JP2013218446A - Service providing device, collaborative signature verification device, method for identifying/authenticating user and program - Google Patents
Service providing device, collaborative signature verification device, method for identifying/authenticating user and program Download PDFInfo
- Publication number
- JP2013218446A JP2013218446A JP2012086949A JP2012086949A JP2013218446A JP 2013218446 A JP2013218446 A JP 2013218446A JP 2012086949 A JP2012086949 A JP 2012086949A JP 2012086949 A JP2012086949 A JP 2012086949A JP 2013218446 A JP2013218446 A JP 2013218446A
- Authority
- JP
- Japan
- Prior art keywords
- certificate
- authentication
- information
- user
- signature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
本発明は、利用者がオンラインサービスを受ける際の利用登録、利用者識別情報及び認証情報の管理を簡易にする技術に関する。 The present invention relates to a technique for simplifying management of use registration, user identification information, and authentication information when a user receives an online service.
従来から、インターネットを介して、Webメールやオンラインバンキング、オンラインショッピングなどの、様々なサービスが提供されている。このようなオンラインサービスでは、利用者に対して、利用登録を求める場合がある。利用登録において、サービス提供者は、利用者の氏名・住所などのサービスを提供する上で必要な情報の取得や、利用者を識別するためのIDの発行や、利用者の本人確認(認証)を実施する際の認証情報の登録を、実施する。認証情報には、パスワード、公開鍵証明書や生体情報などが存在するが、サービス提供者のセキュリティポリシーに応じて、どの認証情報を、本人確認に利用するか、決定する。 Conventionally, various services such as Web mail, online banking, and online shopping are provided via the Internet. In such an online service, a user may be requested to register for use. In use registration, the service provider obtains information necessary for providing the service such as the user's name and address, issues an ID for identifying the user, and verifies the identity of the user (authentication). Registration of authentication information when implementing The authentication information includes a password, a public key certificate, biometric information, and the like. Depending on the security policy of the service provider, which authentication information is used for identity verification is determined.
利用登録を実施した利用者がサービスを利用する際には、サービス提供者は、利用者にIDと認証情報を要求し、利用者の識別と利用者の認証を実施する。利用者の識別と利用者の認証が成功すると、利用者に割り当てたサービスを提供するといった流れになる。 When a user who has performed use registration uses a service, the service provider requests the user for an ID and authentication information, and performs user identification and user authentication. When user identification and user authentication are successful, the service assigned to the user is provided.
特許文献1では、ICカードに格納された、アクセスサイト毎の識別情報や認証情報を利用して、情報提供サービスを提供するサイトへのアクセスを可能とするユーザ識別方法及びシステムが提案されている。特許文献1に記載の技術では、アクセスサイトを利用する前に、利用登録が実施される。利用登録の際に、認証情報として利用される公開鍵証明書が発行され、さらに、アクセスサイト毎の識別情報がICカードに登録される。 Patent Document 1 proposes a user identification method and system that enables access to a site that provides an information providing service using identification information and authentication information for each access site stored in an IC card. . In the technique described in Patent Document 1, use registration is performed before using the access site. At the time of use registration, a public key certificate used as authentication information is issued, and further, identification information for each access site is registered in the IC card.
また、公的分野のオンラインサービスの一例を示す。日本政府は、国民が、政府機関が保有する自己の情報を、インターネットを介して、確認できるオンラインサービス(マイ・ポータル)の設立を検討している。マイ・ポータルで国民が自己の情報にアクセスする際には、なりすましの脅威を防ぐために、認証情報として、「認証」を目的とした公開鍵証明書(認証用証明書)が利用されることになる。一方、既存のサービスである電子申請など、電子文書を伴う手続きでは、電子文書作成者のなりすまし、改ざん、否認の脅威から防ぐために、「電子署名」を目的として公開鍵証明書(署名用証明書)が利用されている。マイ・ポータルを利用する前の利用申請においても、同様に署名用証明書が利用され、さらに今後のログインで利用する認証用証明書が提供される。 An example of an online service in the public field is also shown. The Japanese government is considering the establishment of an online service (My Portal) that allows citizens to check their own information held by government agencies via the Internet. When citizens access their information on My Portal, a public key certificate (certification certificate) for the purpose of "authentication" is used as authentication information to prevent spoofing threats. Become. On the other hand, in procedures involving electronic documents, such as electronic applications that are existing services, public key certificates (signing certificates) are used for the purpose of “electronic signatures” in order to prevent the threat of spoofing, falsification, and denial of electronic document creators. ) Is used. The signing certificate is also used in the application for use before using My Portal, and an authentication certificate to be used for future logins is provided.
なお、非特許文献1に日本政府の方針が示されている。 Non-patent document 1 shows the policy of the Japanese government.
特許文献1では、利用者は、情報提供サービスを受ける前に、認証情報として利用する公開鍵証明書の発行を依頼する手続きに加え、本人を特定するための識別情報の発行を依頼する手続きを行っている。 In Patent Document 1, before receiving an information providing service, a user performs a procedure for requesting issuance of identification information for identifying the person in addition to a procedure for requesting issuance of a public key certificate used as authentication information. Is going.
また、複数のサイトから情報提供サービスを受ける場合にはサイトごとに、利用登録を行い、それぞれの識別情報の発行を依頼している。そのため、利用者は、情報提供サービスを受ける前に、情報提供サーバから発行された識別情報をICカードへダウンロードする手間が必要となり、また、情報提供サービスを受ける際に、ICカードから、アクセスを試みるサイトに適した識別情報を取得するための複雑な仕組みが必要となる。 In addition, when receiving an information providing service from a plurality of sites, use registration is performed for each site and a request for issuing identification information of each site is made. Therefore, the user needs to download the identification information issued from the information providing server to the IC card before receiving the information providing service. Also, when receiving the information providing service, the user accesses the IC card from the IC card. A complicated mechanism is required to obtain identification information suitable for the site to be tried.
以上のように、利用者が、識別情報と認証情報を利用して、複数のサイトでオンラインサービスを受ける際には、サービスの利用登録、利用者識別情報及び認証情報の管理が、煩雑になるという課題がある。 As described above, when a user receives an online service at a plurality of sites using identification information and authentication information, use registration of the service, management of the user identification information and authentication information becomes complicated. There is a problem.
本発明では、利用者がオンラインサービスを受ける際の利用登録、利用者識別情報及び認証情報の管理を簡易にする技術を提供することを目的とする。 An object of the present invention is to provide a technique that simplifies the management of use registration, user identification information, and authentication information when a user receives an online service.
上記課題を解決するための一手段を説明する。本発明に係るサービス提供装置は、端末装置及び認証局装置とネットワークを介して接続されている。サービス提供装置は、記憶装置と処理装置とを具備する。そして、前記処理装置は、前記端末装置からサービス利用申請書、電子署名及び署名用証明書を受信し、前記署名用証明書の有効性確認要求を前記認証局装置に送信し、前記認証局装置から前記署名用証明書の有効性確認結果を受信し、前記署名用証明書に紐付く認証用証明書を特定する情報を、前記認証局装置に要求し、前記認証局装置から前記認証用証明書特定情報を受信し、前記認証用証明書を発行した認証局装置の名称と前記認証用証明書特定情報を含む、利用者固有の情報を作成して前記記憶装置に格納すると共に、前記利用者固有の情報を作成した旨を前記端末装置に通知する。 One means for solving the above problem will be described. The service providing device according to the present invention is connected to a terminal device and a certificate authority device via a network. The service providing device includes a storage device and a processing device. Then, the processing device receives a service use application, an electronic signature and a signature certificate from the terminal device, transmits a validity check request for the signature certificate to the certificate authority device, and the certificate authority device Receiving the result of verifying the validity of the signing certificate from the certificate authority, requesting the certificate authority device to specify information for identifying the authentication certificate associated with the signature certificate, and sending the authentication certificate from the certificate authority device. Certificate specific information is received, information unique to the user including the name of the certificate authority device that issued the certificate for authentication and the certificate identification information for authentication is created, stored in the storage device, and used The terminal device is notified that the user-specific information has been created.
本発明によれば、利用者に発行される公開鍵証明書を、利用者の識別と利用者の認証の両方の役割を持つ情報として、また、複数のオンラインサービスに対して共通の情報として利用することで、利用者がオンラインサービスを受ける際の利用登録、利用者識別情報及び認証情報の管理を簡易にすることができる。 According to the present invention, a public key certificate issued to a user is used as information having both roles of user identification and user authentication, and as common information for a plurality of online services. By doing so, it is possible to simplify the use registration, user identification information, and authentication information management when the user receives the online service.
以下に、実施例1における本発明の実施形態について、図面を参照して、詳細に説明する。 Hereinafter, an embodiment of the present invention in Example 1 will be described in detail with reference to the drawings.
図1は、実施例1に係る利用者識別・認証システムの構成を示す図である。 FIG. 1 is a diagram illustrating the configuration of the user identification / authentication system according to the first embodiment.
本実施形態では、サービスを利用する複数の端末装置111〜端末装置11m(「端末装置11」と総称する)と、端末装置11にサービスを提供する複数の端末装置サービス提供装置121〜サービス提供装置12k(「サービス提供装置12」と総称する)と、利用者に証明書を発行する認証局装置131〜認証局装置13n(「認証局装置13」と総称する)と、端末装置11とサービス提供装置12と認証局装置13を接続するイーサネット(登録商標)等のネットワーク14からなる。
In the present embodiment, a plurality of
次に、図1の利用者識別・認証システムを構成する各装置について説明する。 Next, each device constituting the user identification / authentication system of FIG. 1 will be described.
まず、図2を用いて、端末装置11を説明する。
First, the
端末装置11は、処理部20aと記憶部20bと、利用者からの指示の受付を行う入出力部20cと、ネットワーク14を介して他装置と通信を行うための通信部20dと、を有する。
The
処理部20aは、サービス提供装置12へオンラインサービスの利用申請を実施するサービス申請部21と、サービス申請部21で生成したサービス利用申請書に電子署名を実施する電子署名生成部22と、サービス提供装置12へ利用申請したサービスを要求するサービス要求部23と、サービス要求の際に添付する認証情報を生成する認証情報生成部24と、サービス要求の結果、提供されるサービスを実行するサービス実行部25と、を有する。
The processing unit 20a includes a
記憶部20bは、電子署名生成部22や認証情報生成部24で利用する証明書・鍵を保持する証明書・鍵保持部26と、サービス提供装置12のアドレス等が記載されたサービス提供先情報を保持するサービス提供先情報保持部27と、を有する。なお、証明書・鍵保持部26として、ICカード等の耐タンパ性を持つ格納媒体を利用することもある。また、認証局13から、利用者に対して、サービス利用申請などの電子文書の署名用に利用する署名用証明書と、サービス要求時の認証用に利用する認証用証明書が発行されていることとする。ただし、本実施例において、利用者に発行される証明書の形態を限定しない。署名用証明書と認証用証明書に分かれていても良いし、1枚の証明書で2つの用途を兼ねても良い。
The storage unit 20b includes service / destination information in which a certificate /
このような構成において、利用者は、端末装置11の入出力部20cを介して、サービス申請部21や電子署名生成部22を操作し、電子署名付きのサービス利用申請書を作成する。さらに、通信部20dを介して、電子署名付きのサービス利用申請書を、ネットワーク14を介して接続されるサービス提供装置12へ送付する。
In such a configuration, the user operates the
また、サービス利用申請が完了すると、利用者は、端末装置11の入出力部20cを介して、サービス要求部23を操作し、サービス提供装置12へサービス要求を送信する。サービス提供装置12から認証を要求されると、入出力部20cを介して、認証情報生成部24を操作し、認証情報を生成する。さらに、認証情報を、サービス提供装置12へ送付する。認証が成功すると、サービス提供装置12から送付される情報をもとに、サービス実行部25において、オンラインサービスを実行する。
When the service use application is completed, the user operates the
次に、図3を用いて、サービス提供装置12を説明する。
Next, the
サービス提供装置12は、処理部30aと記憶部30bと、サービス提供装置12の運用員等からの指示の受付を行う入出力部30cと、ネットワーク14を介して他装置と通信を行うための通信部30dと、を有する。
The
処理部30aは、利用者に発行された認証用証明書を、利用者識別用及び利用者認証用として用いるための利用者固有の情報(アカウント情報)を作成するなどの管理を行うアカウント管理部31と、利用者から送信されたサービス利用申請書の電子署名検証を実施する電子署名検証部32と、電子署名に利用した署名用証明書と、同一の本人に発行された(以下、署名用証明書に紐付く)認証用証明書を認証局13から取得する認証用証明書情報取得部33と、利用者から送信された認証情報を用いて利用者を識別する識別部34と、認証情報を検証する認証情報検証部35と、認証が成功した利用者へサービスを提供するサービス提供部36と、を有する。
The processing unit 30a performs management such as creating user-specific information (account information) for using the authentication certificate issued to the user for user identification and user authentication. 31, an electronic
記憶部30bは、利用者に発行された認証用証明書を、利用者識別用及び利用者認証用として用いるためのアカウント情報を保持するアカウント情報保持部37、認証局装置13へ問い合わせた結果を検証するための認証局証明書を保持する認証局証明書保持部38、認証局装置13のアドレス等が記載された認証局接続情報を保持する認証局接続情報保持部39と、を有する。
The storage unit 30b obtains the result of inquiring the account
このような構成において、サービス提供装置12は、ネットワーク14を介して接続される端末装置11から、通信部30dを介して、サービス利用申請書を受信すると、電子署名検証部32は、サービス利用申請書に添付される電子署名を検証し、さらに、署名用証明書が失効していないか、ネットワーク14を介して接続される認証局装置13へ問い合わせを実施する。さらに、認証用証明書情報取得部33は、署名用証明書に紐付く認証用証明書の情報を、認証局装置13へ問い合わせる。電子署名検証部32と、認証用証明書情報取得部33の処理が正常に終了すると、アカウント管理部31は、利用者に発行された認証用証明書を、利用者識別用及び利用者認証用として用いるためのアカウントを生成し、アカウント情報保持部37へ保存する。
In such a configuration, when the
また、サービス提供装置12は、端末装置11から、通信部30dを介して、サービス要求を受信すると、サービス提供部36は、利用者を認証済みであるかを確認し、その結果、認証済みでない場合は、端末装置11へ、通信部30dを介して、認証要求を送信する。端末装置11から、通信部30dを介して、認証情報、認証用証明書を受信すると、識別部34は、認証用証明書に含まれる、認証局を特定する情報(認証局名)と認証用証明書を特定する情報(シリアル番号)を抽出する。さらに、アカウント管理部31にて、認証局名、シリアル番号及びアカウント情報保持部37のアカウント情報から、すでにアカウント開設済みの利用者であるか、認証用証明書の情報を用いて、確認する。さらに、認証情報検証部35は、認証情報を検証し、また、認証用証明書が失効していないか、ネットワーク14を介して接続される認証局装置13へ問い合わせを実施する。識別部34、認証情報検証部35、アカウント管理部31の処理が正常に終了すると、サービス提供部36は、端末装置11から要求されたサービスを提供する。
In addition, when the
次に、図4を用いて、認証局装置13を説明する。
Next, the
認証局装置13は、処理部40aと記憶部40bと、認証局装置13の運用員等からの指示の受付を行う入出力部40cと、ネットワーク14を介して他装置と通信を行うための通信部40dと、を有する。
The
処理部40aは、利用者からの証明書発行要求に応じて利用者登録を実施する証明書登録部41と、利用者登録した利用者へ証明書を発行する発行部42、認証局13が発行した証明書に関する失効情報を提供する失効情報提供部43と、認証局13が発行した証明書と、同一の本人に対して発行した証明書の情報を提供する紐付け情報提供部44と、を有する。
The processing unit 40a is issued by a
記憶部40bは、認証局13が発行した有効期限内の証明書を保持する証明書保持部45と、発行した利用者の情報を管理する発行先管理情報保持部46と、発行した有効期限内の証明書の中で、失効した証明書の情報を保持する失効情報保持部47と、発行した証明書と、同一の本人に対して発行した証明書を紐付けて管理する紐付け情報保持部48と、を有する。なお、紐付け情報保持部48では、例えば、同一本人に発行した、署名用証明書と認証用証明書など、用途の異なる証明書を紐付けて管理したり、同一本人に発行した世代別の証明書を紐付けて管理したりしている。
The storage unit 40b includes a
また、端末装置11、サービス提供装置12や認証局装置13は、例えば、図8に示すような、CPU61と、メモリ62と、ハードディスク等の外部記憶装置63と、ネットワーク15を介して他装置と通信を行うための通信装置64と、キーボードやマウス等の入力装置65と、モニタやプリンタ等の出力装置66と、CD−ROM等の可搬性を有する記憶媒体68から情報を読み取る読取装置67と、これらの各装置間のデータ送受を行う内部通信線80とを備えた、一般的な電子計算機(コンピュータ)上に構築できる。
Further, the
そして、CPU61が外部記憶装置63からメモリ62上にロードされた所定のプログラムを実行することにより、上述の各処理部を実現できる。すなわち、通信部20d、30d、40dは、CPU61が通信装置64を利用することにより、入出力部20c、30c、40cは、CPU61が入力装置65や出力装置66や読取装置67を利用することにより、そして、記憶部20b、30b、40bは、CPU61がメモリ62や外部記憶装置63を利用することにより実現される。また、処理部20aは、CPU61のプロセスとして実現される。
Then, the
上記所定のプログラムは、予め外部記憶装置63に格納されていても良いし、上記電子計算機が利用可能な記憶媒体68に格納されており、読取装置67を介して、必要に応じて読み出され、あるいは、上記電子計算機が利用可能な通信媒体であるネットワークまたはネットワーク上を伝搬する搬送波を利用する通信装置64と接続された他の装置から、必要に応じてダウンロードされて、外部記憶装置63に導入されるものであっても良い。
The predetermined program may be stored in the
次に図9を用いて、サービス提供装置12のアカウント情報保持部37に記憶されている、アカウント管理データベース70を説明する。アカウント管理データベース70は、利用者からサービス利用申請時に、アカウント管理部31において、生成される。あるいは、アカウント管理データベース70は、サービス提供装置12の運用員によって、入出力部30dを介して、生成される。アカウント管理データベース70には、アカウント情報として、サービス利用者として登録した利用者を一意に識別するユーザID71と、認証用証明書情報取得部33から取得した利用者の認証用証明書の認証局名(認証用証明書を発行した認証局の名称)及びシリアル番号(認証用証明書を一意に識別する情報)72と、サービス利用時に利用者に提供する、利用者に割り当てられた領域のアドレス情報(ユーザ資源)73が複数記憶されている。利用者に割り当てられた領域とは、例えば、利用者のファイルやプログラムの格納領域である。
Next, the
次に図10を用いて、認証局装置13の紐付け情報保持部48に記憶されている、署名用証明書と認証用証明書の紐付け管理テーブル80を説明する。署名用証明書と認証用証明書の紐付け管理テーブル80は、認証局13が証明書を発行したときに証明書発行部42によって、編集されるか、あるいは、認証局装置13の運用員によって、入出力部40cを介して、編集される。証明書を発行した主体者ごとに、81の列に認証局名を、82の列に、発行先情報を、83の列に署名用証明書のシリアル番号を、84の列に認証用証明書のシリアル番号を、記載する。なお、認証局装置13ごとに、署名用証明書と認証用証明書の紐付け管理テーブル80を構成する場合と、複数の認証局装置13でまとめて、署名用証明書と認証用証明書の紐付け管理テーブル80を構成する場合があり、図10は後者である。
Next, with reference to FIG. 10, the signature certificate and authentication certificate association management table 80 stored in the association
次に図11を用いて、認証局装置13の紐付け情報保持部48に記憶されている、認証用証明書の履歴管理テーブル90を説明する。認証用証明書の履歴管理テーブル90は、認証局13が証明書を発行したときに証明書発行部42によって、編集されるか、あるいは、認証局装置13の運用員によって、入出力部40cを介して、編集される。証明書を発行した主体者ごとに、91の列に認証局名を、92の列に、発行先情報を、93、94、95の列に、世代ごとの認証用証明書のシリアル番号を、記載する。なお、認証局装置13ごとに、認証用証明書の履歴管理テーブル90を構成する場合と、複数の認証局装置13でまとめて、認証用証明書の履歴管理テーブル90を構成する場合があり、図10は後者である。
Next, an authentication certificate history management table 90 stored in the association
次に、図12、図13、図15、図16において、端末装置11とサービス提供装置12間の一例の処理、及び、サービス提供装置12と認証局装置13間の一例の処理を、詳しく説明する。
Next, in FIG. 12, FIG. 13, FIG. 15, and FIG. 16, an exemplary process between the
先ず、図12を用いて、端末装置11がサービス提供装置12に対して、サービス利用申請を実施する際の処理を示す。
First, the processing when the
端末装置11のサービス申請部21は、利用者からの入力に応じて、サービス申請書を作成する(ステップS101)。なお、サービス申請書には、氏名、住所、電話番号、メールアドレス等の利用者に係る情報や、利用者が要求するサービスの名前などが記載される。次に、電子署名生成部22は、ステップS101で作成した、サービス利用申請書に対して、証明書・鍵保持部26に保持されている、署名用証明書と署名用証明書に対応する鍵で、電子署名を実施する(ステップS102)。さらに、サービス申請部21は、ステップS101、ステップS102で生成した、サービス利用申請書、電子署名、電子署名を生成するために利用した署名用証明書を、サービス提供装置12へ送信する(ステップS103)。
The
サービス提供装置12は、サービス利用申請書、電子署名、署名用証明書を受信すると(ステップS104)、AからBの処理において、電子署名の検証などを実施し、アカウントを作成するか否か判定する。なお、AからBまでの処理については、図13で詳細に説明する。アカウントの作成に成功した場合には、アカウント作成成功通知が、一方、アカウントの作成に失敗した場合には、アカウント作成失敗通知が、それぞれサービス提供装置12から端末装置11に送信される(ステップS105)。
Upon receipt of the service use application, electronic signature, and signature certificate (step S104), the
端末装置11のサービス申請部21は、アカウント作成成功通知あるいはアカウント作成失敗通知を受信する(ステップS106)。
The
次に、図13を用いて、サービス提供装置12が認証局装置13に問い合わせを行って、利用申請を受付けた利用者のアカウント情報の作成を実施する際の処理を示す。
Next, FIG. 13 shows processing when the
サービス提供装置12の電子署名検証部32は、ステップS104で受信した電子署名を、署名用証明書を利用して検証する(ステップS201)。さらに、電子署名検証部32は、認証局証明書保持部38に保持されている認証局証明書を用いて、署名用証明書の電子署名を検証する(ステップS202)。続けて、署名用証明書の状態が有効であるか確認するために、電子署名検証部32は、認証局接続情報保持部39から、ステップS104(図12)で受信した署名用証明書、を発行した認証局装置13のアドレスを取得し、認証局装置13へ署名用証明書の有効性確認を要求する(ステップS203)。
The electronic
認証局装置13は、署名用証明書の有効性確認要求を受信すると、失効情報提供部43にて、失効情報保持部47に保持されている失効情報を確認して、署名用証明書の状態を確認する(ステップS204)。さらに、失効情報提供部43は、認証局装置13の電子署名を付与した、署名用証明書の有効性確認結果を作成し、サービス提供装置12へ応答する(ステップS205)。なお、署名用証明書の有効性確認処理を実施する方法として、認証局装置13が管理している、証明書失効リストを、要求元へ応答する場合もある。
When the
サービス提供装置12の電子署名検証部32は、署名用証明書の有効性確認結果を受信すると、認証局装置13の電子署名を検証して、署名用証明書の有効性を確認し(ステップS206)、その結果から署名用証明書が有効か失効かを判定する(ステップS207)。ステップS206で受信した署名用証明書の有効性確認結果が有効である場合には(ステップS207でYes)、電子署名検証部32は、署名用証明書に紐付く認証用証明書のシリアル番号を、認証局装置13へ要求する(ステップS208)。
Upon receiving the signature certificate validity check result, the electronic
認証局装置13は、認証用証明書のシリアル番号を要求されると、紐付け情報提供部44にて、紐付け情報保持部48に保持されている署名用証明書と認証用証明書の紐付け管理テーブル80を確認し、認証用証明書のシリアル番号を取得する(ステップS209)。具体的には、紐付け情報提供部44は、ステップS208で受信した認証用証明書のシリアル番号要求に含まれる、認証局名と、署名用証明書のシリアル番号をキーとして、署名用証明書と認証用証明書の紐付け管理テーブル80の認証局名の列81と、署名用証明書のシリアル番号の列83を検索し、該当するレコードが存在する場合には、認証用証明書のシリアル番号の列84に含まれる、認証用証明書のシリアル番号を取得する。なお、ステップS208からステップS211の処理の代わりに、後述する処理を実施することもできる。ステップS104(図12)において、サービス提供装置12が、利用者から、利用申請書と共に認証用証明書を取得し、認証局13に対して、署名用証明書と認証用証明書の両方を含めて、署名用証明書と認証用証明書が同一本人に対して発行されているかの確認を要求する。認証局装置13は、署名用証明書と認証用証明書の紐付け管理テーブル80を検索した結果、同一本人に対して発行しているか否か、正否をサービス提供装置12へ応答する。
When the
続けて、紐付け情報提供部44は、認証局装置13の電子署名を付与した、認証用証明書のシリアル番号をサービス提供装置12へ応答する(ステップS210)。なお、ステップS209で、該当する認証用証明書のシリアル番号が存在しなかった場合には、紐付け情報提供部44は、エラーとして応答する。
Subsequently, the association
サービス提供装置12の認証用証明書情報取得部33は、認証局装置13の電子署名を付与した、認証用証明書のシリアル番号を受信すると、そのシリアル番号を確認し(ステップS211)、認証局装置13の電子署名を検証して、認証用証明書のシリアル番号が信頼できるものか否かを判定する(ステップS212)。判定の結果、認証用証明書のシリアル番号が信頼できる場合(ステップS212でYes)、認証用証明書情報取得部33は、署名用証明書に紐付く認証用証明書が発行されているとみなし、アカウント管理部31にて、ステップS101にてサービス申請を行った利用者のアカウント情報を作成する(ステップS213)。具体的には、アカウント管理部31は、アカウント管理データベース70で利用者のアカウント情報を一意に識別するための情報(本実施例では、ユーザID)を生成する。次に、アカウント管理部31は、生成したユーザIDを、利用者の識別情報として利用するための、認証用証明書を発行した認証局の認証局名及びシリアル番号72と、ユーザ資源73に紐付けることにより、アカウント情報を作成し、アカウント管理データベース70に格納する(ステップS213)。
続けて、アカウント管理部31は、端末装置11に通知するための、アカウント作成成功通知を作成する(ステップS214)。アカウント作成成功通知には、利用者に割り当てられた領域に利用者がアクセスするためのユーザ資源(アドレス情報)73が含まれる。
When the authentication certificate information acquisition unit 33 of the
Subsequently, the
また、ステップS206で受信した署名用証明書の有効性確認結果が失効である場合(ステップS207でNo)、あるいは、ステップS211で受信した認証用証明書のシリアル番号が信頼できない場合(ステップS212でNo)、アカウント管理部31は、アカウント作成に失敗した旨を記載した、アカウント作成失敗通知を作成する(ステップS215)。
If the validity check result of the signature certificate received in step S206 is invalid (No in step S207), or if the serial number of the authentication certificate received in step S211 is not reliable (in step S212). No), the
なお、サービス利用申請などの電子文書の署名用に利用する署名用証明書と、サービス要求時の認証用に利用する認証用証明書を分けて利用しない場合には、1枚の証明書で署名用と認証用を兼ねるようにすることで、ステップS208からステップS212の処理省略することができる。 If you do not use the signature certificate used for signing electronic documents, such as application for service use, and the authentication certificate used for authentication at the time of service request, sign with one certificate. By using both for authentication and authentication, the processing from step S208 to step S212 can be omitted.
次に、図15を用いて、端末装置11がサービス提供装置12に対して、申請したサービスを要求する際の処理を示す。
Next, processing when the
端末装置11のサービス要求部23は、サービス提供装置12に対して、サービス要求を送信する。具体的には、サービス要求部23は、ステップS106(図12)で受信したアカウント作成成功通知に含まれるユーザ資源73の利用者情報の取得を要求する(ステップS401)。サービス提供装置12は、サービス要求を受信すると(ステップS402)、アカウント管理部31で、認証済みであり、また、タイムアウト時間に達していないことを確認してもらう(ステップS403)。認証済みである場合には(ステップS404でYes)、サービス提供部36は、アクセス要求のあったユーザ資源73の利用者情報(ファイルやプログラムなど)を取得し(ステップS405)、取得した利用者情報と、サービス要求を許可する旨のサービス要求結果を作成する(ステップS406)。サービス提供装置12は、ステップS406で作成されたサービス要求結果や、CからDの処理で作成された、サービス要求結果を、端末装置11へ送信する(ステップS407)。
The
端末装置11のサービス要求部23は、サービス要求結果を受信すると(ステップS408)、サービス要求結果が成功であるか確認する。サービス要求結果が成功である場合には(ステップS409でYes)、サービス実行部25にて、取得したユーザ資源73のアドレスにアクセスするなどして、要求したサービスを実行する(ステップS410)。
When receiving the service request result (step S408), the
また、サービス要求を送信した利用者が認証済みでない場合には(ステップS404でNo)、サービス提供装置12の識別部34が、端末装置11へ、認証要求を送信する(ステップS411)。
If the user who transmitted the service request is not authenticated (No in step S404), the
端末装置11のサービス要求部23は、認証要求を受信すると(ステップS412)、認証情報生成部24において、認証情報を生成する(ステップS413)。具体的には、認証情報生成部24は、ステップS412で受信した認証要求に含まれる乱数等に対して、証明書・鍵保持部26に保持されている認証用証明書と認証用証明書に対応する鍵を利用して、暗号処理を実施することにより、認証情報を生成する。
When the
端末装置11のサービス要求部23は、ステップS413で生成した認証情報と、認証局名とシリアル番号を含む認証用証明書を、サービス提供装置12へ送信する(ステップS414)。サービス提供装置12の識別部34は、端末装置11から認証情報と認証用証明書を受信すると、CからDの処理において、認証情報を検証するなどして、要求されたサービスを提供するか否か判定する。なお、CからDまでの処理については、図16で詳細に説明する。
The
次に、図16を用いて、サービス提供装置12が認証局装置13に問い合わせを行って、利用者から要求されたサービスを提供する際の処理を示す。
Next, a process when the
サービス提供装置12の識別部34は、端末装置11から、認証情報、認証用証明書を受信すると(図15_ステップS415)、利用者を識別するための識別情報として利用するために、認証用証明書に含まれる認証局名とシリアル番号を、抽出する(ステップS501)。
When receiving the authentication information and the authentication certificate from the terminal device 11 (FIG. 15_step S415), the
続いて、アカウント管理部31は、アカウント管理データベース70を参照し、ステップS501で抽出した認証局名及びシリアル番号を含むアカウントが存在しているか確認する(ステップS502)。
Subsequently, the
ステップS502で、アカウントが存在していない場合には、アカウント管理部31は、アカウントを開設済みではないとみなし(ステップS503でNo)、アカウント未開設のためサービス要求を拒否する旨の結果を作成する(ステップS504)。
If the account does not exist in step S502, the
ステップS502で、アカウントが存在している場合には、アカウント管理部31は、アカウントを開設済みであるとみなし(ステップS503でYes)、認証情報検証部35にて、ステップS415で受信した認証情報を、認証用証明書を利用して検証し、さらに、認証局証明書保持部38に保持されている認証局証明書を用いて、認証用証明書の電子署名を検証する(ステップS505)。
If the account exists in step S502, the
続けて、認証用証明書の状態が有効であるか確認するために、認証情報検証部35は、認証局接続情報保持部39から、ステップS415(図15)で受信した証明書、を発行した認証局装置13のアドレスを取得し、認証局装置13へ認証用証明書の有効性確認を要求する(ステップS506)。認証局装置13は、認証用証明書の有効性確認要求を受信すると、失効情報提供部43にて、失効情報保持部47に保持されている失効情報を確認して、認証用証明書の状態を確認する(ステップS507)。さらに、失効情報提供部43は、認証局装置13の電子署名を付与した、認証用証明書の有効性確認結果を作成し、サービス提供装置12へ応答する(ステップS508)。なお、認証用証明書の有効性確認を実施する方法として、認証局装置13が管理している、証明書失効リストを、要求元へ応答する場合もある。サービス提供装置12の認証情報検証部35は、認証用証明書の有効性確認結果を受信すると、認証局装置13の電子署名を検証して、信頼できる結果であることを確認する(ステップS509)。
Subsequently, in order to confirm whether the status of the authentication certificate is valid, the authentication
ステップS509で受信した認証用証明書の有効性確認結果が失効である場合には(ステップS510でNo)、認証情報検証部35は、認証失敗のためサービス要求を拒否する旨のサービス要求結果を作成する(ステップS511)。
If the validity check result of the authentication certificate received in step S509 is invalid (No in step S510), the authentication
ステップS509で受信した認証用証明書の有効性確認結果が有効である場合には(ステップS510でYes)、認証情報検証部35は、ステップS402で要求のあったユーザ資源73の利用者情報(ファイルやプログラムなど)を取得し(ステップS512)、取得した情報と、サービス要求を許可する旨を含めたサービス要求結果を作成する(ステップS513)。
If the verification result of the authentication certificate received in step S509 is valid (Yes in step S510), the authentication
なお、上記実施例では、利用者が1つのサービス提供装置12に対して、サービス利用申請を実施する場合を例にとり説明したが、利用者が複数のサービス提供装置に対して、サービス利用申請を実施し、サービスの提供を受ける場合においても、図12、図13、図15、図16の処理で、認証情報を生成するために利用した、利用者の認証用証明書は、各々のサービス提供装置12が前記認証用証明書の認証局を信頼する限り、統一的に利用することが可能である。また、サービス提供装置12は1つであっても、上述した処理を適用できる。
In the above embodiment, the case where a user makes a service use application for one
以上、実施例1について詳述したが、上記実施形態によれば、利用者に発行する公開鍵証明書には、公開鍵証明書を一意に特定するためのシリアル番号や、公開鍵証明書の主体者の情報を含めることが可能である点に着目し、利用者に発行される公開鍵証明書を、利用者の識別と利用者の認証の両方の役割を持つ情報として、また、複数のサービス提供装置に対して共通の情報として利用することで、公開鍵証明書の発行依頼の手続きに加え、利用者を特定するための識別情報を別途発行することなく、また、サービス提供装置ごとに利用者識別情報を分けることなく統一できる。これにより、利用者がサービスを受ける際の利用登録、利用者識別情報及び認証情報の管理を簡易にすることができる。 As described above, the first embodiment has been described in detail. According to the above embodiment, the public key certificate issued to the user includes a serial number for uniquely identifying the public key certificate, and a public key certificate. Paying attention to the fact that the subject's information can be included, the public key certificate issued to the user can be used as information that has both the role of user identification and user authentication. By using it as common information for service providing devices, in addition to issuing public key certificate issuance requests, there is no need to separately issue identification information for identifying users, and for each service providing device. User identification information can be unified without separation. Thereby, management of use registration, user identification information, and authentication information when a user receives a service can be simplified.
また、本発明は上記実施形態に限定されるものではなく、サービス提供装置によっては、サービス提供する機能と利用者を認証する機能を分離し、利用者を認証する機能をサービス提供装置と異なる装置にて実現されるなど、その要旨を逸脱しない範囲で種々変更可能である。 In addition, the present invention is not limited to the above-described embodiment. Depending on the service providing apparatus, the function of providing the service and the function of authenticating the user are separated, and the function of authenticating the user is different from the service providing apparatus. Various changes can be made without departing from the scope of the invention.
公開鍵証明書には、ライフサイクルが存在し、認証用証明書の有効期限が切れたときや、何らかの理由で認証用証明書が失効したときに、認証局13は、同一本人に対して、新たに認証用証明書を発行する(証明書の更新)場合がある。なお、認証用証明書が更新される際には、新たにシリアル番号が付番される。 The public key certificate has a life cycle, and when the expiration date of the authentication certificate expires or when the authentication certificate expires for some reason, the certificate authority 13 A new authentication certificate may be issued (certificate renewal). When the authentication certificate is updated, a new serial number is assigned.
実施例1では、サービス提供装置12が、利用者を識別する情報として認証用証明書の認証局名とシリアル番号を利用しているが、利用者が更新された認証用証明書を利用して、サービス提供装置12にサービスを要求した場合には、更新された認証用証明書のシリアル番号を含むアカウントが存在しないため、サービス提供装置12からサービス提供を拒否される。
In the first embodiment, the
上記を回避するためには、利用者のアカウントを構成するシリアル番号を、更新された認証用証明書のシリアル番号に変更する必要がある。 In order to avoid the above, it is necessary to change the serial number constituting the user account to the serial number of the updated authentication certificate.
実施例2では、利用者が認証用証明書の更新を通知することなく、サービス提供装置12が、認証局装置13から、認証用証明書の更新情報を取得することで、アカウントを構成するシリアル番号を動的に変更する処理を実施する。
In the second embodiment, the
なお、実施例1の図3で示したサービス提供装置12のアカウント管理部31に、認証用証明書の更新情報を取得する機能を追加する。また、実施例1の図16のステップS501からステップS510の処理を、実施例2の図17で示すステップS601からステップS617の処理に変更する。
Note that a function for acquiring update information of the authentication certificate is added to the
以下に、実施例2における本発明の実施形態について、図面を参照して、詳細に説明する。 Hereinafter, an embodiment of the present invention in Example 2 will be described in detail with reference to the drawings.
図17を用いて、サービス提供装置12が認証局装置13に問い合わせを行って、認証用証明書の履歴情報を取得する際の処理を示す。
FIG. 17 shows processing when the
サービス提供装置12の識別部34は、端末装置11から、認証情報、認証用証明書を受信すると(図15_ステップS415)、利用者を識別するための識別情報として利用するために、認証用証明書に含まれる認証局名とシリアル番号を抽出する(ステップS601)。
When receiving the authentication information and the authentication certificate from the terminal device 11 (FIG. 15_step S415), the
続いて、アカウント管理部31は、アカウント管理データベース70を参照し、ステップS601で抽出した認証局名とシリアル番号を含むアカウントが存在しているか確認する(ステップS602)。
Subsequently, the
ステップS602で、アカウントが存在していない場合には(ステップS603でNo)、アカウント管理部31は、予め設定した所定回数に達するまで、ステップS415(図15)で受信した認証用証明書の履歴を確認する。
If the account does not exist in step S602 (No in step S603), the
具体的には、アカウント管理部31は、認証局接続情報保持部39から、ステップS415で受信した証明書、を発行した認証局13のアドレスを取得し、認証局装置13に対して、ステップS415で受信した認証用証明書の、一世代前の認証用証明書のシリアル番号を要求する(ステップS605)。認証局装置13は、一世代前の認証用証明書のシリアル番号を要求されると、紐付け情報提供部44にて、紐付け情報保持部48に保持されている認証用証明書の履歴管理テーブル90を確認し、更新前の証明書のシリアル番号を取得する(ステップS606)。具体的には、紐付け情報提供部44は、一世代前の認証用証明書のシリアル番号の要求(ステップS605)に含まれる、認証局名と、認証用証明書のシリアル番号をキーとして、認証用証明書の履歴管理テーブル90の認証局名の列91と、認証用証明書のシリアル番号の列93、94、95の列を検索し、発行先情報92が存在するか確認する。発行先情報92が存在する場合には、紐付け情報提供部44は、該当する認証用証明書のシリアル番号の列の一世代前の列から、認証用証明書のシリアル番号を取得する。
Specifically, the
続けて、紐付け情報提供部44は、認証局装置13の電子署名を付与した、認証局名と一世代前の認証用証明書のシリアル番号を含む確認結果を作成し、サービス提供装置12へ応答する(ステップS607)。なお、ステップS606で、一世代前の認証用証明書のシリアル番号が存在しなかった場合には、紐付け情報提供部44は、エラーとして応答する。
Subsequently, the associating
サービス提供装置12のアカウント管理部31は、確認結果を受信すると、認証局装置13の電子署名を検証して、確認結果が信頼できる結果であることを確認する(ステップS608)。
Upon receiving the confirmation result, the
ステップS609で受信した確認結果に、一世代前の認証用証明書のシリアル番号が含まれている場合には、アカウント管理データベース70に、ステップS608で受信したシリアル番号及び認証局名に基づいてアカウント管理データベース70を検索し、該当する認証用証明書のシリアル番号及び認証局名(利用者識別情報)が存在するか否かを確認する(ステップS609)。確認の結果、該当する認証用証明書のシリアル番号及び認証局名が存在した場合には(ステップS609でYes)、利用申請時に利用者に発行された認証用証明書が更新されているとみなし、アカウント管理部31は、アカウント管理データベース70において、ステップS609で検索した認証用証明書の認証局名及びシリアル番号72を、ステップS415で受信した認証用証明書の認証局名とシリアル番号に更新する(ステップS610)。
If the confirmation result received in step S609 includes the serial number of the previous generation authentication certificate, the
一方、該当する識別情報が存在しなかった場合には(ステップS609でNo)、アカウント管理部31は、利用申請時に利用者に発行された認証用証明書がさらに古い世代の認証用証明書であるとみなし、ステップS604の処理に戻る。アカウント管理部31は、所定回数に達していなければ(ステップS604でNo)、ステップS415で受信した認証用証明書の、一世代前の認証用証明書のシリアル番号を要求する(ステップS605)。
On the other hand, if the corresponding identification information does not exist (No in step S609), the
所定回数に達していれば(ステップS604でYes)、アカウント管理部31は、アカウントを開設済みではないとみなし、アカウント未開設のためサービス要求を拒否する旨の結果を作成する(ステップS611)。
If the predetermined number has been reached (Yes in step S604), the
アカウントが存在している場合(ステップS603でYes)と、アカウントが存在せず、かつ、認証用証明書の更新を確認できた場合には(ステップS609でYes)、認証情報検証部35にて、ステップS415で受信した認証情報を、認証用証明書を利用して検証し、さらに、認証局証明書保持部38に保持されている認証局証明書を用いて、認証用証明書の電子署名を検証する(ステップS612)。なお、ステップS612からステップS616までの処理は、図16におけるステップS505からステップS509までの処理と同一であることから、詳細な処理の説明を省く。
If the account exists (Yes in step S603) and if the account does not exist and the update of the authentication certificate can be confirmed (Yes in step S609), the authentication
以上、実施例2について詳述したが、上記実施形態によれば、利用者が認証用証明書の更新を通知することなく、サービス提供装置12が、認証用証明書の更新情報を取得することで、アカウントを構成するシリアル番号を動的に変更することができる。
As described above, the second embodiment has been described in detail. According to the above embodiment, the
実施例1の図13で示したステップS203からステップS206までの処理と、ステップS208からステップS211までの処理、また、実施例2の図17で示したS605からS608までの処理と、S613からS616までの処理では、サービス提供装置12は、利用者から受信した署名用証明書や認証用証明書に関する、有効性確認と、署名用証明書や認証用証明書に紐付く情報を、認証局13に対して、個別に問い合わせている。
The processing from step S203 to step S206 shown in FIG. 13 of the first embodiment, the processing from step S208 to step S211, the processing from S605 to S608 shown in FIG. 17 of the second embodiment, and the steps from S613 to S616. In the processing up to this point, the
しかしながら、RFC2560 “X.509 Internet Public Key Infrastructure Online Certificate Status Protocol − OCSP”で示される、OCSPレスポンダにおいては、リクエストで指定された証明書の状態(有効、失効、不明)だけではなく、証明書に関する情報を、拡張情報として、OCSPレスポンスに含めて、リクエスタに返却することが可能である。 However, in the OCSP responder indicated by RFC 2560 “X.509 Internet Public Key Infrastructure Structure Certificate Protocol-OCSP”, not only the status of the certificate specified in the request (valid, revoked, unknown) Information can be included in the OCSP response as extended information and returned to the requester.
そこで、実施例3では、サービス提供装置12から認証局13への問い合わせ処理を効率化するために、証明書の有効性確認と、証明書の紐付け情報の問い合わせを同時に実施する。
Therefore, in the third embodiment, in order to improve the efficiency of the inquiry process from the
なお、実施例1の図3で示したサービス提供装置12の電子署名検証部32に、利用者から受信した署名用証明書に関する、有効性確認と、署名用証明書に紐付く認証用証明書のシリアル番号を同時に、要求する機能を追加する。また、サービス提供装置12の認証用証明書情報取得部33の機能を利用しない。さらに、図13で示した処理を、図14で示した処理に変更する。
The electronic
以下に、実施例3における本発明の実施形態について、図面を参照して、詳細に説明する。 Hereinafter, an embodiment of the present invention in Example 3 will be described in detail with reference to the drawings.
図14を用いて、サービス提供装置12が認証局装置13に問い合わせを行って、利用申請を受付けた利用者のアカウントの作成を実施する際の処理を示す。
FIG. 14 shows processing when the
サービス提供装置12の電子署名検証部32は、ステップS104で受信した電子署名(図12)を、署名用証明書を利用して検証する(ステップS301)。さらに、電子署名検証部32は、認証局証明書保持部38に保持されている認証局証明書を用いて、署名用証明書の電子署名を検証する(ステップS302)。
The electronic
続けて、電子署名検証部32は、署名用証明書の有効性確認と、署名用証明書に紐付く認証用証明書のシリアル番号を、認証局装置13へ要求する(ステップS303)。認証局装置13は、署名用証明書の有効性確認と認証用証明書のシリアル番号の要求を受信すると、失効情報提供部43にて、失効情報保持部47に保持されている失効情報を確認して、署名用証明書の状態を確認する(ステップS304)。また、紐付け情報提供部44にて、紐付け情報保持部48に保持されている署名用証明書と認証用証明書の紐付け管理テーブル80を確認する(ステップS305)。
Subsequently, the electronic
さらに、失効情報提供部43は、認証局装置13の電子署名を付与した、署名用証明書の有効性確認結果に認証用証明書のシリアル番号の確認結果を追加して、サービス提供装置12へ応答する(ステップS306)。サービス提供装置12の電子署名検証部32は、署名用証明書の有効性確認結果と認証用証明書のシリアル番号の確認結果を受信すると、認証局装置13の電子署名を検証して、信頼できる結果であることを確認する(ステップS307)。
Further, the revocation
ステップS307で受信した署名用証明書の有効性確認結果が有効である場合には(ステップS308でYes)、電子証明検証部32は、ステップS309へ進む。認証用証明書のシリアル番号が信頼できる場合には、電子証明検証部32は、署名用証明書に紐付く認証用証明書が発行されているとみなし(ステップS309でYes)、ステップS310へ進む。
If the validity check result of the signature certificate received in step S307 is valid (Yes in step S308), the electronic
なお、ステップS310からステップS312までの処理は、図13におけるステップS213からステップS215までの処理と同一であることから、詳細な処理の説明を省く。 Note that the processing from step S310 to step S312 is the same as the processing from step S213 to step S215 in FIG. 13, and thus detailed description of the processing is omitted.
また、実施例2の図17で示したステップS605からステップS608までの処理と、ステップS613からステップS616までの処理に関しても、ステップS303からステップS307までの処理と同様に、サービス提供装置12は、利用者から受信した認証用証明書に関する、有効性確認と、一世代前の認証用証明書の情報を、認証局13に対して、同時に問い合わせことができる。
Further, regarding the processing from step S605 to step S608 and the processing from step S613 to step S616 shown in FIG. 17 of the second embodiment, the
以上、実施例3について記述したが、上記実施形態によれば、サービス提供装置12が、認証局装置13への、利用者の証明書の有効性確認と、利用者の証明書の紐付け情報の問い合わせ処理を効率的に実施することができる。
As described above, the third embodiment has been described. According to the above-described embodiment, the
実施例1、実施例2、実施例3では、端末装置11からのサービス利用申請や、サービス要求を受け、サービス提供装置12が、認証局装置13に対して、利用者の署名用証明書や認証用証明書の失効情報、署名用証明書や認証用証明書に紐付く情報を、問い合わせている。また、利用者の認証用証明書に記載されているシリアル番号を保存し、アカウント作成する際の識別情報として利用している。
In the first embodiment, the second embodiment, and the third embodiment, upon receiving a service use application or a service request from the
しかしながら、電子政府など、特定の分野で利用される署名用証明書や認証用証明書においては、署名用証明書や認証用証明書が、機密情報として取り扱われることがある。その際には、証明書に記載されている情報や、証明書の失効情報や、証明書の紐付け情報など、証明書に関する情報を取得可能な組織が、限定される場合がある。 However, in a signature certificate or authentication certificate used in a specific field such as an electronic government, the signature certificate or authentication certificate may be handled as confidential information. In that case, there are cases where organizations that can acquire information related to the certificate such as information described in the certificate, certificate revocation information, and certificate association information may be limited.
そこで、実施例4では、サービス提供装置12が、証明書に関する情報を取得し、長期的に保存できないように、共同署名検証装置15が、代理で、認証局装置13への問い合わせや認証情報の生成を実施する。
Therefore, in the fourth embodiment, the joint
以下に、実施例4における本発明の実施形態について、図面を参照して、詳細に説明する。 Hereinafter, an embodiment of the present invention in Example 4 will be described in detail with reference to the drawings.
図5は、実施例4に係る利用者識別・認証システムの構成を示す図である。図1で示した実施例1に係る利用者識別・認証システムの構成に、サービス提供装置12からの要求に応じて、電子署名検証や認証情報検証を実施する共同署名検証装置15を追加している。
FIG. 5 is a diagram illustrating the configuration of the user identification / authentication system according to the fourth embodiment. In addition to the configuration of the user identification / authentication system according to the first embodiment illustrated in FIG. 1, a joint
図6を用いて、実施例4におけるサービス提供装置12を説明する。
The
実施例4におけるサービス提供装置12では、図3で示した電子署名検証部32と認証用証明書情報取得部33の代わりに、本人確認要求部310を、有する。また、識別部34と認証情報検証部35の代わりに、識別・認証要求部311を、有する。
The
次に、図7を用いて、共同署名検証装置15を説明する。
Next, the joint
共同署名検証装置15は、処理部50aと記憶部50bと、共同署名検証装置15の運用員等からの指示の受付を行う入出力部50cと、ネットワーク14を介して他装置と通信を行うための通信部50dと、を有する。
The joint
処理部50aは、サービス提供装置12からの本人確認要求を受けて、利用者の電子署名を検証する電子署名検証部51と、電子署名に利用された署名用証明書に紐付く認証用証明書を認証局装置13へ問い合わせる認証用証明書情報取得部52と、サービス提供装置12からの識別・認証要求を受けて、利用者の認証用証明書のシリアル番号からサービス提供装置12向けの識別情報に変換する識別部53と、利用者の認証情報を検証する認証情報検証部54をサービス申請部21で生成したサービス利用申請書に電子署名を実施する電子署名生成部22と、を有する。
The processing unit 50a receives an identity verification request from the
記憶部50bは、認証局装置13へ問い合わせた結果を検証するための認証局証明書を保持する認証局証明書保持部55、認証局装置13のアドレス等が記載された認証局接続情報を保持する認証局接続情報保持部56と、認証用証明書のシリアル番号からサービス提供装置向けの認証情報に変換するための情報を保持する識別情報保持部57と、を有する。
The storage unit 50b holds a certification authority
次に、図18を用いて、端末装置11からサービス利用申請を受付けたサービス提供装置12が、共同署名検証装置15に問い合わせを行って、利用者のアカウントの作成を実施する際の処理を示す。なお、図18では、正常な処理のみを記載する。
Next, with reference to FIG. 18, the
サービス提供装置12の本人確認要求部310は、端末装置11からサービス利用申請書、電子署名、署名用証明書を受信する(ステップS701)と、サービス利用申請書の共通部分を抽出する(ステップS702)。ここで、サービス利用申請書は、各々のサービス提供装置12のサービスにおいて、固有に必要になる情報が記載された固有部分と、氏名、住所などの全てのサービス提供装置12のサービスで必要となる情報が記載された共通部分に分かれていて、それぞれに対して、電子署名が施されているものとする。
When the identity
サービス提供装置12の本人確認要求部310は、共同署名検証装置15に対して、共通部分に対して施された電子署名と、署名用証明書の検証と、署名用証明書に紐付く認証用証明書のシリアル番号を要求する(ステップS703)。共同署名検証装置15の電子署名検証部51は、電子署名、署名用証明書の検証要求と、認証用証明書のシリアル番号要求を受信すると(ステップS704)、電子署名と、署名用証明書の検証を実施する(ステップS705)。その際に、共同署名検証装置15の認証用証明書情報取得部52は、認証局接続情報保持部56から、ステップS704で受信した認証用証明書、を発行した認証局装置13のアドレスを取得し、認証局装置13へ問い合わせを行い、署名用証明書の有効性確認を実施する。署名用証明書が有効であれば、さらに、認証用証明書情報取得部52は、認証局13へ問い合わせを行い、署名用証明書に紐付く認証用証明書のシリアル番号を取得する(ステップS706)。なお、実施例3で示したように、認証局装置13に対する、署名用証明書の有効性確認と、署名用証明書に紐付く認証用証明書のシリアル番号の問い合わせを同時に行うこともできる。
The identity
続いて、認証用証明書情報取得部52は、認証用証明書のシリアル番号と認証用証明書を発行した認証局名からなる利用者の識別情報を生成し、識別情報保持部57へ保存する(ステップS707)。共同署名検証装置15の電子証明検証部51は、電子署名、署名用証明書の検証結果、利用者の識別情報に電子署名を付与して、サービス提供装置12へ送信する(ステップS708)。
Subsequently, the authentication certificate
サービス提供装置12の本人確認要求部310は、電子署名、署名用証明書の検証結果、利用者識別情報を受信すると、共同署名検証装置の電子署名を検証して、信頼できる結果であることを確認する(ステップS709)。さらに、サービス提供装置12のアカウント管理部31は、共同署名検証装置15が生成した利用者識別情報を含むアカウントを生成し、アカウント情報保持部37へ保存する(ステップS710)。
Upon receiving the electronic signature, the signature certificate verification result, and the user identification information, the identity
次に、図19を用いて、端末装置11からサービス要求を受付けたサービス提供装置12が、共同署名検証装置15に問い合わせを行って、利用者から要求されたサービスを提供する際の処理を示す。なお、図19では、正常な処理のみを記載する。
Next, FIG. 19 is used to show processing when the
サービス提供装置12の認証・識別要求部311は、端末装置11から認証情報、認証用証明書を受信する(ステップS801)と、共同署名検証装置15へ、認証情報、認証用証明書を含む利用者の認証及び識別を要求する(ステップS802)。共同署名検証装置15の識別部53は、利用者の認証及び識別要求を受信すると(ステップS803)、認証用証明書のシリアル番号に紐付く認証情報を、識別情報保持部57から取得する(ステップS804)。さらに、認証情報検証部54は、認証情報と、認証用証明書の検証を実施する(ステップS805)。その際に、共同署名検証装置15は、認証局接続情報保持部56から、ステップS803で受信した証明書、を発行した認証局装置13のアドレスを取得し、認証局装置13へ問い合わせを行い、認証用証明書の有効性確認を実施する。なお、実施例2で示したように、認証用証明書が更新されている場合には、認証局装置13に対して、認証用証明書の履歴情報を問い合わせし、更新前の認証用証明書の情報を取得することもできる。さらに、実施例3で示したように、認証局装置13に対する、認証用証明書の有効性確認と、認証用証明書の履歴情報の問い合わせを同時に行うこともできる。
When the authentication /
続いて、共同署名検証装置15の識別部53は、利用者の認証及び識別の結果に電子署名を付与して、サービス提供装置12へ送信する(ステップS806)。
Subsequently, the
サービス提供装置12の認証・識別要求部311は、利用者の認証及び識別の結果を受信すると、共同署名検証装置の電子署名を検証して、信頼できる結果であることを確認する(ステップS807)。さらに、サービス提供装置12のサービス提供部36は、ステップS807で受信した結果に含まれる識別情報を利用して、アカウント管理データベース70を参照し、利用者に割り振られたアカウントを検索し、要求されたサービスを提供する(ステップS808)。
Upon receiving the user authentication and identification result, the authentication /
以上、実施例4について記述したが、上記実施形態によれば、サービス提供装置12が、証明書に関する情報を取得し、かつ、長期的に保存することなく、電子署名や認証情報の検証や、識別情報の生成・管理を実施することができる。
As described above, the fourth embodiment has been described. According to the above-described embodiment, the
111、11m・・・端末装置、121、12k・・・サービス提供装置、121、12n・・・認証局装置、14・・・ネットワーク、15・・・共同署名検証装置、20a、30a、40a、50a・・・処理部、20b、30b、40b、50b・・・記憶部、20c、30c、40c、50c・・・入出力部、20d、30d、40d、50d・・・通信部、21・・・サービス申請部、22・・・電子署名生成部、23・・・サービス要求部、24・・・認証情報生成部、25・・・サービス実行部、26・・・証明書・鍵保持部、27・・・サービス提供先情報保持部、31・・・アカウント管理部、32・・・電子署名検証部、33・・・認証用証明書情報取得部、34・・・識別部、35・・・認証情報検証部、36・・・サービス提供部、37・・・アカウント情報保持部、38・・・認証局証明書保持部、39・・・認証局接続情報保持部、310・・・本人確認要求部、311・・・識別・認証要求部、41・・・証明書登録部、42・・・証明書発行部、43・・・失効情報提供部、44・・・紐付け情報提供部、45・・・証明書保持部、46・・・発行先管理情報保持部、47・・・失効情報保持部、48・・・紐付け情報保持部、51・・・電子署名検証部、52・・・認証用証明書情報取得部、53・・・識別部、54・・・認証情報検証部、55・・・認証局証明書保持部、56・・・認証局接続情報保持部、57・・・識別情報保持部、60・・・内部通信線、61・・・CPU、62・・・メモリ、63・・・外部記憶装置、64・・・通信装置、65・・・入力装置、66・・・出力装置、67・・・読取装置、68・・・可搬性を有する記憶媒体。
11 1 , 11 m ... terminal device, 12 1 , 12 k ... service providing device, 12 1 , 12 n ... certificate authority device, 14 ... network, 15 ... joint signature verification device, 20a, 30a, 40a, 50a ... processing unit, 20b, 30b, 40b, 50b ... storage unit, 20c, 30c, 40c, 50c ... input / output unit, 20d, 30d, 40d, 50d ... Communication unit, 21 ... service application unit, 22 ... digital signature generation unit, 23 ... service request unit, 24 ... authentication information generation unit, 25 ... service execution unit, 26 ... certification Document / key holding unit, 27... Service providing destination information holding unit, 31... Account management unit, 32... Electronic signature verification unit, 33. Identification unit, 35... Authentication information verification unit, 36.
Claims (19)
記憶装置と処理装置とを具備し、
前記処理装置は、
前記端末装置からサービス利用申請書、電子署名及び署名用証明書を受信し、
前記署名用証明書の有効性確認要求を前記認証局装置に送信し、
前記認証局装置から前記署名用証明書の有効性確認結果を受信し、
前記署名用証明書に紐付く認証用証明書を特定する情報を、前記認証局装置に要求し、
前記認証局装置から前記認証用証明書特定情報を受信し、
前記認証用証明書を発行した認証局装置の名称と前記認証用証明書特定情報を含む、利用者固有の情報を作成して前記記憶装置に格納すると共に、前記利用者固有の情報を作成した旨を前記端末装置に通知する、
ことを特徴とするサービス提供装置。 A service providing device connected to a terminal device and a certificate authority device via a network,
A storage device and a processing device;
The processor is
Receiving a service use application, electronic signature and signature certificate from the terminal device;
Sending the validity check request for the signing certificate to the certificate authority device,
Receiving the validity check result of the signing certificate from the certificate authority device;
Requesting the certificate authority device for information identifying an authentication certificate associated with the signature certificate;
Receiving the authentication certificate specifying information from the certificate authority device;
The user-specific information including the name of the certificate authority device that issued the authentication certificate and the authentication certificate specifying information is created and stored in the storage device, and the user-specific information is created. Notify the terminal device to that effect,
A service providing apparatus characterized by that.
ことを特徴とする請求項1に記載のサービス提供装置。 The notification information includes address information of an area allocated to the user.
The service providing apparatus according to claim 1.
前記端末装置からサービス要求を受信し、
前記利用者の認証が済んでいる場合に、前記受信したサービス要求に含まれる前記アドレス情報に基づいて、当該利用者の情報を取得し、前記端末装置に送信する、
ことを特徴とする請求項2に記載のサービス提供装置。 The processor is
Receiving a service request from the terminal device;
If the user has been authenticated, the user information is acquired based on the address information included in the received service request, and transmitted to the terminal device.
The service providing apparatus according to claim 2.
前記端末装置からサービス要求を受信し、
前記利用者の認証が済んでいない場合に、前記認証用証明書から該認証用証明書を特定する情報を取得し、
前記記憶装置に当該利用者固有の情報が無い場合に、前記端末装置から受信した認証用証明書の、一世代前の認証用証明書特定情報を前記認証局装置に要求し、
前記認証局装置から、前記一世代前の前記認証用証明書の情報を受信し、
前記記憶装置に該当認証用証明書の情報がある場合に、該記憶装置における認証用証明書の情報を、前記受信した認証用証明書の情報に更新する、
ことを特徴とする請求項3に記載のサービス提供装置。 The processor is
Receiving a service request from the terminal device;
If the user has not been authenticated, obtain information identifying the authentication certificate from the authentication certificate;
When there is no user-specific information in the storage device, the certificate authority device requests authentication certificate specifying information of the previous generation of the authentication certificate received from the terminal device,
From the certificate authority device, the information of the certificate for authentication of the previous generation is received,
If there is information on the corresponding authentication certificate in the storage device, update the authentication certificate information in the storage device to the received authentication certificate information;
The service providing apparatus according to claim 3.
記憶装置と処理装置とを具備し、
前記処理装置は、
前記端末装置からサービス利用申請書、電子署名及び署名用証明書を受信し、
前記署名用証明書の有効性確認、及び、前記署名用証明書に紐付く認証用証明書を特定する情報を、前記認証局装置に要求し、
前記認証局装置から前記署名用証明書の有効性確認結果、及び、前記署名用証明書に紐付く認証用証明書を特定する情報を受信し、
前記認証用証明書を発行した認証局装置の名称と前記認証用証明書特定情報を含む、利用者固有の情報を作成して前記記憶装置に格納すると共に、前記利用者固有の情報を作成した旨を前記端末装置に通知する、
ことを特徴とするサービス提供装置。 A service providing device connected to a terminal device and a certificate authority device via a network,
A storage device and a processing device;
The processor is
Receiving a service use application, electronic signature and signature certificate from the terminal device;
Requesting the certificate authority device to confirm the validity of the signing certificate and to specify information identifying the authentication certificate associated with the signing certificate;
Receiving the validity confirmation result of the signature certificate from the certificate authority device and information specifying the authentication certificate associated with the signature certificate;
The user-specific information including the name of the certificate authority device that issued the authentication certificate and the authentication certificate specifying information is created and stored in the storage device, and the user-specific information is created. Notify the terminal device to that effect,
A service providing apparatus characterized by that.
記憶装置と処理装置とを具備し、
前記処理装置は、
前記端末装置からサービス利用申請書、電子署名及び署名用証明書を受信し、
前記電子署名及び署名用証明書の有効性確認、及び、前記署名用証明書に紐付く認証用証明書を特定する情報を前記共同署名検証装置に要求し、
前記共同署名検証装置から前記電子署名及び署名用証明書の有効性確認結果と、前記認証用証明書を発行した認証局装置の名称及び前記認証用証明書特定情報からなる利用者識別情報と、を受信し、
前記認証用証明書を発行した認証局装置の名称と前記認証用証明書特定情報を含む、利用者固有の情報を作成して前記記憶装置に格納する、
ことを特徴とするサービス提供装置。 A service providing apparatus connected to a terminal apparatus and a joint signature verification apparatus via a network,
A storage device and a processing device;
The processor is
Receiving a service use application, electronic signature and signature certificate from the terminal device;
Requesting the collaborative signature verification device for the validity check of the electronic signature and the signature certificate, and the information for specifying the authentication certificate associated with the signature certificate;
The identification result of the validity of the electronic signature and signature certificate from the joint signature verification device, the name of the certificate authority device that issued the authentication certificate, and the user identification information consisting of the authentication certificate specifying information; Receive
Creating user-specific information including the name of the certificate authority device that issued the authentication certificate and the authentication certificate specifying information, and storing the information in the storage device;
A service providing apparatus characterized by that.
前記端末装置から認証情報、認証用証明書を受信し、
前記認証情報と前記認証用証明書を含む利用者の認証及び識別の要求を前記共同署名検証装置に送信し、
前記共同署名検証装置から前記利用者の認証及び識別の結果を受信し、
前記受信した利用者の認証及び識別の結果に基づき、前記利用者の情報を前記端末装置へ送信する、
ことを特徴とする請求項6に記載のサービス提供装置。 The processor is
Receiving authentication information and authentication certificate from the terminal device;
A request for authentication and identification of a user including the authentication information and the authentication certificate is transmitted to the joint signature verification device;
Receiving the result of authentication and identification of the user from the joint signature verification device;
Based on the received authentication and identification results of the user, the user information is transmitted to the terminal device.
The service providing apparatus according to claim 6.
記憶装置と処理装置とを具備し、
前記処理装置は、
前記サービス提供装置から、電子署名及び署名用証明書の有効性確認、及び、前記署名用証明書に紐付く認証用証明書を特定する情報の要求を受信し、
前記受信した電子署名及び前記署名用証明書を検証し、
前記署名用証明書に紐付く認証用証明書特定情報を前記認証局装置から受信し、
前記認証用証明書を発行した認証局装置の名称及び前記認証用証明書特定情報からなる利用者識別情報を生成して、前記記憶装置に格納し、
前記電子署名及び署名用証明書の有効性確認結果と、前記認証用証明書を発行した認証局装置の名称及び前記認証用証明書特定情報からなる利用者識別情報と、を前記サービス提供装置へ送信する、
ことを特徴とする共同署名検証装置。 A joint signature verification apparatus connected to a certificate authority apparatus and a service providing apparatus via a network,
A storage device and a processing device;
The processor is
Receiving from the service providing apparatus a request for information for identifying the validity of the electronic signature and the signature certificate, and identifying the authentication certificate associated with the signature certificate;
Verifying the received electronic signature and the signing certificate;
Receiving authentication certificate specifying information associated with the signature certificate from the certificate authority device;
Generate user identification information consisting of the name of the certificate authority device that issued the authentication certificate and the authentication certificate specifying information, and store it in the storage device,
Validity confirmation results of the electronic signature and signature certificate, and the user identification information including the name of the certificate authority apparatus that issued the authentication certificate and the authentication certificate specifying information are sent to the service providing apparatus. Send,
The joint signature verification apparatus characterized by the above.
前記サービス提供装置から、前記認証情報と前記認証用証明書を含む利用者の認証及び識別の要求を受信し、
前記受信した認証情報及び認証用証明書を検証し、
前記利用者の認証及び識別の結果を前記サービス提供装置に送信する、
ことを特徴とする請求項8に記載の共同署名検証装置。 The processor is
Receiving a request for authentication and identification of a user including the authentication information and the authentication certificate from the service providing apparatus;
Verify the received authentication information and authentication certificate;
Transmitting the result of authentication and identification of the user to the service providing device;
The joint signature verification apparatus according to claim 8.
前記サービス提供装置は、記憶装置と処理装置とを具備し、
前記処理装置により、
前記端末装置からサービス利用申請書、電子署名及び署名用証明書を受信し、
前記署名用証明書の有効性確認要求を前記認証局装置に送信し、
前記認証局装置から前記署名用証明書の有効性確認結果を受信し、
前記署名用証明書に紐付く認証用証明書を特定する情報を、前記認証局装置に要求し、
前記認証局装置から前記認証用証明書特定情報を受信し、
前記認証用証明書を発行した認証局装置の名称と前記認証用証明書特定情報を含む、利用者固有の情報を作成して前記記憶装置に格納すると共に、前記利用者固有の情報を作成した旨を前記端末装置に通知する、
ことを特徴とする利用者の識別・認証方法。 A user identification / authentication method in a service providing apparatus connected to a terminal apparatus and a certificate authority apparatus via a network,
The service providing apparatus includes a storage device and a processing device,
By the processing device,
Receiving a service use application, electronic signature and signature certificate from the terminal device;
Sending the validity check request for the signing certificate to the certificate authority device,
Receiving the validity check result of the signing certificate from the certificate authority device;
Requesting the certificate authority device for information identifying an authentication certificate associated with the signature certificate;
Receiving the authentication certificate specifying information from the certificate authority device;
The user-specific information including the name of the certificate authority device that issued the authentication certificate and the authentication certificate specifying information is created and stored in the storage device, and the user-specific information is created. Notify the terminal device to that effect,
A user identification and authentication method characterized by the above.
ことを特徴とする請求項10に記載の利用者の識別・認証方法。 The notification information includes address information of an area allocated to the user.
The method for identifying and authenticating a user according to claim 10.
前記端末装置からサービス要求を受信し、
前記利用者の認証が済んでいる場合に、前記受信したサービス要求に含まれる前記アドレス情報に基づいて、当該利用者の情報を取得し、前記端末装置に送信する、
ことを特徴とする請求項11に記載の利用者の識別・認証方法。 By the processing device,
Receiving a service request from the terminal device;
If the user has been authenticated, the user information is acquired based on the address information included in the received service request, and transmitted to the terminal device.
12. The user identification / authentication method according to claim 11.
前記端末装置からサービス要求を受信し、
前記利用者の認証が済んでいない場合に、前記認証用証明書から該認証用証明書を特定する情報を取得し、
前記記憶装置に当該利用者固有の情報が無い場合に、前記端末装置から受信した認証用証明書の、一世代前の認証用証明書特定情報を前記認証局装置に要求し、
前記認証局装置から、前記一世代前の前記認証用証明書の情報を受信し、
前記記憶装置に該当認証用証明書の情報がある場合に、該記憶装置における認証用証明書の情報を、前記受信した認証用証明書の情報に更新する、
ことを特徴とする請求項12に記載の利用者の識別・認証方法。 By the processing device,
Receiving a service request from the terminal device;
If the user has not been authenticated, obtain information identifying the authentication certificate from the authentication certificate;
When there is no user-specific information in the storage device, the certificate authority device requests authentication certificate specifying information of the previous generation of the authentication certificate received from the terminal device,
From the certificate authority device, the information of the certificate for authentication of the previous generation is received,
If there is information on the corresponding authentication certificate in the storage device, update the authentication certificate information in the storage device to the received authentication certificate information;
13. The user identification / authentication method according to claim 12.
前記サービス提供装置は、記憶装置と処理装置とを具備し、
前記処理装置により、
前記端末装置からサービス利用申請書、電子署名及び署名用証明書を受信し、
前記署名用証明書の有効性確認、及び、前記署名用証明書に紐付く認証用証明書を特定する情報を前記認証局装置に要求し、
前記認証局装置から前記署名用証明書の有効性確認結果、及び、前記署名用証明書に紐付く認証用証明書、を特定する情報を受信し、
前記認証用証明書を発行した認証局装置の名称と前記認証用証明書特定情報を含む、利用者固有の情報を作成して前記記憶装置に格納すると共に、前記利用者固有の情報を作成した旨を前記端末装置に通知する、
ことを特徴とする利用者の識別・認証方法。 A user identification / authentication method in a service providing apparatus connected to a terminal apparatus and a certificate authority apparatus via a network,
The service providing apparatus includes a storage device and a processing device,
By the processing device,
Receiving a service use application, electronic signature and signature certificate from the terminal device;
Requesting the certificate authority device to confirm the validity of the signing certificate and to specify information for specifying the authentication certificate associated with the signing certificate;
Receiving the information for identifying the validity check result of the signature certificate and the authentication certificate associated with the signature certificate from the certificate authority device;
The user-specific information including the name of the certificate authority device that issued the authentication certificate and the authentication certificate specifying information is created and stored in the storage device, and the user-specific information is created. Notify the terminal device to that effect,
A user identification and authentication method characterized by the above.
前記サービス提供装置は、記憶装置と処理装置とを具備し、
前記処理装置により、
前記端末装置からサービス利用申請書、電子署名及び署名用証明書を受信し、
前記電子署名及び署名用証明書の有効性確認、及び、前記署名用証明書に紐付く認証用証明書を特定する情報を前記共同署名検証装置に要求し、
前記共同署名検証装置から前記電子署名及び署名用証明書の有効性確認結果と、前記認証用証明書を発行した認証局装置の名称及び前記認証用証明書特定情報からなる利用者識別情報と、を受信し、
前記認証用証明書を発行した認証局装置の名称と前記認証用証明書特定情報を含む、利用者固有の情報を作成して前記記憶装置に格納する、
ことを特徴とする利用者の識別・認証方法。 A method for identifying and authenticating a user in a service providing apparatus connected to a terminal apparatus and a joint signature verification apparatus via a network,
The service providing apparatus includes a storage device and a processing device,
By the processing device,
Receiving a service use application, electronic signature and signature certificate from the terminal device;
Requesting the collaborative signature verification device for the validity check of the electronic signature and the signature certificate, and the information for specifying the authentication certificate associated with the signature certificate;
The identification result of the validity of the electronic signature and signature certificate from the joint signature verification device, the name of the certificate authority device that issued the authentication certificate, and the user identification information consisting of the authentication certificate specifying information; Receive
Creating user-specific information including the name of the certificate authority device that issued the authentication certificate and the authentication certificate specifying information, and storing the information in the storage device;
A user identification and authentication method characterized by the above.
前記端末装置から認証情報、認証用証明書を受信し、
前記認証情報と前記認証用証明書を含む利用者の認証及び識別の要求を前記共同署名検証装置に送信し、
前記共同署名検証装置から前記利用者の認証及び識別の結果を受信し、
前記受信した利用者の認証及び識別の結果に基づき、前記利用者の情報を前記端末装置へ送信する、
ことを特徴とする請求項15に記載の利用者の識別・認証方法。 By the processing device,
Receiving authentication information and authentication certificate from the terminal device;
A request for authentication and identification of a user including the authentication information and the authentication certificate is transmitted to the joint signature verification device;
Receiving the result of authentication and identification of the user from the joint signature verification device;
Based on the received authentication and identification results of the user, the user information is transmitted to the terminal device.
The method for identifying and authenticating a user according to claim 15.
前記共同署名検証装置は、記憶装置と処理装置とを具備し、
前記処理装置により、
前記サービス提供装置から、電子署名及び署名用証明書の有効性確認、及び、前記署名用証明書に紐付く認証用証明書を特定する情報の要求を受信し、
前記受信した電子署名及び前記署名用証明書を検証し、
前記署名用証明書に紐付く認証用証明書特定情報を前記認証局装置から受信し、
前記認証用証明書を発行した認証局装置の名称及び前記認証用証明書特定情報からなる利用者識別情報を生成して、前記記憶装置に格納し、
前記電子署名及び署名用証明書の有効性確認結果と、前記認証用証明書を発行した認証局装置の名称及び前記認証用証明書特定情報からなる利用者識別情報と、を前記サービス提供装置へ送信する、
ことを特徴とする利用者の識別・認証方法。 A user identification / authentication method in a joint signature verification apparatus connected to a certificate authority apparatus and a service providing apparatus via a network,
The joint signature verification device comprises a storage device and a processing device,
By the processing device,
Receiving from the service providing apparatus a request for information for identifying the validity of the electronic signature and the signature certificate, and identifying the authentication certificate associated with the signature certificate;
Verifying the received electronic signature and the signing certificate;
Receiving authentication certificate specifying information associated with the signature certificate from the certificate authority device;
Generate user identification information consisting of the name of the certificate authority device that issued the authentication certificate and the authentication certificate specifying information, and store it in the storage device,
Validity confirmation results of the electronic signature and signature certificate, and the user identification information including the name of the certificate authority apparatus that issued the authentication certificate and the authentication certificate specifying information are sent to the service providing apparatus. Send,
A user identification and authentication method characterized by the above.
前記サービス提供装置から、前記認証情報と前記認証用証明書を含む利用者の認証及び識別の要求を受信し、
前記受信した認証情報及び認証用証明書を検証し、
前記利用者の認証及び識別の結果を前記サービス提供装置に送信する、
ことを特徴とする請求項17に記載の利用者の識別・認証方法。 By the processing device,
Receiving a request for authentication and identification of a user including the authentication information and the authentication certificate from the service providing apparatus;
Verify the received authentication information and authentication certificate;
Transmitting the result of authentication and identification of the user to the service providing device;
The user identification / authentication method according to claim 17.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012086949A JP5743946B2 (en) | 2012-04-06 | 2012-04-06 | Service providing apparatus, joint signature verification apparatus, user identification / authentication method and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012086949A JP5743946B2 (en) | 2012-04-06 | 2012-04-06 | Service providing apparatus, joint signature verification apparatus, user identification / authentication method and program |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015085533A Division JP5899351B2 (en) | 2015-04-20 | 2015-04-20 | Certificate authority apparatus, certificate update apparatus, and certificate management method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2013218446A true JP2013218446A (en) | 2013-10-24 |
JP5743946B2 JP5743946B2 (en) | 2015-07-01 |
Family
ID=49590487
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012086949A Active JP5743946B2 (en) | 2012-04-06 | 2012-04-06 | Service providing apparatus, joint signature verification apparatus, user identification / authentication method and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5743946B2 (en) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2018007011A (en) * | 2016-07-01 | 2018-01-11 | 富士通株式会社 | Certificate generation system, information processor, certificate generation device, certificate generation method, and program |
US10693324B2 (en) | 2015-12-02 | 2020-06-23 | Robert Bosch Gmbh | Monitoring device for monitoring an inductive energy transmission device |
CN112651036A (en) * | 2020-12-31 | 2021-04-13 | 厦门亿力吉奥信息科技有限公司 | Identity authentication method based on collaborative signature and computer readable storage medium |
JP7058930B2 (en) | 2015-11-28 | 2022-04-25 | キヤノン株式会社 | Information processing device, control method of information processing device, program, and storage medium |
WO2023062809A1 (en) * | 2021-10-15 | 2023-04-20 | 富士通株式会社 | Authentication program, authentication device, and authentication method |
JP7480237B2 (en) | 2022-09-26 | 2024-05-09 | セイコーソリューションズ株式会社 | Information processing device, program, information processing system, and information processing method |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003233594A (en) * | 2002-02-06 | 2003-08-22 | Sony Corp | Access right management system, access right management method, access right management program and recording medium recording access right management program |
JP2006074425A (en) * | 2004-09-02 | 2006-03-16 | Mitsubishi Electric Corp | Public key certificate verification device, public key certificate verification method, and program |
JP2008022526A (en) * | 2006-06-13 | 2008-01-31 | Hitachi Ltd | Attribute certificate verification method, attribute authority apparatus, service providing apparatus, and attribute certificate verification system |
JP2010220175A (en) * | 2009-03-19 | 2010-09-30 | Hitachi Government & Public Corporation System Engineering Ltd | Communication system, certificate verifying apparatus and service providing method |
-
2012
- 2012-04-06 JP JP2012086949A patent/JP5743946B2/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003233594A (en) * | 2002-02-06 | 2003-08-22 | Sony Corp | Access right management system, access right management method, access right management program and recording medium recording access right management program |
JP2006074425A (en) * | 2004-09-02 | 2006-03-16 | Mitsubishi Electric Corp | Public key certificate verification device, public key certificate verification method, and program |
JP2008022526A (en) * | 2006-06-13 | 2008-01-31 | Hitachi Ltd | Attribute certificate verification method, attribute authority apparatus, service providing apparatus, and attribute certificate verification system |
JP2010220175A (en) * | 2009-03-19 | 2010-09-30 | Hitachi Government & Public Corporation System Engineering Ltd | Communication system, certificate verifying apparatus and service providing method |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP7058930B2 (en) | 2015-11-28 | 2022-04-25 | キヤノン株式会社 | Information processing device, control method of information processing device, program, and storage medium |
US10693324B2 (en) | 2015-12-02 | 2020-06-23 | Robert Bosch Gmbh | Monitoring device for monitoring an inductive energy transmission device |
JP2018007011A (en) * | 2016-07-01 | 2018-01-11 | 富士通株式会社 | Certificate generation system, information processor, certificate generation device, certificate generation method, and program |
CN112651036A (en) * | 2020-12-31 | 2021-04-13 | 厦门亿力吉奥信息科技有限公司 | Identity authentication method based on collaborative signature and computer readable storage medium |
CN112651036B (en) * | 2020-12-31 | 2022-05-27 | 厦门亿力吉奥信息科技有限公司 | Identity authentication method based on collaborative signature and computer readable storage medium |
WO2023062809A1 (en) * | 2021-10-15 | 2023-04-20 | 富士通株式会社 | Authentication program, authentication device, and authentication method |
JP7480237B2 (en) | 2022-09-26 | 2024-05-09 | セイコーソリューションズ株式会社 | Information processing device, program, information processing system, and information processing method |
Also Published As
Publication number | Publication date |
---|---|
JP5743946B2 (en) | 2015-07-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
AU2022204148B2 (en) | Methods and apparatus for providing blockchain participant identity binding | |
EP3424176B1 (en) | Systems and methods for distributed data sharing with asynchronous third-party attestation | |
US9264236B2 (en) | Embedded extrinsic source for digital certificate validation | |
JP7228977B2 (en) | Information processing device, authorization system and verification method | |
JP5743946B2 (en) | Service providing apparatus, joint signature verification apparatus, user identification / authentication method and program | |
KR100697133B1 (en) | Method of supporting exchanging of electronic documents with electronic signature and information processing device | |
JP4474845B2 (en) | Authentication infrastructure system with CRL issue notification function | |
JP6675163B2 (en) | Authority transfer system, control method of authorization server, authorization server and program | |
JP2007518324A (en) | Establishing a secure context for communicating messages between computer systems | |
CN104054321A (en) | Security management for cloud services | |
Basney et al. | An OAuth service for issuing certificates to science gateways for TeraGrid users | |
JP2019040537A (en) | Identification information providing method and identification information providing server | |
JP5012574B2 (en) | Common key automatic sharing system and common key automatic sharing method | |
JP2011221729A (en) | Id linking system | |
JP2012181662A (en) | Account information cooperation system | |
JP5899351B2 (en) | Certificate authority apparatus, certificate update apparatus, and certificate management method | |
CN105379176A (en) | System and method for validating SCEP certificate enrollment requests | |
JP2021002717A (en) | Certificate issuing device, verification device, communication apparatus, certificate issuing system, certificate issuing method, and program | |
WO2022123745A1 (en) | Certificate issuance assist system, certificate issuance assistance method, and program | |
Gouveia et al. | E-id authentication and uniform access to cloud storage service providers | |
WO2010107298A2 (en) | Method of generating a proxy certificate | |
JP2018007011A (en) | Certificate generation system, information processor, certificate generation device, certificate generation method, and program | |
JP2017152877A (en) | Electronic key re-registration system, electronic key re-registration method, and program | |
JP5018849B2 (en) | Authentication infrastructure system with CRL issue notification function | |
JP7351873B2 (en) | Information processing device, information processing method, and information processing program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20140513 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20141226 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150127 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150319 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150407 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150428 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 5743946 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |