JP2014082584A - 認証基盤システム - Google Patents
認証基盤システム Download PDFInfo
- Publication number
- JP2014082584A JP2014082584A JP2012228151A JP2012228151A JP2014082584A JP 2014082584 A JP2014082584 A JP 2014082584A JP 2012228151 A JP2012228151 A JP 2012228151A JP 2012228151 A JP2012228151 A JP 2012228151A JP 2014082584 A JP2014082584 A JP 2014082584A
- Authority
- JP
- Japan
- Prior art keywords
- electronic certificate
- server
- application
- server device
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】高度な真正性を確保することが可能な認証基盤システムを提供する。
【解決手段】クライアント装置1が、アプリケーションサーバ3が提供するサービスの利用申請を、アプリケーションサーバ3に、所定の認証を必要とする事象とともに送信すると、アプリケーションサーバ3が、前記所定の認証を必要とする事象を、前記利用申請を受信して電子証明書の発行の申請を代理する権限が与えられた旨を示す情報とともに、前記PKIデータベース2に送信する。前記PKIデータベース2は、前記所定の認証を必要とする事象について正当性を確認する処理と、前記アプリケーションサーバ3が電子証明書の発行の申請を代理することについての正当性を確認する処理と、を行う。前記PKIデータベース2が、前記2つの正当性について確認するとクライアント装置1に電子証明書を発行する。
【選択図】図1
【解決手段】クライアント装置1が、アプリケーションサーバ3が提供するサービスの利用申請を、アプリケーションサーバ3に、所定の認証を必要とする事象とともに送信すると、アプリケーションサーバ3が、前記所定の認証を必要とする事象を、前記利用申請を受信して電子証明書の発行の申請を代理する権限が与えられた旨を示す情報とともに、前記PKIデータベース2に送信する。前記PKIデータベース2は、前記所定の認証を必要とする事象について正当性を確認する処理と、前記アプリケーションサーバ3が電子証明書の発行の申請を代理することについての正当性を確認する処理と、を行う。前記PKIデータベース2が、前記2つの正当性について確認するとクライアント装置1に電子証明書を発行する。
【選択図】図1
Description
本発明は、認証基盤システムに関し、特に、PKIを利用した認証基盤システムに関する。
電子商取引においては、取引相手の実在や、取引時刻や場所に改ざんがないことなどを証明する技術が不可欠である。情報の真正性を確保するための要素技術は、例えば、公開鍵暗号方式のように古くから研究がなされており、公知公用のものも多い。先行技術文献として、時刻や位置の情報の真正性を確保するための技術が記載された特許文献1と2を挙げる。
特許文献1には、コンピュータの処理情報の処理時刻として、高精度かつ高信頼の時刻を提供しようとする技術が記載されている。具体的には、ネットワーク上から取得される信頼できる時刻と同期させることで時計の精度を上げている。またそのような時刻を証明時刻として発行し、認証することも記載されている。コンピュータの処理情報の処理時刻となる高精度かつ改竄されることのない高信頼の証明時刻を発行するための一従来技術である。
他方、特許文献2には、会社の出退勤管理などに実施可能な技術として、出勤又は退勤の認定をしようとする時刻情報と、そのときに被管理者が所持する通信装置の位置情報とを取得し、前記認定をする又はしないという判定を行うことが記載されている。時刻情報と位置情報という二つの情報の真正性が確保された場合に、すぐれた出退勤管理が可能となる応用例の一つである。
従来、PKI(Public Key Infrastructure)、公開鍵暗号基盤という公開鍵暗号方式を使って暗号か通信やユーザ認証を行うための仕組みが知られている。また、上述のように、時刻情報の真正性を確保する技術についても、種々のものが開示されている。
しかしながら、従来技術においては、時刻情報や位置情報の真正性の認証を受けようとする被認証者(厳密に言うと、人に限らず物でもよい)自身の真正性も確保した上で一連の処理を行う組み合わせが開示されていない。また、そのような認証を行うための認証基盤として、適切なものがなかった。
そこで本発明は、上記実情に鑑みて、高度な真正性を確保することが可能な認証基盤システムを提供することを目的とする。
上記目的を達成するために本発明は、クライアント装置と第1のサーバ装置と第2のサーバ装置とを含む認証基盤システムであって、登録フェイズにおいて、前記クライアント装置が、前記第1のサーバ装置が提供するサービスの利用申請を、前記第1のサーバ装置に、所定の認証を必要とする事象とともに送信すると、前記第1のサーバ装置が、前記所定の認証を必要とする事象を、前記利用申請を受信して電子証明書の発行の申請を代理する権限が与えられた旨を示す情報とともに、前記第2のサーバ装置に送信し、前記第2のサーバ装置が、前記所定の認証を必要とする事象について正当性を確認する処理と、前記第1のサーバ装置が電子証明書の発行の申請を代理することについての正当性を、前記利用申請を受信して電子証明書の発行の申請を代理する権限が与えられた旨を示す情報に基づいて確認する処理と、を行い、前記第2のサーバ装置が、前記2つの正当性について確認すると前記クライアント装置に電子証明書を発行し、サービス利用フェイズにおいて、前記クライアント装置が、前記電子証明書とともに前記第1のサーバ装置に前記サービスを利用する通信を行うと、前記第1のサーバ装置は、前記電子証明書が失効しているか否かを前記第2のサーバ装置に問い合わせ、失効していない場合に、前記クライアント装置に対して前記サービスを提供することを特徴とする認証基盤システムを提供する。
本発明によれば、高度な真正性を確保することが可能な認証基盤システムを提供することが可能となる。
以下、本発明の実施形態について図面を参照しながら説明する。
図1に、本実施形態のネットワーク全体の構成を示す。図1に示すように、本実施形態のネットワーク全体は、クライアント装置1とPKIデータベース2とアプリケーションサーバ3とがネットワークを介して相互に通信可能に接続されている。
ネットワークの種類や物理層の接続インタフェースなどに特に限定はない。図1には、一例としてインターネットを媒介とする例を示した。また、上記3つのブロック以外の機能ブロックが本実施形態のネットワークに存在していてもよい。図1には、一例として各ブロックとインターネットとの間にルータが設置している状態を示した。
クライアント装置1としては、電子証明書をハンドリングできるデバイスであればどのようなものでもよく、具体例としては、ノートブック型パーソナルコンピュータが挙げられる。他の形態としては、例えば、デスクトップ型パーソナルコンピュータ、ワークステーション、スレート型端末、タブレット型パーソナルコンピュータ、スマートフォン、スマートパッドなど、本発明を適用できることが当業者にとって明らかな、あらゆる形態が考えられる。
クライアント装置1には、着脱可能な記憶媒体であるキー11が挿入される。キー11として、物理的には、例えば、USB(Universal Serial Bus)メモリを用いることができる。この場合、USBメモリは、USBトークンと呼ばれることもある。キー11には、このキー11の所有者ないし占有者の電子証明書12又は13と、PKIマネージャソフトウェアとが記憶されている。
電子証明書とPKIマネージャソフトウェアは、別の実施形態においては、クライアント装置1にインストールされている。
また、キー11が記憶する電子証明書12又は13は、後述する「登録フェイズ」を経て、PKIデータベース2より電子証明書が発行されて初めて、得られるものである。
図2に、本実施形態の処理の流れを示す。
図2のS101からS105を「登録フェイズ」と呼ぶ。一方で、S106からS109までを「サービス利用フェイズ」と呼ぶ。登録フェイズにおいて、PKIデータベース2は、この認証基盤システムにおける登録局として機能する。また、サービス利用フェイズにおいて、PKIデータベース2は、サービス提供事業者向けに認証情報を提供するサーバとして機能し、アプリケーションサーバ3は、サービス提供事業者として機能する。
図2のS101からS105を「登録フェイズ」と呼ぶ。一方で、S106からS109までを「サービス利用フェイズ」と呼ぶ。登録フェイズにおいて、PKIデータベース2は、この認証基盤システムにおける登録局として機能する。また、サービス利用フェイズにおいて、PKIデータベース2は、サービス提供事業者向けに認証情報を提供するサーバとして機能し、アプリケーションサーバ3は、サービス提供事業者として機能する。
登録フェイズにおいては、まず、クライアント装置1が、アプリケーションサーバ3が提供するサービスの利用申請を、アプリケーションサーバ3に、所定の認証を必要とする事象とともに送信する(S101)。
ここで、「所定の認証を必要とする事象」とは、クライアント装置1のユーザなどのサービスの「利用主体」とアプリケーションサーバ3の運営者とが電子商取引等のサービスを正常に遂行するために必要な事象である。利用主体とは、真正性の認証を受けようとする被認証者であり、厳密に言うと、人に限らず物でもよい。本実施形態では、そのような事象は、利用主体そのものの実在性、本人性(実物性)がまず挙げられる。他には、利用主体の所在する場所が挙げられる。場所について詳細に言うと、緯度と経度で表せるような平面的な情報に加え、さらに、ビルの何階にいるか、というような立体的な情報も含むことが好ましい。
上記所定の認証を必要とする事象としては、他に、利用しようとする時刻に紐付けられる時間が挙げられる。これは、サービスを利用とする時刻そのものを含み、その時刻から所定の時間が経った時間や、その時刻に相当する世界標準時など、利用しようとする時刻に紐付けられる時間であればどのような時間情報でもよい。
また、サービスの利用申請には、当該利用申請を受信したサーバに電子証明書の発行の申請を代理する権限をクライアント装置1が与える旨を示す情報が含まれる。この情報を、以下、代理権限情報と呼ぶ。
登録フェイズにおいてクライアント装置1からアプリケーションサーバ3にサービスの利用申請が送信されると、アプリケーションサーバ3は、前記所定の認証を必要とする事象を、代理権限情報とともに、PKIデータベース2に送信する(S102)。この通信は、電子証明書の発行の申請である。
すると、PKIデータベース2は、前記所定の認証を必要とする事象について正当性を確認する処理と、アプリケーションサーバ3が電子証明書の発行の申請を代理することについての正当性を、代理権限情報に基づいて確認する処理と、を行う(S103)。図2では、前記所定の認証を必要とする事象について正当性を確認する処理について、本人性の確認だけを記載しているが、上述したところによるとこれに限られる物ではないことは言うまでもない。
次に、PKIデータベース2は、上記2つの正当性について確認するとクライアント装置1に電子証明書を発行する(S104)。この通信は、電子証明書の配付である。図3に、本実施形態における電子証明書の例を示す。
図3(a)に示す電子証明書12は、クライアント装置1のユーザの個人情報をPKIデータベース2で管理する場合のものである。図3(a)の場合、証明書のサブジェクトとして、この認証基盤システムにおいて利用する個人情報をすべて記載するとよい。
一方で、図3(b)に示す電子証明書12は、個人情報をサービス提供事業者が管理する場合のものである。この場合、PKIデータベース2からクライアント装置1に発行する電子証明書13には、証明書のサブジェクトとしてID識別子とサービス提供事業者の組織名程度しか記載しない。残りの個人情報は、PKIデータベース2からアプリケーションサーバ3に渡す認証情報14に含ませる。
本実施形態においては、図3(b)の場合のものを説明する。図2に示す本実施形態の処理の流れも図3(b)の場合のものを示している。サービスの利用主体の主要な個人情報を含む認証情報14は、認証情報の提供の際に、PKIデータベース2がアプリケーションサーバ3に送信する(S105)。
なお、S105は、登録フェイズの最後に限らず、S103の後であればS104と前後してもよい。また、サービス利用フェイズにおいて、S107の後に、S108と前後して又は同時になされてもよい。
図3(b)の場合では、アプリケーションサーバ3が複数ある場合に、クライアント装置1のユーザにとって、メリットがある。クライアント装置1のユーザであるサービスの利用主体は、個人情報がPKIデータベース2に一元管理されているので、複数の異なるアプリケーションサーバ3のサービス提供事業者に対して、それぞれに、自らの個人情報を渡して保管してもらう必要がなく、情報の漏洩のリスクを低減させることができる。
上述した登録フェイズにおいて、クライアント装置1には、図1に示すキー11内に電子証明書12又は13が記憶される。また、好ましくは、同時に、電子証明書12又は13を管理するためのPKIマネージャソフトウェアが、クライアント装置1又はキー11にインストールされる。サービス利用フェイズにおいては、このようにして記憶された電子証明書12又は13を利用してクライアント装置1とアプリケーションサーバ3の間で通信が行われ、電子商取引などサービスの提供がなされる。
図2のサービス利用フェイズにおいて、クライアント装置1は、電子証明書13(図3(b)の場合)とともにアプリケーションサーバ3にサービスを利用する通信を行う(S106)。この通信は、SSL/TLS相互認証接続によるものである。SSL(Secure Sockets Layer)及びTLS(Transport Layer Security)は、なりすまし防止と通信経路上の改ざん防止の暗号化のための技術である。
アプリケーションサーバ3は、PKIデータベース2に、送付された電子証明書13の失効情報の申請を行い(S107)、電子証明書13が失効しているか否かをPKIデータベース2に問い合わせる。PKIデータベース2は、これに返信し(S108)、アプリケーションサーバ3は、失効していない場合に、クライアント装置1に対してサービスを提供する(S109)。
上述した本実施形態によれば、高度な真正性を確保することが可能な認証基盤システムを提供することができる。とりわけ、被認証者(上記実施形態ではサービス利用主体)、当該被認証者が位置する場所の位置情報、当該被認証者が認証を申請する時刻に紐付けられた時間の時間情報の真正性が高度に確保できる。したがって、本実施形態によれば、人(厳密には人に限らず車などの物も含まれる)、時間、場所の真正性を高度かつ正確に認証することができる。
本発明は、人(厳密には人に限らず車などの物も含まれる)、時間、場所の真正性を高度かつ正確に確保した上で成立するビジネスへの応用が可能である。
1 クライアント装置
2 PKIデータベース
3 アプリケーションサーバ
11 キー
12,13 電子証明書
14 認証情報
2 PKIデータベース
3 アプリケーションサーバ
11 キー
12,13 電子証明書
14 認証情報
Claims (4)
- クライアント装置と第1のサーバ装置と第2のサーバ装置とを含む認証基盤システムであって、
登録フェイズにおいて、
前記クライアント装置が、前記第1のサーバ装置が提供するサービスの利用申請を、前記第1のサーバ装置に、所定の認証を必要とする事象とともに送信すると、
前記第1のサーバ装置が、前記所定の認証を必要とする事象を、前記利用申請を受信して電子証明書の発行の申請を代理する権限が与えられた旨を示す情報とともに、前記第2のサーバ装置に送信し、
前記第2のサーバ装置が、前記所定の認証を必要とする事象について正当性を確認する処理と、前記第1のサーバ装置が電子証明書の発行の申請を代理することについての正当性を、前記利用申請を受信して電子証明書の発行の申請を代理する権限が与えられた旨を示す情報に基づいて確認する処理と、を行い、
前記第2のサーバ装置が、前記2つの正当性について確認すると前記クライアント装置に電子証明書を発行し、
サービス利用フェイズにおいて、
前記クライアント装置が、前記電子証明書とともに前記第1のサーバ装置に前記サービスを利用する通信を行うと、
前記第1のサーバ装置は、前記電子証明書が失効しているか否かを前記第2のサーバ装置に問い合わせ、失効していない場合に、前記クライアント装置に対して前記サービスを提供する
ことを特徴とする認証基盤システム。 - 前記所定の認証を必要とする事象は、前記サービスの利用主体と、前記利用主体の所在する場所と、利用しようとする時刻に紐付けられる時間の、少なくとも2つ以上を含むことを特徴とする請求項1に記載の認証基盤システム。
- 前記第1のサーバ装置は、前記電子証明書により証明された事象に基づいて、前記サービスを提供することを特徴とする請求項2に記載の認証基盤システム。
- 前記第1のサーバは、前記第1のサーバの実在性の認証の申請を前記第2のサーバに対して行い、
前記第2のサーバは、前記第1のサーバの実在性を確認すると、前記第1のサーバにその旨を示す電子証明書を送信することを特徴とする請求項1から3のいずれか1項に記載の認証基盤システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012228151A JP2014082584A (ja) | 2012-10-15 | 2012-10-15 | 認証基盤システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012228151A JP2014082584A (ja) | 2012-10-15 | 2012-10-15 | 認証基盤システム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2014082584A true JP2014082584A (ja) | 2014-05-08 |
Family
ID=50786406
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012228151A Pending JP2014082584A (ja) | 2012-10-15 | 2012-10-15 | 認証基盤システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2014082584A (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2017516434A (ja) * | 2014-05-08 | 2017-06-15 | 華為技術有限公司Huawei Technologies Co.,Ltd. | 証明取得方法及び装置 |
| JP2017521971A (ja) * | 2014-05-08 | 2017-08-03 | 華為技術有限公司Huawei Technologies Co.,Ltd. | 証明書取得方法およびデバイス |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003067523A (ja) * | 2001-08-28 | 2003-03-07 | Nri & Ncc Co Ltd | 電子証明システム及び電子証明方法 |
| JP2004157890A (ja) * | 2002-11-08 | 2004-06-03 | Hitachi Ltd | 電子証券に関する代理申請システムならびに処理方法 |
| JP2008181166A (ja) * | 2005-04-22 | 2008-08-07 | Matsushita Electric Ind Co Ltd | 位置証明システム |
| JP2010056717A (ja) * | 2008-08-27 | 2010-03-11 | Gmo Global Sign Kk | サーバ証明書発行システム |
-
2012
- 2012-10-15 JP JP2012228151A patent/JP2014082584A/ja active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003067523A (ja) * | 2001-08-28 | 2003-03-07 | Nri & Ncc Co Ltd | 電子証明システム及び電子証明方法 |
| JP2004157890A (ja) * | 2002-11-08 | 2004-06-03 | Hitachi Ltd | 電子証券に関する代理申請システムならびに処理方法 |
| JP2008181166A (ja) * | 2005-04-22 | 2008-08-07 | Matsushita Electric Ind Co Ltd | 位置証明システム |
| JP2010056717A (ja) * | 2008-08-27 | 2010-03-11 | Gmo Global Sign Kk | サーバ証明書発行システム |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2017516434A (ja) * | 2014-05-08 | 2017-06-15 | 華為技術有限公司Huawei Technologies Co.,Ltd. | 証明取得方法及び装置 |
| JP2017521971A (ja) * | 2014-05-08 | 2017-08-03 | 華為技術有限公司Huawei Technologies Co.,Ltd. | 証明書取得方法およびデバイス |
| US10225246B2 (en) | 2014-05-08 | 2019-03-05 | Huawei Technologies Co., Ltd. | Certificate acquiring method and device |
| US10367647B2 (en) | 2014-05-08 | 2019-07-30 | Huawei Technologies Co., Ltd. | Certificate acquiring method and device |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3424176B1 (en) | Systems and methods for distributed data sharing with asynchronous third-party attestation | |
| JP2021536698A (ja) | 利用者識別認証データを管理する方法および装置 | |
| US9736146B2 (en) | Embedded extrinsic source for digital certificate validation | |
| RU2434340C2 (ru) | Инфраструктура верификации биометрических учетных данных | |
| KR100493885B1 (ko) | 공개키 기반 구조(pki) 도메인간의 이동 사용자를 위한스마트카드 인증서 등록 및 검증 시스템 및 방법 | |
| JP4470071B2 (ja) | カード発行システム、カード発行サーバ、カード発行方法およびプログラム | |
| AU2007286004B2 (en) | Compliance assessment reporting service | |
| JP2002032344A (ja) | コンテンツ提供方法及び装置 | |
| US20080209207A1 (en) | Automated certificate provisioning for non-domain-joined entities | |
| EP2957064B1 (en) | Method of privacy-preserving proof of reliability between three communicating parties | |
| KR20200061189A (ko) | V2x 통신을 위한 보안 인증 관리 시스템에서 eca와 dcm 사이를 중계하여 등록 인증서를 관리하기 위한 방법 및 장치 | |
| CN114666168B (zh) | 去中心化身份凭证验证方法、装置,以及,电子设备 | |
| CN103139210A (zh) | 一种安全认证方法 | |
| EP1912147A1 (en) | Method and apparatus for selling a digital resource | |
| CN106656507B (zh) | 一种基于移动终端的电子认证方法及装置 | |
| JP2014082584A (ja) | 認証基盤システム | |
| JP2010282446A (ja) | システム、管理サーバ、システムにおける方法 | |
| JP4350685B2 (ja) | 携帯端末装置および属性情報交換システム | |
| JP2015170303A (ja) | 取引管理システム、取引管理サーバ及びプログラム | |
| EP3188104A1 (en) | Peer-to-peer transaction authorization | |
| CN109685665B (zh) | 一种链下资产托管转让的系统和方法 | |
| JP4009131B2 (ja) | 共通テナント管理者によるicカード相互運用方法及びシステム | |
| US11870919B2 (en) | Method and system for authentication credential | |
| CN116349198B (zh) | 用于认证凭证的方法和系统 | |
| JP2014045233A (ja) | 電子証明書発行方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150925 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20151028 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20160127 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20160812 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20160921 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20170424 |