JP2019140423A - 端末登録システムおよび端末登録方法 - Google Patents

端末登録システムおよび端末登録方法 Download PDF

Info

Publication number
JP2019140423A
JP2019140423A JP2018018867A JP2018018867A JP2019140423A JP 2019140423 A JP2019140423 A JP 2019140423A JP 2018018867 A JP2018018867 A JP 2018018867A JP 2018018867 A JP2018018867 A JP 2018018867A JP 2019140423 A JP2019140423 A JP 2019140423A
Authority
JP
Japan
Prior art keywords
terminal
registration
service site
fido
authenticator
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018018867A
Other languages
English (en)
Other versions
JP6600369B2 (ja
Inventor
豪生 西村
Hideo Nishimura
豪生 西村
山下 高生
Takao Yamashita
高生 山下
康彦 吉村
Yasuhiko Yoshimura
康彦 吉村
聖 古川
Sei Furukawa
聖 古川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2018018867A priority Critical patent/JP6600369B2/ja
Priority to US16/964,806 priority patent/US11483159B2/en
Priority to PCT/JP2019/004088 priority patent/WO2019156081A1/ja
Publication of JP2019140423A publication Critical patent/JP2019140423A/ja
Application granted granted Critical
Publication of JP6600369B2 publication Critical patent/JP6600369B2/ja
Priority to US17/824,488 priority patent/US11917076B2/en
Priority to US17/824,670 priority patent/US20220286297A1/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • G06F21/335User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • General Health & Medical Sciences (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Telephonic Communication Services (AREA)

Abstract

【課題】複数のサービスサイトへの新規端末の登録に際し、ユーザ利便性を向上させる端末登録システムおよび端末登録方法を提供する。【解決手段】登録済み端末1は、秘密鍵とサービスサイトにアクセスするためのURLとを紐付けるサービスサイト一覧情報110をAuthenticator10が備える。Registration Manager100は、登録済み端末1のAuthenticator10からサービスサイト一覧情報110を取得する。そして、Registration Manager100は、取得したサービスサイト一覧情報110をもとに、登録済み端末1の秘密鍵を用いて登録対象のサービスサイトへFIDO認証し、新規端末2で新規に生成した暗号鍵のRegistrationを行う。【選択図】図2

Description

本発明は、端末登録システムおよび端末登録方法に関する。
パスワード認証に替わる利用者認証技術として、パスワードレス認証のデファクト標準技術(FIDO:Fast IDentity Online)という、公開鍵暗号を用いたWebサービスの利用者認証技術がある(非特許文献1参照)。
FIDOでは、サービス毎に異なる公開鍵・秘密鍵ペアを生成し、公開鍵をサービスサイト側に配置して、秘密鍵を端末内に閉じ込める。秘密鍵の利用(チャレンジ・レスポンス認証における署名)は端末上で生体認証を行うことが前提となっており、かつ、秘密鍵の利用はAuthenticator内で行われ、端末外に秘密鍵が出ていくことはないことからセキュリティが高い。
FIDO認証を利用するためには、事前にサービスサイトに対して端末のRegistrationを行い、アカウントにその端末の公開鍵を紐付けておく必要がある。標準技術においてRegistrationは、FIDO以外の認証方法でアカウントにログインした上で実行することが想定されている。
サービス事業者にとって複数の認証手段を用意するのは運用負担が大きく、セキュリティホールにもなり得る。そのため、アカウント作成のタイミング等に端末のRegistrationを行った後には、FIDOのみを唯一の認証とすることが考えられる。このような環境で、アカウントに異なる別の端末を紐付けるユースケースを考える。
図9は、標準技術(FIDO)の特徴を説明する図である。
図9に示すように、端末1および端末2は、生体認証等でアクセス制御される。端末1および端末2と、サービスサイトA21およびサービスサイトB22とは、FIDOプロトコルで認証される。利用者は端末1を使ってサービスサイトA21とサービスサイトB22にアクセスし、端末2を使ってサービスサイトA21とサービスサイトB22にアクセスしている。
サービスサイトA21およびサービスサイトB22は、端末毎に個別の鍵を登録する。また、端末1および端末2は、サイト毎に個別の鍵ペアを生成する。
サービスサイトA21には公開鍵1−Aと2−Aが、サービスサイトB22には公開鍵1−Bと2−Bとが登録済みである。
端末1のAuthenticator10(セキュア領域)には、公開鍵1−Aとペアになる秘密鍵1−Aと、公開鍵1−Bとペアになる秘密鍵1−Bとが格納されている。
端末2のAuthenticator10(セキュア領域)には、公開鍵2−Aとペアになる秘密鍵2−Aと、公開鍵2−Bとペアになる秘密鍵2−Bとが格納されている。
図10は、標準技術(FIDO)において、新規端末の登録を説明する図である。図10における端末2は、端末1とは別に新しく追加される端末(以下、新規端末2という)である。新規端末2は、端末の追加、変更(例えば、スマートフォンとタブレット端末の2台持ち、端末の機種変更)によって生じる。新規端末2でFIDO認証を利用するためには、事前にサービスサイトに対して端末のRegistrationを行い、アカウントにその端末の公開鍵を紐付けておく必要がある。
図10に示すように、新規端末2を利用する場合、新規端末2のAuthenticator10内には鍵がないことから、サービス毎に再度鍵ペアの生成・登録を行う必要がある。
端末外部のAuthenticatorを利用してFIDO認証を行うためのプロトコルとしてCTAP(Client To Authenticator Protocol)が規定されている(非特許文献2参照)。
CTAPを利用することで、登録済み端末(図10の端末1)の秘密鍵を用いてFIDO認証を行い、ログインした上で、新規端末(図10の端末2)の鍵のRegistrationを行う方法として、以下の手法1と手法2が考えられる。
図11は、CTAPを用いた新規端末の鍵のRegistrationの手法1を説明する図である。なお、図11の円筒形状で表記されるCTAPは、CTAPの利用を示し、円筒形状で表記されるSessionは、通信経路でSessionが確立していることを示す。
手順1:新規端末2で登録対象のサービスサイトにアクセスする。
手順2:新規端末2は、端末1を外部Authenticatorとして利用する(CTAPを用いる)ことで、登録済みの秘密鍵によってFIDO認証を行ってログインする。
手順3:サービスサイト(サービスサイトA21)と新規端末2間で通信セッションが確立する。
手順4:確立した通信セッション経由で新規端末2自身のAuthenticatorの鍵をRegistrationする。
図12は、CTAPを用いた新規端末の鍵のRegistrationの手法2を説明する図である。
手順1:端末1で登録対象のサービスサイト(サービスサイトA21)にアクセスする。
手順2:端末1自身のAuthenticator内の登録済みの秘密鍵によってFIDO認証を行ってログインする。
手順3:サービスサイトと端末1間で通信セッションが確立
手順4:端末1は、新規端末2を外部Authenticatorとして利用(CTAPを用いる)し、外部Authenticator(新規端末2)の鍵をRegistrationする。
FIDO Alliance,"SIMPLER, STRONGER AUTHENTICATION", FIDO is the World’s Largest Ecosystem for Standards-Based, Interoperable Authentication [online],[平成30年1月20日検索],インターネット 〈 https://fidoalliance.org/〉 R. Lindemann, et al., FIDO 2.0: Client To Authenticator Protocol, FIDO Alliance Review Draft, 2016.[平成30年1月20日検索],インターネット 〈 URL :https://fidoalliance.org/specs/fido-v2.0-rd-20161004/fido-client-to-authenticator-protocol-v2.0-rd-20161004.html〉 西村ら, "同一所有者に属する端末間のユーザ認証用秘密鍵のセキュアな共有に関する一検討", 電子情報通信学会 技術研究報告, IN2016-172, pp.449-454, 2017. A. Takakuwa, et al., "The Transfer Access Protocol - Moving to New Authenticators in the FIDO Ecosystem", Technical Report UW-CSE-17-06-01, The University of Washington, 2017.
従来技術であるCTAPを用いた手法では、新規端末(図11および図12の新規端末2)を登録する対象のサービスサイトに個々にアクセスし、登録処理を開始することが前提となる。
登録済み端末(図11および図12の端末1)で多数のサービスサイトを利用している場合、端末2を新規に導入したタイミングで、それら全てのサービスサイトについて利用可能な状態にすることが求められる。
図13は、多数のサービスサイトについて利用可能な状態にする際の課題を説明する図である。図13は、図11の手法1の例を示したが、図12の手法2についても同様である。
図13に示すように、登録済み端末1は、多数のサービスサイト(サービスサイトA21、サービスサイトB22、サービスサイトC23、およびサービスサイトD24)を利用している。端末1のAuthenticator10(セキュア領域)には、公開鍵1−Aとペアになる秘密鍵1−Aと、公開鍵1−Bとペアになる秘密鍵1−Bと、公開鍵1−Cとペアになる秘密鍵1−Cと、公開鍵1−Dとペアになる秘密鍵1−Dと、が格納されている。
端末2を新規に導入したタイミングで、それら全てのサービスサイトを使えるようにしたい要請がある。このため、ユーザが対象サイトへ個々にアクセス(例えばURL入力、検索サイト経由)してRegistrationを開始する。しかしながら、従来手法には下記のような問題がある。
(1)ユーザが個々のサービスサイトに能動的にアクセス(URL入力、検索エンジン経由でのページ遷移等)し、Registrationを行う必要がある。このため、サービスサイトの数に応じて作業負担が増すという課題がある。
(2)登録済み端末1で利用中の全サービスサイトについて漏れなく新規端末2のRegistrationを行う必要がある。このため、ユーザが利用中のサービスサイト全てを把握しておく負担があるという課題がある。
このような背景を鑑みて本発明がなされたのであり、本発明は、複数のサービスサイトへの新規端末の登録に際し、ユーザ利便性を向上させる端末登録システムおよび端末登録方法を提供することを課題とする。
前記した課題を解決するため、請求項1に記載の発明は、秘密鍵を用いてFIDO認証する複数の端末と、前記端末が利用するサービスサイトとが通信可能に接続され、登録済み端末を用いて、複数の前記サービスサイトに対する新規端末を登録する端末登録システムであって、前記登録済み端末は、前記秘密鍵と前記サービスサイトにアクセスするためのURLとを紐付けるサービスサイト一覧情報をAuthenticatorが備え、前記サービスサイト一覧情報を取得し、当該サービスサイト一覧情報をもとに、前記登録済み端末の秘密鍵を用いて登録対象のサービスサイトへFIDO認証し、前記新規端末で新規に生成した暗号鍵のRegistrationを行う登録機能部を備えることを特徴とする端末登録システムとした。
また、請求項7に記載の発明は、秘密鍵を用いてFIDO認証する複数の端末と、前記端末が利用するサービスサイトとが通信可能に接続され、登録済み端末を用いて、複数の前記サービスサイトに対する新規端末を登録する端末登録システムの端末登録方法であって、前記登録済み端末は、前記秘密鍵と前記サービスサイトにアクセスするためのURLとを紐付けるサービスサイト一覧情報をAuthenticatorに有し、登録機能部は、前記サービスサイト一覧情報を取得し、当該サービスサイト一覧情報をもとに、前記登録済み端末の秘密鍵を用いて登録対象のサービスサイトへFIDO認証するステップと、前記新規端末で新規に生成した暗号鍵のRegistrationを行うステップと、を実行する端末登録方法とした。
このようにすることで、FIDO認証を行うサービスサイトにおいて、登録済み端末を用いて新規端末をRegistrationするユースケースを対象とする場合、登録機能部が取得したサービスサイト一覧情報をもとに、登録対象のサービスサイトに対して、自動的にアクセスを行ってRegistrationを行うので、複数のサービスサイトへのRegistrationに関するユーザ利便性を向上させることができる。また、ユーザは新規端末の利用開始時にRegistrationをしたいサービスサイトを管理する負担がない。さらに、サービスサイトが増えた時のユーザの作業負担が軽減される。
請求項2に記載の発明は、前記登録機能部が、前記登録済み端末側に配置され、前記登録済み端末の前記Authenticatorに登録されている全ての秘密鍵について、登録対象サービスサイトにログインし、前記新規端末をCTAPによって外部Authenticatorとして用い、Registrationを行うことを特徴とする請求項1に記載の端末登録システムとした。
このようにすることで、元々使っていた登録済み端末側に登録結果が表示されるので、ユーザは使いなれた登録済み端末側で登録結果を確認することができる。
請求項3に記載の発明は、前記登録機能部が、前記新規端末側に配置され、前記登録済み端末の前記Authenticatorからサービスサイト一覧情報を取得し、当該サービスサイト一覧情報をもとに、各サービスサイトについて、前記登録済み端末をCTAPによって外部Authenticatorとして用い、FIDO認証を行ってログインし、前記新規端末は、確立されたセッション上で、自身のAuthenticatorに関するRegistrationを行うことを特徴とする請求項1に記載の端末登録システムとした。
このようにすることで、新規端末側に登録結果が表示されるので、ユーザはいまから使いたい新規端末側で登録結果を確認することができる。
請求項4に記載の発明は、前記登録機能部が、前記登録済み端末および前記新規端末とは異なる外部装置に配置され、前記登録済み端末の前記Authenticatorからサービスサイト一覧情報を取得し、当該サービスサイト一覧情報をもとに、各サービスサイトについて、前記登録済み端末を外部Authenticatorとして用いてFIDO認証を行いログインした上で、前記新規端末を外部Authenticatorとして用い、新規にRegistrationを行うことを特徴とする請求項1に記載の端末登録システムとした。
このようにすることで、外部装置側に登録機能部が配置されるので、端末側の必要機能を最低限にした機能構成とすることができる。
請求項5に記載の発明は、前記登録機能部が、ユーザに対して、各サービスサイトへの登録進捗状況を通知することを特徴とする請求項1に記載の端末登録システムとした。
このようにすることで、ユーザはサービスサイトへの登録進捗状況(例えば対象サイト数、登録完了数、登録失敗)を確認することができる。また、失敗したサイトを明示することで、有効でないサイトを確認することができる。
請求項6に記載の発明は、前記登録機能部が、各サービスサイトへの登録が失敗した場合、所定回数のリトライを実行するリトライ制御を行うことを特徴とする請求項1に記載の端末登録システムとした。
このようにすることで、通信障害等によってあるサービスサイトへの登録が失敗した際にリトライにより接続される可能性を高めることができる。また、リトライ回数を設けることで、接続可能性の低い(無い)場合のアクセス時間を低減することができる。
本発明によれば、複数のサービスサイトへの新規端末の登録に際し、ユーザ利便性を向上させる端末登録システムおよび端末登録方法を提供することができる。
本発明の概要を示す図である。 本発明の第1の実施形態に係る端末登録システムを示す構成図である。 上記第1の実施形態に係る端末登録システムの端末登録方法を示すシーケンス図である。 本発明の第2の実施形態に係る端末登録システムを示す構成図である。 上記第2の実施形態に係る端末登録システムの端末登録方法を示すシーケンス図である。 本発明の第3の実施形態に係る端末登録システムを示す構成図である。 上記第3の実施形態に係る端末登録システムの端末登録方法を示すシーケンス図である。 リトライ制御・進捗状況通知を示すシーケンス図である。 標準技術(FIDO)の特徴を説明する図である。 標準技術(FIDO)において、新規端末の登録を説明する図である。 CTAPを用いた新規端末の鍵のRegistrationの手法1を説明する図である。 CTAPを用いた新規端末の鍵のRegistrationの手法2を説明する図である。 多数のサービスサイトについて利用可能な状態にする際の課題を説明する図である。 秘密鍵のセキュアな共有技術を説明する図であり、(a)は集中型共有方式による共有技術を示す図、(b)は分散型共有方式による共有技術を示す図である。 再登録の利便性向上技術を説明する図である。
以下、図面を参照して本発明を実施するための形態(以下、「本実施形態」という)における端末登録システム等について説明する。
[システム構成と処理概要]
まず、本発明と既存技術との関係性について説明する。
<秘密鍵のセキュアな共有技術>
図14は、秘密鍵のセキュアな共有技術を説明する図であり、図14(a)は集中型共有方式による共有技術を示し、図14(b)は分散型共有方式による共有技術を示す。
本人確認情報に基づいて秘密鍵を端末間でセキュアに共有する技術が提案されている(非特許文献3参照)。
図14(a)に示すように、集中型共有方式では、端末1,2は、キーストア30に認証鍵を保管しておく。端末1,2は、本人確認情報をもとにアクセス制御を行ってキーストア30にアクセスし、キーストア30に保管された同一の鍵を共用する。
図14(b)に示すように、分散型共有方式では、登録済み端末1と新規端末2の鍵共有を行っておく。例えば、登録済み端末1は、本人確認情報をもとに新規端末2との間で所有者一致を確認し、所有者一致が確認できた場合には登録済み端末1の認証鍵を新規端末2に複製する。
上記集中型共有方式および上記分散型共有方式のいずれの共有技術でも、新端末のRegistrationを新たに行わずともFIDO認証を利用することができる。しかし、FIDO仕様は、秘密鍵を端末に閉じ込めることを前提としており、前記いずれかの共有技術を利用するためには、FIDO標準仕様に準拠した端末をそのまま利用できず、独自に拡張した端末を利用する必要がある。
<再登録の利便性向上技術>
図15は、再登録の利便性向上技術を説明する図である。
図15に示すように、登録済み端末1の秘密鍵で作成した署名を新規端末2に事前に付与しておく。これにより、新規端末2のRegistrationを任意のタイミングかつユーザ作業なしで実施可能とする技術が提案されている(非特許文献4参照)。
本技術により、ユーザは、新規端末2の初回時に能動的に全てのサービスサイト21にアクセスしてRegistration作業を行っておかずとも、サービスサイト21への初回アクセス時に自動的に(ユーザ作業なしに)Registrationが行われる。このため、サービスサイト数に比例したユーザの作業負担がない。しかし、本技術は、自動でRegistrationを行うためにFIDOプロトコルに拡張が必要であり、また、新規端末2上で署名情報を管理する機能追加が必要である。本技術は、上記図14の場合と同様に、FIDO標準仕様に準拠した端末をそのまま利用できず、独自に拡張した端末を利用する必要がある。
本発明は、登録済み端末を用いた複数のサービスサイトに対する新規端末の登録に際し、ユーザ利便性を向上させるものである。
[システム構成と処理概要]
図1は、本発明の概要を示す図である。
図1に示すように、端末登録システムは、登録済み端末1のAuthenticator10が保管するサービスサイト一覧情報110と、複数のサービスサイトへの新規端末2のRegistrationを実行する機能部であるRegistration Manager100(登録機能部)と、を備える。
サービスサイト一覧情報110は、秘密鍵と対象サイトのURL(Uniform Resource Locator)を紐付けて管理するためのURL一覧である。サービスサイト一覧情報110は、登録済み端末1のAuthenticator10(認証装置)に保管される。
Registration Manager100は、下記のように登録済み端末1と新規端末2との双方を制御する。
Registration Manager100は、登録済み端末1から、登録済み端末1のAuthenticator10が保管しているサービスサイト一覧情報110を取得する(図1の符号a参照)。
Registration Manager100は、登録済み端末1の秘密鍵を用いて登録対象のサービスサイトへFIDO認証し、新規端末2で新規に生成した暗号鍵のRegistrationを行う。Registration Manager100は、上記Registration処理を、サービスサイト一覧情報110に保管されたURLの全サイト分、自動実行する。
例えば、Registration Manager100は、取得したサービスサイト一覧情報110をもとに、全サービスサイト(サービスサイトA21,サービスサイトB22,…)に対して、登録済み端末1を用いた新規端末2の登録を自動実行する(図1の符号b参照)。
ここで、Registration Manager100は、ユーザに対する登録進捗状況の表示や、通信障害等による失敗時にリトライ制御なども実行する(図8で後記する)。図1の例では、Registration Manager100は、登録済み端末1の秘密鍵1−Aを用いて登録対象のサービスAサイトへFIDO認証を行う(図1の符号c参照)。そしてRegistration Manager100は、新規端末2で新規に生成した暗号鍵のRegistration(登録処理)を行う(図1の符号d参照)。
以上は、サービスサイトA21に対する、登録済み端末1を用いた新規端末2の登録を自動実行する例であるが、サービスサイトB22に対しても同様に処理する(図1の符号e,f参照)。
このように、Registration Manager100は、全サービスサイトに対して、登録済み端末1の秘密鍵を用いて登録対象のサービスサイトへFIDO認証と、新規端末2で新規に生成した暗号鍵のRegistrationを行う。
なお、Registration Manager100は、登録済み端末1側、新規端末2側、登録済み端末1および新規端末2の外部のいずれに配置されてもよい。Registration Manager100を、登録済み端末1側に配置する例を第1の実施形態で、新規端末2側に配置する例を第2の実施形態で、端末の外部に配置する例を第3の実施形態でそれぞれ説明する。
(第1の実施形態)
第1の実施形態は、Registration Manager100を登録済み端末1側に配置する例である。
図2は、本発明の第1の実施形態に係る端末登録システムを示す構成図である。なお、図2の円筒形状で表記されるCTAPは、CTAPの利用を示し、円筒形状で表記されるSessionは、通信経路でSessionが確立していることを示す。
[端末登録システムの全体構成]
図2に示すように、本実施形態に係る端末登録システムは、登録済み端末(端末1)、新規端末(端末2)に加え、ネットワーク上に、サービスサイト20と、DNS(Domain Name System)サーバ30(図3参照)と、を含んで構成される。登録済み端末(端末1)と、新規端末(端末2)と、サービスサイト20と、DNSサーバ30とは、通信ネットワーク(図示省略)で接続されており、相互に通信可能である。
<サービスサイト>
サービスサイト20は、Webアプリケーションサーバ(Web application server)211と、FIDOサーバ212と、を備える。
Webアプリケーションサーバ211は、ソフトウェアの実行環境や連携機能などを持つWebサーバである。Webアプリケーションサーバ211は、FIDOサーバ212と接続・連携して複雑な処理を行う機能を持つ。Webアプリケーションサーバ211は、例えばEC(Electronic Commerce)サイトを運営するサービス事業者が運用するWebサーバであり、サービスを利用するユーザの登録と認証とを行う。
FIDOサーバ212は、FIDO認証をつかさどるものであり、Webアプリケーションサーバ211の中で認証を行う部分だけが切り離されてライブラリとして使用される。
<端末1,2の構成>
端末1,2は、認証用端末であり、例えばスマートフォン,携帯電話,タブレット等の携帯端末、ノート型/デスクトップ型PC、各種電子機器である。本実施形態では、スマートフォンを例に採る。
端末1,2は、通常のアプリケーション等が動作する領域である通常領域と、マルウェア等が混入しないように管理された領域(外部から不正に侵入できないように管理された領域)であるAuthenticator10内(セキュア領域)とを論理的に備える。
通常領域は、一般のアプリケーションプログラムが実行される環境である。通常領域は、ユーザエージェント11と、FIDOクライアント12とが備わる。
Authenticator10は、外部から不正に侵入できないように管理された領域に存在し、生体情報(指紋情報など)が保管される。Authenticator10は、CPU(Central Processing Unit)やOS(Operating System)の特権モードで実行され、特定のプログラムや特定の手順によってのみ、Authenticator10のプログラムの呼び出しやデータへのアクセスが可能となる。
Authenticator10は、チャレンジ・レスポンス認証を行うために鍵を認証する。また、生体認証を行ってから鍵を使えるようにするなど、鍵の取り扱いに関する部分を取り扱う。具体的には、Authenticator10は、指紋認証などの認証画面を表示し、ユーザを認証する。また、Authenticator10は、サービスサイト20から取得した乱数、等をユーザ秘密鍵で署名し、サービスサイト20に送信する。
ユーザエージェント11は、ユーザがサービスサイト20のWebアプリケーションサーバ211にアクセスするためのブラウザ等である。ユーザエージェント11は、サービスサイト20のWebアプリケーションサーバ211にWebサービスを利用して鍵登録要求および認証要求を発行する。
FIDOクライアント12は、サービスサイト20のFIDOサーバ212と対になるものであり、FIDOサーバ212(FIDOのライブラリ)に対して自分のユーザプロトコルを送信し、FIDOサーバ212との間で認証メッセージをやり取りする。
FIDOクライアント12は、メッセージの組み立てや、プロトコルの組み立てを行うのに対し、Authenticator10は、FIDOクライアント12が行うメッセージの組み立てやプロトコルの組み立てのうち、鍵の取り扱いに関する部分を取り扱う。
<FIDOの認証(authentication)/登録(registration)>
・認証(authentication)
サービスサイト20のWebアプリケーションサーバ211からの「ユーザ認証の開始」の要求を受けたFIDOサーバ212は、自ら生成した乱数などの情報を、端末1,2のユーザエージェント11を介してFIDOクライアント12に送信する。FIDO認証要求を受信したFIDOクライアント12は、Authenticator10にユーザ登録を要求する。Authenticator10は、指紋認証などの認証画面を表示し、ユーザを認証する。認証に成功した場合、Authenticator10は、サービスサイト20のWebアプリケーションサーバ211から取得した乱数、等を秘密鍵で署名し、サービスサイト20のFIDOサーバ212に送信する。FIDOサーバ212は、受信した署名を検証(ユーザを認証)し、認証結果をWebアプリケーションサーバ211に返却する。
・登録(registration)
サービスサイト20のWebアプリケーションサーバ211からの「ユーザ登録の開始」の要求を受けたFIDOサーバ212は、自ら生成した乱数などの情報を、端末1,2のユーザエージェント11を介してFIDOクライアント12に送信する。FIDO登録要求を受信したFIDOクライアント12は、Authenticator10にユーザ登録を要求する。Authenticator10は、指紋などの生体情報の登録画面を表示し、ユーザに生体情報を登録させる。登録が完了すると、Authenticator10は、公開鍵暗号の鍵ペアを生成してユーザに紐づける。また、公開鍵やサーバから取得した乱数などから、Authenticator10の秘密鍵で署名生成し、FIDOクライアント12経由でサービスサイト20のFIDOサーバ212に送信する。FIDOサーバ212は、受信した署名を検証(Authenticatorの正当性確認)し、ユーザの公開鍵を登録して、その結果をWebアプリケーションサーバ211に返却する。
<端末1(登録済み端末)>
登録済み端末1は、Authenticator10内に、公開鍵1−Aとペアになる秘密鍵1−Aと、公開鍵1−Bとペアになる秘密鍵1−Bと、公開鍵1−Cとペアになる秘密鍵1−Cと、サービスサイト一覧情報110と、を保管する。
サービスサイト一覧情報110は、秘密鍵と対象サイトのURLを紐付けて管理する。例えば、図2に示すように、サービスサイト一覧情報110は、秘密鍵「0A295BE44F…」とサイトURL「https://svcA.com」とを、また秘密鍵「129CC8B6A2..」とサイトURL「https://svcB.org」とを、秘密鍵「FE0085B126…」とサイトURL「https://svcC.net」とを紐付ける。
サービスサイト一覧情報110は、秘密鍵と対象サイトのURLを紐付けに加え、ユーザ名を紐付け対象としてもよい。このようにすれば、複数のユーザ名のユーザが一のURLを使用したり、逆に、ユーザ名毎に秘密鍵と対象サイトのURLの組み合わせを変えることができる。
なお、従来のユーザ認証技術において、秘密鍵と対象サイトのURLを紐付けて管理するものはなかった。
<Registration Manager100>
本実施形態では、登録済み端末1側に、Registration Manager100が配置される。
Registration Manager100は、登録済み端末1のAuthenticator10に登録されている全ての秘密鍵について、対象のサービスサイトにログインした上で、新規端末2をCTAPによって外部Authenticatorとして用い、Registrationを行う。
以下、上述のように構成された端末登録システムの端末登録方法について説明する。
[動作概要]
まず、端末登録システムの端末登録方法の動作概要について述べる。
図2に示すように、Registration Manager100は、登録済み端末1側に配置されている。
手順1:Registration Manager100は、Authenticator10から登録済み端末1のサービスサイト一覧情報110を取得する。
Registration Manager100は、取得したサービスサイト一覧情報110の全URLについて、下記手順2〜手順4の処理を実行する。
手順2:Registration Manager100は、取得したサービスサイト一覧情報110をもとに、登録対象URLのサービスサイト20へアクセスする。
手順3:Registration Manager100は、登録済み端末1の内部Authenticator10に登録されている秘密鍵を利用して対象のサービスサイト20にFIDO認証を行ってログインし、セッションを確立する。
手順4:新規端末2をCTAPによって外部Authenticator10として用い、秘密鍵のRegistrationを行う。
より詳細に説明する。Registration Manager100は、サービスサイト一覧情報110を取得することで、サービスサイト一覧情報110の秘密鍵を登録済み端末1が持っていることはわかるが、それをサービスサイト20に提示する手段は持っていない。サービスサイト20からすれば、登録済み端末1のRegistration Manager100がアクセスしてきた場合、それがどのユーザであるかは認証できていない状態である。そこで、上記手順3において、Registration Manager100は、登録済み端末1の内部Authenticator10に登録されている秘密鍵を利用して対象のサービスサイト20にFIDO認証を行ってログインし、セッションを確立する。次に、上記手順4において、新規端末2をCTAPによって外部Authenticator10として用い、秘密鍵のRegistrationを行うことで、新規端末2を登録する、という流れになる。
[制御シーケンス]
図3は、本実施形態に係る端末登録システムの端末登録方法を示すシーケンス図である。
図3おいて、端末1は登録済み端末であり、Authenticator10内にサービスサイト一覧情報110を保管する。また、端末1には、Registration Manager100が配置されている。端末2は新規端末である。
DNSサーバ(Domain Name System)30は、ドメイン名をIPアドレス形式に変換する最もプリミティブな機能に加えて、該当のURL上で提供されているサービスのURLを返すための拡張(SRV(SeRVice record)レコード)があり、それを使う。DNSサーバ30は、サイトURL上で提供されている再登録等を実行するサービスのロケーションをSRVレコードの形式で提供する。
ユーザは新規端末2の追加、変更(例えば、スマートフォンとタブレット端末の2台持ち、端末の機種変更)を行う。この場合、新規端末2でFIDO認証を利用するためには、事前にサービスサイトに対して端末のRegistrationを行い、アカウントにその端末の公開鍵を紐付けておく必要がある。つまりFIDOでは、Webサービス毎に秘密鍵のRegistrationを行う必要がある。
ユーザの開始操作は、登録済み端末1のRegistration Manager100(以下、Registration Manager100という)に送信され(ステップS101)、Registration Manager100は、登録済み端末1のFIDOクライアント12に新規端末2でFIDO認証するための要求を送信する(ステップS102)。登録済み端末1のFIDOクライアント12は、新規端末2のAuthenticator10との間でCTAPチャネルを確立する(ステップS103)。登録済み端末1のFIDOクライアント12は、CTAPチャネルが確立された場合、このCTAPチャネル確立をRegistration Manager100に通知する(ステップS104)。
Registration Manager100は、登録済み端末1のAuthenticator10にサービスサイト一覧情報110(図2参照)の取得要求を送信する(ステップS105)。
登録済み端末1のAuthenticator10は、意図しないリストの不正取得防止のためユーザ確認を行う(ステップS106)。ユーザ確認は、生体情報(指紋、顔、虹彩、静脈)やPIN(Personal Identification Number)コード認証を用いた情報等のユーザ認証である。
登録済み端末1のAuthenticator10は、生体認証等によりユーザ確認が取れた場合、Authenticator10内に保管しているサービスサイト一覧情報110をRegistration Manager100に送信する(ステップS107)。
以上までが図2の手順1の「サービスサイト一覧情報の取得」である。
以降のシーケンスは、サービスサイト一覧情報中の全サイト分の繰り返しである(図2の手順2〜4に対応する;図3の一点鎖線囲み参照)。
Registration Manager100は、取得したサービスサイト一覧情報110(図2参照)を参照して、DNSサーバ30に対してDNSクエリ(query)を送信して、サイト上で提供されている再登録サービスにアクセスするためのURL(以下、登録用エンドポイントという)を問合せる(ステップS108)。DNSサーバ30は、Registration Manager100に登録用エンドポイントを送信して、Registration Manager100は登録用エンドポイントを取得する(ステップS109)。
Registration Manager100は、登録済み端末1のユーザエージェント11に取得した登録用エンドポイントを送信する(ステップS110)。
登録済み端末1のユーザエージェント11は、サービスサイト20のWebアプリケーションサーバ211に対し登録用エンドポイントへのアクセスを行う(ステップS111)。サービスサイト20のWebアプリケーションサーバ211は、FIDOサーバ212にFIDO認証要求を出力してFIDO認証を開始する(ステップS112)。
以下のシーケンスで、サービスサイト20のFIDOサーバ212と登録済み端末1のAuthenticator10との間で、サービスサイト20のWebアプリケーションサーバ211、登録済み端末1のユーザエージェント11およびFIDOクライアント12を介してFIDO標準のAuthenticationオペレーションを行う。
図3の破線囲みに示すFIDO標準のAuthenticationオペレーションは、登録済み端末1の内部Authenticator10に保管された秘密鍵を用いて登録対象のサービスサイトへFIDO認証を行うものである。
サービスサイト20のFIDOサーバ212は、Webアプリケーションサーバ211にFIDO Authentication Requestを発行し(ステップS113)、Webアプリケーションサーバ211は、このFIDO Authentication Requestを登録済み端末1のユーザエージェント11に送信する(ステップS114)。登録済み端末1のユーザエージェント11は、FIDOクライアント12にFIDO Authentication Requestを送信し(ステップS115)、FIDOクライアント12は、このFIDO Authentication Requestを登録済み端末1のAuthenticator10に送信する(ステップS116)。
登録済み端末1のAuthenticator10は、生体情報(指紋、顔、虹彩、静脈)による生体認証によりユーザ確認を行う(ステップS117)。なお、FIDO認証は、全サービスサイトに対して繰り返し行う必要がある。ユーザ負担を減らすため、ステップS117における生体認証はできるだけ簡便であることが好ましく、例えば指紋による生体認証が挙げられる。また、標準技術(FIDO)の拡張機能では所定時間内の再度の認証は省略することが認められている。FIDOは、端末で、生体認証による本人確認と、サーバ認証とを分けており、サービスサイト20にパスワードを送らないので個人情報が漏れるリスクがない。
ここで、FIDO標準のAuthenticationオペレーションにおいては、乱数(チャレンジ文字列)は、FIDOサーバ212が生成(ステップS113の前段)し、その乱数に対してAuthenticator10の秘密鍵で署名をして返送する。
登録済み端末1のAuthenticator10は、ユーザ確認が取れた場合、FIDOサーバ212が生成した乱数に対してAuthenticator10の秘密鍵で署名する(ステップS118)。
Authenticator10は、秘密鍵で署名したFIDOAuthentication ResponseをFIDOクライアント12に送信し(ステップS119)、FIDOクライアント12は、このFIDO Authentication Responseを登録済み端末1のユーザエージェント11に送信し(ステップS120)、ユーザエージェント11は、FIDO Authentication Responseをサービスサイト20のWebアプリケーションサーバ211に送信する(ステップS121)。サービスサイト20のWebアプリケーションサーバ211は、FIDO Authentication Responseをサービスサイト20のFIDOサーバ212に送信する(ステップS122)。
以上、上記ステップS113〜ステップS122では、登録済み端末1の内部Authenticator10(登録済みの鍵を保持)を利用してログインする、FIDO標準のAuthenticationオペレーションに対応する。
サービスサイト20のFIDOサーバ212は、FIDO認証OKをサービスサイト20のWebアプリケーションサーバ211に送信し(ステップS123)、サービスサイト20のWebアプリケーションサーバ211と登録済み端末1のユーザエージェント11との間でTLS Sessionを確立する(ステップS124)。TLS Sessionが確立されると、Webアプリケーションサーバ211は、FIDOサーバ212にFIDO登録開始を通知する(ステップS125)。
図3の破線囲みに示すFIDO標準のRegistrationオペレーションは、新規端末2をCTAPによって外部Authenticator10として用い、Registrationを行うものである。
サービスサイト20のFIDOサーバ212は、Webアプリケーションサーバ211にFIDO Registration Requestを発行し(ステップS126)、Webアプリケーションサーバ211は、このFIDO Registration Requestを登録済み端末1のユーザエージェント11に送信する(ステップS127)。登録済み端末1のユーザエージェント11は、登録済み端末1のFIDOクライアント12にFIDO Registration Requestを送信し(ステップS128)、FIDOクライアント12は、このFIDO Registration Requestを新規端末2のAuthenticator10に送信する(ステップS129)。
新規端末2のAuthenticator10は、生体情報(指紋、顔、虹彩、静脈)による生体認証等によりユーザ確認を行う(ステップS130)。なお、ユーザ負担を減らすため、生体認証は、例えば指紋による生体認証を行う。また、所定時間内の認証を省略してもよい。
新規端末2のAuthenticator10は、ユーザ確認が取れた場合、CTAPを用いてFIDOAuthentication(未登録)の秘密鍵を新規に生成する(ステップS131)。新規端末2のAuthenticator10は、生成した秘密鍵を登録済み端末1のFIDOクライアント12に送信する(ステップS132)。
登録済み端末1のFIDOクライアント12は、生成した秘密鍵を登録済み端末1のユーザエージェント11に送信する(ステップS133)。登録済み端末1のユーザエージェント11は、このFIDO Authentication(未登録)の秘密鍵をFIDO Registration Responseとしてサービスサイト20のWebアプリケーションサーバ211に送信する(ステップS134)。サービスサイト20のWebアプリケーションサーバ211は、このFIDO Registration ResponseをFIDOサーバ212に送信する(ステップS135)。
以上、上記ステップS126〜ステップS135では、新規端末(端末2)をCTAPによって外部Authenticatorとして用い、新規に生成した秘密鍵のRegistrationを行う、FIDO標準のRegistrationオペレーションを実行に対応する。
サービスサイト20のFIDOサーバ212は、FIDO Registration Responseを受け取ると、サービスサイト20のWebアプリケーションサーバ211にFIDO認証OKを送信する(ステップS136)。Webアプリケーションサーバ211は、登録済み端末1のユーザエージェント11にFIDORegistration Requestの登録完了を送信する(ステップS137)。ユーザエージェント11は、Registration Manager100にFIDORegistration Requestの登録完了を通知する(ステップS138)。
Registration Manager100は、全サービスサイトに対して、登録済み端末1の秘密鍵を用いて登録対象のサービスサイトへFIDO認証と、新規端末2で新規に生成した鍵のRegistrationが完了したことを確認する。Registration Manager100は、全サービスサイトに対する新規端末2の鍵のRegistrationが完了した場合、ユーザに完了通知を発行して本シーケンスを終了する(ステップS139)。
上述したように、Registration Manager100は、サービスサイト一覧情報中の全サイト分の繰り返すので、通信障害等により、あるサービスサイトの登録が完了しない場合も考えられる。また、ユーザに対し登録進捗状況を表示すると、ユーザに対する利便性が向上する。リトライ制御や登録進捗状況の表示制御については、図8で後記する。
以上説明したように、本実施形態に係る端末登録システムは、登録済み端末1を用いて、複数のサービスサイト20に対する新規端末2を登録するシステムであり、登録済み端末1は、秘密鍵とサービスサイトにアクセスするためのURLとを紐付けるサービスサイト一覧情報110をAuthenticator10が備える。Registration Manager100は、登録済み端末1のAuthenticator10からサービスサイト一覧情報110を取得する。そして、Registration Manager100は、取得したサービスサイト一覧情報110をもとに、登録済み端末1の秘密鍵を用いて登録対象のサービスサイトへFIDO認証し、新規端末2で新規に生成した暗号鍵のRegistrationを行う。本実施形態では、登録済み端末1側にRegistration Manager100が配置される。Registration Manager100は、登録済み端末1のAuthenticator10に登録されている全ての秘密鍵について、登録対象サービスサイトにログインし、新規端末2をCTAPによって外部Authenticator10として用い、Registrationを行う。
これにより、FIDOしか認証手段を持たないサービスサイトにおいて、登録済み端末1を用いて新規端末2をRegistrationするユースケースを対象とすることができる。Registration Manager100が、登録済み端末1のAuthenticator10から取得したサービスサイト一覧情報110をもとに、登録対象のサービスサイトに対して、自動的にアクセスを行ってRegistrationを行うので、複数のサービスサイトへのRegistrationに関するユーザ利便性を向上させることができる。
また、Registration Manager100が登録済み端末1に格納されたサービスサイト一覧を取得し、その全てについてRegistrationを開始することで、ユーザ自身が利用している(新規端末の利用開始時にRegistrationをしたい)サービスサイトを管理する負担がない。
また、Registrationの契機となる各サイトへのアクセスを自動的に実行することで、サービスサイトが増えた時のユーザの作業負担が軽減される。
本実施形態では、登録済み端末1側にRegistration Manager100が配置されるので、元々使っていた登録済み端末1に登録結果が表示される。登録済み端末1は、ユーザにとって使いなれた端末である。ユーザは使いなれた登録済み端末1側で登録結果を確認することができる。
(第2の実施形態)
第2の実施形態は、Registration Manager100を新規端末2側に配置する例である。
図4は、本発明の第2の実施形態に係る端末登録システムを示す構成図である。図2と同一構成部分には同一番号を付して重複箇所の説明を省略する。なお、図4の円筒形状で表記されるCTAPは、CTAPの利用を示し、円筒形状で表記されるSessionは、通信経路でSessionが確立していることを示す。
端末1は、登録済み端末1であり、端末2は、新規端末2である。
登録済み端末1は、Authenticator10内に、公開鍵1−Aとペアになる秘密鍵1−Aと、公開鍵1−Bとペアになる秘密鍵1−Bと、公開鍵1−Cとペアになる秘密鍵1−Cと、サービスサイト一覧情報110と、を保管する。
本実施形態では、新規端末2側に、Registration Manager100が配置される。
Registration Manager100は、登録済み端末1のAuthenticator10から全サイトのサービスサイト一覧情報110を取得し、各サイトについて、登録済み端末1をCTAPによって外部Authenticator10として用い、FIDO認証を行ってログインする。新規端末2は、確立されたセッション上で、自身のAuthenticatorに関するRegistration処理を実行する。
以下、上述のように構成された端末登録システムの端末登録方法について説明する。
[動作概要]
まず、端末登録システムの端末登録方法の動作概要について述べる。
図4に示すように、Registration Manager100は、新規端末2側に配置されている。
手順1:Registration Manager100は、登録済み端末1のAuthenticator10から登録済み端末1のサービスサイト一覧情報110を取得する。
Registration Manager100は、取得したサービスサイト一覧情報110の全URLについて、下記手順2〜手順4の処理を実行する。
手順2:Registration Manager100は、取得したサービスサイト一覧情報110をもとに、登録対象URLのサービスサイト20へアクセスする。
手順3:Registration Manager100は、登録済み端末1をCTAPによって外部Authenticator10として用い、FIDO認証を行ってログインし、セッションを確立する。
手順4:新規端末2は、確立されたセッション上で、自身のAuthenticatorに関するRegistration処理を実行する。
[制御シーケンス]
図5は、本実施形態に係る端末登録システムの端末登録方法を示すシーケンス図である。
図5おいて、端末1は登録済み端末であり、Authenticator10内にサービスサイト一覧情報110を保管する。端末2は、新規端末であり、Registration Manager100が配置されている。
ユーザの開始操作は、新規端末2のRegistration Manager100(以下、Registration Manager100という)に送信され(ステップS201)、Registration Manager100は、新規端末2のFIDOクライアント12に新規端末2でFIDO認証するための要求を送信する(ステップS202)。新規端末2のFIDOクライアント12は、登録済み端末1のAuthenticator10との間でCTAPチャネルを確立する(ステップS203)。新規端末2のFIDOクライアント12は、登録済み端末1のAuthenticator10との間でCTAPチャネルが確立された場合、このCTAPチャネル確立をRegistration Manager100に通知する(ステップS204)。
Registration Manager100は、登録済み端末1のAuthenticator10にサービスサイト一覧情報110(図4参照)の取得要求を送信する(ステップS205)。
登録済み端末1のAuthenticator10は、意図しないリストの不正取得防止のためユーザ確認を行う(ステップS206)。ユーザ確認は、生体情報(指紋、虹彩、静脈)やPINを用いた情報等のユーザ認証である。
登録済み端末1のAuthenticator10は、生体認証等によりユーザ確認が取れた場合、Authenticator10内に保管しているサービスサイト一覧情報110をRegistration Manager100に送信する(ステップS207)。
以上までが図4の手順1の「サービスサイト一覧情報の取得」である。
以降のシーケンスは、サービスサイト一覧情報中の全サイト分の繰り返しである(図4の手順2〜4に対応する;図5の一点鎖線囲み参照)。
Registration Manager100は、取得したサービスサイト一覧情報110(図4参照)を参照して、DNSサーバ30に対してDNSクエリを送信して登録用エンドポイントを問合せる(ステップS208)。DNSサーバ30は、Registration Manager100に登録用エンドポイントを送信してRegistration Manager100は登録用エンドポイントを取得する(ステップS209)。
Registration Manager100は、新規端末2のユーザエージェント11に取得した登録用エンドポイントを送信する(ステップS210)。
新規端末2のユーザエージェント11は、サービスサイト20のWebアプリケーションサーバ211に対し登録用エンドポイントへのアクセスを行う(ステップS211)。サービスサイト20のWebアプリケーションサーバ211は、FIDOサーバ212にFIDO認証要求を出力してFIDO認証を開始する(ステップS212)。
以下のシーケンスで、サービスサイト20のFIDOサーバ212と登録済み端末1のAuthenticator10との間で、サービスサイト20のWebアプリケーションサーバ211、新規端末2のユーザエージェント11およびFIDOクライアント12を介してFIDO標準のAuthenticationオペレーションを行う。
図5の破線囲みに示すFIDO標準のAuthenticationオペレーションは、登録済み端末1の外部Authenticator10から全サイトのURLリストを取得し、各サイトについて、登録済み端末1をCTAPによって外部Authenticatorとして用い、FIDO認証を行ってログインするものである。
サービスサイト20のFIDOサーバ212は、Webアプリケーションサーバ211にFIDO Authentication Requestを発行し(ステップS213)、Webアプリケーションサーバ211は、このFIDO Authentication Requestを新規端末2のユーザエージェント11に送信する(ステップS214)。新規端末2のユーザエージェント11は、新規端末2のFIDOクライアント12にFIDO Authentication Requestを送信し(ステップS215)、FIDOクライアント12は、このFIDO Authentication Requestを登録済み端末1のAuthenticator10に送信する(ステップS216)。
登録済み端末1のAuthenticator10は、生体情報(指紋、顔、虹彩、静脈)による生体認証等によりユーザ確認を行う(ステップS217)。なお、ユーザ負担を減らすため、生体認証は、例えば指紋による生体認証を行う。また、所定時間内の認証を省略してもよい。
登録済み端末1のAuthenticator10は、ユーザ確認が取れた場合、FIDOサーバ212が生成した乱数に対してAuthenticator10の秘密鍵で署名をする(ステップS218)。
Authenticator10は、秘密鍵で署名したFIDOAuthentication ResponseをFIDOクライアント12に送信し(ステップS119)、FIDOクライアント12は、このFIDO Authentication Responseを新規端末2のユーザエージェント11に送信し(ステップS220)、新規端末2のユーザエージェント11は、FIDO Authentication Responseをサービスサイト20のWebアプリケーションサーバ211に送信する(ステップS221)。サービスサイト20のWebアプリケーションサーバ211は、FIDO Authentication Responseをサービスサイト20のFIDOサーバ212に送信する(ステップS222)。
以上、上記ステップS213〜ステップS222では、登録済み端末1をCTAPによって外部Authenticatorとして用い、FIDO認証を行ってログインする、FIDO標準のAuthenticationオペレーションに対応する。
サービスサイト20のFIDOサーバ212は、FIDO認証OKをサービスサイト20のWebアプリケーションサーバ211に送信し(ステップS223)、サービスサイト20のWebアプリケーションサーバ211と新規端末2のユーザエージェント11との間でTLS Sessionを確立する(ステップS224)。TLS Sessionが確立されると、Webアプリケーションサーバ211は、FIDOサーバ212にFIDO登録開始を通知する(ステップS225)。
図5の破線囲みに示すFIDO標準のRegistrationオペレーションは、確立されたセッション上で、新規端末2は自身のAuthenticatorに関するRegistration処理を実行するものである。
サービスサイト20のFIDOサーバ212は、Webアプリケーションサーバ211にFIDO Registration Requestを発行し(ステップS126)、Webアプリケーションサーバ211は、このFIDO Registration Requestを新規端末2のユーザエージェント11に送信する(ステップS227)。新規端末2のユーザエージェント11は、FIDOクライアント12にFIDO Registration Requestを送信し(ステップS228)、FIDOクライアント12は、このFIDO Registration Requestを新規端末2のAuthenticator10に送信する(ステップS229)。
新規端末2のAuthenticator10は、生体情報(指紋、顔、虹彩、静脈)による生体認証等によりユーザ確認を行う(ステップS230)。なお、ユーザ負担を減らすため、生体認証は、例えば指紋による生体認証を行う。また、所定時間内の認証を省略してもよい。
新規端末2のAuthenticator10は、ユーザ確認が取れた場合、CTAPを用いてFIDOAuthentication(未登録)の秘密鍵を新規に生成する(ステップS231)。新規端末2のAuthenticator10は、生成した秘密鍵を新規端末2のFIDOクライアント12に送信する(ステップS232)。
新規端末2のFIDOクライアント12は、生成した秘密鍵を新規端末2のユーザエージェント11に送信する(ステップS233)。新規端末2のユーザエージェント11は、このFIDO Authentication(未登録)の秘密鍵をFIDO Registration Responseとしてサービスサイト20のWebアプリケーションサーバ211に送信する(ステップS234)。サービスサイト20のWebアプリケーションサーバ211は、このFIDO Registration ResponseをFIDOサーバ212に送信する(ステップS235)。
以上、上記ステップS226〜ステップS235では、確立されたセッション上で、新規端末2は自身のAuthenticatorに関するRegistration処理を実行する、FIDO標準のRegistrationオペレーションを実行に対応する。
サービスサイト20のFIDOサーバ212は、FIDO Registration Responseを受け取ると、サービスサイト20のWebアプリケーションサーバ211にFIDO認証OKを送信する(ステップS236)。Webアプリケーションサーバ211は、新規端末2のユーザエージェント11にFIDORegistration Requestの登録完了を送信する(ステップS237)。ユーザエージェント11は、Registration Manager100にFIDORegistration Requestの登録完了を通知する(ステップS238)。
Registration Manager100は、全サービスサイトに対して、新規端末2で新規に生成した鍵のRegistrationが完了したことを確認する。Registration Manager100は、全サービスサイトに対する新規端末2の鍵のRegistrationが完了した場合、ユーザに完了通知を発行して本シーケンスを終了する(ステップS239)。
上述したように、Registration Manager100は、サービスサイト一覧情報中の全サイト分を繰り返すので、通信障害等により、あるサービスサイトの登録が完了しない場合も考えられる。リトライ制御や登録進捗状況の表示制御については、図8で後記する。
このように、本実施形態に係る端末登録システムは、新規端末2側にRegistration Manager100が配置される。Registration Manager100は、登録済み端末1のAuthenticator10から全サービスサイトのURLリストを取得し、各サービスサイトについて、登録済み端末1をCTAPによって外部Authenticator10として用い、FIDO認証を行ってログインし、新規端末2は、確立されたセッション上で、自身のAuthenticator10に関するRegistrationを行う。
これにより、本実施形態では、第1の実施形態と同様の効果、すなわちRegistration Manager100が、登録済み端末1のAuthenticator10から取得したURL一覧に対して、自動的にアクセスを行ってRegistrationを行うので、複数のサービスサイトへのRegistrationに関するユーザ利便性を向上させることができる。
また、ユーザ自身が利用している(新規端末の利用開始時にRegistrationをしたい)サービスサイトを管理する負担がない。さらに、サービスサイトが増えた時のユーザの作業負担が軽減される。
本実施形態では、新規端末2側にRegistration Manager100が配置されるので、新規端末2に登録結果が表示される。ユーザはいまから使いたい新規端末2側で登録結果を確認することができる。また一般に、新規端末2は、いままで使っていた端末より高機能な場合が多いので、より高機能な新規端末2の資源(例えば高解像度・大画面・高速描画、高速通信など)でRegistrationと登録結果表示を行うことができる。
(第3の実施形態)
第3の実施形態は、Registration Manager100を登録済み端末1および新規端末2とは異なる外部装置3側に配置する例である。
図6は、本発明の第3の実施形態に係る端末登録システムを示す構成図である。図2および図4と同一構成部分には同一番号を付して重複箇所の説明を省略する。なお、図6の円筒形状で表記されるCTAPは、CTAPの利用を示し、円筒形状で表記されるSessionは、通信経路でSessionが確立していることを示す。
端末1は、登録済み端末1であり、端末2は、新規端末2である。
登録済み端末1は、Authenticator10内に、公開鍵1−Aとペアになる秘密鍵1−Aと、公開鍵1−Bとペアになる秘密鍵1−Bと、公開鍵1−Cとペアになる秘密鍵1−Cと、サービスサイト一覧情報110と、を保管する。
外部装置3は、例えばPC(personal computer)である。外部装置3は、PCのUSB(Universal Serial Bus)ポートに挿すUSBトークンであってもよい。USBトークンは、PCを使うための鍵であり、USBトークンがないか有効にされていないと、特定のデータを開けない、あるいはネットワークに接続できない。また、このUSBトークンに、指紋認証などの生体認証手段を設けてもよい。
外部装置3は、通常領域にユーザエージェント11と、FIDOクライアント12とを備え、セキュア領域にAuthenticator10を備える。
外部装置3のAuthenticator10は、FIDO標準のAuthenticationオペレーションを実行する端末1,2から見た場合、外部Authenticatorに対応する。
本実施形態では、登録済み端末1および新規端末2とは異なる外部装置3側に、Registration Manager100が配置される。
Registration Manager100は、登録済み端末1から全サービスサイトのURL一覧を取得し、各サイトについて、登録済み端末1を外部Authenticatorとして用いてFIDO認証を行いログインした上で、新規端末2を外部Authenticatorとして用い、新規にRegistrationを行う。
以下、上述のように構成された端末登録システムの端末登録方法について説明する。
[動作概要]
まず、端末登録システムの端末登録方法の動作概要について述べる。
図6に示すように、Registration Manager100は、外部装置3側に配置されている。
手順1:Registration Manager100は、登録済み端末1のAuthenticator10から登録済み端末1のサービスサイト一覧情報110を取得する。
Registration Manager100は、取得したサービスサイト一覧情報110の全URLについて、下記手順2〜手順4の処理を実行する。
手順2:Registration Manager100は、取得したサービスサイト一覧情報110をもとに、登録対象URLのサービスサイト20へアクセスする。
手順3:Registration Manager100は、登録済み端末1をCTAPによって外部Authenticator10として用い、FIDO認証を行ってログインし、セッションを確立する。
手順4:ログインした上で、新規端末2を外部Authenticatorとして用い、新規にRegistration処理を実行する。
[制御シーケンス]
図7は、本実施形態に係る端末登録システムの端末登録方法を示すシーケンス図である。
図7おいて、ユーザの開始操作は、外部装置3のRegistration Manager100(以下、Registration Manager100という)に送信され(ステップS301)、Registration Manager100は、外部装置3のFIDOクライアント12に新規端末2でFIDO認証するための要求を送信する(ステップS302)。外部装置3のFIDOクライアント12は、登録済み端末1のAuthenticator10との間でCTAPチャネルを確立する(ステップS303)。また、外部装置3のFIDOクライアント12は、新規端末2のAuthenticator10との間でCTAPチャネルを確立する(ステップS304)。すなわち、外部装置3は、登録済み端末1のAuthenticator10と新規端末2のAuthenticator10との両者の間で、それぞれCTAPチャネルを確立する。
外部装置3のFIDOクライアント12は、登録済み端末1のAuthenticator10および新規端末2のAuthenticator10の間でCTAPチャネルが確立された場合、このCTAPチャネル確立をRegistration Manager100に通知する(ステップS305)。
Registration Manager100は、登録済み端末1のAuthenticator10にサービスサイト一覧情報110(図7参照)の取得要求を送信する(ステップS306)。
登録済み端末1のAuthenticator10は、意図しないリストの不正取得防止のためユーザ確認を行う(ステップS307)。ユーザ確認は、生体情報(指紋、顔、虹彩、静脈)やPINを用いた情報等のユーザ認証である。
登録済み端末1のAuthenticator10は、生体認証等によりユーザ確認が取れた場合、Authenticator10内に保管しているサービスサイト一覧情報110をRegistration Manager100に送信する(ステップS308)。
以上までが図6の手順1の「サービスサイト一覧情報の取得」である。
以降のシーケンスは、サービスサイト一覧情報中の全サイト分の繰り返しである(図6の手順2〜4に対応する;図7の一点鎖線囲み参照)。
Registration Manager100は、取得したサービスサイト一覧情報110(図6参照)を参照して、DNSサーバ30に対してDNSクエリを送信して登録用エンドポイントを問合せる(ステップS309)。DNSサーバ30は、Registration Manager100に登録用エンドポイントを送信してRegistration Manager100は登録用エンドポイントを取得する(ステップS310)。
Registration Manager100は、外部装置3のユーザエージェント11に取得した登録用エンドポイントを送信する(ステップS311)。外部装置3のユーザエージェント11は、サービスサイト20のWebアプリケーションサーバ211に対し登録用エンドポイントへのアクセスを行う(ステップS312)。サービスサイト20のWebアプリケーションサーバ211は、サービスサイト20のFIDOサーバ212にFIDO認証要求を出力してFIDO認証を開始する(ステップS313)。
以下のシーケンスで、サービスサイト20のFIDOサーバ212と登録済み端末1のAuthenticator10との間で、サービスサイト20のWebアプリケーションサーバ211、外部装置3のユーザエージェント11およびFIDOクライアント12を介してFIDO標準のAuthenticationオペレーションを行う。
図7の破線囲みに示すFIDO標準のAuthenticationオペレーションは、登録済み端末1から全サービスサイトのサービスサイト一覧情報110を取得し、各サイトについて、登録済み端末1を外部Authenticatorとして用いてFIDO認証を行いログインした上で、新規端末2を外部Authenticatorとして用い、新規にRegistrationを行うものである。
サービスサイト20のFIDOサーバ212は、Webアプリケーションサーバ211にFIDO Authentication Requestを発行し(ステップS314)、Webアプリケーションサーバ211は、このFIDO Authentication Requestを外部装置3のユーザエージェント11に送信する(ステップS315)。外部装置3のユーザエージェント11は、外部装置3のFIDOクライアント12にFIDO Authentication Requestを送信し(ステップS316)、FIDOクライアント12は、このFIDO Authentication Requestを登録済み端末1のAuthenticator10に送信する(ステップS317)。
登録済み端末1のAuthenticator10は、生体情報(指紋、虹彩、静脈)による生体認証等によりユーザ確認を行う(ステップS318)。なお、ユーザ負担を減らすため、生体認証は、例えば指紋による生体認証を行う。また、所定時間内の認証を省略してもよい。
登録済み端末1のAuthenticator10は、ユーザ確認が取れた場合、FIDOサーバ212が生成した乱数に対してAuthenticator10の秘密鍵で署名をする(ステップS118)。
Authenticator10は、秘密鍵で署名したFIDOAuthentication ResponseをFIDOクライアント12に送信し(ステップS320)、FIDOクライアント12は、このFIDO Authentication Responseを外部装置3のユーザエージェント11に送信し(ステップS321)、外部装置3のユーザエージェント11は、FIDO Authentication Responseをサービスサイト20のWebアプリケーションサーバ211に送信する(ステップS322)。サービスサイト20のWebアプリケーションサーバ211は、FIDO Authentication Responseをサービスサイト20のFIDOサーバ212に送信する(ステップS323)。
以上、上記ステップS314〜ステップS323では、登録済み端末1を外部Authenticatorとして用いてFIDO認証を行いログインする、FIDO標準のAuthenticationオペレーションに対応する。
サービスサイト20のFIDOサーバ212は、FIDO認証OKをサービスサイト20のWebアプリケーションサーバ211に送信し(ステップS324)、サービスサイト20のWebアプリケーションサーバ211と外部装置3のユーザエージェント11との間でTLS Sessionを確立する(ステップS325)。TLS Sessionが確立されると、Webアプリケーションサーバ211は、FIDOサーバ212にFIDO登録開始を通知する(ステップS326)。
図7の破線囲みに示すFIDO標準のRegistrationオペレーションは、登録済み端末1を外部Authenticatorとして用いてFIDO認証を行いログインした上で、新規端末2を外部Authenticatorとして用い、新規にRegistration処理を実行するものである。
サービスサイト20のFIDOサーバ212は、Webアプリケーションサーバ211にFIDO Registration Requestを発行し(ステップS327)、Webアプリケーションサーバ211は、このFIDO Registration Requestを外部装置3のユーザエージェント11に送信する(ステップS328)。外部装置3のユーザエージェント11は、FIDOクライアント12にFIDO Registration Requestを送信し(ステップS329)、FIDOクライアント12は、このFIDO Registration Requestを新規端末2のAuthenticator10に送信する(ステップS330)。
新規端末2のAuthenticator10は、生体情報(指紋、虹彩、静脈)による生体認証等によりユーザ確認を行う(ステップS331)。なお、ユーザ負担を減らすため、生体認証は、例えば指紋による生体認証を行う。また、所定時間内の認証を省略してもよい。
新規端末2のAuthenticator10は、ユーザ確認が取れた場合、CTAPを用いてFIDOAuthentication(未登録)の秘密鍵を新規に生成する(ステップS332)。新規端末2のAuthenticator10は、生成した秘密鍵を外部装置3のFIDOクライアント12に送信する(ステップS333)。
外部装置3のFIDOクライアント12は、生成した秘密鍵を外部装置3のユーザエージェント11に送信する(ステップS334)。外部装置3のユーザエージェント11は、このFIDO Authentication(未登録)の秘密鍵をFIDO Registration Responseとしてサービスサイト20のWebアプリケーションサーバ211に送信する(ステップS335)。サービスサイト20のWebアプリケーションサーバ211は、このFIDO Registration Responseをサービスサイト20のFIDOサーバ212に送信する(ステップS336)。
以上、上記ステップS327〜ステップS336では、新規端末2を外部Authenticatorとして用い、新規にRegistration処理を実行する、FIDO標準のRegistrationオペレーションを実行に対応する。
サービスサイト20のFIDOサーバ212は、FIDO Registration Responseを受け取ると、サービスサイト20のWebアプリケーションサーバ211にFIDO認証OKを送信する(ステップS337)。Webアプリケーションサーバ211は、外部装置3のユーザエージェント11にFIDO Registration Requestの登録完了を送信する(ステップS338)。ユーザエージェント11は、Registration Manager100にFIDORegistration Requestの登録完了を通知する(ステップS339)。
Registration Manager100は、全サービスサイトに対して、新規端末2で新規に生成した鍵のRegistrationが完了したことを確認する。Registration Manager100は、全サービスサイトに対する新規端末2の鍵のRegistrationが完了した場合、ユーザに完了通知を発行して本シーケンスを終了する(ステップS340)。
上述したように、Registration Manager100は、サービスサイト一覧情報中の全サイト分を繰り返すので、通信障害等により、あるサービスサイトの登録が完了しない場合も考えられる。リトライ制御や登録進捗状況の表示制御については、図8で後記する。
このように、本実施形態に係る端末登録システムは、登録済み端末1および新規端末2とは異なる外部装置3側にRegistration Manager100が配置される。Registration Manager100は、登録済み端末1から全サービスサイトのURL一覧を取得し、各サービスサイトについて、登録済み端末1を外部Authenticator10として用いてFIDO認証を行いログインした上で、新規端末2を外部Authenticator10として用い、新規にRegistrationを行う。
これにより、本実施形態では、第1の実施形態および第2の実施形態と同様の効果、すなわち複数のサービスサイトへのRegistrationに関するユーザ利便性を向上させることができる。また、ユーザ自身が利用している(新規端末の利用開始時にRegistrationをしたい)サービスサイトを管理する負担がない。さらに、サービスサイトが増えた時のユーザの作業負担が軽減される。
本実施形態では、外部装置3側にRegistration Manager100が配置されるので、端末側の必要機能を最低限にした機能構成とすることができる。端末のリソースを保つことができる。また、端末の機能上で制約がある場合は、より高機能な外部装置3側で選ぶことも可能である。
[リトライ制御・進捗状況通知]
次に、リトライ制御・進捗状況通知の例について説明する。
図8は、リトライ制御・進捗状況通知を示すシーケンス図である。
Registration Manager100は、登録済み端末1側、新規端末2側、または端末1,2の外部のいずれに配置されていてもよい。登録対象のサービスサイト20は、サービスサイトA21,サービスサイトB22,サービスサイトC23であるとする。
ユーザの開始操作は、Registration Manager100に送信され(ステップS401)、Registration Manager100は、登録済み端末1からサービスサイト一覧情報110を取得する(ステップS402)。そして、Registration Manager100は、ユーザに登録開始の通知を行う(ステップS403)。
なお、ユーザの開始操作からサービスサイト一覧情報110の取得に至る具体的なシーケンスについては、図3、図5、および図7により詳述した。
図8の符号gに示すように、端末には、ユーザに進捗状況として「登録開始」および、登録対象サイト数「3」であることが通知される。この通知は、例えば、端末の表示画面において、該当アプリの通知欄に表示される。この例では、「登録開始」「対象:3 完了:0 失敗:0」が表示される。
Registration Manager100は、各サービスサイトについて、登録済み端末1または新規端末2をCTAPによって外部Authenticatorとして用い、Registrationを行う。
すなわち、Registration Manager100は、サービスサイトA21への登録に対し、FIDO認証開始要求を出力してFIDO認証を開始し(ステップS404)、登録済み端末1との間でFIDO標準のAuthenticationオペレーションを実行する(ステップS405)。Registration Manager100は、サービスサイトA21からFIDO認証結果を受信する(ステップS406)。
そして、Registration Manager100は、サービスサイトA21に対しFIDO認証登録要求を出力してFIDO認証登録を開始し(ステップS407)、新規端末2との間でFIDO標準のRegistrationオペレーションを実行する(ステップS408)。Registration Manager100は、サービスサイトA21からFIDO認証登録結果を受信する(ステップS409)。
なお、FIDO標準のAuthenticationオペレーションおよびFIDO標準のRegistrationオペレーションについては、図3、図5、および図7により詳述した。
Registration Manager100は、サービスサイトA21への登録が完了すると、ユーザに登録進捗状況の更新を通知する(ステップS410)。
図8の符号hに示すように、端末には、ユーザに進捗状況として、「登録進捗」「対象:3 完了:1 失敗:0」表示される。
以下同様に、Registration Manager100は、サービスサイトB22への登録に対し、FIDO認証開始要求を出力してFIDO認証を開始する(ステップS411)。
しかしながら、Registration Manager100が発行したFIDO認証開始要求は、サービスサイトB22に到達していない(図8の符号iと×印参照)。通信障害等によりサービスサイトB22へFIDO認証開始要求が到達していないと想定される。
図8の符号jに示すように、Registration Manager100は、サービスサイトB22からの応答がない場合、一定時間後に一回目のリトライを実行する。
Registration Manager100は、再度、サービスサイトB22に、FIDO認証開始要求を送信する(ステップS412)。
リトライによりサービスサイトB22へのFIDO認証開始要求の送信が成功し、登録済み端末1との間でFIDO標準のAuthenticationオペレーションを実行する(ステップS413)。Registration Manager100は、サービスサイトB22からFIDO認証結果を受信する(ステップS414)。
そして、Registration Manager100は、サービスサイトB22に対しFIDO認証登録要求を出力してFIDO認証登録を開始し(ステップS415)、新規端末2との間でFIDO標準のRegistrationオペレーションを実行する(ステップS416)。Registration Manager100は、サービスサイトB22からFIDO認証登録結果を受信する(ステップS417)。
Registration Manager100は、サービスサイトB22への登録が完了すると、ユーザに登録進捗状況の更新を通知する(ステップS418)。
図8の符号kに示すように、端末には、ユーザに進捗状況として、「登録進捗」「対象:3 完了:2 失敗:0」表示される。
次に、Registration Manager100は、サービスサイトC23への登録に対し、FIDO認証開始要求を出力してFIDO認証を開始する(ステップS419)。
しかしながら、Registration Manager100が発行したFIDO認証開始要求は、サービスサイトC23に到達していない(図8の符号lと×印参照)。この段階では、通信障害等によりサービスサイトC23へFIDO認証開始要求が到達していないと想定される。
図8の符号mに示すように、Registration Manager100は、サービスサイトC23からの応答がない場合、一定時間後に一回目のリトライを実行する。
Registration Manager100は、一回目のリトライで、サービスサイトC23に、FIDO認証開始要求を送信する(ステップS420)。
一回目のリトライによるサービスサイトC23へのFIDO認証開始要求は、サービスサイトC23に到達していない(図8の符号nと×印参照)。
図8の符号oに示すように、Registration Manager100は、サービスサイトC23からの応答がない場合、一定時間後に二回目のリトライを実行する。
Registration Manager100は、二回目のリトライで、サービスサイトC23に、FIDO認証開始要求を送信する(ステップS421)。
二回目のリトライによってもサービスサイトC23へのFIDO認証開始要求は、サービスサイトC23に到達していない(図8の符号pと×印参照)。この場合、重度の通信障害があるか、サービスサイトC23がネットワークに接続されていないことが想定される。
図8の符号qに示すように、Registration Manager100は、一定回数(ここでは二回)のリトライ後、サービスサイトC23への登録失敗と判断し、サービスサイトC23への登録処理を終了する。
Registration Manager100は、サービスサイトC23への登録終了(登録失敗)を通知する(ステップS422)。
図8の符号rに示すように、端末には、ユーザに進捗状況として、「登録完了」「対象:3 完了:2 失敗:1」表示される。この場合、図8の符号sに示すように、登録に失敗したサービスサイトを明示するとよりよい。例えば、登録失敗したサービスサイトC23のURLを表示する。
このように、Registration Manager100は、ユーザに対して、各サービスサイトへの登録進捗状況を通知することで、ユーザはサービスサイトへの登録進捗状況(対象サイト数、登録完了数、登録失敗)を確認することができる。また、失敗したサイトを明示することで、有効でないサイトを確認することができる。
また、Registration Manager100は、各サービスサイトへの登録が失敗した場合、所定回数のリトライを実行するリトライ制御を行うことで、通信障害等によってあるサービスサイトへの登録が失敗した際にリトライにより接続される可能性を高めることができる。また、リトライ回数を設けることで、接続可能性の低い(無い)場合のアクセス時間を低減することができる。
なお、上記実施形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部又は一部を公知の方法で自動的に行うこともできる。この他、明細書中や図面中に示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。
また、上記の各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等によりハードウェアで実現してもよい。また、上記の各構成、機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行するためのソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリや、ハードディスク、SSD(Solid State Drive)等の記録装置、又は、IC(Integrated Circuit)カード、SD(Secure Digital)カード、光ディスク等の記録媒体に保持することができる。
1 登録済み端末(端末)
2 新規端末(端末)
3 外部装置
10 Authenticator(認証装置)
11 ユーザエージェント
12 FIDOクライアント
20,21,22,23,24 サービスサイト
30 DNSサーバ
100 Registration Manager(登録機能部)
110 サービスサイト一覧情報
211 Webアプリケーションサーバ
212 FIDOサーバ

Claims (7)

  1. 秘密鍵を用いてFIDO(Fast IDentity Online)認証する複数の端末と、前記端末が利用するサービスサイトとが通信可能に接続され、
    登録済み端末を用いて、複数の前記サービスサイトに対する新規端末を登録する端末登録システムであって、
    前記登録済み端末は、
    前記秘密鍵と前記サービスサイトにアクセスするためのURLとを紐付けるサービスサイト一覧情報をAuthenticatorが備え、
    前記サービスサイト一覧情報を取得し、当該サービスサイト一覧情報をもとに、前記登録済み端末の秘密鍵を用いて登録対象のサービスサイトへFIDO認証し、前記新規端末で新規に生成した暗号鍵のRegistrationを行う登録機能部
    を備えることを特徴とする端末登録システム。
  2. 前記登録機能部は、前記登録済み端末側に配置され、
    前記登録済み端末の前記Authenticatorに登録されている全ての秘密鍵について、登録対象サービスサイトにログインし、前記新規端末をCTAP(Client To Authenticator Protocol)によって外部Authenticatorとして用い、Registrationを行う
    ことを特徴とする請求項1に記載の端末登録システム。
  3. 前記登録機能部は、前記新規端末側に配置され、
    前記登録済み端末の前記Authenticatorからサービスサイト一覧情報を取得し、当該サービスサイト一覧情報をもとに、各サービスサイトについて、前記登録済み端末をCTAPによって外部Authenticatorとして用い、FIDO認証を行ってログインし、
    前記新規端末は、確立されたセッション上で、自身のAuthenticatorに関するRegistrationを行う
    ことを特徴とする請求項1に記載の端末登録システム。
  4. 前記登録機能部は、前記登録済み端末および前記新規端末とは異なる外部装置に配置され、
    前記登録済み端末の前記Authenticatorからサービスサイト一覧情報を取得し、当該サービスサイト一覧情報をもとに、各サービスサイトについて、前記登録済み端末を外部Authenticatorとして用いてFIDO認証を行いログインした上で、前記新規端末を外部Authenticatorとして用い、新規にRegistrationを行う
    ことを特徴とする請求項1に記載の端末登録システム。
  5. 前記登録機能部は、
    ユーザに対して、各サービスサイトへの登録進捗状況を通知する
    ことを特徴とする請求項1に記載の端末登録システム。
  6. 前記登録機能部は、
    各サービスサイトへの登録が失敗した場合、所定回数のリトライを実行するリトライ制御を行う
    ことを特徴とする請求項1に記載の端末登録システム。
  7. 秘密鍵を用いてFIDO(Fast IDentity Online)認証する複数の端末と、前記端末が利用するサービスサイトとが通信可能に接続され、登録済み端末を用いて、複数の前記サービスサイトに対する新規端末を登録する端末登録システムの端末登録方法であって、
    前記登録済み端末は、
    前記秘密鍵と前記サービスサイトにアクセスするためのURLとを紐付けるサービスサイト一覧情報をAuthenticatorに有し、
    登録機能部は、
    前記サービスサイト一覧情報を取得し、当該サービスサイト一覧情報をもとに、前記登録済み端末の秘密鍵を用いて登録対象のサービスサイトへFIDO認証するステップと、
    前記新規端末で新規に生成した暗号鍵のRegistrationを行うステップと、
    を実行する端末登録方法。
JP2018018867A 2018-02-06 2018-02-06 端末登録システムおよび端末登録方法 Active JP6600369B2 (ja)

Priority Applications (5)

Application Number Priority Date Filing Date Title
JP2018018867A JP6600369B2 (ja) 2018-02-06 2018-02-06 端末登録システムおよび端末登録方法
US16/964,806 US11483159B2 (en) 2018-02-06 2019-02-05 Terminal registration system and terminal registration method
PCT/JP2019/004088 WO2019156081A1 (ja) 2018-02-06 2019-02-05 端末登録システムおよび端末登録方法
US17/824,488 US11917076B2 (en) 2018-02-06 2022-05-25 Terminal registration system and terminal registration method
US17/824,670 US20220286297A1 (en) 2018-02-06 2022-05-25 Terminal registration system and terminal registration method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018018867A JP6600369B2 (ja) 2018-02-06 2018-02-06 端末登録システムおよび端末登録方法

Publications (2)

Publication Number Publication Date
JP2019140423A true JP2019140423A (ja) 2019-08-22
JP6600369B2 JP6600369B2 (ja) 2019-10-30

Family

ID=67548096

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018018867A Active JP6600369B2 (ja) 2018-02-06 2018-02-06 端末登録システムおよび端末登録方法

Country Status (3)

Country Link
US (3) US11483159B2 (ja)
JP (1) JP6600369B2 (ja)
WO (1) WO2019156081A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2021069402A (ja) * 2019-10-29 2021-05-06 株式会社三洋物産 遊技機

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6600369B2 (ja) * 2018-02-06 2019-10-30 日本電信電話株式会社 端末登録システムおよび端末登録方法
FR3095528B1 (fr) * 2019-04-25 2021-05-21 CopSonic Jeton matériel d’authentification à validation déportée
US11777917B2 (en) 2020-10-15 2023-10-03 Cisco Technology, Inc. Multi-party cloud authenticator
US20230141952A1 (en) * 2020-11-09 2023-05-11 Medical Data Networks, LLC System and method for third-party password-less access to a secure database
EP4080390A1 (en) * 2021-04-19 2022-10-26 Thales DIS France SA A method for granting a user access through a user access device hosting a client application to a service coming from a set of services of a server application hosted by a distant server

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016521403A (ja) * 2013-03-22 2016-07-21 ノック ノック ラブズ, インコーポレイテッドNok Nok Labs, Inc. 高度な認証技術及びその応用
JP2017152877A (ja) * 2016-02-24 2017-08-31 日本電信電話株式会社 電子鍵再登録システム、電子鍵再登録方法およびプログラム

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105474573B (zh) * 2013-09-19 2019-02-15 英特尔公司 用于同步并恢复参考模板的技术
US9503894B2 (en) * 2014-03-07 2016-11-22 Cellco Partnership Symbiotic biometric security
JP6600369B2 (ja) * 2018-02-06 2019-10-30 日本電信電話株式会社 端末登録システムおよび端末登録方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016521403A (ja) * 2013-03-22 2016-07-21 ノック ノック ラブズ, インコーポレイテッドNok Nok Labs, Inc. 高度な認証技術及びその応用
JP2017152877A (ja) * 2016-02-24 2017-08-31 日本電信電話株式会社 電子鍵再登録システム、電子鍵再登録方法およびプログラム

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2021069402A (ja) * 2019-10-29 2021-05-06 株式会社三洋物産 遊技機

Also Published As

Publication number Publication date
JP6600369B2 (ja) 2019-10-30
US20210058256A1 (en) 2021-02-25
WO2019156081A1 (ja) 2019-08-15
US11917076B2 (en) 2024-02-27
US20220286297A1 (en) 2022-09-08
US11483159B2 (en) 2022-10-25
US20220286296A1 (en) 2022-09-08

Similar Documents

Publication Publication Date Title
JP6600369B2 (ja) 端末登録システムおよび端末登録方法
JP5375976B2 (ja) 認証方法、認証システムおよび認証プログラム
JP2017107396A (ja) 権限委譲システム、情報処理装置、認可サーバ、制御方法およびプログラム
WO2019239591A1 (ja) 認証システム、認証方法、アプリケーション提供装置、認証装置、及び認証用プログラム
US11811750B2 (en) Mobile device enabled desktop tethered and tetherless authentication
US20220303268A1 (en) Passwordless login
US11849053B2 (en) Automation of user identity using network protocol providing secure granting or revocation of secured access rights
JP2011215753A (ja) 認証システムおよび認証方法
US20180262485A1 (en) Authentication in a multi-tenant environment
JPWO2020070807A1 (ja) 認証システム、認証方法、アプリケーション提供装置、認証装置、認証用プログラム
US20240039729A1 (en) Efficient transfer of authentication credentials between client devices
US20240146533A1 (en) Enhanced login processes using proprietary security and protocol for sharing and managing personal information
JP7079528B2 (ja) サービス提供システム及びサービス提供方法
KR100993333B1 (ko) 인터넷 접속 도구를 고려한 사용자 인증 방법 및 시스템
JP2019046133A (ja) 情報処理装置、制御方法、およびプログラム
CA2877604C (en) System and method of resolving a domain name
JP6080282B1 (ja) 認証処理システム、認証補助サーバ及びウェブ表示プログラム
KR20140043628A (ko) 보안 로그인 처리 방법
JP5749222B2 (ja) アクセス許可制御システム、アクセス許可制御方法
JP7323191B2 (ja) 位置情報を用いた認証システム
JP2012079285A (ja) 二要素ユーザ認証システム、およびその方法
JP2008217151A (ja) 認証代理装置、認証代理方法、及び認証代理プログラム
JP2004078622A (ja) ユーザ認証の統合管理
JP2015114715A (ja) 認証方法、認証システム、Webサーバ、利用者端末、認証プログラム及び記録媒体
JP2020154767A (ja) サービス提供装置、サービス提供プログラム、及びサービス提供システム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190731

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20191001

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20191004

R150 Certificate of patent or registration of utility model

Ref document number: 6600369

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150