JP2017152880A - 認証システム、鍵処理連携方法、および、鍵処理連携プログラム - Google Patents
認証システム、鍵処理連携方法、および、鍵処理連携プログラム Download PDFInfo
- Publication number
- JP2017152880A JP2017152880A JP2016032659A JP2016032659A JP2017152880A JP 2017152880 A JP2017152880 A JP 2017152880A JP 2016032659 A JP2016032659 A JP 2016032659A JP 2016032659 A JP2016032659 A JP 2016032659A JP 2017152880 A JP2017152880 A JP 2017152880A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- key
- web service
- terminal
- authentication module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
【解決手段】ユーザ認証を行う認証モジュール30を備える端末20と、端末20が利用するWEBサービス10と、所定の鍵を保有する認証鍵リレー型キーストア40と、を備える認証システム100にて、WEBサービス10は、端末20がWEBサービス10にアクセスするための認証に用いられるWEBサービス認証用公開鍵PK1を有しており、キーストア40は、WEBサービス認証用秘密鍵SK1、および、認証モジュール30の認証に用いられる認証モジュール認証用秘密鍵SK3を、耐タンパー領域R3内に閉じ込めており、端末20は、認証モジュール認証用公開鍵PK3を有しており、公開鍵PK3および秘密鍵SK3を用いて処理される情報を、端末20とキーストア40との間で暗号化して送受信する。
【選択図】図1
Description
また、鍵の処理が可能な領域が限定されていることから、平文が限定的な領域内でしか扱われないようになり、キーストアの運用者でも情報の改ざん、盗聴、送受信する情報の不正利用を行うことができず、セキュリティの向上に寄与する。
また、端末側にWEBサービス認証用秘密鍵が存在しないため、ユーザによるWEBサービス認証用秘密鍵の紛失は起こりえず、WEBサービスの継続利用の中断を回避することができる。
したがって、WEBサービス向けのオンライン認証に用いられる鍵の紛失を回避し、WEBサービス向けのオンライン認証を確実に実行させることができる。
(背景説明)
WEBサービスではPW(パスワード)による認証が限界を迎えている。辞書攻撃等によるアカウントの不正操作が頻発しているのが現状である。PWに依存しない認証方法として、鍵による認証が検討されている(標準規格策定団体;FIDO Alliance、2012年発足)。
FIDO(First IDentity Online)Allianceは、秘密鍵を生成した場所に閉じ込めたまま、認証に利用することでセキュリティを高めている。FIDOAllianceは、標準化された公開鍵暗号方式(PKI:Public Key Infrastructure)に基づいている。標準のプロトコルは2つあり、1つは、2要素認証の技術を進化させた認証U2F(Universal Second Factor)プロトコル、もう1つは、FIDO標準に対応したモバイルなどのデバイス経由でパスワードを使用しない認証UAF(Universal Authentication Framework)プロトコルである。FIDOの標準認証には、生体認証技術やTPM(Trusted Platform Module)、NFC(Near Field Communication)に対応し、デバイスやプラグインにも対応しているため、WEBサイトやクラウドアプリもFIDOに準拠した対応デバイスにより、オンライン認証の強化を図ることができる。
図17は、FIDOAllianceの認証方法を説明する図である。
図17に示すように、WEBサービス10は、アカウント11と、アカウント11に関連付けられたWEBサービス認証用公開鍵PK1と、を有する。スマートホン等の端末20は、FIDOAllianceの認証モジュール30に接続可能である。認証モジュール30は、認証判定モジュール31と、WEBサービス認証用秘密鍵SK1を保管する鍵処理保管領域R1と、を有する。WEBサービス10と認証モジュール30が接続された端末20とは、FIDO(UAF)プロトコルに準拠した認証を行う。
WEBサービス10では、アカウント11と公開鍵PK1とは関連付けられている。
図18は、FIDOAllianceの認証方法の特徴を説明する図である。
図18に示すように、WEBサービス10は、WEBサービスアプリケーション13と、FIDOサーバ15とを有し、WEBサービスアプリケーション13は、ユーザ管理DB14に格納されたアカウント11を参照する。FIDOサーバ15は、WEBサービス認証用公開鍵PK1を格納する鍵管理領域16を有する。
WEBサービス10は、メタデータサービス1との間で、認証モジュールの情報3を相互に参照する。メタデータサービス1は、メタデータサービス向け公開鍵PK2を有する。認証モジュールの情報3には、認証モジュールの認証方法(PIN(Personal Identification Number)、虹彩、指紋等)の認証の精度等の情報が記載されている。
鍵処理保管領域R1は、鍵の生成や署名、暗号化、復号といった鍵の関する処理と、鍵の処理に必要な鍵自体を保存する機能を有する。
鍵は、WEBサービス向け公開鍵・秘密鍵と、メタデータサービス向け公開鍵・秘密鍵との2種類がある。
WEBサービス向け公開鍵・秘密鍵は、WEBサービス毎、アカウント毎に異なる鍵を生成する。
また、メタデータサービス向け公開鍵・秘密鍵は、認証モジュールのモデル(認証方式や鍵の保管領域などが定められた仕様)ごとに発行する。FIDOの認証モジュールとして認証を得たタイミングで、秘密鍵・公開鍵を生成する。秘密鍵は認証モジュールに埋め込んで出荷する。
WEBサービス10毎に求めるユーザの認証レベルが異なるため、多様な認証レベルに対応する必要があり、WEBサービス10側で認証方式(PIN、指紋、虹彩等のユーザを識別する方式)等を設定できるようになっている。
端末20のユーザは、WEBサービス10側で指定された認証ポリシーを満たす、認証判定モジュールを搭載した認証判定モジュール31を利用する必要がある。WEBサービス10側は、どのモデルの認証モジュールが利用されたか、メタデータサービス1を利用して検証できるようになっている。
図19は、FIDOAllianceの利用手順を説明する図である。
(手順1)事前登録
図19に示すように、認証モジュール30にPINコードや生体情報を登録する。
図19に示すように、アカウント入力フォームに情報を入力し、WEBサービス10側で本人確認を行う。ID(ログイン名など)とパスワードを設定する。
図19に示すように、パスワードによりWEBサービス10にログインし、FIDO方式の認証に切替処理を実行する。WEBサービス10に登録する際、認証モジュール30でユーザの認証を行う。問題がなければ、認証モジュール30内で公開鍵PK1・秘密鍵SK1のペアを生成し、公開鍵PK1をWEBサービス10へ送付する。公開鍵PK1は、メタデータサービス向けの秘密鍵SK2で署名して送付する。WEBサービス10側で、メタデータを参照し、メタデータサービス1にある公開鍵PK2で検証する。
図19に示すように、WEBサービス10側から認証要求があるため、認証モジュール30でユーザの認証を実行する。問題がなければ、鍵処理保管領域R1の秘密鍵SK1,SK2へのアクセス許可を与え、秘密鍵SK1,SK2で署名を行い、WEBサービス10側へ返す。WEBサービス10側では、アカウント11に紐付けてある、公開鍵PK1で署名が検証できれば、認証OKと判定する。
図20は、公開鍵を用いた認証(FIDO)の問題点を説明する図である。
公開鍵を用いた認証(FIDO)では、認証デバイスに鍵を閉じ込めているため、認証デバイスを紛失すると秘密鍵も失う、という問題点がある。
具体的には、図20(a)に示すように、認証モジュール30が取り付けられた端末20が、FIDOの認証を行い、WEBサービス10を利用する場合において、諸事情により認証モジュール30を紛失(秘密鍵SK1も紛失)したとする。このとき、新しい認証モジュールを(新)認証モジュール30Aとして用意し、端末20に(新)認証モジュール30Aを取り付けたとしても、図20(b)に示すように、WEBサービス10が保持する公開鍵PK1のペアとなる秘密鍵は、(新)認証モジュール30Aには無い(作り出すこともできない)。その結果、端末20のユーザは、秘密鍵SK1の紛失前から継続する態様でWEBサービス10を利用することはできない。
FIDOでは、鍵の新規登録については規定されているが、鍵の紛失時の対応策については標準化技術では規定されておらず、上記の問題点に対処していない。
図21は、図20の問題点の解決の方向性を説明する図である。
図21に示すように、WEBサービス10のWEBサービス認証用公開鍵PK1のペアとなるWEBサービス認証用秘密鍵SK1を、インターネット上のサーバ(以降では、認証鍵リレー型キーストア40と呼ぶ)に保管する。この秘密鍵SK1と認証モジュール30の関係を認証鍵リレー型キーストア40で保持する。つまり、これまではFIDOプロトコルに従って認証モジュール内で実行していた秘密鍵に関する処理を、認証鍵リレー型キーストア40側で実行するようなシステムを提案する。
図22は、図21の課題を説明する図である。
図22(a)に示すように、認証判定モジュール31、および、秘密鍵SK1を保管する鍵処理保管領域R1が、認証モジュール30内に閉じている。このため、WEBサービス認証用秘密鍵SK1が端末20の認証モジュール30側にある場合、認証判定モジュール31によるユーザの認証結果と、秘密鍵SK1の処理とが関連付いていることが保証されている。
図1は、本実施形態の認証システムを示す全体構成図である。図1に示すように、本実施形態の認証システム100は、WEBサービス10と、端末20と、認証モジュール30(認証デバイス)と、認証鍵リレー型キーストア40(キーストア)と、メタデータサービス1と、認証局50と、を備える。
WEBサービス10は、WEBサイトをオンライン上に有しており、端末20が利用して、端末20のユーザに対して所定のサービス(WEBサービス)を提供する。WEBサービス10は、WEBサービスアプリケーション13と、FIDOサーバ15とを有する。
WEBサービス認証用公開鍵PK1は、WEBサービスを利用する端末20のユーザを認証するときに利用される公開鍵である。
また、FIDOサーバ15は、メタデータサービス1の認証モジュールの情報3を参照することができる。
端末120は、スマートホン,携帯電話,タブレット等の携帯端末、ノート型/デスクトップ型PC、各種電子機器である。本実施形態では、スマートホンを例に採る。端末20は、ブラウザ・アプリ21と、FIDOクライアント22と、認証管理情報23と、認証モジュールドライバ24と、端末側連携認証機能25と、画面ロック解除機能26と、OS用アカウント管理機能27と、OS鍵処理保管領域R2と、を備える。端末120は、ユーザ認証を行う認証モジュール30を備える。
FIDOクライアント22は、FIDOによる認証に要する処理をFIDOサーバ15に要求する。
認証管理情報23は、ユーザを認証するためのさまざまな値を関連付けて管理する情報である。認証管理情報23の詳細は、後記する。
認証モジュールドライバ24は、端末20が認証モジュール30の処理を制御するためのドライバである。
認証モジュール認証用公開鍵PK3は、認証モジュール30を認証するときに用いられる公開鍵である(詳細は後記)。
なお、端末側連携認証機能25は、端末20のOS側(Operating System:オペレーティングシステム。図示せず。)に実装してもよいし、認証モジュール30側に実装してもよい。
認証モジュールアサーションキーAK2は、ユーザ認証のアサーションを暗号化・復号化する共通鍵である。
端末側認証モジュール毎の対称鍵SYK1は、端末20側にて、認証モジュール30ごとに用意されている対称鍵である。
OS鍵処理保管領域R2は、耐タンパー性があり、鍵に関する処理(鍵の生成、署名検証、証明生成、暗号化、復号化など)が可能なモジュールであることが好ましい。しかし、鍵の保管と鍵の処理を限られた領域内のみで実行するのであれば、ソフトウェアなどでの実装でもよい。
認証モジュール30は、端末20のユーザを認証するための認証デバイスである。認証モジュール30は、認証判定モジュール31と、鍵処理保管領域R1と、を有する。
認証判定モジュール31は、あらかじめ登録されたCredentialを用いて、ユーザ認証の際、ユーザから提示された情報がCredentialに一致すれば、鍵処理保管領域R1へのアクセスが許可される。
鍵処理保管領域R1は、認証モジュール30よって保管される様々な種類の鍵を管理する。鍵処理保管領域R1には、メタデータサービス向け秘密鍵SK2と、認証モジュールアサーションキーAK1と、が保管されている。
メタデータサービス向け秘密鍵SK2は、認証モジュール30が、メタデータサービス1の認証モジュールの情報3を利用するための秘密鍵である。
認証モジュールアサーションキーAK1は、ユーザ認証のアサーションを暗号化・復号化する共通鍵である。
鍵処理保管領域R1は、耐タンパー性があり、鍵に関する処理(鍵の生成、署名検証、証明生成、暗号化、復号化など)が可能なモジュールであることが好ましい。しかし、鍵の保管と鍵の処理を限られた領域内のみで実行するのであれば、ソフトウェアなどでの実装でもよい。
認証鍵リレー型キーストア40は、WEBサービス認証用秘密鍵SK1などの鍵をオンライン上(インターネット側)で保管するサーバである。認証鍵リレー型キーストア40は、KS側連携認証機能41と、ユーザ管理DB42と、アカウント管理WEBアプリ43と、耐タンパー領域R3と、サーバ証明書CE1と、を備える。
ユーザ管理DB42は、端末20のユーザに関する情報を格納する。
アカウント管理WEBアプリ43は、ユーザ管理DB42に格納された情報について、読み出したり、書き換えたりして管理する。
WEBサービス認証用秘密鍵SK1は、WEBサービスを利用する端末20のユーザを認証するときに利用される秘密鍵である。WEBサービス認証用秘密鍵SK1は、WEBサービス認証用公開鍵PK1と対をなす。
認証モジュール認証用秘密鍵SK3は、認証モジュール30を認証するときに用いられる秘密鍵である(詳細は後記)。認証モジュール認証用秘密鍵SK3は、認証モジュール認証用公開鍵PK3と対をなす。図1に示すように、端末20が認証モジュール認証用公開鍵PK3を有し、認証鍵リレー型キーストア40が認証モジュール認証用秘密鍵SK3を有するという鍵の持ち合いが実現される。
サーバの秘密鍵SK4は、サーバ証明書CE1に示される署名に用いられる秘密鍵である。
KS側認証モジュール毎の対称鍵SYK2は、認証鍵リレー型キーストア40側にて、認証モジュール30ごとに用意されている対称鍵である。
耐タンパー領域R3は、耐タンパー性があり、鍵に関する処理(鍵の生成、署名検証、証明生成、暗号化、復号化など)が可能なモジュールであることが好ましい。しかし、鍵の保管と鍵の処理を限られた領域内のみで実行するのであれば、ソフトウェアなどでの実装でもよい。
メタデータサービス1は、さまざまな種類が存在する認証モジュールに関する情報を、認証モジュールの情報3として管理する。認証モジュールの情報3の詳細については後記する。
メタデータサービス1は、メタデータサービス向け公開鍵PK2を用いて認証モジュールの情報3を保管する。WEBサービス10のFIDOサーバ15は、認証モジュールの情報3を参照することができる。認証鍵リレー型キーストア40は、認証モジュールの情報3を参照することができる。メタデータサービス向け公開鍵PK2は、メタデータサービス向け秘密鍵SK2と対をなす。
認証局50は、他の当事者にデジタル公開鍵証明書を発行する実体である。認証局50は、サーバ証明書CE2と、サーバの公開鍵PK4とを有する。
サーバ証明書CE2は、サーバ証明書CE1と同等である。
サーバの公開鍵PK4は、サーバ証明書CE1に示される署名に用いられる秘密鍵である。サーバの公開鍵PK4は、サーバの秘密鍵SK4と対をなす。
次に、データの保持形式について説明する。
<メタデータサービスの認証モジュールの情報>
図2は、メタデータサービス1の認証モジュールの情報3の構造図である。
図2に示すように、認証モジュールの情報3は、認証モジュールモデルID(3a)毎に、認証方式3b、メタデータサービス向け公開鍵ID(3c)、認証モジュールの実装形態3d、鍵処理保管領域の実装形態3e、鍵の保管領域3f、および認証精度3gを有する。本実施形態では、認証モジュールの情報3が、図2の太枠で囲んだ鍵の保管領域3fを持つことを特徴とする。
メタデータサービス向け公開鍵ID(3c)は、該当の認証モジュールモデルに紐付けられているメタデータサービス向け公開鍵PK2の識別子である。
鍵の保管領域3fは、WEBサービス認証用秘密鍵SK1の保管場所を特定し、本実施形態では、認証モジュール30内(具体的には、鍵処理保管領域R1)か、認証鍵リレー型キーストア(具体的には、耐タンパー領域R3)のいずれかである。認証モジュールの情報3に鍵の保管領域3fを設定することにより、WEBサービス10が、WEBサービス10自身の認証に求める要件を満たす認証モジュール30を選択することができる。具体的には、WEBサービス10の提供に求められるセキュリティレベルを満たすことができる認証方式をWEBサイトの事業者が選択することができる。また、必要とするセキュリティレベルがそれぞれ異なる多様なWEBサービスの認証要件に応じることができる。
次に、端末20側が保持する情報について説明する。端末20側が保持する情報は、具体的には、認証管理情報23と、アカウント管理情報28である。
図3は、端末が保持する情報の構造図である。図3では木構造として示されている。図3の説明(および後記する図4の説明)において、「xxのID」と「yyのID」とが線で結ばれる場合、当該線に付された「1…1」は、1つのxxのIDには1つyyのIDが対応していることを示す。また、「xxのID」と「yyのID」とが線で結ばれる場合、当該線に付された「1…n(nは2以上の整数)」は、1つのxxのIDには複数のyyのIDが対応していることを示す。
図3(a)に示すように、端末20側が保持する認証管理情報23は、WEBサービスのアプリケーションID(23a)と、WEBサービスのユーザID(23b)と、認証モジュールモデルID(23c)と、WEBサービス認証用秘密鍵のID(23d)と、認証モジュール認証用公開鍵のID(23e)と、認証鍵リレー型キーストアのユーザID(23f)と、認証鍵リレー型キーストアのURL(Uniform Resource Locator)(23g)と、を有する。
認証モジュール認証用公開鍵のID(23e)は、認証モジュール認証用公開鍵PK3の識別子である。
認証鍵リレー型キーストアのURL(23g)は、認証鍵リレー型キーストア40の所在を示す。
また、図3(b)に示すように、端末20側が保持するアカウント管理情報28は、OSのユーザアカウント(28a)と、認証モジュールアサーションキーID(28b)と、端末側認証モジュール毎の対称鍵ID(28c)と、認証モジュール認証用鍵ペアのID(28d)と、を有する。
端末側認証モジュール毎の対称鍵ID(28c)は、端末側認証モジュール毎の対称鍵SYK1の識別子である。端末側認証モジュール毎の対称鍵ID(28c)は、その1つ下位の認証モジュール認証用鍵ペアのID(28d)に「1…1」で対応する。
認証モジュール認証用鍵ペアのID(28d)は、認証モジュール認証用鍵(PK3,SK3)の識別子である。
次に、認証鍵リレー型キーストア40側が保持する情報について説明する。認証鍵リレー型キーストア40側が保持する情報は、具体的には、ユーザ管理DB42の情報である。
図4は、認証鍵リレー型キーストアが保持するユーザ管理DBの情報の構造図である。図4では木構造として示されている。
図4に示すように、ユーザ管理DB42は、認証鍵リレー型キーストアのユーザID(42a)と、認証モジュールモデルID(42b)と、認証モジュール認証用公開鍵のID(42c)と、KS側認証モジュール毎の対称鍵ID(42d)と、認証モジュール認証用秘密鍵のID(42e)と、WEBサービス認証用秘密鍵のID(42f)と、WEBサービスのユーザID(42g)と、WEBサービスのアプリケーションID(42h)と、を有する。
認証鍵リレー型キーストアのユーザID(42a)は、その1つ下位の認証モジュールモデルID(42b)に「1…1」で対応する。
また、認証鍵リレー型キーストアのユーザID(42a)は、その1つ下位の認証モジュール認証用公開鍵のID(42c)に「1…n」で対応する(認証モジュール認証用公開鍵のID(42c)が「n(複数)」に相当)。
また、認証鍵リレー型キーストアのユーザID(42a)は、その1つ下位のWEBサービス認証用秘密鍵のID(42f)に「1…n」で対応する(WEBサービス認証用秘密鍵のID(42f)が「n(複数)」に相当)。
認証モジュール認証用秘密鍵のID(42e)は、認証モジュール認証用秘密鍵SK3の識別子である。
次に、本実施形態の認証システムが実行する処理について説明する。この説明をする際、以下に述べる事項を前提とする。
・端末20はスマートホンであり、認証モジュール30を備える。このスマートホンは、例えば、指紋認証を行うことができる。なお、端末20は、PCやタブレットでもよい。また、認証モジュール30は、端末20に搭載される態様であってもよいし、端末20に着脱可能に取り付けられていてもよい。
・スマートホンの利用者と、WEBサービスの利用者は同一人物(ユーザU)である。
・スマートホンは画面ロック機能を有しており、スマートホンの利用は画面ロック解除を行ってから可能になる。
・スマートホンの画面ロック解除機能用の認証デバイスと、認証モジュールの認証デバイスは共用利用可能である。
シナリオAでは、画面ロック解除の設定、および、認証モジュールの設定を行う。
図5に示すように、シナリオAの処理は、ステップA1から開始する。
次に、ステップA2にて、OS用アカウント管理機能27は、ユーザUのアカウントを作成する。なお、この段階でのアカウントの作成は、端末20がPCの場合には必須となる。
次に、ステップA5にて、画面ロック解除機能26およびOS用アカウント管理機能27は、画面ロック解除設定の応答(OK)をユーザUに向けて出力する。具体的には、画面ロック解除設定が完了したことの画面表示や音声出力がなされる。
次に、ステップA7にて、FIDOクライアント22および認証モジュールドライバ24は、認証モジュール30を介して、ユーザ認証のクレデンシャルの要求をユーザUに向けて出力する。具体的には、クレデンシャルの提示を促す画面表示や音声出力がなされる。
次に、ステップA9にて、認証モジュール30は、入力された、ユーザ認証のクレデンシャルを認証判定モジュール31に登録する。クレデンシャルの登録が完了すると、認証モジュール30は、そのクレデンシャルに対応する認証モジュールモデルIDを生成する。
次に、ステップA11にて、FIDOクライアント22および認証モジュールドライバ24は、端末側連携認証機能25を介して、OS用アカウント管理機能27に対し、認証モジュールアサーションキーを要求する。
次に、ステップA12にて、OS用アカウント管理機能27は、OS鍵処理保管領域R2内に、端末側認証モジュール毎の対称鍵SYK1を生成する。
シナリオAによれば、画面ロック解除の設定、および、認証モジュールの設定を実現することができる。
シナリオBでは、認証鍵リレー型キーストア40と認証モジュール30間で認証モジュール認証用鍵を持ち合う。
図6に示すように、シナリオBの処理は、ステップB1から開始する。
次に、ステップB2にて、OS用アカウント管理機能27は、ユーザアカウントに対応したOS鍵処理保管領域R2へのアクセスを許可する。つまり、端末20の画面ロック解除での認証が成功し、ログインしたアカウントの端末側認証モジュール毎の対称鍵SYK1と認証モジュールアサーションキーAK2とが利用可能となる。
次に、ステップB6にて、アカウント管理WEBアプリ43は、KS側連携認証機能41に対し、認証モジュール登録の要求(ステップB5でユーザUが入力した要求と同等)を送信する。
次に、ステップB8にて、認証鍵リレー型キーストア40は、耐タンパー領域R3内に認証モジュール認証用鍵、つまり、認証モジュール認証用公開鍵PK3、および、認証モジュール認証用秘密鍵SK3を生成する。
次に、ステップB9にて、認証鍵リレー型キーストア40は、サーバの秘密鍵SK4を用いて、耐タンパー領域R3内で認証モジュール認証用公開鍵PK3に署名する。
次に、ステップB11にて、KS側連携認証機能41は、アカウント管理WEBアプリ43に対し、署名された認証モジュール認証用公開鍵PK3を送付する。
次に、ステップB12にて、アカウント管理WEBアプリ43は、ブラウザ・アプリ21を介して、端末側連携認証機能25に対し、署名された認証モジュール認証用公開鍵PK3を送付する。
仮に、署名が真正(OK)であった場合、ステップB14にて、端末側連携認証機能25は、FIDOクライアント22、認証モジュールドライバ24、および、認証モジュール30を介して、認証の要求をユーザUに向けて出力する。具体的には、クレデンシャルの提示を促す画面表示や音声出力がなされる。
仮に、ユーザUが本人(OK)であった場合、ステップB17にて、認証判定モジュール31は、メタデータサービス向け秘密鍵SK2を用いて、鍵処理保管領域R1内で認証モジュールモデルID301(図5のステップA10にて生成された認証モジュールモデルIDであり、認証管理情報23(図3(a))が備える認証モジュールモデルID23cに対応する)に署名する。
次に、ステップB19にて、認証モジュール30は、FIDOクライアント22、認証モジュールドライバ24、端末側連携認証機能25を介して、OS用アカウント管理機能27に対し、暗号化された、認証モジュールモデルID301およびアサーション302を送信する。
次に、ステップB21にて、OS用アカウント管理機能27は、端末側連携認証機能25に対し、アサーションの検証結果が良であったこと(認証OK)を通知するとともに、復号化された、署名付き認証モジュールモデルID301を送信する。
次に、ステップB23にて、KS側連携認証機能41は、メタデータサービス1を参照し、メタデータサービス向け公開鍵PK2を取得する。
次に、ステップB24にて、KS側連携認証機能41は、メタデータサービス向け公開鍵PK2を用いて、署名付き認証モジュールモデルID301の署名を検証する。
次に、ステップB28にて、OS用アカウント管理機能27は、OS鍵処理保管領域R2内の認証モジュール認証用公開鍵PK3を、端末側認証モジュール毎の対称鍵SYK1(図5のステップA12参照)を用いて暗号化する。また、OS用アカウント管理機能27は、暗号化した認証モジュール認証用公開鍵PK3を端末側連携認証機能25に送信する。
次に、ステップB31にて、アカウント管理WEBアプリ43は、ブラウザ・アプリ21に対し、認証モジュール30の登録が認証鍵リレー型キーストア40側で完了したことを通知する。その結果、端末20の画面を見ているユーザUは、認証モジュール登録の要求(ステップB5)の応答として、認証モジュール30の登録が完了したことを認識することができる。
次に、ステップB35にて、端末側連携認証機能25は、ブラウザ・アプリ21を介して、アカウント管理WEBアプリ43に対し、認証モジュール認証用公開鍵PK3の削除が端末20側で完了したことを通知する。
次に、ステップB36にて、アカウント管理WEBアプリ43は、ブラウザ・アプリ21に対し、認証モジュール認証用公開鍵PK3の削除が認証鍵リレー型キーストア40側で完了したことを通知する。その結果、端末20の画面を見ているユーザUは、認証モジュール登録の要求(ステップB5)の応答として、認証モジュール30の登録が失敗したことを認識することができる。
シナリオBによれば、認証鍵リレー型キーストア40と認証モジュール30間で認証モジュール認証用鍵を持ち合う(認証鍵リレー型キーストア40が認証モジュール認証用秘密鍵SK3を持ち、認証モジュール30が(暗号化された)認証モジュール認証用公開鍵PK3を持つ)ことができる。
シナリオCでは、認証鍵リレー型キーストア40でWEBサービス認証用秘密鍵SK1を生成し、WEBサービス10側と鍵を共有する。
図9に示すように、シナリオCの処理は、ステップC1から開始する。
次に、ステップC2にて、OS用アカウント管理機能27は、ユーザアカウントに対応したOS鍵処理保管領域R2へのアクセスを許可する。つまり、認証鍵リレー型キーストア40へのアクセスのための認証が画面ロック解除により完了する。
次に、ステップC7にて、認証モジュール30が、ユーザ認証の要求をユーザUに向けて出力する。具体的には、ユーザ認証に用いるクレデンシャルの提示を促す画面表示や音声出力がなされる。
次に、ステップC9にて、認証判定モジュール31は、入力されたクレデンシャルを用いて、ユーザ認証を検証する、つまり、ユーザUが本人であるか否か判定する。
仮に、ユーザUが本人(OK)であった場合、ステップC10にて、認証判定モジュール31は、アサーション303を生成し、認証モジュールアサーションキーAK1を用いて、鍵処理保管領域R1内で、アサーション303およびFIDO登録要求304(ステップC6の要求に相当)を暗号化する。
次に、ステップC12にて、FIDOクライアント22および認証モジュールドライバ24は、端末側連携認証機能25に対し、暗号化された、アサーション303およびFIDO登録要求304を送信するとともに、WEBサービス認証用鍵の生成要求を送信する。
次に、ステップC14にて、OS用アカウント管理機能27は、OS鍵処理保管領域R2内で、暗号化された、アサーション303およびFIDO登録要求304を、認証モジュールアサーションキーAK2で復号し、アサーション検証をする。本実施形態では、アサーションの検証結果は良(OK)であったとする。
次に、ステップC16にて、OS用アカウント管理機能27は、暗号化された認証モジュール認証用公開鍵PK3を端末側認証モジュール毎の対称鍵SYK1(図5のステップA12参照)を用いて復号し、復号化した認証モジュール認証用公開鍵PK3を用いて共通鍵CKを暗号化する。
次に、ステップC19にて、認証鍵リレー型キーストア40は、耐タンパー領域R3内で、復号化した共通鍵CKを用いて、Challenge201を復号し、Response401を計算する。Response401は、周知のチャレンジ/レスポンス認証に用いられるランダムな数値列である。また、認証鍵リレー型キーストア40は、Response401を共通鍵CKで暗号化する。
次に、ステップC21にて、OS用アカウント管理機能27は、OS鍵処理保管領域R2内で、共通鍵CKを用いて、暗号化されたResponse401を復号し、検証をする。本実施形態では、Response401の検証結果は良(OK)であったとする。
次に、ステップC23にて、OS用アカウント管理機能27は、端末側連携認証機能25を介して、認証鍵リレー型キーストア40のKS側連携認証機能41に、暗号化されたFIDO登録要求304を送付し、KS側連携認証機能41が耐タンパー領域R3内に、暗号化されたFIDO登録要求304を格納する。
次に、ステップC25にて、認証鍵リレー型キーストア40は、耐タンパー領域R3内で、WEBサービス認証用鍵(ペア)、つまり、WEBサービス認証用公開鍵PK1およびWEBサービス認証用秘密鍵SK1を生成する。
図11に示すように、次に、ステップC28にて、OS用アカウント管理機能27は、OS鍵処理保管領域R2内で、FIDO登録応答402およびWEBサービス認証用公開鍵PK1を、認証モジュールアサーションキーAK2で暗号化する。
次に、ステップC30にて、認証判定モジュール31は、認証モジュールアサーションキーAK1を用いて、鍵処理保管領域R1内で、暗号化された、FIDO登録応答402およびWEBサービス認証用公開鍵PK1を復号する。
次に、ステップC32にて、認証モジュール30は、ブラウザ・アプリ21、FIDOクライアント、および、認証モジュールドライバ24を介して、署名付きFIDO登録応答402、および、WEBサービス認証用公開鍵PK1を、WEBサービス10に送信する。
次に、ステップC34にて、WEBサービス10は、メタデータサービス向け公開鍵PK2を用いて、署名付きFIDO登録応答402の署名を検証する。
シナリオCによれば、認証鍵リレー型キーストア40でWEBサービス認証用秘密鍵SK1を生成し、WEBサービス10側と鍵を共有することができる。つまり、WEBサービス認証用秘密鍵SK1は、従来のように、認証モジュール30側にではなく、WEBサービス10側に持たせることができる。その結果、ユーザUの端末20を、WEBサービス10のWEBサイトに登録することができる。
シナリオDでは、認証鍵リレー型キーストア40で保管してあるWEBサービス認証用秘密鍵SK1を利用して、WEBサービス10のWEBサイトにログインする。
図12に示すように、シナリオDの処理は、ステップD1から開始する。
次に、ステップD2にて、OS用アカウント管理機能27は、ユーザアカウントに対応したOS鍵処理保管領域R2へのアクセスを許可する。つまり、認証鍵リレー型キーストア40へのアクセスのための認証が画面ロック解除により完了する。
次に、ステップD6にて、認証モジュール30が、ユーザ認証の要求をユーザUに向けて出力する。具体的には、ユーザ認証に用いるクレデンシャルの提示を促す画面表示や音声出力がなされる。
次に、ステップD8にて、認証判定モジュール31は、入力されたクレデンシャルを用いて、ユーザ認証を検証する、つまり、ユーザUが本人であるか否か判定する。
仮に、ユーザUが本人(OK)であった場合、ステップD9にて、認証判定モジュール31は、アサーション305を生成し、認証モジュールアサーションキーAK1を用いて、鍵処理保管領域R1内で、アサーション305およびFIDO認証要求306(ステップD5の要求に相当)を暗号化する。
次に、ステップD11にて、FIDOクライアント22および認証モジュールドライバ24は、端末側連携認証機能25に対し、暗号化された、アサーション305およびFIDO認証要求306を送信するとともに、WEBサービス認証用鍵の生成要求を送信する。
次に、ステップD13にて、OS用アカウント管理機能27は、OS鍵処理保管領域R2内で、暗号化された、アサーション305およびFIDO認証要求306を、認証モジュールアサーションキーAK2で復号し、アサーション検証をする。本実施形態では、アサーションの検証結果は良(OK)であったとする。
次に、ステップD15にて、OS用アカウント管理機能27は、暗号化された認証モジュール認証用公開鍵PK3を端末側認証モジュール毎の対称鍵SYK1(図5のステップA12参照)を用いて復号し、復号化した認証モジュール認証用公開鍵PK3を用いて共通鍵CKを暗号化する。
次に、ステップD18にて、認証鍵リレー型キーストア40は、耐タンパー領域R3内で、復号化した共通鍵CKを用いて、Challenge201を復号し、Response401を計算する。また、認証鍵リレー型キーストア40は、Response401を共通鍵CKで暗号化する。
次に、ステップD20にて、OS用アカウント管理機能27は、OS鍵処理保管領域R2内で、共通鍵CKを用いて、暗号化されたResponse401を復号し、検証をする。本実施形態では、Response401の検証結果は良(OK)であったとする。
次に、ステップD22にて、OS用アカウント管理機能27は、端末側連携認証機能25を介して、認証鍵リレー型キーストア40のKS側連携認証機能41に、暗号化されたFIDO認証要求306を送付し、KS側連携認証機能41が耐タンパー領域R3内に、暗号化されたFIDO認証要求306を格納する。
次に、ステップD24にて、認証鍵リレー型キーストア40は、耐タンパー領域R3内で、WEBサービス認証用秘密鍵SK1を用いて、FIDO認証応答403に署名する。
次に、ステップD27にて、OS用アカウント管理機能27は、OS鍵処理保管領域R2内で、FIDO認証応答403を、認証モジュールアサーションキーAK2で暗号化する。
次に、ステップD29にて、認証判定モジュール31は、認証モジュールアサーションキーAK1を用いて、鍵処理保管領域R1内で、暗号化されたFIDO認証応答403を復号する。
シナリオDによれば、認証鍵リレー型キーストア40で保管してあるWEBサービス認証用秘密鍵SK1を利用して、WEBサービス10のWEBサイトにログインすることができる。
インターネット側では多様な攻撃が考えられ、認証鍵リレー型キーストア40の内部の機能部やアプリケーションが乗っ取られ、不正な操作が行われる可能性がある。例えば、認証鍵リレー型キーストア40の利用者を識別する認証鍵リレー型キーストアのユーザID(42a)は、WEBサービス認証用秘密鍵SK1および認証モジュール認証用秘密鍵SK3と所定の関係を有しているため(図4参照)、この所定の関係を利用するアプリケーションが乗っ取られた場合、不正の書き換えが行われる可能性がある。
具体的には、図15(a)に示すように、本実施形態の認証システム100は、インターネット側に配置されている認証鍵リレー型キーストア40(第1のキーストア)と同じ機能を備える認証鍵リレー型キーストア40−1(第2のキーストア)をローカルネットワーク側に配置する。認証鍵リレー型キーストア40−1が備える、KS側連携認証機能41−1、ユーザ管理DB42−1、アカウント管理WEBアプリ43−1、耐タンパー領域R3−1はそれぞれ、認証鍵リレー型キーストア40が備える、KS側連携認証機能41、ユーザ管理DB42、アカウント管理WEBアプリ43、耐タンパー領域R3と同等である。
認証鍵リレー型キーストア40のアカウント管理WEBアプリ43は、WEBサービス10またはWEBサイトの登録、認証、削除の機能を有する。アカウント管理WEBアプリ43は、これらの機能を用いて、認証鍵リレー型キーストアのユーザIDと、WEBサービス認証用秘密鍵のIDと、WEBサービスのアプリケーションIDとを関係付けたり、秘密鍵SK1,SK3を生成したりする。
なお、認証鍵リレー型キーストア40のユーザ管理DB42と、認証鍵リレー型キーストア40−1のユーザ管理DB42−1との間で同期処理を行い、認証鍵リレー型キーストア40−1のユーザ管理DB42−1を更新してもよい。
ユーザ認証を実行する装置(端末20)と、WEBサービス認証用秘密鍵SK1を保有する装置(認証鍵リレー型キーストア40)とを異ならせる場合、ユーザ認証結果とWEBサービス認証用秘密鍵SK1とが当然には関連付いていないため、両者間の処理順序や関係が保証されていない。しかし、本実施形態によれば、端末20側の認証モジュール認証用公開鍵PK3、および、認証鍵リレー型キーストア40側の認証モジュール認証用秘密鍵SK3を用いて、ユーザ認証結果とWEBサービス認証用秘密鍵SK1とを関連付けることで、両者間の処理順序や関係を一意にすることができる。従来は、秘密鍵を利用する際は認証が必要で、認証鍵リレー型キーストア40の認証モジュール認証用秘密鍵SK3とWEBサービス認証用秘密鍵SK1といった2種類の秘密鍵を利用する場合は、秘密鍵の利用ごとにユーザの認証を行い(つまり、ユーザ認証を2回実施し)、各認証で承認を得る必要があるが、本方式では、ユーザの認証から鍵の利用順序を一意にすることが可能であるため、ユーザの認証を1回実施すればよい。その結果、WEBサービス10での認証時におけるユーザの操作量は、従来のFIDOの認証方式のときと同じにすることができる。よって、なりすましや中間者攻撃などの、認証鍵リレー型キーストア40に直接アクセスする不正の操作を見極めて、防止することができ、高セキュリティを実現することができる。
また、鍵の処理が可能な領域が限定されていることから、平文が限定的な領域内でしか扱われないようになり、認証鍵リレー型キーストア40の運用者でも情報の改ざん、盗聴、送受信する情報の不正利用を行うことができず、セキュリティの向上に寄与する。
また、端末20側にWEBサービス認証用秘密鍵SK1が存在しないため、ユーザによる秘密鍵SK1の紛失は起こりえず、WEBサービスの継続利用の中断を回避することができる。
したがって、WEBサービス向けのオンライン認証に用いられる鍵の紛失を回避し、WEBサービス向けのオンライン認証を確実に実行させることができる。
なお、認証システム100に認証鍵リレー型キーストア40を追加しても、端末20とWEBサービス10間のFIDO(UAF)プロトコルに特別な追加や変更を必要としないため、認証システム100に認証鍵リレー型キーストア40を導入することは容易である。
(1):本実施形態において、WEBサービス10が端末20のユーザを登録する際(図9〜図11に示すシナリオC)、または、WEBサービス10にアクセスしようとする端末のユーザを認証する際(図12〜図13に示すシナリオD)、端末20が認証モジュール認証用公開鍵PK3を有しており、かつ、認証鍵リレー型キーストア40が認証モジュール認証用秘密鍵SK3を有している、という鍵の持ち合いを、端末20と認証鍵リレー型キーストア40との間で確認することができる。その確認の結果、鍵の持ち合いが成立していないとき(公開鍵PK3、秘密鍵SK3の一方または両方が消失しているとき)、WEBサービス10が端末20のユーザを登録する際(シナリオC)、または、WEBサービス10にアクセスしようとする端末のユーザを認証する際(シナリオD)、端末20と認証鍵リレー型キーストア40との間で鍵の持ち合いを成立させる(公開鍵PK3および秘密鍵SK3を復旧させる)処理を実行することができる。端的にいえば、シナリオC,Dの段階で、シナリオBの初期登録(図6〜図8参照)を改めて実行する。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。
その他、ハードウェア、ソフトウェア、フローチャートなどについて、本発明の趣旨を逸脱しない範囲で適宜変更が可能である。
1 メタデータサービス
3 認証モジュールの情報
10 WEBサービス
20 端末
23 認証管理情報
25 端末側連携認証機能
26 画面ロック解除機能
27 OS用アカウント管理機能
28 アカウント管理情報
30 認証モジュール
31 認証判定モジュール
40 認証鍵リレー型キーストア(キーストア:第1のキーストア)
40−1 認証鍵リレー型キーストア(第2のキーストア)
41 KS側連携認証機能
42 ユーザ管理DB
43 アカウント管理WEBアプリ
50 認証局
PK1 WEBサービス認証用公開鍵
SK1 WEBサービス認証用秘密鍵
PK2 メタデータサービス向け公開鍵
SK2 メタデータサービス向け秘密鍵
PK3 認証モジュール認証用公開鍵
SK3 認証モジュール認証用秘密鍵
PK4 サーバの公開鍵
SK4 サーバの秘密鍵
Claims (6)
- ユーザ認証を行う認証モジュールを備える端末と、前記端末が利用するWEBサービスと、所定の鍵を保有するキーストアと、が通信可能に接続されている認証システムであって、
前記WEBサービスは、前記端末が前記WEBサービスにアクセスするための認証に用いられるWEBサービス認証用公開鍵を有しており、
前記キーストアは、前記WEBサービス認証用公開鍵の対となるWEBサービス認証用秘密鍵、および、前記認証モジュールの認証に用いられる認証モジュール認証用秘密鍵を、耐タンパー領域内に閉じ込めており、
前記端末は、前記認証モジュール認証用秘密鍵の対となる認証モジュール認証用公開鍵を有しており、
前記認証モジュール認証用公開鍵および前記認証モジュール認証用秘密鍵を用いて処理される情報を、前記端末と前記キーストアとの間で暗号化して送受信する、
ことを特徴とする認証システム。 - 前記端末に設定された画面ロックが解除されたことによるユーザ認証を、前記キーストアにアクセスするための前記認証モジュール認証用公開鍵を利用する権限を与える認証とする、
ことを特徴とする請求項1に記載の認証システム。 - 前記WEBサービスが前記端末のユーザを登録する際、または、前記WEBサービスにアクセスしようとする前記端末のユーザを認証する際、
前記端末が前記認証モジュール認証用公開鍵を有しており、かつ、前記キーストアが前記認証モジュール認証用秘密鍵を有している、という鍵の持ち合いを、前記端末と前記キーストアとの間で確認し、
前記鍵の持ち合いが成立していないとき、前記WEBサービスが前記端末のユーザを登録する際、または、前記WEBサービスにアクセスしようとする前記端末のユーザを認証する際、前記端末と前記キーストアとの間で前記鍵の持ち合いを成立させる処理を実行する、
ことを特徴とする請求項2に記載の認証システム。 - 前記キーストアを第1のキーストアとしてインターネット側に配置し、所定の鍵を保有する第2のキーストアをローカルネットワーク側に配置し、
前記端末のユーザの初期登録に関する処理を前記第2のキーストアで実行し、前記第2のキーストアで実行したときの処理結果を暗号化して、前記第1のキーストアに送信する、
ことを特徴とする請求項1から請求項3のいずれか1項に記載の認証システム。 - ユーザ認証を行う認証モジュールを備える端末と、前記端末が利用するWEBサービスと、所定の鍵を保有するキーストアと、が通信可能に接続されている認証システムにおける鍵処理連携方法であって、
前記WEBサービスが、前記端末が前記WEBサービスにアクセスするための認証に用いられるWEBサービス認証用公開鍵を有し、前記キーストアが、前記WEBサービス認証用公開鍵の対となるWEBサービス認証用秘密鍵を耐タンパー領域内に閉じ込める、という態様において、
前記キーストアが、
前記認証モジュールの認証に用いられる、認証モジュール認証用秘密鍵および認証モジュール認証用公開鍵を生成し、前記認証モジュール認証用公開鍵を前記端末に送信するステップと、
前記認証モジュール認証用公開鍵および前記認証モジュール認証用秘密鍵を用いて処理される情報を、前記端末と前記キーストアとの間で暗号化して送受信するステップ、とを実行する、
ことを特徴とする鍵処理連携方法。 - ユーザ認証を行う認証モジュールを備える端末と、前記端末が利用するWEBサービスと、所定の鍵を保有するキーストアと、が通信可能に接続されている認証システムの前記キーストアとしてのコンピュータを、
前記WEBサービスが、前記端末が前記WEBサービスにアクセスするための認証に用いられるWEBサービス認証用公開鍵を有し、前記キーストアが、前記WEBサービス認証用公開鍵の対となるWEBサービス認証用秘密鍵を耐タンパー領域内に閉じ込める、という態様において、
前記認証モジュールの認証に用いられる、認証モジュール認証用秘密鍵および認証モジュール認証用公開鍵を生成し、前記認証モジュール認証用公開鍵を前記端末に送信する手段と、
前記認証モジュール認証用公開鍵および前記認証モジュール認証用秘密鍵を用いて処理される情報を、前記端末と前記キーストアとの間で暗号化して送受信する手段、
として機能させるための鍵処理連携プログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016032659A JP6438901B2 (ja) | 2016-02-24 | 2016-02-24 | 認証システム、鍵処理連携方法、および、鍵処理連携プログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016032659A JP6438901B2 (ja) | 2016-02-24 | 2016-02-24 | 認証システム、鍵処理連携方法、および、鍵処理連携プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017152880A true JP2017152880A (ja) | 2017-08-31 |
JP6438901B2 JP6438901B2 (ja) | 2018-12-19 |
Family
ID=59739767
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016032659A Active JP6438901B2 (ja) | 2016-02-24 | 2016-02-24 | 認証システム、鍵処理連携方法、および、鍵処理連携プログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6438901B2 (ja) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3490220A1 (en) * | 2017-11-22 | 2019-05-29 | Canon Kabushiki Kaisha | Information processing apparatus |
JP2021504860A (ja) * | 2017-11-27 | 2021-02-15 | ノック ノック ラブズ, インコーポレイテッド | トランザクション確認及び暗号通貨のためのセキュアな鍵記憶装置の拡張 |
US11563738B2 (en) | 2019-09-10 | 2023-01-24 | Fujitsu Limited | Control method and information processing apparatus |
US11792024B2 (en) | 2019-03-29 | 2023-10-17 | Nok Nok Labs, Inc. | System and method for efficient challenge-response authentication |
US11831409B2 (en) | 2018-01-12 | 2023-11-28 | Nok Nok Labs, Inc. | System and method for binding verifiable claims |
US11909892B2 (en) | 2018-12-12 | 2024-02-20 | Nec Corporation | Authentication system, client, and server |
US11929997B2 (en) | 2013-03-22 | 2024-03-12 | Nok Nok Labs, Inc. | Advanced authentication techniques and applications |
KR102654886B1 (ko) | 2017-11-27 | 2024-04-04 | 노크 노크 랩스, 인코포레이티드 | 트랜잭션 확인 및 암호화폐를 위한 보안 키 저장소의 확장 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004032311A (ja) * | 2002-06-25 | 2004-01-29 | Nec Corp | Pki対応の証明書確認処理方法及びその装置、並びにpki対応の証明書確認処理プログラム |
US20140258712A1 (en) * | 2012-06-25 | 2014-09-11 | At&T Intellectual Property I, L.P. | Secure Socket Layer Keystore and Truststore Generation |
US20140335827A1 (en) * | 2011-02-16 | 2014-11-13 | Sony Mobile Communications Inc. | Display processing apparatus |
-
2016
- 2016-02-24 JP JP2016032659A patent/JP6438901B2/ja active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004032311A (ja) * | 2002-06-25 | 2004-01-29 | Nec Corp | Pki対応の証明書確認処理方法及びその装置、並びにpki対応の証明書確認処理プログラム |
US20140335827A1 (en) * | 2011-02-16 | 2014-11-13 | Sony Mobile Communications Inc. | Display processing apparatus |
US20140258712A1 (en) * | 2012-06-25 | 2014-09-11 | At&T Intellectual Property I, L.P. | Secure Socket Layer Keystore and Truststore Generation |
Non-Patent Citations (4)
Title |
---|
中谷 裕一 ほか: "運用性とコストを考慮したセキュアなユーザ認証方式の提案", 電子情報通信学会2015年総合大会講演論文集 通信2, vol. B−7−86, JPN6018044005, 24 February 2015 (2015-02-24), JP, pages 236, ISSN: 0003915558 * |
植田 広樹 ほか: "鍵管理システム −PKIの容易な適用に向けて−", NTT R&D, vol. 第49巻 第11号, JPN6009040946, 10 November 2000 (2000-11-10), JP, pages 668 - 677, ISSN: 0003915559 * |
緒方 祐介 ほか: "WEBサービス向けの鍵による認証における鍵の管理に関する考察", 電子情報通信学会2015年総合大会講演論文集 通信2, vol. BS−4−4, JPN6018044004, 24 February 2015 (2015-02-24), JP, pages 127, ISSN: 0003915557 * |
緒方 祐介 ほか: "公開鍵秘密鍵を用いた認証方式に関するセキュリティ、利便性、運用性における一考察", 電子情報通信学会技術研究報告, vol. 115, no. 252, JPN6017016807, 8 October 2015 (2015-10-08), JP, pages 13 - 18, ISSN: 0003915556 * |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11929997B2 (en) | 2013-03-22 | 2024-03-12 | Nok Nok Labs, Inc. | Advanced authentication techniques and applications |
EP3490220A1 (en) * | 2017-11-22 | 2019-05-29 | Canon Kabushiki Kaisha | Information processing apparatus |
KR20190059219A (ko) * | 2017-11-22 | 2019-05-30 | 캐논 가부시끼가이샤 | 정보 처리 장치, 정보 처리 장치를 위한 방법, 및 프로그램 기억 매체 |
US11093602B2 (en) | 2017-11-22 | 2021-08-17 | Canon Kabushiki Kaisha | Information processing apparatus, method for information processing apparatus, and program storage medium |
KR102393024B1 (ko) * | 2017-11-22 | 2022-05-02 | 캐논 가부시끼가이샤 | 정보 처리 장치, 정보 처리 장치를 위한 방법, 및 프로그램 기억 매체 |
US11868995B2 (en) | 2017-11-27 | 2024-01-09 | Nok Nok Labs, Inc. | Extending a secure key storage for transaction confirmation and cryptocurrency |
JP7391860B2 (ja) | 2017-11-27 | 2023-12-05 | ノック ノック ラブズ, インコーポレイテッド | トランザクション確認及び暗号通貨のためのセキュアな鍵記憶装置の拡張 |
JP2021504860A (ja) * | 2017-11-27 | 2021-02-15 | ノック ノック ラブズ, インコーポレイテッド | トランザクション確認及び暗号通貨のためのセキュアな鍵記憶装置の拡張 |
KR102654886B1 (ko) | 2017-11-27 | 2024-04-04 | 노크 노크 랩스, 인코포레이티드 | 트랜잭션 확인 및 암호화폐를 위한 보안 키 저장소의 확장 |
US11831409B2 (en) | 2018-01-12 | 2023-11-28 | Nok Nok Labs, Inc. | System and method for binding verifiable claims |
US11909892B2 (en) | 2018-12-12 | 2024-02-20 | Nec Corporation | Authentication system, client, and server |
US11792024B2 (en) | 2019-03-29 | 2023-10-17 | Nok Nok Labs, Inc. | System and method for efficient challenge-response authentication |
US11563738B2 (en) | 2019-09-10 | 2023-01-24 | Fujitsu Limited | Control method and information processing apparatus |
Also Published As
Publication number | Publication date |
---|---|
JP6438901B2 (ja) | 2018-12-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6586446B2 (ja) | 通信端末および関連システムのユーザーの識別情報を確認するための方法 | |
US20190140844A1 (en) | Identity-linked authentication through a user certificate system | |
JP6438901B2 (ja) | 認証システム、鍵処理連携方法、および、鍵処理連携プログラム | |
US20190173873A1 (en) | Identity verification document request handling utilizing a user certificate system and user identity document repository | |
KR102202547B1 (ko) | 액세스 요청을 검증하기 위한 방법 및 시스템 | |
CN110990827A (zh) | 一种身份信息验证方法、服务器及存储介质 | |
CN106453361B (zh) | 一种网络信息的安全保护方法及系统 | |
KR20110057128A (ko) | 휴대용 장치 연결 | |
US8397281B2 (en) | Service assisted secret provisioning | |
US11424915B2 (en) | Terminal registration system and terminal registration method with reduced number of communication operations | |
CN109716725B (zh) | 数据安全系统及其操作方法和计算机可读存储介质 | |
US11722303B2 (en) | Secure enclave implementation of proxied cryptographic keys | |
EP3766267A1 (en) | Trust extension in a secure communication framework | |
US20140250499A1 (en) | Password based security method, systems and devices | |
US20240039707A1 (en) | Mobile authenticator for performing a role in user authentication | |
CN112733129A (zh) | 一种服务器带外管理的可信接入方法 | |
CN115473655B (zh) | 接入网络的终端认证方法、装置及存储介质 | |
KR101996317B1 (ko) | 인증변수를 이용한 블록체인 기반의 사용자 인증 시스템 및 그 방법 | |
KR102053993B1 (ko) | 인증서를 이용한 사용자 인증 방법 | |
KR101619928B1 (ko) | 이동단말기의 원격제어시스템 | |
KR102288445B1 (ko) | 단체용 인증모듈의 온보딩 방법, 장치 및 프로그램 | |
CA3172049A1 (en) | Exporting remote cryptographic keys | |
KR102288444B1 (ko) | 인증모듈의 펌웨어 업데이트 방법, 장치 및 프로그램 | |
JP2013073627A (ja) | Pcアクセス制御方法、それを含むモジュール、サーバ、及びシステム | |
TWI778319B (zh) | 跨平台授權存取資源方法及授權存取系統 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180220 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20181018 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20181113 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20181119 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6438901 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |