JP2017028475A - D password authentication method, password management service system, information terminal, password management service device, use terminal and program therefor - Google Patents

D password authentication method, password management service system, information terminal, password management service device, use terminal and program therefor Download PDF

Info

Publication number
JP2017028475A
JP2017028475A JP2015144519A JP2015144519A JP2017028475A JP 2017028475 A JP2017028475 A JP 2017028475A JP 2015144519 A JP2015144519 A JP 2015144519A JP 2015144519 A JP2015144519 A JP 2015144519A JP 2017028475 A JP2017028475 A JP 2017028475A
Authority
JP
Japan
Prior art keywords
password
terminal
key
management service
information terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2015144519A
Other languages
Japanese (ja)
Other versions
JP6353412B2 (en
Inventor
遼 山田
Ryo Yamada
遼 山田
隆広 山本
Takahiro Yamamoto
隆広 山本
正弘 堀
Masahiro Hori
正弘 堀
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2015144519A priority Critical patent/JP6353412B2/en
Publication of JP2017028475A publication Critical patent/JP2017028475A/en
Application granted granted Critical
Publication of JP6353412B2 publication Critical patent/JP6353412B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

PROBLEM TO BE SOLVED: To provide an ID password authentication method in which a plurality of use terminals can easily use an ID and a password without leaving to another person the management of the ID and the password against the risks of leakage and illegal use.SOLUTION: The ID password authentication method at the use of a Web service, using a password management service system constituted by the use terminals, an information terminal and a password management service device, includes the steps of possession authentication, public key transmission, encryption key generation, encrypted information transmission, encryption key transmission and encryption key decryption.SELECTED DRAWING: Figure 8

Description

本発明はWebサービスのIDパスワード認証に関し、特に複数のWebサービスのID・パスワードを管理する技術に関する。   The present invention relates to ID password authentication for Web services, and more particularly to a technique for managing IDs and passwords for a plurality of Web services.

Webサービスの多くではIDとパスワードを用いたIDパスワード認証が用いられている。
しかし、利用するWebサービスの数が増えてくると、各々のWebサービスに設定した異なるIDとパスワードの組を記憶することが困難になってくる。 In many web services, ID password authentication using an ID and a password is used.
However, as the number of Web services to be used increases, it becomes difficult to store different ID / password pairs set for each Web service.

そこで、1つのマスターパスワードに紐付けて複数のWebサービスのID・パスワードを管理する手法が提案されている。これらの管理手法は大きくクライアント型とクラウド型の2つの方式に分けることができる。
〈クライアント型〉
Webサービスを利用する端末にIDとパスワードの情報を保存しておき、この情報をマスターパスワードで管理する方法である。この方法では、必要なときにマスターパスワードを用いて個々のWebサービスのID・パスワードを呼び出すことになる。
この方法ではIDとパスワードを利用する端末にて管理することになるため、パスワード漏洩リスクを個人で管理することができる(非特許文献1)。
〈クラウド型〉
Webサービスに利用するIDとパスワードはクラウド上に保存されており、必要なときにクラウドからマスターパスワードを用いて個々のWebサービスのID・パスワードを呼び出す方法である。
この方法ではIDとパスワードをクラウドで管理していることから、1つの利用端末に縛られず複数の端末からWebサービスのID・パスワードを呼び出すことができる。 Therefore, a method for managing IDs and passwords of a plurality of Web services in association with one master password has been proposed. These management methods can be broadly divided into two types: client type and cloud type.
<Client type>
In this method, ID and password information is stored in a terminal that uses a Web service, and this information is managed using a master password. In this method, the ID / password of each Web service is called using the master password when necessary.
In this method, since management is performed by a terminal that uses an ID and a password, the risk of password leakage can be managed individually (Non-Patent Document 1).
<Cloud type>
The ID and password used for the Web service are stored on the cloud, and when necessary, the ID and password of each Web service are called from the cloud using the master password.
In this method, since IDs and passwords are managed in the cloud, web service IDs and passwords can be called from a plurality of terminals without being tied to one user terminal.

AgileBits Inc.、“1Password”、[online]、[平成27年7月9日検索]、インターネット<URL:https://agilebits.com/onepassword>AgileBits Inc., “1Password”, [online], [Search July 9, 2015], Internet <URL: https://agilebits.com/onepassword> Trend Micro Incorporated.、“パスワードマネージャー”、[online]、[平成27年7月9日検索]、インターネット<URL:http://safe.trendmicro.jp/products/pwmgr.aspx>Trend Micro Incorporated. “Password Manager”, [online], [Search July 9, 2015], Internet <URL: http: //safe.trendmicro.jp/products/pwmgr.aspx>

しかしながら、従来のマスターパスワードを用いて複数のWebサービスのID・パスワードを管理する技術では、以下のような課題がある。
〈クライアント型〉
マスターパスワードで管理されるID・パスワードのデータはユーザが利用する個々の端末に保存されているため、ID・パスワードのデータを復号するためのマスターパスワードを知られることですべてのWebサービスを使われてしまう危険性がある。また、複数の利用端末からWebサービスを利用したい場合はそれぞれの端末にID・パスワードのデータを保存する必要があり管理が煩雑になる。
〈クラウド型〉
ID・パスワードのデータはクラウド上に保存されているため、ID・パスワード自体の管理をサービス事業者に任せてしまうことになる。そのため、ID・パスワードの漏洩リスク・不正利用リスクをユーザ自身で管理できないという問題がある。 However, the technology for managing IDs and passwords of a plurality of Web services using a conventional master password has the following problems.
<Client type>
Since ID / password data managed by the master password is stored in each terminal used by the user, all web services can be used by knowing the master password for decrypting the ID / password data. There is a risk that In addition, when it is desired to use a Web service from a plurality of terminals, it is necessary to save ID / password data in each terminal, which makes management complicated.
<Cloud type>
Since the ID / password data is stored in the cloud, the management of the ID / password itself is left to the service provider. Therefore, there is a problem that the risk of leakage of ID / password and the risk of unauthorized use cannot be managed by the user.

本発明は、このような事情に鑑みてなされたもので、ID・パスワードの漏洩リスク・不正利用リスクの管理を他人に任せることなく、複数の利用端末でID・パスワードを簡便に利用することができるIDパスワード認証方法、パスワード管理サービスシステム、情報端末、パスワード管理サービス装置、利用端末及びそれらのプログラムを提供することを目的とする。   The present invention has been made in view of such circumstances, and it is possible to easily use IDs and passwords at a plurality of usage terminals without leaving the management of the risk of leakage and unauthorized use of IDs and passwords to others. An object of the present invention is to provide an ID password authentication method, a password management service system, an information terminal, a password management service device, a use terminal, and their programs.

本発明の一態様は、Webサービスを利用するためにユーザが使用する利用端末と、暗号化用の情報端末鍵と、前記情報端末鍵を用いて前記Webサービスを利用するためのIDとパスワードを暗号化した暗号化IDと暗号化パスワードとを保持する情報端末と、前記ユーザを示すアカウント名と前記情報端末を示すトークンとを対応付けて保持するパスワード管理サービス装置とからなるパスワード管理サービスシステムを用いてWebサービスを利用する際のIDパスワード認証方法であって、前記利用端末が、Webサービスを利用する際の認証に用いるIDとパスワードの入力画面の表示を検知し、前記アカウント名の入力を促すアカウント名入力画面を表示するアカウント名入力画面表示ステップと、前記利用端末が、入力されたアカウント名と前記利用端末を示す利用端末情報と前記Webサービスを示すWebサービス識別情報をパスワード管理サービス装置に送信するアカウント名送信ステップと、前記パスワード管理サービス装置が、受信したアカウント名に対応するトークンから特定される情報端末に対して前記利用端末情報と前記Webサービス識別情報を送信する利用端末情報・Webサービス識別情報送信ステップと、前記情報端末が、ユーザのWebサービス利用意思を示す認証結果を取得する所持認証ステップと、前記情報端末が、前記認証結果を前記パスワード管理サービス装置に送信する認証結果送信ステップと、前記パスワード管理サービス装置が、前記認証結果はユーザのWebサービス利用意思を示すものである場合に、前記パスワード管理サービス装置が保持する秘密鍵と公開鍵のうち、当該公開鍵を前記情報端末に送信する公開鍵送信ステップと、前記情報端末が、受信した公開鍵を用いて前記情報端末鍵を暗号化した暗号化鍵を生成する暗号化鍵生成ステップと、前記情報端末が、前記暗号化IDと前記暗号化パスワードと前記暗号化鍵を前記利用端末に送信する暗号化情報送信ステップと、前記利用端末が、前記暗号化鍵を前記パスワード管理サービス装置に送信する暗号化鍵送信ステップと、前記パスワード管理サービス装置が、前記公開鍵に対応する秘密鍵を用いて前記暗号化鍵を復号し、前記情報端末鍵を取得する暗号化鍵復号ステップと、前記パスワード管理サービス装置が、復号した情報端末鍵を前記利用端末に送信する鍵送信ステップと、前記利用端末が、前記暗号化IDと前記暗号化パスワードを前記情報端末鍵を用いて復号し、前記IDと前記パスワードを取得するID・パスワード復号ステップとを有する。   According to one aspect of the present invention, a user terminal used by a user to use a Web service, an information terminal key for encryption, and an ID and a password for using the Web service using the information terminal key are provided. A password management service system comprising: an information terminal that holds an encrypted encryption ID and an encrypted password; and a password management service device that holds an account name indicating the user and a token indicating the information terminal in association with each other. An ID password authentication method for using a Web service by detecting the display of an input screen for an ID and password used for authentication when using the Web service, and inputting the account name. An account name input screen display step for displaying an account name input screen for prompting, and the use terminal is input An account name transmission step of transmitting a count name, usage terminal information indicating the usage terminal, and Web service identification information indicating the Web service to a password management service device; and a token corresponding to the account name received by the password management service device The terminal information and the Web service identification information transmission step for transmitting the terminal information and the Web service identification information to the information terminal specified by the information terminal; and the authentication result indicating that the information terminal indicates the user's intention to use the Web service. Possession authentication step to be acquired, authentication result transmission step in which the information terminal transmits the authentication result to the password management service device, and the password management service device in which the authentication result indicates a user's intention to use the Web service And the password Of the private key and public key held by the physical service device, a public key transmission step of transmitting the public key to the information terminal, and the information terminal encrypts the information terminal key using the received public key An encryption key generation step for generating an encryption key, an encryption information transmission step in which the information terminal transmits the encryption ID, the encryption password, and the encryption key to the user terminal; and An encryption key transmission step for transmitting the encryption key to the password management service device; and the password management service device decrypts the encryption key using a secret key corresponding to the public key, and the information terminal An encryption key decryption step for acquiring a key, a key transmission step for the password management service device to transmit the decrypted information terminal key to the user terminal, and the user terminal, An ID / password decrypting step of decrypting the encrypted ID and the encrypted password using the information terminal key and obtaining the ID and the password;

本発明によれば、ユーザ個人が常時携帯する情報端末にWebサービスのID・パスワードを記録、Webサービス利用に際してIDパスワード認証が必要になる都度、情報端末に記録したID・パスワードをユーザの承認を得たうえで利用端末に提供することにより、複数の利用端末で簡便にWebサービスを利用することができるようになる。   According to the present invention, the ID / password of the Web service is recorded on the information terminal that is always carried by the individual user, and the ID / password recorded on the information terminal is approved by the user whenever ID password authentication is required when using the Web service. By providing it to the use terminal after obtaining it, it becomes possible to easily use the web service with a plurality of use terminals.

パスワード管理サービスシステム100の構成例を示す図である。2 is a diagram illustrating a configuration example of a password management service system 100. FIG. IDパスワードDB290の例を示す図である。It is a figure which shows the example of ID password DB290. 鍵管理DB295の例を示す図である。It is a figure which shows the example of key management DB295. ユーザDB480の例を示す図である。It is a figure which shows the example of user DB480. 公開鍵DB490の例を示す図である。It is a figure which shows the example of public key DB490. パスワード管理サービスの利用登録の処理フローを示す図である。It is a figure which shows the processing flow of use registration of a password management service. Webサービスで用いるIDとパスワードの登録の処理フローを示す図である。It is a figure which shows the processing flow of registration of ID and password which are used with Web service. Webサービス利用時のIDパスワード認証のシークエンスを示す図である。It is a figure which shows the sequence of ID password authentication at the time of Web service utilization. Webサービス利用時のIDパスワード認証の処理フローを示す図である。It is a figure which shows the processing flow of ID password authentication at the time of Web service utilization.

以下、本発明の実施の形態について、詳細に説明する。なお、同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。   Hereinafter, embodiments of the present invention will be described in detail. In addition, the same number is attached | subjected to the structure part which has the same function, and duplication description is abbreviate | omitted.

以下の説明では、平文Dを鍵kで暗号化したデータをEnck(D)と表す。また、秘密鍵と公開鍵はそれぞれsk、pkで表す。   In the following description, data obtained by encrypting plaintext D with a key k is represented as Enck (D). The secret key and public key are represented by sk and pk, respectively.

パスワード管理サービスシステム100の構成例を図1に示す。パスワード管理サービスシステム100は、情報端末200、端末通知装置300、パスワード管理サービス装置400、利用端末500から構成される。Webサービスを提供するWebサーバ600はパスワード管理サービスシステム100の外にある。情報端末200、端末通知装置300、パスワード管理サービス装置400、利用端末500、Webサーバ600はネットワーク700に接続している。   A configuration example of the password management service system 100 is shown in FIG. The password management service system 100 includes an information terminal 200, a terminal notification device 300, a password management service device 400, and a use terminal 500. A Web server 600 that provides a Web service is outside the password management service system 100. The information terminal 200, terminal notification device 300, password management service device 400, usage terminal 500, and Web server 600 are connected to the network 700.

ユーザは利用端末500を用いてWebサーバ600にアクセスし、Webサービスを利用する。その際、利用するWebサービスによってはIDパスワード認証が求められることがある。認証が求められるWebサービスについては、ID・パスワードの組を情報端末200に記録する。情報端末200はスマートフォンのようにユーザが常時携帯するものである。   The user accesses the Web server 600 using the use terminal 500 and uses the Web service. At that time, ID password authentication may be required depending on the Web service to be used. For a Web service that requires authentication, an ID / password pair is recorded in the information terminal 200. The information terminal 200 is always carried by the user like a smartphone.

パスワード管理サービス事業者は、情報端末200に記録されたID・パスワードの組を用いてユーザに対してWebサービスに対するIDパスワード認証を提供するものである。IDパスワード認証のサービス(以下、パスワード管理サービスという)を提供するための装置がパスワード管理サービス装置400である。   The password management service provider provides the user with ID password authentication for the Web service using the ID / password combination recorded in the information terminal 200. A device for providing an ID password authentication service (hereinafter referred to as a password management service) is a password management service device 400.

また、端末事業者は、情報端末200に対するメッセージを送信するサービスを提供するものであり、パスワード管理サービス提供に際してパスワード管理サービス事業者に代わりユーザへのプッシュ通知サービスを提供する。当該プッシュ通知サービスを提供するための装置が端末通知装置300である。   Further, the terminal provider provides a service for transmitting a message to the information terminal 200, and provides a push notification service to the user on behalf of the password management service provider when providing the password management service. A device for providing the push notification service is a terminal notification device 300.

パスワード管理サービスを受けるためには以下の手順を行う必要がある。
1)パスワード管理サービスの利用登録
ユーザはパスワード管理サービスを利用するために、情報端末200からパスワード管理サービス事業者のパスワード管理サービス装置400に対してユーザ登録を行う。
2)Webサービスで用いるIDとパスワードの登録
ユーザが利用するWebサービスと当該サービスに用いるIDとパスワードを情報端末200に登録する。
3)パスワード管理サービスの利用(Webサービス利用時におけるIDパスワード認証)
ユーザがWebサービスを利用する際のIDパスワード認証手続きである。
以下、情報端末200、端末通知装置300、パスワード管理サービス装置400、利用端末500の構成について説明する。 In order to receive the password management service, the following procedure is required.
1) Use registration of password management service In order to use the password management service, the user performs user registration from the information terminal 200 to the password management service device 400 of the password management service provider.
2) Registration of ID and password used in Web service The Web service used by the user and the ID and password used for the service are registered in the information terminal 200.
3) Use of password management service (ID password authentication when using Web service)
This is an ID password authentication procedure when a user uses a Web service.
Hereinafter, configurations of the information terminal 200, the terminal notification device 300, the password management service device 400, and the usage terminal 500 will be described.

1)情報端末200
情報端末200は、共通鍵発行部210、暗号化部220、DB管理部230、応答送信部240、所持認証部250、認証結果送信部260、暗号化鍵生成部270、暗号化情報送信部280、IDパスワードDB290、鍵管理DB295を備える。 1) Information terminal 200
The information terminal 200 includes a common key issuing unit 210, an encryption unit 220, a DB management unit 230, a response transmission unit 240, a possession authentication unit 250, an authentication result transmission unit 260, an encryption key generation unit 270, and an encryption information transmission unit 280. ID password DB 290 and key management DB 295.

共通鍵発行部210、暗号化部220、DB管理部230は、Webサービスで用いるIDとパスワードの登録に用いる構成である。共通鍵発行部210は、ユーザが利用するWebサービスで用いるIDとパスワードを暗号化するための共通鍵を発行する。この共通鍵のことを情報端末鍵という。暗号化部220は、共通鍵を用いてIDとパスワードを暗号化する。DB管理部230は、Webサービスに対してサービスコードを発行し、IDパスワードDB290にサービスコード、暗号化部220が暗号化したIDとパスワード(以下、それぞれ暗号化ID、暗号化パスワードという)を記録する(図2参照)。また、鍵管理DB295にサービスコード、Webサービス識別情報であるURL、暗号化に用いた共通鍵(情報端末鍵)を記録する(図3参照)。   The common key issuing unit 210, the encryption unit 220, and the DB management unit 230 are configured to register IDs and passwords used in Web services. The common key issuing unit 210 issues a common key for encrypting the ID and password used in the Web service used by the user. This common key is called an information terminal key. The encryption unit 220 encrypts the ID and password using the common key. The DB management unit 230 issues a service code to the Web service, and records the service code in the ID password DB 290 and the ID and password encrypted by the encryption unit 220 (hereinafter referred to as encryption ID and encryption password, respectively). (See FIG. 2). Also, the service code, the URL that is the Web service identification information, and the common key (information terminal key) used for encryption are recorded in the key management DB 295 (see FIG. 3).

応答送信部240、所持認証部250、認証結果送信部260、暗号化鍵生成部270、暗号化情報送信部280は、パスワード管理サービスの利用に用いる構成である。応答送信部240は、端末通知装置300から送信されたプッシュ通知に対し、ユーザが応答する場合、応答結果をパスワード管理サービス装置400に送信する。所持認証部250は、ユーザが情報端末200の所有者であることを認証後、パスワード管理サービス装置400から受信した利用端末500に関する情報である利用端末情報(例えば、端末名、OS、MACアドレス)とWebサービス識別情報であるURL(IDパスワード入力画面のURL)をユーザに提示し、ユーザのWebサービス利用意思を認証結果として取得する。所有者であることの認証機能は、例えば、情報端末利用時にパスワード入力によりロックを解除する形で提供されるものである。認証結果送信部260は、認証結果をパスワード管理サービス装置400に送信する。暗号化鍵生成部270は、パスワード管理サービス装置400から取得した公開鍵を用いて利用したいと考えているWebサービス識別情報であるURLに対応する共通鍵(情報端末鍵)を暗号化し、暗号化鍵を生成する。暗号化情報送信部280は、暗号化ID、暗号化パスワード、暗号化鍵を利用端末500に送信する。   The response transmission unit 240, the possession authentication unit 250, the authentication result transmission unit 260, the encryption key generation unit 270, and the encryption information transmission unit 280 are configured to use a password management service. When the user responds to the push notification transmitted from the terminal notification device 300, the response transmission unit 240 transmits the response result to the password management service device 400. The possessing authentication unit 250 authenticates that the user is the owner of the information terminal 200 and then uses terminal information (for example, terminal name, OS, MAC address) that is information about the terminal 500 received from the password management service device 400. And the URL (ID password input screen URL) that is the Web service identification information is presented to the user, and the user's intention to use the Web service is acquired as an authentication result. The authentication function of being an owner is provided, for example, in the form of releasing the lock by inputting a password when using the information terminal. The authentication result transmission unit 260 transmits the authentication result to the password management service device 400. The encryption key generation unit 270 encrypts and encrypts the common key (information terminal key) corresponding to the URL that is the Web service identification information that the user desires to use using the public key acquired from the password management service device 400. Generate a key. The encryption information transmission unit 280 transmits the encryption ID, the encryption password, and the encryption key to the use terminal 500.

2)端末通知装置300
端末通知装置300は、トークン生成部310、プッシュ通知部320を備える。 2) Terminal notification device 300
The terminal notification device 300 includes a token generation unit 310 and a push notification unit 320.

トークン生成部310は、パスワード管理サービスの利用登録に用いる構成である。トークン生成部310は、情報端末200からの依頼に基づき端末ユニークなトークンを生成し、情報端末200に送信する。   The token generation unit 310 is configured to be used for password management service use registration. The token generation unit 310 generates a terminal unique token based on a request from the information terminal 200 and transmits it to the information terminal 200.

プッシュ通知部320は、パスワード管理サービスの利用に用いる構成である。プッシュ通知部320は、パスワード管理サービス装置400から送信されてきたトークンの情報をもとに情報端末200にIDパスワード認証が求められていることをプッシュ通知する。   The push notification unit 320 is configured to use a password management service. The push notification unit 320 notifies the information terminal 200 that ID password authentication is requested based on the token information transmitted from the password management service device 400.

3)パスワード管理サービス装置400
パスワード管理サービス装置400は、少なくとも、DB管理部410、秘密鍵・公開鍵生成部420、トークン送信部430、利用端末情報・Webサービス識別情報送信部440、公開鍵送信部450、暗号化鍵復号部460、鍵送信部470、ユーザDB480を備える。更に公開鍵DB490を備えてもよい。 3) Password management service device 400
The password management service device 400 includes at least a DB management unit 410, a secret key / public key generation unit 420, a token transmission unit 430, a used terminal information / Web service identification information transmission unit 440, a public key transmission unit 450, an encryption key decryption unit. Unit 460, key transmission unit 470, and user DB 480. Further, a public key DB 490 may be provided.

DB管理部410は、パスワード管理サービスの利用登録に用いる構成である。DB管理部410は、ユーザが入力したパスワード管理サービスに用いるアカウント名、端末通知装置300が生成したトークンを情報端末200から受信し、ユーザDB480に登録する(図4参照)。その際、情報端末のOS種別も併せて登録してもよい。   The DB management unit 410 is configured for use registration of a password management service. The DB management unit 410 receives the account name used for the password management service input by the user and the token generated by the terminal notification device 300 from the information terminal 200 and registers them in the user DB 480 (see FIG. 4). At that time, the OS type of the information terminal may also be registered.

秘密鍵・公開鍵生成部420、トークン送信部430、利用端末情報・Webサービス識別情報送信部440、公開鍵送信部450、暗号化鍵復号部460、鍵送信部470は、パスワード管理サービスの利用に用いる構成である。秘密鍵・公開鍵生成部420は、パスワード管理サービスの利用要求ごとに秘密鍵と公開鍵の組を生成する。また、不要になった場合には生成した秘密鍵・公開鍵の組を廃棄する。また、後述するように事前に生成しておき、図5のような公開鍵DB490に記録しておいてもよい。トークン送信部430は、ユーザDB480に記録しているアカウント名に対応するトークンをユーザDB480から検索し、端末通知装置300に送信する。利用端末情報・Webサービス識別情報送信部440は、利用端末情報とWebサービス識別情報であるURLを情報端末200に送信する。公開鍵送信部450は、WebサービスのIDパスワード認証手続きを進めるとの応答を認証結果として情報端末200から受信すると、情報端末200に事前に生成した公開鍵を送信する。暗号化鍵復号部460は、対応する秘密鍵を用いて暗号化鍵を復号し、共通鍵を取得する。鍵送信部470は、暗号化鍵復号部が復号した共通鍵を利用端末500に送信する。   The secret key / public key generation unit 420, the token transmission unit 430, the used terminal information / Web service identification information transmission unit 440, the public key transmission unit 450, the encryption key decryption unit 460, and the key transmission unit 470 use the password management service. It is the structure used for. The secret key / public key generation unit 420 generates a pair of a secret key and a public key for each use request of the password management service. Also, when it becomes unnecessary, the generated private / public key pair is discarded. Further, it may be generated in advance as described later and recorded in the public key DB 490 as shown in FIG. The token transmission unit 430 searches the user DB 480 for a token corresponding to the account name recorded in the user DB 480 and transmits it to the terminal notification device 300. The used terminal information / Web service identification information transmitting unit 440 transmits the used terminal information and the URL that is the Web service identification information to the information terminal 200. Upon receiving a response from the information terminal 200 as an authentication result, the public key transmission unit 450 transmits the public key generated in advance to the information terminal 200. The encryption key decryption unit 460 decrypts the encryption key using the corresponding secret key, and acquires the common key. The key transmission unit 470 transmits the common key decrypted by the encryption key decryption unit to the use terminal 500.

4)利用端末500
利用端末500は、少なくともアカウント名入力画面表示部510、アカウント名送信部520、暗号化鍵送信部530、ID・パスワード復号部540を備える。更に、ID・パスワード自動入力部550を備えてもよい。その他、利用端末500はブラウザ部560を備える。 4) User terminal 500
The user terminal 500 includes at least an account name input screen display unit 510, an account name transmission unit 520, an encryption key transmission unit 530, and an ID / password decryption unit 540. Furthermore, an ID / password automatic input unit 550 may be provided. In addition, the use terminal 500 includes a browser unit 560.

アカウント名入力画面表示部510、アカウント名送信部520、暗号化鍵送信部530、ID・パスワード復号部540、ID・パスワード自動入力部550は、パスワード管理サービスの利用に用いる構成である。アカウント名入力画面表示部510は、WebサービスのIDパスワード入力画面の表示を検知し、ユーザにパスワード管理サービスに用いるアカウント名を入力するように促す。アカウント名送信部520は、ユーザが入力したアカウント名とともに利用端末情報とWebサービス識別情報をパスワード管理サービス装置400に送信する。暗号化鍵送信部530は、情報端末200から受信した暗号化鍵をパスワード管理サービス装置400に送信する。ID・パスワード復号部540は、パスワード管理サービス装置400から取得した共通鍵を用いて暗号化IDと暗号化パスワードを復号し、IDとパスワードを取得する。ID・パスワード自動入力部550は、復号したIDとパスワードをIDパスワード入力画面で求められていたID、パスワードとして自動的に入力する。   The account name input screen display unit 510, the account name transmission unit 520, the encryption key transmission unit 530, the ID / password decryption unit 540, and the ID / password automatic input unit 550 are configured to use the password management service. The account name input screen display unit 510 detects the display of the ID password input screen of the Web service, and prompts the user to input an account name used for the password management service. The account name transmission unit 520 transmits the use terminal information and the Web service identification information together with the account name input by the user to the password management service apparatus 400. The encryption key transmission unit 530 transmits the encryption key received from the information terminal 200 to the password management service device 400. The ID / password decryption unit 540 decrypts the encrypted ID and the encrypted password using the common key acquired from the password management service device 400, and acquires the ID and password. The ID / password automatic input unit 550 automatically inputs the decrypted ID and password as the ID and password requested on the ID password input screen.

ブラウザ部560は、ユーザがサービスを享受するために必要なWebページをブラウジングする機能を提供する。   The browser unit 560 provides a function for browsing a Web page necessary for the user to enjoy the service.

以下、図を参照してパスワード管理サービスシステム100の処理動作について説明する。この処理動作は、パスワード管理サービスの利用登録、Webサービスで用いるIDとパスワードの登録、パスワード管理サービスの利用(Webサービス利用時におけるIDパスワード認証)から成る。   Hereinafter, the processing operation of the password management service system 100 will be described with reference to the drawings. This processing operation includes registration of use of the password management service, registration of an ID and password used in the Web service, use of the password management service (ID password authentication when using the Web service).

1)パスワード管理サービスの利用登録
まず、パスワード管理サービスの利用登録について説明する。
ユーザはパスワード管理サービスを利用するために、情報端末200からパスワード管理サービス事業者のパスワード管理サービス装置400に対してユーザ登録を行う。当該処理フローを図6に基づいて説明する。 1) Password management service use registration First, password management service use registration will be described.
In order to use the password management service, the user performs user registration from the information terminal 200 to the password management service device 400 of the password management service provider. The processing flow will be described with reference to FIG.

ユーザは情報端末200から端末業者の端末通知装置300にパスワード管理サービスに利用することを示す端末ユニークなトークンの生成を依頼する(ステップS1-10)。このトークンは個々のWebサービス利用時に求められる認証の際に、情報端末200にプッシュ通知する場合に利用されるものである。なお、当該プッシュ通知の機能をパスワード管理サービス装置400が提供する形態としてもよい。   The user requests the terminal notification device 300 of the terminal vendor from the information terminal 200 to generate a terminal unique token indicating that it is used for the password management service (step S1-10). This token is used for push notification to the information terminal 200 at the time of authentication required when using each Web service. Note that the password management service device 400 may provide the push notification function.

端末通知装置300のトークン生成部310はトークンを発行し、情報端末200に送信する(ステップS1-20)。発行したトークンをTokenAとする。   The token generation unit 310 of the terminal notification device 300 issues a token and transmits it to the information terminal 200 (step S1-20). The issued token is TokenA.

情報端末200はユーザ登録に用いるアカウント名の入力を促しユーザはアカウント名を入力する(ステップS1-30)。ユーザAが入力したアカウント名をUserNameAとする。   The information terminal 200 prompts input of an account name used for user registration, and the user inputs the account name (step S1-30). The account name entered by user A is UserNameA.

情報端末200は入力されたアカウント名(UserName)、受信したトークン(Token)、情報端末のOS種別(OS)をパスワード管理サービス装置400に送信する(ステップS1-40)。UserNameA、TokenAを送信する。また、併せてユーザAが用いている情報端末のOS種別を送信してもよい。   The information terminal 200 transmits the input account name (UserName), the received token (Token), and the OS type (OS) of the information terminal to the password management service device 400 (step S1-40). Send UserNameA and TokenA. In addition, the OS type of the information terminal used by user A may be transmitted.

パスワード管理サービス装置400のDB管理部410はこれらの情報に対して識別子となるユーザコード(UserCode)を付与しユーザDB480に記録する(ステップS1-50)。ユーザコードとして001を払い出し、001、UserNameA、TokenAをそれぞれユーザDBのUserCode、UserName、Tokenに記録する(図4参照)。   The DB management unit 410 of the password management service apparatus 400 assigns a user code (UserCode) as an identifier to these pieces of information and records the information in the user DB 480 (step S1-50). 001 is issued as the user code, and 001, UserNameA, and TokenA are recorded in UserCode, UserName, and Token of the user DB, respectively (see FIG. 4).

2)Webサービスで用いるIDとパスワードの登録
次に、Webサービスで用いるIDとパスワードの登録について説明する。
ユーザが利用するWebサービスと当該サービスに用いるIDとパスワードを情報端末200に登録する。当該処理フローを図7に基づいて説明する。 2) Registration of ID and password used in Web service Next, registration of ID and password used in Web service will be described.
The Web service used by the user and the ID and password used for the service are registered in the information terminal 200. The processing flow will be described with reference to FIG.

ユーザは情報端末200に利用しようと考えているWebサービス識別情報(URL)、ID(ID)、パスワード(PASS)を入力する(ステップS2-10)。ユーザが入力したWebサービス識別情報、ID、パスワードをそれぞれURL001、ID001、PASS001とする。   The user inputs Web service identification information (URL), ID (ID), and password (PASS) that the user intends to use for the information terminal 200 (step S2-10). Web service identification information, ID, and password input by the user are URL001, ID001, and PASS001, respectively.

情報端末200はサービスに応じたサービスコード(ServiceCode)を発行する(ステップS2−20)。発行されたサービスコードを001とする。   The information terminal 200 issues a service code (ServiceCode) corresponding to the service (step S2-20). The issued service code is 001.

続いて、情報端末200の共通鍵発行部210は共通鍵(key)を発行する(ステップS2-30)。発行した共通鍵をk001とする。   Subsequently, the common key issuing unit 210 of the information terminal 200 issues a common key (key) (step S2-30). The issued common key is k001.

情報端末200の暗号化部220は発行した共通鍵を用いてIDとパスワードを暗号化し、暗号化IDと暗号化パスワードを生成する(ステップS2-40)。共有鍵k001を用いてID001、PASS001をそれぞれ暗号化した暗号化ID、暗号化パスワードをEnck001(ID001)、Enck001(PASS001)とする。 The encryption unit 220 of the information terminal 200 encrypts the ID and password using the issued common key, and generates an encrypted ID and encrypted password (step S2-40). An encryption ID obtained by encrypting ID001 and PASS001 using the shared key k001, and an encryption password are Enk k001 (ID001) and Enk k001 (PASS001).

情報端末200のDB管理部230はIDパスワードDB290のServiceCode、ID、PASSにサービスコード、ID、パスワードを、鍵管理DB295のServiceCode、URL、keyにサービスコード、Webサービス識別情報、共通鍵をそれぞれ記録し(ステップS2-50)、IDとパスワードの登録を終了する。図2は、IDパスワードDB290のServiceCode、ID、PASSとしてそれぞれ001、Enck001(ID001)、Enck001(PASS001)、図3は、鍵管理DB295のServiceCode、URL、keyとして001、URL001、k001が記録されている様子を示している。 The DB management unit 230 of the information terminal 200 records the service code, ID, and password in the Service Code, ID, and PASS of the ID password DB 290, and the service code, Web service identification information, and common key in the Service Code, URL, and key of the key management DB 295, respectively. (Step S2-50), and the registration of the ID and password is completed. 2 shows 001, Enk k001 (ID001), Enk k001 (PASS001) as ServiceCode, ID, and PASS, respectively, and FIG. 3 shows ServiceCode, URL, and key as 001, URL001, and k001 in the key management DB295. It shows how it is being done.

3)パスワード管理サービスの利用(Webサービス利用時におけるIDパスワード認証)
次に、パスワード管理サービスの利用(Webサービス利用時におけるIDパスワード認証)について説明する。
ユーザがWebサービスを利用する際のIDパスワード認証手続きの様子を示す図8のシークエンス図に基づいて説明する。また、当該シークエンス図に対応する処理フローを示す図が図9である。 3) Use of password management service (ID password authentication when using Web service)
Next, use of the password management service (ID password authentication when using the Web service) will be described.
A description will be given based on the sequence diagram of FIG. 8 showing the ID password authentication procedure when the user uses the Web service. Further, FIG. 9 shows a processing flow corresponding to the sequence diagram.

ユーザが利用端末500のブラウザ部560を用いてWebサービスにアクセスする。利用端末500のアカウント名入力画面表示部510がIDパスワード入力画面の表示を検知し、ユーザにパスワード管理サービスに用いるアカウント名を入力するように促す(ステップS510)。ユーザは利用端末500にアカウント名UserNameAを入力する。   The user accesses the web service using the browser unit 560 of the user terminal 500. The account name input screen display unit 510 of the user terminal 500 detects the display of the ID password input screen and prompts the user to input the account name used for the password management service (step S510). The user inputs the account name UserNameA to the user terminal 500.

入力後、ユーザはアカウント名とともに利用端末情報とWebサービス識別情報であるURLを利用端末500のアカウント名送信部520を用いて送信する(ステップS520)。具体的には、アカウント名としてUserNameA、Webサービス識別情報であるURLとしてURL001を送信する。また、ここで送信される利用端末情報をTermAで表す。   After the input, the user transmits the usage terminal information and the URL that is the Web service identification information together with the account name using the account name transmission unit 520 of the usage terminal 500 (step S520). Specifically, UserNameA is transmitted as the account name, and URL001 is transmitted as the URL that is the Web service identification information. Also, the used terminal information transmitted here is represented by TermA.

パスワード管理サービス装置400の秘密鍵・公開鍵生成部420は当該利用端末500に対して秘密鍵と公開鍵の組を生成する(ステップS420)。生成した秘密鍵をskA、公開鍵をpkAとする。当該秘密鍵と公開鍵の組はパスワード管理サービスの利用登録時に生成しておき、図5のような公開鍵DB490にユーザコードごとに記録しておいてもよい。あるいは、最初にパスワード管理サービスの利用をするタイミングで生成し、公開鍵DB490に記録するのでもよい。なお、公開鍵DB490は図5(A)のようにユーザごとに秘密鍵と公開鍵の組を記録するのでもよいし、ユーザが複数の端末を持つことを想定して図5(B)のように端末ごとに記録するのでもよい。   The secret key / public key generation unit 420 of the password management service device 400 generates a set of a secret key and a public key for the user terminal 500 (step S420). The generated private key is skA and the public key is pkA. The pair of the secret key and the public key may be generated at the time of registration for use of the password management service, and may be recorded for each user code in the public key DB 490 as shown in FIG. Alternatively, it may be generated at the timing when the password management service is first used and recorded in the public key DB 490. The public key DB 490 may record a set of a secret key and a public key for each user as shown in FIG. 5A, or assuming that the user has a plurality of terminals as shown in FIG. As such, it may be recorded for each terminal.

パスワード管理サービス装置400のトークン送信部430はユーザDB480に記録しているアカウント名に対応するトークンを端末通知装置300に送信する(ステップS430)。パスワード管理サービス装置400のトークン送信部430はアカウント名UserNameAに対応するトークンTokenAをユーザDB480から検索し、端末通知装置300に送信する。   The token transmission unit 430 of the password management service device 400 transmits a token corresponding to the account name recorded in the user DB 480 to the terminal notification device 300 (step S430). The token transmission unit 430 of the password management service apparatus 400 searches the user DB 480 for a token TokenA corresponding to the account name UserNameA, and transmits the token TokenA to the terminal notification apparatus 300.

端末通知装置300のプッシュ通知部320はパスワード管理サービス装置400から送信されてきたトークンの情報をもとに情報端末200にIDパスワード認証が求められていることをプッシュ通知する(ステップS320)。   The push notification unit 320 of the terminal notification device 300 pushes the information terminal 200 that the ID password authentication is requested based on the token information transmitted from the password management service device 400 (step S320).

情報端末200がプッシュ通知を受信する。ユーザが当該通知に対して応答する場合、当該情報端末200の応答送信部240が応答結果をパスワード管理サービス装置400に送信する(ステップS240)。   The information terminal 200 receives the push notification. When the user responds to the notification, the response transmission unit 240 of the information terminal 200 transmits a response result to the password management service device 400 (step S240).

パスワード管理サービス装置400の利用端末情報・Webサービス識別情報送信部440は利用端末情報とWebサービス識別情報を情報端末200に送信する(ステップS440)。パスワード管理サービス装置400の利用端末情報・Webサービス識別情報送信部440から情報端末200に送信される利用端末情報とWebサービス識別情報は、ステップS520のTermAとURL001である。   The use terminal information / Web service identification information transmission unit 440 of the password management service device 400 transmits the use terminal information and the Web service identification information to the information terminal 200 (step S440). The used terminal information and Web service identification information transmitted from the used terminal information / Web service identification information transmitting unit 440 of the password management service apparatus 400 to the information terminal 200 are Term A and URL 001 in step S520.

情報端末200の所持認証部250は、ユーザが情報端末200の所有者であることを認証後、ユーザは利用端末情報とWebサービス識別情報を確認する(ステップS250)。つまり、情報端末200の所持認証部250はユーザに対してこれらの情報を提示し、利用端末500を用いて当該Webサービスを利用する意思があるならばIDパスワード認証手続きを進めるように促す。情報端末200の所持認証部250は、ユーザのWebサービス利用意思を認証結果として取得する。   After authenticating that the user is the owner of the information terminal 200, the user authentication unit 250 of the information terminal 200 confirms the use terminal information and the Web service identification information (step S250). That is, the possession authentication unit 250 of the information terminal 200 presents such information to the user, and prompts the user to proceed with the ID password authentication procedure if there is an intention to use the Web service using the use terminal 500. The possession authentication unit 250 of the information terminal 200 acquires the user's intention to use the Web service as an authentication result.

情報端末200の認証結果送信部260は、認証結果をパスワード管理サービス装置400に送信する(ステップS260)。認証結果が利用する意思がないことを示すものである場合は、そのまま処理を終了する。   The authentication result transmission unit 260 of the information terminal 200 transmits the authentication result to the password management service device 400 (step S260). If the authentication result indicates that there is no intention to use, the process ends.

なお、ここでは、端末事業者の提供する端末通知サービスをパスワード管理サービス事業者が利用して情報端末200にプッシュ通知する形態について説明したが、プッシュ通知をパスワード管理サービス事業者自身が提供できる形態としてもよい。この場合、図8で点線になっているS430、S320、S240各ステップが省略されることになる。   Here, a mode has been described in which the password notification service provider uses the terminal notification service provided by the terminal provider to push the information terminal 200, but the password management service provider itself can provide the push notification. It is good. In this case, the steps S430, S320, and S240 indicated by dotted lines in FIG. 8 are omitted.

ユーザがIDパスワード認証手続きを進める旨応答すると、パスワード管理サービス装置400の公開鍵送信部450は情報端末200に事前に生成した公開鍵を送信する(ステップS450)。送信される公開鍵pkAはステップS420で生成されたものである。当該公開鍵は情報端末200に送信するまでに生成されていればよい。   When the user makes a response to proceed with the ID password authentication procedure, the public key transmission unit 450 of the password management service device 400 transmits the public key generated in advance to the information terminal 200 (step S450). The transmitted public key pkA is the one generated in step S420. The public key only needs to be generated before being transmitted to the information terminal 200.

情報端末200の暗号化鍵生成部270はパスワード管理サービス装置400から取得した公開鍵を用いて利用したいと考えているWebサービス識別情報であるURLに対応する共通鍵を暗号化し、暗号化鍵を生成する(ステップS270)。情報端末200はステップS440で取得していたWebサービス識別情報URL001に対応する共通鍵を鍵管理DBから検索し、共通鍵k001を特定する。その後、情報端末200の暗号化鍵生成部270は公開鍵pkAを用いて共通鍵k001を暗号化し、EncpkA(k001)を生成する。 The encryption key generation unit 270 of the information terminal 200 encrypts the common key corresponding to the URL that is the Web service identification information that the user desires to use using the public key acquired from the password management service device 400, and uses the encryption key as the encryption key. Generate (step S270). The information terminal 200 searches the key management DB for the common key corresponding to the Web service identification information URL001 acquired in step S440, and specifies the common key k001. Thereafter, the encryption key generation unit 270 of the information terminal 200 encrypts the common key k001 using the public key pkA, and generates Enc pkA (k001).

情報端末200の暗号化情報送信部280は利用端末500に暗号化ID、暗号化パスワード、暗号化鍵を送信する(ステップS280)。情報端末200の暗号化情報送信部280は鍵管理DB295、IDパスワードDB290を用いてWebサービス識別情報URL001に対応する暗号化IDと暗号化パスワードを検索し、Enck001(ID001)とEnck001(PASS001)を特定する。続いて、情報端末200は利用端末500にEnck001(ID001)、Enck001(PASS001)、EncpkA(k001)を送信する。 The encryption information transmission unit 280 of the information terminal 200 transmits the encryption ID, the encryption password, and the encryption key to the use terminal 500 (Step S280). Encryption information transmitting unit 280 of the information terminal 200 retrieves the encrypted ID and the encrypted password corresponding to the Web service identification information URL001 with key management DB295, ID password DB290, Enc k001 (ID001) and Enc k001 (PASS001 ). Subsequently, Enc k001 (ID001) to the information terminal 200 utilizes terminal 500, Enc k001 (PASS001), and transmits the Enc pkA (k001).

利用端末500の暗号化鍵送信部530はパスワード管理サービス装置400に暗号化鍵を送信する(ステップS530)。利用端末500はステップS280で受信した暗号化鍵EncpkA(k001)をパスワード管理サービス装置400に送信する。 The encryption key transmission unit 530 of the user terminal 500 transmits the encryption key to the password management service device 400 (step S530). The user terminal 500 transmits the encryption key Enc pkA (k001) received in step S280 to the password management service device 400.

パスワード管理サービス装置400の暗号化鍵復号部460は対応する秘密鍵を用いて暗号化鍵を復号し(ステップS460)、パスワード管理サービス装置400の鍵送信部470は利用端末500に復号した共通鍵を送信する(ステップS470)。対応する秘密鍵skAを用いて暗号化鍵EncpkA(k001)から共通鍵k001を復号し、利用端末500に共通鍵k001を送信する。 The encryption key decryption unit 460 of the password management service device 400 decrypts the encryption key using the corresponding private key (step S460), and the key transmission unit 470 of the password management service device 400 decrypts the common key decrypted by the user terminal 500 Is transmitted (step S470). The common key k001 is decrypted from the encryption key EnkpkA (k001) using the corresponding secret key skA, and the common key k001 is transmitted to the user terminal 500.

利用端末500のID・パスワード復号部540はパスワード管理サービス装置400から取得した共通鍵を用いて暗号化IDと暗号化パスワードを復号し、IDとパスワードを取得する(ステップS540)。利用端末500は共通鍵k001を用いて暗号化IDEnck001(ID001)、暗号化パスワードEnck001(PASS001)を復号化しID、PASSを取得する。 The ID / password decryption unit 540 of the user terminal 500 decrypts the encrypted ID and the encrypted password using the common key acquired from the password management service device 400, and acquires the ID and password (step S540). The user terminal 500 decrypts the encrypted IDEnc k001 ( ID001 ) and the encrypted password Enck001 (PASS001) using the common key k001, and obtains the ID and PASS.

利用端末500のID・パスワード自動入力部550は復号したIDとパスワードをIDパスワード入力画面で求められていたID、パスワードとして入力し(ステップS550)、IDパスワード認証手続きを終了する。利用端末は復号して得られたID001とPASS001をIDパスワード入力画面に自動記入する。なお、ID、パスワードについては、手入力してもよい。   The ID / password automatic input unit 550 of the user terminal 500 inputs the decrypted ID and password as the ID and password requested on the ID password input screen (step S550), and ends the ID password authentication procedure. The user terminal automatically fills in the ID password input screen with ID001 and PASS001 obtained by decryption. The ID and password may be entered manually.

パスワード管理サービス装置400は暗号化鍵を利用端末500に送信後、S430で生成した秘密鍵・公開鍵の組を廃棄する。   After transmitting the encryption key to the user terminal 500, the password management service device 400 discards the private key / public key pair generated in S430.

本発明によれば、クラウドに代わりにユーザ個人が常時携帯する情報端末にWebサービスのID・パスワードを記録、Webサービス利用に際してIDパスワード認証が必要になる都度、情報端末に記録したID・パスワードをユーザの承認を得たうえで利用端末に提供することにより、複数の利用端末で簡便にWebサービスを利用することができるようになる。   According to the present invention, the ID / password of the Web service is recorded on the information terminal that is always carried by the user instead of the cloud, and the ID / password recorded on the information terminal is used whenever ID password authentication is required when using the Web service. By providing the user terminal after obtaining the user's approval, the Web service can be easily used by a plurality of user terminals.

ID・パスワードを利用端末が要求する都度、情報端末を用いたユーザの承認が必要となることから、擬似的な所持認証とすることができる。このとき、情報端末を利用するための認証機能を用いることにより、擬似的二要素認証となる。また、ユーザが承認する際、どの利用端末がどのWebサービスにアクセスしようとしているかもわかることから、不正利用を検知することも可能となる。   Each time the use terminal requests an ID / password, the user's approval using the information terminal is required, so that pseudo possession authentication can be performed. At this time, pseudo two-factor authentication is performed by using an authentication function for using the information terminal. In addition, when the user approves, it is also possible to detect which use terminal is trying to access which Web service, so that unauthorized use can be detected.

パスワード管理サービス装置が、ID・パスワードを利用端末が要求する都度、秘密鍵と公開鍵の組を生成することにより、ユーザ認証の安全度を維持することができる。   The password management service device can maintain the security level of user authentication by generating a pair of a secret key and a public key each time an ID / password is requested by a terminal using the ID / password.

上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。
また、上述の構成をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。
この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。
また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。
このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP(Application Service Provider)型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの(コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等)を含むものとする。
また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。 The various processes described above are not only executed in time series according to the description, but may also be executed in parallel or individually as required by the processing capability of the apparatus that executes the processes. Needless to say, other modifications are possible without departing from the spirit of the present invention.
Further, when the above-described configuration is realized by a computer, processing contents of functions that each device should have are described by a program. The processing functions are realized on the computer by executing the program on the computer.
The program describing the processing contents can be recorded on a computer-readable recording medium. As the computer-readable recording medium, for example, any recording medium such as a magnetic recording device, an optical disk, a magneto-optical recording medium, and a semiconductor memory may be used.
The program is distributed by selling, transferring, or lending a portable recording medium such as a DVD or CD-ROM in which the program is recorded. Furthermore, the program may be distributed by storing the program in a storage device of the server computer and transferring the program from the server computer to another computer via a network.
A computer that executes such a program first stores, for example, a program recorded on a portable recording medium or a program transferred from a server computer in its own storage device. When executing the process, the computer reads a program stored in its own recording medium and executes a process according to the read program. As another execution form of the program, the computer may directly read the program from a portable recording medium and execute processing according to the program, and the program is transferred from the server computer to the computer. Each time, the processing according to the received program may be executed sequentially. Also, the program is not transferred from the server computer to the computer, and the above-described processing is executed by a so-called ASP (Application Service Provider) type service that realizes the processing function only by the execution instruction and result acquisition. It is good. Note that the program in this embodiment includes information that is used for processing by an electronic computer and that conforms to the program (data that is not a direct command to the computer but has a property that defines the processing of the computer).
In this embodiment, the present apparatus is configured by executing a predetermined program on a computer. However, at least a part of these processing contents may be realized by hardware.

100…パスワード管理サービスシステム、200…情報端末、210…共通鍵発行部、220…暗号化部、230…DB管理部、240…応答送信部、250…所持認証部、260…認証結果送信部、270…暗号化鍵生成部、280…暗号化情報送信部、290…IDパスワードDB、295…鍵管理DB、300…端末通知装置、310…トークン生成部、320…プッシュ通知部、400…パスワード管理サービス装置、410…DB管理部、420…秘密鍵・公開鍵生成部、430…トークン送信部、440…利用端末情報・Webサービス識別情報送信部、450…公開鍵送信部、460…暗号化鍵復号部、470…鍵送信部、480…ユーザDB、490…公開鍵DB、500…利用端末、510…アカウント名入力画面表示部、520…アカウント名送信部、530…暗号化鍵送信部、540…ID・パスワード復号部、550…ID・パスワード自動入力部、560…ブラウザ部、600…Webサーバ、700…ネットワーク   DESCRIPTION OF SYMBOLS 100 ... Password management service system, 200 ... Information terminal, 210 ... Common key issuing part, 220 ... Encryption part, 230 ... DB management part, 240 ... Response transmission part, 250 ... Possession authentication part, 260 ... Authentication result transmission part, 270 ... Encryption key generation unit, 280 ... Encryption information transmission unit, 290 ... ID password DB, 295 ... Key management DB, 300 ... Terminal notification device, 310 ... Token generation unit, 320 ... Push notification unit, 400 ... Password management Service device 410 ... DB management unit 420 ... Secret key / public key generation unit 430 ... Token transmission unit 440 ... Used terminal information / Web service identification information transmission unit 450 ... Public key transmission unit 460 ... Encryption key Decryption unit, 470 ... key transmission unit, 480 ... user DB, 490 ... public key DB, 500 ... user terminal, 510 ... account name input screen display , 520 ... account name transmission unit, 530 ... encryption key transmission section, 540 ... ID · password decryption unit, 550 ... ID · password automatic input section, 560 ... browser unit, 600 ... Web server, 700 ... network

Claims (8)

Webサービスを利用するためにユーザが使用する利用端末と、
暗号化用の情報端末鍵と、前記情報端末鍵を用いて前記Webサービスを利用するためのIDとパスワードを暗号化した暗号化IDと暗号化パスワードとを保持する情報端末と、
前記ユーザを示すアカウント名と前記情報端末を示すトークンとを対応付けて保持するパスワード管理サービス装置とからなるパスワード管理サービスシステムを用いてWebサービスを利用する際のIDパスワード認証方法であって、
前記利用端末が、Webサービスを利用する際の認証に用いるIDとパスワードの入力画面の表示を検知し、前記アカウント名の入力を促すアカウント名入力画面を表示するアカウント名入力画面表示ステップと、
前記利用端末が、入力されたアカウント名と前記利用端末を示す利用端末情報と前記Webサービスを示すWebサービス識別情報をパスワード管理サービス装置に送信するアカウント名送信ステップと、
前記パスワード管理サービス装置が、受信したアカウント名に対応するトークンから特定される情報端末に対して前記利用端末情報と前記Webサービス識別情報を送信する利用端末情報・Webサービス識別情報送信ステップと、
前記情報端末が、ユーザのWebサービス利用意思を示す認証結果を取得する所持認証ステップと、
前記情報端末が、前記認証結果を前記パスワード管理サービス装置に送信する認証結果送信ステップと、
前記パスワード管理サービス装置が、前記認証結果はユーザのWebサービス利用意思を示すものである場合に、前記パスワード管理サービス装置が保持する秘密鍵と公開鍵のうち、当該公開鍵を前記情報端末に送信する公開鍵送信ステップと、
前記情報端末が、受信した公開鍵を用いて前記情報端末鍵を暗号化した暗号化鍵を生成する暗号化鍵生成ステップと、
前記情報端末が、前記暗号化IDと前記暗号化パスワードと前記暗号化鍵を前記利用端末に送信する暗号化情報送信ステップと、
前記利用端末が、前記暗号化鍵を前記パスワード管理サービス装置に送信する暗号化鍵送信ステップと、
前記パスワード管理サービス装置が、前記公開鍵に対応する秘密鍵を用いて前記暗号化鍵を復号し、前記情報端末鍵を取得する暗号化鍵復号ステップと、
前記パスワード管理サービス装置が、復号した情報端末鍵を前記利用端末に送信する鍵送信ステップと、
前記利用端末が、前記暗号化IDと前記暗号化パスワードを前記情報端末鍵を用いて復号し、前記IDと前記パスワードを取得するID・パスワード復号ステップと、
を有するIDパスワード認証方法。 A terminal used by the user to use the Web service;
An information terminal for encryption, an information terminal holding an encryption ID and an encrypted password obtained by encrypting an ID and password for using the Web service using the information terminal key, and
An ID password authentication method when using a web service using a password management service system including a password management service device that associates and holds an account name indicating the user and a token indicating the information terminal,
An account name input screen display step for detecting the display of an input screen for an ID and password used for authentication when the user terminal uses a Web service and displaying an account name input screen for prompting the input of the account name;
An account name transmission step in which the user terminal transmits the input account name, user terminal information indicating the user terminal, and Web service identification information indicating the Web service to a password management service device;
The password management service device transmits the use terminal information and the Web service identification information to the information terminal specified from the token corresponding to the received account name, and the use terminal information / Web service identification information transmission step;
Possession authentication step in which the information terminal acquires an authentication result indicating a user's intention to use the Web service;
An authentication result sending step in which the information terminal sends the authentication result to the password management service device;
The password management service device transmits the public key of the secret key and public key held by the password management service device to the information terminal when the authentication result indicates a user's intention to use the Web service. A public key sending step,
An encryption key generating step in which the information terminal generates an encryption key obtained by encrypting the information terminal key using the received public key;
An encryption information transmission step in which the information terminal transmits the encryption ID, the encryption password, and the encryption key to the user terminal;
An encryption key transmitting step in which the user terminal transmits the encryption key to the password management service device;
The password management service device decrypts the encryption key using a secret key corresponding to the public key, and obtains the information terminal key;
The password management service device transmits a decrypted information terminal key to the user terminal; and
An ID / password decryption step in which the user terminal decrypts the encrypted ID and the encrypted password using the information terminal key, and obtains the ID and the password;
ID password authentication method. 請求項1に記載のIDパスワード認証方法であって、
更に、
前記パスワード管理サービス装置が、秘密鍵と公開鍵を生成する秘密鍵・公開鍵生成ステップと、
前記パスワード管理サービス装置が、前記鍵送信ステップを実行後、前記秘密鍵と前記公開鍵を廃棄する秘密鍵・公開鍵廃棄ステップと
を有するIDパスワード認証方法。 The ID password authentication method according to claim 1,
Furthermore,
The password management service device generates a secret key and a public key, a secret key / public key generation step;
An ID password authentication method comprising: a secret key / public key discarding step for discarding the secret key and the public key after the password management service device executes the key transmitting step. 請求項1に記載のIDパスワード認証方法であって、
前記秘密鍵と前記公開鍵は、ユーザごとまたは情報端末ごとに前記パスワード管理サービス装置に保持するものであるIDパスワード認証方法。 The ID password authentication method according to claim 1,
The ID password authentication method in which the secret key and the public key are held in the password management service device for each user or each information terminal. Webサービスを利用するためにユーザが使用する利用端末と、
暗号化用の情報端末鍵と、前記情報端末鍵を用いて前記Webサービスを利用するためのIDとパスワードを暗号化した暗号化IDと暗号化パスワードとを保持する情報端末と、
前記ユーザを示すアカウント名と前記情報端末を示すトークンとを対応付けて保持するパスワード管理サービス装置とからなるパスワード管理サービスシステムであって、
前記利用端末は、
Webサービスを利用する際の認証に用いるIDとパスワードの入力画面の表示を検知し、前記アカウント名の入力を促すアカウント名入力画面を表示するアカウント名入力画面表示部と、
入力されたアカウント名と前記利用端末を示す利用端末情報と前記Webサービスを示すWebサービス識別情報をパスワード管理サービス装置に送信するアカウント名送信部と、
前記情報端末から受信した暗号化鍵を前記パスワード管理サービス装置に送信する暗号化鍵送信部と、
前記パスワード管理サービス装置から受信した鍵を用いて、前記暗号化IDと前記暗号化パスワードを復号し、前記IDと前記パスワードを取得するID・パスワード復号部と、
を備え、
前記パスワード管理サービス装置は、
前記利用端末から受信したアカウント名に対応するトークンから特定される情報端末に対して前記利用端末情報と前記Webサービス識別情報を送信する利用端末情報・Webサービス識別情報送信部と、
前記情報端末から受信した認証結果はユーザのWebサービス利用意思を示すものである場合に、保持する秘密鍵と公開鍵のうち、当該公開鍵を前記情報端末に送信する公開鍵送信部と、
前記利用端末から受信した暗号化鍵の暗号化に用いた公開鍵に対応する秘密鍵を用いて前記暗号化鍵を復号し、前記情報端末鍵を取得する暗号化鍵復号部と、
前記復号した情報端末鍵を前記利用端末に送信する鍵送信部と
を備え、
前記情報端末は、
ユーザのWebサービス利用意思を示す認証結果を取得する所持認証部と、
前記認証結果を前記パスワード管理サービス装置に送信する認証結果送信部と、
前記パスワード管理端末から受信した公開鍵を用いて前記情報端末鍵を暗号化し、暗号化鍵を生成する暗号化鍵生成部と、
前記暗号化IDと前記暗号化パスワードと前記暗号化鍵を前記利用端末に送信する暗号化情報送信部と
を備えるパスワード管理サービスシステム。 A terminal used by the user to use the Web service;
An information terminal for encryption, an information terminal holding an encryption ID and an encrypted password obtained by encrypting an ID and password for using the Web service using the information terminal key, and
A password management service system comprising a password management service device that associates and holds an account name indicating the user and a token indicating the information terminal;
The user terminal is
An account name input screen display unit that detects the display of an input screen for an ID and password used for authentication when using the Web service, and displays an account name input screen that prompts the user to input the account name;
An account name transmission unit that transmits the input account name, utilization terminal information indicating the utilization terminal, and Web service identification information indicating the Web service to the password management service device;
An encryption key transmitter for transmitting the encryption key received from the information terminal to the password management service device;
An ID / password decryption unit that decrypts the encrypted ID and the encrypted password using the key received from the password management service device, and obtains the ID and the password;
With
The password management service device
A use terminal information / web service identification information transmission unit for transmitting the use terminal information and the web service identification information to an information terminal specified from a token corresponding to an account name received from the use terminal;
When the authentication result received from the information terminal indicates the user's intention to use the Web service, out of the stored private key and public key, a public key transmission unit that transmits the public key to the information terminal;
An encryption key decryption unit for decrypting the encryption key using a secret key corresponding to the public key used for encryption of the encryption key received from the user terminal, and obtaining the information terminal key;
A key transmitter that transmits the decrypted information terminal key to the user terminal, and
The information terminal
A possession authentication unit that acquires an authentication result indicating a user's intention to use the Web service;
An authentication result transmitter for transmitting the authentication result to the password management service device;
An encryption key generation unit that encrypts the information terminal key using a public key received from the password management terminal and generates an encryption key;
A password management service system comprising: an encryption information transmission unit that transmits the encryption ID, the encryption password, and the encryption key to the user terminal. 請求項4に記載のパスワード管理サービスシステムを構成する情報端末。   The information terminal which comprises the password management service system of Claim 4. 請求項4に記載のパスワード管理サービスシステムを構成するパスワード管理サービス装置。   The password management service apparatus which comprises the password management service system of Claim 4. 請求項4に記載のパスワード管理サービスシステムを構成する利用端末。   Use terminal which comprises the password management service system of Claim 4. 請求項5に記載の情報端末、請求項6に記載のパスワード管理サービス装置、または請求項7に記載の利用端末としてコンピュータを動作させるためのプログラム。   A program for causing a computer to operate as the information terminal according to claim 5, the password management service device according to claim 6, or the use terminal according to claim 7.
JP2015144519A 2015-07-22 2015-07-22 ID password authentication method, password management service system, information terminal, password management service device, user terminal, and program thereof Active JP6353412B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015144519A JP6353412B2 (en) 2015-07-22 2015-07-22 ID password authentication method, password management service system, information terminal, password management service device, user terminal, and program thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015144519A JP6353412B2 (en) 2015-07-22 2015-07-22 ID password authentication method, password management service system, information terminal, password management service device, user terminal, and program thereof

Publications (2)

Publication Number Publication Date
JP2017028475A true JP2017028475A (en) 2017-02-02
JP6353412B2 JP6353412B2 (en) 2018-07-04

Family

ID=57946157

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015144519A Active JP6353412B2 (en) 2015-07-22 2015-07-22 ID password authentication method, password management service system, information terminal, password management service device, user terminal, and program thereof

Country Status (1)

Country Link
JP (1) JP6353412B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020018182A1 (en) * 2018-07-17 2020-01-23 Visa International Service Association Public-private key pair protected password manager

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH05173972A (en) * 1991-12-24 1993-07-13 Matsushita Electric Ind Co Ltd Password restoring method
US6249866B1 (en) * 1997-09-16 2001-06-19 Microsoft Corporation Encrypting file system and method
JP2002157226A (en) * 2000-11-16 2002-05-31 Nec Corp Centralized password managing system
JP2007102777A (en) * 2005-10-04 2007-04-19 Forval Technology Inc User authentication system and method therefor

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH05173972A (en) * 1991-12-24 1993-07-13 Matsushita Electric Ind Co Ltd Password restoring method
US6249866B1 (en) * 1997-09-16 2001-06-19 Microsoft Corporation Encrypting file system and method
JP2001516913A (en) * 1997-09-16 2001-10-02 マイクロソフト コーポレイション Encrypted file system and method
JP2002157226A (en) * 2000-11-16 2002-05-31 Nec Corp Centralized password managing system
JP2007102777A (en) * 2005-10-04 2007-04-19 Forval Technology Inc User authentication system and method therefor

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020018182A1 (en) * 2018-07-17 2020-01-23 Visa International Service Association Public-private key pair protected password manager
US10848304B2 (en) 2018-07-17 2020-11-24 Visa International Service Association Public-private key pair protected password manager
CN112425114A (en) * 2018-07-17 2021-02-26 维萨国际服务协会 Password manager protected by public-private key pair

Also Published As

Publication number Publication date
JP6353412B2 (en) 2018-07-04

Similar Documents

Publication Publication Date Title
JP6573627B2 (en) Service authorization using auxiliary devices
US11134069B2 (en) Method for authorizing access and apparatus using the method
WO2016155497A1 (en) User authentication method and device, and wearable device registration method and device
JP7202688B2 (en) Authentication system, authentication method, application providing device, authentication device, and authentication program
US20160014112A1 (en) Wireless communication of a user identifier and encrypted time-sensitive data
JP2005102163A (en) Equipment authentication system, server, method and program, terminal and storage medium
CN109510802B (en) Authentication method, device and system
JP2016100772A (en) Information processing system, reading device, information processing device, and information processing method
WO2016144257A2 (en) Method and system for facilitating authentication
US20120311331A1 (en) Logon verification apparatus, system and method for performing logon verification
US10686787B2 (en) Use of personal device for convenient and secure authentication
JP2011176435A (en) Secret key sharing system, method, data processor, management server, and program
KR20200088740A (en) Method and apparatus for providing service using kiosk
JP6240102B2 (en) Authentication system, authentication key management device, authentication key management method, and authentication key management program
JP6353412B2 (en) ID password authentication method, password management service system, information terminal, password management service device, user terminal, and program thereof
JP5485452B1 (en) Key management system, key management method, user terminal, key generation management device, and program
JP2012079231A (en) Authentication information management device and authentication information management method
WO2017107642A1 (en) Text processing method, apparatus and system for secure input method
JP2005086428A (en) Method of obtaining authentication and performing crypto communication, authenticating system and authenticating method
JP6919484B2 (en) Cryptographic communication method, cryptographic communication system, key issuing device, program
JP6404928B2 (en) User information management system and user information management method
Al-Hamadi et al. A novel protocol for security of location based services in multi-agent systems
JP2012138729A (en) Data processing device, program and data processing system
JP5369003B2 (en) Authentication method, authentication system, key generation device, server device, program
JP2016045619A (en) Authentication control system, control server, authentication control method and program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170829

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180411

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180417

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180515

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180605

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180608

R150 Certificate of patent or registration of utility model

Ref document number: 6353412

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150