JP2014207521A - Authentication base system with user authority confirmation function - Google Patents

Authentication base system with user authority confirmation function Download PDF

Info

Publication number
JP2014207521A
JP2014207521A JP2013082954A JP2013082954A JP2014207521A JP 2014207521 A JP2014207521 A JP 2014207521A JP 2013082954 A JP2013082954 A JP 2013082954A JP 2013082954 A JP2013082954 A JP 2013082954A JP 2014207521 A JP2014207521 A JP 2014207521A
Authority
JP
Japan
Prior art keywords
user
authentication
authority
data
tally
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2013082954A
Other languages
Japanese (ja)
Other versions
JP6343425B2 (en
Inventor
伸明 近藤
Nobuaki Kondo
伸明 近藤
拓邦 満永
Takuho Mitsunaga
拓邦 満永
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to JP2013082954A priority Critical patent/JP6343425B2/en
Publication of JP2014207521A publication Critical patent/JP2014207521A/en
Application granted granted Critical
Publication of JP6343425B2 publication Critical patent/JP6343425B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Abstract

PROBLEM TO BE SOLVED: To permit a user to decode encrypted data only when user authority intending to decode the encrypted data is confirmed, to thereby prevent decoding by an unauthorized user.SOLUTION: An authentication base system 100 with user an authority confirmation function includes: a service provision system 4 for providing a user 500 to be authenticated by an authentication station 2 with a service necessary for decoding encrypted data; and a validity determination unit 300 for determining whether or not authentication of the user 500 by an authentication station 2 is valid when the user 500 attempts to use the service provision system 4. If the authentication of the user 500 is not performed using the validity determination unit 300, the service provision system 4 does not provide the service to the user 500.

Description

本発明は、認証局が認証する利用者に対して、有効期限内に失効させる必要がある利用者に対する利用者権限確認機能付き認証基盤システムに関する。   The present invention relates to an authentication infrastructure system with a user authority confirmation function for a user who needs to be revoked within a validity period for a user who is authenticated by a certificate authority.

従来、認証局が認証した利用者に対して、有効期限内に失効させる必要がある利用者に対して失効を行うためには、失効リストを使用した運用やOCSP(Online Certificate Status Protocol)を利用した運用方法が広く利用されている。インターネットを介して種々のサービスを提供するサービス提供システムは、利用者の有効性を確認するために、証明書の有効性を確認するだけではなく、失効リストに掲載がないか確認したり、OCSPを使用して利用者の有効性を確認したりするのが一般的である。   Conventionally, in order to revoke users who need to be revoked within the expiration date, users who have been authenticated by a certificate authority can use revocation lists or use OCSP (Online Certificate Status Protocol). The operation method is widely used. In order to check the validity of a user, a service providing system that provides various services via the Internet not only checks the validity of a certificate but also checks whether it is listed on a revocation list or OCSP. It is common to check the validity of a user by using.

このような利用者の有効性を確認するものとして特許文献1と特許文献2に開示された手法がある。特許文献1には、利用者間においてお互いに信用する認証サーバを使用して利用者を相互に認証して安全に暗号データの受け渡しを行う相互認証システムが開示されている。特許文献1では、秘密鍵と公開鍵から合成鍵を生成し認証サーバに保管し、認証サーバの発行した合成鍵の管理番号と公開鍵を相手利用者に送る。認証時には、相手利用者は送られてきた公開鍵と自身の持つ秘密鍵で合成鍵を生成し、認証サーバに登録されている合成鍵と一致するかを検証する方式である。   As methods for confirming the effectiveness of such a user, there are methods disclosed in Patent Document 1 and Patent Document 2. Patent Document 1 discloses a mutual authentication system in which users are mutually authenticated by using an authentication server that is mutually trusted among users, and encrypted data is delivered and received safely. In Patent Document 1, a composite key is generated from a secret key and a public key, stored in an authentication server, and the management number and public key of the composite key issued by the authentication server are sent to the other user. At the time of authentication, the other user generates a composite key using the sent public key and his / her private key, and verifies whether it matches the composite key registered in the authentication server.

特開2002−300155号公報Japanese Patent Laid-Open No. 2002-300155 特開2005−500740号公報JP 2005-500740 A

しかしながら、特許文献1と特許文献2に開示された手法は、システムが正常に稼働していることが前提となり、途中で通信の改ざん、ねつ造が行われた場合や、復号プログラムの解析や改ざんがなされた場合など、利用者の有効性が正しく確認できず、有効性のない利用者に対して有効性のある使用者と同じ処理を実行することができてしまう問題点がある。たとえば、企業に所属していた従業員が退職した際に、秘密鍵と電子証明書を持ち出して、秘密情報を入手し、復号する行為を防ぐことができないケースがある。   However, the methods disclosed in Patent Document 1 and Patent Document 2 are based on the premise that the system is operating normally, and when communication tampering or tampering is performed on the way, or when decryption program analysis or tampering is performed. In such a case, the validity of the user cannot be confirmed correctly, and there is a problem that the same processing as that of a valid user can be executed for an ineffective user. For example, when an employee who belongs to a company retires, there is a case where it is not possible to prevent the act of taking out a secret key and an electronic certificate, obtaining secret information, and decrypting it.

そこで本発明は、暗号データを復号しようとする利用者の権限を確認できた場合に限り、暗号データの復号を利用者に許可することで、権限のない利用者による復号を防止することができる利用者権限確認機能付き認証基盤システムの提供を目的とする。   Therefore, the present invention can prevent decryption by an unauthorized user by allowing the user to decrypt the encrypted data only when the authority of the user attempting to decrypt the encrypted data can be confirmed. The purpose is to provide an authentication infrastructure system with a user authority confirmation function.

(1) 本発明の利用者権限確認機能付き認証基盤システムは、認証局が認証する利用者に対して、暗号データの復号に必要なサービスを提供するサービス提供システムを備えた利用者権限確認機能付き認証基盤システムであって、前記利用者がサービス提供システムを利用するに当たり、前記利用者の認証局における認証が有効であるか否かを決定する有効性決定部を有し、前記有効性決定部を使用して前記利用者の認証を行わなければ、前記サービス提供システムが前記利用者に前記サービスを提供しないことを特徴とする。 (1) An authentication infrastructure system with a user authority confirmation function of the present invention is a user authority confirmation function provided with a service providing system for providing a service required for decryption of encrypted data to a user authenticated by a certificate authority. And a validity determining unit that determines whether or not authentication by the user's certificate authority is valid when the user uses the service providing system, and the validity determination The service providing system does not provide the service to the user unless the user is authenticated using the unit.

(2) 上記(1)の利用者権限確認機能付き認証基盤システムにおいては、前記利用者が暗号データを復号する権限を有するか否かを示す利用者認証チケットデータを生成するとともに、前記利用者認証チケットデータの一部である割符データを生成する暗号生成部と、前記割符データを記憶する権限管理局記憶部と、を備え、前記有効性決定部が、前記権限管理局記憶部に記憶されている割符データを使用して、前記利用者の認証局における認証が有効であるか否かを決定することが好ましい。 (2) In the authentication infrastructure system with a user authority confirmation function of (1) above, the user authentication ticket data indicating whether or not the user has the authority to decrypt the encrypted data is generated, and the user A cipher generation unit that generates tally data that is a part of the authentication ticket data; and an authority management station storage unit that stores the tally data; and the validity determination unit is stored in the authority management station storage unit The tally data is preferably used to determine whether authentication at the user's certificate authority is valid.

本発明によれば、暗号データを復号しようとする利用者の権限を確認できた場合に限り、暗号データの復号を利用者に許可することで、権限のない利用者による復号を防止することができる。   According to the present invention, it is possible to prevent decryption by an unauthorized user by permitting the user to decrypt the encrypted data only when the authority of the user attempting to decrypt the encrypted data can be confirmed. it can.

利用者権限確認機能付き認証基盤システムの概要を示す説明図である。It is explanatory drawing which shows the outline | summary of the authentication infrastructure system with a user authority confirmation function. 認証基盤システムの機能ブロック図である。It is a functional block diagram of an authentication infrastructure system. 利用者端末装置1Aの記憶部に記憶される認証情報の一例を示す説明図である。It is explanatory drawing which shows an example of the authentication information memorize | stored in the memory | storage part of 1 A of user terminal devices. 利用者端末装置1Bの記憶部に記憶される認証情報の一例を示す説明図である。It is explanatory drawing which shows an example of the authentication information memorize | stored in the memory | storage part of the user terminal device 1B. 権限管理局記憶部に記憶される認証情報の一例を示す説明図である。It is explanatory drawing which shows an example of the authentication information memorize | stored in an authority management station memory | storage part. 暗号生成部内に一時的に記憶される認証情報の一例を示す説明図である。It is explanatory drawing which shows an example of the authentication information memorize | stored temporarily in a encryption production | generation part. 復号実施部内に一時的に記憶される認証情報の一例を示す説明図である。It is explanatory drawing which shows an example of the authentication information memorize | stored temporarily in a decoding implementation part. 割符受付部内に一時的に記憶される認証情報の一例を示す説明図である。It is explanatory drawing which shows an example of the authentication information memorize | stored temporarily in a tally reception part. 利用者有効性確認部内に一時的に記憶される認証情報の一例を示す説明図である。It is explanatory drawing which shows an example of the authentication information memorize | stored temporarily in a user validity confirmation part. 利用者端末装置の暗号生成部が実行する暗号処理ルーチンのフローチャートを示す図である。It is a figure which shows the flowchart of the encryption processing routine which the encryption production | generation part of a user terminal device performs. 利用者端末装置の復号実施部が実行する復号処理ルーチンのフローチャートを示す図である。It is a figure which shows the flowchart of the decoding process routine which the decoding implementation part of a user terminal device performs. 権限管理局の割符受付部が実行する割符受付処理ルーチンのフローチャートを示す図である。It is a figure which shows the flowchart of the tally reception process routine which the tally reception part of an authority management station performs. 権限管理局の利用者有効性確認部が実行する利用者有効性確認処理ルーチンのフローチャートを示す図である。It is a figure which shows the flowchart of the user validity confirmation processing routine which the user validity confirmation part of an authority management station performs. 失効を確認する方法の1パターンを示す。One pattern of the method of confirming revocation is shown. 失効を確認する方法の1パターンを示す。One pattern of the method of confirming revocation is shown. 失効を確認する方法の1パターンを示す。One pattern of the method of confirming revocation is shown. 利用者認証チケットを複数に分割する場合の利用形態の1パターンを示す。One pattern of a use form in the case of dividing a user authentication ticket into a plurality is shown.

以下、図面を参照しつつ、本発明の一実施形態に係る利用者権限確認機能付き認証基盤システムを具体的に説明する。   Hereinafter, an authentication infrastructure system with a user authority confirmation function according to an embodiment of the present invention will be specifically described with reference to the drawings.

(利用者権限確認機能付き認証基盤システム100の全体構成)
図1に示すように、利用者権限確認機能付き認証基盤システム100は、利用者端末装置1と、認証局2と、認証局2を信頼する第三者である権限管理局3と、サービス提供システム4とを有している。 (Overall configuration of authentication infrastructure system 100 with user authority confirmation function)
As shown in FIG. 1, an authentication infrastructure system 100 with a user authority confirmation function includes a user terminal device 1, an authentication authority 2, an authority management authority 3 that is a third party who trusts the authentication authority 2, and a service provision System 4.

(利用者端末装置1の構成)
図1に示すように、利用者端末装置1(1A,1B)は、利用者500(本実施形態では、利用者500A,500B)がサービス提供システム4を利用するために使用する端末装置であり、権限管理局3を利用してサービス提供システム4を使用するための権限を管理可能に構成されている。図2に示すように、利用者端末装置1(1A,1B)は、記憶部101と、暗号生成部102と、復号実施部103と、サービス提供システムクライアント部104と、を有している。以下では、同一の組織に所属する複数の利用者500のうち、利用者500Aが利用者端末装置1Aを用いて暗号データを作成し、該暗号データを相手利用者500Bが利用者端末装置1Bを用いて復号する場合を説明する。なお、利用者端末装置1A,1Bは、本来なら、各構成要素(記憶部101,暗号生成部102,及び,復号実施部103)を特別に区別して説明する必要はないが、本実施形態では、利用者端末装置1Aの暗号生成部102で生成された暗号データを利用者端末装置1Bの復号実施部103で復号する動作を説明する都合上、利用者端末装置1Aの記憶部101Aに記憶される認証情報と、利用者端末装置1Bの記憶部101Bに記憶される認証情報と、を図3,4において区別して図示することを予め断わっておく。同様に、図6では、利用者端末装置1Aの暗号生成部102内の一時データのみを図示し、図7では、利用者端末装置1Bの復号実施部103内の一時データのみを図示することを予め断わっておく。 (Configuration of user terminal device 1)
As shown in FIG. 1, the user terminal device 1 (1A, 1B) is a terminal device used by a user 500 (users 500A, 500B in this embodiment) to use the service providing system 4. The authority for using the service providing system 4 by using the authority management station 3 can be managed. As illustrated in FIG. 2, the user terminal device 1 (1A, 1B) includes a storage unit 101, an encryption generation unit 102, a decryption execution unit 103, and a service providing system client unit 104. In the following, among a plurality of users 500 belonging to the same organization, the user 500A creates encrypted data using the user terminal device 1A, and the partner user 500B uses the user terminal device 1B as the encrypted data. The case where decoding is performed will be described. Note that the user terminal devices 1A and 1B are not originally required to be specifically distinguished from each other (the storage unit 101, the encryption generation unit 102, and the decryption execution unit 103), but in the present embodiment, For the convenience of describing the operation of decrypting the encrypted data generated by the encryption generation unit 102 of the user terminal device 1A by the decryption execution unit 103 of the user terminal device 1B, the operation is stored in the storage unit 101A of the user terminal device 1A. The authentication information stored in the storage unit 101B of the user terminal device 1B and the authentication information stored in the storage unit 101B of the user terminal device 1B are shown separately in FIGS. Similarly, FIG. 6 illustrates only temporary data in the encryption generation unit 102 of the user terminal device 1A, and FIG. 7 illustrates only temporary data in the decryption execution unit 103 of the user terminal device 1B. Decline in advance.

(記憶部101の構成)
図3及び図4に示すように、記憶部101は、利用者500の個人証明書12(PKI(Public Key Infrastructure)、IDベース暗号、属性ベース暗号等)、この個人証明書12に対応する秘密鍵10、公開鍵11、認証局2の公開鍵21、及び、認証局2の証明書22を記憶可能に構成されている。なお、記憶部101のうち秘密鍵10を記憶する箇所は、ICカード等の外部記憶装置であっても構わない。また、秘密鍵10を記憶する箇所が対タンパー性を備えることで、更にセキュリティ性能を高めることができる。 (Configuration of storage unit 101)
As shown in FIGS. 3 and 4, the storage unit 101 stores a personal certificate 12 (PKI (Public Key Infrastructure), ID-based encryption, attribute-based encryption, etc.) of the user 500 and a secret corresponding to the personal certificate 12. The key 10, the public key 11, the public key 21 of the certificate authority 2, and the certificate 22 of the certificate authority 2 can be stored. Note that the portion of the storage unit 101 that stores the secret key 10 may be an external storage device such as an IC card. In addition, the security performance can be further improved by providing the portion storing the secret key 10 with tamper resistance.

(暗号生成部102の構成)
暗号生成部102は、サービス提供システムクライアント部104からのリクエストを受けて暗号処理を実施し、その結果をサービス提供システムクライアント部104に返送可能に構成されている。さらに、暗号生成部102は、各種の認証情報を一時的に記憶可能に構成されている。図6は、暗号生成部102内に一時的に記憶される認証情報の一例を示す説明図である。図6に示すように、暗号生成部102の内部には、利用者の秘密鍵10A,利用者の公開鍵11A、相手利用者の公開鍵11B、利用者の個人証明書12A、相手利用者の個人証明書12B、利用者のID13A、及び、相手利用者のID13Bが一時記憶されている。暗号生成部102の内部には、さらに、秘密情報40、共通鍵41、暗号データ42、利用者認証チケットデータ43、割符データ46、及び、暗号データ48が一時記憶されている。 (Configuration of the encryption generation unit 102)
The cipher generation unit 102 is configured to receive a request from the service providing system client unit 104, perform cryptographic processing, and return the result to the service providing system client unit 104. Furthermore, the encryption generation unit 102 is configured to be able to temporarily store various types of authentication information. FIG. 6 is an explanatory diagram illustrating an example of authentication information temporarily stored in the encryption generation unit 102. As shown in FIG. 6, the encryption generation unit 102 includes a user private key 10A, a user public key 11A, a partner user public key 11B, a user personal certificate 12A, and a partner user's public key 11A. The personal certificate 12B, the user ID 13A, and the partner user ID 13B are temporarily stored. Further, secret information 40, common key 41, encrypted data 42, user authentication ticket data 43, tally data 46, and encrypted data 48 are temporarily stored in the encryption generation unit 102.

(復号実施部103の構成)
復号実施部103は、サービス提供システムクライアント部104からのリクエストを受けて復号処理を実施し、その結果をサービス提供システムクライアント部104に返送可能に構成されている。さらに、復号実施部103は、各種の認証情報を一時的に記憶可能に構成されている。図7は、復号実施部103内に一時的に記憶される認証情報の一例を示す説明図である。図7に示すように、復号実施部103の内部には、利用者の秘密鍵10B、利用者の証明書12B、利用者のID13B、認証局2の公開鍵21、及び、認証局2の証明書22が一時記憶されている。さらに、復号実施部103の内部には、暗号データ48、問合せデータ49、割符データ46、利用者認証チケットデータ43、共通鍵41、暗号データ42、及び、秘密情報40が一時記憶されている。 (Configuration of Decoding Implementation Unit 103)
The decryption execution unit 103 is configured to receive a request from the service providing system client unit 104, perform a decryption process, and return the result to the service providing system client unit 104. Furthermore, the decryption execution unit 103 is configured to be able to temporarily store various types of authentication information. FIG. 7 is an explanatory diagram showing an example of authentication information temporarily stored in the decryption execution unit 103. As shown in FIG. 7, the decryption execution unit 103 includes a user private key 10B, a user certificate 12B, a user ID 13B, a public key 21 of the certificate authority 2, and a certificate of the certificate authority 2. The book 22 is temporarily stored. Further, in the decryption execution unit 103, encrypted data 48, inquiry data 49, tally data 46, user authentication ticket data 43, common key 41, encrypted data 42, and secret information 40 are temporarily stored.

(サービス提供システムクライアント部104の構成)
サービス提供システムクライアント部104は、暗号生成部102に暗号処理を実施させるためのリクエストを暗号生成部102に送信したり、復号実施部103に復号処理を実施させるためのリクエストを送信したりするとともに、暗号生成部102又は復号実施部103の処理結果を受信可能に構成されている。 (Configuration of service providing system client unit 104)
The service providing system client unit 104 transmits a request for causing the encryption generation unit 102 to perform encryption processing to the encryption generation unit 102, and transmits a request for causing the decryption execution unit 103 to perform decryption processing. The processing result of the cipher generation unit 102 or the decryption execution unit 103 can be received.

(認証局2の構成)
認証局2は、公開鍵認証基盤やIDベース暗号方式、属性ベース暗号方式などで使用する一般的な認証局であって、サービス提供システム4を使用するための利用者500を認証可能に構成されている。図1及び図2に示すように、認証局2には、有効性情報20、認証局の公開鍵21、及び、認証局の証明書22が記憶されている。ここで、「有効性情報」とは、利用者500が暗号データを復号する権限を有することを示す情報であり、該利用者500の失効情報、有効期限などの属性情報が含まれる。 (Configuration of Certificate Authority 2)
The certificate authority 2 is a general certificate authority used in a public key authentication infrastructure, an ID-based encryption method, an attribute-based encryption method, and the like, and is configured to be able to authenticate a user 500 for using the service providing system 4. ing. As shown in FIGS. 1 and 2, the certificate authority 2 stores validity information 20, a certificate authority public key 21, and a certificate authority certificate 22. Here, “validity information” is information indicating that the user 500 has the authority to decrypt encrypted data, and includes attribute information such as revocation information and expiration date of the user 500.

(権限管理局3)
図1及び図2に示すように、権限管理局3は、サービス提供システム4を使用する利用者500の有効性を決定可能な有効性決定部300を有している。この有効性決定部300は、図2に示すように、権限管理局記憶部301と、割符受付部302と、利用者有効性確認部303と、を有している。 (Authority management station 3)
As shown in FIGS. 1 and 2, the authority management station 3 has an effectiveness determining unit 300 that can determine the effectiveness of the user 500 who uses the service providing system 4. As shown in FIG. 2, the validity determination unit 300 includes an authority management station storage unit 301, a tally reception unit 302, and a user validity confirmation unit 303.

(権限管理局記憶部301の構成)
権限管理局記憶部301は、図5に示すように、割符DB(Data Base)30を有している。図5に示すように、この割符DB30は、利用者端末装置1から送られるメッセージIDと割符データを記録可能に構成されている。 (Configuration of authority management station storage unit 301)
The authority management station storage unit 301 includes a tally DB (Data Base) 30 as shown in FIG. As shown in FIG. 5, the tally DB 30 is configured to be able to record the message ID and tally data sent from the user terminal device 1.

(割符受付部302の構成)
割符受付部302は、利用者端末装置1からの要求を受けて、割符データ46を記憶可能に構成されている。図8は、割符受付部302内に一時的に記憶される認証情報の一例を示す説明図である。図8に示すように、割符受付部302の内部には、割符データ46及びメッセージID47が一時記憶されている。 (Configuration of tally accepting unit 302)
The tally accepting unit 302 is configured to be able to store the tally data 46 in response to a request from the user terminal device 1. FIG. 8 is an explanatory diagram showing an example of authentication information temporarily stored in the tally accepting unit 302. As shown in FIG. 8, tally data 46 and a message ID 47 are temporarily stored in the tally accepting unit 302.

(利用者有効性確認部303の構成)
利用者有効性確認部303は、利用者端末装置1からの要求を受けて、利用者500の有効性を確認可能に構成されている。図9は、利用者有効性確認部303内に一時的に記憶される認証情報の一例を示す説明図である。図9に示すように、利用者有効性確認部303の内部には、問合せデータ49及び割符データ46が一時記憶されている。 (Configuration of user validity checking unit 303)
The user validity confirmation unit 303 is configured to be able to confirm the validity of the user 500 in response to a request from the user terminal device 1. FIG. 9 is an explanatory diagram showing an example of authentication information temporarily stored in the user validity checking unit 303. As shown in FIG. 9, inquiry data 49 and tally data 46 are temporarily stored in the user validity confirmation unit 303.

(サービス提供システム4の構成)
サービス提供システム4は、利用者端末装置1に組み込まれたサービス提供システムクライアント部104からの要求に基づいてサービスを提供可能に構成される。ここでの「サービス」とは、相手利用者(本実施形態では利用者500A)が作成した暗号データを利用者(本実施形態では利用者500B)が復号するに際し、暗号データの復号に必要なサービスをいい、たとえば、メールサーバのようにメッセージを中継蓄積するサービスの他にも、ファイル共有サーバやデータベースサーバの様にデータを蓄積し、決められたルールに従い提供されるサービスが含まれる。また、サービス提供システム4は、図2に示すように、サービス提供システムサーバ部401を有している。 (Configuration of service providing system 4)
The service providing system 4 is configured to be able to provide a service based on a request from the service providing system client unit 104 incorporated in the user terminal device 1. The “service” here means that the user (user 500B in the present embodiment) decrypts the encrypted data created by the other user (user 500A in the present embodiment) and is necessary for decrypting the encrypted data. In addition to services that relay and store messages, such as mail servers, for example, services such as file sharing servers and database servers that store data and are provided according to predetermined rules are included. Further, the service providing system 4 includes a service providing system server unit 401 as shown in FIG.

(サービス提供システムサーバ部401の構成)
サービス提供システムサーバ部401には、暗合データ48が送られてくるが、サービス提供システムサーバ部401は、暗号された情報であるという認識はなく、単なるバイナリのデータとして取り扱う。なお、サービス提供システム4のクライアント側に本認証システムを組み込めば、サービス提供システムサーバ部401は、本認証基盤システムの影響は受けず、既存のサービスの範囲で利用することができる。たとえば、メールサーバの場合は、添付資料としてバイナリデータとして保管を行い、閲覧はクライアント部でのみ実施できる。また、ファイル管理システム等に利用できる。バイナリデータの取り扱いができないシステムでは、テキストファイルに変換して使用することも可能であるが、データ容量の制限がある場合は、利用できないケースもある。 (Configuration of service providing system server unit 401)
Although the encrypted data 48 is sent to the service providing system server unit 401, the service providing system server unit 401 does not recognize that it is encrypted information, and handles it as simple binary data. If the authentication system is incorporated on the client side of the service providing system 4, the service providing system server unit 401 is not affected by the authentication infrastructure system and can be used within the range of existing services. For example, in the case of a mail server, binary data is stored as an attached material, and browsing can be performed only at the client unit. It can also be used for file management systems. In a system that cannot handle binary data, it can be converted into a text file and used. However, there are cases where it cannot be used if there is a limit on the data capacity.

(利用者権限確認機能付き認証基盤システム100の動作手順)
次に、図10〜図13の各フローチャートを参照しつつ、利用者権限確認機能付き認証基盤システム100の動作手順について説明する。 (Operation procedure of authentication infrastructure system 100 with user authority confirmation function)
Next, the operation procedure of the authentication infrastructure system with user authority confirmation function 100 will be described with reference to the flowcharts of FIGS.

(動作説明の前提条件)
ここで、動作説明の前提条件として、サービス提供システム4を利用するすべての利用者500は、共通の認証局2からの個人情報が発行されているものとする。つまり、この認証局2は全ての利用者500から信頼されているものとし、認証局2を信頼している権限管理局3についてもすべての利用者500から信頼されているものとする。以下では、利用者権限確認機能付き認証基盤システム100を使用して、利用者500Aが作成した利用者500B向けの暗号データについてサービス提供システム4を使用して共有し、利用者500Bが復号するまでの手順を示す。 (Prerequisite for operation explanation)
Here, as a precondition for explaining the operation, it is assumed that all users 500 who use the service providing system 4 have issued personal information from the common certificate authority 2. That is, it is assumed that the certificate authority 2 is trusted by all users 500, and the authority management station 3 that trusts the certificate authority 2 is also trusted by all users 500. In the following, using the authentication infrastructure system with user authority confirmation function 100, the encrypted data for the user 500B created by the user 500A is shared using the service providing system 4 until the user 500B decrypts it. Shows the procedure.

(暗号処理フローの説明)
図10は、利用者端末装置1Aの暗号生成部102が実行する暗号処理ルーチンのフローチャートを示す図である。 (Explanation of cryptographic processing flow)
FIG. 10 is a diagram illustrating a flowchart of an encryption processing routine executed by the encryption generation unit 102 of the user terminal device 1A.

暗号生成部102は、サービス提供システムクライアント部104から秘密情報40を受けとり、記憶部101に格納する(S1)。   The cipher generation unit 102 receives the secret information 40 from the service providing system client unit 104 and stores it in the storage unit 101 (S1).

暗号に使用する共通鍵をランダムに生成し、共通鍵41とする(S2)。   A common key used for encryption is randomly generated and used as a common key 41 (S2).

秘密情報40について、共通鍵41を使用して暗号化し、暗号データ42を生成する(S3)。   The secret information 40 is encrypted using the common key 41 to generate encrypted data 42 (S3).

共通鍵41を相手利用者500Bの公開鍵11Bを使用して暗号化を行い、利用者認証チケットデータ43とする(S4)。ここで、「利用者認証チケットデータ」とは、復号の実施者が権限のある利用者であるか否かを確認する用途に使用されるデータである。   The common key 41 is encrypted by using the public key 11B of the partner user 500B to obtain user authentication ticket data 43 (S4). Here, the “user authentication ticket data” is data used for confirming whether or not the decryption person is an authorized user.

利用者認証チケットデータ43を秘密分散法等の方式で2つに分割し、片方を利用者認証割符データA44、もう片方を利用者認証割符データB45とする(S5)。   The user authentication ticket data 43 is divided into two by a method such as a secret sharing method, one of which is user authentication tally data A44 and the other is user authentication tally data B45 (S5).

相手利用者500BのID13Bと利用者認証割符データA44を結合して、割符データ46とする(S6)。   The ID 13B of the partner user 500B and the user authentication tally data A44 are combined to form tally data 46 (S6).

割符データ46を権限管理局3の割符受付部302に送信し、割符受付部302から返送されるメッセージID47を受取る(S7)。ここで、「メッセージID」とは、権限管理局3へ送った割符データ46単位に生成されるユニークなIDである。   The tally data 46 is transmitted to the tally accepting unit 302 of the authority management station 3, and the message ID 47 returned from the tally accepting unit 302 is received (S7). Here, the “message ID” is a unique ID generated in units of tally data 46 sent to the authority management station 3.

メッセージID47、暗号データ42、利用者認証割符データB45を結合して暗号データ48を生成する(S8)。   The message ID 47, the encrypted data 42, and the user authentication tally data B45 are combined to generate encrypted data 48 (S8).

暗号データ48を本暗号機能の暗号データとして要求元であるにサービス提供システムクライアント部104に返す(S9)。   The encrypted data 48 is returned to the service providing system client unit 104 as the request source as encrypted data of this encryption function (S9).

(復号処理フローの説明)
図11は、利用者端末装置1Bの復号実施部103が実行する復号処理ルーチンのフローチャートを示す図である。 (Description of decryption process flow)
FIG. 11 is a diagram illustrating a flowchart of a decryption processing routine executed by the decryption execution unit 103 of the user terminal device 1B.

復号実施部103は、サービス提供システムクライアント部104から暗号データ48を受けとる(T1)。   The decryption execution unit 103 receives the encrypted data 48 from the service providing system client unit 104 (T1).

暗号データ48からメッセージID47と暗号データ42と利用者認証割符データB45を取り出す(T2)。   The message ID 47, the encrypted data 42, and the user authentication tally data B45 are extracted from the encrypted data 48 (T2).

メッセージID47を利用者の秘密鍵10Bで電子署名し、生成したメッセージIDの電子署名50をメッセージID47に連結し、問合せデータ49とする(T3)。   The message ID 47 is digitally signed with the user's private key 10B, and the generated digital signature 50 of the message ID is concatenated with the message ID 47 to obtain inquiry data 49 (T3).

問合せデータ49を権限管理局3に送る(T4)。   The inquiry data 49 is sent to the authority management station 3 (T4).

権限管理局3からの応答により処理を分ける(T5)。   The processing is divided according to the response from the authority management station 3 (T5).

権限管理局3からの応答が異常である場合、権限なしとして要求元であるサービス提供システムクライアント部104にエラーリターンする(T6)。   If the response from the authority management station 3 is abnormal, an error is returned to the service providing system client unit 104 that is the request source as having no authority (T6).

権限管理局3からの応答が正常である場合、権限ありとして権限管理局3から割符データ46を受取る(T7)。   If the response from the authority management station 3 is normal, the tally data 46 is received from the authority management station 3 as having authority (T7).

割符データ46から利用者認証割符データA44を取り出し、利用者認証割符データB45と結合して、利用者認証チケットデータ43を生成する(T8)。   The user authentication tally data A44 is extracted from the tally data 46 and combined with the user authentication tally data B45 to generate user authentication ticket data 43 (T8).

利用者認証チケットデータ43を利用者の秘密鍵10Bを利用して復号し、共通鍵41を取り出す(T9)。   The user authentication ticket data 43 is decrypted using the user's private key 10B, and the common key 41 is extracted (T9).

暗号データ42について、共通鍵41を使用して復号し、秘密情報40を取り出す(T10)。   The encrypted data 42 is decrypted using the common key 41, and the secret information 40 is extracted (T10).

秘密情報40を本暗号機能の復号データとして要求元であるサービス提供システムクライアント部104に返す(T11)。   The secret information 40 is returned to the service providing system client unit 104, which is the request source, as decrypted data of this encryption function (T11).

(割符受付処理フローの説明)
図12は、権限管理局3の割符受付部302が実行する割符受付処理ルーチンのフローチャートを示す図である。 (Explanation of tally acceptance processing flow)
FIG. 12 is a flowchart of the tally acceptance processing routine executed by the tally acceptance unit 302 of the authority management station 3.

割符受付部302は、利用者端末装置1Aの暗号生成部102から割符データ46を受けとる(U1)。   The tally accepting unit 302 receives the tally data 46 from the encryption generating unit 102 of the user terminal device 1A (U1).

割符DB30に登録するための割符データ46がユニークになるようにメッセージID47を生成する(U2)。   A message ID 47 is generated so that the tally data 46 to be registered in the tally DB 30 is unique (U2).

メッセージID47をキーにして割符データ46を権限管理局記憶部301に格納する。(U3)   The tally data 46 is stored in the authority management station storage unit 301 using the message ID 47 as a key. (U3)

メッセージID47を要求元である利用者端末装置1Aの暗号生成部102に返送する(U4)。   The message ID 47 is returned to the encryption generation unit 102 of the user terminal device 1A that is the request source (U4).

(利用者有効性確認フローの説明)
図13は、権限管理局3の利用者有効性確認部303が実行する利用者有効性確認処理ルーチンのフローチャートを示す図である。 (Explanation of user validity check flow)
FIG. 13 is a flowchart of a user validity confirmation processing routine executed by the user validity confirmation unit 303 of the authority management station 3.

利用者有効性確認部303は、利用者端末装置1Bの復号実施部103から問合せデータ49を受けとる(V1)。   The user validity confirmation unit 303 receives the inquiry data 49 from the decryption execution unit 103 of the user terminal device 1B (V1).

問合せデータ49をメッセージID47とメッセージIDの電子署名50に分解する(V2)。   The inquiry data 49 is decomposed into a message ID 47 and an electronic signature 50 of the message ID (V2).

メッセージIDの電子署名50を検証する(V3)。   The electronic signature 50 of the message ID is verified (V3).

電子署名50のチェック結果で処理を分ける(V4)。   The processing is divided according to the check result of the electronic signature 50 (V4).

電子署名50のチェック結果で問題がある場合、権限なしとして要求元にエラーリターンする(V5)。   If there is a problem with the check result of the electronic signature 50, an error is returned to the request source as having no authority (V5).

電子署名50のチェック結果で問題がない場合、電子署名50から利用者ID13Bを取り出す(V6)。   If there is no problem with the check result of the electronic signature 50, the user ID 13B is extracted from the electronic signature 50 (V6).

利用者ID13Bが認証局2の失効リストに登録されているか確認する(V7)。   It is confirmed whether the user ID 13B is registered in the revocation list of the certificate authority 2 (V7).

失効リストに利用者ID13Bが登録されているか否かで処理を分ける(V8)。   The processing is divided depending on whether or not the user ID 13B is registered in the revocation list (V8).

失効リストに利用者ID13Bが登録されている場合、権限なしとして要求元にエラーリターンする(V5)。   If the user ID 13B is registered in the revocation list, an error is returned to the request source as having no authority (V5).

失効リストに利用者ID13Bが登録されていない場合、権限ありとしてメッセージID47にて割符DB30を検索し、対応する割符データ46を取り出す(V9)。   If the user ID 13B is not registered in the revocation list, the tally DB 30 is searched with the message ID 47 as having authority, and the corresponding tally data 46 is extracted (V9).

割符データ46の利用者ID13が電子署名の利用者IDと一致しないかチェックを行い、その結果で処理を分ける(V10)。   It is checked whether or not the user ID 13 of the tally data 46 matches the user ID of the electronic signature, and the processing is divided according to the result (V10).

割符データ46の利用者ID13が電子署名の利用者IDと一致しない場合、権限なしとして要求元にエラーリターンする(V5)。   If the user ID 13 of the tally data 46 does not match the user ID of the electronic signature, an error is returned to the request source as having no authority (V5).

割符データ46の利用者ID13が電子署名の利用者IDと一致する場合、割符データ46を取り出し要求元である復号実施部103に返送する(V11)。   If the user ID 13 of the tally data 46 matches the user ID of the electronic signature, the tally data 46 is retrieved and returned to the decryption execution unit 103 that is the request source (V11).

なお、ICカード等の対タンパー性を有した装置を使用する場合は、復号実施部103は対タンパー性を有する装置の内部に秘密鍵と伴に配置されることになる。   Note that when using a tamper-resistant device such as an IC card, the decryption execution unit 103 is arranged with a secret key inside the tamper-resistant device.

なお、相手利用者500Bの公開鍵11Bと、個人証明書12Bと、ID13Bとは相手利用者500Bの利用者端末装置1Bから取得してもよいし、認証局2から取得してもよい。相手利用者500Bの公開鍵11Bと、個人証明書12Bと、ID13Bは、複数が記憶部101に記憶されてもよい。認証局の公開鍵21と認証局の証明書22は、認証局2から取得し、システム導入時に記憶部101へ記憶しておくことが好ましい。   The public key 11B, personal certificate 12B, and ID 13B of the partner user 500B may be acquired from the user terminal device 1B of the partner user 500B or may be acquired from the certificate authority 2. A plurality of the public key 11B, personal certificate 12B, and ID 13B of the partner user 500B may be stored in the storage unit 101. The public key 21 of the certificate authority and the certificate 22 of the certificate authority are preferably obtained from the certificate authority 2 and stored in the storage unit 101 when the system is introduced.

(本実施形態に係る利用者権限確認機能付き認証基盤システム100の特徴)
上記の構成によれば、利用者500Aが作成した暗号データを相手利用者500Bが復号するに際し、暗号データを復号しようとする相手利用者500Bの権限が利用者有効性確認部303で確認された場合に限り、暗号データの復号が利用者500Bに許可されるので、権限のない利用者による復号を防止することができる。これは、暗号データを復号する利用者が権限を保有しているか否かを復号等実施の際に確認できるものであり、通信データやロジックの改ざんがあったとしても不正にその利用者権限の確認を回避することができない仕組みを提供するものである。これによって安全な利用者の認証が可能となる。 (Characteristics of the authentication infrastructure system 100 with a user authority confirmation function according to the present embodiment)
According to the above configuration, when the other user 500B decrypts the encrypted data created by the user 500A, the authority of the other user 500B attempting to decrypt the encrypted data is confirmed by the user validity checking unit 303. Only in some cases, the decryption of the encrypted data is permitted to the user 500B, so that decryption by an unauthorized user can be prevented. This is to confirm whether or not the user who decrypts the encrypted data has the authority at the time of decryption etc. Even if the communication data or logic is tampered with, It provides a mechanism in which confirmation cannot be avoided. This allows for secure user authentication.

上記の構成によれば、利用者有効性確認部303で利用者500Bの有効性が確認されて初めて、暗号データの復号処理に使用する鍵、もしくは鍵を取り出すことのできるデータを利用者500Bが権限管理局3から入手することができる。これによって安全な利用者の認証が可能となる。   According to the above configuration, the user 500B obtains the key used for the decryption process of the encrypted data or the data from which the key can be taken out only after the validity of the user 500B is confirmed by the user validity confirmation unit 303. It can be obtained from the authority management station 3. This allows for secure user authentication.

上記の構成によれば、同一の組織に所属する複数の利用者500が存在し、機密情報の提供者と受け取り者が存在する場合、機密情報を提供する利用者500Aが機密情報を暗号化して、機密情報を受取る利用者500Bに渡すことで安全に機密情報を受け渡すことができる。この際に、利用者500Bが自身の権限を有していながら所属する組織を離れた場合、所属する組織は認証局2に利用者500Bの失効を届け出、これまでに暗号化したデータと利用者500Bが持つ秘密鍵が使えないようにすることができる。   According to the above configuration, when there are a plurality of users 500 belonging to the same organization and there are a provider and a receiver of confidential information, the user 500A who provides the confidential information encrypts the confidential information. By passing the confidential information to the user 500B receiving the confidential information, the confidential information can be safely transferred. At this time, if the user 500B leaves his / her organization while having his / her own authority, the affiliated organization reports the revocation of the user 500B to the certificate authority 2, and the previously encrypted data and user The private key of 500B can be disabled.

上記構成によれば、利用者500Aは認証局2から配布される公開鍵を使用して暗号化を実施することで、同じ認証局2を信頼している利用者500Bが復号できる暗号を利用できる。その復号の際に、利用者500Bが証明書の有効期限内に失効されていた場合、利用者500Bによる復号処理を実施する際に権限管理局3問い合わせる仕組みにすることで、失効した利用者500Bの復号を妨げることが可能となる。   According to the above configuration, the user 500A can use the encryption that can be decrypted by the user 500B who trusts the same certificate authority 2 by performing encryption using the public key distributed from the certificate authority 2. . At the time of decryption, if the user 500B has been revoked within the validity period of the certificate, the user 500B who has been revoked is configured by inquiring the authority management station 3 when performing decryption processing by the user 500B. Can be prevented from being decrypted.

以上、本発明の実施形態について図面に基づいて説明したが、具体的な構成は、これらの実施形態に限定されるものではないと考えられるべきである。本発明の範囲は、上記した実施形態の説明ではなく特許請求の範囲によって示され、さらに特許請求の範囲と均等の意味および範囲内でのすべての変更が含まれる。   As mentioned above, although embodiment of this invention was described based on drawing, it should be thought that a specific structure is not limited to these embodiment. The scope of the present invention is shown not by the above description of the embodiments but by the scope of claims for patent, and further includes all modifications within the meaning and scope equivalent to the scope of claims for patent.

なお、上記実施形態の利用者権限確認機能付き認証基盤システム100では、図15に示すように、利用者認証チケットデータを分割して、分割した利用者認証チケットデータAを権限管理局3へ渡す例について述べたが、本発明はこれに限定されず、図14に示す通り、利用者認証チケットデータの全てを権限管理局3へ渡す方法でも構わない。   In the authentication infrastructure system with user authority confirmation function 100 of the above embodiment, as shown in FIG. 15, the user authentication ticket data is divided and the divided user authentication ticket data A is passed to the authority management station 3. Although an example has been described, the present invention is not limited to this, and a method of passing all user authentication ticket data to the authority management station 3 as shown in FIG.

なお、上記実施形態の利用者権限確認機能付き認証基盤システム100では、図15に示すように、利用者認証チケットデータを分割して、分割した利用者認証チケットデータBを暗号データと連結する例について述べたが、本発明はこれに限定されず、図16に示す通り、利用者認証チケットデータの全てを暗号データと連結する方法でも構わない。   In the authentication infrastructure system with user authority confirmation function 100 of the above embodiment, as shown in FIG. 15, the user authentication ticket data is divided and the divided user authentication ticket data B is connected to the encrypted data. However, the present invention is not limited to this, and as shown in FIG. 16, a method of linking all user authentication ticket data with encrypted data may be used.

また、図17に示す通り、利用者認証チケットデータを分割する際に、利用者認証割符データA、利用者認証割符データB、利用者認証割符データCに分解し、利用者認証割符データCを利用者端末装置1に残し、利用者認証割符データA、利用者認証割符データB、利用者認証割符データCのうち2つがそろうことで、共通鍵が復元できる方式でも構わない。これにより利用者500Bは権限管理局3に接続できない場合でも、利用者500Aから利用者認証割符データCを受取ることで、緊急避難的に暗号データを復号することができる。   In addition, as shown in FIG. 17, when the user authentication ticket data is divided, the user authentication tally data A, the user authentication tally data B, and the user authentication tally data C are decomposed into the user authentication tally data C. There may be a method in which the common key can be restored by leaving two of the user authentication tally data A, the user authentication tally data B, and the user authentication tally data C remaining in the user terminal device 1. Accordingly, even when the user 500B cannot connect to the authority management station 3, the user 500B can decrypt the encrypted data in an emergency evacuation manner by receiving the user authentication tally data C from the user 500A.

なお、上記の利用者権限確認機能付き認証基盤システムにおいては、前記有効性決定部300は、前記サービス提供システム4を利用する際または利用した際に必要となる鍵の全部または一部を予め記憶するものであって、前記有効性決定部300を使用して前記利用者500の認証を行わなければ、前記鍵の全部または一部が手に入らない仕組みであることが好ましい。   In the above-described authentication infrastructure system with a user authority confirmation function, the validity determination unit 300 stores in advance all or part of the keys required when using or using the service providing system 4. In this case, it is preferable that all or a part of the key is not obtained unless the user 500 is authenticated using the validity determination unit 300.

なお、上記の利用者権限確認機能付き認証基盤システムにおいては、前記有効性決定部300は、前記サービス提供システム4を使用する際に利用する鍵を、権限管理局3または認証局2の公開鍵で暗号化し、利用者認証チケットデータとして、暗号データや認証データに添付し、利用者がサービス提供システムを利用する際には、利用者認証チケットデータを権限管理局または認証局に送り、権限管理局または認証局が利用者を認証できた際に鍵を返送させることが好ましい。   In the above-described authentication infrastructure system with user authority confirmation function, the validity determination unit 300 uses the key used when using the service providing system 4 as the public key of the authority management station 3 or the authentication station 2. The data is encrypted and attached as user authentication ticket data to the encrypted data or authentication data. When the user uses the service provision system, the user authentication ticket data is sent to the authority management station or the certificate authority to manage the authority. It is preferable to return the key when the station or the certificate authority can authenticate the user.

なお、上記の利用者権限確認機能付き認証基盤システムにおいては、前記サービス提供システム4で使用されるデータの一部として利用者認証チケットデータを使用し、取り出すことができることが好ましい。   In the authentication infrastructure system with a user authority confirmation function, it is preferable that user authentication ticket data can be used and extracted as part of data used in the service providing system 4.

なお、上記の利用者権限確認機能付き認証基盤システムにおいては、利用者500Aが利用者端末装置1Aを用いて暗号データを作成し、該暗号データを相手利用者500Bが利用者端末装置1Bを用いて復号する場合について説明したが、本発明はこれに限定されず、利用者500Bが利用者端末装置1Bを用いて暗号データを作成し、該暗号データを相手利用者500Aが利用者端末装置1Aを用いて復号してもよい。   In the above-described authentication infrastructure system with a user authority confirmation function, the user 500A creates encrypted data using the user terminal device 1A, and the counterpart user 500B uses the user terminal device 1B. However, the present invention is not limited to this, and the user 500B creates encrypted data using the user terminal device 1B, and the partner user 500A uses the user terminal device 1A for the encrypted data. You may decode using.

1 利用者端末装置
2 認証局
3 権限管理局
4 サービス提供システム
10 利用者の秘密鍵
11 利用者の公開鍵
12 利用者の個人証明書
20 有効性情報
21 認証局の公開鍵
22 認証局の証明書
30 割符DB
40 秘密情報
41 共通鍵(ランダムに生成した共通鍵)
42 暗号データ(共通鍵で暗号化)
43 利用者認証チケットデータ(相手利用者の公開鍵で暗号化したデータ)
44 利用者認証割符データA(利用者認証チケットデータを分割1/2)
45 利用者認証割符データB(利用者認証チケットデータを分割2/2)
46 割符データ
47 メッセージID
48 暗号データ(確認データ付)
49 問合せデータ(電子署名付)
50 メッセージIDの電子署名
100 利用者権限確認機能付き認証基盤システム
101 記憶部
102 暗号生成部
103 復号実施部
104 サービス提供システムクライアント部
300 有効性決定部
301 権限管理局記録部
302 割符受付部
303 利用者有効性確認部
401 サービス提供システムサーバ部
500 利用者 DESCRIPTION OF SYMBOLS 1 User terminal device 2 Certificate authority 3 Authority management station 4 Service providing system 10 User private key 11 User public key 12 User personal certificate 20 Validity information 21 Certificate authority public key 22 Certificate authority certification 30 Tally DB
40 Secret information 41 Common key (randomly generated common key)
42 Encryption data (encrypted with a common key)
43 User authentication ticket data (data encrypted with the other user's public key)
44 User authentication tally data A (divide user authentication ticket data 1/2)
45 User authentication tally data B (split user authentication ticket data 2/2)
46 Tally data 47 Message ID
48 Encryption data (with confirmation data)
49 Inquiry data (with electronic signature)
50 Electronic Signature 100 of Message ID 100 Authentication Infrastructure System with User Authority Confirmation Function 101 Storage Unit 102 Encryption Generation Unit 103 Decryption Execution Unit 104 Service Providing System Client Unit 300 Validity Determination Unit 301 Authority Management Station Recording Unit 302 Tally Accepting Unit 303 Use User validity checking unit 401 Service providing system server unit 500 User

Claims (2)

認証局が認証する利用者に対して、暗号データの復号に必要なサービスを提供するサービス提供システムを備えた利用者権限確認機能付き認証基盤システムであって、
前記利用者がサービス提供システムを利用するに当たり、前記利用者の認証局における認証が有効であるか否かを決定する有効性決定部を有し、前記有効性決定部を使用して前記利用者の認証を行わなければ、前記サービス提供システムが前記利用者に前記サービスを提供しないことを特徴とする利用者権限確認機能付き認証基盤システム。 An authentication infrastructure system with a user authority confirmation function equipped with a service providing system for providing a service necessary for decrypting encrypted data to a user authenticated by a certificate authority,
When the user uses the service providing system, the user has an validity determining unit that determines whether or not authentication by the user's certificate authority is valid, and the user is used by using the validity determining unit. If the user authentication is not performed, the service providing system does not provide the service to the user. 前記利用者が暗号データを復号する権限を有するか否かを示す利用者認証チケットデータを生成するとともに、前記利用者認証チケットデータの一部である割符データを生成する暗号生成部と、
前記割符データを記憶する権限管理局記憶部と、
を備え、
前記有効性決定部が、
前記権限管理局記憶部に記憶されている割符データを使用して、前記利用者の認証局における認証が有効であるか否かを決定することを特徴とする請求項1に記載の利用者権限確認機能付き認証基盤システム。 Generating user authentication ticket data indicating whether or not the user has the authority to decrypt the encrypted data, and generating a tally data that is a part of the user authentication ticket data;
An authority management station storage unit for storing the tally data;
With
The effectiveness determining unit
2. The user authority according to claim 1, wherein tally data stored in the authority management station storage unit is used to determine whether or not authentication of the user in the certificate authority is valid. Authentication infrastructure system with confirmation function.
JP2013082954A 2013-04-11 2013-04-11 Authentication infrastructure system with user authority confirmation function Active JP6343425B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013082954A JP6343425B2 (en) 2013-04-11 2013-04-11 Authentication infrastructure system with user authority confirmation function

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013082954A JP6343425B2 (en) 2013-04-11 2013-04-11 Authentication infrastructure system with user authority confirmation function

Publications (2)

Publication Number Publication Date
JP2014207521A true JP2014207521A (en) 2014-10-30
JP6343425B2 JP6343425B2 (en) 2018-06-13

Family

ID=52120774

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013082954A Active JP6343425B2 (en) 2013-04-11 2013-04-11 Authentication infrastructure system with user authority confirmation function

Country Status (1)

Country Link
JP (1) JP6343425B2 (en)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002169465A (en) * 2000-08-31 2002-06-14 Sony Corp Public key certificate utilization system, public key certificate utilization method and information processor as well as program recording medium
JP2007312128A (en) * 2006-05-18 2007-11-29 Toshiba Corp Electronic data browsing system, apparatus, and program
WO2009028137A1 (en) * 2007-08-28 2009-03-05 Panasonic Corporation Key terminal apparatus, lsi for encryption process, unique key producing method, and content system
US7644270B1 (en) * 2004-05-10 2010-01-05 Sprint Communications Company L.P. Web services security architecture
JP2010231414A (en) * 2009-03-26 2010-10-14 Denso Corp Ic card information processor
JP2012065123A (en) * 2010-09-15 2012-03-29 Fuji Electric Retail Systems Co Ltd Ic card system, communication terminal therefor and portable terminal therefor
JP2012222414A (en) * 2011-04-05 2012-11-12 Hitachi Ltd Information processing apparatus, id management method, program and storage medium

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002169465A (en) * 2000-08-31 2002-06-14 Sony Corp Public key certificate utilization system, public key certificate utilization method and information processor as well as program recording medium
US7644270B1 (en) * 2004-05-10 2010-01-05 Sprint Communications Company L.P. Web services security architecture
JP2007312128A (en) * 2006-05-18 2007-11-29 Toshiba Corp Electronic data browsing system, apparatus, and program
WO2009028137A1 (en) * 2007-08-28 2009-03-05 Panasonic Corporation Key terminal apparatus, lsi for encryption process, unique key producing method, and content system
JP2010231414A (en) * 2009-03-26 2010-10-14 Denso Corp Ic card information processor
JP2012065123A (en) * 2010-09-15 2012-03-29 Fuji Electric Retail Systems Co Ltd Ic card system, communication terminal therefor and portable terminal therefor
JP2012222414A (en) * 2011-04-05 2012-11-12 Hitachi Ltd Information processing apparatus, id management method, program and storage medium

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
松本 悦宜 ほか: "属性ベース暗号を用いたオンラインストレージサービス用クライアントの実装評価", 電子情報通信学会技術研究報告, vol. 111, no. 383, JPN6017018753, 12 January 2012 (2012-01-12), JP, pages 73 - 78, ISSN: 0003794693 *

Also Published As

Publication number Publication date
JP6343425B2 (en) 2018-06-13

Similar Documents

Publication Publication Date Title
CN1961523B (en) Token provision
KR100568233B1 (en) Device Authentication Method using certificate and digital content processing device using the method
CN101212293B (en) Identity authentication method and system
US8806206B2 (en) Cooperation method and system of hardware secure units, and application device
KR20120053929A (en) The agent system for digital signature using sign private key with double encryption and method thereof features to store in web storage
JP2005502269A (en) Method and apparatus for creating a digital certificate
JP2010231404A (en) System, method, and program for managing secret information
CN113868684A (en) Signature method, device, server, medium and signature system
JP6533542B2 (en) Secret key replication system, terminal and secret key replication method
JP2007206961A (en) Authentication system and authentication information transfer method in the same system and security device
JP2002297551A (en) Identification system
KR20100114321A (en) Digital content transaction-breakdown the method thereof
JPH05298174A (en) Remote file access system
JP4840575B2 (en) Terminal device, certificate issuing device, certificate issuing system, certificate acquisition method and certificate issuing method
CN107682156A (en) A kind of encryption communication method and device based on SM9 algorithms
JP2008234143A (en) Subject limited mail opening system using biometrics, method therefor, and program therefor
CN107409043B (en) Distributed processing of products based on centrally encrypted stored data
KR102053993B1 (en) Method for Authenticating by using Certificate
JP2008502045A5 (en)
JP3984570B2 (en) Program for controlling key management server and verification device in signature / verification system
JP6343425B2 (en) Authentication infrastructure system with user authority confirmation function
Patel et al. The study of digital signature authentication process
WO2021019783A1 (en) Proprietor identity confirmation system, terminal, and proprietor identity confirmation method
Henry Who's got the key?
CN109104393B (en) Identity authentication method, device and system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160323

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170525

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170719

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20171220

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180320

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20180420

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180514

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180521

R150 Certificate of patent or registration of utility model

Ref document number: 6343425

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250