JP2015138978A - Authentication system, and program - Google Patents

Authentication system, and program Download PDF

Info

Publication number
JP2015138978A
JP2015138978A JP2014007633A JP2014007633A JP2015138978A JP 2015138978 A JP2015138978 A JP 2015138978A JP 2014007633 A JP2014007633 A JP 2014007633A JP 2014007633 A JP2014007633 A JP 2014007633A JP 2015138978 A JP2015138978 A JP 2015138978A
Authority
JP
Japan
Prior art keywords
authentication
unit
public key
certificate
user terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2014007633A
Other languages
Japanese (ja)
Other versions
JP6182080B2 (en
Inventor
鉄太郎 小林
Tetsutaro Kobayashi
鉄太郎 小林
具英 山本
Tomohide Yamamoto
具英 山本
麗生 吉田
Reisei Yoshida
麗生 吉田
山本 剛
Takeshi Yamamoto
剛 山本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2014007633A priority Critical patent/JP6182080B2/en
Publication of JP2015138978A publication Critical patent/JP2015138978A/en
Application granted granted Critical
Publication of JP6182080B2 publication Critical patent/JP6182080B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

PROBLEM TO BE SOLVED: To provide an authentication system which has high safety and can be easier to use.SOLUTION: An authentication system includes a plurality of user terminals and an authentication server. A user terminal includes: a first registration unit which generates a public key not including personal information and a secret key corresponding to the public key and transmits registration information including the public key to the authentication server; and a first authentication unit which authenticates, by using the secret key, the user terminal's possession of the secret key corresponding to the public key or generates data required for the authentication to transmit the data. The authentication server includes: a second registration unit for storing received registration information, for each user terminal; and a second authentication unit which authenticates, by using a public key included in the registration information, the user terminal's possession of a secret key corresponding to the public key or generates data required for the authentication to transmit the data.

Description

本発明は、オンライン上でユーザ認証を実行する認証システム、プログラムに関する。   The present invention relates to an authentication system and program for executing user authentication online.

従来、インターネットやイントラネットにおけるネットワーク上のリソースに対するアクセス制御方法がいくつか提案されている。よく知られているのは、IDとパスワードを用いるBasic認証である(非特許文献1参照)。これ以外にも、アクセス元のIPアドレスによりアクセス制御を行う方法がある。他には、個人用証明書を使用した認証方法がある。個人用証明書を使用した認証方法としてよく知られているものにベリサイン(登録商標)社が提供している個人用電子証明書サービスがある(非特許文献2参照)。また、個人用証明書を使用した認証方法として、ApacheのFakeBasic認証が知られている(非特許文献3参照)。   Conventionally, several access control methods for resources on a network in the Internet or an intranet have been proposed. Well-known is basic authentication using an ID and a password (see Non-Patent Document 1). In addition to this, there is a method of performing access control using the IP address of the access source. There is another authentication method using a personal certificate. A well-known authentication method using a personal certificate is a personal electronic certificate service provided by VeriSign (registered trademark) (see Non-Patent Document 2). As an authentication method using a personal certificate, Apache's FakeBasic authentication is known (see Non-Patent Document 3).

“HTTP Authentication: Basic and Digest Access Authentication”、[online]、[平成 25年 1月 10日検索]、インターネット〈URL:http://tools.ietf.org/html/rfc2617〉“HTTP Authentication: Basic and Digest Access Authentication”, [online], [Search January 10, 2013], Internet <URL: http://tools.ietf.org/html/rfc2617> “ベリサイン 個人用電子証明書 Class2 スタンダード - 組織内個人を認証 -”、[online]、[平成 25年 1月 10日検索]、インターネット〈URL:https://www.verisign.co.jp/personal/class2/index.html〉“Verisign Personal Digital Certificate Class2 Standard-Authenticating Individuals in the Organization”, [online], [Search January 10, 2013], Internet <URL: https://www.verisign.co.jp/personal /class2/index.html> “Fake Basic Authentication”、[online]、[平成 25年 1月 10日検索]、インターネット〈URL:http://httpd.apache.org/docs/2.2/mod/mod_ssl.html〉“Fake Basic Authentication”, [online], [searched on January 10, 2013], Internet <URL: http://httpd.apache.org/docs/2.2/mod/mod_ssl.html>

IDとパスワードを用いる認証方法では、通常サーバ側はパスワードをハッシュ関数で変換した値を管理することになるが、この値が漏えいすれば、この値に対して総当たり攻撃をしかけることによりパスワードが不正に入手できてしまうため、セキュリティの観点から問題がある。アクセス元のIPアドレスによりアクセス制御を行う方法では、アクセス元のIPアドレスに対して不正な改竄が行われる場合があり、IDとパスワードを用いる認証方法と同様にセキュリティの観点から問題がある。   In the authentication method using ID and password, the server normally manages the value converted from the password by the hash function. If this value is leaked, the password is obtained by attacking this value. Since it can be obtained illegally, there is a problem from the viewpoint of security. In the method of performing access control using the IP address of the access source, there are cases where unauthorized tampering is performed on the IP address of the access source, and there is a problem from the viewpoint of security as in the authentication method using the ID and password.

また個人用証明書を使う認証方法では、本人確認手続きなどが煩雑で導入コストが高いという問題がある。   Also, the authentication method using a personal certificate has a problem that the identification procedure is complicated and the introduction cost is high.

そこで、本発明では安全性が高く、より簡易に使用できる認証システムを提供することを目的とする。   Therefore, an object of the present invention is to provide an authentication system that is highly safe and can be used more easily.

本発明の認証システムは、複数のユーザ端末と、認証サーバを含む。ユーザ端末は、第1登録部と、第1認証部を含み、認証サーバは、第2登録部と、第2認証部を含む。   The authentication system of the present invention includes a plurality of user terminals and an authentication server. The user terminal includes a first registration unit and a first authentication unit, and the authentication server includes a second registration unit and a second authentication unit.

第1登録部は、個人情報を含まない公開鍵と、公開鍵に対応する秘密鍵とを生成して、公開鍵を含む登録情報を認証サーバに送信する。第1認証部は、秘密鍵を用いて自端末が公開鍵に対応する秘密鍵を所持していることを認証、又は認証に必要なデータを生成して送信する。第2登録部は、受信した登録情報をユーザ端末ごとに記憶する。第2認証部は、登録情報に含まれる公開鍵を用いてユーザ端末が公開鍵に対応する秘密鍵を所持していることを認証、又は認証に必要なデータを生成して送信する。   The first registration unit generates a public key not including personal information and a secret key corresponding to the public key, and transmits registration information including the public key to the authentication server. The first authentication unit uses the secret key to authenticate that the terminal has a secret key corresponding to the public key, or generates and transmits data necessary for authentication. The second registration unit stores the received registration information for each user terminal. The second authenticating unit authenticates that the user terminal possesses the private key corresponding to the public key using the public key included in the registration information, or generates and transmits data necessary for the authentication.

本発明の認証システムは、安全性が高く、より簡易に使用できる。   The authentication system of the present invention has high safety and can be used more easily.

実施例1の認証システムの概要を示すブロック図。1 is a block diagram illustrating an overview of an authentication system according to a first embodiment. 実施例1のユーザ端末、認証サーバの構成を示すブロック図。FIG. 2 is a block diagram illustrating a configuration of a user terminal and an authentication server according to the first embodiment. 実施例1のユーザ端末、認証サーバの動作を示すフローチャート。6 is a flowchart illustrating operations of the user terminal and the authentication server according to the first embodiment. 実施例1のユーザ端末、認証サーバの詳細構成を示すブロック図。The block diagram which shows the detailed structure of the user terminal of Example 1, and an authentication server. 実施例1のユーザ端末、認証サーバの動作の詳細を示すフローチャート。5 is a flowchart illustrating details of operations of the user terminal and the authentication server according to the first embodiment. 実施例2の認証システムの概要を示すブロック図。FIG. 3 is a block diagram illustrating an overview of an authentication system according to a second embodiment. 実施例2のユーザ端末、認証サーバの構成を示すブロック図。The block diagram which shows the structure of the user terminal of Example 2, and an authentication server. 実施例2のユーザ端末、認証サーバの詳細構成を示すブロック図。The block diagram which shows the detailed structure of the user terminal of Example 2, and an authentication server. 実施例2のユーザ端末、認証サーバの動作の詳細を示すフローチャート。9 is a flowchart illustrating details of operations of a user terminal and an authentication server according to the second embodiment. 実施例3の認証システムの概要を示すブロック図。FIG. 9 is a block diagram illustrating an outline of an authentication system according to a third embodiment. 実施例3のユーザ端末、認証サーバの構成を示すブロック図。The block diagram which shows the structure of the user terminal of Example 3, and an authentication server. 実施例3のユーザ端末、認証サーバの詳細構成を示すブロック図。The block diagram which shows the detailed structure of the user terminal of Example 3, and an authentication server. 実施例3のユーザ端末、認証サーバの動作の詳細を示すフローチャート。10 is a flowchart illustrating details of operations of a user terminal and an authentication server according to the third embodiment. 実施例4の認証システムの概要を示すブロック図。FIG. 9 is a block diagram illustrating an outline of an authentication system according to a fourth embodiment. 実施例4のユーザ端末、認証サーバの構成を示すブロック図。The block diagram which shows the structure of the user terminal of Example 4, and an authentication server. 実施例4のユーザ端末、認証サーバの動作を示すフローチャート。10 is a flowchart illustrating operations of a user terminal and an authentication server according to the fourth embodiment. 実施例5の認証システムの概要を示すブロック図。FIG. 10 is a block diagram illustrating an outline of an authentication system according to a fifth embodiment. 実施例5のユーザ端末、認証サーバの構成を示すブロック図。The block diagram which shows the structure of the user terminal of Example 5, and an authentication server. 実施例5のユーザ端末、認証サーバの動作を示すフローチャート。10 is a flowchart illustrating operations of a user terminal and an authentication server according to a fifth embodiment.

以下、本発明の実施の形態について、詳細に説明する。なお、同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。   Hereinafter, embodiments of the present invention will be described in detail. In addition, the same number is attached | subjected to the structure part which has the same function, and duplication description is abbreviate | omitted.

以下、図1、図2、図3を参照して実施例1の認証システムの概要について説明する。図1は、本実施例の認証システム1の概要を示すブロック図である。図2は、本実施例のユーザ端末11−k、認証サーバ12の構成を示すブロック図である。図3は、本実施例のユーザ端末11−k、認証サーバ12の動作を示すフローチャートである。   Hereinafter, an outline of the authentication system according to the first embodiment will be described with reference to FIGS. 1, 2, and 3. FIG. 1 is a block diagram illustrating an outline of an authentication system 1 according to the present embodiment. FIG. 2 is a block diagram illustrating configurations of the user terminal 11-k and the authentication server 12 according to the present embodiment. FIG. 3 is a flowchart showing the operation of the user terminal 11-k and the authentication server 12 of this embodiment.

図1に示すように、本実施例の認証システム1は、複数のユーザ端末11−1,11−2,…,11−k,…,11−nと、認証サーバ12を含む。ただしnは2以上の整数である。kは1以上n以下の整数である。なお、n台のユーザ端末11−1,11−2,…,11−k,…,11−n、および認証サーバ12は、NW9を介して互いに通信可能に接続されている。n台のユーザ端末11−1,11−2,…,11−k,…,11−nは全て同じ機能を備えるため、これらの代表として、以下ユーザ端末11−kについて述べる。図2に示すように、ユーザ端末11−kは、第1登録部111と、第1認証部112を含み、認証サーバ12は、第2登録部121と、第2認証部122を含む。図3に示すように、まずユーザ端末11−kの第1登録部111は、個人情報を含まない公開鍵と、公開鍵に対応する秘密鍵とを生成して、公開鍵を含む登録情報を認証サーバに送信する(S111)。次に、認証サーバ12の第2登録部121は、受信した登録情報をユーザ端末ごとに記憶する(S121)。以上がユーザ登録動作である。次に、ユーザ端末11−kの第1認証部112は、秘密鍵を用いて自端末が公開鍵に対応する秘密鍵を所持していることを認証、又は認証に必要なデータを生成して送信する(S112)。次に、認証サーバ12の第2認証部122は、登録情報に含まれる公開鍵を用いてユーザ端末が公開鍵に対応する秘密鍵を所持していることを認証、又は認証に必要なデータを生成して送信する(S122)。以上がユーザ認証動作である。   As shown in FIG. 1, the authentication system 1 of the present embodiment includes a plurality of user terminals 11-1, 11-2,..., 11 -k,. However, n is an integer of 2 or more. k is an integer of 1 to n. Note that n user terminals 11-1, 11-2,..., 11-k,..., 11-n and the authentication server 12 are connected to each other via the NW 9 so as to communicate with each other. Since the n user terminals 11-1, 11-2,..., 11-k,..., 11-n all have the same function, the user terminal 11-k will be described below as a representative of these. As illustrated in FIG. 2, the user terminal 11-k includes a first registration unit 111 and a first authentication unit 112, and the authentication server 12 includes a second registration unit 121 and a second authentication unit 122. As shown in FIG. 3, first, the first registration unit 111 of the user terminal 11-k generates a public key that does not include personal information and a secret key that corresponds to the public key, and stores registration information that includes the public key. It transmits to the authentication server (S111). Next, the second registration unit 121 of the authentication server 12 stores the received registration information for each user terminal (S121). The above is the user registration operation. Next, the first authentication unit 112 of the user terminal 11-k uses the secret key to authenticate that the own terminal possesses the secret key corresponding to the public key, or generates data necessary for the authentication. Transmit (S112). Next, the second authentication unit 122 of the authentication server 12 authenticates that the user terminal possesses the private key corresponding to the public key using the public key included in the registration information, or data necessary for the authentication. Generate and transmit (S122). The above is the user authentication operation.

以下、図4、図5を参照して本実施例の認証システム1の詳細について説明する。図4は、本実施例のユーザ端末11−k、認証サーバ12の詳細構成を示すブロック図である。図5は、本実施例のユーザ端末11−k、認証サーバ12の動作の詳細を示すフローチャートである。   Hereinafter, the details of the authentication system 1 according to the present embodiment will be described with reference to FIGS. 4 and 5. FIG. 4 is a block diagram illustrating a detailed configuration of the user terminal 11-k and the authentication server 12 according to the present embodiment. FIG. 5 is a flowchart illustrating details of operations of the user terminal 11-k and the authentication server 12 according to the present embodiment.

図4に示すように第1登録部111は、識別子取得部1111と、鍵生成部1112と、秘密鍵記憶部1113と、登録情報送信部1114を含む。第1認証部112は、識別子送信部1121と、暗号文受信部1122と、暗号文復号部1123を含む。第2登録部121は、登録情報受信部1211と、登録情報記憶部1212を含む。第2認証部122は、識別子受信部1221と、公開鍵取得部1222と、セッション鍵生成部1223と、暗号文生成部1224と、暗号文送信部1225を含む。   As shown in FIG. 4, the first registration unit 111 includes an identifier acquisition unit 1111, a key generation unit 1112, a secret key storage unit 1113, and a registration information transmission unit 1114. The first authentication unit 112 includes an identifier transmission unit 1121, a ciphertext reception unit 1122, and a ciphertext decryption unit 1123. The second registration unit 121 includes a registration information reception unit 1211 and a registration information storage unit 1212. The second authentication unit 122 includes an identifier reception unit 1221, a public key acquisition unit 1222, a session key generation unit 1223, a ciphertext generation unit 1224, and a ciphertext transmission unit 1225.

図5に示すように、まず第1登録部111の識別子取得部1111は、自端末を識別する情報である識別子IDを取得する(S1111)。識別子としては、例えばユーザが独自に設定した文字列を用いることができる。また、ユーザのメールアドレスを識別子とすることができる。また、システムから識別子が割り振られるようにしてもよい。これ以外には、例えば後述する実施例3のように公開鍵そのものを識別子として用いることもできる。次に、鍵生成部1112は、個人情報を含まない公開鍵PKと、公開鍵PKに対応する秘密鍵SKとを生成する(S1112)。次に、秘密鍵記憶部1113は、秘密鍵SKを記憶する(S1113)。次に、登録情報送信部1114は、識別子IDと公開鍵PKの組を登録情報として認証サーバ12に送信する(S1114)。 As shown in FIG. 5, first, the identifier acquisition unit 1111 of the first registration unit 111 acquires an identifier ID k that is information for identifying the terminal itself (S1111). As the identifier, for example, a character string uniquely set by the user can be used. Further, the user's mail address can be used as an identifier. An identifier may be assigned from the system. Other than this, for example, the public key itself can be used as an identifier as in Example 3 described later. Next, the key generation unit 1112 generates a public key PK k not including personal information and a secret key SK k corresponding to the public key PK k (S1112). Next, the secret key storage unit 1113 stores the secret key SK k (S1113). Next, the registration information transmission unit 1114 transmits the set of the identifier ID k and the public key PK k to the authentication server 12 as registration information (S1114).

次に、第2登録部121の登録情報受信部1211は、登録情報を受信する(S1211)。登録情報記憶部1212は、受信した登録情報を記憶する(S1212)。以上がユーザ登録動作の詳細である。   Next, the registration information receiving unit 1211 of the second registration unit 121 receives the registration information (S1211). The registration information storage unit 1212 stores the received registration information (S1212). The above is the details of the user registration operation.

次に、第1認証部112の識別子送信部1121は、認証開始時に識別子IDを認証サーバ12に送信する(S1121)。 Next, the identifier transmission unit 1121 of the first authentication unit 112 transmits the identifier ID k to the authentication server 12 at the start of authentication (S1121).

次に、第2認証部122の識別子受信部1221は、識別子IDを受信する(S1221)。次に、公開鍵取得部1222は、受信した識別子IDに対応する公開鍵PKを登録情報記憶部1212から取得する(S1222)。次に、セッション鍵生成部1223は、セッション鍵Kを生成する(S1223)。次に、暗号文生成部1224は、受信した識別子IDに対応する公開鍵PKを用いて、セッション鍵Kを暗号化して暗号文C=EncPK(K)を生成する(S1224)。次に、暗号文送信部1225は、暗号文C=EncPK(K)をユーザ端末11−kに送信する(S1225)。 Next, the identifier receiving unit 1221 of the second authentication unit 122 receives the identifier ID k (S1221). Next, the public key acquisition unit 1222 acquires the public key PK k corresponding to the received identifier ID k from the registration information storage unit 1212 (S1222). Next, the session key generation unit 1223 generates a session key K (S1223). Next, the ciphertext generation unit 1224 encrypts the session key K using the public key PK k corresponding to the received identifier ID k , and generates a ciphertext C = EncPK (K) (S1224). Next, the ciphertext transmission unit 1225 transmits the ciphertext C = EncPK (K) to the user terminal 11-k (S1225).

次に、第1認証部112の暗号文受信部1122は、認証サーバ12から暗号文を受信する(S1122)。次に、暗号文復号部1123は、秘密鍵SKを用いて暗号文Cを復号してセッション鍵Kを取得する(S1123)。セッション鍵Kで通信が可能であれば、認証成功とみなされる。以後、ユーザ端末11−kと認証サーバ12とは、セッション鍵Kを用いて安全に通信を行うことができる。以上がユーザ認証動作の詳細である。 Next, the ciphertext receiving unit 1122 of the first authentication unit 112 receives the ciphertext from the authentication server 12 (S1122). Next, the ciphertext decryption unit 1123 decrypts the ciphertext C using the secret key SK k to obtain the session key K (S1123). If communication is possible using the session key K, authentication is considered successful. Thereafter, the user terminal 11-k and the authentication server 12 can communicate safely using the session key K. The above is the details of the user authentication operation.

本実施例の認証システム1は、ユーザ登録時には、第1登録部111が公開鍵を含む登録情報を送信し、ユーザ認証時は識別子送信部1122が識別子を送信する。従って、認証サーバ12には、例え漏えいしても安全性に問題がない公開鍵や識別子などが送信されるだけである。一方、秘匿されるべき秘密鍵はユーザ端末11−kの秘密鍵記憶部1113内で安全に秘匿されている。従って、例え通信を傍受されたり、認証サーバ12が管理する登録情報が漏えいしたとしてもセキュリティ上の問題が発生しない。また、セッション鍵Kは、暗号化されてユーザ端末11−kに送信されるため、通信中の第三者の盗聴を防ぐことができる。これらの点において本認証システムは、IDとパスワードを使用するBasic認証よりも優れている。また、本実施例の認証システム1で用いられる公開鍵や識別子は個人情報を含まないため、事前の本人確認手続きなど煩雑な手続きが不要である。このため、ユーザは簡単に本認証システムを利用できる。また、個人用証明書を使う従来のアクセス制御方法では、端末のアクセスを不許可とする場合に証明書失効リストを正しく管理する必要があり、またその即時性も低いが、本認証システムでは認証サーバ12がリソースと公開鍵の紐付け情報を変更するだけでよいため、管理に手間がかからず、即時性がある。これらの点において本認証システムは、個人用証明書を使う認証方法よりも優れている。   In the authentication system 1 according to the present embodiment, the first registration unit 111 transmits registration information including a public key at the time of user registration, and the identifier transmission unit 1122 transmits an identifier at the time of user authentication. Therefore, only a public key, an identifier, or the like that has no safety problem even if it is leaked is transmitted to the authentication server 12. On the other hand, the secret key to be concealed is safely concealed in the secret key storage unit 1113 of the user terminal 11-k. Therefore, even if communication is intercepted or registration information managed by the authentication server 12 is leaked, no security problem occurs. Further, since the session key K is encrypted and transmitted to the user terminal 11-k, it is possible to prevent eavesdropping by a third party during communication. In these respects, the present authentication system is superior to Basic authentication using an ID and a password. In addition, since the public key and identifier used in the authentication system 1 of the present embodiment do not include personal information, complicated procedures such as prior identity verification procedures are not required. Therefore, the user can easily use this authentication system. In addition, in the conventional access control method using a personal certificate, it is necessary to correctly manage the certificate revocation list when the terminal access is not permitted. Since the server 12 only needs to change the association information between the resource and the public key, management is not time-consuming and immediate. In these respects, the present authentication system is superior to an authentication method using a personal certificate.

昨今の認証を必要とするオンライン上のサービスは、本名や所属を証明しなくても十分なものが多い。このようなサービスでは、認証に必要な機能は「利用者が初回に登録したときにつけたIDと対応する秘密情報を持っていることを確認すること」のみで足りる。本実施例の認証システム1は、この条件を上手く利用して、本名や所属の証明に必要となる余分なコスト、煩雑さを上手く取り除いたことがポイントである。   Many of today's online services that require authentication are sufficient without having to prove their real name or affiliation. In such a service, the function necessary for the authentication is only “confirm that the user has the secret information corresponding to the ID given at the first registration”. The point is that the authentication system 1 of the present embodiment has successfully removed the extra cost and complexity required for proof of real name and affiliation by making good use of this condition.

以下、図6、図7を参照して実施例1と異なる認証方法とした実施例2の認証システムの概要について説明する。図6は本実施例の認証システム2の概要を示すブロック図である。図7は本実施例のユーザ端末21−k、認証サーバ22の構成を示すブロック図である。   Hereinafter, an outline of the authentication system according to the second embodiment, which is an authentication method different from the first embodiment, will be described with reference to FIGS. 6 and 7. FIG. 6 is a block diagram showing an outline of the authentication system 2 of the present embodiment. FIG. 7 is a block diagram showing the configuration of the user terminal 21-k and the authentication server 22 of this embodiment.

図6に示すように、本実施例の認証システム2は、複数のユーザ端末21−1,21−2,…,21−k,…,21−nと、認証サーバ22を含む。なお、n台のユーザ端末21−1,21−2,…,21−k,…,21−n、および認証サーバ22は、NW9を介して互いに通信可能に接続されている。n台のユーザ端末21−1,21−2,…,21−k,…,21−nは全て同じ機能を備えるため、これらの代表として、以下、ユーザ端末21−kについて述べる。図7に示すように、ユーザ端末21−kは、第1登録部111と、第1認証部212を含み、認証サーバ22は、第2登録部121と、第2認証部222を含む。第1登録部111、第2登録部121については、実施例1と同様であるため、ユーザ登録動作の詳細については説明を割愛する。   As shown in FIG. 6, the authentication system 2 of the present embodiment includes a plurality of user terminals 21-1, 21-2,..., 21-k,. The n user terminals 21-1, 21-2,..., 21-k,..., 21-n and the authentication server 22 are connected to each other via the NW 9 so as to communicate with each other. Since the n user terminals 21-1, 21-2,..., 21-k,..., 21-n all have the same function, the user terminal 21-k will be described below as a representative of these. As illustrated in FIG. 7, the user terminal 21-k includes a first registration unit 111 and a first authentication unit 212, and the authentication server 22 includes a second registration unit 121 and a second authentication unit 222. About the 1st registration part 111 and the 2nd registration part 121, since it is the same as that of Example 1, it abbreviate | omits description about the detail of user registration operation | movement.

以下、図8、図9を参照して本実施例の認証システム2の詳細について説明する。図8は、本実施例のユーザ端末21−k、認証サーバ22の詳細構成を示すブロック図である。図9は、本実施例のユーザ端末21−k、認証サーバ22の動作の詳細を示すフローチャートである。   The details of the authentication system 2 of the present embodiment will be described below with reference to FIGS. FIG. 8 is a block diagram illustrating a detailed configuration of the user terminal 21-k and the authentication server 22 according to the present embodiment. FIG. 9 is a flowchart showing details of the operations of the user terminal 21-k and the authentication server 22 of the present embodiment.

図8に示すように第1認証部212は、識別子送信部1121と、乱数受信部2122と、署名生成部2123と、署名送信部2124を含む。第2認証部222は、識別子受信部1221と、公開鍵取得部1222と、乱数生成部2223と、乱数送信部2224と、署名受信部2225と、署名検証部2226を含む。   As shown in FIG. 8, the first authentication unit 212 includes an identifier transmission unit 1121, a random number reception unit 2122, a signature generation unit 2123, and a signature transmission unit 2124. The second authentication unit 222 includes an identifier reception unit 1221, a public key acquisition unit 1222, a random number generation unit 2223, a random number transmission unit 2224, a signature reception unit 2225, and a signature verification unit 2226.

図9に示すように、ユーザ認証動作において、まず第1認証部212の識別子送信部1121は、認証開始時に識別子IDを認証サーバに送信する(S1121)。 As shown in FIG. 9, in the user authentication operation, first, the identifier transmission unit 1121 of the first authentication unit 212 transmits the identifier ID k to the authentication server at the start of authentication (S1121).

次に、第2認証部222の識別子受信部1221は、識別子IDを受信する(S1221)。次に、公開鍵取得部1222は、受信した識別子IDに対応する公開鍵PKを登録情報記憶部1212から取得する(S1222)。次に、乱数生成部2223は、乱数rを生成する(S2223)。次に、乱数送信部2224は、乱数rをユーザ端末21−kに送信する(S2224)。 Next, the identifier receiving unit 1221 of the second authentication unit 222 receives the identifier ID k (S1221). Next, the public key acquisition unit 1222 acquires the public key PK k corresponding to the received identifier ID k from the registration information storage unit 1212 (S1222). Next, the random number generation unit 2223 generates a random number r (S2223). Next, the random number transmission unit 2224 transmits the random number r to the user terminal 21-k (S2224).

次に、第1認証部212の乱数受信部2122は、認証サーバ22から乱数rを受信する(S2122)。次に、署名生成部2123は、秘密鍵SKを用いて乱数rの署名σ=sig(SK,r)を生成する(S2123)。次に、署名送信部2124は、署名σ=sig(SK,r)を認証サーバ22に送信する(S2124)。 Next, the random number reception unit 2122 of the first authentication unit 212 receives the random number r from the authentication server 22 (S2122). Next, the signature generation unit 2123 generates a signature σ = sig (SK k , r) of the random number r using the secret key SK k (S2123). Next, the signature transmission unit 2124 transmits the signature σ = sig (SK k , r) to the authentication server 22 (S2124).

次に、第2認証部222の署名受信部2225は、署名σをユーザ端末21−kから受信する(S2225)。次に、署名検証部2226は、受信した識別子IDに対応する公開鍵PKを用いて、署名σを検証する(S2226)。 Next, the signature receiving unit 2225 of the second authentication unit 222 receives the signature σ from the user terminal 21-k (S2225). Next, the signature verification unit 2226 verifies the signature σ using the public key PK k corresponding to the received identifier ID k (S2226).

このように、本実施例の認証システム2によれば、秘密鍵による署名を用いて実施例1と同様に安全性が高く、より簡易な認証を実現することができる。   As described above, according to the authentication system 2 of the present embodiment, it is possible to realize a simpler authentication with higher security as in the first embodiment by using the signature by the secret key.

以下、図10、図11を参照して、前述の識別情報の代わりに認証局が発行する証明書を用いる認証方法とした実施例3の認証システムの概要について説明する。図10は本実施例の認証システム3の概要を示すブロック図である。図11は本実施例のユーザ端末31−k、認証サーバ32の構成を示すブロック図である。   The outline of the authentication system according to the third embodiment will be described below with reference to FIGS. 10 and 11 as an authentication method using a certificate issued by a certificate authority instead of the identification information described above. FIG. 10 is a block diagram showing an outline of the authentication system 3 of the present embodiment. FIG. 11 is a block diagram illustrating the configuration of the user terminal 31-k and the authentication server 32 according to the present embodiment.

図10に示すように、本実施例の認証システム3は、複数のユーザ端末31−1,31−2,…,31−k,…,31−nと、認証サーバ32と、認証局33を含む。なお、n台のユーザ端末31−1,31−2,…,31−k,…,31−n、認証サーバ32、および認証局33は、NW9を介して互いに通信可能に接続されている。n台のユーザ端末31−1,31−2,…,31−k,…,31−nは全て同じ機能を備えるため、これらの代表として、以下、ユーザ端末31−kについて述べる。図11に示すように、ユーザ端末31−kは、第1登録部311と、第1認証部312を含み、認証サーバ32は、第2登録部321と、第2認証部322を含む。   As shown in FIG. 10, the authentication system 3 of the present embodiment includes a plurality of user terminals 31-1, 31-2, ..., 31-k, ..., 31-n, an authentication server 32, and an authentication station 33. Including. Note that the n user terminals 31-1, 31-2,..., 31-k,..., 31-n, the authentication server 32, and the authentication station 33 are connected to each other via the NW 9 so as to communicate with each other. Since the n user terminals 31-1, 31-2, ..., 31-k, ..., 31-n all have the same function, the user terminal 31-k will be described below as a representative of these. As illustrated in FIG. 11, the user terminal 31-k includes a first registration unit 311 and a first authentication unit 312, and the authentication server 32 includes a second registration unit 321 and a second authentication unit 322.

以下、図12、図13を参照して本実施例の認証システム3の詳細について説明する。図12は、本実施例のユーザ端末31−k、認証サーバ32の詳細構成を示すブロック図である。図13は、本実施例のユーザ端末31−k、認証サーバ32の動作の詳細を示すフローチャートである。   Hereinafter, the details of the authentication system 3 according to the present embodiment will be described with reference to FIGS. 12 and 13. FIG. 12 is a block diagram illustrating a detailed configuration of the user terminal 31-k and the authentication server 32 according to the present embodiment. FIG. 13 is a flowchart illustrating details of operations of the user terminal 31-k and the authentication server 32 according to the present embodiment.

図12に示すように第1登録部311は、鍵生成部1112と、秘密鍵記憶部1113と、登録情報送信部3114と、証明書受信部3115と、証明書記憶部3116を含む。第1認証部312は、証明書送信部3121と、暗号文受信部1122と、暗号文復号部1123を含む。第2登録部321は、登録情報受信部3211と、証明書署名要求生成部3212と、証明書署名要求送信部3213と、証明書受信部3214と、公開鍵−証明書記憶部3215を含む。第2認証部322は、証明書受信部3221と、公開鍵取得部3222と、セッション鍵生成部1223と、暗号文生成部1224と、暗号文送信部1225を含む。なお、第1認証部312、第2認証部322については、実施例1における識別子の代わりに証明書を用いている点のみが異なるため、ユーザ認証動作の説明は適宜割愛する。   As illustrated in FIG. 12, the first registration unit 311 includes a key generation unit 1112, a secret key storage unit 1113, a registration information transmission unit 3114, a certificate reception unit 3115, and a certificate storage unit 3116. The first authentication unit 312 includes a certificate transmission unit 3121, a ciphertext reception unit 1122, and a ciphertext decryption unit 1123. The second registration unit 321 includes a registration information reception unit 3211, a certificate signature request generation unit 3212, a certificate signature request transmission unit 3213, a certificate reception unit 3214, and a public key-certificate storage unit 3215. The second authentication unit 322 includes a certificate reception unit 3221, a public key acquisition unit 3222, a session key generation unit 1223, a ciphertext generation unit 1224, and a ciphertext transmission unit 1225. Note that the first authentication unit 312 and the second authentication unit 322 differ only in that a certificate is used instead of the identifier in the first embodiment, and thus the description of the user authentication operation is omitted as appropriate.

ステップS1112、S1113は実施例1と同じであるため、説明を割愛する。次に、第1登録部311の登録情報送信部3114は、公開鍵PKのみを登録情報として認証サーバ32に送信する(S3114)。次に、第2登録部321の登録情報受信部3211は、登録情報として公開鍵PKを受信する(S3211)。次に、証明書署名要求生成部3212は、受信した公開鍵PKを証明書署名要求CSRに含むべき個人情報の代用として、証明書署名要求CSRを生成する(S3212)。次に、証明書署名要求送信部3213は、証明書署名要求CSRを認証局33に送信する(S3213)。 Since steps S1112 and S1113 are the same as those in the first embodiment, the description thereof is omitted. Next, the registration information transmission unit 3114 of the first registration unit 311 transmits only the public key PK k as registration information to the authentication server 32 (S3114). Next, the registration information receiving unit 3211 of the second registration unit 321 receives the public key PK k as registration information (S3211). Next, the certificate signature request generation unit 3212 generates a certificate signature request CSR as a substitute for personal information that should include the received public key PK k in the certificate signature request CSR (S3212). Next, the certificate signature request transmission unit 3213 transmits the certificate signature request CSR to the certificate authority 33 (S3213).

次に、認証局33は、証明書署名要求CSRを受信する(S331)。次に、認証局33は、公開鍵PKに対応する証明書certを生成して、認証サーバ32に送信する(S332)。 Next, the certificate authority 33 receives the certificate signature request CSR (S331). Next, the certificate authority 33 generates a certificate cert k corresponding to the public key PK k and transmits it to the authentication server 32 (S332).

次に、第2登録部321の証明書受信部3214は、認証局33から公開鍵PKに対応する証明書certを受信する(S3214)。公開鍵−証明書記憶部3215は、受信した公開鍵PKと公開鍵PKに対応する証明書certの組を記憶する(S3215)。以上が、ユーザ登録動作の詳細である。 Next, the certificate receiving unit 3214 of the second registration unit 321 receives the certificate cert k corresponding to the public key PK k from the certificate authority 33 (S3214). Public Key - certificate storage unit 3215 stores a set of certificate cert k corresponding to the public key PK k and the public key PK k received (S3215). The above is the details of the user registration operation.

第1登録部311の証明書受信部3115は、認証局33から公開鍵PKに対応する証明書certを受信する(S3115)。次に、証明書記憶部3116は、証明書certを記憶する(S3116)。 The certificate receiving unit 3115 of the first registration unit 311 receives the certificate cert k corresponding to the public key PK k from the certificate authority 33 (S3115). Next, the certificate storage unit 3116 stores the certificate cert k (S3116).

ユーザ認証動作においては、図13に示すように、第1認証部312の証明書送信部3121は、認証開始時に証明書certを認証サーバ32に送信する(S3121)。 In the user authentication operation, as shown in FIG. 13, the certificate transmission unit 3121 of the first authentication unit 312 transmits the certificate cert k to the authentication server 32 at the start of authentication (S3121).

次に、第2認証部322の証明書受信部3221は、ユーザ端末31−kから送信された証明書certを受信する(S3221)。次に、公開鍵取得部3222は、ユーザ端末31−kから送信された証明書certに対応する公開鍵PKを証明書−公開鍵記憶部3215から取得する(S3222)。前述したように、本実施例では実施例1における識別子の代わりに証明書を用いている点のみが異なる。従って、ステップS1223以降の動作は実施例1と同じであるため説明を割愛する。 Next, the certificate reception unit 3221 of the second authentication unit 322 receives the certificate cert k transmitted from the user terminal 31-k (S3221). Next, the public key acquisition unit 3222 acquires the public key PK k corresponding to the certificate cert k transmitted from the user terminal 31-k from the certificate-public key storage unit 3215 (S3222). As described above, this embodiment is different only in that a certificate is used instead of the identifier in the first embodiment. Accordingly, the operation after step S1223 is the same as that of the first embodiment, and thus the description thereof is omitted.

なお、本実施例の認証システム3は、WebブラウザとWebサーバの認証で実装することができる。従来のIDパスワードによる認証の場合、ユーザがブラウザの入力欄にIDとパスワードを手入力し、Basic認証などのプロトコルを用いて認証を行うことができる。一方、本認証システムの場合、ブラウザの入力欄に公開鍵暗号の秘密鍵を手入力することは現実的ではない。そこで、個人用証明書を認証するプロトコルであるFakeBasic認証(非特許文献3)を利用することで本認証システムを実現することができる。この場合、認証サーバ側32では、ApacheのFakeBasic認証を有効にすることで、個人用証明書を用いた認証を行なうことができる。認証には、LDAPを利用する設定とする。LDAPは、インターネットやイントラネットなどのTCP/IPネットワークで、ディレクトリデータベースにアクセスするためのプロトコルである。本認証システムでは、認証サーバ32において、登録されたユーザ公開鍵のリストをデータベースに登録するためにLDAPを使用することができる。   Note that the authentication system 3 of this embodiment can be implemented by authentication of a Web browser and a Web server. In the case of authentication using a conventional ID password, the user can manually enter an ID and password in the input field of the browser and perform authentication using a protocol such as Basic authentication. On the other hand, in the case of this authentication system, it is not realistic to manually input a public key encryption private key in the input field of the browser. Therefore, this authentication system can be realized by using FakeBasic authentication (Non-patent Document 3), which is a protocol for authenticating a personal certificate. In this case, the authentication server side 32 can perform authentication using a personal certificate by enabling Apache's FakeBasic authentication. The authentication is set to use LDAP. LDAP is a protocol for accessing a directory database in a TCP / IP network such as the Internet or an intranet. In this authentication system, LDAP can be used in the authentication server 32 to register a list of registered user public keys in a database.

本実施例の認証システム3では、証明書署名要求生成部3212が、証明書署名要求CSRに含むべき個人情報の代用として公開鍵を用いて、証明書署名要求CSRを生成するように構成したため、FakeBasic認証などの個人用証明書を認証するプロトコルを用いて実装した場合でも、個人用証明書を使う認証方法特有の煩雑さが発生しない。   In the authentication system 3 of the present embodiment, the certificate signature request generation unit 3212 is configured to generate a certificate signature request CSR using a public key as a substitute for personal information to be included in the certificate signature request CSR. Even when implemented using a protocol for authenticating a personal certificate such as Fake Basic authentication, there is no complication specific to an authentication method using a personal certificate.

以下、図14、図15、図16を参照して、実施例1の構成に加えて認証サーバが、他のサーバ(各種サービスを提供するサービス提供サーバ)に認証結果通知を送信する機能を付加した実施例4の認証システム4について説明する。図14は、本実施例の認証システム4の概要を示すブロック図である。図15は、本実施例のユーザ端末11−k、認証サーバ42の構成を示すブロック図である。図16は、本実施例のユーザ端末11−k、認証サーバ42の動作を示すフローチャートである。   14, 15, and 16, in addition to the configuration of the first embodiment, the authentication server has a function of transmitting an authentication result notification to another server (service providing server that provides various services). The authentication system 4 according to the fourth embodiment will be described. FIG. 14 is a block diagram showing an outline of the authentication system 4 of the present embodiment. FIG. 15 is a block diagram illustrating configurations of the user terminal 11-k and the authentication server 42 according to the present embodiment. FIG. 16 is a flowchart illustrating operations of the user terminal 11-k and the authentication server 42 according to the present embodiment.

図14に示すように、本実施例の認証システム4は、複数のユーザ端末11−1,11−2,…,11−k,…,11−nと、認証サーバ42、サービス提供サーバ43を含む。ユーザ端末11−1,11−2,…,11−k,…,11−nは、実施例1と同じである。なお、n台のユーザ端末11−1,11−2,…,11−k,…,11−n、認証サーバ42、およびサービス提供サーバ43は、NW9を介して互いに通信可能に接続されている。サービス提供サーバ43は、ユーザ端末11−1,11−2,…,11−k,…,11−nからのアクセスに応じて認証サーバ42に認証クエリ(認証要求)を送信する。これは、認証サーバ42にユーザの認証動作を肩代わりさせることを目的とした動作である。例えばサービス提供サーバ43が、PayTVサイト、電子書籍販売サイト、ゲームサーバなどであって、認証サーバ42に該当するfacebook(登録商標)、iTunes Store(登録商標)などの規模の大きいサーバに認証動作を代行してもらう例がある。   As shown in FIG. 14, the authentication system 4 according to the present embodiment includes a plurality of user terminals 11-1, 11-2,..., 11 -k, 11 -n, an authentication server 42 and a service providing server 43. Including. User terminals 11-1, 11-2, ..., 11-k, ..., 11-n are the same as those in the first embodiment. Note that the n user terminals 11-1, 11-2, ..., 11-k, ..., 11-n, the authentication server 42, and the service providing server 43 are connected to each other via the NW 9 so as to communicate with each other. . The service providing server 43 transmits an authentication query (authentication request) to the authentication server 42 in response to access from the user terminals 11-1, 11-2,..., 11-k,. This is an operation aimed at causing the authentication server 42 to take over the user authentication operation. For example, the service providing server 43 is a PayTV site, an e-book sales site, a game server, and the like, and performs an authentication operation on a large-scale server such as facebook (registered trademark) and iTunes Store (registered trademark) corresponding to the authentication server 42. There is an example to have you act.

図15に示すように、認証サーバ42は、実施例1と同じ第2登録部121、第2認証部122に加え、認証結果通知部423をさらに含む。図16に示すように、認証結果通知部423は、認証クエリQを受信した場合に、アクセスを実行したユーザ端末11−kとの認証の結果である認証結果通知(T or F,Tならば認証成功、Fならば認証失敗)をサービス提供サーバ43に送信する(S423)。サービス提供サーバ43は、受信した認証結果通知に基づいて、ユーザのリソースへのアクセスの可否を判断する。   As illustrated in FIG. 15, the authentication server 42 further includes an authentication result notification unit 423 in addition to the second registration unit 121 and the second authentication unit 122 that are the same as those in the first embodiment. As illustrated in FIG. 16, when receiving the authentication query Q, the authentication result notifying unit 423 receives an authentication result notification (if it is T or F, T) that is a result of authentication with the user terminal 11-k that has performed access. Authentication success, authentication failure if F) is transmitted to the service providing server 43 (S423). The service providing server 43 determines whether the user can access the resource based on the received authentication result notification.

このように、本実施例の認証システム4によれば、サービス提供サーバ43に代わって、認証サーバ42がアクセス元のユーザ端末11−kを認証することができるため、実施例1の効果に加え、より柔軟に、様々なシステムに応用することができる。   As described above, according to the authentication system 4 of the present embodiment, the authentication server 42 can authenticate the user terminal 11-k that is the access source instead of the service providing server 43. Therefore, in addition to the effects of the first embodiment. It can be applied to various systems more flexibly.

以下、図17、図18、図19を参照して、実施例1の構成に加えて認証サーバが、認証成功時にユーザ端末に許可トークンを送信する機能を付加した実施例5の認証システム5について説明する。図17は、本実施例の認証システム5の概要を示すブロック図である。図18は、本実施例のユーザ端末51−k、認証サーバ52の構成を示すブロック図である。図19は、本実施例のユーザ端末51−k、認証サーバ52の動作を示すフローチャートである。   Hereinafter, with reference to FIG. 17, FIG. 18, FIG. 19, in addition to the configuration of the first embodiment, the authentication system 5 of the fifth embodiment to which the authentication server has added a function of transmitting an authorization token to the user terminal upon successful authentication. explain. FIG. 17 is a block diagram showing an outline of the authentication system 5 of the present embodiment. FIG. 18 is a block diagram illustrating configurations of the user terminal 51-k and the authentication server 52 according to the present embodiment. FIG. 19 is a flowchart illustrating operations of the user terminal 51-k and the authentication server 52 according to the present embodiment.

図17に示すように、本実施例の認証システム5は、複数のユーザ端末51−1,51−2,…,51−k,…,51−nと、認証サーバ52、サービス提供サーバ53を含む。n台のユーザ端末51−1,51−2,…,51−k,…,51−n、認証サーバ52、およびサービス提供サーバ53は、NW9を介して互いに通信可能に接続されている。n台のユーザ端末51−1,51−2,…,51−k,…,51−nは全て同じ機能を備えるため、これらの代表として、以下ユーザ端末51−kについて述べる。本実施例では、例えば認証サーバ52は、会社などの入退室管理システムにおけるシステム・サーバ、サービス提供サーバ53は、社内LANや大学の学内LANにおけるサーバ装置などとすることができる。この場合、学生や社員が研究室や会社に入室する際に認証が実行され、認証成功時に許可トークンが発行され、社内LANや学内LANにおいて、この許可トークンを使用する例が想定できる。この場合、許可トークンは例えばプリンタの使用許可、ネットワークドライブへのアクセスの許否などに使用することができる。   As shown in FIG. 17, the authentication system 5 of this embodiment includes a plurality of user terminals 51-1, 51-2,..., 51-k, 51 -n, an authentication server 52, and a service providing server 53. Including. The n user terminals 51-1, 51-2, ..., 51-k, ..., 51-n, the authentication server 52, and the service providing server 53 are communicably connected to each other via the NW9. Since the n user terminals 51-1, 51-2, ..., 51-k, ..., 51-n all have the same function, the user terminal 51-k will be described below as a representative of these. In this embodiment, for example, the authentication server 52 can be a system server in an entrance / exit management system such as a company, and the service providing server 53 can be a server device in an in-house LAN or a university campus LAN. In this case, authentication is performed when a student or employee enters a laboratory or company, and an authorization token is issued when the authentication is successful. An example of using this authorization token in an in-house LAN or a campus LAN can be assumed. In this case, the permission token can be used, for example, for permission to use the printer, permission for access to the network drive, or the like.

図18に示すように、ユーザ端末51−kは、実施例1と同じ第1登録部111、第1認証部112に加え、許可トークン受信部513をさらに含む。認証サーバ52は、実施例1と同じ第2登録部121、第2認証部122に加え、許可トークン送信部523をさらに含む。図19に示すように、認証サーバ52の許可トークン送信部523は、第2認証部122における認証が成功する度に許可トークンを生成し、許可トークンを認証相手であるユーザ端末51−kに送信する(S523)。ユーザ端末51−kの許可トークン受信部513は、許可トークンを受信する(S513)。   As illustrated in FIG. 18, the user terminal 51-k further includes a permission token receiving unit 513 in addition to the same first registration unit 111 and first authentication unit 112 as those in the first embodiment. The authentication server 52 further includes a permission token transmission unit 523 in addition to the second registration unit 121 and the second authentication unit 122 that are the same as those in the first embodiment. As illustrated in FIG. 19, the authorization token transmission unit 523 of the authentication server 52 generates an authorization token every time the second authentication unit 122 succeeds in authentication, and transmits the authorization token to the user terminal 51-k that is the authentication partner. (S523). The permission token receiving unit 513 of the user terminal 51-k receives the permission token (S513).

このように、本実施例の認証システム5によれば、サービス提供サーバ53などで利用される許可トークンを、認証サーバ52が発行することとしたため、実施例1の効果に加え、より柔軟に、様々なシステムに応用することができる。   Thus, according to the authentication system 5 of the present embodiment, since the authentication server 52 issues the authorization token used by the service providing server 53 and the like, in addition to the effects of the first embodiment, more flexibly, It can be applied to various systems.

上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。   The various processes described above are not only executed in time series according to the description, but may also be executed in parallel or individually as required by the processing capability of the apparatus that executes the processes. Needless to say, other modifications are possible without departing from the spirit of the present invention.

また、上述の構成をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。   Further, when the above-described configuration is realized by a computer, processing contents of functions that each device should have are described by a program. The processing functions are realized on the computer by executing the program on the computer.

この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。   The program describing the processing contents can be recorded on a computer-readable recording medium. As the computer-readable recording medium, for example, any recording medium such as a magnetic recording device, an optical disk, a magneto-optical recording medium, and a semiconductor memory may be used.

また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。   The program is distributed by selling, transferring, or lending a portable recording medium such as a DVD or CD-ROM in which the program is recorded. Furthermore, the program may be distributed by storing the program in a storage device of the server computer and transferring the program from the server computer to another computer via a network.

このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP(Application Service Provider)型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの(コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等)を含むものとする。   A computer that executes such a program first stores, for example, a program recorded on a portable recording medium or a program transferred from a server computer in its own storage device. When executing the process, the computer reads a program stored in its own recording medium and executes a process according to the read program. As another execution form of the program, the computer may directly read the program from a portable recording medium and execute processing according to the program, and the program is transferred from the server computer to the computer. Each time, the processing according to the received program may be executed sequentially. Also, the program is not transferred from the server computer to the computer, and the above-described processing is executed by a so-called ASP (Application Service Provider) type service that realizes the processing function only by the execution instruction and result acquisition. It is good. Note that the program in this embodiment includes information that is used for processing by an electronic computer and that conforms to the program (data that is not a direct command to the computer but has a property that defines the processing of the computer).

また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。   In this embodiment, the present apparatus is configured by executing a predetermined program on a computer. However, at least a part of these processing contents may be realized by hardware.

Claims (8)

複数のユーザ端末と、認証サーバを含む認証システムであって、
前記ユーザ端末は、
個人情報を含まない公開鍵と、前記公開鍵に対応する秘密鍵とを生成して、前記公開鍵を含む登録情報を前記認証サーバに送信する第1登録部と、
前記秘密鍵を用いて自端末が前記公開鍵に対応する前記秘密鍵を所持していることを認証、又は前記認証に必要なデータを生成して送信する第1認証部を含み、
前記認証サーバは、
受信した前記登録情報を前記ユーザ端末ごとに記憶する第2登録部と、
前記登録情報に含まれる前記公開鍵を用いて前記ユーザ端末が前記公開鍵に対応する前記秘密鍵を所持していることを認証、又は前記認証に必要なデータを生成して送信する第2認証部を含む
認証システム。 An authentication system including a plurality of user terminals and an authentication server,
The user terminal is
A first registration unit that generates a public key not including personal information and a secret key corresponding to the public key, and transmits registration information including the public key to the authentication server;
A first authentication unit that authenticates that the terminal owns the secret key corresponding to the public key by using the secret key, or generates and transmits data necessary for the authentication;
The authentication server is
A second registration unit for storing the received registration information for each user terminal;
Second authentication for authenticating that the user terminal possesses the secret key corresponding to the public key using the public key included in the registration information, or generating and transmitting data necessary for the authentication Authentication system including a department. 請求項1に記載の認証システムであって、
前記第1登録部は、
自端末を識別する情報である識別子を取得する識別子取得部と、
個人情報を含まない公開鍵と、前記公開鍵に対応する秘密鍵とを生成する鍵生成部と、
前記秘密鍵を記憶する秘密鍵記憶部と、
前記識別子と前記公開鍵の組を前記登録情報として前記認証サーバに送信する登録情報送信部を含み、
前記第1認証部は、
認証開始時に前記識別子を前記認証サーバに送信する識別子送信部と、
前記認証サーバから暗号文を受信する暗号文受信部と、
前記秘密鍵を用いて前記暗号文を復号してセッション鍵を取得する暗号文復号部を含み、
前記第2登録部は、
前記登録情報を受信する登録情報受信部と、
受信した前記登録情報を記憶する登録情報記憶部を含み、
前記第2認証部は、
前記識別子を受信する識別子受信部と、
前記受信した識別子に対応する前記公開鍵を前記登録情報記憶部から取得する公開鍵取得部と、
前記セッション鍵を生成するセッション鍵生成部と、
受信した前記識別子に対応する公開鍵を用いて、前記セッション鍵を暗号化して前記暗号文を生成する暗号文生成部と、
前記暗号文を前記ユーザ端末に送信する暗号文送信部を含む
認証システム。 The authentication system according to claim 1,
The first registration unit includes:
An identifier acquisition unit that acquires an identifier that is information for identifying the terminal;
A key generation unit that generates a public key not including personal information, and a secret key corresponding to the public key;
A secret key storage unit for storing the secret key;
A registration information transmission unit that transmits the set of the identifier and the public key as the registration information to the authentication server;
The first authentication unit includes:
An identifier transmitter for transmitting the identifier to the authentication server at the start of authentication;
A ciphertext receiving unit that receives ciphertext from the authentication server;
A ciphertext decryption unit that obtains a session key by decrypting the ciphertext using the secret key;
The second registration unit
A registration information receiving unit for receiving the registration information;
A registration information storage unit for storing the received registration information;
The second authentication unit includes:
An identifier receiving unit for receiving the identifier;
A public key acquisition unit for acquiring the public key corresponding to the received identifier from the registration information storage unit;
A session key generation unit for generating the session key;
Using a public key corresponding to the received identifier, a ciphertext generator that encrypts the session key and generates the ciphertext;
An authentication system including a ciphertext transmission unit that transmits the ciphertext to the user terminal. 請求項1に記載の認証システムであって、
前記第1登録部は、
自端末を識別する情報である識別子を取得する識別子取得部と、
個人情報を含まない公開鍵と、前記公開鍵に対応する秘密鍵とを生成する鍵生成部と、
前記秘密鍵を記憶する秘密鍵記憶部と、
前記識別子と前記公開鍵の組を前記登録情報として前記認証サーバに送信する登録情報送信部を含み、
前記第1認証部は、
認証開始時に前記識別子を前記認証サーバに送信する識別子送信部と、
前記認証サーバから乱数を受信する乱数受信部と、
前記秘密鍵を用いて前記乱数の署名を生成する署名生成部と、
前記署名を前記認証サーバに送信する署名送信部を含み、
前記第2登録部は、
前記登録情報を受信する登録情報受信部と、
受信した前記登録情報を記憶する登録情報記憶部を含み、
前記第2認証部は、
前記識別子を受信する識別子受信部と、
受信した前記識別子に対応する前記公開鍵を前記登録情報記憶部から取得する公開鍵取得部と、
前記乱数を生成する乱数生成部と、
前記乱数を前記ユーザ端末に送信する乱数送信部と、
前記署名を前記ユーザ端末から受信する署名受信部と、
受信した前記識別子に対応する前記公開鍵を用いて、前記署名を検証する署名検証部を含む
認証システム。 The authentication system according to claim 1,
The first registration unit includes:
An identifier acquisition unit that acquires an identifier that is information for identifying the terminal;
A key generation unit that generates a public key not including personal information, and a secret key corresponding to the public key;
A secret key storage unit for storing the secret key;
A registration information transmission unit that transmits the set of the identifier and the public key as the registration information to the authentication server;
The first authentication unit includes:
An identifier transmitter for transmitting the identifier to the authentication server at the start of authentication;
A random number receiver for receiving a random number from the authentication server;
A signature generation unit that generates a signature of the random number using the secret key;
A signature transmission unit that transmits the signature to the authentication server;
The second registration unit
A registration information receiving unit for receiving the registration information;
A registration information storage unit for storing the received registration information;
The second authentication unit includes:
An identifier receiving unit for receiving the identifier;
A public key acquisition unit that acquires the public key corresponding to the received identifier from the registration information storage unit;
A random number generator for generating the random number;
A random number transmitter for transmitting the random number to the user terminal;
A signature receiver for receiving the signature from the user terminal;
An authentication system including a signature verification unit that verifies the signature using the public key corresponding to the received identifier. 請求項1に記載の認証システムであって、
証明書署名要求に対して証明書を発行する認証局をさらに含み、
前記第1登録部は、
個人情報を含まない公開鍵と、前記公開鍵に対応する秘密鍵とを生成する鍵生成部と、
前記秘密鍵を記憶する秘密鍵記憶部と、
前記公開鍵を前記登録情報として前記認証サーバに送信する登録情報送信部と、
前記認証局から前記公開鍵に対応する前記証明書を受信する証明書受信部と、
前記証明書を記憶する証明書記憶部を含み、
前記第1認証部は、
認証開始時に前記証明書を前記認証サーバに送信する証明書送信部と、
前記認証サーバから暗号文を受信する暗号文受信部と、
前記秘密鍵を用いて前記暗号文を復号してセッション鍵を取得する暗号文復号部を含み、
前記第2登録部は、
前記登録情報として前記公開鍵を受信する登録情報受信部と、
受信した前記公開鍵を前記証明書署名要求に含むべき個人情報の代用として、前記証明書署名要求を生成する証明書署名要求生成部と、
前記証明書署名要求を前記認証局に送信する証明書署名要求送信部と、
前記認証局から前記公開鍵に対応する前記証明書を受信する証明書受信部と、
受信した前記公開鍵と前記公開鍵に対応する前記証明書の組を記憶する公開鍵−証明書記憶部を含み、
前記第2認証部は、
前記ユーザ端末から送信された前記証明書を受信する証明書受信部と、
前記ユーザ端末から送信された前記証明書に対応する前記公開鍵を前記証明書−公開鍵記憶部から取得する公開鍵取得部と、
前記セッション鍵を生成するセッション鍵生成部と、
前記ユーザ端末から送信された前記証明書に対応する前記公開鍵を用いて、前記セッション鍵を暗号化して前記暗号文を生成する暗号文生成部と、
前記暗号文を送信する暗号文送信部を含む
認証システム。 The authentication system according to claim 1,
A certificate authority that issues a certificate in response to the certificate signing request;
The first registration unit includes:
A key generation unit that generates a public key not including personal information, and a secret key corresponding to the public key;
A secret key storage unit for storing the secret key;
A registration information transmission unit that transmits the public key as the registration information to the authentication server;
A certificate receiver that receives the certificate corresponding to the public key from the certificate authority;
A certificate storage unit for storing the certificate;
The first authentication unit includes:
A certificate transmission unit that transmits the certificate to the authentication server at the start of authentication;
A ciphertext receiving unit that receives ciphertext from the authentication server;
A ciphertext decryption unit that obtains a session key by decrypting the ciphertext using the secret key;
The second registration unit
A registration information receiving unit that receives the public key as the registration information;
A certificate signing request generating unit for generating the certificate signing request as a substitute for personal information to be included in the certificate signing request with the received public key;
A certificate signing request sending unit for sending the certificate signing request to the certificate authority;
A certificate receiver that receives the certificate corresponding to the public key from the certificate authority;
A public key-certificate storage unit for storing the received public key and a set of the certificate corresponding to the public key;
The second authentication unit includes:
A certificate receiver for receiving the certificate transmitted from the user terminal;
A public key acquisition unit that acquires the public key corresponding to the certificate transmitted from the user terminal from the certificate-public key storage unit;
A session key generation unit for generating the session key;
A ciphertext generating unit that generates the ciphertext by encrypting the session key using the public key corresponding to the certificate transmitted from the user terminal;
An authentication system including a ciphertext transmission unit that transmits the ciphertext. 請求項1から4のいずれかに記載の認証システムであって、
前記ユーザ端末からのアクセスに応じて前記認証サーバに認証クエリを送信するサービス提供サーバをさらに含み、
前記認証サーバは、
前記認証クエリを受信した場合にアクセスを実行した前記ユーザ端末との認証の結果である認証結果通知を前記サービス提供サーバに送信する認証結果通知部をさらに含む
認証システム。 The authentication system according to any one of claims 1 to 4,
A service providing server that transmits an authentication query to the authentication server in response to access from the user terminal;
The authentication server is
An authentication system further comprising: an authentication result notification unit that transmits an authentication result notification, which is a result of authentication with the user terminal that has performed access when the authentication query is received, to the service providing server. 請求項1から4のいずれかに記載の認証システムであって、
前記認証サーバは、
前記第2認証部における認証が成功する度に許可トークンを生成し、前記許可トークンを認証相手である前記ユーザ端末に送信する許可トークン送信部をさらに含む
認証システム。 The authentication system according to any one of claims 1 to 4,
The authentication server is
An authentication system further comprising an authorization token transmission unit that generates an authorization token each time the second authentication unit succeeds in authentication and transmits the authorization token to the user terminal that is an authentication partner. コンピュータを、請求項1から6のいずれかに記載の認証システムに含まれるユーザ端末として機能させるためのプログラム。   The program for functioning a computer as a user terminal contained in the authentication system in any one of Claim 1 to 6. コンピュータを、請求項1から6のいずれかに記載の認証システムに含まれる認証サーバとして機能させるためのプログラム。   A program for causing a computer to function as an authentication server included in the authentication system according to any one of claims 1 to 6.
JP2014007633A 2014-01-20 2014-01-20 Authentication system, program Expired - Fee Related JP6182080B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014007633A JP6182080B2 (en) 2014-01-20 2014-01-20 Authentication system, program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014007633A JP6182080B2 (en) 2014-01-20 2014-01-20 Authentication system, program

Publications (2)

Publication Number Publication Date
JP2015138978A true JP2015138978A (en) 2015-07-30
JP6182080B2 JP6182080B2 (en) 2017-08-16

Family

ID=53769749

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014007633A Expired - Fee Related JP6182080B2 (en) 2014-01-20 2014-01-20 Authentication system, program

Country Status (1)

Country Link
JP (1) JP6182080B2 (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017097802A (en) * 2015-11-27 2017-06-01 ヤフー株式会社 User information management device, user information management method, and user information management program
JP2018082244A (en) * 2016-11-14 2018-05-24 ソラミツ株式会社 Login authentication system, service provider and authentication server in login authentication system, and login authentication method and program for service provider, authentication server, computer and mobile terminal in login authentication system
US10116449B2 (en) 2015-09-07 2018-10-30 Yahoo Japan Corporation Generation device, terminal device, generation method, non-transitory computer readable storage medium, and authentication processing system
US10341114B2 (en) 2015-09-11 2019-07-02 Yahoo Japan Corporation Providing device, terminal device, providing method, non-transitory computer readable storage medium, and authentication processing system
US10868670B2 (en) 2016-08-05 2020-12-15 Huawei International Pte. Ltd. Data processing method and apparatus

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105568615B (en) * 2015-12-16 2017-10-27 惠而浦(中国)股份有限公司 Washing machine with ultrasonic unit

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH03131139A (en) * 1989-10-16 1991-06-04 Hitachi Ltd Key management system for cryptographic key
JP2001320356A (en) * 2000-02-29 2001-11-16 Sony Corp Data communication system using public key system cypher, and data communication system constructing method
JP2005516533A (en) * 2002-01-29 2005-06-02 プラムツリー ソフトウェア インコーポレイテッド Single sign-on on the Internet using public key cryptography
WO2009050924A1 (en) * 2007-10-19 2009-04-23 Nippon Telegraph And Telephone Corporation User authentication system and its method
JP2009100195A (en) * 2007-10-16 2009-05-07 Canon Inc Authentication client device, authentication server device, user authentication system

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH03131139A (en) * 1989-10-16 1991-06-04 Hitachi Ltd Key management system for cryptographic key
JP2001320356A (en) * 2000-02-29 2001-11-16 Sony Corp Data communication system using public key system cypher, and data communication system constructing method
JP2005516533A (en) * 2002-01-29 2005-06-02 プラムツリー ソフトウェア インコーポレイテッド Single sign-on on the Internet using public key cryptography
JP2009100195A (en) * 2007-10-16 2009-05-07 Canon Inc Authentication client device, authentication server device, user authentication system
WO2009050924A1 (en) * 2007-10-19 2009-04-23 Nippon Telegraph And Telephone Corporation User authentication system and its method

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10116449B2 (en) 2015-09-07 2018-10-30 Yahoo Japan Corporation Generation device, terminal device, generation method, non-transitory computer readable storage medium, and authentication processing system
US10341114B2 (en) 2015-09-11 2019-07-02 Yahoo Japan Corporation Providing device, terminal device, providing method, non-transitory computer readable storage medium, and authentication processing system
JP2017097802A (en) * 2015-11-27 2017-06-01 ヤフー株式会社 User information management device, user information management method, and user information management program
US10868670B2 (en) 2016-08-05 2020-12-15 Huawei International Pte. Ltd. Data processing method and apparatus
JP2018082244A (en) * 2016-11-14 2018-05-24 ソラミツ株式会社 Login authentication system, service provider and authentication server in login authentication system, and login authentication method and program for service provider, authentication server, computer and mobile terminal in login authentication system

Also Published As

Publication number Publication date
JP6182080B2 (en) 2017-08-16

Similar Documents

Publication Publication Date Title
JP4617763B2 (en) Device authentication system, device authentication server, terminal device, device authentication method, and device authentication program
JP6182080B2 (en) Authentication system, program
CN109309565A (en) A kind of method and device of safety certification
US20080155267A1 (en) Identity management system with an untrusted identity provider
EP2553894B1 (en) Certificate authority
JP2005102163A5 (en)
CN108809633B (en) Identity authentication method, device and system
EP3556070B1 (en) Use of personal device for convenient and secure authentication
US20080155664A1 (en) Identity management system with an untrusted identity provider
US10671717B2 (en) Communication device, communication method and computer program
CN103634265A (en) Method, device and system for security authentication
KR20080050937A (en) Method for performing authentication and appartus therefor
JP5495194B2 (en) Account issuing system, account server, service server, and account issuing method
TW201628370A (en) Network group authentication system and method
EP3820186B1 (en) Method and apparatus for transmitting router security information
KR101388251B1 (en) Method and apparatus for authentication of unknown user in social network service
TW201901508A (en) Authentication method for login capable of enhancing data security and protection of user privacies
JP2001344214A (en) Method for certifying terminal and cipher communication system
KR19990038925A (en) Secure Two-Way Authentication Method in a Distributed Environment
JP5799635B2 (en) ENCRYPTED DATA SEARCH SYSTEM, DEVICE, METHOD, AND PROGRAM
KR20150005789A (en) Method for Authenticating by using Certificate
JP5553914B1 (en) Authentication system, authentication device, and authentication method
CN106506476B (en) The method and system of safety modification facility information
US11153288B2 (en) System and method for monitoring leakage of internal information by analyzing encrypted traffic
KR20210104338A (en) Encryption Gateway equipped with quantum encryption chip based a quantum random number and method of providing encryption communication service between IoT device using the same

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160107

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20161024

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20161108

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170106

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170718

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170721

R150 Certificate of patent or registration of utility model

Ref document number: 6182080

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees