JP2009071435A - アカウント管理システム、基底アカウント管理装置、派生アカウント管理装置及びプログラム - Google Patents
アカウント管理システム、基底アカウント管理装置、派生アカウント管理装置及びプログラム Download PDFInfo
- Publication number
- JP2009071435A JP2009071435A JP2007235711A JP2007235711A JP2009071435A JP 2009071435 A JP2009071435 A JP 2009071435A JP 2007235711 A JP2007235711 A JP 2007235711A JP 2007235711 A JP2007235711 A JP 2007235711A JP 2009071435 A JP2009071435 A JP 2009071435A
- Authority
- JP
- Japan
- Prior art keywords
- account
- information
- derived
- base
- management device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/56—Financial cryptography, e.g. electronic payment or e-cash
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/60—Digital content management, e.g. content distribution
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
【解決手段】 基底アカウント管理装置20は、基底アカウント情報内の初期認証要素情報に基づいて、クライアント装置の利用者を認証し、認証結果が正当のとき、生存条件、秘密鍵に基づいて電子署名を生成し、生存条件、電子署名及び公開鍵証明書を含む派生アカウント信用要素情報を派生アカウント管理装置に送信する。派生アカウント管理装置20は、生存条件を満たすときに有効となる派生アカウント情報を、公開鍵証明書の有効期間を過ぎると失効する派生アカウント信用要素情報と、この有効期間とは無関係に有効な利用者の生体情報テンプレートと、の両者を含むように作成する。従って、ルートとなる認証要素(公開鍵証明書)が失効しても、派生する認証要素(生体情報テンプレート)の失効を阻止できる。
【選択図】 図1
Description
R. Housley、W. Polk、W. Ford、D. Solo、" Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile"、[online]、 [2007年4月27日検索]、インターネット<URL:http://www.ietf.org/rfc/rfc3280.txt> S. Farrell、R. Housley、" An Internet Attribute Certificate Profile for Authorization"、[online]、 [2007年4月27日検索]、インターネット<URL:http://www.ietf.org/rfc/rfc3281.txt>
第1の発明においては、生存条件を満たすときに有効となる派生アカウント情報を、基底アカウント管理装置の公開鍵証明書の有効期間を過ぎると失効する派生アカウント信用要素情報と、この有効期間とは無関係に有効な利用者の生体情報テンプレートと、の両者を含む構成としたことにより、ルートとなる認証要素(公開鍵証明書)が失効しても、派生する認証要素(生体情報テンプレート)の失効を阻止することができる。また、生存条件が複数の有効期間を含む構成により、派生する認証要素の有効期間を一時的に無効に設定することができる。
図1は本発明の第1の実施形態に係るアカウント管理システムの構成例を示す模式図である。このアカウント管理システムは、互いに通信可能な基底アカウント管理装置10及び派生アカウント管理装置20を備えており、各アカウント装置10,20にクライアント装置30がネットワーク40を介して通信可能となっている。
[ステップST1]
クライアント装置30においては、利用者の操作により、ユーザインタフェース部33が通信部32を介して、派生アカウント生成要求を派生アカウント管理装置20に送信する。
派生アカウント管理装置20においては、この派生アカウント生成要求を通信部22及び制御部23を介して派生アカウント操作部25が受けると、派生アカウント操作部25が、選択可能な基底アカウント管理装置10を示す基底アカウント管理装置名を制御部23及び通信部22を介してクライアント装置30に送信する。基底アカウント管理装置名は、予め派生アカウント保存部21内に書き込まれているものとする。
クライアント装置30においては、利用者の操作により、ユーザインタフェース部33が基底アカウント管理装置名を選択し、この基底アカウント管理装置名を通信部32から派生アカウント管理装置20に送信する。
派生アカウント管理装置20においては、この基底アカウント管理装置名を転送処理部24が受信すると、転送処理部24がこの基底アカウント管理装置名に基づいて、受信内容を当該基底アカウント管理装置10へ転送する。このとき、派生アカウント管理装置20の接続先情報も基底アカウント管理装置10に送信される。
基底アカウント管理装置10においては、基底アカウント管理装置名、及び派生アカウント管理装置20の接続先情報を転送処理部14が受信して初期認証部18に送出する。
通信部12により受信したパスワードと基底アカウント保存部11の基底アカウントに含まれるパスワードとの一致により認証処理が成功したとき、基底アカウント管理装置10においては、派生アカウント信用要素生成部16が、信用要素識別情報、生成元情報、生成先情報、基底アカウント参照情報、生存条件に対し、基底アカウント管理装置の秘密鍵に基づいて電子署名を生成する。なお、生存条件は生存条件設定部17に事前に設定されている。
基底アカウント管理装置10は、転送処理部14が、初期認証部18による認証結果を派生アカウント管理装置20へ転送する。
[ステップST6−2]
派生アカウント管理装置20においては、転送処理部24が認証結果を受信すると、派生アカウント信用要素情報56の送信要求を基底アカウント管理装置10に送信する。
基底アカウント管理装置10は、通信部12により、派生アカウント信用要素情報56の送信要求を受信すると、基底アカウント操作部15が、基底アカウント保存部11内の派生アカウント信用要素情報56を派生アカウント管理装置20に送信する。
派生アカウント管理装置20においては、通信部22により派生アカウント信用要素情報56を受信すると、アカウント検証部27が、この派生アカウント信用要素情報56におけるセキュリティ情報内の公開鍵証明書に基づいて、当該セキュリティ情報内の電子署名を検証し、この検証の結果、電子署名が正当のときには、派生アカウント信用要素情報56に含まれる生存条件に基づいて、派生アカウント60の生存が許可されるか否かを検証する。
派生アカウント管理装置20においては、派生認証要素作成部26が、利用者のクライアント装置30との間で派生認証要素を合意確立し、この合意した派生認証要素を派生アカウント保存部21内の派生アカウント60の派生認証要素フィールド63に書き込む。例えば生体認証の場合、派生認証要素作成部26は、利用者の生体情報をクライアント装置30から取得し、この生体情報から生体情報テンプレートを作成し、生体情報テンプレートにテンプレート管理情報を付与して派生認証要素を作成する。なお、テンプレート管理情報には、派生アカウント信用要素情報56の各情報を含めてもよい。この各情報としては、例えば、発行元情報(基底アカウント管理装置10の識別情報)や、基底アカウント参照情報などが挙げられる。また、テンプレート管理情報は付与しなくてもよい。
派生認証要素の書き込み後、派生アカウント管理装置20においては、派生認証要素作成部26が制御部23及び通信部22を介し、完了又は失敗を示す処理結果をクライアント装置30及び基底アカウント管理装置10に通知する。以後、派生アカウント60が利用可能となる。
次に、派生アカウント60を検証及び削除する動作について図11を用いて説明する。派生アカウント60の検証は、任意のタイミングで実行される。ここでは、派生アカウント60のユーザ属性情報ブロックへのアクセス時に実行される例を述べる。なお、派生アカウント60の検証は、派生アカウント管理装置20によるユーザ認証など、派生認証要素を利用する際に実行されることが望ましい。以下の動作説明は、派生アカウント操作部25が派生アカウント60のユーザ属性情報ブロック61にアクセスする時点から開始する。
派生アカウント管理装置20においては、派生アカウント操作部25が、派生アカウント60へのアクセス要求があったとき、派生アカウント60の生存検証をアカウント検証部27に要求する。アカウント検証部27は、派生アカウント保存部21から派生アカウント60の派生アカウント信用要素情報56を取得する。
アカウント検証部27は、取得した派生アカウント信用要素情報56におけるセキュリティ情報内の公開鍵証明書に基づいて、当該セキュリティ情報内の電子署名を検証し、この検証の結果、電子署名が正当のときには、派生アカウント信用要素情報56内の生存条件に基づいて、図9に示したように、派生アカウント60の生存が許可されるか否かを検証し、検証結果を派生アカウント操作部25に返す。
一方、アカウント検証部27から受けた検証結果が「deny(拒否)」であれば、派生アカウント操作部25は、派生アカウント60へのアクセスを拒否し、派生アカウント60を無効化する。
図12は本発明の第2の実施形態に係るアカウント管理システムが適用された入退出管理システムの構成を示す模式図であり、図13乃至図15は各装置の構成を示す模式図であって、前述した図面と同一部分には同一符号を付してその詳しい説明を省略し、ここでは異なる部分について主に述べる。
入退出管理クライアント装置30’においては、利用者の操作により、ユーザインタフェース部33が通信部32を介して、派生アカウント生成要求を入退出管理装置20’に送信する。
入退出管理装置20’においては、この派生アカウント生成要求を通信部22及び制御部23を介して派生アカウント操作部25が受けると、派生アカウント操作部25が、選択可能な認証サーバ装置10’を示す認証サーバ装置名を制御部23及び通信部22を介して入退出管理クライアント装置30’に送信する。認証サーバ装置名は、予め派生アカウント保存部21内に書き込まれているものとする。
利用者は、自己の身元を保証してくれる認証サーバ装置10’を選択する。
入退出管理クライアント装置30’においては、利用者の操作により、ユーザインタフェース部33が認証サーバ装置名を選択し、この認証サーバ装置名を通信部32から入退出管理装置20’に送信する。
入退出管理装置20’は、通信処理部24’が、認証サーバ装置名を受信すると、この認証サーバ装置名に基づいて、派生アカウント作成許可要求を認証サーバ装置10’に送信する。
認証サーバ装置10’では接続を受理し、通信処理部14’により受信した認証情報を初期認証部18が検証することにより利用者の認証処理を実行し、認証結果を通信処理部14’から入退出管理装置20’に応答する。
入退出管理装置20’は、認証サーバ装置10’から通信処理部24’により受信した認証結果が認証成功を示すとき、派生アカウント信用要素情報56の要求を通信処理部24’から認証サーバ装置10’に送信する。この派生アカウント信用要素情報56は、図4に示した構成をもっている。
認証サーバ装置10’においては、派生アカウント信用要素情報56の要求を通信部12により受信すると、派生アカウント信用要素生成部16が、信用要素識別情報、生成元情報、生成先情報、基底アカウント参照情報、生存条件に対し、認証サーバ装置10’の秘密鍵に基づいて電子署名を生成する。なお、生存条件は生存条件設定部17に事前に設定されている。
認証サーバ装置10’においては、基底アカウント操作部15が、基底アカウント保存部11内の派生アカウント信用要素情報56を通信部12から入退出管理装置20’に送信する。
入退出管理装置20’においては、通信部22により派生アカウント信用要素情報56を受信すると、アカウント検証部27が、この派生アカウント信用要素情報56におけるセキュリティ情報内の公開鍵証明書に基づいて、当該セキュリティ情報内の電子署名を検証する。
次に、入退出管理装置20’は、処理の結果と派生認証要素の要求とを入退出管理クライアント装置30’に送信する。
次に、入退出管理装置20’においては、派生認証要素作成部26が、利用者のクライアント装置30との間で派生認証要素を合意確立し、合意した派生認証要素を派生アカウント保存部21内の派生アカウント60の派生認証要素フィールド63に書き込む。
派生認証要素の書き込み後、派生アカウント管理装置20においては、派生認証要素作成部26が制御部23及び通信部22を介し、完了又は失敗を示す処理結果を認証サーバ装置10’に通知する。
次に、派生アカウント管理装置20においては、派生認証要素作成部26が制御部23及び通信部22を介し、完了又は失敗を示す処理結果を入退出クライアント装置30’に通知する。
派生アカウント60を検証及び削除する動作については、入退出管理装置20’と入退出制御装置70とが分離した構成であることを除き、前述した動作と同様である。以下、前述した図11を用いて説明する。
入退出制御装置70においては、利用者から入退出要求を受けると、派生アカウント60へのアクセス要求を入退出管理装置20’に送信する。
アカウント検証部27は、前述した通り、取得した派生アカウント信用要素情報56における電子署名及び生存条件を検証し、検証結果を派生アカウント操作部25に返す。
一方、アカウント検証部27から受けた検証結果が「deny(拒否)」であれば、派生アカウント操作部25は、派生アカウント60へのアクセスを拒否し、派生アカウント60を無効化する。無効化の実行方法や無効化の解除方法は、前述した通りである。
Claims (9)
- 利用者の身元を保証するための基底アカウント情報を管理する基底アカウント管理装置と、前記基底アカウント情報に基づいて生成される派生アカウント情報を管理する派生アカウント管理装置とを備え、前記各アカウント管理装置が利用者のクライアント装置と通信可能なアカウント管理システムであって、
前記基底アカウント管理装置は、
初期認証要素情報が格納された初期認証要素フィールド及び派生アカウント信用要素情報が格納される派生アカウント信用要素フィールドを備えた前記基底アカウント情報を記憶した基底アカウント記憶手段と、
前記基底アカウント管理装置の秘密鍵及びこの秘密鍵に対応する公開鍵証明書が記憶された基底アカウント鍵記憶手段と、
前記派生アカウント信用要素情報に対する複数の有効期間を含む生存条件を予め設定するための生存条件設定手段と、
前記初期認証要素情報に基づいて、前記クライアント装置の利用者を認証する初期認証手段と、
前記初期認証手段による認証結果が正当のとき、信用要素識別情報、基底アカウント管理装置識別情報、派生アカウント管理装置識別情報、基底アカウント情報参照情報及び前記生存条件に対し、前記基底アカウント管理装置の秘密鍵に基づいて電子署名を生成する手段と、
前記信用要素識別情報、前記基底アカウント管理装置識別情報、前記派生アカウント管理装置識別情報、前記基底アカウント情報参照情報、前記生存条件、前記電子署名及び前記公開鍵証明書からなる派生アカウント信用要素情報を前記派生アカウント信用要素情報フィールドに格納する手段と、
前記基底アカウント記憶手段内の派生アカウント信用要素情報を派生アカウント管理装置に送信する手段と、
を備えており、
前記派生アカウント管理装置は、
前記派生アカウント信用要素情報が格納される派生アカウント信用要素フィールド及び派生認証要素情報が格納される派生認証要素フィールドを備えた前記派生アカウント情報を記憶可能な派生アカウント記憶手段と、
前記基底アカウント管理装置から派生アカウント信用要素情報を受信すると、この派生アカウント信用要素情報内の公開鍵証明書に基づいて、当該派生アカウント信用要素情報内の電子署名を検証する手段と、
この検証の結果、電子署名が正当のとき、前記派生アカウント信用要素情報内の生存条件を満たすか否かを検証する手段と、
この検証の結果、生存条件を満たす場合、前記派生アカウント信用要素情報を前記派生アカウント信用要素フィールドに含む前記派生アカウント情報を作成し、この派生アカウント情報を前記派生アカウント記憶手段に書き込む手段と、
前記利用者の生体情報を前記クライアント装置から取得し、この生体情報から生体情報テンプレートを作成する手段と、
前記生体情報テンプレートを含む派生認証要素情報を前記派生アカウント記憶手段内の前記派生アカウント情報の派生認証要素フィールドに書き込む手段と、
前記派生認証要素の書き込みの後、前記派生アカウント情報へのアクセス要求を受けたとき、前記派生アカウント記憶手段内の派生アカウント情報における派生アカウント信用要素情報内の公開鍵証明書に基づいて、当該派生アカウント信用要素情報内の電子署名を検証する手段と、
この検証の結果、電子署名が正当のとき、当該派生アカウント信用要素情報内の生存条件を満たすか否かを検証する手段と、
この検証の結果、生存条件を満たさない場合、前記アクセス要求を拒否して前記派生アカウント情報を無効化する手段と、
を備えたことを特徴とするアカウント管理システム。 - 利用者の身元を保証するための基底アカウント情報に基づいて生成される派生アカウント情報を管理する派生アカウント管理装置と、前記利用者のクライアント装置とに通信可能であり且つ前記基底アカウント情報を管理する基底アカウント管理装置であって、
初期認証要素情報が格納された初期認証要素フィールド及び派生アカウント信用要素情報が格納される派生アカウント信用要素フィールドを備えた前記基底アカウント情報を記憶した基底アカウント記憶手段と、
前記基底アカウント管理装置の秘密鍵及びこの秘密鍵に対応する公開鍵証明書が記憶された基底アカウント鍵記憶手段と、
前記派生アカウント信用要素情報に対する複数の有効期間を含む生存条件を予め設定するための生存条件設定手段と、
前記初期認証要素情報に基づいて、前記クライアント装置の利用者を認証する初期認証手段と、
前記初期認証手段による認証結果が正当のとき、信用要素識別情報、基底アカウント管理装置識別情報、派生アカウント管理装置識別情報、基底アカウント情報参照情報及び前記生存条件に対し、前記基底アカウント管理装置の秘密鍵に基づいて電子署名を生成する手段と、
前記信用要素識別情報、前記基底アカウント管理装置識別情報、前記派生アカウント管理装置識別情報、前記基底アカウント情報参照情報、前記生存条件、前記電子署名及び前記公開鍵証明書からなる派生アカウント信用要素情報を前記派生アカウント信用要素情報フィールドに格納する手段と、
前記基底アカウント記憶手段内の派生アカウント信用要素情報を派生アカウント管理装置に送信する手段とを備え、
前記派生アカウント管理装置に対し、前記生存条件を満たすときに有効となる前記派生アカウント情報を、前記公開鍵証明書の有効期間を過ぎると失効する前記派生アカウント信用要素情報と、この有効期間とは無関係に有効な前記利用者の生体情報テンプレートと、の両者を含むように作成可能としたことを特徴とする基底アカウント管理装置。 - 請求項2に記載の基底アカウント管理装置において、
前記生存条件は、派生アカウント情報を作成するときに、所定の第三者装置から承認を得た場合に生存を許可する旨の拡張生存条件を含むことを特徴とする基底アカウント管理装置。 - 利用者の身元を保証するための基底アカウント情報を管理する基底アカウント管理装置と、前記利用者のクライアント装置とに通信可能であり且つ前記基底アカウント情報に基づいて生成される派生アカウント情報を管理する派生アカウント管理装置であって、
前記基底アカウント管理情報が、前記基底アカウント情報内の初期認証要素情報に基づく前記利用者の認証結果が正当の場合に、信用要素識別情報、基底アカウント管理装置識別情報、派生アカウント管理装置識別情報、基底アカウント情報参照情報、複数の有効期間を含む生存条件に対し、前記基底アカウント管理装置の秘密鍵に基づいて電子署名を生成することにより、前記信用要素識別情報、前記基底アカウント管理装置識別情報、前記派生アカウント管理装置識別情報、前記基底アカウント情報参照情報、前記生存条件、前記電子署名及び、前記秘密鍵に対応する公開鍵証明書からなる派生アカウント信用要素情報を送信したとき、この派生アカウント信用要素情報を前記基底アカウント管理装置から受信する受信手段と、
前記派生アカウント信用要素情報が格納される派生アカウント信用要素フィールド及び派生認証要素情報が格納される派生認証要素フィールドを備えた前記派生アカウント情報を記憶可能な派生アカウント記憶手段と、
前記基底アカウント管理装置から派生アカウント信用要素情報を受信すると、この派生アカウント信用要素情報内の公開鍵証明書に基づいて、当該派生アカウント信用要素情報内の電子署名を検証する手段と、
この検証の結果、電子署名が正当のとき、前記派生アカウント信用要素情報内の生存条件を満たすか否かを検証する手段と、
この検証の結果、生存条件を満たす場合、前記派生アカウント信用要素情報を前記派生アカウント信用要素フィールドに含む前記派生アカウント情報を作成し、この派生アカウント情報を前記派生アカウント記憶手段に書き込む手段と、
前記利用者の生体情報を前記クライアント装置から取得し、この生体情報から生体情報テンプレートを作成する手段と、
前記生体情報テンプレートを含む派生認証要素情報を前記派生アカウント記憶手段内の前記派生アカウント情報の派生認証要素フィールドに書き込む手段と、
前記派生認証要素の書き込みの後、前記派生アカウント情報へのアクセス要求を受けたとき、前記派生アカウント記憶手段内の派生アカウント情報における派生アカウント信用要素情報内の公開鍵証明書に基づいて、当該派生アカウント信用要素情報内の電子署名を検証する手段と、
この検証の結果、電子署名が正当のとき、当該派生アカウント信用要素情報内の生存条件を満たすか否かを検証する手段と、
この検証の結果、生存条件を満たさない場合、前記アクセス要求を拒否して前記派生アカウント情報を無効化する手段と、
を備えたことを特徴とする派生アカウント管理装置。 - 請求項4に記載の派生アカウント管理装置において、
前記生存条件は、派生アカウント情報を作成するときに、所定の第三者装置から承認を得た場合に生存を許可する旨の拡張生存条件を含むことを特徴とする派生アカウント管理装置。 - 利用者の身元を保証するための基底アカウント情報に基づいて生成される派生アカウント情報を管理する派生アカウント管理装置と、前記利用者のクライアント装置とに通信可能であり且つ前記基底アカウント情報を管理する基底アカウント管理装置としてのコンピュータに用いられるプログラムであって、
前記コンピュータを、
初期認証要素情報が格納された初期認証要素フィールド及び派生アカウント信用要素情報が格納される派生アカウント信用要素フィールドを備えた前記基底アカウント情報を前記コンピュータの基底アカウント記憶手段に書き込む手段、
前記基底アカウント管理装置の秘密鍵及びこの秘密鍵に対応する公開鍵証明書を前記コンピュータの基底アカウント鍵記憶手段に書き込む手段、
前記派生アカウント信用要素情報に対する複数の有効期間を含む生存条件を予め設定するための生存条件設定手段、
前記初期認証要素情報に基づいて、前記クライアント装置の利用者を認証する初期認証手段、
前記初期認証手段による認証結果が正当のとき、信用要素識別情報、基底アカウント管理装置識別情報、派生アカウント管理装置識別情報、基底アカウント情報参照情報及び前記生存条件に対し、前記基底アカウント管理装置の秘密鍵に基づいて電子署名を生成する手段、
前記信用要素識別情報、前記基底アカウント管理装置識別情報、前記派生アカウント管理装置識別情報、前記基底アカウント情報参照情報、前記生存条件、前記電子署名及び前記公開鍵証明書からなる派生アカウント信用要素情報を前記派生アカウント信用要素情報フィールドに格納する手段、
前記基底アカウント記憶手段内の派生アカウント信用要素情報を派生アカウント管理装置に送信する手段、として機能させ、
前記派生アカウント管理装置に対し、前記生存条件を満たすときに有効となる前記派生アカウント情報を、前記公開鍵証明書の有効期間を過ぎると失効する前記派生アカウント信用要素情報と、この有効期間とは無関係に有効な前記利用者の生体情報テンプレートと、の両者を含むように作成可能としたプログラム。 - 請求項6に記載のプログラムにおいて、
前記生存条件は、派生アカウント情報を作成するときに、所定の第三者装置から承認を得た場合に生存を許可する旨の拡張生存条件を含むことを特徴とするプログラム。 - 利用者の身元を保証するための基底アカウント情報を管理する基底アカウント管理装置と、前記利用者のクライアント装置とに通信可能であり且つ前記基底アカウント情報に基づいて生成される派生アカウント情報を管理する派生アカウント管理装置としてのコンピュータに用いられるプログラムであって、
前記コンピュータを、
前記基底アカウント管理情報が、前記基底アカウント情報内の初期認証要素情報に基づく前記利用者の認証結果が正当の場合に、信用要素識別情報、基底アカウント管理装置識別情報、派生アカウント管理装置識別情報、基底アカウント情報参照情報、複数の有効期間を含む生存条件に対し、前記基底アカウント管理装置の秘密鍵に基づいて電子署名を生成することにより、前記信用要素識別情報、前記基底アカウント管理装置識別情報、前記派生アカウント管理装置識別情報、前記基底アカウント情報参照情報、前記生存条件、前記電子署名及び、前記秘密鍵に対応する公開鍵証明書からなる派生アカウント信用要素情報を送信したとき、この派生アカウント信用要素情報を前記基底アカウント管理装置から受信する受信手段、
前記基底アカウント管理装置から派生アカウント信用要素情報を受信すると、この派生アカウント信用要素情報内の公開鍵証明書に基づいて、当該派生アカウント信用要素情報内の電子署名を検証する手段、
この検証の結果、電子署名が正当のとき、前記派生アカウント信用要素情報内の生存条件を満たすか否かを検証する手段、
この検証の結果、生存条件を満たす場合、前記派生アカウント信用要素情報を前記派生アカウント信用要素フィールドに含む前記派生アカウント情報を作成し、この派生アカウント情報を前記派生アカウント記憶手段に書き込む手段、
前記利用者の生体情報を前記クライアント装置から取得し、この生体情報から生体情報テンプレートを作成する手段、
前記生体情報テンプレートを含む派生認証要素情報を前記派生アカウント記憶手段内の前記派生アカウント情報の派生認証要素フィールドに書き込む手段、
前記派生認証要素の書き込みの後、前記派生アカウント情報へのアクセス要求を受けたとき、前記派生アカウント記憶手段内の派生アカウント情報における派生アカウント信用要素情報内の公開鍵証明書に基づいて、当該派生アカウント信用要素情報内の電子署名を検証する手段、
この検証の結果、電子署名が正当のとき、当該派生アカウント信用要素情報内の生存条件を満たすか否かを検証する手段、
この検証の結果、生存条件を満たさない場合、前記アクセス要求を拒否して前記派生アカウント情報を無効化する手段、
として機能させるためのプログラム。 - 請求項8に記載のプログラムにおいて、
前記生存条件は、派生アカウント情報を作成するときに、所定の第三者装置から承認を得た場合に生存を許可する旨の拡張生存条件を含むことを特徴とするプログラム。
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007235711A JP5060222B2 (ja) | 2007-09-11 | 2007-09-11 | アカウント管理システム、基底アカウント管理装置、派生アカウント管理装置及びプログラム |
CN200880001437XA CN101578814B (zh) | 2007-09-11 | 2008-08-18 | 帐户管理系统、基础帐户管理装置、派生帐户管理装置及程序 |
PCT/JP2008/064706 WO2009034815A1 (ja) | 2007-09-11 | 2008-08-18 | アカウント管理システム、基底アカウント管理装置、派生アカウント管理装置及びプログラム |
US12/501,169 US8499147B2 (en) | 2007-09-11 | 2009-07-10 | Account management system, root-account management apparatus, derived-account management apparatus, and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007235711A JP5060222B2 (ja) | 2007-09-11 | 2007-09-11 | アカウント管理システム、基底アカウント管理装置、派生アカウント管理装置及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2009071435A true JP2009071435A (ja) | 2009-04-02 |
JP5060222B2 JP5060222B2 (ja) | 2012-10-31 |
Family
ID=40451824
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007235711A Active JP5060222B2 (ja) | 2007-09-11 | 2007-09-11 | アカウント管理システム、基底アカウント管理装置、派生アカウント管理装置及びプログラム |
Country Status (4)
Country | Link |
---|---|
US (1) | US8499147B2 (ja) |
JP (1) | JP5060222B2 (ja) |
CN (1) | CN101578814B (ja) |
WO (1) | WO2009034815A1 (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2016506552A (ja) * | 2012-11-16 | 2016-03-03 | コーニンクレッカ フィリップス エヌ ヴェKoninklijke Philips N.V. | 身体結合通信インタフェースを有する生体測定システム |
JP5940671B2 (ja) * | 2012-09-14 | 2016-06-29 | 株式会社東芝 | Vpn接続認証システム、ユーザ端末、認証サーバ、生体認証結果証拠情報検証サーバ、vpn接続サーバ、およびプログラム |
Families Citing this family (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1859096B (zh) * | 2005-10-22 | 2011-04-13 | 华为技术有限公司 | 一种安全认证系统及方法 |
US8862879B2 (en) * | 2009-10-13 | 2014-10-14 | Sergio Demian LERNER | Method and apparatus for efficient and secure creating, transferring, and revealing of messages over a network |
WO2011047085A2 (en) * | 2009-10-13 | 2011-04-21 | Certimix, Inc. | Method and apparatus for efficient and secure creating transferring, and revealing of messages over a network |
US8607358B1 (en) | 2010-05-18 | 2013-12-10 | Google Inc. | Storing encrypted objects |
CN102316078A (zh) * | 2010-06-30 | 2012-01-11 | 中华电信股份有限公司 | 验证登录方法 |
JP5979131B2 (ja) * | 2011-03-04 | 2016-08-24 | 日本電気株式会社 | 乱数値特定装置、乱数値特定システム、および、乱数値特定方法 |
JP5822489B2 (ja) * | 2011-03-07 | 2015-11-24 | キヤノン株式会社 | 情報処理装置及びコンピュータプログラム |
US10803152B1 (en) * | 2011-11-27 | 2020-10-13 | Charles Schwab & Co., Inc. | System and method for synchronizing account information on two different computer systems coupled via a network |
WO2013190372A1 (en) | 2012-06-22 | 2013-12-27 | Ologn Technologies Ag | Systems, methods and apparatuses for securing root certificates |
US9680813B2 (en) * | 2012-10-24 | 2017-06-13 | Cyber-Ark Software Ltd. | User provisioning |
US9043890B1 (en) * | 2013-05-30 | 2015-05-26 | Emc Corporation | Distributed authentication against stored user identifiers and user templates via pseudonym association |
CN104618415B (zh) * | 2014-03-13 | 2018-06-19 | 腾讯科技(深圳)有限公司 | 信用账户创建方法、装置及系统 |
US9712563B2 (en) | 2014-07-07 | 2017-07-18 | Cyber-Ark Software Ltd. | Connection-specific communication management |
JP6952661B2 (ja) * | 2018-08-30 | 2021-10-20 | 株式会社東芝 | 情報処理装置、通信機器、情報処理システム、情報処理方法、および情報処理プログラム |
KR102626527B1 (ko) * | 2020-12-31 | 2024-01-18 | 주식회사 카카오 | 다중 구독 서비스를 제공하는 방법 및 장치 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002329124A (ja) * | 2001-04-27 | 2002-11-15 | Hitachi Ltd | ネットワークにおける特定者向けサービス提供方法及びシステム |
JP2004356842A (ja) * | 2003-05-28 | 2004-12-16 | Nippon Telegr & Teleph Corp <Ntt> | 電子証明書作成方法、属性証明書作成方法及び電子証明書検証方法ならびにこれらの装置、プログラム、該プログラムを記録した記録媒体 |
WO2007007690A1 (ja) * | 2005-07-07 | 2007-01-18 | Kabushiki Kaisha Toshiba | 認証システム、装置及びプログラム |
JP2007149066A (ja) * | 2005-10-25 | 2007-06-14 | Toshiba Corp | 認証システム、装置及びプログラム |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
AU1654501A (en) * | 1999-10-27 | 2001-05-08 | Visa International Service Association | Method and apparatus for leveraging an existing cryptographic infrastructure |
US7047404B1 (en) * | 2000-05-16 | 2006-05-16 | Surety Llc | Method and apparatus for self-authenticating digital records |
JP2002140630A (ja) * | 2000-11-01 | 2002-05-17 | Sony Corp | チケットに基づくコンテンツ料金精算システムおよびチケットに基づくコンテンツ料金精算方法 |
JP2003162339A (ja) * | 2001-09-14 | 2003-06-06 | Sony Computer Entertainment Inc | 認証プログラム,認証プログラムを記憶した記憶媒体,認証サーバ装置,クライアント端末装置,認証システム及び認証方法 |
JP4265145B2 (ja) * | 2002-04-08 | 2009-05-20 | 株式会社日立製作所 | アクセス制御方法及びシステム |
US7543140B2 (en) * | 2003-02-26 | 2009-06-02 | Microsoft Corporation | Revocation of a certificate and exclusion of other principals in a digital rights management (DRM) system based on a revocation list from a delegated revocation authority |
JP3928589B2 (ja) * | 2003-06-12 | 2007-06-13 | コニカミノルタビジネステクノロジーズ株式会社 | 通信システムおよび方法 |
US20050076198A1 (en) * | 2003-10-02 | 2005-04-07 | Apacheta Corporation | Authentication system |
JP4794560B2 (ja) * | 2004-08-31 | 2011-10-19 | 株式会社エヌ・ティ・ティ・ドコモ | 暗号デジタル証明書の失効 |
EP1829332A2 (en) * | 2004-12-15 | 2007-09-05 | Exostar Corporation | Enabling trust in a federated collaboration of networks |
US7315941B2 (en) * | 2004-12-17 | 2008-01-01 | Ntt Docomo Inc. | Multi-certificate revocation using encrypted proof data for proving certificate's validity or invalidity |
US7877600B2 (en) * | 2006-12-27 | 2011-01-25 | General Instrument Corporation | Method and apparatus for distributing root certification |
-
2007
- 2007-09-11 JP JP2007235711A patent/JP5060222B2/ja active Active
-
2008
- 2008-08-18 CN CN200880001437XA patent/CN101578814B/zh active Active
- 2008-08-18 WO PCT/JP2008/064706 patent/WO2009034815A1/ja active Application Filing
-
2009
- 2009-07-10 US US12/501,169 patent/US8499147B2/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002329124A (ja) * | 2001-04-27 | 2002-11-15 | Hitachi Ltd | ネットワークにおける特定者向けサービス提供方法及びシステム |
JP2004356842A (ja) * | 2003-05-28 | 2004-12-16 | Nippon Telegr & Teleph Corp <Ntt> | 電子証明書作成方法、属性証明書作成方法及び電子証明書検証方法ならびにこれらの装置、プログラム、該プログラムを記録した記録媒体 |
WO2007007690A1 (ja) * | 2005-07-07 | 2007-01-18 | Kabushiki Kaisha Toshiba | 認証システム、装置及びプログラム |
JP2007149066A (ja) * | 2005-10-25 | 2007-06-14 | Toshiba Corp | 認証システム、装置及びプログラム |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5940671B2 (ja) * | 2012-09-14 | 2016-06-29 | 株式会社東芝 | Vpn接続認証システム、ユーザ端末、認証サーバ、生体認証結果証拠情報検証サーバ、vpn接続サーバ、およびプログラム |
JP2016506552A (ja) * | 2012-11-16 | 2016-03-03 | コーニンクレッカ フィリップス エヌ ヴェKoninklijke Philips N.V. | 身体結合通信インタフェースを有する生体測定システム |
Also Published As
Publication number | Publication date |
---|---|
CN101578814B (zh) | 2012-05-23 |
US20090327706A1 (en) | 2009-12-31 |
JP5060222B2 (ja) | 2012-10-31 |
CN101578814A (zh) | 2009-11-11 |
US8499147B2 (en) | 2013-07-30 |
WO2009034815A1 (ja) | 2009-03-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5060222B2 (ja) | アカウント管理システム、基底アカウント管理装置、派生アカウント管理装置及びプログラム | |
US10636240B2 (en) | Architecture for access management | |
EP3460693B1 (en) | Methods and apparatus for implementing identity and asset sharing management | |
EP3460691B1 (en) | Methods and apparatus for management of intrusion detection systems using verified identity | |
JP6951329B2 (ja) | デジタルアイデンティティを管理するためのシステム及び方法 | |
US10382427B2 (en) | Single sign on with multiple authentication factors | |
US10664577B2 (en) | Authentication using delegated identities | |
JP4668551B2 (ja) | 個人認証デバイスとこのシステムおよび方法 | |
US8468359B2 (en) | Credentials for blinded intended audiences | |
Bosworth et al. | Entities, identities, identifiers and credentials—what does it all mean? | |
JP5399045B2 (ja) | 個人認証デバイスとこのシステムおよび方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100319 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20120529 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120710 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120803 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150810 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5060222 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |