by the session code receiving means in a storage unit;
Session code reception / decryption means for receiving / decrypting a session code encrypted and transmitted from the second communication terminal with an encryption key based on the identifier of the server;
Session code comparison means for comparing and collating the session code stored in the storage unit with the session code from the second communication terminal;
If the session codes compared and collated by the session code comparison means match, state information of the session code to be confirmed is stored in the storage unit, and if they do not match, state information of the session code to be unconfirmed is stored. State update means for storing in the storage unit;
An authentication server, comprising: status information transmitting means for returning status information of the session code in the storage unit in response to an inquiry about a status of a session code from a service providing server.
前記共通鍵生成手段で生成された共通鍵を前記記憶部に保存する共通鍵保存手段と、
前記記憶部に保存された共通鍵を、当該サーバの識別子を基にした暗号鍵で暗号化して前記第2の通信端末に送信する共通鍵送信手段とを備え、
前記状態情報送信手段は、サービス提供サーバからのセッションコードの状態の問い合わせに応じて、前記記憶部における前記セッションコードの状態情報とともに前記共通鍵を返送する
ことを特徴とする請求項11記載の認証サーバ。 Common key generation means for generating a common key for encrypting the contents of the service provided to the user of the second communication terminal when the session codes compared and verified by the session code comparison means match When,
Common key storage means for storing the common key generated by the common key generation means in the storage unit;
A common key transmitting means for encrypting the common key stored in the storage unit with an encryption key based on an identifier of the server and transmitting the encrypted key to the second communication terminal;
The authentication according to claim 11, wherein the state information transmitting unit returns the common key together with the session code state information in the storage unit in response to a session code state inquiry from a service providing server. server.
前記第1の通信端末は、生成したセッションコードを前記サービス提供サーバに送信し、
前記第2の通信端末は、前記第1の通信端末によって生成されたセッションコードを前記サービス提供サーバの識別子を基にした暗号鍵で暗号化して前記サービス提供サーバに送信し、
前記サービス提供サーバは、前記第1の通信端末から受信したセッションコードと前記第2の通信端末から受信・復号したセッションコードとを比較・照合し、互いのセッションコードが一致した場合、前記第2の通信端末の利用者に前記サービスの提供を許可する
ことを特徴とする認証システム。 A service providing server that provides a service; a first communication terminal that generates a session code related to the service; and a second communication terminal that requests the service;
The first communication terminal transmits the generated session code to the service providing server,
The second communication terminal encrypts the session code generated by the first communication terminal with an encryption key based on the identifier of the service providing server, and transmits the encrypted code to the service providing server.
The service providing server compares and collates the session code received from the first communication terminal with the session code received / decoded from the second communication terminal, and if the session codes match each other, An authentication system that allows a user of a communication terminal to provide the service.
前記サービス提供サーバは、前記第2の通信端末から受信・復号した確認情報を前記第1の通信端末に送信し、
前記第1の通信端末は、前記サービス提供サーバから送信された確認情報が正当であるか否かを示す確認結果を前記サービス提供サーバに送信し、
前記サービス提供サーバは、前記第1の通信端末から受信したセッションコードと前記第2の通信端末から受信・復号したセッションコードとが一致し、かつ前記確認結果が正当を示しているとき、前記第2の通信端末の利用者に前記サービスの提供を許可する
ことを特徴とする請求項13に記載の認証システム。 The second communication terminal encrypts confirmation information for confirming a user of the second communication terminal together with the session code, and transmits the encrypted information to the service providing server.
The service providing server transmits confirmation information received / decoded from the second communication terminal to the first communication terminal,
The first communication terminal transmits a confirmation result indicating whether or not the confirmation information transmitted from the service providing server is valid, to the service providing server,
The service providing server, when the session code received from the first communication terminal matches the session code received / decoded from the second communication terminal, and the confirmation result indicates validity, The authentication system according to claim 13, wherein a user of the second communication terminal is allowed to provide the service.
前記第1の通信端末は、生成したセッションコードを前記認証サーバに送信し、
前記第2の通信端末は、前記第1の通信端末によって生成されたセッションコードを前記サービス提供サーバの識別子を基にした暗号鍵で暗号化して前記サービス提供サーバに送信し、
サービス提供サーバは、前記第2の通信端末から受信・復号したセッションコードを前記認証サーバに転送し、
前記認証サーバは、前記第1の通信端末から受信したセッションコードと前記サービス提供サーバで受信・復号されて転送されてきたセッションコードとを比較・照合し、一致した場合は確認済みとするセッションコードの状態情報を、一致しない場合は未確認とするセッションコードの状態情報を前記サービス提供サーバに送信する
ことを特徴とする認証システム。 A service providing server that provides a service, a first communication terminal that generates a session code related to the service, a second communication terminal that requests the service, and authentication that authenticates a user of the first communication terminal With a server,
The first communication terminal transmits the generated session code to the authentication server,
The second communication terminal encrypts the session code generated by the first communication terminal with an encryption key based on the identifier of the service providing server, and transmits the encrypted code to the service providing server.
The service providing server transfers the session code received / decrypted from the second communication terminal to the authentication server,
The authentication server compares and collates the session code received from the first communication terminal with the session code received / decoded and transferred by the service providing server. The status information of the session code that is unconfirmed when the status information does not match is transmitted to the service providing server.
前記第1の通信端末は、前記認証サーバから送信されたサービス提供サーバ確認情報が正当であるか否かを示す確認結果を前記認証サーバに送信し、
前記認証サーバは、前記確認結果が正当を示しているとき、確認済みとするセッションコードの状態情報を前記サービス提供サーバに送信する
ことを特徴とする請求項15に記載の認証システム。 The authentication server compares and collates the session code received from the first communication terminal with the session code received / decoded and transferred by the service providing server. Send status information to the service providing server, and if it matches, generate service providing server confirmation information for confirming the validity of the service providing server and send it to the first communication terminal,
The first communication terminal transmits a confirmation result indicating whether or not the service providing server confirmation information transmitted from the authentication server is valid to the authentication server,
The authentication system according to claim 15, wherein the authentication server transmits status information of a session code to be confirmed to the service providing server when the confirmation result indicates validity.
前記サービス提供サーバは、前記セッションコードと共に前記第2の通信端末から受信・復号した確認情報を前記認証サーバに転送し、
前記認証サーバは、前記第1の通信端末から受信したセッションコードと前記サービス提供サーバで受信・復号されて転送されてきたセッションコードとを比較・照合し、一致しない場合は未確認とするセッションコードの状態情報を前記サービス提供サーバに送信し、一致した場合は前記サービス提供サーバで受信・復号されて転送されてきた確認情報を前記第1の通信端末に送信し、
前記第1の通信端末は、前記認証サーバから送信された確認情報が正当であるか否かを示す確認結果を前記認証サーバに送信し、
前記認証サーバは、前記確認結果が正当を示しているとき、確認済みとするセッションコードの状態情報を前記サービス提供サーバに送信する
ことを特徴とする請求項15に記載の認証システム。 The second communication terminal encrypts confirmation information for confirming a user of the second communication terminal together with the session code, and transmits the encrypted confirmation information to the service providing server.
The service providing server transfers confirmation information received / decrypted from the second communication terminal together with the session code to the authentication server,
The authentication server compares and collates the session code received from the first communication terminal with the session code received / decoded and transferred by the service providing server. Send status information to the service providing server, and if it matches, send confirmation information received and decoded by the service providing server and transferred to the first communication terminal,
The first communication terminal transmits a confirmation result indicating whether or not the confirmation information transmitted from the authentication server is valid, to the authentication server,
The authentication system according to claim 15, wherein the authentication server transmits status information of a session code to be confirmed to the service providing server when the confirmation result indicates validity.
前記第1の通信端末は、生成したセッションコードを前記認証サーバに送信し、
前記第2の通信端末は、前記第1の通信端末によって生成されたセッションコードを前記認証サーバの識別子を基にした暗号鍵で暗号化して前記認証サーバに送信し、
前記第2の通信端末は、前記第1の通信端末によって生成されたセッションコードを前記サービス提供サーバの識別子を基にした暗号鍵で暗号化して前記サービス提供サーバに送信し、
前記サービス提供サーバは、前記第2の通信端末から受信・復号したセッションコードの状態の問い合わせを前記認証サーバに送信し、
前記認証サーバは、前記第1の通信端末から受信したセッションコードと前記第2の通信端末から受信・復号したセッションコードとを比較・照合し、一致した場合は確認済みとするセッションコードの状態情報を、一致しない場合は未確認とするセッションコードの状態情報を、前記サービス提供サーバからのセッションコードの状態の問い合わせに応じて前記サービス提供サーバに返送する
ことを特徴とする認証システム。 A service providing server that provides a service, a first communication terminal that generates a session code related to the service, a second communication terminal that requests the service, and authentication that authenticates a user of the first communication terminal With a server,
The first communication terminal transmits the generated session code to the authentication server,
The second communication terminal encrypts the session code generated by the first communication terminal with an encryption key based on the identifier of the authentication server, and transmits the encrypted code to the authentication server.
The second communication terminal encrypts the session code generated by the first communication terminal with an encryption key based on the identifier of the service providing server, and transmits the encrypted code to the service providing server.
The service providing server sends an inquiry about the state of the session code received / decoded from the second communication terminal to the authentication server,
The authentication server compares and collates the session code received from the first communication terminal with the session code received / decoded from the second communication terminal, and if it matches, the session code status information to be confirmed Is returned to the service providing server in response to an inquiry about the state of the session code from the service providing server.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006343012A JP2008152737A (en) | 2006-12-20 | 2006-12-20 | Service provision server, authentication server, and authentication system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006343012A JP2008152737A (en) | 2006-12-20 | 2006-12-20 | Service provision server, authentication server, and authentication system |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2008152737A true JP2008152737A (en) | 2008-07-03 |
Family
ID=39654805
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006343012A Pending JP2008152737A (en) | 2006-12-20 | 2006-12-20 | Service provision server, authentication server, and authentication system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2008152737A (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009042929A (en) * | 2007-08-07 | 2009-02-26 | Toshiba Corp | Information processor and authentication control method |
US10169759B2 (en) | 2015-08-10 | 2019-01-01 | International Business Machines Corporation | Verifying online transaction integrity and authentication with QR codes |
JP2020102741A (en) * | 2018-12-21 | 2020-07-02 | 瀧口 信太郎 | Authentication system, authentication method, and authentication program |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH04353972A (en) * | 1991-05-31 | 1992-12-08 | Nec Corp | User certifying system |
JP2000010927A (en) * | 1998-06-25 | 2000-01-14 | Nec Yonezawa Ltd | Authentication system and device |
JP2002082910A (en) * | 2000-09-08 | 2002-03-22 | Pioneer Electronic Corp | System and method for authenticating user |
JP2004348236A (en) * | 2003-05-20 | 2004-12-09 | Toshiba Corp | Server device, personal digital assistant, device for using information, and program |
JP2005500740A (en) * | 2001-08-13 | 2005-01-06 | ザ ボード オブ トラスティーズ オブ ザ リーランド スタンフォード ジュニア ユニバーシティ | ID-based encryption and related cryptosystem systems and methods |
JP2006174320A (en) * | 2004-12-20 | 2006-06-29 | Nippon Telegr & Teleph Corp <Ntt> | Authentication apparatus and authentication method |
JP2007128310A (en) * | 2005-11-04 | 2007-05-24 | Nippon Telegr & Teleph Corp <Ntt> | Service provision server and service provision system |
JP4334515B2 (en) * | 2005-08-30 | 2009-09-30 | 日本電信電話株式会社 | Service providing server, authentication server, and authentication system |
-
2006
- 2006-12-20 JP JP2006343012A patent/JP2008152737A/en active Pending
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH04353972A (en) * | 1991-05-31 | 1992-12-08 | Nec Corp | User certifying system |
JP2000010927A (en) * | 1998-06-25 | 2000-01-14 | Nec Yonezawa Ltd | Authentication system and device |
JP2002082910A (en) * | 2000-09-08 | 2002-03-22 | Pioneer Electronic Corp | System and method for authenticating user |
JP2005500740A (en) * | 2001-08-13 | 2005-01-06 | ザ ボード オブ トラスティーズ オブ ザ リーランド スタンフォード ジュニア ユニバーシティ | ID-based encryption and related cryptosystem systems and methods |
JP2004348236A (en) * | 2003-05-20 | 2004-12-09 | Toshiba Corp | Server device, personal digital assistant, device for using information, and program |
JP2006174320A (en) * | 2004-12-20 | 2006-06-29 | Nippon Telegr & Teleph Corp <Ntt> | Authentication apparatus and authentication method |
JP4334515B2 (en) * | 2005-08-30 | 2009-09-30 | 日本電信電話株式会社 | Service providing server, authentication server, and authentication system |
JP2007128310A (en) * | 2005-11-04 | 2007-05-24 | Nippon Telegr & Teleph Corp <Ntt> | Service provision server and service provision system |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009042929A (en) * | 2007-08-07 | 2009-02-26 | Toshiba Corp | Information processor and authentication control method |
US10169759B2 (en) | 2015-08-10 | 2019-01-01 | International Business Machines Corporation | Verifying online transaction integrity and authentication with QR codes |
JP2020102741A (en) * | 2018-12-21 | 2020-07-02 | 瀧口 信太郎 | Authentication system, authentication method, and authentication program |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109756485B (en) | Electronic contract signing method, electronic contract signing device, computer equipment and storage medium | |
CN108352015B (en) | Secure multi-party loss-resistant storage and encryption key transfer for blockchain based systems in conjunction with wallet management systems | |
CN108292402B (en) | Determination of a common secret and hierarchical deterministic keys for the secure exchange of information | |
US7366905B2 (en) | Method and system for user generated keys and certificates | |
CN108599925B (en) | Improved AKA identity authentication system and method based on quantum communication network | |
CN111431713B (en) | Private key storage method and device and related equipment | |
US8868909B2 (en) | Method for authenticating a communication channel between a client and a server | |
US8601267B2 (en) | Establishing a secured communication session | |
US10742426B2 (en) | Public key infrastructure and method of distribution | |
US20020025046A1 (en) | Controlled proxy secure end to end communication | |
CN103237305B (en) | Password protection method for smart card on facing moving terminal | |
WO2013048674A1 (en) | Quantum key management | |
JP2009529832A (en) | Undiscoverable, ie secure data communication using black data | |
CN104901935A (en) | Bilateral authentication and data interaction security protection method based on CPK (Combined Public Key Cryptosystem) | |
KR20090098542A (en) | Encryption data communication system using proxy and method for encryption data communication thereof | |
KR100989185B1 (en) | A password authenticated key exchange method using the RSA | |
CN107248997B (en) | Authentication method based on intelligent card under multi-server environment | |
KR101014849B1 (en) | Method for mutual authenticating and key exchanging to Public Key without trusted third party and apparatus thereof | |
US11170094B2 (en) | System and method for securing a communication channel | |
CN114760046A (en) | Identity authentication method and device | |
WO2019093963A1 (en) | Heterogeneous identity-based interactive system and method | |
KR20080005344A (en) | System for authenticating user's terminal based on authentication server | |
JP2008152737A (en) | Service provision server, authentication server, and authentication system | |
JP4924943B2 (en) | Authenticated key exchange system, authenticated key exchange method and program | |
KR20070035342A (en) | Method for mutual authentication based on the user's password |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090114 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20110613 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20110614 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20110615 |
|
RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20110616 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110922 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20111118 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20111207 |