JP2016038845A - 利用者認証システム、認証サーバ、利用者認証方法、プログラム - Google Patents

利用者認証システム、認証サーバ、利用者認証方法、プログラム Download PDF

Info

Publication number
JP2016038845A
JP2016038845A JP2014163554A JP2014163554A JP2016038845A JP 2016038845 A JP2016038845 A JP 2016038845A JP 2014163554 A JP2014163554 A JP 2014163554A JP 2014163554 A JP2014163554 A JP 2014163554A JP 2016038845 A JP2016038845 A JP 2016038845A
Authority
JP
Japan
Prior art keywords
authentication
information
user
user terminal
encryption
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2014163554A
Other languages
English (en)
Inventor
広明 伊坂
Hiroaki Isaka
広明 伊坂
知加良 盛
Shigeru Chikara
盛 知加良
真紀子 青柳
Makiko Aoyanagi
真紀子 青柳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2014163554A priority Critical patent/JP2016038845A/ja
Publication of JP2016038845A publication Critical patent/JP2016038845A/ja
Pending legal-status Critical Current

Links

Images

Abstract

【課題】端末側においてサーバ管理者が設定した利用条件を満たす場合にのみ、本人認証が可能となる利用者認証システムを提供する。【解決手段】認証サーバと、複数の利用者端末を含む利用者認証システムであって、認証サーバは、利用者端末の認証に使用する認証情報を生成する際に用いる情報である認証生成情報を利用者端末のそれぞれに対して生成し、暗号化された認証生成情報を対応する利用者端末に送信する利用者管理部と、認証生成情報を暗号化する際の条件である暗号化条件と、暗号化された認証生成情報の復号に必要な情報である復号情報を、利用者端末のそれぞれに対して指定する暗号化条件指定部と、暗号化条件に基づいて対応する認証生成情報を暗号化する暗号化実行部と、利用者端末から認証情報を受信した場合に対応する利用者端末の認証を実行する認証実行部を含む。【選択図】図1

Description

本発明は、利用者のアクセス認証を制御する利用者認証システム、認証サーバ、利用者認証方法、プログラムに関する。
医療や教育といった行政の電子化やクラウドサービスの普及に伴い、コンピュータシステム上に保管される企業や個人の情報資産の量はますます増大した。これに伴い情報の改ざんや取得を目的として利用権限を持たない情報システムに侵入する不正アクセス対策の被害も深刻になりつつある。さらに、スマートフォンやタブレットなどのモバイル機器の普及とそれに伴う公衆無線LANサービスの拡大に伴って、従来のID/パスワードや「本人性」の確認だけでは安全性が必ずしも確保できなくなっている。例えば、各ユーザーのWEPキーが同一であるような公衆無線LANは第三者が比較的容易に通信内容を盗聴することが可能である。こうしたネットワークを経由してコンピュータシステムにアクセスした場合、本人性と閲覧権限を厳密に確信して閲覧を許可したにも関わらず、その情報資産が利用者の端末に転送される過程で情報流出してしまうことになる。さらに、企業が雇用者の私有端末による企業内システムへのアクセスを許可するBYOD(Bring Your Own Device)により、コンピュータウィルス対策などが徹底されない端末の利用や勤務時間外の利用の増大などが、こうした情報漏洩リスクの拡大に拍車をかけている。
こうした不正アクセスは、通信経路を流れる認証データの盗聴・解読、解読した認証データの窃用によるコンピュータシステムへの不正認証という二段階を経る。認証データの盗聴対策としては通信データの暗号化があり、SSL/TLSによる通信パケット全体の暗号化や認証データ自体を暗号化する手法がある。暗号化に用いられる暗号アルゴリズムには、元のデータを復元できない一方向の変換を行うハッシュ関数や暗号化と復号に用いる鍵が同一の共通鍵暗号方式、暗号化と復号に用いる鍵(公開鍵と秘密鍵)が異なる公開鍵暗号方式があり、用途に応じた使い分けや組合わせが行われている。また、公開鍵暗号方式の発展形として、暗号化・復号の条件を、単一のパラメータや複数のパラメータとその論理演算式(論理和(OR条件)、論理積(AND条件)、否定(NOT条件)とそれらの組合わせ)として与えることができる暗号方式も提案されている。単一のパラメータで暗号化・復号する暗号方式は、IDベース暗号、複数のパラメータとその論理演算式で暗号化・復号する方式は関数型暗号と呼ばれる。IDベース暗号、関数型暗号とも、あらかじめペアとなるマスター公開鍵、マスター秘密鍵のセットを生成し、マスター公開鍵、マスター秘密鍵とパラメータの演算によって、パラメータ毎に異なる公開鍵、秘密鍵を生成する。IBE(ID-Based Encryption、IDベース暗号)を用いる従来技術として特許文献1及び非特許文献1が知られている。また、関数型暗号方式については特許文献2が知られている。
不正認証に対する対策としては、コンピュータシステムがアクセスする利用者を認証する場合、利用者IDとパスワードの交換方式を強化し、盗聴されたとしても利用者IDやパスワードが容易に類推できないようにすることがある。ID、パスワード交換の方式として一番単純な方式は、利用者が入力、コンピュータシステムに送信したID、パスワードを、コンピュータシステムに保管した値と比較・照合するパスワード・オーセンティケーション・プロトコル(PAP)認証である。この方式は認証の都度同じ情報を送信するため、一旦盗聴されてしまうと、そのデータを使って容易に不正アクセスされてしまうという弱点がある。そのため、認証要求の都度、コンピュータシステムがチャレンジと呼ばれるランダムに生成した認証生成情報を利用者端末と共有、端末、コンピュータシステムそれぞれで、パスワードと認証情報から事前に設定した計算を行う。この計算結果(チャレンジ)を認証情報として、照合するチャレンジ・ハンドシェイク・オーセンティケーション・プロトコル(CHAP)認証、トークンや暗号表などを利用して、認証生成情報を発行するワンタイムパスワード、認証生成情報としてPKIなどによる第三者認証が可能な電子証明書認証などが使われる。いずれの場合も、本人の記憶やトークン、暗号表、電子証明書などの所有を根拠として「本人性」を認証するものである。そのため、パスワードの漏えいや類推による偽造、トークン、暗号表が盗用された場合に、不正アクセスを防ぐことはできない(非特許文献2、P3〜P12)。こうした欠点を補完する手段として「リスクベース認証」がある。リスクベース認証は、利用者が通常使うネットワーク環境や端末環境、利用時間を履歴として蓄積し、通常と異なる環境からアクセスがあった場合には、認証を拒否するか追加の認証を行うという手法である。
特開2011−004366号公報 特開2014−095847号公報
小林鉄太郎、山本剛、鈴木幸太郎、平田真一、「IDベース暗号の応用とキーワード検索暗号」、NTT技術ジャーナル、日本電信電話株式会社、平成22年2月、p.17-20 情報処理振興事業協会セキュリティセンター、"本人認証技術の現状に関する調査報告書"、[online]、平成15年3月、情報処理振興事業協会セキュリティセンター、[平成26年8月7日検索]、インターネット<URL:https://www.ipa.go.jp/security/fy14/reports/authentication/authentication2002.pdf>
しかしながら、従来のリスクベース認証では、利用者の利用履歴がある程度蓄積されるまで効果を発揮しないこと、利用者の利用環境に基づくリスク判断の妥当性が必ずしも明確でないこと、システム管理者が利用者の利用環境を正確に指定できないなどの課題があった。また、リスク判断をより高度化するためは、認証属性の追加やそれらの組合わせのパターンを増やす必要があり、そのたびに情報収集のためのシステムや判断ロジックの変更が必要となり、システム管理者の負担が増大するという問題点があった。そこで本発明では、端末側においてサーバ管理者が設定した利用条件を満たす場合にのみ、本人認証が可能となる利用者認証システムを提供することを目的とする。
本発明の利用者認証システムは、認証サーバと、複数の利用者端末を含む。
認証サーバは、利用者管理部と、暗号化条件指定部と、暗号化実行部と、認証実行部を含む。利用者管理部は、利用者端末の認証に使用する認証情報を生成する際に用いる情報である認証生成情報を利用者端末のそれぞれに対して生成し、暗号化された認証生成情報を対応する利用者端末に送信する。暗号化条件指定部は、認証生成情報を暗号化する際の条件である暗号化条件と、暗号化された認証生成情報の復号に必要な情報である復号情報を、利用者端末のそれぞれに対して指定する。暗号化実行部は、暗号化条件に基づいて対応する認証生成情報を暗号化する。認証実行部は、利用者端末から認証情報を受信した場合に対応する利用者端末の認証を実行する。
利用者端末は、復号情報取得部と、復号実行部と、認証要求部を含む。復号情報取得部は、自端末と対応する復号情報を取得する。復号実行部は、復号情報に基づいて自端末と対応する暗号化された認証生成情報を復号する。認証要求部は、復号された認証生成情報に基づいて認証情報を生成して、認証サーバに送信する。
本発明の利用者認証システムによれば、端末側においてサーバ管理者が設定した利用条件を満たす場合にのみ、本人認証が可能となる。
本発明の実施例1の利用者認証システムの構成を示すブロック図。 本発明の実施例1の利用者認証システムの動作を示すシーケンス図。 本発明の実施例2の利用者認証システムの構成を示すブロック図。 本発明の実施例2の利用者認証システムの動作を示すシーケンス図。
以下、本発明の実施の形態について、詳細に説明する。なお、同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。
以下、図1、図2を参照して、トランザクション認証や電子証明書認証のように利用者に対して予め認証生成情報を配布する方式の実施例1について説明する。図1は、本実施例の利用者認証システム1の構成を示すブロック図である。図2は、本実施例の利用者認証システム1の動作を示すシーケンス図である。図1に示すように、本実施例の利用者認証システム1は、認証サーバ120と、複数の(一つのみ図示)利用者端末110を含む。利用者端末110は、認証情報保管部111と認証要求部112と復号実行部113と復号情報取得部114を含む。認証サーバ120は利用者管理部121と認証実行部122と暗号化実行部123と暗号化条件指定部124を含む。利用者端末110と認証サーバ120は通信回線で接続されている。
利用者が利用を開始する前に、事前に利用者管理部121は、認証生成情報を利用者端末のそれぞれに対して生成する(S12A)。認証生成情報とは、利用者端末の認証に使用する認証情報を生成する際に用いる情報全般を指す。暗号化条件指定部124は、認証生成情報を暗号化する際の条件である暗号化条件と、暗号化された認証生成情報の復号に必要な情報である復号情報を、利用者端末のそれぞれに対して指定する(S12B)。利用者管理部121は、各認証生成情報に対して暗号化指定の有無を検出する。認証生成情報に対して暗号化指定がされている場合は(S12C−Y)、利用者管理部121は、指定された暗号化条件と、該当する認証生成情報を暗号化実行部に送る。暗号化実行部123は、暗号化条件に基づいて対応する認証生成情報を暗号化する(S12D)。利用者管理部121は、暗号化された認証生成情報を対応する利用者端末に送信する(S12E)。
一方、認証生成情報に対して暗号化指定がされていない場合は(S12C−N)、利用者管理部121は、暗号化されていない認証生成情報を、対応する利用者端末に送信する(S12E)。なお、(暗号化された)認証生成情報は、認証サーバ120と利用者端末110を接続する通信回線以外の経路で配布することも可能である。認証サーバ120から送信された(暗号化された)認証生成情報は、利用者端末110の認証情報保管部111に保存される。
利用者端末110において認証が開始されると、認証要求部112は認証情報保管部111に認証生成情報要求を出力し、(暗号化された)認証生成情報を取得する(S11A)。取得した認証生成情報が暗号化されていた場合(S11B−Y)、認証要求部112は、復号実行部113に対して、認証生成情報の復号を要求する。復号実行部113は、暗号化された認証生成情報を復号するために必要な復号情報の取得を、復号情報取得部114に要求する(S11C)。復号情報取得部114は、自端末と対応する復号情報を取得する。復号情報取得部114は、取得した復号情報を復号実行部113に送信する(S11D)。復号実行部113は、復号情報に基づいて自端末と対応する暗号化された認証生成情報を復号する。復号実行部113は、復号された認証生成情報を認証要求部112に送信する(S11E)。認証要求部112は、認証情報保管部111から取得した暗号化されていない認証生成情報あるいはS11B〜S11Eのフローにより復号された認証生成情報に基づいて、認証情報を生成して認証サーバ120に送信する(S11F)。認証サーバ120は、認証情報の照合処理を行って(S12F)、認証情報が一致した場合には(S12G−Y)、利用者端末110に接続許可通知を送信する(S12H)。認証情報が一致しない場合には、認証がエラー終了する。この認証情報の照合処理は、通常のトランザクション認証、電子証明書認証と同一である。S12B〜S12D、S11B〜S11Eのフローにおいて利用する暗号化・復号は、共通鍵暗号方式、公開鍵暗号方式、IDベース暗号方式および関数型暗号方式を含む任意の方法が利用可能である。
以下、各暗号方式を利用した場合の暗号化条件、復号情報の実施例について説明する。共通鍵暗号方式の場合、暗号化条件および復号情報は、暗号化・復号するための共通鍵となる。暗号化条件指定部124は、利用者毎に使用する共通鍵を指定するとともに、当該共通鍵を利用者端末110に送信する。あるいは共通鍵は認証サーバ120と利用者端末110を接続する通信回線以外の経路で配布することも可能である。暗号化条件指定部124は、利用者端末110の復号情報取得部114がアクセス可能な任意の場所に共通鍵を保管する。
公開鍵暗号方式の場合、公開鍵、秘密鍵はペアで生成される。認証情報の暗号化には公開鍵、復号には秘密鍵をそれぞれ利用する。暗号化条件指定部124は、利用者毎に使用する公開鍵を指定するとともに、そのペアとなる秘密鍵を利用者端末110に送信する。あるいは秘密鍵は認証サーバ120と利用者端末110を接続する通信回線以外の経路で配布することも可能である。暗号化条件指定部124は、利用者端末110の復号情報取得部114がアクセス可能な任意の場所に秘密鍵を保管する。また、公開鍵、秘密鍵のペアを生成・保管する形式として電子証明書を利用することも可能である。電子証明書の配布も認証サーバ120と利用者端末110を接続する通信回線以外の経路で配布することも可能である。
IDベース暗号方式の場合、認証サーバ120の暗号化実行部123、利用者端末110の復号実行部113にそれぞれ、マスター公開鍵、マスター秘密鍵が保管される。暗号化条件指定部124は、マスター公開鍵、マスター秘密鍵と演算を行うパラメータ種別とパラメータ値をそれぞれ暗号化条件、復号情報として指定する。パラメータ種別としては、利用者ID、端末固有ID、日付、時間、IPアドレスなど任意の情報が指定可能である。指定されたパラメータ種別は、暗号化された認証生成情報とともに利用者端末110の認証情報保管部111に保管される。S11C〜S11Eにおいて、利用者端末110の復号情報取得部114はパラメータ種別に指定された情報を復号情報として取得し、復号実行部113に送信する。復号実行部113では、送信された情報を元にマスター鍵から復号鍵を生成する。
関数型暗号方式の場合、IDベース暗号方式と同様の実施となる。IDベース暗号方式との差異は、暗号化条件の指定において、パラメータ種別とパラメータ値のセットとそれらの論理演算式の指定が可能であることと、復号情報取得部114において、指定された複数の情報を取得することである。
以下、図3、図4を参照して、CHAP認証のように認証要求の都度、認証生成情報を配布する方式の実施例2について説明する。図3は、本実施例の利用者認証システム2の構成を示すブロック図である。図4は、本実施例の利用者認証システム2の動作を示すシーケンス図である。図3に示すように、本実施例の利用者端末210は、実施例1の利用者端末110における認証情報保管部111以外の構成を全て含んでいる。本実施例の認証サーバ220は、利用者管理部221と、認証実行部222と、暗号化実行部123と、暗号化条件指定部124を含み、暗号化実行部123と暗号化条件指定部124の機能は実施例1と同じである。
利用者が利用を開始する前に、暗号化条件指定部124は、暗号化条件と復号情報を、利用者端末210のそれぞれに対して指定する(S12B)。利用者端末210の認証要求部112から、認証サーバ220の認証実行部222に対して認証要求があった場合、認証実行部222は、認証生成情報を認証要求があった利用者端末210に対して生成する(S12A)。認証実行部222は、利用者管理部221に対して暗号化条件を要求する(S22A)。利用者管理部221は、認証実行部222に該当する暗号化条件を回答する(S22B)。利用者管理部221からの回答が暗号化指定有りの場合(S12C−Y)、認証実行部222は生成した認証生成情報と利用者管理部221から取得した暗号化条件を暗号化実行部に送信する。暗号化実行部123は、暗号化条件に基づいて対応する認証生成情報を暗号化する(S12D)。認証実行部222は、暗号化された認証生成情報を認証要求があった利用者端末210に送信する(S12E)。
一方、利用者管理部221からの回答が暗号化指定無しの場合(S12C−N)、認証実行部222は、暗号化されていない認証生成情報を認証要求があった利用者端末210に送信する(S12E)。
利用者端末210の認証要求部112は、認証サーバ220から送信された認証生成情報が暗号化されていた場合(S11B−Y)、復号実行部113に対して、認証生成情報の復号を要求する。復号実行部113は、暗号化された認証生成情報を復号するために必要な復号情報の取得を、復号情報取得部114に要求する(S11C)。復号情報取得部114は、自端末と対応する復号情報を取得する。復号情報取得部114は、取得した復号情報を復号実行部113に送信する(S11D)。復号実行部113は、復号情報に基づいて自端末と対応する暗号化された認証生成情報を復号する。復号実行部113は、復号された認証生成情報を認証要求部112に送信する(S11E)。認証要求部112は、暗号化されていない認証生成情報あるいはS11B〜S11Eのフローにより復号された認証生成情報に基づいて、認証情報を生成して認証サーバ120に送信する(S11F)。認証サーバ220は、認証情報の照合処理を行って(S12F)、認証情報が一致した場合には(S12G−Y)、利用者端末210に接続許可通知を送信する(S12H)。認証情報が一致しない場合には、認証がエラー終了する。
この認証情報の照合処理は、通常のCHAP認証と同一である。S12B、S12C〜S12D、S11B〜S11Eのフローにおいて、任意の暗号化方式が利用可能であり、各暗号方式を利用した場合の暗号化条件、復号情報の実施例も実施例1と同様である。
<その他の変形例>
本発明は上記の実施例及び変形例に限定されるものではない。例えば、上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。また、認証サーバ、利用者端末に配置された機能の一部を別のハードウェア上に配置してもよい。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能である。
<プログラム及び記録媒体>
また、上記の実施例及び変形例で説明した各装置における各種の処理機能をコンピュータによって実現してもよい。その場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記各装置における各種の処理機能がコンピュータ上で実現される。
この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。
また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させてもよい。
このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶部に格納する。そして、処理の実行時、このコンピュータは、自己の記憶部に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実施例として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよい。さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP(Application Service Provider)型のサービスによって、上述の処理を実行する構成としてもよい。なお、プログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの(コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等)を含むものとする。
また、コンピュータ上で所定のプログラムを実行させることにより、各装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。

Claims (7)

  1. 認証サーバと、複数の利用者端末を含む利用者認証システムであって、
    前記認証サーバは、
    前記利用者端末の認証に使用する認証情報を生成する際に用いる情報である認証生成情報を前記利用者端末のそれぞれに対して生成し、暗号化された前記認証生成情報を対応する前記利用者端末に送信する利用者管理部と、
    前記認証生成情報を暗号化する際の条件である暗号化条件と、前記暗号化された認証生成情報の復号に必要な情報である復号情報を、前記利用者端末のそれぞれに対して指定する暗号化条件指定部と、
    前記暗号化条件に基づいて対応する前記認証生成情報を暗号化する暗号化実行部と、
    前記利用者端末から前記認証情報を受信した場合に対応する前記利用者端末の認証を実行する認証実行部を含み、
    前記利用者端末は、
    自端末と対応する前記復号情報を取得する復号情報取得部と、
    前記復号情報に基づいて自端末と対応する前記暗号化された認証生成情報を復号する復号実行部と、
    前記復号された認証生成情報に基づいて前記認証情報を生成して、前記認証サーバに送信する認証要求部を含む
    利用者認証システム。
  2. 認証サーバと、複数の利用者端末を含む利用者認証システムであって、
    前記認証サーバは、
    前記利用者端末の認証に使用する認証情報を生成する際に用いる情報である認証生成情報を認証要求があった前記利用者端末に対して生成し、暗号化された前記認証生成情報を前記認証要求があった利用者端末に送信する認証実行部と、
    前記認証生成情報を暗号化する際の条件である暗号化条件と、前記暗号化された認証生成情報の復号に必要な情報である復号情報を、前記利用者端末のそれぞれに対して指定する暗号化条件指定部と、
    前記暗号化条件に基づいて対応する前記認証生成情報を暗号化する暗号化実行部を含み、
    前記認証実行部は、
    前記利用者端末から前記認証情報を受信した場合に対応する前記利用者端末の認証を実行し、
    前記利用者端末は、
    自端末と対応する前記復号情報を取得する復号情報取得部と、
    前記復号情報に基づいて自端末と対応する前記暗号化された認証生成情報を復号する復号実行部と、
    前記復号された認証生成情報に基づいて前記認証情報を生成して、前記認証サーバに送信する認証要求部を含む
    利用者認証システム。
  3. 複数の利用者端末の認証を実行する認証サーバであって、
    前記利用者端末の認証に使用する認証情報を生成する際に用いる情報である認証生成情報を前記利用者端末のそれぞれに対して生成し、暗号化された前記認証生成情報を対応する前記利用者端末に送信する利用者管理部と、
    前記認証生成情報を暗号化する際の条件である暗号化条件と、前記暗号化された認証生成情報の復号に必要な情報である復号情報を、前記利用者端末のそれぞれに対して指定する暗号化条件指定部と、
    前記暗号化条件に基づいて対応する前記認証生成情報を暗号化する暗号化実行部と、
    前記利用者端末から前記認証情報を受信した場合に対応する前記利用者端末の認証を実行する認証実行部を含む
    認証サーバ。
  4. 複数の利用者端末の認証を実行する認証サーバであって、
    前記利用者端末の認証に使用する認証情報を生成する際に用いる情報である認証生成情報を認証要求があった前記利用者端末に対して生成し、暗号化された前記認証生成情報を前記認証要求があった前記利用者端末に送信する認証実行部と、
    前記認証生成情報を暗号化する際の条件である暗号化条件と、前記暗号化された認証生成情報の復号に必要な情報である復号情報を、前記利用者端末のそれぞれに対して指定する暗号化条件指定部と、
    前記暗号化条件に基づいて対応する前記認証生成情報を暗号化する暗号化実行部を含み、
    前記認証実行部は、
    前記利用者端末から前記認証情報を受信した場合に対応する前記利用者端末の認証を実行する
    認証サーバ。
  5. 認証サーバと、複数の利用者端末が実行する利用者認証方法であって、
    前記認証サーバは、
    前記利用者端末の認証に使用する認証情報を生成する際に用いる情報である認証生成情報を前記利用者端末のそれぞれに対して生成するステップと、
    前記認証生成情報を暗号化する際の条件である暗号化条件と、暗号化された前記認証生成情報の復号に必要な情報である復号情報を、前記利用者端末のそれぞれに対して指定するステップと、
    前記暗号化条件に基づいて対応する前記認証生成情報を暗号化するステップと、
    前記暗号化された認証生成情報を対応する前記利用者端末に送信するステップを実行し、
    前記利用者端末は、
    自端末と対応する前記復号情報を取得するステップと、
    前記復号情報に基づいて自端末と対応する前記暗号化された認証生成情報を復号するステップと、
    前記復号された認証生成情報に基づいて前記認証情報を生成して、前記認証サーバに送信するステップを実行し、
    前記認証サーバは、
    前記利用者端末から前記認証情報を受信した場合に対応する前記利用者端末の認証を実行するステップを実行する
    利用者認証方法。
  6. 複数の利用者端末の認証を実行する認証サーバが実行する利用者認証方法であって、
    前記利用者端末の認証に使用する認証情報を生成する際に用いる情報である認証生成情報を前記利用者端末のそれぞれに対して生成するステップと、
    前記認証生成情報を暗号化する際の条件である暗号化条件と、暗号化された前記認証生成情報の復号に必要な情報である復号情報を、前記利用者端末のそれぞれに対して指定するステップと、
    前記暗号化条件に基づいて対応する前記認証生成情報を暗号化するステップと、
    前記暗号化された認証生成情報を対応する前記利用者端末に送信するステップと、
    前記利用者端末から前記認証情報を受信した場合に対応する前記利用者端末の認証を実行するステップを含む
    利用者認証方法。
  7. コンピュータを、請求項3または4に記載の認証サーバとして機能させるためのプログラム。
JP2014163554A 2014-08-11 2014-08-11 利用者認証システム、認証サーバ、利用者認証方法、プログラム Pending JP2016038845A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014163554A JP2016038845A (ja) 2014-08-11 2014-08-11 利用者認証システム、認証サーバ、利用者認証方法、プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014163554A JP2016038845A (ja) 2014-08-11 2014-08-11 利用者認証システム、認証サーバ、利用者認証方法、プログラム

Publications (1)

Publication Number Publication Date
JP2016038845A true JP2016038845A (ja) 2016-03-22

Family

ID=55529829

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014163554A Pending JP2016038845A (ja) 2014-08-11 2014-08-11 利用者認証システム、認証サーバ、利用者認証方法、プログラム

Country Status (1)

Country Link
JP (1) JP2016038845A (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016076022A (ja) * 2014-10-03 2016-05-12 日本電信電話株式会社 認証認可システム、通信端末装置、認証認可サーバ装置、認証認可方法及びプログラム

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005301577A (ja) * 2004-04-09 2005-10-27 Fuji Xerox Co Ltd 認証システム、サーバ用認証プログラム、およびクライアント用認証プログラム
JP2008167107A (ja) * 2006-12-28 2008-07-17 Tokyo Institute Of Technology 公開鍵基盤を利用したチャレンジ・レスポンス認証方法
JP2011199594A (ja) * 2010-03-19 2011-10-06 Nippon Telegr & Teleph Corp <Ntt> 端末の初期設定方法および初期設定装置
JP2013238965A (ja) * 2012-05-14 2013-11-28 Ntt Data Corp 認証システム、認証装置、認証方法、及びプログラム

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005301577A (ja) * 2004-04-09 2005-10-27 Fuji Xerox Co Ltd 認証システム、サーバ用認証プログラム、およびクライアント用認証プログラム
JP2008167107A (ja) * 2006-12-28 2008-07-17 Tokyo Institute Of Technology 公開鍵基盤を利用したチャレンジ・レスポンス認証方法
JP2011199594A (ja) * 2010-03-19 2011-10-06 Nippon Telegr & Teleph Corp <Ntt> 端末の初期設定方法および初期設定装置
JP2013238965A (ja) * 2012-05-14 2013-11-28 Ntt Data Corp 認証システム、認証装置、認証方法、及びプログラム

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016076022A (ja) * 2014-10-03 2016-05-12 日本電信電話株式会社 認証認可システム、通信端末装置、認証認可サーバ装置、認証認可方法及びプログラム

Similar Documents

Publication Publication Date Title
JP6547079B1 (ja) 登録・認可方法、装置及びシステム
US10243742B2 (en) Method and system for accessing a device by a user
US8059818B2 (en) Accessing protected data on network storage from multiple devices
CN106104562B (zh) 机密数据安全储存和恢复系统及方法
US8683209B2 (en) Method and apparatus for pseudonym generation and authentication
US20160294794A1 (en) Security System For Data Communications Including Key Management And Privacy
JP2012518329A (ja) 信頼済みクラウドコンピューティングおよびサービスに関するフレームワーク
CN103248479A (zh) 云存储安全系统、数据保护以及共享方法
Zhou et al. EverSSDI: blockchain-based framework for verification, authorisation and recovery of self-sovereign identity using smart contracts
JP5992535B2 (ja) 無線idプロビジョニングを実行するための装置及び方法
CN106790037A (zh) 一种用户态加密的即时通讯方法与系统
US20240039709A1 (en) Method and apparatus for sharing encrypted data, and device and readable medium
CN104243452B (zh) 一种云计算访问控制方法及系统
Tiwari et al. ACDAS: Authenticated controlled data access and sharing scheme for cloud storage
Thilakanathan et al. Secure multiparty data sharing in the cloud using hardware-based TPM devices
JP2007148903A (ja) 属性証明書処理システム、属性証明要求装置、属性証明書発行装置、属性検証装置、属性証明要求方法、属性証明書発行方法、属性検証方法及びプログラム
Ramachandran et al. Secure and efficient data forwarding in untrusted cloud environment
Murugesan et al. A lightweight authentication and secure data access between fog and IoT user
Nishimura et al. Secure authentication key sharing between personal mobile devices based on owner identity
De Oliveira et al. Red Alert: break-glass protocol to access encrypted medical records in the cloud
JP2016038845A (ja) 利用者認証システム、認証サーバ、利用者認証方法、プログラム
Hussain et al. Securing Cloud Data using RSA Algorithm
Agrawal et al. Access control framework using dynamic attributes encryption for mobile cloud environment
JP6293617B2 (ja) 認証制御システム、制御サーバ、認証制御方法、プログラム
Davidson et al. Content sharing schemes in DRM systems with enhanced performance and privacy preservation

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160914

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170630

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170801

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20180227