JP2009118110A - Method and system for provisioning meta data of authentication system, its program and recording medium - Google Patents

Method and system for provisioning meta data of authentication system, its program and recording medium Download PDF

Info

Publication number
JP2009118110A
JP2009118110A JP2007288085A JP2007288085A JP2009118110A JP 2009118110 A JP2009118110 A JP 2009118110A JP 2007288085 A JP2007288085 A JP 2007288085A JP 2007288085 A JP2007288085 A JP 2007288085A JP 2009118110 A JP2009118110 A JP 2009118110A
Authority
JP
Japan
Prior art keywords
authentication
metadata
service providing
providing server
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2007288085A
Other languages
Japanese (ja)
Inventor
Makiko Aoyanagi
真紀子 青柳
Takeshi Abe
剛 安部
Kenji Takahashi
健司 高橋
Original Assignee
Nippon Telegr & Teleph Corp <Ntt>
日本電信電話株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegr & Teleph Corp <Ntt>, 日本電信電話株式会社 filed Critical Nippon Telegr & Teleph Corp <Ntt>
Priority to JP2007288085A priority Critical patent/JP2009118110A/en
Publication of JP2009118110A publication Critical patent/JP2009118110A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To use a device held by a user as an authentication device in login authentication from a user utilization terminal to a service provision server. <P>SOLUTION: The service provision server 21 accepts a request of meta data registration from a utilization terminal 10, and establishes a session between the service provision server 21 and the authentication device 31. The authentication device 31 transmits the meta data including a public key certificate of itself to the service provision server 21. The service provision server 21 verifies a signature of the public key certificate of the authentication device 31 by a public key certificate of a certificate authority 40, and when it is confirmed that the signature is true and correct, registers the meta data. <P>COPYRIGHT: (C)2009,JPO&INPIT

Description

本発明は、サービス提供サーバへログインする際の認証処理を認証デバイスを用いて行う場合に、認証デバイスが生成する認証情報の検証に必要な情報をサービス提供サーバにプロビジョニングする方法、システム、そのプログラムおよび記録媒体に関する。   The present invention provides a method, a system, and a program for provisioning information necessary for verification of authentication information generated by an authentication device to a service providing server when performing authentication processing when logging in to the service providing server using the authentication device And a recording medium.
ネットバンキングなど、様々なサービスが次々とオンライン化されるにつれ、フィッシングやID盗難などのセキュリティ被害も増加傾向にある。現状、PCなどの利用端末からオンラインサービスを利用する場合、例えば図10に示すように、ユーザの利用端末110からサービス提供者のサービス提供サーバ120にログインする際にユーザアカウント/パスワードにより認証を行うという形でセキュリティ対策を行うことが一般的である。しかし、ユーザアカウント/パスワード認証は低コストで容易に導入できるものの、なりすましや盗聴などの脅威が多いというデメリットがある。そこで、より高いセキュリティが求められるオンラインサービスの提供者は、例えば図11に示すように、ユーザごとにワンタイムパスワードトークンやUSBトークンを配布し、これらのトークンに格納された認証情報を専用の認証サーバ130を用いて認証するなどの方法によりセキュリティを高めている。   As various services such as online banking are brought online, security damage such as phishing and ID theft is increasing. At present, when using an online service from a user terminal such as a PC, for example, as shown in FIG. 10, authentication is performed using a user account / password when logging in to the service provider server 120 of the service provider from the user terminal 110. It is common to take security measures in the form of However, although user account / password authentication can be easily introduced at low cost, it has a demerit that there are many threats such as spoofing and eavesdropping. Accordingly, online service providers that require higher security distribute one-time password tokens or USB tokens for each user, as shown in FIG. 11, for example, and use authentication information stored in these tokens as dedicated authentication. Security is enhanced by a method such as authentication using the server 130.
一方、携帯電話が普及し、ライフスタイルへの浸透が進んでいることを背景に、携帯電話を認証デバイスとして利用する方式が提案されている(例えば、特許文献1参照)。この方式のように、サービス提供サーバに付属して認証機能を提供する認証サーバではなく別の認証デバイスを利用して認証を行う場合には、サービス提供サーバが、認証情報を提供する当該認証デバイスを信頼することが前提となる。
また、携帯電話サービスにおいては、携帯電話の耐タンパな領域に格納された秘密鍵を利用して電子証明書ベースの強固な認証を行う方式も提案されている(例えば、非特許文献1参照)。このような方式の場合、当該携帯電話の認証情報を検証するためサービス提供サーバが、予め当該携帯電話の公開鍵証明書を保持している必要がある。
特開2006−174320号公報 NTTドコモ、"電子認証サービスFirstPass"、[online]、平成19年、NTTドコモ、[平成19年9月25日検索]、インターネット〈URL:http://www.nttdocomo.co.jp/ service/other/firstpass/〉
On the other hand, a method of using a mobile phone as an authentication device has been proposed against the background of the widespread use of mobile phones and the penetration of lifestyles (see, for example, Patent Document 1). When authentication is performed using another authentication device instead of the authentication server that provides the authentication function attached to the service providing server as in this method, the service providing server provides the authentication information. It is premised on trust.
Further, in the mobile phone service, a method of performing strong authentication based on an electronic certificate using a secret key stored in a tamper-resistant area of the mobile phone has been proposed (for example, see Non-Patent Document 1). . In the case of such a method, the service providing server needs to hold the public key certificate of the mobile phone in advance in order to verify the authentication information of the mobile phone.
JP 2006-174320 A NTT DoCoMo, "Electronic Authentication Service FirstPass", [online], 2007, NTT DoCoMo, [Search September 25, 2007], Internet <URL: http://www.nttdocomo.co.jp/service/ other / firstpass /〉
ユーザごとにワンタイムパスワードトークンやUSBトークンを配布するなどの独自の認証デバイスを用いる場合、サービス提供者はユーザへの認証デバイスの配布や専用の認証サーバの導入が必要になり、非常にコストがかかる。また、ユーザもサービス提供サーバごとに独自の認証デバイスを所有しなければならず、デバイスの管理などに手間がかかる。このような課題に対し、もし専用の認証サーバの代わりにユーザが既に持っているデバイス(例えば携帯電話等)を認証デバイスとして利用することができれば、サービス提供者のコスト削減、並びにユーザの管理の手間の軽減及び利便性の向上を図ることができる。   When using a unique authentication device such as one-time password token or USB token for each user, the service provider needs to distribute the authentication device to the user or introduce a dedicated authentication server, which is very costly. Take it. In addition, the user must own a unique authentication device for each service providing server, which takes time and effort to manage the device. In response to such a problem, if a device already owned by the user (such as a mobile phone) can be used as an authentication device instead of a dedicated authentication server, the cost of the service provider can be reduced, and user management It is possible to reduce labor and improve convenience.
ユーザが既に持っているデバイスを認証デバイスとして利用するには、ユーザのデバイスとサービス提供サーバとの間で認証連携を実現する必要があり、その前提として信頼モデルを構築する必要がある。サービス提供サーバは認証デバイスが生成した認証情報を信頼してサービスを提供することになるためである。しかし、信頼モデルの構築は認証サーバを利用する方法の場合はシステム構築段階で行えばそれで足りるが、ユーザのデバイスを利用する方法の場合はユーザごとにデバイスが異なるためユーザを追加するごとに信頼モデルを構築する必要がある。そこで、このような場合にいかに信頼モデルを構築するかが問題となる。   In order to use a device that the user already has as an authentication device, it is necessary to realize authentication cooperation between the user's device and the service providing server, and as a prerequisite, a trust model needs to be constructed. This is because the service providing server provides the service by trusting the authentication information generated by the authentication device. However, in the case of a method that uses an authentication server, it is sufficient to build a trust model at the system construction stage. However, in the method that uses a user's device, the device differs for each user, so trust is added each time a user is added. You need to build a model. Therefore, how to build a trust model in such a case becomes a problem.
また、認証サーバを利用する従来の認証方法の場合、サービス提供サーバは認証サーバの認証情報だけを検証すればよく、検証に必要なのは認証サーバの情報(メタデータ)だけである。これに対し、ユーザのデバイスを利用する認証方法の場合、ユーザごとにデバイスが異なるため、サービス提供サーバはユーザごとにそれぞれの認証情報を検証する必要があり、検証に必要なメタデータも各ユーザのものを入手する必要がある。そのため、メタデータのプロビジョニング処理は、認証サーバを利用する認証方法の場合はシステム構築段階で行えばそれで足りるのに対し、ユーザのデバイスを利用する認証方法の場合は運用段階でユーザの追加登録ごとに行う必要がある。しかし、メタデータのプロビジョニング(メンテナンス)の方式は認証サーバを利用する認証方法の場合は単純なHTTPリクエスト/レスポンスでよいのに対し、ユーザのデバイスを利用する認証方法の場合は、ユーザのデバイスは基本的にHTTPリクエストを受け取ることができないため、このような場合にいかにメタデータのプロビジョニングを行うかが問題となる。   In the case of a conventional authentication method using an authentication server, the service providing server only needs to verify the authentication information of the authentication server, and only the information (metadata) of the authentication server is necessary for the verification. On the other hand, in the case of an authentication method using a user's device, since the device is different for each user, the service providing server needs to verify each authentication information for each user, and the metadata required for verification is also included in each user. You need to get things. For this reason, metadata provisioning processing is sufficient if it is performed at the system construction stage in the case of an authentication method using an authentication server, whereas each additional user registration is performed in the operation stage in the case of an authentication method using a user device. Need to be done. However, the metadata provisioning (maintenance) method may be a simple HTTP request / response in the case of an authentication method using an authentication server, whereas in the case of an authentication method using a user device, the user device is Basically, since an HTTP request cannot be received, there is a problem of how to provision metadata in such a case.
本発明の目的は、上記の問題点の解決により携帯電話等のユーザが所有しているデバイスを認証デバイスとして利用可能とし、よって、サービス提供者が強固な認証手段を独自の認証デバイスを配布することなく低コストで導入可能とするとともに、ユーザがサービス提供者から配布された独自の認証デバイスを管理する手間を削減可能とする認証システムのメタデータプロビジョニング方法、システムの実現にある。   An object of the present invention is to make it possible to use a device owned by a user, such as a mobile phone, as an authentication device by solving the above-mentioned problems, so that a service provider distributes a strong authentication means to a unique authentication device. The present invention is to realize a metadata provisioning method and system for an authentication system that can be introduced at a low cost without any problems, and can reduce the time and effort required for a user to manage an original authentication device distributed from a service provider.
本発明の認証システムのメタデータプロビジョニング方法においては、利用端末とサービス提供サーバと認証デバイスと認証局とが以下のようなシーケンスにより認証処理を行う。
サービス提供サーバは認証局の公開鍵証明書を予め保持し、認証デバイスは認証局から発行を受けた自身の秘密鍵と、認証局から発行を受けた公開鍵証明書を含む、メタデータとを予め保持する。
まず、サービス提供サーバが、利用端末で入力されたユーザID及びパスワードによりユーザを認証し、利用端末で入力されたメタデータ登録要求を受け付け、利用端末で入力された認証デバイスのURLを受信し、セッションIDを生成してユーザIDと関連付けて記憶すると共に、セッションIDをサービス提供サーバのURLとともに認証デバイスに送信する。
In the metadata provisioning method of the authentication system of the present invention, the user terminal, the service providing server, the authentication device, and the certificate authority perform authentication processing according to the following sequence.
The service providing server holds the public key certificate of the certificate authority in advance, and the authentication device has its own private key issued by the certificate authority and metadata including the public key certificate issued by the certificate authority. Hold in advance.
First, the service providing server authenticates the user with the user ID and password input at the user terminal, accepts a metadata registration request input at the user terminal, receives the URL of the authentication device input at the user terminal, A session ID is generated and stored in association with the user ID, and the session ID is transmitted to the authentication device together with the URL of the service providing server.
次に、認証デバイスが、サービス提供サーバから送信された情報を受信し、ユーザ認証を行い、セッションIDと認証デバイスの公開鍵証明書を含むメタデータとをサービス提供サーバに送信する。
次に、サービス提供サーバが、認証デバイスから送信された情報を受信し、受信したセッションIDを確認し、認証デバイスの公開鍵証明書を認証局の公開鍵証明書により検証し、認証デバイスから受信したメタデータを登録し、利用端末にメタデータ登録完了通知を行う。
Next, the authentication device receives the information transmitted from the service providing server, performs user authentication, and transmits the session ID and metadata including the public key certificate of the authentication device to the service providing server.
Next, the service providing server receives the information transmitted from the authentication device, confirms the received session ID, verifies the public key certificate of the authentication device with the public key certificate of the certificate authority, and receives it from the authentication device. The registered metadata is registered, and the metadata registration completion notification is sent to the user terminal.
本発明によれば、携帯電話等のユーザが所有しているデバイスを認証デバイスとして利用可能とし、よって、サービス提供者が強固な認証手段を独自の認証デバイスを配布することなく低コストで導入可能とするとともに、ユーザがサービス提供者から配布された独自の認証デバイスを管理する手間を削減可能とする認証システムのメタデータプロビジョニング方法、システムを実現することができる。   According to the present invention, a device owned by a user such as a mobile phone can be used as an authentication device, so that a service provider can introduce a strong authentication means at low cost without distributing an original authentication device. In addition, it is possible to realize an authentication system metadata provisioning method and system that can reduce the time and effort for a user to manage a unique authentication device distributed from a service provider.
図1は本発明に係る認証システムの初期状態の例である。ユーザはサービス提供サーバ20にユーザIDを所持しており、利用端末10を通じてサービスを利用する。この状態では携帯電話等を認証デバイスとして利用することはできず、ユーザは利用端末からユーザID/パスワードを入力するなどの認証処理を行ってサービスを利用することになる。   FIG. 1 is an example of an initial state of an authentication system according to the present invention. The user has a user ID in the service providing server 20 and uses the service through the use terminal 10. In this state, the mobile phone or the like cannot be used as an authentication device, and the user uses the service by performing an authentication process such as inputting a user ID / password from the use terminal.
一方、図2は本発明に係る認証システムが携帯電話等を認証デバイス30として利用可能となった状態の例である。携帯電話等にはSIM(Subscriber Identity Module)カード等の記録媒体が装着されており、当該カードのチップの耐タンパな領域には認証局から発行された当該携帯電話等の秘密鍵と公開鍵証明書が格納されている。サービス提供サーバ20は、当該認証デバイス30が生成した認証情報の検証に必要な当該認証デバイス30の公開鍵証明書を入手し保持している。また、当該認証デバイス30と認証連携をするために必要な情報を記述したメタデータも入手し保持している。メタデータの具体的内容はID連携の標準技術であるSAMLv2.0において定義されており、当該認証デバイス30を識別するための認証デバイス識別子やメタデータそのものを指すID等の情報が含まれる。なお、上記公開鍵証明書はメタデータ内に記述してメタデータと一体化することも可能である。ID連携情報は、ID連携を行うために認証デバイス30ごとに付与される識別子で、サービス提供サーバ20と認証デバイス30の双方において、ユーザID及び連携先サーバ・デバイスのURL(メタデータの公開先)のそれぞれと関連付けて管理される。なお、ID連携情報にはデバイスの実名(認証デバイス識別子)を用いる他に、仮名を用いることも可能である。仮名の識別子を用いた連携方法は名寄せ問題の解決に有効であり、またセキュリティ向上にも資する。   On the other hand, FIG. 2 shows an example of a state where the authentication system according to the present invention can use a mobile phone or the like as the authentication device 30. A mobile phone or the like is equipped with a recording medium such as a SIM (Subscriber Identity Module) card, and the private key and public key certificate of the mobile phone issued by the certificate authority are in the tamper-resistant area of the chip of the card. The book is stored. The service providing server 20 obtains and holds the public key certificate of the authentication device 30 necessary for verification of the authentication information generated by the authentication device 30. In addition, metadata that describes information necessary for authentication cooperation with the authentication device 30 is obtained and held. The specific content of the metadata is defined in SAMLv2.0, which is a standard technology for ID collaboration, and includes information such as an authentication device identifier for identifying the authentication device 30 and an ID indicating the metadata itself. The public key certificate can be described in the metadata and integrated with the metadata. The ID linkage information is an identifier assigned to each authentication device 30 for performing ID linkage. In both the service providing server 20 and the authentication device 30, the user ID and the URL of the cooperation destination server / device (metadata disclosure destination) ) And managed in association with each. In addition to using the real name of the device (authentication device identifier) as the ID linkage information, a pseudonym can be used. A linkage method using a pseudonym identifier is effective in solving the name identification problem, and also contributes to security improvement.
図2に示すようにプロビジョニングされた以後は、利用端末10からサービスを利用する際には、従来の認証処理(利用端末10からのユーザID/パスワードの入力による認証)の代わりに、認証デバイス30が生成する認証情報を利用してサービス提供サーバ20にログイン(シングルサインオン)することが可能となる。
つまり、図1に示す初期状態を図2に示す状態に移行することができれば携帯電話等を認証デバイスとして利用できることから、本発明は図1に示すような初期状態を図2に示すような状態にプロビジョニングする方法、システムについて明らかにするものである。
After provisioning as shown in FIG. 2, when using the service from the user terminal 10, the authentication device 30 is used instead of the conventional authentication process (authentication based on the user ID / password input from the user terminal 10). It is possible to log in (single sign-on) to the service providing server 20 using the authentication information generated by.
That is, if the initial state shown in FIG. 1 can be shifted to the state shown in FIG. 2, a mobile phone or the like can be used as an authentication device. Therefore, the present invention changes the initial state shown in FIG. 1 to the state shown in FIG. It is intended to clarify the system and provisioning method.
〔第1実施形態〕
メタデータの管理は認証デバイスで行う方法やメタデータ公開サーバで行う方法等が考えられるが、本実施形態は認証デバイスで行う方法であり、この場合サービス提供サーバによるメタデータの入手は、認証デバイスからサービス提供サーバへのPUSHにより実現される。
[First Embodiment]
The metadata management may be performed by an authentication device or a metadata disclosure server, but this embodiment is a method performed by an authentication device. In this case, acquisition of metadata by the service providing server is performed by the authentication device. It is realized by PUSH from the service provider server to the service provider server.
図3は本実施形態のメタデータプロビジョニング方法のシーケンスの例である。図4はそのシステム構成の例であり、当該メタデータプロビジョニングシステム1は、利用端末10とサービス提供サーバ21と認証デバイス31と認証局40とから構成される。サービス提供サーバ21と認証デバイス31はそれぞれ図2におけるサービス提供サーバ20と認証デバイス30に対応するものである。   FIG. 3 is an example of a sequence of the metadata provisioning method of the present embodiment. FIG. 4 shows an example of the system configuration, and the metadata provisioning system 1 includes a use terminal 10, a service providing server 21, an authentication device 31, and an authentication station 40. The service providing server 21 and the authentication device 31 correspond to the service providing server 20 and the authentication device 30 in FIG.
以下、図3に示すシーケンス及び図4に示すシステムの各構成要素の機能を説明する。なお、サービス提供サーバ21は認証局40の公開鍵証明書を予め保持し、認証デバイス31は認証局40から発行を受けた自身の秘密鍵を耐タンパな領域に予め格納するとともに認証局40から発行を受けた自身の公開鍵証明書を含む、自身のメタデータを予め保持していることとする。ユーザは利用端末10からサービス提供サーバ21にログインする(S1)。ユーザは続いて、メタデータの登録を要求し(S2)、認証デバイス31のURLを送信する(S3)。要求を受けたサービス提供サーバ21は、セッションIDを生成してユーザIDと関連付けて記憶し(S4)、認証デバイス31のURLに当該セッションIDとサービス提供サーバ21のURLとを含むリクエスト情報を送信する(S5)。認証デバイス31はリクエスト情報を受信し(S6)、ユーザ認証(S7)を行った後、セッションID及びメタデータを含むレスポンス情報をサービス提供サーバ21に送信する(S8)。サービス提供サーバ21はレスポンス情報を受信し(S9)、セッションIDを確認(S10)した後、受信したメタデータに含まれる認証デバイス31の公開鍵証明書の真正性を認証局40の公開鍵証明書により検証する(S11)。なお、認証デバイス31の公開鍵証明書の検証の際には、必要に応じ認証局40に対しCRL(無効証明書リスト)の確認を行う。これらの検証により公開鍵証明書の真正性が確認されることで、認証端末が信頼できることを確認できる。そして、メタデータを登録し(S12)、最後に利用端末に登録の完了を通知する(S13)。   Hereinafter, the function of each component of the sequence shown in FIG. 3 and the system shown in FIG. 4 will be described. The service providing server 21 holds the public key certificate of the certificate authority 40 in advance, and the authentication device 31 stores the private key issued from the certificate authority 40 in a tamper-resistant area in advance and from the certificate authority 40. Assume that own metadata including the issued public key certificate is held in advance. The user logs in to the service providing server 21 from the use terminal 10 (S1). Next, the user requests registration of metadata (S2), and transmits the URL of the authentication device 31 (S3). Upon receiving the request, the service providing server 21 generates a session ID, stores it in association with the user ID (S4), and transmits request information including the session ID and the URL of the service providing server 21 to the URL of the authentication device 31. (S5). The authentication device 31 receives the request information (S6), performs user authentication (S7), and then transmits response information including the session ID and metadata to the service providing server 21 (S8). The service providing server 21 receives the response information (S9), confirms the session ID (S10), and then verifies the authenticity of the public key certificate of the authentication device 31 included in the received metadata. (S11). When verifying the public key certificate of the authentication device 31, the CRL (invalid certificate list) is confirmed with the certificate authority 40 as necessary. By verifying the authenticity of the public key certificate by these verifications, it can be confirmed that the authentication terminal can be trusted. Then, the metadata is registered (S12), and finally the use terminal is notified of the completion of registration (S13).
以上の処理を認証デバイスごとに行うことにより、サービス提供サーバに各認証デバイスのメタデータを登録することができるため、その後、SAMLv2.0において定義されたID連携方法に従ってサービス提供サーバと認証デバイスとの間の信頼関係を確立することで、図2に示すような携帯電話等を認証デバイスとして利用可能な状態に容易にプロビジョニングすることができる。   By performing the above processing for each authentication device, the metadata of each authentication device can be registered in the service providing server. After that, the service providing server, the authentication device, and the authentication device according to the ID linkage method defined in SAMLv2.0 2 can be easily provisioned into a state in which a mobile phone or the like as shown in FIG. 2 can be used as an authentication device.
なお、認証デバイスがHTTPリクエストを受け取れない場合には、例えばサービス提供サーバ21と認証デバイス31との間のリクエスト送受信(S5、S6)を電子メールで行うことができる。この場合、S3ではURLとして認証デバイス31のメールアドレスを送信する。また、その他QRコード(登録商標)などを用いた通信手段も考えられ、その場合には認証デバイスにそれ相当の通信機能(コード読み取り機能など)が必要になる。   When the authentication device cannot receive the HTTP request, for example, request transmission / reception (S5, S6) between the service providing server 21 and the authentication device 31 can be performed by e-mail. In this case, in S3, the mail address of the authentication device 31 is transmitted as a URL. In addition, communication means using QR code (registered trademark) or the like is also conceivable. In that case, the authentication device requires a corresponding communication function (code reading function or the like).
〔第2実施形態〕
本実施形態はメタデータの管理をメタデータ公開サーバで行う方法であり、サービス提供サーバによるメタデータの入手はサービス提供サーバがメタデータ公開サーバから参照することにより実現される。
[Second Embodiment]
This embodiment is a method of managing metadata by a metadata publishing server, and acquisition of metadata by the service providing server is realized by the service providing server referring to the metadata publishing server.
図5は本発明のメタデータプロビジョニング方法のシーケンスの例である。図6はそのシステム構成の例であり、当該メタデータプロビジョニングシステム2は、利用端末10とサービス提供サーバ22と認証デバイス32と認証局40とメタデータ公開サーバ50とから構成される。サービス提供サーバ22と認証デバイス32はそれぞれ図2におけるサービス提供サーバ20と認証デバイス30に対応するものである。
以下、図5に示すシーケンス及び図6に示すシステムの各構成要素の機能を説明する。なお、第1実施形態と共通の処理ステップについては以下の説明及び図5において同一符号を付与し、ここでの説明は省略する。
FIG. 5 is an example of a sequence of the metadata provisioning method of the present invention. FIG. 6 shows an example of the system configuration, and the metadata provisioning system 2 includes a use terminal 10, a service providing server 22, an authentication device 32, an authentication station 40, and a metadata disclosure server 50. The service providing server 22 and the authentication device 32 correspond to the service providing server 20 and the authentication device 30 in FIG. 2, respectively.
Hereinafter, the function of each component of the sequence shown in FIG. 5 and the system shown in FIG. 6 will be described. In addition, about the process step common to 1st Embodiment, the same code | symbol is provided in the following description and FIG. 5, and description here is abbreviate | omitted.
サービス提供サーバ22は認証局40の公開鍵証明書を予め保持し、認証デバイス32は認証局40から発行を受けた自身の秘密鍵を耐タンパな領域に予め格納し、メタデータ公開サーバ50は認証局40から発行を受けた認証デバイス32の公開鍵証明書を含む、メタデータを予め保持していることとする。S1〜S7の処理の後、認証デバイス32は、セッションID、メタデータID、及びメタデータ公開サーバ50のURLを含むレスポンス情報をサービス提供サーバ22に送信する(S14)。S9、S10の処理の後、サービス提供サーバ22は、メタデータ公開サーバ50のURLにメタデータIDに該当するメタデータを要求し(S15)、メタデータ公開サーバ50は、サービス提供サーバ22からの要求に応じてメタデータIDに該当するメタデータを抽出し、これをサービス提供サーバ22に返信する(S16)。続いて、S11〜S13の処理を行う。   The service providing server 22 holds the public key certificate of the certificate authority 40 in advance, the authentication device 32 stores the private key issued by the certificate authority 40 in a tamper-resistant area in advance, and the metadata public server 50 Assume that metadata including the public key certificate of the authentication device 32 that has been issued from the certificate authority 40 is held in advance. After the processing of S1 to S7, the authentication device 32 transmits response information including the session ID, the metadata ID, and the URL of the metadata disclosure server 50 to the service providing server 22 (S14). After the processes of S9 and S10, the service providing server 22 requests metadata corresponding to the metadata ID from the URL of the metadata publishing server 50 (S15), and the metadata publishing server 50 receives the metadata from the service providing server 22. In response to the request, metadata corresponding to the metadata ID is extracted and returned to the service providing server 22 (S16). Then, the process of S11-S13 is performed.
以上の処理を認証デバイスごとに行うことにより、サービス提供サーバに各認証デバイスのメタデータを登録することができるため、その後、SAMLv2.0で定義されたID連携方法に従ってサービス提供サーバと認証デバイスとの間の信頼関係を確立することで、図2に示すような携帯電話等を認証デバイスとして利用可能な状態に容易にプロビジョニングすることができる。   By performing the above processing for each authentication device, the metadata of each authentication device can be registered in the service providing server. After that, the service providing server, the authentication device, and the authentication device according to the ID linkage method defined in SAMLv2.0 2 can be easily provisioned into a state in which a mobile phone or the like as shown in FIG. 2 can be used as an authentication device.
なお、認証デバイスがHTTPリクエストを受け取れない場合には、例えばサービス提供サーバ22と認証デバイス32との間のリクエスト送受信(S5、S6)を電子メールで行うことができる。この場合、S3ではURLとして認証デバイス32のメールアドレスを送信する。また、その他QRコード(登録商標)などを用いた通信手段も考えられ、その場合には認証デバイスにそれ相当の通信機能(コード読み取り機能など)が必要になる。   When the authentication device cannot receive the HTTP request, for example, request transmission / reception (S5, S6) between the service providing server 22 and the authentication device 32 can be performed by e-mail. In this case, in S3, the mail address of the authentication device 32 is transmitted as a URL. In addition, communication means using QR code (registered trademark) or the like is also conceivable. In that case, the authentication device requires a corresponding communication function (code reading function or the like).
〔第3実施形態〕
第1実施形態は、認証デバイスのメタデータをサービス提供サーバに登録するところまでを行い、両者の信頼関係の確立処理はその後別途行う構成である。第3実施形態は、この信頼関係の確立処理についてもメタデータの登録処理と一体的に行う構成である。
[Third Embodiment]
The first embodiment has a configuration in which the metadata of the authentication device is registered in the service providing server, and the process of establishing the trust relationship between the two is performed separately thereafter. In the third embodiment, the trust relationship establishment process is also integrated with the metadata registration process.
図7は本実施形態のメタデータプロビジョニング方法のシーケンスの例である。図4はそのシステム構成の例であり、当該メタデータプロビジョニングシステム3は、利用端末10とサービス提供サーバ23と認証デバイス33と認証局40とから構成される。サービス提供サーバ23と認証デバイス33はそれぞれ図2におけるサービス提供サーバ20と認証デバイス30に対応するものである。なお、第1実施形態と共通の処理ステップについては以下の説明及び図7において同一符号を付与し、ここでの説明は省略する。   FIG. 7 is an example of a sequence of the metadata provisioning method of the present embodiment. FIG. 4 shows an example of the system configuration, and the metadata provisioning system 3 includes a use terminal 10, a service providing server 23, an authentication device 33, and an authentication station 40. The service providing server 23 and the authentication device 33 correspond to the service providing server 20 and the authentication device 30 in FIG. 2, respectively. In addition, about the process step common to 1st Embodiment, the same code | symbol is provided in the following description and FIG. 7, and description here is abbreviate | omitted.
サービス提供サーバ23は認証局40の公開鍵証明書を予め保持し、認証デバイス33は認証局40から発行を受けた自身の秘密鍵を耐タンパな領域に予め格納するとともに認証局40から発行を受けた自身の公開鍵証明書を含む、メタデータを予め保持していることとする。ユーザは利用端末10からサービス提供サーバ23にログインし(S1)、ID連携を要求する(S17)。S3〜S7の処理の後、認証デバイス33はID連携情報を含む認証情報を生成する。この時、当該認証情報にユーザ認証に基づいてアクセスが許可される耐タンパな領域に格納された秘密鍵で署名する(S18)。そして、署名された認証情報、セッションID、及びメタデータを含むレスポンス情報をサービス提供サーバ23に送信する(S19)。続いて、S9、S10の処理の後、サービス提供サーバ23は、認証デバイス33から受信したメタデータに含まれる公開鍵証明書の真正性を認証局40の公開鍵証明書により検証するとともに、受信した認証情報の真正性を、真正性が検証された当該認証デバイス33の公開鍵証明書により検証する(S20)。なお、認証デバイス33の公開鍵証明書の検証の際には、必要に応じ認証局40に対しCRL(無効証明書リスト)の確認を行う。これらの検証により公開鍵証明書の真正性が確認されることで、認証端末が信頼できることを確認できる。そして、メタデータを登録するとともに、ID連携情報をユーザIDと関連付けて登録し(S21)、最後に利用端末に連携完了を通知する(S22)。   The service providing server 23 holds the public key certificate of the certificate authority 40 in advance, and the authentication device 33 stores the private key issued from the certificate authority 40 in a tamper-resistant area in advance and issues the certificate from the certificate authority 40. Assume that metadata including the received public key certificate is held in advance. The user logs in to the service providing server 23 from the use terminal 10 (S1), and requests ID linkage (S17). After the processes of S3 to S7, the authentication device 33 generates authentication information including ID linkage information. At this time, the authentication information is signed with a secret key stored in a tamper-resistant area where access is permitted based on user authentication (S18). Then, response information including the signed authentication information, session ID, and metadata is transmitted to the service providing server 23 (S19). Subsequently, after the processes of S9 and S10, the service providing server 23 verifies the authenticity of the public key certificate included in the metadata received from the authentication device 33 by using the public key certificate of the certificate authority 40 and receives the certificate. The authenticity of the authentication information is verified by the public key certificate of the authentication device 33 whose authenticity has been verified (S20). When verifying the public key certificate of the authentication device 33, the CRL (invalid certificate list) is confirmed with the certificate authority 40 as necessary. By verifying the authenticity of the public key certificate by these verifications, it can be confirmed that the authentication terminal can be trusted. Then, the metadata is registered, the ID linkage information is registered in association with the user ID (S21), and finally the cooperation terminal is notified of the cooperation completion (S22).
以上の処理を認証デバイスごとに行うことにより、サービス提供サーバにメタデータを登録できるとともに、サービス提供サーバと認証デバイスとの間の信頼関係を確立でき、図2に示すような携帯電話等を認証デバイスとして利用可能な状態に容易にプロビジョニングすることができる。   By performing the above processing for each authentication device, metadata can be registered in the service providing server, and a trust relationship between the service providing server and the authentication device can be established, and a mobile phone or the like as shown in FIG. 2 can be authenticated. Can be easily provisioned to be available as a device.
なお、認証デバイスがHTTPリクエストを受け取れない場合には、例えばサービス提供サーバ23と認証デバイス33との間のリクエスト送受信(S5、S6)を電子メールで行うことができる。この場合、S3ではURLとして認証デバイス33のメールアドレスを送信する。また、その他QRコード(登録商標)などを用いた通信手段も考えられ、その場合には認証デバイスにそれ相当の通信機能(コード読み取り機能など)が必要になる。   When the authentication device cannot receive the HTTP request, for example, request transmission / reception (S5, S6) between the service providing server 23 and the authentication device 33 can be performed by e-mail. In this case, in S3, the mail address of the authentication device 33 is transmitted as a URL. In addition, communication means using QR code (registered trademark) or the like is also conceivable. In that case, the authentication device requires a corresponding communication function (code reading function or the like).
〔第4実施形態〕
第1実施形態は、認証デバイスのメタデータをサービス提供サーバに登録するところまでを行い、両者の信頼関係の確立処理はその後別途行う構成である。第3実施形態は、この信頼関係の確立処理についてもメタデータの登録処理と一体的に行う構成である。
[Fourth Embodiment]
The first embodiment has a configuration in which the metadata of the authentication device is registered in the service providing server, and the process of establishing the trust relationship between the two is performed separately thereafter. In the third embodiment, the trust relationship establishment process is also integrated with the metadata registration process.
図8は本発明のメタデータプロビジョニング方法のシーケンスの例である。図6はそのシステム構成の例であり、当該メタデータプロビジョニングシステム4は、利用端末10とサービス提供サーバ24と認証デバイス34と認証局40とメタデータ公開サーバ50とから構成される。サービス提供サーバ24と認証デバイス34はそれぞれ図2におけるサービス提供サーバ20と認証デバイス30に対応するものである。なお、第2実施形態と共通の処理ステップについては以下の説明及び図8において同一符号を付与し、ここでの説明は省略する。   FIG. 8 is an example of a sequence of the metadata provisioning method of the present invention. FIG. 6 shows an example of the system configuration, and the metadata provisioning system 4 includes a use terminal 10, a service providing server 24, an authentication device 34, an authentication station 40, and a metadata disclosure server 50. The service providing server 24 and the authentication device 34 correspond to the service providing server 20 and the authentication device 30 in FIG. In addition, about the process step common to 2nd Embodiment, the same code | symbol is provided in the following description and FIG. 8, and description here is abbreviate | omitted.
サービス提供サーバ24は認証局40の公開鍵証明書を予め保持し、認証デバイス34は認証局40から発行を受けた自身の秘密鍵を耐タンパな領域に予め格納し、メタデータ公開サーバ50は認証局40から発行を受けた認証デバイス34の公開鍵証明書を含む、メタデータを予め保持していることとする。ユーザは利用端末10からサービス提供サーバ24にログインし(S1)、ID連携を要求する(S17)。S3〜S7の処理の後、認証デバイス34は、ID連携情報を含む認証情報を生成する。この時、当該認証情報はユーザ認証に基づいてアクセスが許可される耐タンパな領域に格納された秘密鍵で署名される(S18)。続いて、署名された認証情報、セッションID、メタデータID、及びメタデータ公開サーバ50のURLを含むレスポンス情報をサービス提供サーバ24に送信する(S23)。S9、S10、S15、S16の処理の後、サービス提供サーバ24は、認証デバイス34から受信したメタデータに含まれる公開鍵証明書の真正性を認証局40の公開鍵証明書により検証するとともに、受信した認証情報の真正性を、真正性が検証された当該認証デバイス34の公開鍵証明書により検証する(S20)。なお、認証デバイス34の公開鍵証明書の検証の際には、必要に応じ認証局40に対しCRL(無効証明書リスト)の確認を行う。これらの検証により公開鍵証明書の真正性が確認されることで、認証端末が信頼できることを確認できる。そして、メタデータを登録するとともに、ID連携情報をユーザIDと関連付けて登録し(S21)、最後に利用端末に連携完了を通知する(S22)。   The service providing server 24 holds the public key certificate of the certificate authority 40 in advance, the authentication device 34 stores the private key issued by the certificate authority 40 in a tamper-resistant area in advance, and the metadata public server 50 It is assumed that metadata including the public key certificate of the authentication device 34 that has been issued from the certificate authority 40 is held in advance. The user logs in to the service providing server 24 from the use terminal 10 (S1), and requests ID linkage (S17). After the processes of S3 to S7, the authentication device 34 generates authentication information including ID linkage information. At this time, the authentication information is signed with a secret key stored in a tamper-resistant area where access is permitted based on user authentication (S18). Subsequently, response information including the signed authentication information, session ID, metadata ID, and URL of the metadata disclosure server 50 is transmitted to the service providing server 24 (S23). After the processes of S9, S10, S15, and S16, the service providing server 24 verifies the authenticity of the public key certificate included in the metadata received from the authentication device 34 with the public key certificate of the certificate authority 40, and The authenticity of the received authentication information is verified with the public key certificate of the authentication device 34 whose authenticity has been verified (S20). When verifying the public key certificate of the authentication device 34, the CRL (invalid certificate list) is confirmed with the certificate authority 40 as necessary. By verifying the authenticity of the public key certificate by these verifications, it can be confirmed that the authentication terminal can be trusted. Then, the metadata is registered, the ID linkage information is registered in association with the user ID (S21), and finally the cooperation terminal is notified of the cooperation completion (S22).
以上の処理を認証デバイスごとに行うことにより、サービス提供サーバにメタデータを登録できるとともに、サービス提供サーバと認証デバイスとの間の信頼関係を確立でき、図2に示すような携帯電話等を認証デバイスとして利用可能な状態に容易にプロビジョニングすることができる。
なお、認証デバイスがHTTPリクエストを受け取れない場合には、例えばサービス提供サーバ24と認証デバイス34との間のリクエスト送受信(S5、S6)を電子メールで行うことができる。この場合、S3ではURLとして認証デバイス34のメールアドレスを送信する。また、その他QRコード(登録商標)などを用いた通信手段も考えられ、その場合には認証デバイスにそれ相当の通信機能(コード読み取り機能など)が必要になる。
By performing the above processing for each authentication device, metadata can be registered in the service providing server, and a trust relationship between the service providing server and the authentication device can be established, and a mobile phone or the like as shown in FIG. 2 can be authenticated. Can be easily provisioned to be available as a device.
When the authentication device cannot receive the HTTP request, for example, request transmission / reception (S5, S6) between the service providing server 24 and the authentication device 34 can be performed by e-mail. In this case, in S3, the mail address of the authentication device 34 is transmitted as a URL. In addition, communication means using QR code (registered trademark) or the like is also conceivable. In that case, the authentication device requires a corresponding communication function (code reading function or the like).
〔プロビジョニング後に実現される認証デバイスを用いた認証処理〕
先に説明したように、上記各実施形態の処理により図2に示すようにプロビジョニングされた以後は利用端末10からサービスを利用する際には、従来の認証処理(利用端末からのユーザID/パスワードの入力による認証)の代わりに、認証デバイス30が生成する認証情報を利用してサービス提供サーバ20にログイン(シングルサインオン)することが可能となる。図9はプロビジョニング後に実現される認証処理シーケンスの例である。なお、この例は認証デバイス30がHTTPリクエストを受け付けられない場合でも認証デバイス30の認証処理を利用可能なように認証デバイス30とサービス提供サーバ20との間に中継サーバ60を挿入し、中継サーバ60を介して認証デバイス30との認証待ち受け通信セッションとサービス提供サーバ20とのHTTPセッションとをつなぐ構成としたものである。以下、当該シーケンスを説明する。
[Authentication process using an authentication device realized after provisioning]
As described above, after provisioning as shown in FIG. 2 by the processing of each of the above embodiments, when the service is used from the use terminal 10, the conventional authentication process (user ID / password from the use terminal is used). It is possible to log in (single sign-on) to the service providing server 20 using the authentication information generated by the authentication device 30 instead of the authentication by the input. FIG. 9 shows an example of an authentication processing sequence realized after provisioning. In this example, the relay server 60 is inserted between the authentication device 30 and the service providing server 20 so that the authentication process of the authentication device 30 can be used even when the authentication device 30 cannot accept the HTTP request. The authentication standby communication session with the authentication device 30 and the HTTP session with the service providing server 20 are connected via the authentication device 30. The sequence will be described below.
ユーザは利用端末10を用いてサービス提供サーバ20にアクセスし、サービスを要求する(S103)。サービス提供サーバ20は、利用端末10に対し認証に必要な情報の提供を要求し(S104)、ユーザは利用端末10から認証デバイス30に割り当てられたURL(中継サーバ60のURL+認証デバイス識別子)を返信する(S105)。サービス提供サーバ20は、利用端末10との間でセッションBを確立してセッションBのセッションIDを生成し、このセッションIDと認証デバイス識別子とサービス提供サーバ20のURLとを含めた認証要求を中継サーバ60のURLに送信する(S106)。また、ここまでの間に、認証デバイス30から中継サーバ60に認証デバイス識別子を送信し(S101)、中継サーバ60は、認証端末10との間にセッションAを確立するとともに認証デバイス識別子をセッションAと関連付けて保持しておく(S102)。中継サーバ60は、サービス提供サーバ20からの認証要求を受け、認証デバイス識別子をキーにセッションAを検索し、サービス提供サーバ20のURLとセッションBのセッションIDとを認証デバイス30に転送する(S107)。認証デバイス30では、ユーザ認証処理を行い(S108)、認証情報を生成する(S109)。ここで、安全性向上のため、当該認証情報に認証デバイス30の秘密鍵で署名を付与することができる。そして、認証情報とサービス提供サーバのURLとセッションBのセッションIDとを含む認証結果を中継サーバ60に返信し(S110)、中継サーバ60は認証情報とセッションBのセッションIDと含む認証結果をS106の認証要求に対する返答としてサービス提供サーバのURLに中継転送する(S111)。サービス提供サーバ20は、上記各実施形態の処理によりプロビジョニングされたメタデータをS105で返信された認証デバイス識別子をキーとして検索し、このメタデータを用いて中継サーバ60から受信した認証情報を検証する(S112)。ここで、S109にて認証情報に署名をした場合は、メタデータに含まれる認証デバイス30の公開鍵証明書により署名の検証をすることができる。認証されていることが確認できれば、セッションBに係るユーザのログインを受け付け、サービスを提供する(S113)。   The user accesses the service providing server 20 using the use terminal 10 and requests a service (S103). The service providing server 20 requests the use terminal 10 to provide information necessary for authentication (S104), and the user supplies the URL assigned from the use terminal 10 to the authentication device 30 (URL of the relay server 60 + authentication device identifier). Reply (S105). The service providing server 20 establishes a session B with the user terminal 10 and generates a session ID of the session B, and relays an authentication request including the session ID, the authentication device identifier, and the URL of the service providing server 20. The URL is transmitted to the server 60 (S106). In addition, the authentication device identifier is transmitted from the authentication device 30 to the relay server 60 so far (S101), and the relay server 60 establishes the session A with the authentication terminal 10 and transmits the authentication device identifier to the session A. (S102). The relay server 60 receives the authentication request from the service providing server 20, searches the session A using the authentication device identifier as a key, and transfers the URL of the service providing server 20 and the session ID of the session B to the authentication device 30 (S107). ). The authentication device 30 performs user authentication processing (S108) and generates authentication information (S109). Here, in order to improve safety, a signature can be given to the authentication information with the secret key of the authentication device 30. Then, the authentication result including the authentication information, the service providing server URL, and the session B session ID is returned to the relay server 60 (S110), and the relay server 60 returns the authentication result including the authentication information and the session B session ID to S106. As a response to the authentication request, it is relayed and transferred to the URL of the service providing server (S111). The service providing server 20 searches the metadata provisioned by the processing of each of the above embodiments using the authentication device identifier returned in S105 as a key, and verifies the authentication information received from the relay server 60 using this metadata. (S112). Here, when the authentication information is signed in S109, the signature can be verified by the public key certificate of the authentication device 30 included in the metadata. If it can be confirmed that the user is authenticated, the login of the user related to the session B is accepted and the service is provided (S113).
なお、図9の例ではS105で認証デバイス30に割り当てられたURLを返信しているが、この代わりに認証デバイス30のメタデータIDを返信する方法もある。その場合には、サービス提供サーバ20で保持しているメタデータに認証デバイス30に割り当てられたURLを記述しておき、メタデータIDにより当該メタデータを検索可能とすることで認証をリクエストする先を解決できるようにしておけばよい。   In the example of FIG. 9, the URL assigned to the authentication device 30 is returned in S105, but there is also a method of returning the metadata ID of the authentication device 30 instead. In that case, the URL assigned to the authentication device 30 is described in the metadata held in the service providing server 20, and the authentication request is made possible by making the metadata searchable by the metadata ID. You should be able to solve the problem.
本発明は、サービス提供サーバへログインする際の認証処理を、認証サーバの代わりに携帯電話等ユーザが所有しているデバイスを認証デバイスとして用いて実現したい場合に有用である。   INDUSTRIAL APPLICABILITY The present invention is useful when an authentication process when logging in to a service providing server is to be realized using a device owned by a user such as a mobile phone as an authentication device instead of the authentication server.
本発明の認証システムのプロビジョニング前の状態を示す図。The figure which shows the state before provisioning of the authentication system of this invention. 本発明の認証システムのプロビジョニング後の状態を示す図。The figure which shows the state after provisioning of the authentication system of this invention. 本発明の第1実施形態のプロビジョニングシーケンスの例を示す図。The figure which shows the example of the provisioning sequence of 1st Embodiment of this invention. 本発明の第1、第3実施形態のシステム構成の例を示す図。The figure which shows the example of the system configuration | structure of 1st, 3rd embodiment of this invention. 本発明の第2実施形態のプロビジョニングシーケンスの例を示す図。The figure which shows the example of the provisioning sequence of 2nd Embodiment of this invention. 本発明の第2、第4実施形態のシステム構成の例を示す図。The figure which shows the example of the system configuration | structure of 2nd, 4th embodiment of this invention. 本発明の第3実施形態のプロビジョニングシーケンスの例を示す図。The figure which shows the example of the provisioning sequence of 3rd Embodiment of this invention. 本発明の第4実施形態のプロビジョニングシーケンスの例を示す図。The figure which shows the example of the provisioning sequence of 4th Embodiment of this invention. 本発明によるプロビジョニング後の認証シーケンスの例を示す図。The figure which shows the example of the authentication sequence after provisioning by this invention. 従来の認証システムの構成の例を示す図。The figure which shows the example of a structure of the conventional authentication system. 従来の認証システムの別の構成の例を示す図。The figure which shows the example of another structure of the conventional authentication system.

Claims (12)

  1. 利用端末とサービス提供サーバと認証デバイスと認証局とを用いて認証処理を行う認証システムのメタデータプロビジョニング方法であって、
    上記サービス提供サーバは、上記認証局の公開鍵証明書を予め保持し、
    上記認証デバイスは、上記認証局から発行を受けた自身の秘密鍵と、上記認証局から発行を受けた自身の公開鍵証明書を含む、メタデータとを予め保持し、
    上記サービス提供サーバが、上記利用端末で入力されたユーザIDとパスワードによりユーザを認証する第1ユーザ認証ステップと、
    上記サービス提供サーバが、上記利用端末で入力されたメタデータ登録要求を受け付けるメタデータ登録要求ステップと、
    上記サービス提供サーバが、上記利用端末で入力された上記認証デバイスのURLを受信するURL通知ステップと、
    上記サービス提供サーバが、セッションIDを生成し上記ユーザIDと関連付けて記憶するセッションID生成ステップと、
    上記サービス提供サーバが、当該セッションIDを当該サービス提供サーバのURLとともに上記認証デバイスに送信するリクエスト送信ステップと、
    上記認証デバイスが、上記リクエスト送信ステップで送信された情報を受信するリクエスト受信ステップと、
    上記認証デバイスが、ユーザ認証を行う第2ユーザ認証ステップと、
    上記認証デバイスが、上記セッションIDと上記メタデータとを上記サービス提供サーバに送信するレスポンス送信ステップと、
    上記サービス提供サーバが、上記レスポンス送信ステップで送信された情報を受信するレスポンス受信ステップと、
    上記サービス提供サーバが、上記レスポンス受信ステップで受信したセッションIDを確認するセッションID確認ステップと、
    上記サービス提供サーバが、上記認証デバイスの公開鍵証明書を上記認証局の公開鍵証明書により検証する検証ステップと、
    上記サービス提供サーバが、上記認証デバイスから受信したメタデータを登録するメタデータ登録ステップと、
    上記サービス提供サーバが、上記利用端末にメタデータ登録完了通知をするメタデータ登録完了通知ステップと、
    を実行する認証システムのメタデータプロビジョニング方法。
    A metadata provisioning method for an authentication system that performs authentication processing using a user terminal, a service providing server, an authentication device, and a certificate authority,
    The service providing server holds the public key certificate of the certificate authority in advance,
    The authentication device holds in advance metadata including its own private key issued from the certificate authority and its public key certificate issued from the certificate authority,
    A first user authentication step in which the service providing server authenticates the user with the user ID and password input at the user terminal;
    A metadata registration request step in which the service providing server receives a metadata registration request input at the use terminal;
    A URL notification step in which the service providing server receives the URL of the authentication device input at the user terminal;
    A session ID generating step in which the service providing server generates a session ID and stores the session ID in association with the user ID;
    A request transmission step in which the service providing server transmits the session ID to the authentication device together with the URL of the service providing server;
    A request receiving step in which the authentication device receives the information transmitted in the request transmitting step;
    A second user authentication step in which the authentication device performs user authentication;
    A response sending step in which the authentication device sends the session ID and the metadata to the service providing server;
    A response receiving step in which the service providing server receives the information transmitted in the response transmitting step;
    A session ID confirmation step in which the service providing server confirms the session ID received in the response reception step;
    A verification step in which the service providing server verifies the public key certificate of the authentication device with the public key certificate of the certificate authority;
    A metadata registration step in which the service providing server registers the metadata received from the authentication device;
    A metadata registration completion notifying step in which the service providing server notifies the use terminal of metadata registration completion;
    A metadata provisioning method for an authentication system that performs.
  2. 利用端末とサービス提供サーバと認証デバイスと認証局とメタデータ公開サーバとを用いて認証処理を行う認証システムのメタデータプロビジョニング方法であって、
    上記サービス提供サーバは、上記認証局の公開鍵証明書を予め保持し、
    上記認証デバイスは、上記認証局から発行を受けた自身の秘密鍵を予め保持し、
    上記メタデータ公開サーバは、上記認証局から発行を受けた上記認証デバイスの公開鍵証明書を含む、メタデータを予め保持し、
    上記サービス提供サーバが、上記利用端末で入力されたユーザIDとパスワードによりユーザを認証する第1ユーザ認証ステップと、
    上記サービス提供サーバが、上記利用端末で入力されたメタデータ登録要求を受け付けるメタデータ登録要求ステップと、
    上記サービス提供サーバが、上記利用端末で入力された上記認証デバイスのURLを受信するURL通知ステップと、
    上記サービス提供サーバが、セッションIDを生成し上記ユーザIDと関連付けて記憶するセッションID生成ステップと、
    上記サービス提供サーバが、当該セッションIDを当該サービス提供サーバのURLとともに上記認証デバイスに通知するリクエスト送信ステップと、
    上記認証デバイスが、上記リクエスト送信ステップで送信された情報を受信するリクエスト受信ステップと、
    上記認証デバイスが、ユーザ認証を行う第2ユーザ認証ステップと、
    上記認証デバイスが、上記セッションIDとメタデータ公開サーバのURLとメタデータIDとを上記サービス提供サーバに送信するレスポンス送信ステップと、
    上記サービス提供サーバが、上記レスポンス送信ステップで送信された情報を受信するレスポンス受信ステップと、
    上記サービス提供サーバが、上記レスポンス受信ステップで受信したセッションIDを確認するセッションID確認ステップと、
    上記サービス提供サーバが、上記メタデータ公開サーバに上記メタデータIDの上記メタデータを要求するメタデータリクエストステップと、
    上記メタデータ公開サーバが、上記サービス提供サーバからの要求に応じ、上記メタデータIDに該当する上記メタデータを抽出し、これを上記サービス提供サーバに返答するメタデータレスポンスステップと、
    上記サービス提供サーバが、上記認証デバイスの公開鍵証明書を上記認証局の公開鍵証明書により検証する検証ステップと、
    上記サービス提供サーバが、上記認証デバイスから受信したメタデータを登録するメタデータ登録ステップと、
    上記サービス提供サーバが、上記利用端末にメタデータ登録完了通知をするメタデータ登録完了通知ステップと、
    を実行する認証システムのメタデータプロビジョニング方法。
    A metadata provisioning method of an authentication system that performs authentication processing using a use terminal, a service providing server, an authentication device, a certificate authority, and a metadata disclosure server,
    The service providing server holds the public key certificate of the certificate authority in advance,
    The authentication device holds in advance its own private key issued by the certificate authority,
    The metadata publishing server holds in advance metadata including the public key certificate of the authentication device issued by the certificate authority,
    A first user authentication step in which the service providing server authenticates the user with the user ID and password input at the user terminal;
    A metadata registration request step in which the service providing server receives a metadata registration request input at the use terminal;
    A URL notification step in which the service providing server receives the URL of the authentication device input at the user terminal;
    A session ID generating step in which the service providing server generates a session ID and stores the session ID in association with the user ID;
    A request transmission step in which the service providing server notifies the authentication device of the session ID together with the URL of the service providing server;
    A request receiving step in which the authentication device receives the information transmitted in the request transmitting step;
    A second user authentication step in which the authentication device performs user authentication;
    A response sending step in which the authentication device sends the session ID, the URL of the metadata publishing server, and the metadata ID to the service providing server;
    A response receiving step in which the service providing server receives the information transmitted in the response transmitting step;
    A session ID confirmation step in which the service providing server confirms the session ID received in the response reception step;
    A metadata request step in which the service providing server requests the metadata of the metadata ID from the metadata publishing server;
    In response to a request from the service providing server, the metadata publishing server extracts the metadata corresponding to the metadata ID, and returns a response to the service providing server.
    A verification step in which the service providing server verifies the public key certificate of the authentication device with the public key certificate of the certificate authority;
    A metadata registration step in which the service providing server registers the metadata received from the authentication device;
    A metadata registration completion notifying step in which the service providing server notifies the use terminal of metadata registration completion;
    A metadata provisioning method for an authentication system that performs.
  3. 利用端末とサービス提供サーバと認証デバイスと認証局とを用いて認証処理を行う認証システムのメタデータプロビジョニング方法であって、
    上記サービス提供サーバは、上記認証局の公開鍵証明書を予め保持し、
    上記認証デバイスは、上記認証局から発行を受けた自身の秘密鍵と、上記認証局から発行を受けた自身の公開鍵証明書を含む、メタデータとを予め保持し、
    上記サービス提供サーバが、上記利用端末で入力されたユーザIDとパスワードによりユーザを認証する第1ユーザ認証ステップと、
    上記サービス提供サーバが、上記利用端末で入力されたID連携要求を受け付ける連携要求ステップと、
    上記サービス提供サーバが、上記利用端末で入力された上記認証デバイスのURLを受信するURL通知ステップと、
    上記サービス提供サーバが、セッションIDを生成し上記ユーザIDと関連付けて記憶するセッションID生成ステップと、
    上記サービス提供サーバが、当該セッションIDを当該サービス提供サーバのURLとともに上記認証デバイスに送信するリクエスト送信ステップと、
    上記認証デバイスが、上記リクエスト送信ステップで送信された情報を受信するリクエスト受信ステップと、
    上記認証デバイスが、ユーザ認証を行う第2ユーザ認証ステップと、
    上記認証デバイスが、ID連携情報を含む認証情報を生成し、当該認証デバイスの秘密鍵で署名する認証情報生成ステップと、
    上記認証デバイスが、署名された上記認証情報と上記セッションIDと上記メタデータとを上記サービス提供サーバに送信するレスポンス送信ステップと、
    上記サービス提供サーバが、上記レスポンス送信ステップで送信された情報を受信するレスポンス受信ステップと、
    上記サービス提供サーバが、上記レスポンス受信ステップで受信したセッションIDを確認するセッションID確認ステップと、
    上記サービス提供サーバが、上記認証デバイスの公開鍵証明書を上記認証局の公開鍵証明書により検証するとともに、上記認証デバイスの公開鍵証明書により上記認証情報を検証する検証ステップと、
    上記サービス提供サーバが、検証済の上記認証情報に含まれるID連携情報と上記ユーザIDとを関連付けて登録するとともに、上記認証デバイスから受信したメタデータを登録するメタデータ登録ステップと、
    上記サービス提供サーバが、上記利用端末に連携完了通知をする連携完了通知ステップと、
    を実行する認証システムのメタデータプロビジョニング方法。
    A metadata provisioning method for an authentication system that performs authentication processing using a user terminal, a service providing server, an authentication device, and a certificate authority,
    The service providing server holds the public key certificate of the certificate authority in advance,
    The authentication device holds in advance metadata including its own private key issued from the certificate authority and its public key certificate issued from the certificate authority,
    A first user authentication step in which the service providing server authenticates the user with the user ID and password input at the user terminal;
    A cooperation request step in which the service providing server receives an ID cooperation request input at the use terminal;
    A URL notification step in which the service providing server receives the URL of the authentication device input at the user terminal;
    A session ID generating step in which the service providing server generates a session ID and stores the session ID in association with the user ID;
    A request transmission step in which the service providing server transmits the session ID to the authentication device together with the URL of the service providing server;
    A request receiving step in which the authentication device receives the information transmitted in the request transmitting step;
    A second user authentication step in which the authentication device performs user authentication;
    An authentication information generating step in which the authentication device generates authentication information including ID linkage information and signs with the secret key of the authentication device;
    A response transmission step in which the authentication device transmits the signed authentication information, the session ID, and the metadata to the service providing server;
    A response receiving step in which the service providing server receives the information transmitted in the response transmitting step;
    A session ID confirmation step in which the service providing server confirms the session ID received in the response reception step;
    A verification step in which the service providing server verifies the public key certificate of the authentication device with the public key certificate of the certificate authority and verifies the authentication information with the public key certificate of the authentication device;
    A metadata registration step in which the service providing server registers and associates the ID linkage information included in the verified authentication information with the user ID, and registers the metadata received from the authentication device;
    A cooperation completion notification step in which the service providing server sends a cooperation completion notification to the use terminal;
    A metadata provisioning method for an authentication system that performs.
  4. 利用端末とサービス提供サーバと認証デバイスと認証局とメタデータ公開サーバとを用いて認証処理を行う認証システムのメタデータプロビジョニング方法であって、
    上記サービス提供サーバは、上記認証局の公開鍵証明書を予め保持し、
    上記認証デバイスは、上記認証局から発行を受けた自身の秘密鍵を予め保持し、
    上記メタデータ公開サーバは、上記認証局から発行を受けた上記認証デバイスの公開鍵証明書を含む、メタデータを予め保持し、
    上記サービス提供サーバが、上記利用端末で入力されたユーザIDとパスワードによりユーザを認証する第1ユーザ認証ステップと、
    上記サービス提供サーバが、上記利用端末で入力されたID連携要求を受け付ける連携要求ステップと、
    上記サービス提供サーバが、上記利用端末で入力された上記認証デバイスのURLを受信するURL通知ステップと、
    上記サービス提供サーバが、セッションIDを生成し上記ユーザIDと関連付けて記憶するセッションID生成ステップと、
    上記サービス提供サーバが、当該セッションIDを当該サービス提供サーバのURLとともに上記認証デバイスに通知するリクエスト送信ステップと、
    上記認証デバイスが、上記リクエスト送信ステップで送信された情報を受信するリクエスト受信ステップと、
    上記認証デバイスが、ユーザ認証を行う第2ユーザ認証ステップと、
    上記認証デバイスが、ID連携情報を含む認証情報を生成し当該認証デバイスの秘密鍵で署名する認証情報生成ステップと、
    上記認証デバイスが、署名された上記認証情報と上記セッションIDとメタデータ公開サーバのURLとメタデータIDとを上記サービス提供サーバに送信するレスポンス送信ステップと、
    上記サービス提供サーバが、上記レスポンス送信ステップで送信された情報を受信するレスポンス受信ステップと、
    上記サービス提供サーバが、上記レスポンス受信ステップで受信したセッションIDを確認するセッションID確認ステップと、
    上記サービス提供サーバが、上記メタデータ公開サーバに上記メタデータIDの上記メタデータを要求するメタデータリクエストステップと、
    上記メタデータ公開サーバが、上記サービス提供サーバからの要求に応じ、上記メタデータIDに該当する上記メタデータを抽出し、これを上記サービス提供サーバに返答するメタデータレスポンスステップと、
    上記サービス提供サーバが、上記認証デバイスの公開鍵証明書を上記認証局の公開鍵証明書により検証するとともに、上記認証デバイスの公開鍵証明書により上記認証情報を検証する検証ステップと、
    上記サービス提供サーバが、検証済の上記認証情報に含まれるID連携情報と上記ユーザIDとを関連付けて登録するとともに、上記認証デバイスから受信したメタデータを登録するメタデータ登録ステップと、
    上記サービス提供サーバが、上記利用端末に連携完了通知をする連携完了通知ステップと、
    を実行する認証システムのメタデータプロビジョニング方法。
    A metadata provisioning method of an authentication system that performs authentication processing using a use terminal, a service providing server, an authentication device, a certificate authority, and a metadata disclosure server,
    The service providing server holds the public key certificate of the certificate authority in advance,
    The authentication device holds in advance its own private key issued by the certificate authority,
    The metadata publishing server holds in advance metadata including the public key certificate of the authentication device issued by the certificate authority,
    A first user authentication step in which the service providing server authenticates the user with the user ID and password input at the user terminal;
    A cooperation request step in which the service providing server receives an ID cooperation request input at the use terminal;
    A URL notification step in which the service providing server receives the URL of the authentication device input at the user terminal;
    A session ID generating step in which the service providing server generates a session ID and stores the session ID in association with the user ID;
    A request transmission step in which the service providing server notifies the authentication device of the session ID together with the URL of the service providing server;
    A request receiving step in which the authentication device receives the information transmitted in the request transmitting step;
    A second user authentication step in which the authentication device performs user authentication;
    An authentication information generating step in which the authentication device generates authentication information including ID linkage information and signs it with the secret key of the authentication device;
    A response transmission step in which the authentication device transmits the signed authentication information, the session ID, the URL of the metadata publishing server, and the metadata ID to the service providing server;
    A response receiving step in which the service providing server receives the information transmitted in the response transmitting step;
    A session ID confirmation step in which the service providing server confirms the session ID received in the response reception step;
    A metadata request step in which the service providing server requests the metadata of the metadata ID from the metadata publishing server;
    In response to a request from the service providing server, the metadata publishing server extracts the metadata corresponding to the metadata ID, and returns a response to the service providing server.
    A verification step in which the service providing server verifies the public key certificate of the authentication device with the public key certificate of the certificate authority and verifies the authentication information with the public key certificate of the authentication device;
    A metadata registration step in which the service providing server registers and associates the ID linkage information included in the verified authentication information with the user ID, and registers the metadata received from the authentication device;
    A cooperation completion notification step in which the service providing server sends a cooperation completion notification to the use terminal;
    A metadata provisioning method for an authentication system that performs.
  5. 請求項3又は4のいずれかに記載の認証システムのメタデータプロビジョニング方法において、上記ID連携情報は、仮名であることを特徴とする認証システムのメタデータプロビジョニング方法。   5. The authentication system metadata provisioning method according to claim 3, wherein the ID linkage information is a pseudonym.
  6. 請求項1〜5のいずれかに記載の認証システムのメタデータプロビジョニング方法において、
    上記URL通知ステップにおいて上記利用端末で入力される上記認証デバイスのURLは当該認証デバイスのメールアドレスであり、
    上記リクエスト送信ステップと上記リクエスト受信ステップは電子メールの送受信により実行する
    ことを特徴とする認証システムのメタデータプロビジョニング方法。
    In the metadata provisioning method of the authentication system according to any one of claims 1 to 5,
    The URL of the authentication device input at the user terminal in the URL notification step is a mail address of the authentication device,
    The method of provisioning metadata in an authentication system, wherein the request transmission step and the request reception step are executed by transmission / reception of an electronic mail.
  7. 利用端末とサービス提供サーバと認証デバイスと認証局とを用いて認証処理を行う認証システムのメタデータプロビジョニングシステムであって、
    上記利用端末は、メタデータの登録処理に必要な情報の入力・送信機能と、当該サービス提供サーバから送信された情報の受信機能とを有し、
    上記サービス提供サーバは、上記認証局の公開鍵証明書を予め保持し、上記利用端末から入力されたユーザIDとパスワードによりユーザを認証するユーザ認証機能と、上記認証デバイスとの連携に必要な情報を当該認証デバイスに送信するリクエスト送信機能と、上記認証デバイスから返信された当該認証デバイスの公開鍵証明書を含むメタデータ等の情報を受信するレスポンス受信機能と、上記利用端末とのセッションと上記認証デバイスとのセッションとを関連付けるセッションIDを生成・管理するセッションID生成・管理機能と、上記認証局の公開鍵証明書により上記認証デバイスの公開鍵証明書の検証を行う検証機能と、上記メタデータを登録するメタデータ登録機能とを有し、
    上記認証デバイスは、上記認証局から発行を受けた自身の秘密鍵と、上記認証局から発行を受けた自身の公開鍵証明書を含む、メタデータとを予め保持し、上記サービス提供サーバとの連携に必要な情報を当該サービス提供サーバから受信するリクエスト受信機能と、ユーザ認証を行うユーザ認証機能と、上記メタデータその他連携に必要な情報を送信するレスポンス送信機能とを有する
    ことを特徴とする認証システムのメタデータプロビジョニングシステム。
    A metadata provisioning system of an authentication system that performs authentication processing using a user terminal, a service providing server, an authentication device, and a certificate authority,
    The use terminal has an input / transmission function of information necessary for the registration process of metadata, and a reception function of information transmitted from the service providing server,
    The service providing server holds the public key certificate of the certificate authority in advance, and information necessary for cooperation between the user authentication function for authenticating the user with the user ID and password input from the user terminal and the authentication device A request transmission function for transmitting to the authentication device, a response reception function for receiving information such as metadata including the public key certificate of the authentication device returned from the authentication device, a session with the user terminal, and the above A session ID generation / management function for generating / managing a session ID for associating a session with the authentication device, a verification function for verifying the public key certificate of the authentication device with the public key certificate of the certificate authority, and the meta A metadata registration function for registering data,
    The authentication device holds in advance metadata including its own private key issued from the certificate authority and its public key certificate issued from the certificate authority. It has a request reception function for receiving information necessary for cooperation from the service providing server, a user authentication function for performing user authentication, and a response transmission function for transmitting the metadata and other information necessary for cooperation. Authentication system metadata provisioning system.
  8. 利用端末とサービス提供サーバと認証デバイスと認証局とメタデータ公開サーバとを用いて認証処理を行う認証システムのメタデータプロビジョニングシステムであって、
    上記利用端末は、メタデータの登録処理に必要な情報の入力・送信機能と、当該サービス提供サーバから送信された情報の受信機能とを有し、
    上記サービス提供サーバは、上記認証局の公開鍵証明書を予め保持し、上記利用端末から入力されたユーザIDとパスワードによりユーザを認証するユーザ認証機能と、上記認証デバイスとの連携に必要な情報を当該認証デバイスに送信するリクエスト送信機能と、上記認証デバイスから返信された当該認証デバイスのメタデータID等の情報を受信するレスポンス受信機能と、上記利用端末とのセッションと上記認証デバイスとのセッションとを関連付けるセッションIDを生成・管理するセッションID生成・管理機能と、上記メタデータ公開サーバに対し、上記認証局が発行した上記認証デバイスの公開鍵証明書を含む、上記メタデータIDのメタデータを要求し、当該メタデータを受信するメタデータ解決機能と、上記認証局の公開鍵証明書により上記認証デバイスの公開鍵証明書の検証を行う検証機能と、上記メタデータを登録するメタデータ登録機能とを有し、
    上記認証デバイスは、上記認証局から発行を受けた秘密鍵を予め保持し、上記サービス提供サーバとの連携に必要な情報を当該サービス提供サーバから受信するリクエスト受信機能と、ユーザ認証を行うユーザ認証機能と、上記メタデータIDその他連携に必要な情報を送信するレスポンス送信機能とを有し、
    上記メタデータ公開サーバは、上記メタデータを予め保持し、上記サービス提供サーバからの要求に応じ上記メタデータIDに該当する上記メタデータを返信するメタデータ管理機能を有する
    ことを特徴とする認証システムのメタデータプロビジョニングシステム。
    A metadata provisioning system of an authentication system that performs authentication processing using a use terminal, a service providing server, an authentication device, a certificate authority, and a metadata disclosure server,
    The use terminal has an input / transmission function of information necessary for the registration process of metadata, and a reception function of information transmitted from the service providing server,
    The service providing server holds the public key certificate of the certificate authority in advance, and information necessary for cooperation between the user authentication function for authenticating the user with the user ID and password input from the user terminal and the authentication device A request transmission function for transmitting information to the authentication device, a response reception function for receiving information such as the metadata ID of the authentication device returned from the authentication device, a session with the user terminal, and a session with the authentication device Metadata of the metadata ID, including a session ID generation / management function for generating / managing a session ID associated with the metadata, and a public key certificate of the authentication device issued by the certificate authority to the metadata public server A metadata resolution function for requesting and receiving the metadata, and disclosure of the certificate authority A verification function for verifying the public key certificate of the authentication device, and a meta-data registration function of registering the meta data by the certificate,
    The authentication device holds a secret key issued from the certificate authority in advance, and receives a request reception function for receiving information necessary for cooperation with the service providing server from the service providing server, and user authentication for performing user authentication. And a response transmission function for transmitting the metadata ID and other information necessary for cooperation,
    The metadata disclosure server has a metadata management function for holding the metadata in advance and returning the metadata corresponding to the metadata ID in response to a request from the service providing server. Metadata provisioning system.
  9. 認証局の公開鍵証明書を予め保持し、利用端末から入力されたユーザIDとパスワードによりユーザを認証するユーザ認証機能と、認証デバイスとの連携に必要な情報を当該認証デバイスに送信するリクエスト送信機能と、上記認証デバイスから返信された当該認証デバイスの公開鍵証明書を含むメタデータ等の情報を受信するレスポンス受信機能と、上記利用端末とのセッションと上記認証デバイスとのセッションとを関連付けるセッションIDを生成・管理するセッションID生成・管理機能と、上記認証局の公開鍵証明書により上記認証デバイスの公開鍵証明書の検証を行う検証機能と、上記メタデータを登録するメタデータ登録機能と、を有するサービス提供サーバ。   Request transmission that holds the public key certificate of the certificate authority in advance and sends the user authentication function that authenticates the user with the user ID and password input from the user terminal and information necessary for cooperation with the authentication device to the authentication device A session for associating a function, a response reception function for receiving information such as metadata including a public key certificate of the authentication device returned from the authentication device, a session with the user terminal and a session with the authentication device A session ID generation / management function for generating / managing IDs, a verification function for verifying the public key certificate of the authentication device with the public key certificate of the certificate authority, and a metadata registration function for registering the metadata , A service providing server.
  10. 認証局の公開鍵証明書を予め保持し、利用端末から入力されたユーザIDとパスワードによりユーザを認証するユーザ認証機能と、認証デバイスとの連携に必要な情報を当該認証デバイスに送信するリクエスト送信機能と、上記認証デバイスから返信された当該認証デバイスのメタデータID等の情報を受信するレスポンス受信機能と、上記利用端末とのセッションと上記認証デバイスとのセッションとを関連付けるセッションIDを生成・管理するセッションID生成・管理機能と、メタデータ公開サーバに対し、上記認証局が発行した上記認証デバイスの公開鍵証明書を含む、上記メタデータIDのメタデータを要求し、当該メタデータを受信するメタデータ解決機能と、上記認証局の公開鍵証明書により上記認証デバイスの公開鍵証明書の検証を行う検証機能と、上記メタデータを登録するメタデータ登録機能と、
    を有するサービス提供サーバ。
    Request transmission that holds the public key certificate of the certificate authority in advance and sends the user authentication function that authenticates the user with the user ID and password input from the user terminal and information necessary for cooperation with the authentication device to the authentication device Generate and manage a function, a response reception function for receiving information such as the metadata ID of the authentication device returned from the authentication device, and a session ID for associating the session with the user terminal and the session with the authentication device Request the metadata of the metadata ID including the public key certificate of the authentication device issued by the certificate authority and receive the metadata to the session ID generation / management function and the metadata public server The public key certificate of the authentication device by the metadata resolution function and the public key certificate of the certificate authority A verification function to verify the a metadata registration function of registering the meta data,
    A service providing server.
  11. 請求項7〜10のいずれかに記載したシステムとしてコンピュータを機能させるためのプログラム。   A program for causing a computer to function as the system according to claim 7.
  12. 請求項11に記載したプログラムを記録したコンピュータが読み取り可能な記録媒体。   A computer-readable recording medium on which the program according to claim 11 is recorded.
JP2007288085A 2007-11-06 2007-11-06 Method and system for provisioning meta data of authentication system, its program and recording medium Pending JP2009118110A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007288085A JP2009118110A (en) 2007-11-06 2007-11-06 Method and system for provisioning meta data of authentication system, its program and recording medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007288085A JP2009118110A (en) 2007-11-06 2007-11-06 Method and system for provisioning meta data of authentication system, its program and recording medium

Publications (1)

Publication Number Publication Date
JP2009118110A true JP2009118110A (en) 2009-05-28

Family

ID=40784752

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007288085A Pending JP2009118110A (en) 2007-11-06 2007-11-06 Method and system for provisioning meta data of authentication system, its program and recording medium

Country Status (1)

Country Link
JP (1) JP2009118110A (en)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120331539A1 (en) * 2011-06-24 2012-12-27 Canon Kabushiki Kaisha Authentication system, authentication method, and storage medium for realizing a multitenant service
US9027107B2 (en) 2012-05-22 2015-05-05 Canon Kabushiki Kaisha Information processing system, control method thereof, and storage medium thereof
JP2015213307A (en) * 2014-04-30 2015-11-26 富士通株式会社 Device setting for secure communication
JP2016062189A (en) * 2014-09-16 2016-04-25 株式会社ソットヴォーチェ Personal authentication system
JP5951094B1 (en) * 2015-09-07 2016-07-13 ヤフー株式会社 Generation device, terminal device, generation method, generation program, and authentication processing system
JP2017005712A (en) * 2015-06-12 2017-01-05 イーエム・ミクロエレクトロニク−マリン・エス アー Method for programming banking data in integrated circuit of watch
EP3663946A1 (en) 2018-12-06 2020-06-10 Fujitsu Limited Information processing apparatus, information processing method, and information processing program
EP3793163A1 (en) 2019-09-10 2021-03-17 Fujitsu Limited Control method, information processing apparatus, control program, and information processing system

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120331539A1 (en) * 2011-06-24 2012-12-27 Canon Kabushiki Kaisha Authentication system, authentication method, and storage medium for realizing a multitenant service
US8935770B2 (en) * 2011-06-24 2015-01-13 Canon Kabushiki Kaisha Authentication system, authentication method, and storage medium for realizing a multitenant service
US9027107B2 (en) 2012-05-22 2015-05-05 Canon Kabushiki Kaisha Information processing system, control method thereof, and storage medium thereof
JP2015213307A (en) * 2014-04-30 2015-11-26 富士通株式会社 Device setting for secure communication
JP2016062189A (en) * 2014-09-16 2016-04-25 株式会社ソットヴォーチェ Personal authentication system
JP2017005712A (en) * 2015-06-12 2017-01-05 イーエム・ミクロエレクトロニク−マリン・エス アー Method for programming banking data in integrated circuit of watch
JP5951094B1 (en) * 2015-09-07 2016-07-13 ヤフー株式会社 Generation device, terminal device, generation method, generation program, and authentication processing system
JP2017055154A (en) * 2015-09-07 2017-03-16 ヤフー株式会社 Generation device, terminal device, generation method, generation program, and authentication processing system
EP3663946A1 (en) 2018-12-06 2020-06-10 Fujitsu Limited Information processing apparatus, information processing method, and information processing program
EP3793163A1 (en) 2019-09-10 2021-03-17 Fujitsu Limited Control method, information processing apparatus, control program, and information processing system

Similar Documents

Publication Publication Date Title
US7865173B2 (en) Method and arrangement for authentication procedures in a communication network
CN101364876B (en) Method realizing public key acquiring, certificater verification and bidirectional identification of entity
JP2009118110A (en) Method and system for provisioning meta data of authentication system, its program and recording medium
US20040064687A1 (en) Providing identity-related information and preventing man-in-the-middle attacks
US8621216B2 (en) Method, system and device for synchronizing between server and mobile device
CN101364875B (en) Method realizing public key acquiring, certificater verification and bidirectional identification of entity
JP2018038068A (en) Method for confirming identification information of user of communication terminal and related system
CN101674182B (en) Entity public key acquisition and certificate verification and authentication method and system of introducing online trusted third party
US20090187980A1 (en) Method of authenticating, authorizing, encrypting and decrypting via mobile service
CN102143134A (en) Method, device and system for distributed identity authentication
Mizuno et al. Authentication using multiple communication channels
CN101567878B (en) Method for improving safety of network ID authentication
JP2009282561A (en) User authentication system, user authentication method and program
JP2018517367A (en) Service provider certificate management
JP2013503513A (en) Entity authentication method to introduce online third parties
US20180034809A1 (en) Technique for connecting to a service
CN103023856A (en) Single sign-on method, single sign-on system, information processing method and information processing system
US20100257366A1 (en) Method of authenticating a user
Jøsang Identity management and trusted interaction in Internet and mobile computing
TWI632798B (en) Server, mobile terminal, and network real-name authentication system and method
US20110307939A1 (en) Account issuance system, account server, service server, and account issuance method
JP2015194879A (en) Authentication system, method, and provision device
JP4897503B2 (en) Account linking system, account linking method, linkage server device
CN101924634A (en) Verification portal
CN102083066A (en) Unified safety authentication method and system