JP2018006896A - 端末登録方法、及び端末登録システム - Google Patents

端末登録方法、及び端末登録システム Download PDF

Info

Publication number
JP2018006896A
JP2018006896A JP2016128847A JP2016128847A JP2018006896A JP 2018006896 A JP2018006896 A JP 2018006896A JP 2016128847 A JP2016128847 A JP 2016128847A JP 2016128847 A JP2016128847 A JP 2016128847A JP 2018006896 A JP2018006896 A JP 2018006896A
Authority
JP
Japan
Prior art keywords
information
registration
terminal device
terminal
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2016128847A
Other languages
English (en)
Other versions
JP6701011B2 (ja
Inventor
優樹 栗原
Yuki Kurihara
優樹 栗原
康雅 平井
Yasumasa Hirai
康雅 平井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Data Group Corp
Original Assignee
NTT Data Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Data Corp filed Critical NTT Data Corp
Priority to JP2016128847A priority Critical patent/JP6701011B2/ja
Publication of JP2018006896A publication Critical patent/JP2018006896A/ja
Application granted granted Critical
Publication of JP6701011B2 publication Critical patent/JP6701011B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

【課題】端末装置を登録する際の脆弱性を低減する。【解決手段】端末登録方法は、第1端末装置が、第1秘密鍵に基づく第1認証情報を生成し、サーバ装置に送信するステップと、サーバ装置が、第1公開鍵と、第1認証情報に基づいて、第1端末装置の正当性を検証するステップと、第2端末装置が、生成した第2公開鍵を少なくとも含む登録情報をサーバ装置に送信するステップと、第2端末装置が、所定の暗号鍵に基づいて、暗号処理された登録情報を第1端末装置に送信するステップと、第1端末装置が、暗号処理された登録情報を、所定の復号鍵に基づいて復号処理された登録情報を含む第2認証情報をサーバ装置に送信するステップと、サーバ装置が、第2端末装置から受信した登録情報と、第2認証情報に含まれる登録情報とが一致する場合に、登録情報に含まれる第2公開鍵を登録するステップとを含む。【選択図】図4

Description

本発明は、端末登録方法、及び端末登録システムに関する。
近年、認証処理のセキュリティを向上させる試みが行われており、例えば、予め登録された固有情報に基づいて、認証処理を行う技術が知られている(例えば、特許文献1を参照)。また、例えば、FIDO(Fast IDentity Online)認証などの利用者と端末装置との間の認証と、端末装置とサーバ装置との間の認証との2段階の認証により、利用者の正当性を検出する技術が提案されている。
特表2013−534754号公報
しかしながら、上述した技術では、例えば、2台目以降の端末装置を利用する際に、1台目の端末装置の登録時に登録した情報(例えば、秘密鍵)を利用又は移植できないため、2台目以降の端末装置を新たに登録し直す必要があった。また、例えば、FIDO認証などの認証技術では、端末装置を登録する際に、例えば、パスワードによる本人認証を必要とする必要があり、パスワード認証の脆弱性を利用して、不正に端末装置が登録される可能性があった。
本発明は、上記問題を解決すべくなされたもので、その目的は、端末装置を登録する際の脆弱性を低減することができる端末登録方法、及び端末登録システムを提供することにある。
上記問題を解決するために、本発明の一態様は、サーバ装置に登録済の第1端末装置が、第1秘密鍵に基づく第1認証情報を生成し、前記第1秘密鍵に対応する第1公開鍵が登録されている前記サーバ装置に送信する端末認証要求ステップと、前記サーバ装置が、前記第1公開鍵と、前記第1認証情報とに基づいて、前記第1端末装置の正当性を検証する端末認証ステップと、前記サーバ装置に未登録の第2端末装置が、第2秘密鍵及び当該第2秘密鍵に対応する第2公開鍵を生成し、生成した前記第2公開鍵を少なくとも含む登録情報を前記サーバ装置に送信する登録要求ステップと、前記第2端末装置が、所定の暗号鍵に基づいて、前記登録情報を暗号処理し、当該暗号処理された前記登録情報を前記第1端末装置に送信する第1送信ステップと、前記第1端末装置が、前記暗号処理された前記登録情報を、前記所定の暗号鍵に対応する所定の復号鍵に基づいて復号処理し、当該復号処理された前記登録情報を含む第2認証情報を生成し、生成した前記第2認証情報を前記サーバ装置に送信する第2送信ステップと、前記サーバ装置が、前記第2端末装置から受信した前記登録情報と、前記第1端末装置から受信した前記第2認証情報に含まれる前記登録情報とが一致する場合に、前記登録情報に含まれる前記第2公開鍵を登録する登録ステップとを含むことを特徴とする端末登録方法である。
また、本発明の一態様は、上記の端末登録方法において、前記所定の暗号鍵は、前記第1端末装置の利用者から前記第1端末装置が取得した個人識別情報を含む情報であり、前記所定の復号鍵は、前記所定の暗号鍵と等しい情報であり、前記利用者から前記第2端末装置が取得した個人識別情報を含む情報であることを特徴とする。
また、本発明の一態様は、上記の端末登録方法において、前記所定の暗号鍵は、前記サーバ装置から前記第1端末装置が取得した前記第1公開鍵であり、前記所定の復号鍵は、前記第1秘密鍵であることを特徴とする。
また、本発明の一態様は、上記の端末登録方法において、前記第2送信ステップにおいて、前記第1端末装置が、復号処理された前記登録情報から前記第1秘密鍵に基づく署名情報を生成し、生成した当該署名情報と前記登録情報とを含む前記第2認証情報を生成し、前記登録ステップにおいて、前記サーバ装置が、前記第1端末装置から受信した前記第2認証情報に含まれる署名情報の正当性を、前記第1公開鍵に基づいて検証し、前記署名情報が正当であり、且つ、前記第2端末装置から受信した前記登録情報と、前記第2認証情報に含まれる前記登録情報とが一致する場合に、前記登録情報に含まれる前記第2公開鍵を登録することを特徴とする。
また、本発明の一態様は、上記の端末登録方法において、前記サーバ装置が、利用者に対応する固有情報に基づいて、第1秘密情報と、第2秘密情報と、第3秘密情報とを生成する秘密情報生成ステップを含み、前記登録要求ステップにおいて、前記第2端末装置が、前記サーバ装置から取得した前記第2秘密情報を前記登録情報に付加して前記サーバ装置に送信し、前記第2送信ステップにおいて、前記第1端末装置が、前記復号処理された前記登録情報に、前記サーバ装置から取得した前記第1秘密情報を含む前記第2認証情報を前記サーバ装置に送信し、前記登録ステップにおいて、前記サーバ装置が、前記第2端末装置から受信した前記登録情報と、前記第2端末装置から受信した前記第2認証情報に含まれる前記登録情報とが一致する場合、且つ、前記第2認証情報に含まれる前記第1秘密情報と、前記第2端末装置から前記登録情報に付加されて送信された前記第2秘密情報と、前記第3秘密情報とに基づいて復元した情報が、前記秘密情報生成ステップにおいて生成された前記固有情報と一致する場合に、前記登録情報に含まれる前記第2公開鍵を登録することを特徴とする。
また、本発明の一態様は、上記の端末登録方法において、前記登録要求ステップにおいて、前記第2端末装置が、前記登録情報を暗号処理して前記サーバ装置に送信し、前記登録ステップにおいて、前記サーバ装置が、前記第2端末装置から受信した暗号処理された前記登録情報を復号処理した前記登録情報と、前記第1端末装置から受信した前記第2認証情報に含まれる前記登録情報とが一致する場合に、前記登録情報に含まれる前記第2公開鍵を登録することを特徴とする。
また、本発明の一態様は、上記の端末登録方法において、前記端末認証要求ステップにおいて、前記第1端末装置が、前記第1端末装置の利用者を認証した認証結果を、前記第1秘密鍵に基づいて暗号処理して、前記第1認証情報を生成することを特徴とする。
また、本発明の一態様は、サーバ装置と、前記サーバ装置に登録済の第1端末装置と、前記サーバ装置に未登録の第2端末装置とを備え、前記第2端末装置は、第2秘密鍵及び当該第2秘密鍵に対応する第2公開鍵を生成し、生成した前記第2公開鍵を少なくとも含む登録情報を前記サーバ装置に送信する登録要求部と、所定の暗号鍵に基づいて、前記登録情報を暗号処理し、当該暗号処理された前記登録情報を前記第1端末装置に送信する第1送信部とを備え、前記第1端末装置は、第1秘密鍵に基づく第1認証情報を生成し、前記第1秘密鍵に対応する第1公開鍵が登録されている前記サーバ装置に送信する端末認証要求部と、前記暗号処理された前記登録情報を、前記所定の暗号鍵に対応する所定の復号鍵に基づいて復号処理し、当該復号処理された前記登録情報を含む第2認証情報を生成し、生成した前記第2認証情報を前記サーバ装置に送信する第2送信部とを備え、前記サーバ装置は、前記第1公開鍵と、前記第1認証情報とに基づいて、前記第1端末装置の正当性を検証する端末認証部と、前記第2端末装置から受信した前記登録情報と、前記第1端末装置から受信した前記第2認証情報に含まれる前記登録情報とが一致する場合に、前記登録情報に含まれる前記第2公開鍵を登録する登録部とを備えることを特徴とする端末登録システムである。
本発明によれば、端末装置を登録する際の脆弱性を低減することができる。
第1の実施形態による認証システムの一例を示すブロック図である。 第1の実施形態における登録情報の一例を示す図である。 第1の実施形態における登録情報記憶部のデータ例を示す図である。 第1の実施形態による認証システムの端末登録処理の一例を示す図である。 第2の実施形態による認証システムの一例を示すブロック図である。 第2の実施形態による認証システムの端末登録処理の一例を示す図である。 第3の実施形態による認証システムの一例を示すブロック図である。 第3の実施形態による秘密情報処理部の処理の一例を説明する図である。 第3の実施形態による秘密情報記憶部のデータ例を示す図である。 第3の実施形態による認証システムの端末登録処理の一例を示す図である。
以下、本発明の実施形態による端末登録方法及び端末登録システムについて図面を参照して説明する。
[第1の実施形態]
図1は、本実施形態による認証システム1の一例を示すブロック図である。
図1に示すように、認証システム1(端末登録システムの一例)は、端末装置10と、端末装置20と、サーバ装置30とを備えている。端末装置10と、端末装置20と、サーバ装置30とは、ネットワークNW1を介して接続されている。
端末装置10(第1端末装置の一例)は、サーバ装置30に登録済の端末装置であり、例えば、スマートフォンなどの携帯電話、PDA(Personal Digital Assistant)、パーソナルコンピュータ(PC)などの情報端末、等である。端末装置10は、NW(ネットワーク)通信部11と、NFC(Near Field Communication)通信部12と、入力部13と、表示部14と、セキュア処理部15と、端末制御部16とを備えている。
NW通信部11は、例えば、携帯電話などの移動通信、無線LAN(Local Area Network)通信などを利用してネットワークNW1に接続し、ネットワークNW1を介して各種通信を行う。NW通信部11は、例えば、ネットワークNW1を介して、サーバ装置30に接続し、各種通信を行う。
NFC通信部12は、近距離無線通信を利用した通信を行う。NFC通信部12は、例えば、端末装置20の端末登録処理を行う際に、端末装置20との間の通信を行う。
入力部13は、例えば、タッチパネルなどの入力デバイスであり、端末装置10に対する各種入力を受け付ける。入力部13は、例えば、登録を行う端末装置20の利用者によりPIN(Personal Identification Number)などの個人識別情報の入力を受け付ける。
表示部14は、例えば、液晶ディスプレイ装置などであり、各種情報を表示する。表示部14は、例えば、端末装置20の端末登録処理の際の操作メニュー、入力情報などを表示する。
セキュア処理部15は、例えば、TEE(Trusted Execution Environment)であり、各種セキュア処理を実行する。セキュア処理部15は、例えば、RSA暗号などの公開鍵暗号の公開鍵及び秘密鍵の生成、当該公開鍵及び秘密鍵を用いた暗号処理、復号処理、署名情報の生成処理、生体認証を利用した利用者認証処理(本人検証処理)などのセキュア処理を実行する。また、セキュア処理部15は、ハードウェアによりセキュアに保護する領域としてセキュア記憶部151を備えている。
セキュア記憶部151は、アプリケーションプログラム(端末制御部16)から直接アクセスできない記憶領域であり、OS(Operating System)を介してアクセス可能である。セキュア記憶部151は、例えば、利用者認証用の生体認証情報や、公開鍵暗号の秘密鍵及び公開鍵などのセキュアな情報を記憶する。なお、本実施形態では、端末装置10は、サーバ装置30に登録済であり、セキュア記憶部151は、利用者認証用の秘密鍵SK1(第1秘密鍵の一例)及び公開鍵PK1(第1公開鍵の一例)と、本人検証用の生体認証情報とが予め記憶されているものとする。ここで、生体認証情報は、例えば、指紋、音声、顔などにより利用者を検証する情報である。
端末制御部16は、例えば、CPU(Central Processing Unit)などを含むプロセッサであり、端末装置10を統括的に制御する。端末制御部16は、例えば、端末装置20を追加登録する処理を実行するアプリケーションプログラムを実行する。端末制御部16は、例えば、端末認証要求部161と、登録処理部162とを備えている。
端末認証要求部161は、端末装置10とサーバ装置30との間で利用者認証を行う。端末認証要求部161は、例えば、セキュア処理部15に生体認証などによる利用者認証を実行させて、当該利用者認証によって端末装置10の利用者を認証した認証結果を取得する。端末認証要求部161は、さらに、セキュア処理部15に当該認証結果を秘密鍵SK1に基づいて暗号処理させて認証情報(第1認証情報)を生成させる。端末認証要求部161は、セキュア処理部15から取得した認証情報を、NW通信部11を介して、サーバ装置30に送信する。なお、サーバ装置30は、秘密鍵SK1に対応する公開鍵PK1が登録されているものとする。
このように、端末認証要求部161は、秘密鍵SK1に基づく認証情報を生成し、秘密鍵SK1に対応する公開鍵PK1(第1公開鍵)が登録されているサーバ装置30に送信する端末認証要求処理を実行する。
登録処理部162は、端末装置20の端末登録処理に関する各種処理を実行する。登録処理部162は、例えば、上述した端末認証要求処理により送信した認証情報に対する認証成功通知を、NW通信部11を介して、サーバ装置30から受信した場合に、端末装置20の追加登録要求を、NW通信部11を介して、サーバ装置30に送信する。また、登録処理部162は、例えば、追加登録要求に応じた端末登録処理の開始指示(追加登録開始指示)を、NW通信部11を介して、サーバ装置30から受信した場合に、NFC通信部12を介して、追加登録処理依頼を端末装置20に送信する。
また、登録処理部162は、例えば、暗号化(暗号処理)された端末装置20の登録情報を、NFC通信部12を介して、端末装置20から受信した場合に、入力部13から受け付けた端末装置20の利用者のPINを取得する。登録処理部162は、当該PIN(所定の復号鍵の一例)に基づいて、暗号化された登録情報を復号(復号処理)する。なお、登録情報の詳細については後述する。また、本実施形態において、端末装置20の利用者と、端末装置10の利用者とは、同一であってもよいし、同一でなく異なっていてもよい。
また、登録処理部162は、復号(復号処理)された登録情報から秘密鍵SK1に基づく署名情報を、セキュア処理部15に生成させる。登録処理部162は、セキュア処理部15から取得した署名情報と復号(復号処理)された登録情報とを含む認証情報(第2認証情報の一例)を生成し、生成した認証情報を、NW通信部11を介して、サーバ装置30に送信する。すなわち、登録処理部162は、復号処理された登録情報から秘密鍵SK1に基づく署名情報を生成し、生成した当該署名情報と登録情報とを含む認証情報を生成する。そして、登録処理部162は、生成した認証情報をサーバ装置30に送信する。
このように、登録処理部162は、暗号処理された登録情報を、所定の暗号鍵に対応する所定の復号鍵に基づいて復号処理し、当該復号処理された登録情報を含む認証情報(第2認証情報)を生成し、生成した認証情報をサーバ装置30に送信する送信処理(第2送信処理の一例)を実行する。なお、本実施形態では、所定の復号鍵は、利用者から端末装置20が取得したPIN(個人識別情報)、又はPINを含む情報である。なお、PINを含む情報は、例えば、日付情報、時刻情報、端末装置20の場所情報(位置情報)などをPINに付加した情報である。
端末装置20(第2端末装置の一例)は、サーバ装置30に未登録の端末装置であり、例えば、スマートフォンなどの携帯電話、PDA(Personal Digital Assistant)、パーソナルコンピュータ(PC)などの情報端末、等である。端末装置20は、NW通信部21と、NFC通信部22と、入力部23と、表示部24と、セキュア処理部25と、端末制御部26とを備えている。
NW通信部21は、例えば、携帯電話などの移動通信、無線LAN通信などを利用してネットワークNW1に接続し、ネットワークNW1を介して各種通信を行う。NW通信部21は、例えば、ネットワークNW1を介して、サーバ装置30に接続し、各種通信を行う。
NFC通信部22は、近距離無線通信を利用した通信を行う。NFC通信部22は、例えば、端末装置20の端末登録処理を行う際に、端末装置10との間の通信を行う。
入力部23は、例えば、タッチパネルなどの入力デバイスであり、端末装置20に対する各種入力を受け付ける。入力部23は、例えば、登録を行う端末装置20の利用者によりPINなどの個人識別情報の入力を受け付ける。
表示部24は、例えば、液晶ディスプレイ装置などであり、各種情報を表示する。表示部24は、例えば、端末装置20の端末登録処理の際の操作メニュー、入力情報などを表示する。
セキュア処理部25は、例えば、TEEであり、各種セキュア処理を実行する。セキュア処理部25は、基本的には、上述したセキュア処理部15と同等の機能を有する。セキュア処理部25は、例えば、RSA暗号などの公開鍵暗号の公開鍵及び秘密鍵の生成、当該公開鍵及び秘密鍵を用いた暗号処理、復号処理、署名情報の生成処理、生体認証を利用した利用者認証処理(本人検証処理)などのセキュア処理を実行する。また、セキュア処理部25は、ハードウェアによりセキュアに保護する領域としてセキュア記憶部251を備えている。
セキュア記憶部251は、アプリケーションプログラム(端末制御部26)から直接アクセスできない記憶領域であり、OS(Operating System)を介してアクセス可能である。セキュア記憶部251は、例えば、利用者認証用の生体認証情報や、公開鍵暗号の秘密鍵及び公開鍵などのセキュアな情報を記憶する。なお、本実施形態では、端末装置20は、サーバ装置30に未登録であり、端末登録処理の際に、セキュア記憶部251には、本人検証用の生体認証情報、利用者認証用の秘密鍵SK2(第2秘密鍵の一例)及び公開鍵PK2(第2公開鍵の一例)が記憶される。なお、セキュア記憶部251は、本人検証用の生体認証情報を端末登録処理前に予め記憶していてもよい。
端末制御部26は、例えば、CPUなどを含むプロセッサであり、端末装置20を統括的に制御する。端末制御部26は、例えば、端末装置20を追加登録する処理を実行するアプリケーションプログラムを実行する。端末制御部26は、例えば、端末認証要求部261と、登録処理部262とを備えている。
端末認証要求部261は、端末装置20とサーバ装置30との間で利用者認証を行い、
上述した端末装置10の端末認証要求部161と同様の機能を有している。
登録処理部262は、端末装置20の端末登録処理に関する各種処理を実行する。登録処理部262は、例えば、NFC通信部22を介して、端末装置10から追加登録処理依頼を受信した場合に、秘密鍵SK2及び秘密鍵SK2に対応する公開鍵PK2をセキュア処理部25に生成させる。なお、セキュア処理部25は、生成した秘密鍵SK2及び公開鍵PK2をセキュア記憶部251に記憶させる。登録処理部262は、セキュア処理部25から公開鍵PK2を取得し、当該公開鍵PK2を少なくとも含む登録情報を、NW通信部21を介して、サーバ装置30に送信する。すなわち、登録処理部262は、秘密鍵SK2及び公開鍵PK2を生成し、生成した公開鍵PK2を少なくとも含む登録情報をサーバ装置30に送信する登録要求処理を実行する。ここで、図2を参照して、登録情報について説明する。
図2は、本実施形態における登録情報の一例を示す図である。
図2に示すように、登録情報には、「利用者ID」と、「デバイスID」と、「公開鍵」とが含まれている。ここで、「利用者ID」は、端末装置20の利用者を識別する利用者識別情報である。また、「デバイスID」は、端末装置20を識別する端末識別情報である。また、「公開鍵」は、セキュア処理部25によって生成された公開鍵PK2である。
図2に示す例では、「利用者ID」が“XXX_YYY”であり、「デバイスID」が“12345678”であり、「公開鍵」(PK2)が、“1A2B3C4D5E6F・・・”であることを示している。なお、登録情報は、FIDO認証の仕様(FIDO Specification)で規定される登録情報の一部又は全部を含むものであってもよい。
登録処理部262は、このような登録情報を生成し、生成した登録情報をサーバ装置30に送信する。なお、登録処理部262は、登録情報をサーバ装置30に送信する際に、所定の暗号鍵(例えば、秘密鍵SK2など)により暗号化して送信してもよい。
また、登録処理部262は、所定の暗号鍵に基づいて、登録情報を暗号処理し、当該暗号処理された登録情報を端末装置10に送信する送信処理(第1送信処理)を実行する。本実施形態では、所定の暗号鍵は、端末装置20の利用者から端末装置10が取得したPIN又はPINを含む情報である。すなわち、登録処理部262は、例えば、入力部13から受け付けた端末装置20の利用者のPINを取得し、当該PINを所定の暗号鍵として、登録情報を暗号化し、暗号化された登録情報を、NFC通信部22を介して、端末装置10に送信する。
サーバ装置30は、例えば、利用者及び端末装置を登録することで所定のサービスを提供する。サーバ装置30は、NW通信部31と、サーバ記憶部32と、サーバ制御部33とを備えている。
NW通信部31は、例えば、LAN通信などを利用してネットワークNW1に接続し、ネットワークNW1を介して各種通信を行う。NW通信部31は、例えば、ネットワークNW1を介して、端末装置10及び端末装置20に接続し、各種通信を行う。
サーバ記憶部32は、サーバ装置30の各種処理に利用する情報を記憶する。サーバ記憶部32は、例えば、登録情報記憶部321を備えている。
登録情報記憶部321は、登録が完了した端末装置の登録情報を記憶する。登録情報記憶部321は、例えば、図3に示すように、「index」と、「利用者ID」と、「デバイスID」と、「公開鍵」とを対応付けて記憶する。
図3は、本実施形態における登録情報記憶部321のデータ例を示す図である。
図3において、「index」は、登録情報の索引番号を示し、「利用者ID」及び「デバイスID」は、登録済みの利用者識別情報及び端末識別情報を示している。また、「公開鍵」は、登録済みの公開鍵を示している。
例えば、図3に示す例では、「index」が“1”の登録情報として、「利用者ID」及び「デバイスID」が“XXX_YYYY”及び“12345678”が登録されており、対応する「公開鍵」が“1A2B3C4D5E6F・・・”であることを示している。
再び、図1に戻り、サーバ制御部33は、CPUなどを含むプロセッサであり、サーバ装置30を統括的に制御する。サーバ制御部33は、例えば、認証情報検証部331と、追加端末登録部332とを備えている。
認証情報検証部331(端末認証部の一例)は、公開鍵PK1と、端末装置10から受信した認証情報とに基づいて、端末装置10の正当性を検証する。認証情報検証部331は、上述した端末装置10から、NW通信部31を介して受信した認証情報を含む端末認証要求に応じて、サーバ記憶部32から端末装置10の公開鍵PK1を取得し、取得した公開鍵PK1により認証情報を復号処理して、端末装置10の正当性を検証する。認証情報検証部331は、端末装置10の正当性が検証された場合に、当該正当性の検証結果を認証成功通知として、NW通信部31を介して端末装置10に送信する。
追加端末登録部332(登録部の一例)は、端末装置20から受信した登録情報と、端末装置10から受信した認証情報に含まれる登録情報とが一致する場合に、登録情報に含まれる公開鍵PK2を登録する登録処理を実行する。追加端末登録部332は、例えば、端末装置10からNW通信部31を介して受信した認証情報に含まれる署名情報の正当性を、公開鍵PK1に基づいて検証する。追加端末登録部332は、署名情報が正当であり、且つ、端末装置20からNW通信部31を介して受信した登録情報と、認証情報に含まれる登録情報とが一致する場合に、登録情報に含まれる公開鍵PK2を登録する。追加端末登録部332は、例えば、図3に示すように、「index」と、「利用者ID」と、「デバイスID」と、「公開鍵」とを対応付けて登録情報記憶部321に記憶させる。
なお、追加端末登録部332は、端末装置20から受信した登録情報が、例えば、秘密鍵SK2により暗号化されている場合には、端末装置10から受信した認証情報に含まれる登録情報の公開鍵PK2に基づいて、端末装置20から受信した登録情報を復号(復号処理)して、当該登録情報と、認証情報に含まれる登録情報とが一致するか否かを判定する。追加端末登録部332は、登録情報が一致する場合に、登録情報を登録情報記憶部321に記憶させる。このように、追加端末登録部332は、端末装置20から受信した暗号処理された登録情報を復号処理した登録情報と、端末装置10から受信した認証情報に含まれる登録情報とが一致する場合に、登録情報に含まれる公開鍵PK2を登録する。
次に、図4を参照して、本実施形態による認証システム1の動作について説明する。
図4は、本実施形態による認証システム1の端末登録処理の一例を示す図である。
図4に示す例では、端末装置10が予めサーバ装置30に登録されており、未登録の端末装置20を新たにサーバ装置30に登録させる場合の処理である。
図4に示すように、まず、認証システム1の端末装置10は、利用者認証処理を実行する(ステップS101)。すなわち、端末装置10の端末認証要求部161は、例えば、セキュア処理部15に生体認証などによる利用者認証を実行させて、当該利用者認証によって端末装置10の利用者を認証した認証結果を取得する。
次に、端末装置10は、認証結果と秘密鍵SK1とから認証情報を生成する(ステップS102)。すなわち、端末認証要求部161は、セキュア処理部15に認証結果を秘密鍵SK1に基づいて暗号処理させて認証情報を生成させる。
次に、端末装置10は、認証要求をサーバ装置30に送信する(ステップS103)。すなわち、端末認証要求部161は、生成した認証情報を含む端末認証要求を、NW通信部11を介して、サーバ装置30に送信する。
次に、サーバ装置30は、公開鍵PK1により認証情報を検証する(ステップS104)。すなわち、サーバ装置30の認証情報検証部331は、NW通信部31を介して受信した端末認証要求に応じて、サーバ記憶部32から端末装置10の公開鍵PK1を取得する。認証情報検証部331は、取得した公開鍵PK1により認証情報を復号処理して、端末装置10の正当性を検証する。
次に、サーバ装置30は、認証成功通知を送信する(ステップS105)。すなわち、認証情報検証部331は、例えば、端末装置10の正当性が検証された場合に、当該正当性の検証結果を認証成功通知として、NW通信部31を介して端末装置10に送信する。
次に、端末装置10は、追加登録要求をサーバ装置30に送信する(ステップS106)。すなわち、端末装置10の登録処理部162は、例えば、NW通信部11を介して、サーバ装置30から認証成功通知を受信した場合に、端末装置20の追加登録要求を、NW通信部11を介して、サーバ装置30に送信する。
次に、サーバ装置30は、追加登録開始指示を端末装置10に送信する(ステップS107)。すなわち、サーバ装置30の追加端末登録部332は、NW通信部31を介して、端末装置10から追加登録要求を受信した場合に、NW通信部31を介して、追加登録開始指示を端末装置10に送信する。
次に、端末装置10は、追加登録処理依頼を端末装置20に送信する(ステップS108)。すなわち、登録処理部162は、例えば、NW通信部11を介して、追加登録開始指示をサーバ装置30から受信した場合に、NFC通信部12を介して、追加登録処理依頼を端末装置20に送信する。
次に、端末装置20は、生体認証情報の登録を行う(ステップS109)。すなわち、端末装置20の登録処理部262は、利用者によって入力された、例えば、指紋情報などの生体認証情報を取得し、当該生体認証情報をセキュア処理部25に登録させる。セキュア処理部25は、生体認証情報をセキュア記憶部251に記憶させる。
次に、端末装置20は、秘密鍵SK2及び公開鍵PK2を生成する(ステップS110)。すなわち、端末装置20の登録処理部262は、例えば、NFC通信部22を介して、端末装置10から追加登録処理依頼を受信した場合に、秘密鍵SK2及び秘密鍵SK2に対応する公開鍵PK2をセキュア処理部25に生成させる。なお、セキュア処理部25は、生成した秘密鍵SK2及び公開鍵PK2をセキュア記憶部251に記憶させる。
次に、端末装置20は、登録情報を生成する(ステップS111)。すなわち、登録処理部262は、セキュア処理部25から公開鍵PK2を取得し、図2に示すような登録情報を生成する。なお、登録情報に含まれる情報(例えば、利用者識別情報などのユーザ情報)は、入力部23を介して、利用者によって入力されてもよい。また、登録処理部262は、登録情報を暗号化し、暗号化された登録情報を生成してもよい。
次に、端末装置20は、登録情報をサーバ装置30に送信する(ステップS112)。すなわち、登録処理部262は、例えば、公開鍵PK2を含む登録情報を、NW通信部21を介して、サーバ装置30に送信する。
次に、端末装置20は、PINを取得する(ステップS113)。すなわち、登録処理部262は、表示部14に、端末装置20の利用者にPINの入力を促す表示を表示させて、入力部13が受け付けた端末装置20の利用者のPINを取得する。登録処理部262は、取得したPINを所定の暗号鍵として利用する。
次に、端末装置20は、PINにより登録情報を暗号処理する(ステップS114)。すなわち、登録処理部262は、取得したPIN(所定の暗号鍵)に基づいて、登録情報を暗号処理して、暗号化された登録情報(暗号登録情報)を生成する。
次に、端末装置20は、暗号登録情報を端末装置10に送信する(ステップS115)。すなわち、登録処理部262は、PINにより暗号化された登録情報(暗号登録情報)を、NFC通信部22を介して、端末装置10に送信する。
次に、端末装置10は、PINを取得する(ステップS116)。すなわち、登録処理部162は、表示部14に、端末装置20の利用者にPINの入力を促す表示を表示させて、入力部13が受け付けた端末装置20の利用者のPINを取得する。ここで、登録処理部162が取得するPINは、端末装置20の利用者によって入力されたPINであり、端末装置に入力されたPIN(所定の暗号鍵)と等しい情報である。登録処理部162は、取得したPINを所定の復号鍵として利用する。
次に、端末装置10は、PINにより暗号登録情報を復号処理する(ステップS117)。すなわち、登録処理部162は、取得したPIN(所定の復号鍵)に基づいて、暗号登録情報を復号し、復号された登録情報(平文)を生成する。
次に、端末装置10は、登録情報と秘密鍵SK1とにより署名情報を生成する(ステップS118)。すなわち、登録処理部162は、復号(復号処理)された登録情報から秘密鍵SK1に基づく署名情報を、セキュア処理部15に生成させる。セキュア処理部15は、例えば、所定のハッシュ関数により、登録情報からハッシュ情報を生成し、セキュア記憶部151が記憶する秘密鍵SK1を用いて、登録情報の署名情報を生成する。
次に、端末装置10は、認証情報をサーバ装置30に送信する(ステップS119)。すなわち、登録処理部162は、セキュア処理部15から署名情報を取得し、取得した署名情報と登録情報とを含む認証情報(第2認証情報)を生成する。そして、登録処理部162は、生成した認証情報を、NW通信部11を介して、サーバ装置30に送信する。
サーバ装置30は、署名情報が正当であるか否かを判定する(ステップS120)。すなわち、サーバ装置30の追加端末登録部332は、例えば、NW通信部31を介して、端末装置10から署名情報と登録情報とを含む認証情報を受信した場合に、署名情報が正当であるか否かを判定する。追加端末登録部332は、例えば、登録情報記憶部321から端末装置10の公開鍵PK1を取得し、取得した公開鍵PK1により署名情報を復号処理する。また、追加端末登録部332は、所定のハッシュ関数により、受信した認証情報に含まれる登録情報からハッシュ情報を生成する。追加端末登録部332は、署名情報を復号処理した情報と、生成したハッシュ情報とが一致するか否かによって署名情報が正当であるか否かを判定する。
追加端末登録部332は、署名情報が正当である場合(ステップS120:YES)に、処理をステップS121に進める。また、追加端末登録部332は、署名情報が正当でない場合(ステップS120:NO)に、端末装置20を登録せずに、端末登録処理を終了する。
ステップS121において、追加端末登録部332は、登録情報が一致するか否かを判定する。すなわち、追加端末登録部332は、端末装置20からNW通信部31を介して受信した登録情報と、認証情報に含まれる登録情報とが一致するか否かを判定する。なお、端末装置20からNW通信部31を介して受信した登録情報が暗号化されている場合には、追加端末登録部332は、暗号化された登録情報を復号(復号処理)して、登録情報を取得する。
追加端末登録部332は、登録情報が一致する場合(ステップS121:YES)に、処理をステップS122に進める。また、追加端末登録部332は、登録情報が一致しない場合(ステップS121:NO)に、端末装置20を登録せずに、端末登録処理を終了する。
ステップS122において、追加端末登録部332は、公開鍵PK2を含む登録情報を登録する。すなわち、追加端末登録部332は、端末装置20の登録情報を、例えば、図3に示すように、「index」と、「利用者ID」と、「デバイスID」と、「公開鍵」とを対応付けて登録情報記憶部321に記憶させる。
なお、図4に示す例において、ステップS101からステップS103の処理が、端末認証要求ステップの処理に対応し、ステップS104及びステップS105の処理が、端末認証ステップの処理に対応する。また、ステップS109からステップS112の処理が、登録要求ステップの処理に対応し、ステップS113からステップS115の処理が、第1送信ステップの処理に対応する。また、ステップS116からステップS119の処理が、第2送信ステップの処理に対応し、ステップS120からステップS122の処理が、登録ステップの処理に対応する。
また、ステップS118及びステップS119の一連の処理を、FIDO認証のTransaction Confirmationを基に実現してもよい。
以上説明したように、本実施形態による端末登録方法は、端末認証要求ステップと、端末認証ステップと、登録要求ステップと、第1送信ステップと、第2送信ステップと、登録ステップとを含んでいる。端末認証要求ステップにおいて、サーバ装置30に登録済の端末装置10(第1端末装置)が、秘密鍵SK1(第1秘密鍵)に基づく第1認証情報を生成し、秘密鍵SK1に対応する公開鍵PK1(第1公開鍵)が登録されているサーバ装置30に送信する。端末認証ステップにおいて、サーバ装置30が、公開鍵PK1と、第1認証情報とに基づいて、端末装置10の正当性を検証する。登録要求ステップにおいて、サーバ装置30に未登録の端末装置20(第2端末装置)が、秘密鍵SK2(第2秘密鍵)及び秘密鍵SK2に対応する公開鍵PK2(第2公開鍵)を生成し、生成した公開鍵PK2を少なくとも含む登録情報をサーバ装置30に送信する。第1送信ステップにおいて、端末装置20が、所定の暗号鍵に基づいて、登録情報を暗号処理し、当該暗号処理された登録情報を端末装置10に送信する。第2送信ステップにおいて、端末装置10が、暗号処理された登録情報を、所定の暗号鍵に対応する所定の復号鍵に基づいて復号処理し、当該復号処理された登録情報を含む第2認証情報を生成し、生成した第2認証情報をサーバ装置30に送信する。登録ステップにおいて、サーバ装置30が、端末装置20から受信した登録情報と、端末装置10から受信した第2認証情報に含まれる登録情報とが一致する場合に、登録情報に含まれる公開鍵PK2を登録する。
これにより、本実施形態による端末登録方法では、登録済みの端末装置10の正当性を確認した上で、未登録の端末装置20の端末登録の際の正当性を、端末装置10を利用して確認する。そのため、本実施形態による端末登録方法では、端末登録の際に、例えば、パスワードや予め設定された固有情報による本人及び端末装置20の認証を行う必要がない。よって、本実施形態による端末登録方法は、端末装置20を登録する際の脆弱性を低減することができる。
また、本実施形態では、上述の所定の暗号鍵は、端末装置20の利用者から端末装置10が取得した個人識別情報を含む情報(例えば、PIN、又はPINを含む情報)である。また、上述の所定の復号鍵は、所定の暗号鍵と等しい情報であり、利用者から端末装置20が取得した個人識別情報を含む情報(例えば、PIN、又はPINを含む情報)である。
これにより、本実施形態による端末登録方法では、個人識別情報(例えば、PIN)を利用して暗号化した情報を端末装置20から端末装置10に送信するため、端末装置20から端末装置10に送信する登録情報が改竄されるリスク及び漏洩するリスクを低減することができる。よって、本実施形態による端末登録方法は、端末装置20を登録する際の脆弱性をさらに低減することができる。
また、本実施形態では、第2送信ステップにおいて、端末装置10が、復号処理された登録情報から秘密鍵SK1に基づく署名情報を生成し、生成した当該署名情報と登録情報とを含む第2認証情報を生成する。そして、登録ステップにおいて、サーバ装置30が、端末装置10から受信した第2認証情報に含まれる署名情報の正当性を、公開鍵PK1に基づいて検証し、署名情報が正当であり、且つ、端末装置20から受信した登録情報と、第2認証情報に含まれる登録情報とが一致する場合に、登録情報に含まれる公開鍵PK2を登録する。
これにより、本実施形態による端末登録方法では、端末装置20からサーバ装置30に送信する登録情報が改竄されるリスク及び漏洩するリスクを低減することができる。よって、本実施形態による端末登録方法は、端末装置20を登録する際の脆弱性をさらに低減することができる。
また、本実施形態では、登録要求ステップにおいて、端末装置20が、登録情報を暗号処理してサーバ装置30に送信する。そして、登録ステップにおいて、サーバ装置30が、端末装置20から受信した暗号処理された登録情報を復号処理した登録情報と、端末装置10から受信した第2認証情報に含まれる登録情報とが一致する場合に、登録情報に含まれる公開鍵PK2を登録する。
これにより、本実施形態による端末登録方法では、端末装置10からサーバ装置30に送信する登録情報が改竄されるリスク及び漏洩するリスクを低減することができる。よって、本実施形態による端末登録方法は、端末装置20を登録する際の脆弱性をさらに低減することができる。
また、本実施形態では、端末認証要求ステップにおいて、端末装置10が、端末装置10の利用者を認証した認証結果を、秘密鍵SK1に基づいて暗号処理して、第1認証情報を生成する。
これにより、本実施形態による端末登録方法では、例えば、利用者の生体認証情報やパスワードなどの秘密情報を外部に出力する必要がなく、公開鍵ベースの端末認証を行うことで、安全性と利便性とを両立させた端末装置10の認証を行うことができる。
また、実施形態による認証システム1(端末登録システム)は、サーバ装置30と、サーバ装置30に登録済の端末装置10と、サーバ装置30に未登録の端末装置20とを備えている。端末装置20は、登録要求部(登録処理部262)と、第1送信部(登録処理部262)とを備えている。すなわち、登録処理部262(登録要求部)は、秘密鍵SK2及び秘密鍵SK2に対応する公開鍵PK2を生成し、生成した公開鍵PK2を少なくとも含む登録情報をサーバ装置30に送信する。登録処理部262(第1送信部)は、所定の暗号鍵に基づいて、登録情報を暗号処理し、当該暗号処理された登録情報を端末装置10に送信する。また、端末装置10は、端末認証要求部161と、登録処理部162(第2送信部)とを備えている。端末認証要求部161は、秘密鍵SK1に基づく第1認証情報を生成し、秘密鍵SK1に対応する公開鍵PK1が登録されているサーバ装置30に送信する。登録処理部162は、暗号処理された登録情報を、所定の暗号鍵に対応する所定の復号鍵に基づいて復号処理し、当該復号処理された登録情報を含む第2認証情報を生成し、生成した第2認証情報をサーバ装置30に送信する。また、サーバ装置30は、認証情報検証部331(端末認証部)と、追加端末登録部332(登録部)とを備えている。認証情報検証部331は、公開鍵PK1と、第1認証情報とに基づいて、端末装置10の正当性を検証する。追加端末登録部332は、端末装置20から受信した登録情報と、端末装置10から受信した第2認証情報に含まれる登録情報とが一致する場合に、登録情報に含まれる公開鍵PK2を登録する。
これにより、本実施形態による認証システム1は、上述した本実施形態による端末登録方法と同様に、端末装置20を登録する際の脆弱性を低減することができる。
[第2の実施形態]
次に、図面を参照して、第2の実施形態による認証システム1aについて説明する。
図5は、本実施形態による認証システム1aの一例を示すブロック図である。
図5に示すように、認証システム1a(端末登録システムの一例)は、端末装置10aと、端末装置20aと、サーバ装置30aとを備えている。端末装置10aと、端末装置20aと、サーバ装置30aとは、ネットワークNW1を介して接続されている。なお、図5において、図1と同一の構成には同一の符号を付与して、その説明を省略する。
本実施形態では、端末装置20aから端末装置10aに登録情報を送信する際に、PINの代わりに、端末装置10aの公開鍵PK1を利用して暗号処理する点が、第1の実施形態と異なる。
端末装置20a(第2端末装置の一例)は、サーバ装置30aに未登録の端末装置であり、基本的には、第1の実施形態の端末装置20と同様である。端末装置20aは、NW通信部21と、NFC通信部22と、入力部23と、表示部24と、セキュア処理部25と、端末制御部26aとを備えている。また、端末制御部26aは、端末認証要求部261と、登録処理部262aとを備えている。
登録処理部262aは、第1の実施形態の登録処理部262と同様に、端末装置20aの端末登録処理に関する各種処理を実行する。登録処理部262aは、サーバ装置30aからNW通信部21を介して、公開鍵PK1を含む追加登録処理依頼を受信した場合に、端末登録処理を開始する点と、受信した公開鍵PK1を所定の暗号鍵として、登録情報を暗号化して、端末装置10に送信する点が、第1の実施形態と異なる。登録処理部262aは、サーバ装置30aから取得した端末装置10aの公開鍵PK1を所定の暗号鍵として、登録情報を暗号化して、暗号登録情報を生成する。登録処理部262aは、生成した暗号登録情報を、NFC通信部22を介して、端末装置10aに送信する。
端末装置10a(第1端末装置の一例)は、サーバ装置30aに登録済の端末装置であり、基本的には、第1の実施形態の端末装置10と同様である。端末装置10aは、NW通信部11と、NFC通信部12と、入力部13と、表示部14と、セキュア処理部15と、端末制御部16aとを備えている。また、端末制御部16aは、端末認証要求部161と、登録処理部162aとを備えている。
登録処理部162aは、第1の実施形態の登録処理部162と同様に、端末装置20aの端末登録処理に関する各種処理を実行する。登録処理部162aは、端末装置10aからNFC通信部12を介して、暗号登録情報を受信した場合に、秘密鍵SK1を所定の復号鍵として、暗号登録情報を復号処理する点が、第1の実施形態と異なる。登録処理部162aは、NFC通信部12を介して、暗号登録情報を受信した場合に、秘密鍵SK1に基づく暗号登録情報の復号処理をセキュア処理部15に実行させる。登録処理部162aは、復号処理された端末装置20の登録情報をセキュア処理部15から取得する。
このように、本実施形態では、所定の暗号鍵は、サーバ装置30aから端末装置10aが取得した公開鍵PK1であり、所定の復号鍵は、秘密鍵SK1である。
サーバ装置30aは、NW通信部31と、サーバ記憶部32と、サーバ制御部33aとを備えている。また、サーバ制御部33aは、例えば、認証情報検証部331と、追加端末登録部332aとを備えている。
追加端末登録部332a(登録部の一例)は、基本的には、第1の実施形態の追加端末登録部332と同様であるが、端末装置10aから追加登録要求を受信した際に、端末装置10aの公開鍵PK1を含む追加登録処理依頼を、端末装置20aに送信する点が、第1の実施形態と異なる。追加端末登録部332aは、NW通信部31を介して、端末装置10aから追加登録要求を受信した場合に、登録情報記憶部321から端末装置10aの公開鍵PK1を取得する。追加端末登録部332aは、取得した公開鍵PK1を含む追加登録処理依頼を、NW通信部31を介して、端末装置20aに送信する。
次に、図6を参照して、本実施形態による認証システム1aの動作について説明する。
図6は、本実施形態による認証システム1aの端末登録処理の一例を示す図である。
図6に示す例では、端末装置10aが予めサーバ装置30aに登録されており、未登録の端末装置20aを新たにサーバ装置30aに登録させる場合の処理である。
図6において、ステップS201からステップS206の処理は、図4に示すステップS101からステップS106の処理と同様であるため、ここではその説明を省略する。
ステップS207において、サーバ装置30aは、公開鍵PK1を含む追加登録処理依頼を端末装置20aに送信する。すなわち、サーバ装置30aの追加端末登録部332aは、NW通信部31を介して、端末装置10aから追加登録要求を受信した場合に、登録情報記憶部321から端末装置10aの公開鍵PK1を取得する。そして、追加端末登録部332aは、取得した公開鍵PK1を含む追加登録処理依頼を、NW通信部31を介して、端末装置20aに送信する。
続くステップS208からステップS211の処理は、図4に示すステップS109からステップS112の処理と同様であるため、ここではその説明を省略する。
ステップS212において、端末装置20aは、公開鍵PK1により登録情報を暗号処理する。すなわち、登録処理部262aは、サーバ装置30aから取得した公開鍵PK1(所定の暗号鍵)に基づいて、登録情報を暗号処理して、暗号化された登録情報(暗号登録情報)を生成する。
次に、端末装置20aは、暗号登録情報を端末装置10aに送信する(ステップS213)。すなわち、登録処理部262aは、公開鍵PK1により暗号化された登録情報(暗号登録情報)を、NFC通信部22を介して、端末装置10aに送信する。
次に、端末装置10aは、秘密鍵SK1により暗号登録情報を復号処理する(ステップS214)。すなわち、登録処理部162aは、NFC通信部12を介して、暗号登録情報を受信した場合に、秘密鍵SK1に基づく暗号登録情報の復号処理をセキュア処理部15に実行させる。登録処理部162aは、復号処理された端末装置20の登録情報をセキュア処理部15から取得する。
続くステップS215からステップS219の処理は、図4に示すステップS118からステップS122の処理と同様であるため、ここではその説明を省略する。
なお、図6に示す例において、ステップS201からステップS203の処理が、端末認証要求ステップの処理に対応し、ステップS204及びステップS205の処理が、端末認証ステップの処理に対応する。また、ステップS208からステップS211の処理が、登録要求ステップの処理に対応し、ステップS212及びステップS213の処理が、第1送信ステップの処理に対応する。また、ステップS214からステップS216の処理が、第2送信ステップの処理に対応し、ステップS217からステップS219の処理が、登録ステップの処理に対応する。
以上説明したように、本実施形態による端末登録方法では、上述した所定の暗号鍵は、サーバ装置30aから端末装置10aが取得した公開鍵PK1であり、上述した所定の復号鍵は、秘密鍵SK1である。
これにより、本実施形態による端末登録方法では、端末装置10aの公開鍵PK1を利用して暗号化した情報を端末装置20aから端末装置10aに送信するため、第1の実施形態と同様に、端末装置20aから端末装置10aに送信する登録情報が改竄されるリスク及び漏洩するリスクを低減することができる。よって、本実施形態による端末登録方法は、端末装置20aを登録する際の脆弱性をさらに低減することができる。
[第3の実施形態]
次に、図面を参照して、第3の実施形態による認証システム1bについて説明する。
図7は、本実施形態による認証システム1bの一例を示すブロック図である。
図7に示すように、認証システム1b(端末登録システムの一例)は、端末装置10bと、端末装置20bと、サーバ装置30bとを備えている。端末装置10bと、端末装置20bと、サーバ装置30bとは、ネットワークNW1を介して接続されている。なお、図7において、図1及び図5と同一の構成には同一の符号を付与して、その説明を省略する。
本実施形態では、端末装置10b及び端末装置20bの正当性の検証に、利用者に対応する固有情報から生成した秘密情報(第1秘密情報〜第3秘密情報)を利用した検証を追加している点が、第2の実施形態と異なる。
端末装置20b(第2端末装置の一例)は、サーバ装置30bに未登録の端末装置であり、基本的には、第2の実施形態の端末装置20aと同様である。端末装置20bは、NW通信部21と、NFC通信部22と、入力部23と、表示部24と、セキュア処理部25と、端末制御部26bとを備えている。また、端末制御部26bは、端末認証要求部261と、登録処理部262bとを備えている。
登録処理部262bは、第2の実施形態の登録処理部262aと同様に、端末装置20aの端末登録処理に関する各種処理を実行する。登録処理部262bは、サーバ装置30bから取得した第2秘密情報を登録情報に付加してサーバ装置30bに送信する点が第2の実施形態と異なる。登録処理部262bは、例えば、登録情報に第2秘密情報を付加し、暗号化して、NW通信部21を介して、サーバ装置30bに送信する。
端末装置10b(第1端末装置の一例)は、サーバ装置30bに登録済の端末装置であり、基本的には、第2の実施形態の端末装置10aと同様である。端末装置10bは、NW通信部11と、NFC通信部12と、入力部13と、表示部14と、セキュア処理部15と、端末制御部16bとを備えている。また、端末制御部16bは、端末認証要求部161と、登録処理部162bとを備えている。
登録処理部162bは、第2の実施形態の登録処理部162aと同様に、端末装置20bの端末登録処理に関する各種処理を実行する。登録処理部162bは、復号処理された登録情報に、サーバ装置30bから取得した第1秘密情報を含む認証情報をサーバ装置30bに送信する点が第2の実施形態と異なる。登録処理部162bは、復号(復号処理)された登録情報及び第1秘密情報から秘密鍵SK1に基づく署名情報を、セキュア処理部15に生成させる。登録処理部162bは、セキュア処理部15から取得した署名情報と、復号(復号処理)された登録情報と、第1秘密情報とを含む認証情報を生成し、生成した認証情報を、NW通信部11を介して、サーバ装置30bに送信する。
サーバ装置30bは、NW通信部31と、サーバ記憶部32aと、サーバ制御部33aとを備えている。また、サーバ制御部33bは、例えば、認証情報検証部331と、追加端末登録部332bと、秘密情報処理部333とを備えている。また、サーバ記憶部32aは、登録情報記憶部321と、秘密情報記憶部322とを備えている。
本実施形態では、サーバ装置30bは、秘密情報処理部333と、秘密情報記憶部322とを備え、追加端末登録部332bの処理に秘密情報に関する処理が追加されている点が、第2の実施形態と異なる。
秘密情報処理部333は、利用者に対応する固有情報から秘密情報を生成する生成処理、及び秘密情報から固有情報を復元する復元処理を実行する。ここで、固有情報は、例えば、利用者IDなどの利用者情報に登録時刻、登録日付などの情報を付加した情報でもよいし、乱数などであってもよい。秘密情報処理部333は、例えば、図8に示すように、秘密情報の生成処理及び固有情報の復元処理を実行する。
図8は、本実施形態による秘密情報処理部333の処理の一例を説明する図である。
図8(a)は、秘密情報処理部333の秘密情報の生成処理の一例を示している。秘密情報処理部333は、固有情報を復元可能な処理により、第1秘密情報と、第2秘密情報と、第3秘密情報とを生成する。秘密情報処理部333は、例えば、固有情報を単純に3つに分割する処理により、第1秘密情報と、第2秘密情報と、第3秘密情報とを生成してもよいし、暗号処理などの所定の変換を行った上で、3つに分割することで第1秘密情報と、第2秘密情報と、第3秘密情報とを生成してもよい。
また、図8(b)は、秘密情報処理部333の固有情報の復元処理の一例を示している。秘密情報処理部333は、秘密情報の生成処理の逆変換を行うことで、固有情報を復元する。秘密情報処理部333は、例えば、第1秘密情報と、第2秘密情報と、第3秘密情報とが、固有情報を3つに分割したものである場合には、第1秘密情報と、第2秘密情報と、第3秘密情報とを結合して固有情報を復元する。
秘密情報記憶部322は、図9に示すように、固有情報と、秘密情報処理部333が生成した第1秘密情報と、第2秘密情報と、第3秘密情報とを対応付けて記憶する。
図9は、本実施形態による秘密情報記憶部322のデータ例を示す図である。
図9に示すように、秘密情報記憶部322は、例えば、「利用者ID」と、「固有情報」と、「第1秘密情報」と、「第2秘密情報」と、「第3秘密情報」とを対応付けて記憶する。
図9に示す例では、「利用者ID」が“XXX_YYYY”に対応する「固有情報」が“123456789ABC”であり、「第1秘密情報」が“147A”であまた、「第2秘密情報」が“258B”であり、「第3秘密情報」が“369C”であることを示している。なお、秘密情報記憶部322は、端末登録処理中の固有情報と、第1秘密情報と、第2秘密情報と、第3秘密情報とを記憶し、端末登録処理が完了した場合に、これらの情報が削除されるようにしてもよい。
追加端末登録部332b(登録部の一例)は、基本的には、第2の実施形態の追加端末登録部332aと同様であるが、固有情報及び秘密情報に関する処理が追加されている点が、第2の実施形態と異なる。追加端末登録部332bは、利用者に対応する固有情報を生成し、秘密情報処理部333に、当該固有情報に基づいて、第1秘密情報と、第2秘密情報と、第3秘密情報とを生成させる。追加端末登録部332bは、秘密情報処理部333が生成した第1秘密情報と、第2秘密情報と、第3秘密情報とを取得し、図9に示すように、固有情報と、生成した第1秘密情報と、第2秘密情報と、第3秘密情報とを対応付けて秘密情報記憶部322に記憶させる。
また、追加端末登録部332bは、生成した第1秘密情報を、NW通信部31を介して、端末装置10bに送信する。また、追加端末登録部332bは、生成した第1秘密情報及び端末装置10aの公開鍵PK1を含む追加登録処理依頼を、端末装置20bに送信する。
また、追加端末登録部332bは、端末装置20bから受信した登録情報と、端末装置20bから受信した認証情報(第2認証情報)に含まれる登録情報とが一致する場合、且つ、認証情報に含まれる第1秘密情報と、端末装置20bから登録情報に付加されて送信された第2秘密情報と、第3秘密情報とに基づいて復元した情報が、秘密情報生成ステップにおいて生成された固有情報と一致する場合に、登録情報に含まれる公開鍵PK2を登録する。
すなわち、追加端末登録部332bは、端末装置10bから受信した第1秘密情報と、端末装置20bから受信した第2秘密情報と、秘密情報記憶部322が記憶する第3秘密情報とから、固有情報を復元する復元処理を秘密情報処理部333に実行させる。追加端末登録部332bは、復元された固有情報を秘密情報処理部333から取得し、復元された固有情報と、秘密情報記憶部322が記憶する固有情報とが一致するか否かを判定する。追加端末登録部332bは、固有情報が一致する場合、且つ、端末装置20bから受信した登録情報と、端末装置20bから受信した認証情報(第2認証情報)に含まれる登録情報とが一致する場合に、登録情報を登録情報記憶部321に記憶させる。
次に、図10を参照して、本実施形態による認証システム1bの動作について説明する。
図10は、本実施形態による認証システム1bの端末登録処理の一例を示す図である。
図10に示す例では、端末装置10bが予めサーバ装置30bに登録されており、未登録の端末装置20bを新たにサーバ装置30bに登録させる場合の処理である。
図10において、ステップS301からステップS306の処理は、図6に示すステップS201からステップS206の処理と同様であるため、ここではその説明を省略する。
ステップS307において、サーバ装置30bは、固有情報を生成する。すなわち、サーバ装置30bの追加端末登録部332bは、利用者に対応する固有情報を、例えば、利用者IDなどの利用者情報に登録時刻、登録日付などの情報を付加する、又は、乱数などにより生成する。
次に、サーバ装置30bは、第1秘密情報と、第2秘密情報と、第3秘密情報とを生成する(ステップS308)。すなわち、追加端末登録部332bは、生成した固有情報に基づいて、第1秘密情報と、第2秘密情報と、第3秘密情報とを秘密情報処理部333に生成させる。追加端末登録部332bは、固有情報と、第1秘密情報と、第2秘密情報と、第3秘密情報とを対応付けて、秘密情報記憶部322に記憶させる。
次に、サーバ装置30bは、第1秘密情報を端末装置10bに送信する(ステップS309)。すなわち、追加端末登録部332bは、秘密情報処理部333に生成させた第1秘密情報を、NW通信部31を介して、端末装置10bに送信する。
次に、サーバ装置30bは、公開鍵PK1と、第2秘密情報とを含む追加登録処理依頼を、端末装置20bに送信する(ステップS310)。すなわち、追加端末登録部332bは、秘密情報処理部333に生成させた第2秘密情報と、端末装置10bの公開鍵PK1とを含む追加登録処理依頼を生成し、当該追加登録処理依頼を、NW通信部31を介して、端末装置20bに送信する。なお、サーバ装置30bは、追加登録処理依頼を、例えば、SMS(Short Message Service)やPush技術を用いて端末装置20bに送信してもよい。
続くステップS311からステップS313の処理は、図6に示すステップS208からステップS210の処理と同様であるため、ここではその説明を省略する。
ステップS314において、端末装置20bは、登録情報及び第2秘密情報をサーバ装置30bに送信する。すなわち、登録処理部262bは、公開鍵PK2を含む登録情報に第2秘密情報を付加して、NW通信部21を介して、サーバ装置30bに送信する。
続くステップS315からステップS317の処理は、図6に示すステップS212からステップS214の処理と同様であるため、ここではその説明を省略する。
ステップS318において、端末装置10bは、登録情報及び第1秘密情報から秘密鍵SK1により署名情報を生成する。すなわち、登録処理部162bは、復号(復号処理)された登録情報及び第1秘密情報から秘密鍵SK1に基づく署名情報を、セキュア処理部15に生成させる。セキュア処理部15は、例えば、所定のハッシュ関数により、登録情報及び第1秘密情報からハッシュ情報を生成し、セキュア記憶部151が記憶する秘密鍵SK1を用いて、登録情報及び第1秘密情報の署名情報を生成する。
次に、端末装置10bは、認証情報をサーバ装置30bに送信する(ステップS319)。すなわち、登録処理部162bは、セキュア処理部15から署名情報を取得し、取得した署名情報と登録情報と、第1秘密情報とを含む認証情報(第2認証情報)を生成する。そして、登録処理部162bは、生成した認証情報を、NW通信部11を介して、サーバ装置30bに送信する。
次に、サーバ装置30bは、受信した第1秘密情報及び第2秘密情報と、第3秘密情報とから固有情報を復元する(ステップS320)。すなわち、追加端末登録部332bは、端末装置10bから受信した第1秘密情報と、端末装置20bから受信した第2秘密情報と、秘密情報記憶部322が記憶する第3秘密情報とから、固有情報を復元する復元処理を秘密情報処理部333に実行させる。
次に、サーバ装置30bは、固有情報が一致するか否かを判定する(ステップS321)。すなわち、追加端末登録部332bは、復元された固有情報と、秘密情報記憶部322が記憶する固有情報とが一致するか否かを判定する。追加端末登録部332bは、固有情報が一致する場合(ステップS321:YES)に、処理をステップS322に進める。また、追加端末登録部332bは、固有情報が一致しない場合(ステップS321:NO)に、端末装置20bを登録せずに、端末登録処理を終了する。
続く、ステップS322からステップS324の処理は、図6に示すステップS217からステップS219の処理と同様であるため、ここではその説明を省略する。
なお、図10に示す例において、ステップS301からステップS303の処理が、端末認証要求ステップの処理に対応し、ステップS304及びステップS305の処理が、端末認証ステップの処理に対応する。また、ステップS307及びステップS308の処理が、秘密情報生成ステップの処理に対応し、ステップS311からステップS314の処理が、登録要求ステップの処理に対応し、ステップS315及びステップS316の処理が、第1送信ステップの処理に対応する。また、ステップS317からステップS319の処理が、第2送信ステップの処理に対応し、ステップS320からステップS324の処理が、登録ステップの処理に対応する。
以上説明したように、本実施形態による端末登録方法は、サーバ装置30bが、利用者に対応する固有情報に基づいて、第1秘密情報と、第2秘密情報と、第3秘密情報とを生成する秘密情報生成ステップを含んでいる。登録要求ステップにおいて、端末装置20bが、サーバ装置30bから取得した第2秘密情報を登録情報に付加してサーバ装置30bに送信する。第2送信ステップにおいて、端末装置10bが、復号処理された登録情報に、サーバ装置30bから取得した第1秘密情報を含む第2認証情報をサーバ装置30bに送信する。そして、登録ステップにおいて、サーバ装置30bが、端末装置20bから受信した登録情報と、端末装置20bから受信した第2認証情報に含まれる登録情報とが一致する場合、且つ、第2認証情報に含まれる第1秘密情報と、端末装置20bから登録情報に付加されて送信された第2秘密情報と、第3秘密情報とに基づいて復元した情報が、秘密情報生成ステップにおいて生成された固有情報と一致する場合に、登録情報に含まれる公開鍵PK2を登録する。
これにより、本実施形態による端末登録方法では、第1秘密情報と、第2秘密情報と、第3秘密情報とを利用することで、サーバ装置30bと、端末装置10bと、端末装置20bとのそれぞれの正当性を確保することが可能になる。よって、本実施形態による端末登録方法は、端末装置20bを登録する際の脆弱性をさらに低減することができ、さらに安全性を向上させることができる。
なお、本発明は、上記の各実施形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲で変更可能である。
例えば、上記の各実施形態において、端末装置10(10a、10b)と、端末装置20(20a、20b)との間の通信を、NFCを用いて行う例を説明したがこれに限定されるものではない。例えば、端末装置10(10a、10b)と、端末装置20(20a、20b)との間の通信を、QRコード(登録商標)やバーコードなどの二次元コードを用いて行ってもよい。例えば、端末装置10が、端末装置20に追加登録処理依頼を送付する際に、表示部14に追加登録処理依頼を示す二次元コードを表示させて、端末装置20が撮像部(不図示)を用いて二次元コードを読み取って通信してもよい。また、端末装置20(20a、20b)が、端末装置10(10a、10b)に登録情報を送付する際に、表示部24に登録情報を示す二次元コードを表示させて、端末装置10(10a、10b)が撮像部(不図示)を用いて二次元コードを読み取って通信してもよい。また、二次元コードは、表示部14(24)の代わりに、プリンタなどに印刷して送信してもよい。
また、上記の各実施形態において、第2認証情報は、署名情報を含む例を説明したが、これに限定されるものではなく、端末装置10(10a、10b)は、例えば、登録情報(又は登録情報及び第1秘密情報)を、秘密鍵SK1により暗号化して、第2認証情報を生成するようにしてもよい。
また、上記の各実施形態において、サーバ装置30(30a、30b)は、1台の装置である例を説明したが、複数の装置(複数のサーバ装置)により構成されるようにしてもよい。
また、上記の各実施形態において、端末装置10(10a、10b)の利用者と、端末装置20(20a、20b)の利用者は、同一でなくてもよい。端末装置10(10a、10b)の利用者は、例えば、システムの管理者などであり、端末装置10(10a、10b)は、サーバ装置30(30a、30b)に登録済の端末装置であれば、システム管理用の端末装置であってもよい。
また、上記の第3の実施形態において、秘密情報に関する処理を第2の実施形態に追加した例を説明したが、第1の実施形態に対して同様に、秘密情報に関する処理するようにしてもよい。
また、上記の第3の実施形態において、サーバ装置30bは、第1秘密情報と、第2秘密情報と、第3秘密情報とを復元した固有情報が一致する場合に、登録情報を登録する例を説明したが、第1秘密情報及び第2秘密情報をそれぞれ比較し、一致する場合に、登録情報を登録するようにしてもよい。
なお、上述した認証システム1(1a、1b)が備える各構成は、内部に、コンピュータシステムを有している。そして、上述した認証システム1(1a、1b)が備える各構成の機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することにより上述した認証システム1(1a、1b)が備える各構成における処理を行ってもよい。ここで、「記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行する」とは、コンピュータシステムにプログラムをインストールすることを含む。ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものとする。
また、「コンピュータシステム」は、インターネットやWAN、LAN、専用回線等の通信回線を含むネットワークを介して接続された複数のコンピュータ装置を含んでもよい。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。このように、プログラムを記憶した記録媒体は、CD−ROM等の非一過性の記録媒体であってもよい。
また、記録媒体には、当該プログラムを配信するために配信サーバからアクセス可能な内部又は外部に設けられた記録媒体も含まれる。なお、プログラムを複数に分割し、それぞれ異なるタイミングでダウンロードした後に認証システム1(1a、1b)が備える各構成で合体される構成や、分割されたプログラムのそれぞれを配信する配信サーバが異なっていてもよい。さらに「コンピュータ読み取り可能な記録媒体」とは、ネットワークを介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。また、上記プログラムは、上述した機能の一部を実現するためのものであってもよい。さらに、上述した機能をコンピュータシステムに既に記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。
また、上述した機能の一部又は全部を、LSI(Large Scale Integration)等の集積回路として実現してもよい。上述した各機能は個別にプロセッサ化してもよいし、一部、又は全部を集積してプロセッサ化してもよい。また、集積回路化の手法はLSIに限らず専用回路、又は汎用プロセッサで実現してもよい。また、半導体技術の進歩によりLSIに代替する集積回路化の技術が出現した場合、当該技術による集積回路を用いてもよい。
1、1a、1b 認証システム
10、10a、10b、20、20a、20b 端末装置
11、21、31 NW通信部
12、22 NFC通信部
13、23 入力部
14、24 表示部
15、25 セキュア処理部
16、16a、16b、26、26a、26b 端末制御部
32、32a サーバ記憶部
33、33a、33b サーバ制御部
151、251 セキュア記憶部
161、261 端末認証要求部
162、162a、162b、262、262a、262b 登録処理部
321 登録情報記憶部
322 秘密情報記憶部
331 認証情報検証部
332、332a、332b 追加端末登録部
333 秘密情報処理部
NW1 ネットワーク

Claims (8)

  1. サーバ装置に登録済の第1端末装置が、第1秘密鍵に基づく第1認証情報を生成し、前記第1秘密鍵に対応する第1公開鍵が登録されている前記サーバ装置に送信する端末認証要求ステップと、
    前記サーバ装置が、前記第1公開鍵と、前記第1認証情報とに基づいて、前記第1端末装置の正当性を検証する端末認証ステップと、
    前記サーバ装置に未登録の第2端末装置が、第2秘密鍵及び当該第2秘密鍵に対応する第2公開鍵を生成し、生成した前記第2公開鍵を少なくとも含む登録情報を前記サーバ装置に送信する登録要求ステップと、
    前記第2端末装置が、所定の暗号鍵に基づいて、前記登録情報を暗号処理し、当該暗号処理された前記登録情報を前記第1端末装置に送信する第1送信ステップと、
    前記第1端末装置が、前記暗号処理された前記登録情報を、前記所定の暗号鍵に対応する所定の復号鍵に基づいて復号処理し、当該復号処理された前記登録情報を含む第2認証情報を生成し、生成した前記第2認証情報を前記サーバ装置に送信する第2送信ステップと、
    前記サーバ装置が、前記第2端末装置から受信した前記登録情報と、前記第1端末装置から受信した前記第2認証情報に含まれる前記登録情報とが一致する場合に、前記登録情報に含まれる前記第2公開鍵を登録する登録ステップと
    を含むことを特徴とする端末登録方法。
  2. 前記所定の暗号鍵は、前記第1端末装置の利用者から前記第1端末装置が取得した個人識別情報を含む情報であり、
    前記所定の復号鍵は、前記所定の暗号鍵と等しい情報であり、前記利用者から前記第2端末装置が取得した個人識別情報を含む復号鍵である
    ことを特徴とする請求項1に記載の端末登録方法。
  3. 前記所定の暗号鍵は、前記サーバ装置から前記第1端末装置が取得した前記第1公開鍵であり、
    前記所定の復号鍵は、前記第1秘密鍵である
    ことを特徴とする請求項1に記載の端末登録方法。
  4. 前記第2送信ステップにおいて、前記第1端末装置が、復号処理された前記登録情報から前記第1秘密鍵に基づく署名情報を生成し、生成した当該署名情報と前記登録情報とを含む前記第2認証情報を生成し、
    前記登録ステップにおいて、前記サーバ装置が、前記第1端末装置から受信した前記第2認証情報に含まれる署名情報の正当性を、前記第1公開鍵に基づいて検証し、前記署名情報が正当であり、且つ、前記第2端末装置から受信した前記登録情報と、前記第2認証情報に含まれる前記登録情報とが一致する場合に、前記登録情報に含まれる前記第2公開鍵を登録する
    ことを特徴とする請求項1から3のいずれか一項に記載の端末登録方法。
  5. 前記サーバ装置が、利用者に対応する固有情報に基づいて、第1秘密情報と、第2秘密情報と、第3秘密情報とを生成する秘密情報生成ステップを含み、
    前記登録要求ステップにおいて、前記第2端末装置が、前記サーバ装置から取得した前記第2秘密情報を前記登録情報に付加して前記サーバ装置に送信し、
    前記第2送信ステップにおいて、前記第1端末装置が、前記復号処理された前記登録情報に、前記サーバ装置から取得した前記第1秘密情報を含む前記第2認証情報を前記サーバ装置に送信し、
    前記登録ステップにおいて、前記サーバ装置が、前記第2端末装置から受信した前記登録情報と、前記第2端末装置から受信した前記第2認証情報に含まれる前記登録情報とが一致する場合、且つ、前記第2認証情報に含まれる前記第1秘密情報と、前記第2端末装置から前記登録情報に付加されて送信された前記第2秘密情報と、前記第3秘密情報とに基づいて復元した情報が、前記秘密情報生成ステップにおいて生成された前記固有情報と一致する場合に、前記登録情報に含まれる前記第2公開鍵を登録する
    ことを特徴とする請求項1から4のいずれか一項に記載の端末登録方法。
  6. 前記登録要求ステップにおいて、前記第2端末装置が、前記登録情報を暗号処理して前記サーバ装置に送信し、
    前記登録ステップにおいて、前記サーバ装置が、前記第2端末装置から受信した暗号処理された前記登録情報を復号処理した前記登録情報と、前記第1端末装置から受信した前記第2認証情報に含まれる前記登録情報とが一致する場合に、前記登録情報に含まれる前記第2公開鍵を登録する
    ことを特徴とする請求項1から5のいずれか一項に記載の端末登録方法。
  7. 前記端末認証要求ステップにおいて、前記第1端末装置が、前記第1端末装置の利用者を認証した認証結果を、前記第1秘密鍵に基づいて暗号処理して、前記第1認証情報を生成する
    ことを特徴とする請求項1から6のいずれか一項に記載の端末登録方法。
  8. サーバ装置と、前記サーバ装置に登録済の第1端末装置と、前記サーバ装置に未登録の第2端末装置とを備え、
    前記第2端末装置は、
    第2秘密鍵及び当該第2秘密鍵に対応する第2公開鍵を生成し、生成した前記第2公開鍵を少なくとも含む登録情報を前記サーバ装置に送信する登録要求部と、
    所定の暗号鍵に基づいて、前記登録情報を暗号処理し、当該暗号処理された前記登録情報を前記第1端末装置に送信する第1送信部と
    を備え、
    前記第1端末装置は、
    第1秘密鍵に基づく第1認証情報を生成し、前記第1秘密鍵に対応する第1公開鍵が登録されている前記サーバ装置に送信する端末認証要求部と、
    前記暗号処理された前記登録情報を、前記所定の暗号鍵に対応する所定の復号鍵に基づいて復号処理し、当該復号処理された前記登録情報を含む第2認証情報を生成し、生成した前記第2認証情報を前記サーバ装置に送信する第2送信部と
    を備え、
    前記サーバ装置は、
    前記第1公開鍵と、前記第1認証情報とに基づいて、前記第1端末装置の正当性を検証する端末認証部と、
    前記第2端末装置から受信した前記登録情報と、前記第1端末装置から受信した前記第2認証情報に含まれる前記登録情報とが一致する場合に、前記登録情報に含まれる前記第2公開鍵を登録する登録部と
    を備えることを特徴とする端末登録システム。
JP2016128847A 2016-06-29 2016-06-29 端末登録方法、及び端末登録システム Active JP6701011B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016128847A JP6701011B2 (ja) 2016-06-29 2016-06-29 端末登録方法、及び端末登録システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016128847A JP6701011B2 (ja) 2016-06-29 2016-06-29 端末登録方法、及び端末登録システム

Publications (2)

Publication Number Publication Date
JP2018006896A true JP2018006896A (ja) 2018-01-11
JP6701011B2 JP6701011B2 (ja) 2020-05-27

Family

ID=60946459

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016128847A Active JP6701011B2 (ja) 2016-06-29 2016-06-29 端末登録方法、及び端末登録システム

Country Status (1)

Country Link
JP (1) JP6701011B2 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019142502A1 (ja) 2018-01-19 2019-07-25 株式会社日立製作所 負極、半二次電池、二次電池
JP2021057852A (ja) * 2019-10-02 2021-04-08 株式会社日立製作所 認証サーバ、認証システム、及び認証方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002297548A (ja) * 2001-03-30 2002-10-11 Matsushita Electric Ind Co Ltd 端末登録システムとそれを構成する装置及び方法
US20080130879A1 (en) * 2006-10-23 2008-06-05 Valimo Wireless Oy Method and system for a secure PKI (Public Key Infrastructure) key registration process on mobile environment
JP2012247858A (ja) * 2011-05-25 2012-12-13 Yahoo Japan Corp 認証システム及び認証方法
JP2013125413A (ja) * 2011-12-14 2013-06-24 Secom Co Ltd 利用者登録システム及び登録サーバ
JP2014090372A (ja) * 2012-10-31 2014-05-15 Sony Corp 情報処理装置、情報処理システム、情報処理方法及びコンピュータプログラム
JP2015114714A (ja) * 2013-12-09 2015-06-22 日本電信電話株式会社 認証方法、認証システム、Webサーバ、認証プログラム及び記録媒体

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002297548A (ja) * 2001-03-30 2002-10-11 Matsushita Electric Ind Co Ltd 端末登録システムとそれを構成する装置及び方法
US20080130879A1 (en) * 2006-10-23 2008-06-05 Valimo Wireless Oy Method and system for a secure PKI (Public Key Infrastructure) key registration process on mobile environment
JP2012247858A (ja) * 2011-05-25 2012-12-13 Yahoo Japan Corp 認証システム及び認証方法
JP2013125413A (ja) * 2011-12-14 2013-06-24 Secom Co Ltd 利用者登録システム及び登録サーバ
JP2014090372A (ja) * 2012-10-31 2014-05-15 Sony Corp 情報処理装置、情報処理システム、情報処理方法及びコンピュータプログラム
US20140365771A1 (en) * 2012-10-31 2014-12-11 Sony Corporation Information processing apparatus, information processing system, information processing method and computer program
JP2015114714A (ja) * 2013-12-09 2015-06-22 日本電信電話株式会社 認証方法、認証システム、Webサーバ、認証プログラム及び記録媒体

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019142502A1 (ja) 2018-01-19 2019-07-25 株式会社日立製作所 負極、半二次電池、二次電池
JP2021057852A (ja) * 2019-10-02 2021-04-08 株式会社日立製作所 認証サーバ、認証システム、及び認証方法
JP7344071B2 (ja) 2019-10-02 2023-09-13 株式会社日立製作所 認証システム及び認証方法

Also Published As

Publication number Publication date
JP6701011B2 (ja) 2020-05-27

Similar Documents

Publication Publication Date Title
ES2687191T3 (es) Método de autentificación de red para transacciones electrónicas seguras
US20160104154A1 (en) Securing host card emulation credentials
US10848304B2 (en) Public-private key pair protected password manager
KR20180117715A (ko) 개선된 보안성을 갖는 사용자 인증을 위한 방법 및 시스템
US11329824B2 (en) System and method for authenticating a transaction
JP2015130633A (ja) 認証システム
CN104065641A (zh) 用于在应用之间执行认证的方法和装置
CN111316596B (zh) 具有身份验证的加密芯片
KR20180069669A (ko) 바이오정보를 이용한 패스워드 없는 전자서명 시스템
JP2014006691A (ja) デバイス認証方法及びシステム
KR20160085143A (ko) 익명 서비스 제공 방법 및 사용자 정보 관리 방법 및 이를 위한 시스템
KR20170124953A (ko) 암호화된 otp를 모바일폰에서 지문 등을 이용하여 복호화하여 사용자 인증을 자동화하는 방법과 그 시스템
CN110830471A (zh) Otp验证方法、服务器、客户端及计算机可读存储介质
EP3843323A1 (en) Computation device, computation method, computation program, and computation system
CN109740319B (zh) 数字身份验证方法及服务器
JP6701011B2 (ja) 端末登録方法、及び端末登録システム
KR101451638B1 (ko) 본인 확인 및 도용 방지 시스템 및 방법
KR101933090B1 (ko) 전자 서명 제공 방법 및 그 서버
CN110968878A (zh) 信息传输方法、系统、电子设备及可读介质
KR20190048422A (ko) 인증 시스템 및 방법
KR102445379B1 (ko) 서버 장치의 동작 방법, 단말의 동작 방법 및 서버 장치
US11343078B2 (en) System and method for secure input at a remote service
KR101298216B1 (ko) 복수 카테고리 인증 시스템 및 방법
KR101954303B1 (ko) Rf 패드와 cat 단말 간의 상호 인증 방법
KR20210126944A (ko) 비밀정보의 공유 방법

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190419

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200228

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200407

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200501

R150 Certificate of patent or registration of utility model

Ref document number: 6701011

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250