JP2017162129A - アイデンティティ管理装置、認証処理装置、および認証システム - Google Patents
アイデンティティ管理装置、認証処理装置、および認証システム Download PDFInfo
- Publication number
- JP2017162129A JP2017162129A JP2016045105A JP2016045105A JP2017162129A JP 2017162129 A JP2017162129 A JP 2017162129A JP 2016045105 A JP2016045105 A JP 2016045105A JP 2016045105 A JP2016045105 A JP 2016045105A JP 2017162129 A JP2017162129 A JP 2017162129A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- account
- user
- information
- attribute
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Abstract
Description
第1の実施形態の認証システムを図1乃至図10を用いて説明する。
図2および図4に示すように、ユーザは、認証を行うために、クライアント装置100を用いて、ユーザ識別UID1とクレデンシャルCR1を、アイデンティティ管理装置200に送る。また、ユーザは、アカウント自動連携を行いたいサービスを識別するため、クライアント装置100に、認証サービス識別ASID1を入力する。クライアント装置100は、入力された認証サービス識別ASID1をアイデンティティ管理装置200に送信する。
ユーザ認証部230が、通信部210から送られたユーザ識別UID1およびクレデンシャルCR1と、ユーザアカウント情報格納部220に予め格納されているユーザ識別UID1およびクレデンシャルCR1との一致を確認することによって、ユーザの認証を行う。そして、認証に成功すると、(ST1−3)の処理に進む。認証に成功しない場合、アカウント自動連携はできない。
認証サービス管理部240が、(ST1−1)において通信部210から送られた認証サービス識別ASID1が既にユーザアカウント情報格納部220に登録されているか否かを確認する。そして、登録されていることが確認されると、アイデンティティ保証情報IDP1を生成してユーザアカウント情報格納部220に格納し、(ST1−4)の処理に進む。確認されない場合、アカウント自動連携はできない。
連携属性生成部250が、認証サービス識別ASID1に対して新規連携を行うために、たとえばIDや乱数を用いて連携属性FA1を生成し、ユーザアカウント情報格納部220に格納する。また、連携属性FA1の有効ステータスを示すフラグである連携属性フラグFAF1を「無効」に設定し、ユーザアカウント情報格納部220に格納する。連携属性フラグFAF1が「無効」であることは、アイデンティティ管理装置200と認証処理装置300とのアカウント連携はまだ未完了であることを示す。その後、(ST1−5)の処理に進む。
認証処理装置300に対して、ユーザがアイデンティティ管理装置200で認証されたことを保証するために、認証アサーション生成部260が、ユーザアカウント情報格納部220に格納された連携属性FA1およびアイデンティティ保証情報IDP1を用いて認証アサーションAA1を生成し、アカウント登録要求生成部270に送る。すなわち、認証アサーション生成部260は、アイデンティティ管理装置200と認証処理装置300間でユーザを識別するための連携属性FA1と、ユーザのアイデンティティを保証するアイデンティティ保証情報IDP1を含めることによって認証アサーションAA1を生成する。なお、認証アサーションAA1を表現するのに、SAMLを利用することが好ましい。SAMLを利用する場合、認証アサーションAA1に格納された情報が確かに、ユーザアカウント情報格納部220が格納していることを保証するため、PKIの電子署名の仕組みが用いられる。
アカウント登録要求生成部270が、(ST1−5)において生成された認証アサーションAA1を、認証アサーション生成部260から受け取る。そして、認証処理装置300に対して、ユーザのアカウントを新規登録することを要求するため、認証アサーションAA1を用いて、アカウント登録要求RQ1を生成し、通信部210へ送る。
通信部210が、(ST1−6)でアカウント登録要求生成部270から送られたアカウント登録要求RQ1を、ネットワーク20を介して認証処理装置300へ送信する。
図5に示すように、認証処理装置300が、通信部310において、(ST1−7)において送信されたアカウント登録要求RQ1を受信する。そして、アサーション検証部330において、認証アサーションAA1を検証する。なお、SAMLが利用された場合、アサーション検証部330は、認証アサーションAA1に添付された署名を検証することで、認証アサーションAA1を検証することができる。認証アサーションAA1の検証に成功すると、(ST1−9)の処理に進む。検証に失敗すると、処理が終了し、アカウント自動連携はできない。
ユーザのアイデンティティが保証されていることを確認するために、アイデンティティ保証情報検証部340が、認証アサーションAA1に含まれるアイデンティティ保証情報IDP1を確認する。確認がなされると、(ST1−10)の処理に進む。確認がなされないと、処理が終了し、アカウント自動連携はできない。
ユーザアカウント生成部350が、認証アサーションAA1に含まれる連携属性FA1を用いて、認証処理装置300におけるユーザのアカウントを生成し、ユーザアカウント情報格納部320に、生成されたアカウントに関連付けて連携属性FA1を格納する。その後、(ST1−11)の処理に進む。
クレデンシャル生成部360が、アイデンティティ保証情報認証処理装置300においてユーザを認証する際に利用するクレデンシャルCR2を生成し、ユーザアカウント情報格納部320に、対応するアカウントに関連付けて格納する。クレデンシャルCR2は、認証処理装置300の持つ認証方式によって異なるため、クレデンシャル生成部360は、認証方式に沿ったクレデンシャルを生成すると良い。例えば、認証処理装置300がパスワードに用いる認証を採用する場合、クレデンシャルCR2はパスワードが好適である。
ユーザ認証部370が、(ST1−11)で格納されたクレデンシャルCR2を用いてユーザ認証を行い、認証コンテキストAC2を生成する。認証コンテキストAC2は、認証処理がどう行われたか等を示す情報である。なお、この認証コンテキストAC2は、SAMLの認証コンテキストを利用することが好ましい。その後、(ST1−13)の処理に進む。
認証アサーション生成部380が、連携属性FA1と認証コンテキストAC2から、認証アサーションAA2を生成する。なお、この認証アサーションAA2を表現するのに、SAMLが好適である。その後、(ST1−14)の処理に進む。
アカウント登録応答生成部390が、(ST1−13)で生成された認証アサーションAA2を用いてアカウント登録応答RP1を生成する。その後、(ST1−15)の処理に進む。
通信部310が、(ST1−14)で生成されたアカウント登録応答RP1を、ネットワーク20を介してアイデンティティ管理装置200に送信する。そして、(ST1−16)の処理に進む。
図6に示すように、(ST1−15)で送信されたアカウント登録応答RP1を、アイデンティティ管理装置200が、通信部210において受信する。通信部210は、受信したアカウント登録応答RP1をアサーション検証部280へ送る。そして、アサーション検証部280は、アカウント登録応答RP1に含まれる認証アサーションAA2を検証する。なお、SAMLが利用された場合、アサーション検証部280は、認証アサーションAA2に添付された署名を検証することで、認証アサーションAA2を検証することができる。認証アサーションAA2の検証に成功すると、(ST1−17)の処理に進む。検証に失敗すると、処理は終了する。
連携属性フラグ管理部290が、認証アサーションAA2に含まれた連携属性FA1を用いて、ユーザアカウント情報格納部220に格納されているユーザアカウント情報を検索する。そして、該当するユーザアカウント情報の連携属性フラグFAF1を、「有効」に設定し、ユーザアカウント情報格納部220に格納する。これでアイデンティティ管理装置200と認証処理装置300とのアカウント連携処理が完了する。
第2の実施形態の認証システムをさらに図11乃至図17を用いて説明する。
アカウント登録応答生成部390は、(ST1−11)において図9に示すような連携属性FA1およびクレデンシャルCR2を含むユーザアカウント情報が、ユーザアカウント情報格納部320に格納された後に、ユーザアカウント情報格納部320に格納された連携属性FA1を用いて、ユーザのアカウント登録応答RP1を生成する。
通信部310は、アカウント登録応答生成部390から送られたアカウント登録応答RP1を受け取る。そして、図15に示すように、ネットワーク20を介してアイデンティティ管理装置200’へ送信する。
アイデンティティ管理装置200’は、(ST2−13)において通信部310から送信されたアカウント登録応答RP1を通信部210において受信する。通信部210は、このアカウント登録応答RP1を認証要求生成部299へ送る。そして、認証要求生成部299は、このアカウント登録応答RP1に含まれる連携属性FA1が、ユーザアカウント情報格納部220に格納されているものと同一であることを確認し、認証要求ARQ1を生成する。そして、認証要求ARQ1を通信部210へ送る。連携属性FA1の同一性が確認されない場合には、認証要求ARQ1は生成されず、処理が終了する。
通信部210は、(ST2−14)で認証要求生成部299から送られた認証要求ARQ1を、ネットワーク20を介して認証処理装置300’へ送信する。通信部210から送信された認証要求ARQ1を、認証処理装置300’の通信部310が受信する。
図16は、(ST2−16)乃至(ST2−17)の認証処理装置300’内の動作例を説明するための模式図である。
通信部310は、認証応答生成部399から送られた認証応答ARP1を受け取り、ネットワーク20を介してアイデンティティ管理装置200’へ送信する。
図17に示すように、通信部210は、通信部310から送信された認証応答ARP1を受信し、アサーション検証部280へ送る。アサーション検証部280は、認証アサーションAA2に含まれている連携属性FA1と認証コンテキストAC2とから、認証アサーションAA2を検証する。これは、たとえば電子署名を検証することによって行う。なお、認証アサーションAA2を表現するのに、SAMLが好適である。その後、検証に成功すると、(ST2−19)の処理に進む。
連携属性フラグ管理部290は、認証アサーションAA2に含まれる連携属性FA1を用いて、ユーザアカウント情報格納部220に格納されているユーザアカウント情報を検索する。そして、該当したユーザアカウント情報の連携属性フラグFAF1を、「有効」に設定し、格納する。これでアイデンティティ管理装置200’と認証処理装置300’との間でのアカウント連携が完了となる。
Claims (6)
- 他装置にアカウントを登録するユーザのためのアイデンティティ情報を管理するアイデンティティ管理装置であって、
前記ユーザのアイデンティティ情報に含まれるアカウント情報と、前記他装置によって提供されるサービスを識別するサービス識別情報とを格納する情報格納部と、
前記格納されたアカウント情報を用いて前記ユーザを認証する認証部と、
前記認証されたユーザによって入力されたサービス識別情報が、前記格納されたサービス識別情報と一致する場合、前記アカウント情報の前記他装置との連携のための連携属性と、前記連携属性のステータスを示す連携属性フラグとを生成し、前記連携属性フラグを無効に設定する連携属性生成部と、
前記ユーザが認証されたことを保証する保証情報と、前記連携属性とを用いて、前記他装置に対して、前記ユーザのアカウントの登録を要求する登録要求部と、
前記要求に応じて、前記他装置によって生成された、前記連携属性を含むアカウント登録応答を検証する検証部と、
前記アカウント登録応答が正しく検証された場合、前記アカウント登録応答に含まれた連携属性に対応するアカウント情報を、前記情報格納部から検索し、前記検索されたアカウント情報に対応する連携属性フラグを有効に設定することにより、前記アカウント情報の前記他装置との連携を可能とする連携属性フラグ管理部と、
を備えるアイデンティティ管理装置。 - 前記他装置は認証処理装置であって、
前記アカウント登録応答に応じて、前記認証処理装置に対して、前記ユーザの認証を要求する認証要求を生成する認証要求生成部、をさらに備えた請求項1に記載のアイデンティティ管理装置。 - 他装置からのアカウント登録要求に応じてユーザのアカウントを登録するとともに、前記ユーザを認証する認証処理装置であって、
前記ユーザが前記他装置によって認証されたことを保証する保証情報と、前記ユーザのアカウント情報の前記他装置との連携のための連携属性とが含まれた、前記アカウント登録要求を受信する通信部と、
前記アカウント登録要求に含まれた連携属性を用いて、前記ユーザのアカウントを生成するアカウント生成部と、
前記生成されたアカウントに関連付けて、前記連携属性を格納する情報格納部と、
前記ユーザを認証する際に利用するクレデンシャルを生成し、前記アカウントに関連付けて、前記情報格納部に格納するクレデンシャル生成部と、
前記クレデンシャルを用いて前記ユーザの認証を行い、認証処理内容を示す認証コンテキストを生成するユーザ認証部と、
前記連携属性と前記認証コンテキストとを含むアカウント登録応答を生成する、アカウント登録応答生成部と、
を備えた認証処理装置。 - 前記通信部が、前記アカウント登録応答を前記他装置へ送信し、前記アカウント登録応答に応じて、前記他装置によって生成された、前記ユーザの認証を要求する認証要求を受信し、
前記ユーザ認証部が、前記認証要求に対応する連携属性を、前記情報格納部から取得し、さらに、前記認証要求の認証処理を行い、認証コンテキストを生成し、
前記取得された連携属性と、前記生成された認証コンテキストとから、認証アサーションを生成する、認証アサーション生成部と、
前記認証アサーションを用いて認証応答を生成する認証応答生成部と、
をさらに備える請求項3に記載の認証処理装置。 - 第2の装置にアカウントを登録するユーザのためのアイデンティティ情報を管理する第1の装置と、前記第1の装置からのアカウント登録要求に応じてユーザのアカウントを登録する前記第2の装置と、を備えてなる認証システムであって、
前記第1の装置は、
前記ユーザのアイデンティティ情報に含まれるアカウント情報と、前記第2の装置によって提供されるサービスを識別するサービス識別情報とを格納する第1の情報格納部と、
前記格納されたアカウント情報を用いて前記ユーザを認証する認証部と、
前記認証されたユーザによって入力されたサービス識別情報が、前記格納されたサービス識別情報と一致する場合、前記アカウント情報の前記第2の装置との連携のための連携属性と、前記連携属性のステータスを示す連携属性フラグとを生成し、前記連携属性フラグを無効に設定する連携属性生成部と、
前記ユーザが認証されたことを保証する保証情報と、前記連携属性とを用いて、前記第2の装置に対して、前記ユーザのアカウントの登録を要求する登録要求部と、
前記要求に応じて、前記第2の装置によって生成された、前記連携属性を含むアカウント登録応答を検証する検証部と、
前記アカウント登録応答が正しく検証された場合、前記アカウント登録応答に含まれた連携属性に対応するアカウント情報を、前記第1の情報格納部から検索し、前記検索されたアカウント情報に対応する連携属性フラグを有効に設定することにより、前記アカウント情報の前記第2の装置との連携を可能とする連携属性フラグ管理部とを備え、
前記第2の装置は、
前記ユーザが前記第1の装置によって認証されたことを保証する保証情報と、前記ユーザのアカウント情報の前記第1の装置との連携のための連携属性とが含まれた、前記アカウント登録要求を受信する通信部と、
前記アカウント登録要求に含まれた連携属性を用いて、前記ユーザのアカウントを生成するアカウント生成部と、
前記生成されたアカウントに関連付けて、前記連携属性を格納する第2の情報格納部と、
前記ユーザを認証する際に利用するクレデンシャルを生成し、前記アカウントに関連付けて、前記第2の情報格納部に格納するクレデンシャル生成部と、
前記クレデンシャルを用いて前記ユーザの認証を行い、認証処理内容を示す認証コンテキストを生成するユーザ認証部と、
前記連携属性と前記認証コンテキストとを含むアカウント登録応答を生成する、アカウント登録応答生成部とを備えた、認証システム。 - 前記第1の装置は、
前記アカウント登録応答に応じて、前記第2の装置に対して、前記ユーザの認証を要求する認証要求を生成する認証要求生成部をさらに備え、
前記第2の装置は、
前記通信部が、前記アカウント登録応答を前記第1の装置へ送信し、前記アカウント登録応答に応じて、前記第1の装置によって生成された、前記ユーザの認証を要求する認証要求を受信し、
前記ユーザ認証部が、前記認証要求に対応する連携属性を、前記第2の情報格納部から取得し、さらに、前記認証要求の認証処理を行い、認証コンテキストを生成し、
前記第2の装置はさらに、
前記取得された連携属性と、前記生成された認証コンテキストとから、認証アサーションを生成する、認証アサーション生成部と、
前記認証アサーションを用いて認証応答を生成する認証応答生成部とを備える、請求項5に記載の認証システム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016045105A JP6342441B2 (ja) | 2016-03-09 | 2016-03-09 | 認証処理装置および認証システム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016045105A JP6342441B2 (ja) | 2016-03-09 | 2016-03-09 | 認証処理装置および認証システム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017162129A true JP2017162129A (ja) | 2017-09-14 |
JP6342441B2 JP6342441B2 (ja) | 2018-06-13 |
Family
ID=59853033
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016045105A Active JP6342441B2 (ja) | 2016-03-09 | 2016-03-09 | 認証処理装置および認証システム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6342441B2 (ja) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008523486A (ja) * | 2004-12-10 | 2008-07-03 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 名前識別子登録プロファイルをセキュアに結合するための方法およびシステム |
US20090119763A1 (en) * | 2007-11-06 | 2009-05-07 | So-Hee Park | Method and system for providing single sign-on service |
JP2012527179A (ja) * | 2009-05-14 | 2012-11-01 | マイクロソフト コーポレーション | Httpベースの認証 |
JP2013125410A (ja) * | 2011-12-14 | 2013-06-24 | Fujitsu Ltd | 認証処理プログラム、認証処理方法、及び認証処理装置 |
JP2013171349A (ja) * | 2012-02-17 | 2013-09-02 | Toshiba Corp | 認証連携システム、idプロバイダ装置およびプログラム |
JP2015108903A (ja) * | 2013-12-03 | 2015-06-11 | 日本電信電話株式会社 | 分散情報連携システムとそのデータ操作方法及びプログラム |
JP2015230713A (ja) * | 2014-06-06 | 2015-12-21 | 日本電信電話株式会社 | 分散情報連携システム |
-
2016
- 2016-03-09 JP JP2016045105A patent/JP6342441B2/ja active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008523486A (ja) * | 2004-12-10 | 2008-07-03 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 名前識別子登録プロファイルをセキュアに結合するための方法およびシステム |
US20090119763A1 (en) * | 2007-11-06 | 2009-05-07 | So-Hee Park | Method and system for providing single sign-on service |
JP2012527179A (ja) * | 2009-05-14 | 2012-11-01 | マイクロソフト コーポレーション | Httpベースの認証 |
JP2013125410A (ja) * | 2011-12-14 | 2013-06-24 | Fujitsu Ltd | 認証処理プログラム、認証処理方法、及び認証処理装置 |
JP2013171349A (ja) * | 2012-02-17 | 2013-09-02 | Toshiba Corp | 認証連携システム、idプロバイダ装置およびプログラム |
JP2015108903A (ja) * | 2013-12-03 | 2015-06-11 | 日本電信電話株式会社 | 分散情報連携システムとそのデータ操作方法及びプログラム |
JP2015230713A (ja) * | 2014-06-06 | 2015-12-21 | 日本電信電話株式会社 | 分散情報連携システム |
Also Published As
Publication number | Publication date |
---|---|
JP6342441B2 (ja) | 2018-06-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9992189B2 (en) | Generation and validation of derived credentials | |
US11088847B2 (en) | Authority transfer system, control method therefor, and storage medium | |
US10136315B2 (en) | Password-less authentication system, method and device | |
KR101666374B1 (ko) | 사용자 인증서 발급과 사용자 인증을 위한 방법, 장치 및 컴퓨터 프로그램 | |
US20180254909A1 (en) | Virtual Identity Credential Issuance and Verification Using Physical and Virtual Means | |
EP3208732A1 (en) | Method and system for authentication | |
CN109428891B (zh) | 权限转移系统及其控制方法和客户端 | |
RU2434340C2 (ru) | Инфраструктура верификации биометрических учетных данных | |
JP5759009B2 (ja) | 匿名エンティティ認証方法および装置 | |
CN109684801B (zh) | 电子证件的生成、签发和验证方法及装置 | |
JP5759010B2 (ja) | 匿名エンティティ認証方法および装置 | |
US11777743B2 (en) | Method for securely providing a personalized electronic identity on a terminal | |
CN113302894A (zh) | 安全账户访问 | |
US9398024B2 (en) | System and method for reliably authenticating an appliance | |
MX2012011105A (es) | Autoridad de certificado. | |
EP3908946B1 (de) | Verfahren zum sicheren bereitstellen einer personalisierten elektronischen identität auf einem endgerät | |
US11082236B2 (en) | Method for providing secure digital signatures | |
CN113647080B (zh) | 以密码保护的方式提供数字证书 | |
JP2015231177A (ja) | 装置認証方法、装置認証システム及び装置認証プログラム | |
CN110855442A (zh) | 一种基于pki技术的设备间证书验证方法 | |
JP6178112B2 (ja) | 認証サーバ、認証システム及びプログラム | |
JP6342441B2 (ja) | 認証処理装置および認証システム | |
US11764964B2 (en) | Whitelisting clients accessing resources via a secure web gateway with time-based one time passwords for authentication | |
JP2019128858A (ja) | 機器認可システム | |
JP5793593B2 (ja) | ユーザ識別情報を安全に検証するためのネットワーク認証方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A712 Effective date: 20170907 |
|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20170908 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20171206 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180206 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180409 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180417 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180516 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6342441 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |