JP2019185774A - ブロックチェーン基盤の統合ログイン方法、端末及びこれを利用したサーバ - Google Patents

ブロックチェーン基盤の統合ログイン方法、端末及びこれを利用したサーバ Download PDF

Info

Publication number
JP2019185774A
JP2019185774A JP2019068033A JP2019068033A JP2019185774A JP 2019185774 A JP2019185774 A JP 2019185774A JP 2019068033 A JP2019068033 A JP 2019068033A JP 2019068033 A JP2019068033 A JP 2019068033A JP 2019185774 A JP2019185774 A JP 2019185774A
Authority
JP
Japan
Prior art keywords
application
support server
authentication support
certificate
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2019068033A
Other languages
English (en)
Other versions
JP6716744B2 (ja
Inventor
ジュンソン オ
Joon Sun Uhr
ジュンソン オ
ジェウ ホン
Jay Wu Hong
ジェウ ホン
ムンギュ ソ
Moon Gju Suh
ムンギュ ソ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Coinplug Inc
Original Assignee
Coinplug Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Coinplug Inc filed Critical Coinplug Inc
Publication of JP2019185774A publication Critical patent/JP2019185774A/ja
Application granted granted Critical
Publication of JP6716744B2 publication Critical patent/JP6716744B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/18File system types
    • G06F16/182Distributed file systems
    • G06F16/1824Distributed file systems implemented using Network-attached Storage [NAS] architecture
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Power Engineering (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

【課題】統合的なログインを可能にしながらユーザ認証情報を外部攻撃から保護できる統合ログイン方法、端末及びサーバを提供する。【解決手段】第1アプリケーション110を備えるユーザ端末は、統合ログイン要請を第1認証支援サーバへ転送するS61、S62。第1認証支援サーバは、第1ブロックチェーンへログイン情報に対応する第1ユーザ認証書の確認を要請するS63。第1ブロックチェーンは、確認結果を第1認証支援サーバへ転送するS65。第1ブロックチェーンに第1ユーザ認証書の登録が確認されると、第1認証支援サーバは、検証確認値を含む署名値要請情報をユーザ端末へ転送するS66。ユーザ端末は検証確認値の署名値を生成しS67、生成した署名値を第1認証支援サーバへ転送するS68。第1認証支援サーバは、署名値を検証しS69、署名値が有効であるならば、ユーザ端末にサービスの利用を可能するよう支援するS70、S71。【選択図】図6

Description

本発明はブロックチェーン基盤の統合ログイン方法、端末及びこれを利用したサーバに関する。
超高速インターネット網の発達に伴い、多様なサービスに対するユーザの要求事項が増加した。そして、かかるサービスを利用するユーザはいくつかのサービスを利用するか応用プログラムを活用するにあたり、各サービス別に個別のIDとパスワードを管理している。
また、金融サービスを提供するサービス業や応用プログラムはユーザのアクセス権限をより正確に判別するために、IDとパスワード以外に追加で公認認証書パスワードなどの個人情報を要求している。
しかし、ユーザが提供を受けるサービスの増加に伴い、ユーザが記憶しなければならないIDとパスワードが増加するようになり、これはユーザがウェブ(web)サービスまたは応用プログラムを利用するのに多くの不便を招くようになった。
そして、最近はスマートフォン(smart phone)の発達によってユーザが提供を受けようとするサービスの数字が幾何級数的に増加することによって、かかるサービスごとに別途のIDとパスワードを記憶することは、単に個人の不便の程度を越えて大きな社会的費用の問題点に至るようになった。即ち、サービス業の側面ではいくつかの連携されたサービスを提供するようになることに伴い、重複ユーザの認証情報を別に管理しなければならないという多くの費用的な問題点が発生した。
かかる問題点を解決し、サービスに接続するID及びパスワードの効率的な管理の側面から、統合ログイン方式であるシングルサインオン(single sign on:SSO)という認証システムが導入されている。
しかし、シングルサインオンシステムはユーザの認証情報が攻撃者によって奪取される場合、すべてのサービスに攻撃者がアクセスできるようにするという問題点がある。
従って、シングルサインオンのように統合的なログインを可能にしながらも、個人情報のようなユーザ認証情報を外部攻撃から効果的に保護できる新たな保安アルゴリズム(algorithm)の必要性が台頭している。
本発明は上述した問題点をすべて解決することをその目的とする。
また、本発明は仮想通貨のブロックチェーン技術を利用してユーザの認証情報を外部攻撃から効果的に保護できるようにする統合ログインを提供することを他の目的とする。
また、本発明はユーザ認証書をハッシュ関数と暗号化技術を利用して保安が保障されて偽/変造が不可能な統合ログインを提供することをまた他の目的とする。
また、本発明は一回性の検証確認値を介してユーザを認証するので、ユーザ情報の盗用による問題点を予め防止できるようにする統合ログインを提供することをまた他の目的とする。
上記目的を達成するための本発明の代表的な構成は次の通りである。
本発明の一実施例によれば、ブロックチェーン基盤の統合ログイン方法において、(a)ユーザ端末の第1アプリケーション-前記第1アプリケーションは前記ユーザ端末に設置されて第1サービスサーバで提供されるサービスを利用可能にするアプリケーションである-を介して生成された第1PKI認証書を利用した第1ユーザ認証書登録要請情報が前記ユーザ端末または前記ユーザ端末に連動される他装置から獲得されると、認証支援サーバが、前記ユーザ端末の第1アプリケーションに前記第1PKI認証書の第1プライベートキーを利用して第1検証確認値を署名した第1署名値を要請して、前記ユーザ端末または前記ユーザ端末に連動される他装置から前記第1署名値が獲得されると、前記第1署名値を検証するか前記認証支援サーバに連動される他装置をもって前記第1署名値を検証するように支援し、前記第1署名値が有効であると確認されると少なくとも前記第1PKI認証書の第1パブリックキーと認証書登録情報とを含む前記第1ユーザ認証書が第1ブロックチェーンに登録されるようにするか前記認証支援サーバに連動される他装置をもって前記第1ユーザ認証書を前記第1ブロックチェーンに登録するように支援する段階と、(b)前記ユーザ端末の第2アプリケーション-前記第2アプリケーションは前記ユーザ端末に設置されて第2サービスサーバで提供されるサービスを利用可能にするアプリケーションである-を介した第2ユーザ認証書-前記第2ユーザ認証書は前記第2アプリケーションに対応して第2ブロックチェーンに登録されるものである-確認要請に対応して前記第2ブロックチェーンに確認した結果、前記第2ユーザ認証書が前記第2ブロックチェーンに登録されていないと確認されて前記第2サービスサーバに連動される他認証支援サーバから前記第1ユーザ認証書の確認要請情報が獲得されると、前記認証支援サーバが、前記第1ブロックチェーンに登録された前記第1ユーザ認証書を確認するか前記認証支援サーバに連動される他装置をもって前記第1ブロックチェーンに登録された前記第1ユーザ認証書を確認するように支援して、少なくとも第2検証確認値を含む前記第1ユーザ認証書に対する確認結果情報を前記他認証支援サーバを介して前記ユーザ端末の前記第2アプリケーションに転送するか前記認証支援サーバに連動される他装置をもって前記第1ユーザ認証書に対する確認結果情報が前記他認証支援サーバを介して前記ユーザ端末の前記第2アプリケーションに転送されるようにすることで前記第2アプリケーションをもって、前記第1アプリケーションを介して前記第2検証確認値を前記第1プライベートキーで署名した第2署名値を前記認証支援サーバに転送するように、前記第1アプリケーションに要請するようにする段階、及び(c)前記ユーザ端末の前記第1アプリケーションから少なくとも前記第2署名値が獲得されるか前記ユーザ端末に連動される他装置から少なくとも前記第2署名値が獲得されると、前記認証支援サーバが、前記第2署名値を検証するか前記認証支援サーバに連動される他装置または前記第1ブロックチェーンをもって前記第2署名値を検証するように支援し、前記第2署名値が有効であると確認されると検証結果を前記ユーザ端末の前記第1アプリケーションに転送するか前記認証支援サーバに連動される他装置を介して前記検証結果が前記ユーザ端末の前記第1アプリケーションに転送されるようにすることで(i)前記第1アプリケーションが前記検証結果を前記第2アプリケーションに転送して、前記第2アプリケーションが第2PKI認証書を生成して前記第2PKI認証書を利用した第2ユーザ認証書登録要請情報を前記他認証支援サーバに転送するようにして、(ii)前記第2ユーザ認証書登録要請情報に対応して前記他認証支援サーバが(ii‐1)前記第2アプリケーションに前記第2PKI認証書の第2プライベートキーを利用して第3検証確認値を署名した第3署名値を要請して、(ii‐2)前記ユーザ端末または前記ユーザ端末に連動される他装置から前記第3署名値が獲得されると、前記第3署名値を検証するか前記他認証支援サーバに連動される他装置または前記第2ブロックチェーンをもって前記第3署名値を検証するように支援して前記第3署名値が有効であると確認されると少なくとも前記第2PKI認証書の第2パブリックキーと認証書登録情報とを含む第2ユーザ認証書が前記第2ブロックチェーンに登録されるように支援する段階、を含む方法が提供される。
また、本発明の一実施例によれば、ブロックチェーン基盤の統合ログイン方法において、(a)ユーザ端末の多数のアプリケーション-前記多数のアプリケーション各々は前記ユーザ端末に設置されて各々のサービスサーバで提供される各々のサービスを利用可能にするアプリケーションである-を介して各々生成されたPKI認証書を利用した各々のユーザ認証書が前記各々のサービスサーバに対応される各々のブロックチェーンに登録された状態で、前記ユーザ端末の特定アプリケーションにおけるログイン情報を利用した統合ログイン要請情報が前記ユーザ端末または特定サービスサーバから獲得されると、認証支援サーバが、前記ログイン情報に対応される特定ユーザ認証書が前記特定サービスサーバに対応される特定ブロックチェーンに登録されているかを確認するか前記認証支援サーバに連動される他装置をもって確認するように支援する段階、及び(b)前記特定ユーザ認証書が前記特定ブロックチェーンに登録されているかを確認した結果登録されていないと確認されると、前記認証支援サーバが、前記各々のサービスサーバに対応される各々の他認証支援サーバのうち少なくとも一つの他認証支援サーバに統合ログインセッションがあるか確認を要請することで前記少なくとも一つの他認証支援サーバをもって前記少なくとも一つの他認証支援サーバに連動されるブロックチェーンから前記統合ログインセッションを確認するようにするか前記少なくとも一つの他認証支援サーバに連動される他装置を介して確認するように支援して、前記少なくとも一つの他認証支援サーバから前記統合ログインセッションに対する確認情報が獲得されると、前記特定サービスサーバまたは前記ユーザ端末の前記特定アプリケーションをもって前記統合ログインセッションを連携するようにすることで前記特定アプリケーションを介して前記特定サービスサーバで提供されるサービスを利用可能になるように支援する段階、を含むことを特徴とする方法が提供される。
また、本発明の一実施例によれば、ブロックチェーン基盤の統合ログイン方法において、(a)ユーザ端末が、第1アプリケーション-前記第1アプリケーションは前記ユーザ端末に設置されて第1サービスサーバで提供されるサービスを利用可能にするアプリケーションである-を介して生成された第1PKI認証書を利用した第1ユーザ認証書登録要請情報を認証支援サーバに転送するか前記サービスサーバをもって前記第1ユーザ認証書登録要請情報を前記認証支援サーバに転送するように支援することで前記認証支援サーバをもって第1検証確認値を含む第1署名値要請情報を前記ユーザ端末に転送するようにするか前記サービスサーバを介して前記ユーザ端末の前記第1アプリケーションに転送されるようにして、前記認証支援サーバまたは前記サービスサーバから前記第1検証確認値を含む前記第1署名値要請情報が獲得されると、前記第1アプリケーションに対応される前記第1PKI認証書の第1プライベートキーを利用して前記第1検証確認値を署名して第1署名値を生成し、前記第1署名値を前記認証支援サーバに転送するか前記サービスサーバをもって前記第1署名値を前記認証支援サーバに転送するようにすることで前記認証支援サーバをもって(i)前記第1署名値を検証するか前記認証支援サーバに連動される他装置をもって前記第1署名値を検証するようにし(ii)前記第1署名値が有効であると確認されると少なくとも前記第1PKI認証書の第1パブリックキーと認証書登録情報とを含む第1ユーザ認証書を第1ブロックチェーンに登録するか前記認証支援サーバに連動される他装置を介して前記第1ユーザ認証書が前記第1ブロックチェーンに登録されるように支援する段階と、(b)前記ユーザ端末が、第2アプリケーション-前記第2アプリケーションは前記ユーザ端末に設置されて第2サービスサーバで提供されるサービスを利用可能にするアプリケーションである-を介した第2ユーザ認証書-前記第2ユーザ認証書は前記第2アプリケーションに対応して第2ブロックチェーンに登録されるものである-確認要請情報を前記第2サービスサーバに連動される他認証支援サーバに転送するか前記ユーザ端末に連動される他装置を介して前記他認証支援サーバに転送して、前記他認証支援サーバが前記第2ブロックチェーンに前記第2ユーザ認証書が登録されているかを確認するようにして前記第2ユーザ認証書が前記第2ブロックチェーンに登録されていない結果に対応して前記第1ユーザ認証書照会要請を前記認証支援サーバに転送するようにすることで前記認証支援サーバをもって前記第1ブロックチェーンに登録された前記第1ユーザ認証書を確認するか前記認証サーバに連動される他装置を介して確認するように支援して少なくとも第2検証確認値を含む前記第1ユーザ認証書に対する確認結果情報を前記ユーザ端末の第2アプリケーションに転送するか前記他認証支援サーバを介して前記第2アプリケーションに転送するようにする段階、及び(c)前記第1ユーザ認証書に対する確認結果情報が前記第2アプリケーションを介して獲得されると、前記ユーザ端末が、前記第2アプリケーションを介して前記第2検証確認値を前記第1アプリケーションに転送して前記第1アプリケーションが前記第1プライベートキーで前記第2検証確認値を署名した第2署名値を前記認証支援サーバに転送するようにするか前記サービスサーバを介して前記認証支援サーバに転送するようにして、前記認証支援サーバが前記第2署名値を検証するようにするか前記第1ブロックチェーンを介して前記第2署名値を検証するようにした結果前記第2署名値が有効であると確認されると検証結果を前記第1アプリケーションに転送するか前記認証支援サーバに連動される他装置を介して第1アプリケーションに転送するようにして、前記第1アプリケーションを介して前記検証結果が獲得されると、前記第1アプリケーションが前記検証結果を前記第2アプリケーションに転送するようにし、前記第2アプリケーションが前記検証結果に対応して第2PKI認証書を生成して生成された前記第2PKI認証書を利用した前記第2ユーザ認証書登録要請情報を前記他認証支援サーバに転送するか前記ユーザ端末に連動される他装置を介して前記他認証支援サーバに転送されるようにすることで前記他認証支援サーバをもって前記前記第2アプリケーションに第3検証確認値を含む第3署名値要請情報を転送するか前記他認証支援サーバに連動される他装置を介して転送するようにして、前記第3署名値要請情報が獲得されると、前記第2アプリケーションを介して前記第3検証確認値を前記第2PKI認証書の第2プライベートキーを利用して署名した第3署名値を前記他認証支援サーバに転送するか前記ユーザ端末に連動される他装置を介して前記他認証支援サーバに転送されるようにすることで前記他認証支援サーバをもって、前記第3署名値を検証するか前記他認証支援サーバに連動される他装置を介して前記第3署名値を検証するようにした結果前記第3署名値が有効であると確認されると少なくとも前記第2PKI認証書の第2パブリックキーと認証書登録情報とを含む前記第2ユーザ認証書を前記第2ブロックチェーンに登録するか前記他認証支援サーバに連動される他装置を介して前記第2ユーザ認証書を前記第2ブロックチェーンに登録するようにする段階、を含むことを特徴とする方法が提供される。
また、本発明の一実施例によれば、前記の方法を遂行するためのユーザ端末及び認証支援サーバが提供される。
この他にも、本発明の方法を実行するためのコンピュータープログラムを記録するためのコンピュータで判読可能な記録媒体がさらに提供される。
本発明によれば、次のような効果がある。
本発明は仮想通貨のブロックチェーン技術を利用して統合ログインを具現することでユーザの認証情報を外部攻撃から効果的に保護できるようになる。
また、本発明は統合ログインのためのユーザ認証書をハッシュ関数と暗号化技術を利用して保護することで保安が保障されて偽/変造が不可能な統合ログインを提供できるようになる。
また、本発明は一回性の検証確認値を介して統合ログインのためのユーザを認証するので、ユーザ情報盗用による問題点を予め防止できるようになる。
図1は本発明の一実施例にかかるブロックチェーン基盤の統合ログインシステムを概略的に示したものであり、 図2は本発明の一実施例にかかるブロックチェーン基盤の統合ログイン方法で第1ユーザ認証書を登録する方法を概略的に示したものであり、 図3と図4は本発明の一実施例にかかるブロックチェーン基盤の統合ログイン方法で統合ログインと関連したトランザクションをブロックチェーンに登録する他の例を概略的に示したものであり、 図5は本発明の一実施例にかかるブロックチェーン基盤の統合ログイン方法で第2ユーザ認証書を登録する方法を概略的に示したものであり、 図6は本発明の一実施例にかかるブロックチェーン基盤の統合ログイン方法で統合ログインを遂行する方法を概略的に図示したものである。
後述する本発明に対する詳細な説明は、本発明が実施され得る特定の実施例を例示として示す添付の図面を参照する。これらの実施例は当業者が本発明を実施することができるように充分詳細に説明される。本発明の多様な実施例は相互異なるが、相互排他的である必要はないことを理解されたい。例えば、ここに記載されている特定の形状、構造及び特性は一実施例にかかる本発明の精神及び範囲を逸脱せずに他の実施例で具現され得る。
また、各々の開示された実施例内の個別構成要素の位置または配置は本発明の精神及び範囲を逸脱せずに変更され得ることを理解されたい。従って、後述する詳細な説明は限定的な意味で捉えようとするものではなく、本発明の範囲は、適切に説明されると、その請求項が主張することと均等なすべての範囲と、併せて添付された請求項によってのみ限定される。図面で類似する参照符号はいくつかの側面にかけて同一か類似する機能を指称する。
以下、本発明が属する技術分野で通常の知識を有する者が本発明を容易に実施することができるようにするために、本発明の好ましい実施例について添付の図面を参照して詳細に説明することとする。
図1は本発明の一実施例にかかるブロックチェーン基盤の統合ログインシステムを概略的に示したものであり、システムはユーザ端末100、第1サービスサーバ210と第2サービスサーバ220、第1認証支援サーバ310と第2認証支援サーバ320、及び第1ブロックチェーン410と第2ブロックチェーン420を含み得る。
まず、ユーザ端末100はユーザにサービスされる情報を表示して統合ログインのための情報の入力及び表示のためのデバイスとして、PC、モバイルコンピュータ、PDA/EDA、携帯電話、スマートフォン、タブレットなどを含み得る。そして、ユーザ端末100はこれに限定されず、有・無線通信機能を有する携帯用ゲーム機、デジタルカメラ、パーソナルナビゲーションなどのすべての通信デバイスを含み得る。また、ユーザ端末100は情報の送受信を支援する通信部と情報を処理するプロセッサを含み得る。
次に、第1サービスサーバ210と第2サービスサーバ220はユーザが使用し得る多様なサービスを提供するものとして、情報の送受信を支援する通信部と情報を処理するプロセッサを含み得る。
次に、第1認証支援サーバ310と第2認証支援サーバ320はブロックチェーン基盤の統合ログインを遂行するものとして、各々通信部とプロセッサを含み得る。同一の参照符号を利用して示したのは説明の便宜のために過ぎず、これらの個別装置が同一であるという意味で意図されたものではない。そして、本発明の他の実施例における方法は、サーバを別に構成して当該方法を遂行するか同一の認証支援サーバを介して当該方法を遂行する場合もある。また、第1認証支援サーバ310と第2認証支援サーバ320は各々のブロックチェーンの各々のノードに対応するサーバであるか、各々のブロックチェーンのノードを管理するサーバまたはトランザクションサーバであり得る。
具体的に、第1認証支援サーバ310と第2認証支援サーバ320は典型的にコンピュータ装置(例えば、コンピュータプロセッサ、メモリ、ストレージ、入力装置及び出力装置、その他既存のコンピュータ装置の構成要素を含み得る装置と、ルータ、スイッチなどのような電子通信装置と、ネットワーク接続ストレージ(NAS)及びストレージエリアネットワーク(SAN)のような電子情報ストレージシステム)とコンピュータソフトウェア(即ち、コンピュータ装置をもって特定の方式で機能させるインストラクション)の組み合わせを利用して所望のシステム性能を達成するものであり得る。
かかるコンピュータ装置の通信部は連動される他コンピュータ装置と要請と応答を送受信し得て、一例示としてかかる要請と応答は同一のTCPセッションによってなされ得るが、これに限定されず、例えばUDPデータグラムとして送受信される場合もある。
また、コンピュータ装置のプロセッサはMPU(Micro Processing Unit)またはCPU(Central Processing Unit)、キャッシュメモリ(Cache Memory)、データバス(Data Bus)などのハードウェア構成を含み得る。また、運営体制、特定の目的を遂行するアプリケーションのソフトウェア構成をさらに含む場合もある。
次に、第1ブロックチェーン410と第2ブロックチェーン420は各々第1認証支援サーバ310と第2認証支援サーバ320に連動されるものとして、データに対するブロックをチェーンで連結して分散元帳に記録するデータ分散処理を遂行する主体であり得る。この時、第1ブロックチェーン410と第2ブロックチェーン420は各々多数のブロックチェーンから構成され得て、各々のブロックチェーンはプライベートブロックチェーンまたはパブリックブロックチェーンであり得る。
このように構成されたシステムを介して本発明の一実施例にかかるブロックチェーン基盤の統合ログイン方法を説明すると次の通りである。
まず、図2を参照して本発明の一実施例にかかるブロックチェーン基盤の統合ログイン方法で第1ユーザ認証書を登録する方法を説明する。
ユーザは第1サービスサーバ210で提供されるサービスに対応する第1ユーザ認証書を登録するためにユーザ端末100に設置された多数のアプリケーションのうち登録しようとする第1ユーザ認証書に対応される第1アプリケーション110を介して第1PKI認証書の生成を要請して、それによってユーザ端末100は第1アプリケーション110を介してユーザをもって第1PKI認証書、好ましくは第1PKI認証書の第1プライベートキーへのアクセス許容のためのパス情報を設定するようにする(S1)。この時、パス情報はパスワード、PINコード、ユーザの指紋情報、及びユーザの生体情報のうち少なくとも一つを含み得る。また、PKI認証書に対するアクセス制御のためのパス情報の設定を省略する場合もある。
その後、ユーザによるパス情報が設定されると、ユーザ端末100は第1アプリケーション110を介して第1プライベートキーと第1パブリックキーとを含む第1PKI認証書を生成する(S2)。この時、第1プライベートキーはユーザ端末100のSE領域に保存され得る。
そして、ユーザ端末100は第1アプリケーション110を介して生成された第1PKI認証書を利用した第1ユーザ認証書登録要請情報を第1サービスサーバ210に対応される第1認証支援サーバ310に転送するかユーザ端末100に連動される他装置または第1サービスサーバ210を介して第1認証支援サーバ310に転送されるようにし得る(S3)。この時、第1ユーザ認証書登録要請情報は第1パブリックキー、電話番号などのユーザ識別情報、UUID(universally unique identifier)などのユーザ端末識別情報、第1アプリケーション識別情報、第1アプリケーションに対応されるプッシュトークンID、及びユーザ個人情報のうち少なくとも一つを含み得る。
前記PKI認証書の生成動作以前に、ユーザはユーザ端末100の第1アプリケーション110を介してIDとパスワードなどを利用する一般的な方法によって第1サービスサーバ210に接続した状態で第1ユーザ認証書登録のための動作を遂行するようにし得て、一般的な方法によって第1サービスサーバ210にログインした状態でARS認証、口座、クレジットカード、公認認証書などの個人識別情報を利用した追加認証を遂行する場合もある。
そして、第1認証支援サーバ310は通信部を介してユーザ端末100または第1サービスサーバ210から転送される第1ユーザ認証書登録要請情報を獲得して、プロセッサは通信部を介して獲得された第1ユーザ認証書登録要請情報に対応してユーザ端末100の第1アプリケーション110に第1PKI認証書の第1プライベートキーを利用して第1検証確認値を署名した第1署名値を要請するか第1認証支援サーバ310に連動される他装置または第1サービスサーバ210を介して第1アプリケーション110に第1署名値に対する要請が転送されるようにする(S4)。この時、第1検証確認値はノンス(nonce)、OTP(one time password)、またはタイムスタンプなどを含み得る。
そして、第1署名値要請に対応してユーザ端末100の第1アプリケーション110は第1プライベートキーを利用して第1検証確認値を署名した第1署名値を生成して(S5)、生成された第1署名値を第1認証支援サーバ310に転送するかユーザ端末100に連動される他装置または第1サービスサーバ210を介して第1署名値が第1認証支援サーバ310に転送されるようにする(S6)。この時、ユーザ端末100の第1アプリケーション110は第1署名値を生成する以前、ユーザにパス情報の入力を要請してユーザによって入力されたパス情報が設定されたパス情報と一致する場合、第1プライベートキーを利用した第1検証確認値に対する署名が可能になるようにし得る。
その後、第1認証支援サーバ310は獲得される第1署名値が有効であるかを検証するか第1認証支援サーバ310に連動される他装置をもって検証するようにする(S7)。
この時、第1署名値の検証は第1署名値の署名に利用された第1プライベートキーに対応される第1パブリックキーを利用して第1署名値の署名に用いられた第1署名値の検証確認値を確認し、確認された第1署名値の検証確認値が署名要請時に転送した第1検証確認値と一致するかを比較することでなされ得る。
そして、第1署名値の検証結果有効であると確認されると、第1認証支援サーバ310は少なくとも第1パブリックキーと認証書登録情報とを含む第1ユーザ認証書を第1ブロックチェーン410に登録するように要請するか第1認証支援サーバ310に連動される他装置をもって第1ユーザ認証書を第1ブロックチェーン410に登録するように要請(S8)することで第1ブロックチェーン410をもって第1ユーザ認証書を登録するようにして(S9)、登録結果を第1認証支援サーバ310に転送するようにして(S10)、登録結果が獲得されると、第1認証支援サーバ310は登録結果をユーザ端末100に転送するか第1認証支援サーバ310に連動される他装置または第1サービスサーバ210を介してユーザ端末100に転送されるようにし得る(S11)。この時、第1ブロックチェーン410に登録される第1ユーザ認証書は第1パブリックキー、電話番号などのユーザ識別情報、UUID(universally unique identifier)などのユーザ端末識別情報、第1アプリケーション識別情報、第1アプリケーションに対応されるプッシュトークンID、及びユーザ個人情報のうち少なくとも一つを含み得る。また、第1ユーザ認証書は第1パブリックキー、電話番号などのユーザ識別情報、UUID(universally unique identifier)などのユーザ端末識別情報、第1アプリケーション識別情報、第1アプリケーションに対応されるプッシュトークンID、及びユーザ個人情報のうち少なくとも一つのハッシュ値を含み得る。
上記では第1ユーザ認証書を第1ブロックチェーン410に登録したが、第1ブロックチェーン410が多数からなる場合があり、一例として、第1ブロックチェーン410が第1‐1ブロックチェーンと第1‐2ブロックチェーンから構成される場合、第1認証支援サーバ310が第1ユーザ認証書を第1‐1ブロックチェーンと第1‐2ブロックチェーンに登録する過程を詳細に説明すると次の通りである。
第1認証支援サーバ310は第1ユーザ認証書を第1‐1ブロックチェーンに登録するか第1認証支援サーバ310に連動される他装置をもって第1‐1ブロックチェーンに登録するようにする。
そして、第1‐2ブロックチェーンに所定のハッシュ値を登録するためのトリガリング条件が満たされると、第1認証支援サーバ310は第1ユーザ認証書にハッシュ関数を適用して生成した第1特定ハッシュ値と第1特定ハッシュ値にマッチングされる少なくとも一つの隣接ハッシュ値を演算することでマークルルートである第1代表ハッシュ値または第1代表ハッシュ値を加工した値を生成する。
また、第1認証支援サーバ310は生成された第1代表ハッシュ値または第1代表ハッシュ値を加工した値を第1‐2ブロックチェーンに登録するか第1認証支援サーバ310に連動される他装置または第1‐1ブロックチェーンをもって第1代表ハッシュ値または第1代表ハッシュ値を加工した値を第1‐2ブロックチェーンに登録するようにし得る。
一方、第1認証支援サーバ310は第1特定ハッシュ値と少なくとも一つの隣接ハッシュ値を所定のデータ構造で保存して管理し得る。ここで、データ構造は多様であり得るが、一例として、マークルツリー(merkle tree)構造になる場合もある。
即ち、第1認証支援サーバ310は第1特定ハッシュ値が特定のリーフノードに割り当てられたマークルツリー(merkle tree)を生成するか生成するように支援し得て、トリガリング条件が満たされると、第1特定ハッシュ値とマッチングされる少なくとも一つの他のリーフノードに割り当てられたハッシュ値を演算して生成されるマークルルートである第1代表ハッシュ値または第1代表ハッシュ値を加工した値を第1‐2ブロックチェーンに登録するか第1認証支援サーバ310に連動される他装置または第1‐1ブロックチェーンをもって第1‐2ブロックチェーンに登録するように支援し得る。
もう少し具体的に説明すると、(x1)第1認証支援サーバ310は、(i)第1特定ハッシュ値と(ii)第1特定ハッシュ値が割り当てられたノードの兄弟ノードに割り当てられたハッシュ値を演算するか第1認証支援サーバ310に連動された他装置または第1‐1ブロックチェーンをもって演算するように支援し、演算値に対するハッシュ値をノードの親ノードに割り当てるか第1認証支援サーバ310に連動された他装置または第1‐1ブロックチェーンをもって親ノードに割り当てするように支援し得る。(x2)万一、親ノードがマークルツリーのルートノードであれば、親ノードに割り当てられたハッシュ値が第1代表ハッシュ値または第1代表ハッシュ値を加工した値になる。(x3)一方、親ノードがマークルツリーのルートノードでなければ、第1認証支援サーバ310は、親ノードに割り当てられたハッシュ値を第1特定ハッシュ値にして(x1)ないし(x3)を反復して遂行するか第1認証支援サーバ310に連動された他装置または第1‐1ブロックチェーンをもって親ノードに割り当てられたハッシュ値を第1特定ハッシュ値にして(x1)ないし(x3)を反復して遂行するように支援し得る。
そして、第1認証支援サーバ310は最終的にマークルツリーのルートノードに割り当てられたハッシュ値を第1代表ハッシュ値または第1代表ハッシュ値を加工した値として第1‐2ブロックチェーンに登録するか第1認証支援サーバ310に連動された他装置または第1‐1ブロックチェーンをもって第1‐2ブロックチェーンに登録するように支援する。この時、第1代表ハッシュ値を加工した値は、例えば、第1代表ハッシュ値にhex演算が遂行された結果値であり得る。
一方、第1認証支援サーバ310が第1特定ハッシュ値と少なくとも一つの隣接ハッシュ値を所定の第1‐1データ構造で保存し、その後第1‐1データ構造と同一の形態の第1‐2データ構造を保存して管理する場合、第1‐1データ構造と第1‐2データ構造はチェーン形態で連結され得る。
特に、上述した例でのように第1‐1データ構造及び第1‐2データ構造がマークルツリーである場合、第1‐1データ構造のルート値またはルート値のハッシュ値が第1‐2データ構造の一番目リーフノードに割り当てられ得る。
また、第1‐2データ構造を生成する時は、第1‐1データ構造に対する検証がなされることでデータintegrityがさらに保証され得る。第1‐2データ構造の検証に対しては後述することにする。
また、チェーン形態で連結された少なくとも一つのマークルツリーのうち一番目マークルツリーの場合、一番目マークルツリーの一番目リーフノードにはテキスト、数字、または記号からなる所定のメッセージデータのハッシュ値またはこれを加工した値が割り当てられ得る。例えば、マークルツリー生成時、第1認証支援サーバ310によって最初に付与された入力メッセージのハッシュ値が割り当てられ得る。
図3及び図4は本発明の一実施例によって生成されたマークルツリーの例を示したものである。
図3ではリーフノードの個数が4個のマークルツリーが示される。図示されたマークルツリーは一番目マークルツリーのため(tree_id=0)、一番目リーフノードであるh0ノードには所定のメッセージデータのハッシュ値(sha256(coinplug_unique_message))が割り当てられたことがわかる。記録データに対する登録要請がある場合、第1認証支援サーバ310は現在構成中であるマークルツリーの最後のリーフノードの次のリーフノードを生成して第1特定ハッシュ値または第1特定ハッシュ値を加工した値を割り当てるか割り当てるように支援する。例えば、図3のマークルツリーで二番目リーフノードであるh1ノードまで値の割当が完了した状態で新たなリーフノードを生成しなければならない場合、次のリーフノードであるh2ノードを生成して第1特定ハッシュ値または第1特定ハッシュ値を加工した値(sha256(input2))を割り当て得る。また、第1認証支援サーバ310は(i)h2ノードに割り当てられた第1特定ハッシュ値と(ii)h2ノードの兄弟ノードであるh3ノードに割り当てられたハッシュ値を演算するか演算するように支援し得る。演算値に対するハッシュ値はh2ノードとh3ノードの親ノード(h23ノード)に割り当てられる。親ノード(h23ノード)がマークルツリーのルートノードではないので、第1認証支援サーバ310はh23ノードに割り当てられたハッシュ値を第1特定ハッシュ値にして前記過程を反復して遂行し得る。即ち、h23ノードに割り当てられたハッシュ値を第1特定ハッシュ値にし、h23ノードに割り当てられたハッシュ値とh01ノードに割り当てられたハッシュ値を演算してh23ノードとh01ノードの親ノード(h0123ノード)に割り当て得る。この時、h0123ノードがマークルツリーのルートノードなので、第1認証支援サーバ310は、h0123ノードに割り当てられたハッシュ値を加工した値(hex(h{node_index}))を第1‐2ブロックチェーンに登録するか第1認証支援サーバ310に連動された他装置または第1‐1ブロックチェーンをもって第1‐2ブロックチェーンに登録するように支援し得る。
一方、上述のトリガリング条件とは、(i)所定の個数分の第1ユーザ認証書と関連したトランザクションが生成される条件、(ii)所定の時間が経過する条件、(iii)第1‐1ブロックチェーンでブロックが生成される条件、(iv)サービス特性に対する条件のうち少なくとも一つを含み得る。
一方、例えば、第1ユーザ認証書と関連したトランザクションがマークルツリーのリーフノードの数分獲得されるとマークルツリーを生成し、マークルツリーのルート値を第1‐2ブロックチェーンに登録するか他装置をもって登録するように支援し得る。
また、第1認証支援サーバ310は所定の時間単位で上述のマークルツリーのルート値を生成し得る(前記(ii)条件)。この場合、第1認証支援サーバ310は所定の時間が経過されるとその時までの入力値を利用してマークルツリーを生成してマークルツリーのルート値を第1‐2ブロックチェーンに登録するか第1認証支援サーバに連動された他装置または第1‐1ブロックチェーンをもって第1‐2ブロックチェーンに登録するように支援し得る。
ところが、この場合には所定の時間が経過したにもかかわらず、マークルツリーの特定ハッシュ値が割り当てられたノードの兄弟ノードに値が割り当てられない可能性がある。このようにトリガリング条件が満たされたにもかかわらず、第1特定ハッシュ値が割り当てられたノードの兄弟ノードにハッシュ値が割り当てられていない場合、第1認証支援サーバ310は、兄弟ノードに所定のハッシュ値を割り当てるか割り当てるように支援して上述の方式でマークルツリーのルート値が算出されるようにし得る。例えば、第1認証支援サーバ310は第1特定ハッシュ値を複製して兄弟ノードに割り当てるか割り当てるように支援し得る。
そして、サービス特性とは、第1ユーザ認証書と関連したトランザクションを発行した発行者が提供した費用情報、第1ユーザ認証書関連トランザクション登録がなされる時間帯情報、第1ユーザ認証書関連トランザクション登録サービスがなされる地域情報、第1ユーザ認証書関連トランザクション登録要請をした会社タイプ情報のうち少なくとも一部がなり得る。但し、ここで記載したものに限定されず、通常認められる差別的サービスが提供され得る多様な条件情報を含む。
一方、新たなマークルツリー生成が始まり、第1ユーザ認証書関連トランザクションがない状態でトリガリング条件が満たされると、第1認証支援サーバ310は、所定のメッセージデータが一番目リーフノードと二番目リーフノードに割り当てられたマークルツリーを生成するか生成するように支援し、マークルツリーのルート値またはこれを加工した値を第1‐2ブロックチェーンに登録するか第1認証支援サーバ310に連動された他装置または第1‐1ブロックチェーンをもって第1‐2ブロックチェーンに登録するように支援し得る。この場合には、リーフノード2個のマークルツリーが生成される場合もある。
また、上述したように第1認証支援サーバ310が第1特定ハッシュ値と少なくとも一つの隣接ハッシュ値を所定の第1‐1データ構造で保存し、その後第1‐1データ構造と同一の形態の第1‐2データ構造を保存して管理する場合、第1‐1データ構造と第1‐2データ構造はチェーン形態で連結され得る。特に、第1‐1データ構造及び第1‐2データ構造がマークルツリーである場合、第1‐1データ構造のルート値またはルート値のハッシュ値が第1‐2データ構造の一番目リーフノードに割り当てられ得る。
図4は本発明の一実施例によって第1‐2データ構造として生成されたマークルツリーを示した図面である。
図4を参照すれば、図3のマークルツリー(tree_id=0)のルート値(hex(h0123))が新たなマークルツリーの一番目リーフノード(h4ノード)に割り当てられたことがわかる(sha256(input4))。本発明はこのようにトランザクション発生時に生成される複数のデータ構造を連結することで中間にデータ変造が発生する場合でも容易にトラッキングが可能であり、データintegrityを向上させる長所を有する。
次に、図5を参照して本発明の一実施例にかかるブロックチェーン基盤の統合ログイン方法で第2ユーザ認証書を登録する方法を説明する。
ユーザは図2と同じ方法によって第1サービスサーバ210に対応する第1ユーザ認証書を登録した状態で、第2サービスサーバ220で提供されるサービスに対応する第2ユーザ認証書を登録するためにユーザ端末100に設置された多数のアプリケーションのうち登録しようとする第2ユーザ認証書に対応される第2アプリケーション120を介して第2認証支援サーバ320に第2ユーザ認証書照会要請情報を転送するかユーザ端末100に連動される他装置または第2サービスサーバ220を介して第2認証支援サーバ320に転送するようにする(S21)。この時、ユーザはユーザ端末100の第2アプリケーション120を介してIDとパスワードなどを利用する一般的な方法によって第2サービスサーバ220に接続した状態で第2ユーザ認証書登録のための動作を遂行するようにし得て、一般的な方法によって第2サービスサーバ220にログインした状態でARS認証、口座、クレジットカード、公認認証書などの個人識別情報を利用した追加認証を遂行する場合もある。
そして、第2認証支援サーバ320は第2ブロックチェーン420にユーザ識別情報またはユーザ端末識別情報を利用して第2ユーザ認証書確認を要請するか第2認証支援サーバ320に連動される他装置を介して第2ブロックチェーン420に第2ユーザ認証書確認を要請するようにして(S22)、第2認証支援サーバ320からの第2ユーザ認証書確認要請に対応して第2ブロックチェーン420はユーザ識別情報またはユーザ端末識別情報などに対応して登録された第2ユーザ認証書を確認し(S23)、第2ユーザ認証書確認結果を第2認証支援サーバ300に転送する(S24)。
この時、第2ユーザ認証書は登録されなかったので、第2ユーザ認証書確認結果は認証書なしとなり得る。
そして、第2認証支援サーバ320は第1認証支援サーバ310に第1ユーザ認証書確認要請をするか第2認証支援サーバ320に連動される他装置を介して第1認証支援サーバ310に第1ユーザ認証書確認要請をするようにし得る(S25)。この時、第1ユーザ認証書確認要請はユーザ識別情報またはユーザ端末の識別情報を含み得て、またユーザ識別情報またはユーザ端末の識別情報のハッシュ関数を含み得る。
そして、第1認証支援サーバ310は第2認証支援サーバ320から獲得される第1ユーザ認証書確認要請に対応して第1ブロックチェーン410に第1ユーザ認証書確認を要請して(S26)、第1ブロックチェーン410は第1ユーザ認証書が登録されているかを確認し(S27)確認された第1ユーザ認証書確認結果を第1認証支援サーバ310に転送する(S28)。この時、第1ユーザ認証書確認結果は第2検証確認値、第1ユーザ認証書に対応されるアプリケーション、即ち第1アプリケーションに対する第1アプリケーションID、及び第1アプリケーションへの第2検証確認値転送と第2検証確認値に対する署名要請のためのURL schemeを含み得る。また、第2検証確認値はノンス(nonce)、OTP(one time password)、またはタイムスタンプなどを含み得る。
一方、第1ブロックチェーン410が第1‐1ブロックチェーンと第1‐2ブロックチェーンから構成された場合には、ユーザ識別情報またはユーザ端末識別情報に対応して第1‐2ブロックチェーンに登録された第1代表ハッシュ値または第1代表ハッシュ値を加工した値を確認し、第1‐2ブロックチェーンで確認された第1代表ハッシュ値または第1代表ハッシュ値を加工した値と対応して第1‐1ブロックチェーンに登録されたマークルツリー情報及びリーフノード情報を確認して、マークルツリー情報及びリーフノード情報を参照して第1‐1ブロックチェーンに登録された第1ユーザ認証書を確認するか他装置をもって確認するように支援し得る。
そして、第1認証支援サーバ310は獲得された第1ユーザ認証書確認結果を第2認証支援サーバ320に転送するか第1認証支援サーバ310に連動される他装置を介して第1ユーザ認証書確認結果が第2認証支援サーバ320に転送されるようにする(S29)。
そして、第2認証支援サーバ320は第1認証支援サーバ310から獲得される第1ユーザ認証書確認結果をユーザ端末100に転送するか第2認証支援サーバ320に連動される他装置または第2サービスサーバ220を介してユーザ端末100に転送されるようにする(S30)。
そして、ユーザ端末100は第2アプリケーション120を介して第1ユーザ認証書確認結果を受信し、第1アプリケーション110を呼び出して第2検証確認値を署名した署名値を第1認証支援サーバ310に転送するように要請する(S31)。即ち、ユーザ端末100は第1ユーザ認証書確認結果から獲得されるURL schemeによって第1アプリケーション110を呼び出して、第1アプリケーション110を介して第2検証確認値を署名して転送するようにし得る。
そして、ユーザ端末100の第1アプリケーション120は第1プライベートキーを利用して第2検証確認値を署名して第2署名値を生成して(S32)、生成された第2署名値を第1認証支援サーバ310に転送するかユーザ端末100に連動される他装置または第1サービスサーバ210を介して第2署名値が第1認証支援サーバ310に転送されるようにする(S33)。この時、ユーザ端末100の第1アプリケーション110は第2署名値を生成する以前、ユーザにパス情報の入力を要請してユーザによって入力されたパス情報が設定されたパス情報と一致する場合、第1プライベートキーを利用した第2検証確認値に対する署名が可能になるようにし得る。
その後、第1認証支援サーバ310は獲得される第2署名値が有効であるかを検証するか第1認証支援サーバ310に連動される他装置または第1ブロックチェーン410をもって検証するようにする(S34)(S35)。
この時、第2署名値の検証は第2署名値の署名に利用された第1プライベートキーに対応される第1パブリックキーを利用して第2署名値の署名に用いられた第2署名値の検証確認値を確認し、確認された第2署名値の検証確認値が署名要請時に転送した第2検証確認値と一致するかを比較することでなされ得る。
そして、第2署名値の検証結果有効であると確認されるか第1ブロックチェーン410から第2署名値が有効であると確認された検証結果が獲得されると(S36)、第1認証支援サーバ310は検証結果をユーザ端末100の第1アプリケーション110に転送するか第1認証支援サーバ310に連動される他装置または第1サービスサーバ210を介して転送されるようにする(S37)。
そして、ユーザ端末100は第1アプリケーション110を介して獲得される第2署名値に対する検証結果を第2アプリケーション120に転送(S38)することで第2アプリケーション120をもって第2ユーザ認証書登録動作を遂行するようにする。
即ち、第2署名値に対する検証結果に対応してユーザ端末100の第2アプリケーション120はユーザをもって第2PKI認証書、好ましくは第2PKI認証書の第2プライベートキーへのアクセス許容のためのパス情報を設定するようにする(S39)。この時、パス情報はパスワード、PINコード、ユーザの指紋情報、及びユーザの生体情報のうち少なくとも一つを含み得る。また、PKI認証書に対するアクセス制御のためのパス情報の設定を省略する場合もある。
その後、ユーザによるパス情報が設定されると、ユーザ端末100は第2アプリケーション120を介して第2プライベートキーと第2パブリックキーとを含む第2PKI認証書を生成する(S40)。この時、第2プライベートキーはユーザ端末100のSE領域に保存され得る。
そして、ユーザ端末100は第2アプリケーション120を介して生成された第2PKI認証書を利用した第2ユーザ認証書登録要請情報を第2認証支援サーバ320に転送するかユーザ端末100に連動される他装置または第2サービスサーバ220を介して第2認証支援サーバ320に転送されるようにし得る(S41)。この時、第2ユーザ認証書登録要請情報は第2パブリックキー、電話番号などのユーザ識別情報、UUID(universally unique identifier)などのユーザ端末識別情報、第2アプリケーション識別情報、第2アプリケーションに対応されるプッシュトークンID、及びユーザ個人情報のうち少なくとも一つを含み得る。
そして、第2認証支援サーバ320は通信部を介してユーザ端末100または第2サービスサーバ220から転送される第2ユーザ認証書登録要請情報を獲得して、プロセッサは通信部を介して獲得された第2ユーザ認証書登録要請情報に対応してユーザ端末100の第2アプリケーション110に第2PKI認証書の第2プライベートキーを利用して第3検証確認値を署名した第3署名値を要請するか第2認証支援サーバ320に連動される他装置または第2サービスサーバ220を介して第2アプリケーション110に第3署名値要請が転送されるようにする(S42)。この時、第3検証確認値はノンス(nonce)、OTP(one time password)、またはタイムスタンプなどを含み得る。
そして、第3署名値要請に対応してユーザ端末100の第2アプリケーション120は第2プライベートキーを利用して第3検証確認値を署名した第3署名値を生成して(S43)、生成された第3署名値を第2認証支援サーバ320に転送するかユーザ端末100に連動される他装置または第2サービスサーバ220を介して第3署名値が第2認証支援サーバ320に転送されるようにする(S44)。この時、ユーザ端末100の第2アプリケーション110は第3署名値を生成する以前、ユーザにパス情報の入力を要請してユーザによって入力されたパス情報が設定されたパス情報と一致する場合、第2プライベートキーを利用した第3検証確認値に対する署名が可能になるようにし得る。
その後、第2認証支援サーバ320は獲得される第3署名値が有効であるかを検証するか第2認証支援サーバ320に連動される他装置または第2ブロックチェーン420をもって検証するようにする(S45)。
この時、第3署名値の検証は第3署名値の署名に利用された第2プライベートキーに対応される第2パブリックキーを利用して第3署名値の署名に用いられた第3署名値の検証確認値を確認し、確認された第3署名値の検証確認値が署名要請時に転送した第3検証確認値と一致するかを比較することでなされ得る。
そして、第3署名値の検証結果有効であると確認されると、第2認証支援サーバ320は少なくとも第2パブリックキーと認証書登録情報とを含む第2ユーザ認証書を第2ブロックチェーン420に登録するように要請するか第2認証支援サーバ320に連動される他装置をもって第2ユーザ認証書を第2ブロックチェーン420に登録するように要請(S46)することで第2ブロックチェーン420をもって第2ユーザ認証書を登録するようにし(S47)、登録結果を第2認証支援サーバ320に転送するようにして(S48)、登録結果が獲得されると、第2認証支援サーバ320は登録結果をユーザ端末100に転送するか第2認証支援サーバ320に連動される他装置または第2サービスサーバ220を介してユーザ端末100に転送されるようにし得る(S49)。この時、第2ブロックチェーン420に登録される第2ユーザ認証書は第2パブリックキー、電話番号などのユーザ識別情報、UUID(universally unique identifier)などのユーザ端末識別情報、第2アプリケーション識別情報、第2アプリケーションに対応されるプッシュトークンID、及びユーザ個人情報のうち少なくとも一つを含み得る。また、第2ユーザ認証書は第2パブリックキー、電話番号などのユーザ識別情報、UUID(universally unique identifier)などのユーザ端末識別情報、第2アプリケーション識別情報、第2アプリケーションに対応されるプッシュトークンID、及びユーザ個人情報のうち少なくとも一つのハッシュ値を含み得る。
上記では第2ユーザ認証書を第2ブロックチェーン420に登録したが、第2ブロックチェーン420が多数からなる場合があり、一例として、第2ブロックチェーン420が第2‐1ブロックチェーンと第2‐2ブロックチェーンから構成される場合、第2認証支援サーバ320が第2ユーザ認証書を第2‐1ブロックチェーンと第2‐2ブロックチェーンに登録する過程を詳細に説明すると次の通りである。
第2認証支援サーバ320は第2ユーザ認証書を第2‐1ブロックチェーンに登録するか第2認証支援サーバ320に連動される他装置をもって第2‐1ブロックチェーンに登録するようにする。
そして、第2‐2ブロックチェーンに所定のハッシュ値を登録するためのトリガリング条件が満たされると、第2認証支援サーバ320は第2ユーザ認証書にハッシュ関数を適用して生成した第2特定ハッシュ値と第2特定ハッシュ値にマッチングされる少なくとも一つの隣接ハッシュ値を演算することでマークルルートである第2代表ハッシュ値または第2代表ハッシュ値を加工した値を生成する。
また、第2認証支援サーバ320は生成された第2代表ハッシュ値または第2代表ハッシュ値を加工した値を第2‐2ブロックチェーンに登録するか第2認証支援サーバ320に連動される他装置または第2‐1ブロックチェーンをもって第2代表ハッシュ値または第2代表ハッシュ値を加工した値を第2‐2ブロックチェーンに登録するようにし得る。
一方、第2認証支援サーバ320は第2特定ハッシュ値と少なくとも一つの隣接ハッシュ値を所定のデータ構造で保存して管理し得る。ここで、データ構造は多様であり得るが、一例として、マークルツリー(merkle tree)構造になる場合もある。
即ち、第2認証支援サーバ320は第2特定ハッシュ値が特定リーフノードに割り当てられたマークルツリー(merkle tree)を生成するか生成するように支援し得て、トリガリング条件が満たされると、第2特定ハッシュ値とマッチングされる少なくとも一つの他のリーフノードに割り当てられたハッシュ値を演算して生成されるマークルルートである第2代表ハッシュ値または第2代表ハッシュ値を加工した値を第2‐2ブロックチェーンに登録するか第2認証支援サーバ320に連動される他装置または第2‐1ブロックチェーンをもって第2‐2ブロックチェーンに登録するように支援し得る。
もう少し具体的に説明すると、(x4)第2認証支援サーバ320は、(i)第2特定ハッシュ値と(ii)第2特定ハッシュ値が割り当てられたノードの兄弟ノードに割り当てられたハッシュ値を演算するか第2認証支援サーバ320に連動された他装置または第2‐1ブロックチェーンをもって演算するように支援し、演算値に対するハッシュ値をノードの親ノードに割り当てるか第2認証支援サーバ320に連動された他装置または第2‐1ブロックチェーンをもって親ノードに割り当てるように支援し得る。(x5)万一、親ノードがマークルツリーのルートノードであれば、親ノードに割り当てられたハッシュ値が第2代表ハッシュ値または第2代表ハッシュ値を加工した値になる。(x6)一方、親ノードがマークルツリーのルートノードでなければ、第2認証支援サーバ320は、親ノードに割り当てられたハッシュ値を第2特定ハッシュ値にして(x4)ないし(x6)を反復して遂行するか第2認証支援サーバ320に連動された他装置または第2‐1ブロックチェーンをもって親ノードに割り当てられたハッシュ値を第2特定ハッシュ値にして(x4)ないし(x6)を反復して遂行するように支援し得る。
そして、第2認証支援サーバ320は最終的にマークルツリーのルートノードに割り当てられたハッシュ値を第2代表ハッシュ値または第2代表ハッシュ値を加工した値として第2‐2ブロックチェーンに登録するか第2認証支援サーバ320に連動された他装置または第2‐1ブロックチェーンをもって第2‐2ブロックチェーンに登録するように支援する。この時、第2代表ハッシュ値を加工した値は、例えば、第2代表ハッシュ値にhex演算が遂行された結果値であり得る。
一方、第2認証支援サーバ320が第2特定ハッシュ値と少なくとも一つの隣接ハッシュ値を所定の第2‐1データ構造で保存し、その後第2‐1データ構造と同一の形態の第2‐2データ構造を保存して管理する場合、第2‐1データ構造と第2‐2データ構造はチェーン形態で連結され得る。
特に、上述した例でのように第2‐1データ構造及び第2‐2データ構造がマークルツリーである場合、第2‐1データ構造のルート値またはルート値のハッシュ値が第2‐2データ構造の一番目リーフノードに割り当てられ得る。
また、第2‐2データ構造を生成する時は、第2‐1データ構造に対する検証がなされることでデータintegrityがさらに保証され得る。
また、チェーン形態で連結された少なくとも一つのマークルツリーのうち一番目マークルツリーの場合、一番目マークルツリーの一番目リーフノードにはテキスト、数字、または記号からなる所定のメッセージデータのハッシュ値またはこれを加工した値が割り当てられ得る。例えば、マークルツリー生成時、第2認証支援サーバ320によって最初に付与された入力メッセージのハッシュ値が割り当てられ得る。
上記で生成されたマークルツリーの例は図3及び図4のように示されることができ、前記第1ユーザ認証書の登録で説明したところ、以下ではその説明を省略することにする。
次に、図6を参照して本発明の一実施例にかかるブロックチェーン基盤の統合ログイン方法を説明すると次の通りである。
まず、図2または図5のような方法によってユーザ端末100に設置されて各々のサービスサーバ210、220で提供される各々のサービスを利用可能にするアプリケーションに対応するユーザ認証書が各々のブロックチェーン410、420に登録され得る。即ち、各々のサービスサーバ210、220で提供されるサービスを利用するためのアプリケーション110、120に対応する第1ユーザ認証書と第2ユーザ認証書が第1ブロックチェーン410と第2ブロックチェーン420に各々登録され得て、第1ブロックチェーン410と第2ブロックチェーン420が各々第1‐1ブロックチェーンと第1‐2ブロックチェーン、第2‐1ブロックチェーンと第2‐2ブロックチェーンから構成される場合、第1ユーザ認証書が第1‐1ブロックチェーンに登録されて第1‐2ブロックチェーンに第1ユーザ認証書に対応する第1代表ハッシュ値または第1代表ハッシュ値を加工した値が登録され得て、第2ユーザ認証書が第2‐1ブロックチェーンに登録されて第2‐2ブロックチェーンに第2ユーザ認証書に対応する第2代表ハッシュ値または第2代表ハッシュ値を加工した値が登録され得る。
かかる状態で、ユーザ端末の特定アプリケーションにおけるログイン情報を利用した統合ログイン要請情報がユーザ端末または特定サービスサーバから獲得されると、認証支援サーバが、ログイン情報に対応される特定ユーザ認証書が特定サービスサーバに対応される特定ブロックチェーンに登録されているかを確認するか認証支援サーバに連動される他装置をもって確認するように支援する。この時、ログイン情報はパブリックキー、ユーザ識別情報、及びユーザ端末識別情報のうち少なくとも一つを含み得る。
そして、特定ユーザ認証書が特定ブロックチェーンに登録されているかを確認した結果登録されたと確認されると、認証支援サーバが、ユーザ端末の特定アプリケーションに検証確認値に対する署名値を要請することで特定アプリケーションが検証確認値を特定PKI認証書の特定プライベートキーを利用して署名した署名値を認証支援サーバに転送するようにして、署名値が獲得されると、署名値を検証して有効であれば特定アプリケーションを介して特定サービスサーバで提供されるサービスを利用可能になるように支援して、特定アプリケーションによる特定サービスサーバへのログイン状態に対応される統合ログインセッションを特定ブロックチェーンに登録するか認証支援サーバに連動される他装置をもって特定統合ログインセッションを特定ブロックチェーンに登録するように支援する。
一例として、ユーザはユーザ端末100の第1アプリケーション110を介して統合ログイン要請を第1認証支援サーバ310に転送するかユーザ端末100に連動される他装置または第1サービスサーバ210を介して第1認証支援サーバ310に転送されるようにする(S61)(S62)。この時、ログイン情報は第1パブリックキー、ユーザ識別情報、及びユーザ端末識別情報のうち少なくとも一つを含み得る。
そして、第1認証支援サーバ310は第1ブロックチェーン410でログイン情報に対応する第1ユーザ認証書の確認を要請するか第1認証支援サーバ310に連動される他装置をもって確認を要請するようにする(S63)。
そして、第1ブロックチェーン410は第1認証支援サーバ310からの第1ユーザ認証書確認要請に対応して登録された第1ユーザ認証書を確認して(S64)、確認された第1ユーザ認証書確認結果を第1認証支援サーバ310に転送する(S65)。
確認の結果、第1ブロックチェーン410に第1ユーザ認証書が登録されたと確認されると、第1認証支援サーバ310はユーザ端末100の第1アプリケーション110に検証確認値を含む署名値要請情報を転送するか第1認証支援サーバ310に連動される他装置または第1サービスサーバ210を介して転送するようにする(S66)。
そして、ユーザ端末100は第1アプリケーション110を呼び出して第1プライベートキーを利用して検証確認値を署名した署名値を生成し(S67)、生成された署名値を第1認証支援サーバ310に転送するかユーザ端末100に連動される他装置または第1サービスサーバ210を介して転送するようにする(S68)。この時、ユーザ端末100の第1アプリケーション110は署名値を生成する以前、ユーザにパス情報の入力を要請してユーザによって入力されたパス情報が設定されたパス情報と一致する場合、第1プライベートキーを利用した検証確認値に対する署名が可能になるようにし得る。
そして、第1認証支援サーバ310はユーザ端末100の第1アプリケーション110からの署名値が獲得されると、署名値を検証するか第1認証支援サーバ310に連動される他装置または第1ブロックチェーン410を介して検証するようにする(S69)。この時、署名値の検証は署名値の署名に利用された第1プライベートキーに対応される第1パブリックキーを利用して署名値の署名に用いられた署名値の検証確認値を確認し、確認された署名値の検証確認値が署名要請時に転送した検証確認値と一致するかを比較することでなされ得る。
検証結果、署名値が有効であると確認されると、第1認証支援サーバ310は第1サービスサーバ210をもってユーザ端末100の第1アプリケーション110を介した第1アプリケーション110に対応されるサービスの利用を可能になるように支援する(S70)(S71)。
そして、第1認証支援サーバ310は第1ブロックチェーン410に統合ログインセッション登録を要請するか第1認証支援サーバ310に連動される他装置を介して要請するようにして(S72)、それによって第1ブロックチェーン410は統合ログインセッションを登録して(S73)登録結果を第1認証支援サーバ310に転送する(S74)。
この時、第1ブロックチェーン410が第1‐1ブロックチェーンと第1‐2ブロックチェーンから構成される場合、第1‐2ブロックチェーンに所定のハッシュ値を登録するためのトリガリング条件が満たされると、統合ログインされた状態の情報にハッシュ関数を適用して生成した第2特定ハッシュ値と第2特定ハッシュ値とマッチングされる少なくとも一つの隣接ハッシュ値を演算した第2代表ハッシュ値または第2代表ハッシュ値を加工した値を第1‐2ブロックチェーンに登録するか第1認証支援サーバに連動される他装置または第1‐1ブロックチェーンを介して第2代表ハッシュ値または第2代表ハッシュ値を加工した値が第1‐2ブロックチェーンに登録されるように支援する。
前記第1‐2ブロックチェーンに第2代表ハッシュ値または第2代表ハッシュ値を加工した値を登録する方法は図2または図5での説明から理解可能なので、ここでは詳細な説明を省略することにする。
一方、特定ユーザ認証書が特定ブロックチェーンに登録されているかを確認した結果登録されていないと確認されると、認証支援サーバが、各々のサービスサーバに対応される各々の他認証支援サーバのうち少なくとも一つの他認証支援サーバに統合ログインセッションがあるか確認を要請することで少なくとも一つの他認証支援サーバをもって少なくとも一つの他認証支援サーバに連動されるブロックチェーンから統合ログインセッションを確認するようにするか少なくとも一つの他認証支援サーバに連動される他装置を介して確認するように支援して、少なくとも一つの他認証支援サーバから統合ログインセッションに対する確認情報が獲得されると、特定サービスサーバまたはユーザ端末の前記特定アプリケーションをもって統合ログインセッションを連携するようにすることで特定アプリケーションを介して特定サービスサーバで提供されるサービスを利用可能になるように支援し得る。
一例として、ユーザがユーザ端末100の第2アプリケーション120を介して第2認証支援サーバ320に統合ログインを要請するかユーザ端末に連動される他装置または第2サービスサーバ220を介して要請するようにすると(S81)(S82)、第2認証支援サーバ320はユーザ端末100の第2アプリケーション120からの統合ログイン要請に対応して第2ブロックチェーン420に第2ユーザ認証書確認を要請するか第2認証支援サーバ320に連動される他装置をもって確認を要請するようにする(S83)。
そして、第2ブロックチェーン420は第2認証支援サーバ320からの第2ユーザ認証書確認要請に対応して登録された第2ユーザ認証書を確認して(S84)、確認された結果情報を第2認証支援サーバ320に転送する(S85)。
確認の結果、第2ユーザ認証書が登録されていないと確認されると、第2認証支援サーバ320は第1認証支援サーバ310に統合ログインセッション確認を要請するか第2認証支援サーバ320に連動される他装置を介して要請するようにする(S86)。この時、統合ログインセッション確認要請はユーザ識別情報またはユーザ端末の識別情報を含むか、これらのハッシュ値を含み得る。
そして、第1認証支援サーバ310は第1ブロックチェーン410に統合ログインセッション確認を要請するか第1認証支援サーバ310に連動される他装置を介して要請するようにして(S87)、第1ブロックチェーン410は統合ログインセッションが登録されているかを確認する(S88)。
確認の結果、統合ログインセッションが登録されている場合、第1ブロックチェーン410は結果情報を第1認証支援サーバ310に転送して(S89)、第1認証支援サーバ310は結果情報を第2認証支援サーバ320に転送する(S90)。
そして、第2認証支援サーバ320は第1認証支援サーバ310から獲得された統合ログインセッションを参照して第2サービスサーバ220またはユーザ端末100の第2アプリケーション120をもって統合ログインセッションを連携するようにすることで第2アプリケーション120を介して第2サービスサーバで提供されるサービスを利用可能になるように支援する(S91)(S92)。
また、以上で説明された本発明にかかる実施例は多様なコンピュータ構成要素を通じて遂行され得るプログラム命令語の形態で具現されてコンピュータで判読可能な記録媒体に記録され得る。前記コンピュータで判読可能な記録媒体はプログラム命令語、データファイル、データ構造などを単独または組み合わせて含まれ得る。前記コンピュータで判読可能な記録媒体に記録されるプログラム命令語は本発明のために特別に設計されて構成されたものか、コンピュータソフトウェア分野の当業者に公知となって使用可能なものでもよい。コンピュータで判読可能な記録媒体の例には、ハードディスク、フロッピィディスク及び磁気テープのような磁気媒体、CD−ROM、DVDのような光記録媒体、フロプティカルディスク(floptical disk)のような磁気−光媒体(magneto−optical media)、及びROM、RAM、フラッシュメモリなどのようなプログラム命令語を保存して遂行するように特別に構成されたハードウェア装置が含まれる。プログラム命令語の例には、コンパイラによって作られるもののような機械語コードだけではなく、インタプリタなどを用いてコンピュータによって実行され得る高級言語コードも含まれる。前記ハードウェア装置は本発明にかかる処理を遂行するために一つ以上のソフトウェアモジュールとして作動するように構成されることがあり、その逆も同様である。
以上、本発明が具体的な構成要素などのような特定の事項と限定された実施例及び図面によって説明されたが、これは本発明のより全般的な理解を助けるために提供されたものであるに過ぎず、本発明が前記実施例に限定されるものではなく、本発明が属する技術分野において通常の知識を有する者であればかかる記載から多様な修正及び変形が行なわれ得る。
従って、本発明の思想は前記説明された実施例に極限されて定められてはならず、後述する特許請求の範囲だけではなく、本特許請求の範囲と均等または等価的に変形されたすべてのものは本発明の思想の範疇に属するといえる。
100:ユーザ端末
210:第1サービスサーバ
220:第2サービスサーバ
310:第1認証支援サーバ
320:第2認証支援サーバ
410:第1ブロックチェーン
420:第2ブロックチェーン

Claims (22)

  1. ブロックチェーン基盤の統合ログイン方法において、
    (a)ユーザ端末の第1アプリケーション-前記第1アプリケーションは前記ユーザ端末に設置されて第1サービスサーバで提供されるサービスを利用可能にするアプリケーションである-を介して生成された第1PKI認証書を利用した第1ユーザ認証書登録要請情報が前記ユーザ端末または前記ユーザ端末に連動される他装置から獲得されると、認証支援サーバが、前記ユーザ端末の第1アプリケーションに前記第1PKI認証書の第1プライベートキーを利用して第1検証確認値を署名した第1署名値を要請して、前記ユーザ端末または前記ユーザ端末に連動される他装置から前記第1署名値が獲得されると、前記第1署名値を検証するか前記認証支援サーバに連動される他装置をもって前記第1署名値を検証するように支援し、前記第1署名値が有効であると確認されると少なくとも前記第1PKI認証書の第1パブリックキーと認証書登録情報とを含む前記第1ユーザ認証書が第1ブロックチェーンに登録されるようにするか前記認証支援サーバに連動される他装置をもって前記第1ユーザ認証書を前記第1ブロックチェーンに登録するように支援する段階と、
    (b)前記ユーザ端末の第2アプリケーション-前記第2アプリケーションは前記ユーザ端末に設置されて第2サービスサーバで提供されるサービスを利用可能にするアプリケーションである-を介した第2ユーザ認証書-前記第2ユーザ認証書は前記第2アプリケーションに対応して第2ブロックチェーンに登録されるものである-確認要請に対応して前記第2ブロックチェーンに確認した結果、前記第2ユーザ認証書が前記第2ブロックチェーンに登録されていないと確認されて前記第2サービスサーバに連動される他認証支援サーバから前記第1ユーザ認証書の確認要請情報が獲得されると、前記認証支援サーバが、前記第1ブロックチェーンに登録された前記第1ユーザ認証書を確認するか前記認証支援サーバに連動される他装置をもって前記第1ブロックチェーンに登録された前記第1ユーザ認証書を確認するように支援して、少なくとも第2検証確認値を含む前記第1ユーザ認証書に対する確認結果情報を前記他認証支援サーバを介して前記ユーザ端末の前記第2アプリケーションに転送するか前記認証支援サーバに連動される他装置をもって前記第1ユーザ認証書に対する確認結果情報が前記他認証支援サーバを介して前記ユーザ端末の前記第2アプリケーションに転送されるようにすることで前記第2アプリケーションをもって、前記第1アプリケーションを介して前記第2検証確認値を前記第1プライベートキーで署名した第2署名値を前記認証支援サーバに転送するように、前記第1アプリケーションに要請するようにする段階と、
    (c)前記ユーザ端末の前記第1アプリケーションから少なくとも前記第2署名値が獲得されるか前記ユーザ端末に連動される他装置から少なくとも前記第2署名値が獲得されると、前記認証支援サーバが、前記第2署名値を検証するか前記認証支援サーバに連動される他装置または前記第1ブロックチェーンをもって前記第2署名値を検証するように支援し、前記第2署名値が有効であると確認されると検証結果を前記ユーザ端末の前記第1アプリケーションに転送するか前記認証支援サーバに連動される他装置を介して前記検証結果が前記ユーザ端末の前記第1アプリケーションに転送されるようにすることで(i)前記第1アプリケーションが前記検証結果を前記第2アプリケーションに転送して、前記第2アプリケーションが第2PKI認証書を生成して前記第2PKI認証書を利用した第2ユーザ認証書登録要請情報を前記他認証支援サーバに転送するようにして、(ii)前記第2ユーザ認証書登録要請情報に対応して前記他認証支援サーバが(ii‐1)前記第2アプリケーションに前記第2PKI認証書の第2プライベートキーを利用して第3検証確認値を署名した第3署名値を要請して、(ii‐2)前記ユーザ端末または前記ユーザ端末に連動される他装置から前記第3署名値が獲得されると、前記第3署名値を検証するか前記他認証支援サーバに連動される他装置または前記第2ブロックチェーンをもって前記第3署名値を検証するように支援して前記第3署名値が有効であると確認されると少なくとも前記第2PKI認証書の第2パブリックキーと認証書登録情報とを含む第2ユーザ認証書が前記第2ブロックチェーンに登録されるように支援する段階と、
    を含むことを特徴とする方法。
  2. 前記ユーザ端末の前記第1アプリケーションまたは前記ユーザ端末の前記第2アプリケーションは各々前記第1PKI認証書または前記第2PKI認証書の生成時、前記第1PKI認証書の前記第1プライベートキーまたは前記第2PKI認証書の前記第2プライベートキーへのアクセス許容のための各々のパス情報をユーザが設定することができるようにすることを特徴とする請求項1に記載の方法。
  3. 前記認証支援サーバは、
    前記第1PKI認証書の前記第1パブリックキーを利用して前記第1署名値または前記第2署名値の署名に用いられた第1署名値の検証確認値または第2署名値の検証確認値を確認し、前記確認された第1署名値の検証確認値または前記第2署名値の検証確認値が前記第1検証確認値または前記第2検証確認値と一致するかを比較して前記第1署名値または前記第2署名値を検証するか前記第1ブロックチェーンをもって前記第1署名値または前記第2署名値を検証するように支援することを特徴とする請求項1に記載の方法。
  4. 前記第1ブロックチェーンに登録された前記第1ユーザ認証書または前記第2ブロックチェーンに登録された前記第2ユーザ認証書は各々、前記第1パブリックキーまたは第2パブリックキー、ユーザ識別情報、ユーザ端末識別情報、前記第1アプリケーション識別情報または前記第2アプリケーション識別情報、前記第1アプリケーションまたは前記第2アプリケーションに対応されるプッシュトークンID、及びユーザ個人情報のうち少なくとも一つを含むことを特徴とする請求項1に記載の方法。
  5. 前記(b)段階で、
    前記認証支援サーバは、前記第1ブロックチェーンから確認された前記第1ユーザ認証書に対応される第1アプリケーションID、及び前記第1アプリケーションへの前記第2検証確認値転送と前記第2検証確認値に対する署名要請のためのURL schemeを前記第1ユーザ認証書に対する確認結果情報にさらに含んで前記第2アプリケーションに転送するか前記認証支援サーバに連動される他装置をもって転送するように支援することを特徴とする請求項1に記載の方法。
  6. ブロックチェーン基盤の統合ログイン方法において、
    (a)ユーザ端末の多数のアプリケーション-前記多数のアプリケーション各々は前記ユーザ端末に設置されて各々のサービスサーバで提供される各々のサービスを利用可能にするアプリケーションである-を介して各々生成されたPKI認証書を利用した各々のユーザ認証書が前記各々のサービスサーバに対応される各々のブロックチェーンに登録された状態で、前記ユーザ端末の特定アプリケーションにおけるログイン情報を利用した統合ログイン要請情報が前記ユーザ端末または特定サービスサーバから獲得されると、認証支援サーバが、前記ログイン情報に対応される特定ユーザ認証書が前記特定サービスサーバに対応される特定ブロックチェーンに登録されているかを確認するか前記認証支援サーバに連動される他装置をもって確認するように支援する段階と、
    (b)前記特定ユーザ認証書が前記特定ブロックチェーンに登録されているかを確認した結果登録されていないと確認されると、前記認証支援サーバが、前記各々のサービスサーバに対応される各々の他認証支援サーバのうち少なくとも一つの他認証支援サーバに統合ログインセッションがあるか確認を要請することで前記少なくとも一つの他認証支援サーバをもって前記少なくとも一つの他認証支援サーバに連動されるブロックチェーンから前記統合ログインセッションを確認するようにするか前記少なくとも一つの他認証支援サーバに連動される他装置を介して確認するように支援して、前記少なくとも一つの他認証支援サーバから前記統合ログインセッションに対する確認情報が獲得されると、前記特定サービスサーバまたは前記ユーザ端末の前記特定アプリケーションをもって前記統合ログインセッションを連携するようにすることで前記特定アプリケーションを介して前記特定サービスサーバで提供されるサービスを利用可能になるように支援する段階と、
    を含むことを特徴とする方法。
  7. (c)前記特定ユーザ認証書が前記特定ブロックチェーンに登録されているかを確認した結果登録されたと確認されると、前記認証支援サーバが、前記ユーザ端末の前記特定アプリケーションに検証確認値に対する署名値を要請することで前記特定アプリケーションが前記検証確認値を特定PKI認証書の特定プライベートキーを利用して署名した署名値を前記認証支援サーバに転送するようにして、前記署名値が獲得されると、前記署名値を検証して有効であれば前記特定アプリケーションを介して前記特定サービスサーバで提供されるサービスを利用可能になるように支援して、前記特定アプリケーションによる前記特定サービスサーバへのログイン状態に対応される統合ログインセッションを前記特定ブロックチェーンに登録するか前記認証支援サーバに連動される他装置をもって前記特定統合ログインセッションを前記特定ブロックチェーンに登録するように支援する段階、
    をさらに含むことを特徴とする請求項6に記載の方法。
  8. 前記(a)段階で、
    前記各々のユーザ認証書は前記各々のアプリケーションに対応されるパブリックキー、ユーザ識別情報、ユーザ端末識別情報、前記各々のアプリケーションに対応されるアプリケーション識別情報、前記各々のアプリケーションに対応されるプッシュトークンID、及びユーザ個人情報のうち少なくとも一つを含み、
    前記ログイン情報は前記パブリックキー、ユーザ識別情報、及びユーザ端末識別情報のうち少なくとも一つを含むことを特徴とする請求項6に記載の方法。
  9. 前記(c)段階で、
    前記認証支援サーバは、前記特定PKI認証書の特定パブリックキーを利用して前記署名値の署名に用いられた署名値の検証確認値を確認し、前記確認された署名値の検証確認値が前記検証確認値と一致するかを比較して前記署名値を検証するか前記認証支援サーバに連動される他装置または前記特定ブロックチェーンをもって前記署名値を検証するように支援することを特徴とする請求項7に記載の方法。
  10. ブロックチェーン基盤の統合ログイン方法において、
    (a)ユーザ端末が、第1アプリケーション-前記第1アプリケーションは前記ユーザ端末に設置されて第1サービスサーバで提供されるサービスを利用可能にするアプリケーションである-を介して生成された第1PKI認証書を利用した第1ユーザ認証書登録要請情報を認証支援サーバに転送するか前記サービスサーバをもって前記第1ユーザ認証書登録要請情報を前記認証支援サーバに転送するように支援することで前記認証支援サーバをもって第1検証確認値を含む第1署名値要請情報を前記ユーザ端末に転送するようにするか前記サービスサーバを介して前記ユーザ端末の前記第1アプリケーションに転送されるようにして、前記認証支援サーバまたは前記サービスサーバから前記第1検証確認値を含む前記第1署名値要請情報が獲得されると、前記第1アプリケーションに対応される前記第1PKI認証書の第1プライベートキーを利用して前記第1検証確認値を署名して第1署名値を生成し、前記第1署名値を前記認証支援サーバに転送するか前記サービスサーバをもって前記第1署名値を前記認証支援サーバに転送するようにすることで前記認証支援サーバをもって(i)前記第1署名値を検証するか前記認証支援サーバに連動される他装置をもって前記第1署名値を検証するようにし(ii)前記第1署名値が有効であると確認されると少なくとも前記第1PKI認証書の第1パブリックキーと認証書登録情報とを含む第1ユーザ認証書を第1ブロックチェーンに登録するか前記認証支援サーバに連動される他装置を介して前記第1ユーザ認証書が前記第1ブロックチェーンに登録されるように支援する段階と、
    (b)前記ユーザ端末が、第2アプリケーション-前記第2アプリケーションは前記ユーザ端末に設置されて第2サービスサーバで提供されるサービスを利用可能にするアプリケーションである-を介した第2ユーザ認証書-前記第2ユーザ認証書は前記第2アプリケーションに対応して第2ブロックチェーンに登録されるものである-確認要請情報を前記第2サービスサーバに連動される他認証支援サーバに転送するか前記ユーザ端末に連動される他装置を介して前記他認証支援サーバに転送して、前記他認証支援サーバが前記第2ブロックチェーンに前記第2ユーザ認証書が登録されているかを確認するようにして前記第2ユーザ認証書が前記第2ブロックチェーンに登録されていない結果に対応して前記第1ユーザ認証書照会要請を前記認証支援サーバに転送するようにすることで前記認証支援サーバをもって前記第1ブロックチェーンに登録された前記第1ユーザ認証書を確認するか前記認証サーバに連動される他装置を介して確認するように支援して少なくとも第2検証確認値を含む前記第1ユーザ認証書に対する確認結果情報を前記ユーザ端末の第2アプリケーションに転送するか前記他認証支援サーバを介して前記第2アプリケーションに転送するようにする段階と、
    (c)前記第1ユーザ認証書に対する確認結果情報が前記第2アプリケーションを介して獲得されると、前記ユーザ端末が、前記第2アプリケーションを介して前記第2検証確認値を前記第1アプリケーションに転送して前記第1アプリケーションが前記第1プライベートキーで前記第2検証確認値を署名した第2署名値を前記認証支援サーバに転送するようにするか前記サービスサーバを介して前記認証支援サーバに転送するようにして、前記認証支援サーバが前記第2署名値を検証するようにするか前記第1ブロックチェーンを介して前記第2署名値を検証するようにした結果前記第2署名値が有効であると確認されると検証結果を前記第1アプリケーションに転送するか前記認証支援サーバに連動される他装置を介して第1アプリケーションに転送するようにして、前記第1アプリケーションを介して前記検証結果が獲得されると、前記第1アプリケーションが前記検証結果を前記第2アプリケーションに転送するようにし、前記第2アプリケーションが前記検証結果に対応して第2PKI認証書を生成して生成された前記第2PKI認証書を利用した前記第2ユーザ認証書登録要請情報を前記他認証支援サーバに転送するか前記ユーザ端末に連動される他装置を介して前記他認証支援サーバに転送されるようにすることで前記他認証支援サーバをもって前記前記第2アプリケーションに第3検証確認値を含む第3署名値要請情報を転送するか前記他認証支援サーバに連動される他装置を介して転送するようにして、前記第3署名値要請情報が獲得されると、前記第2アプリケーションを介して前記第3検証確認値を前記第2PKI認証書の第2プライベートキーを利用して署名した第3署名値を前記他認証支援サーバに転送するか前記ユーザ端末に連動される他装置を介して前記他認証支援サーバに転送されるようにすることで前記他認証支援サーバをもって、前記第3署名値を検証するか前記他認証支援サーバに連動される他装置を介して前記第3署名値を検証するようにした結果前記第3署名値が有効であると確認されると少なくとも前記第2PKI認証書の第2パブリックキーと認証書登録情報とを含む前記第2ユーザ認証書を前記第2ブロックチェーンに登録するか前記他認証支援サーバに連動される他装置を介して前記第2ユーザ認証書を前記第2ブロックチェーンに登録するようにする段階と、
    を含むことを特徴とする方法。
  11. 前記ユーザ端末は、前記第1アプリケーションまたは前記第2アプリケーションを介した前記第1PKI認証書または前記第2PKI認証書の生成時、前記第1PKI認証書の前記第1プライベートキーまたは前記第2PKI認証書の前記第2プライベートキーへのアクセス許容のための各々のパス情報をユーザが設定し得るようにすることを特徴とする請求項10に記載の方法。
  12. 前記ユーザ端末は、
    前記(a)段階以前に前記第1アプリケーションを介して前記第1サービスサーバにログインを遂行して、
    前記(b)段階以前に前記第2アプリケーションを介して前記第2サービスサーバにログインを遂行することを特徴とする請求項10に記載の方法。
  13. 前記第1ブロックチェーンに登録された前記第1ユーザ認証書または前記第2ブロックチェーンに登録された前記第2ユーザ認証書は各々、前記第1パブリックキーまたは前記第2パブリックキー、ユーザ識別情報、ユーザ端末識別情報、前記第1アプリケーション識別情報または前記第2アプリケーション識別情報、前記第1アプリケーションまたは前記第2アプリケーションに対応されるプッシュトークンID、及びユーザ個人情報のうち少なくとも一つを含むことを特徴とする請求項10に記載の方法。
  14. 前記(c)段階で、
    前記ユーザ端末は、前記第1ユーザ認証書に対する確認結果情報として、前記第1ブロックチェーンから確認された前記第1ユーザ認証書に対応する第1アプリケーションID、及び前記第1アプリケーションへの前記第2検証確認値転送と前記第2検証確認値に対する署名要請のためのURL schemeをさらに獲得することを特徴とする請求項10に記載の方法。
  15. ブロックチェーン基盤の統合ログインを遂行する認証支援サーバにおいて、
    ユーザ端末の第1アプリケーション-前記第1アプリケーションは前記ユーザ端末に設置されて第1サービスサーバで提供されるサービスを利用可能にするアプリケーションである-を介して生成された第1PKI認証書を利用した第1ユーザ認証書登録要請情報を前記ユーザ端末または前記ユーザ端末に連動される他装置から獲得する通信部と、
    前記通信部を介して獲得される前記第1ユーザ認証書登録要請情報に対応して前記ユーザ端末の第1アプリケーションに前記第1PKI認証書の第1プライベートキーを利用して第1検証確認値を署名した第1署名値を要請して、前記ユーザ端末または前記ユーザ端末に連動される他装置から前記第1署名値が獲得されると、前記第1署名値を検証するか前記認証支援サーバに連動される他装置をもって前記第1署名値を検証するように支援し、前記第1署名値が有効であると確認されると少なくとも前記第1PKI認証書の第1パブリックキーと認証書登録情報とを含む前記第1ユーザ認証書が第1ブロックチェーンに登録されるようにするか前記認証支援サーバに連動される他装置をもって前記第1ユーザ認証書を前記第1ブロックチェーンに登録するように支援する第1プロセス、前記ユーザ端末の第2アプリケーション-前記第2アプリケーションは前記ユーザ端末に設置されて第2サービスサーバで提供されるサービスを利用可能にするアプリケーションである-を介した第2ユーザ認証書-前記第2ユーザ認証書は前記第2アプリケーションに対応して第2ブロックチェーンに登録されるものである-確認要請に対応して前記第2ブロックチェーンに確認した結果、前記第2ユーザ認証書が前記第2ブロックチェーンに登録されていないと確認されて前記第2サービスサーバに連動される他認証支援サーバから前記第1ユーザ認証書の確認要請情報が獲得されると、前記第1ブロックチェーンに登録された前記第1ユーザ認証書を確認するか前記認証支援サーバに連動される他装置をもって前記第1ブロックチェーンに登録された前記第1ユーザ認証書を確認するように支援して、少なくとも第2検証確認値を含む前記第1ユーザ認証書に対する確認結果情報を前記他認証支援サーバを介して前記ユーザ端末の前記第2アプリケーションに転送するか前記認証支援サーバに連動される他装置をもって前記第1ユーザ認証書に対する確認結果情報が前記他認証支援サーバを介して前記ユーザ端末の前記第2アプリケーションに転送されるようにすることで前記第2アプリケーションをもって、前記第1アプリケーションを介して前記第2検証確認値を前記第1プライベートキーで署名した第2署名値を前記認証支援サーバに転送するように、前記第1アプリケーションに要請するようにする第2プロセス、及び前記ユーザ端末の前記第1アプリケーションから少なくとも前記第2署名値が獲得されるか前記ユーザ端末に連動される他装置から少なくとも前記第2署名値が獲得されると、前記第2署名値を検証するか前記認証支援サーバに連動される他装置または前記第1ブロックチェーンをもって前記第2署名値を検証するように支援し、前記第2署名値が有効であると確認されると検証結果を前記ユーザ端末の前記第1アプリケーションに転送するか前記認証支援サーバに連動される他装置を介して前記検証結果が前記ユーザ端末の前記第1アプリケーションに転送されるようにすることで(i)前記第1アプリケーションが前記検証結果を前記第2アプリケーションに転送して、前記第2アプリケーションが第2PKI認証書を生成して前記第2PKI認証書を利用した第2ユーザ認証書登録要請情報を前記他認証支援サーバに転送するようにして、(ii)前記第2ユーザ認証書登録要請情報に対応して前記他認証支援サーバが(ii‐1)前記第2アプリケーションに前記第2PKI認証書の第2プライベートキーを利用して第3検証確認値を署名した第3署名値を要請して、(ii‐2)前記ユーザ端末または前記ユーザ端末に連動される他装置から前記第3署名値が獲得されると、前記第3署名値を検証するか前記他認証支援サーバに連動される他装置または前記第2ブロックチェーンをもって前記第3署名値を検証するように支援して前記第3署名値が有効であると確認されると少なくとも前記第2PKI認証書の第2パブリックキーと認証書登録情報とを含む第2ユーザ認証書が前記第2ブロックチェーンに登録されるように支援する第3プロセスを遂行するプロセッサと、
    を含むことを特徴とする認証支援サーバ。
  16. 前記第1ブロックチェーンに登録された前記第1ユーザ認証書または前記第2ブロックチェーンに登録された前記第2ユーザ認証書は各々、前記第1パブリックキーまたは第2パブリックキー、ユーザ識別情報、ユーザ端末識別情報、前記第1アプリケーション識別情報または前記第2アプリケーション識別情報、前記第1アプリケーションまたは前記第2アプリケーションに対応されるプッシュトークンID、及びユーザ個人情報のうち少なくとも一つを含むことを特徴とする請求項15に記載の認証支援サーバ。
  17. 前記プロセッサは、
    前記第2プロセスで、
    前記第1ブロックチェーンから確認された前記第1ユーザ認証書に対応される第1アプリケーションID、及び前記第1アプリケーションへの前記第2検証確認値転送と前記第2検証確認値に対する署名要請のためのURL schemeを前記第1ユーザ認証書に対する確認結果情報にさらに含んで前記第2アプリケーションに転送するか前記認証支援サーバに連動される他装置をもって転送するように支援することを特徴とする請求項15に記載の認証支援サーバ。
  18. ブロックチェーン基盤の統合ログインを遂行する認証支援サーバにおいて、
    ユーザ端末の多数のアプリケーション-前記多数のアプリケーション各々は前記ユーザ端末に設置されて各々のサービスサーバで提供される各々のサービスを利用可能にするアプリケーションである-を介して各々生成されたPKI認証書を利用した各々のユーザ認証書が前記各々のサービスサーバに対応される各々のブロックチェーンに登録された状態で、前記ユーザ端末の特定アプリケーションにおけるログイン情報を利用した統合ログイン要請情報を前記ユーザ端末または特定サービスサーバから獲得する通信部と、
    前記ログイン情報に対応される特定ユーザ認証書が前記特定サービスサーバに対応される特定ブロックチェーンに登録されているかを確認するか前記認証支援サーバに連動される他装置をもって確認するように支援する第1プロセス、及び前記特定ユーザ認証書が前記特定ブロックチェーンに登録されているかを確認した結果登録されていないと確認されると、前記各々のサービスサーバに対応される各々の他認証支援サーバのうち少なくとも一つの他認証支援サーバに統合ログインセッションがあるか確認を要請することで前記少なくとも一つの他認証支援サーバをもって前記少なくとも一つの他認証支援サーバに連動されるブロックチェーンから前記統合ログインセッションを確認するようにするか前記少なくとも一つの他認証支援サーバに連動される他装置を介して確認するように支援して、前記少なくとも一つの他認証支援サーバから前記統合ログインセッションに対する確認情報が獲得されると、前記特定サービスサーバまたは前記ユーザ端末の前記特定アプリケーションをもって前記統合ログインセッションを連携するようにすることで前記特定アプリケーションを介して前記特定サービスサーバで提供されるサービスを利用可能になるように支援する第2プロセスを遂行するプロセッサと、
    を含むことを特徴とする認証支援サーバ。
  19. 前記プロセッサは、
    前記特定ユーザ認証書が前記特定ブロックチェーンに登録されているかを確認した結果登録されたと確認されると、前記ユーザ端末の前記特定アプリケーションに検証確認値に対する署名値を要請することで前記特定アプリケーションが前記検証確認値を特定PKI認証書の特定プライベートキーを利用して署名した署名値を前記認証支援サーバに転送するようにして、前記署名値が獲得されると、前記署名値を検証して有効であれば前記特定アプリケーションを介して前記特定サービスサーバで提供されるサービスを利用可能になるように支援して、前記特定アプリケーションによる前記特定サービスサーバへのログイン状態に対応される統合ログインセッションを前記特定ブロックチェーンに登録するか前記認証支援サーバに連動される他装置をもって前記特定統合ログインセッションを前記特定ブロックチェーンに登録するように支援する第3プロセスをさらに遂行することを特徴とする請求項18に記載の認証支援サーバ。
  20. 前記各々のユーザ認証書は前記各々のアプリケーションに対応されるパブリックキー、ユーザ識別情報、ユーザ端末識別情報、前記各々のアプリケーションに対応されるアプリケーション識別情報、前記各々のアプリケーションに対応されるプッシュトークンID、及びユーザ個人情報のうち少なくとも一つを含み、前記ログイン情報は前記パブリックキー、ユーザ識別情報、及びユーザ端末識別情報のうち少なくとも一つを含むことを特徴とする請求項18に記載の認証支援サーバ。
  21. ブロックチェーン基盤の統合ログインを遂行するユーザ端末において、
    第1アプリケーション-前記第1アプリケーションは前記ユーザ端末に設置されて第1サービスサーバで提供されるサービスを利用可能にするアプリケーションである-を介して生成された第1PKI認証書を利用した第1ユーザ認証書登録要請情報を認証支援サーバに転送するか前記サービスサーバをもって前記第1ユーザ認証書登録要請情報を前記認証支援サーバに転送するように支援することで前記認証支援サーバをもって第1検証確認値を含む第1署名値要請情報を前記ユーザ端末に転送するようにするか前記サービスサーバを介して前記ユーザ端末の前記第1アプリケーションに転送されるようにして、前記認証支援サーバまたは前記サービスサーバから前記第1検証確認値を含む前記第1署名値要請情報を獲得する通信部、及び
    前記通信部を介して獲得される前記第1署名値要請情報に対応して前記第1アプリケーションに対応される前記第1PKI認証書の第1プライベートキーを利用して前記第1検証確認値を署名して第1署名値を生成し、前記第1署名値を前記認証支援サーバに転送するか前記サービスサーバをもって前記第1署名値を前記認証支援サーバに転送するようにすることで前記認証支援サーバをもって(i)前記第1署名値を検証するか前記認証支援サーバに連動される他装置をもって前記第1署名値を検証するようにし(ii)前記第1署名値が有効であると確認されると少なくとも前記第1PKI認証書の第1パブリックキーと認証書登録情報とを含む第1ユーザ認証書を第1ブロックチェーンに登録するか前記認証支援サーバに連動される他装置を介して前記第1ユーザ認証書が前記第1ブロックチェーンに登録されるように支援する第1プロセス、第2アプリケーション-前記第2アプリケーションは前記ユーザ端末に設置されて第2サービスサーバで提供されるサービスを利用可能にするアプリケーションである-を介した第2ユーザ認証書-前記第2ユーザ認証書は前記第2アプリケーションに対応して第2ブロックチェーンに登録されるものである-確認要請情報を前記第2サービスサーバに連動される他認証支援サーバに転送するか前記ユーザ端末に連動される他装置を介して前記他認証支援サーバに転送して、前記他認証支援サーバが前記第2ブロックチェーンに前記第2ユーザ認証書が登録されているかを確認するようにして前記第2ユーザ認証書が前記第2ブロックチェーンに登録されていない結果に対応して前記第1ユーザ認証書照会要請を前記認証支援サーバに転送するようにすることで前記認証支援サーバをもって前記第1ブロックチェーンに登録された前記第1ユーザ認証書を確認するか前記認証サーバに連動される他装置を介して確認するように支援して少なくとも第2検証確認値を含む前記第1ユーザ認証書に対する確認結果情報を前記ユーザ端末の第2アプリケーションに転送するか前記他認証支援サーバを介して前記第2アプリケーションに転送するようにする第2プロセス、及び前記第1ユーザ認証書に対する確認結果情報が前記第2アプリケーションを介して獲得されると、前記第2アプリケーションを介して前記第2検証確認値を前記第1アプリケーションに転送して前記第1アプリケーションが前記第1プライベートキーで前記第2検証確認値を署名した第2署名値を前記認証支援サーバに転送するようにするか前記サービスサーバを介して前記認証支援サーバに転送するようにして、前記認証支援サーバが前記第2署名値を検証するようにするか前記第1ブロックチェーンを介して前記第2署名値を検証するようにした結果前記第2署名値が有効であると確認されると検証結果を前記第1アプリケーションに転送するか前記認証支援サーバに連動される他装置を介して第1アプリケーションに転送するようにして、前記第1アプリケーションを介して前記検証結果が獲得されると、前記第1アプリケーションが前記検証結果を前記第2アプリケーションに転送するようにし、前記第2アプリケーションが前記検証結果に対応して第2PKI認証書を生成して生成された前記第2PKI認証書を利用した前記第2ユーザ認証書登録要請情報を前記他認証支援サーバに転送するか前記ユーザ端末に連動される他装置を介して前記他認証支援サーバに転送されるようにすることで前記他認証支援サーバをもって前記前記第2アプリケーションに第3検証確認値を含む第3署名値要請情報を転送するか前記他認証支援サーバに連動される他装置を介して転送するようにして、前記第3署名値要請情報が獲得されると、前記第2アプリケーションを介して前記第3検証確認値を前記第2PKI認証書の第2プライベートキーを利用して署名した第3署名値を前記他認証支援サーバに転送するか前記ユーザ端末に連動される他装置を介して前記他認証支援サーバに転送されるようにすることで前記他認証支援サーバをもって、前記第3署名値を検証するか前記他認証支援サーバに連動される他装置を介して前記第3署名値を検証するようにした結果前記第3署名値が有効であると確認されると少なくとも前記第2PKI認証書の第2パブリックキーと認証書登録情報とを含む前記第2ユーザ認証書を前記第2ブロックチェーンに登録するか前記他認証支援サーバに連動される他装置を介して前記第2ユーザ認証書を前記第2ブロックチェーンに登録するようにする第3プロセスを遂行することを特徴とするユーザ端末。
  22. 前記プロセッサは、
    前記第3プロセスで、
    前記第1ユーザ認証書に対する確認結果情報として、前記第1ブロックチェーンから確認された前記第1ユーザ認証書に対応する第1アプリケーションID、及び前記第1アプリケーションへの前記第2検証確認値転送と前記第2検証確認値に対する署名要請のためのURL schemeをさらに獲得することを特徴とする請求項21に記載のユーザ端末。


JP2019068033A 2018-03-30 2019-03-29 ブロックチェーン基盤の統合ログイン方法、端末及びこれを利用したサーバ Active JP6716744B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020180037113A KR102181600B1 (ko) 2018-03-30 2018-03-30 블록체인 기반의 통합 로그인 방법, 단말 및 이를 이용한 서버
KR10-2018-0037113 2018-03-30

Publications (2)

Publication Number Publication Date
JP2019185774A true JP2019185774A (ja) 2019-10-24
JP6716744B2 JP6716744B2 (ja) 2020-07-01

Family

ID=68055728

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019068033A Active JP6716744B2 (ja) 2018-03-30 2019-03-29 ブロックチェーン基盤の統合ログイン方法、端末及びこれを利用したサーバ

Country Status (4)

Country Link
US (1) US10454918B1 (ja)
JP (1) JP6716744B2 (ja)
KR (1) KR102181600B1 (ja)
CA (1) CA3038444C (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20220417008A1 (en) * 2021-06-26 2022-12-29 Redpine Signals, Inc. Efficient Storage of Blockchain in Embedded Device

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111989892B (zh) * 2018-04-09 2023-07-18 三菱电机株式会社 认证系统及计算机可读取的记录介质
US10412086B1 (en) 2019-03-22 2019-09-10 Trace, LLC Systems and methods for validating device permissions of computing devices to execute code on a decentralized database
US11151276B1 (en) * 2019-04-15 2021-10-19 Trend Micro Incorporated Systems and methods for data certificate notarization utilizing bridging from private blockchain to public blockchain
US10585882B1 (en) 2019-09-23 2020-03-10 Trace, LLC Systems and methods for writing updates to and/or reading previously stored updates of assets implemented as smart contracts on a decentralized database
US11245514B1 (en) * 2019-10-15 2022-02-08 ArcBlock, Inc Blockchain delegation
CN110719167B (zh) * 2019-10-16 2022-09-27 郑州师范学院 一种基于区块链的带时效性的签密方法
CN110855492B (zh) * 2019-11-15 2021-12-14 腾讯科技(深圳)有限公司 一种数据处理方法、装置及存储介质
KR102400402B1 (ko) * 2019-11-18 2022-05-23 충남대학교 산학협력단 공개키 인프라 구조를 이용한 스마트 컨트랙트의 인증된 데이터 피드 방법
CN110708170B (zh) * 2019-12-13 2020-03-27 腾讯科技(深圳)有限公司 一种数据处理方法、装置以及计算机可读存储介质
KR102227578B1 (ko) * 2019-12-31 2021-03-15 주식회사 코인플러그 블록체인 네트워크를 이용한 영지식 증명 기반의 인증서 서비스 방법, 이를 이용한 인증 지원 서버 및 사용자 단말
US12099997B1 (en) 2020-01-31 2024-09-24 Steven Mark Hoffberg Tokenized fungible liabilities
US20220029831A1 (en) * 2020-03-05 2022-01-27 Lg Electronics Inc. Device to device authentication method using blockchain
US11121863B1 (en) * 2020-03-12 2021-09-14 Oracle International Corporation Browser login sessions via non-extractable asymmetric keys
US11972440B1 (en) * 2020-06-05 2024-04-30 Trace Labs Llc Systems and methods for providing a decentralized anti-counterfeit solution for supply chain tracking using single-use codes
CN112347456B (zh) * 2020-10-28 2023-09-01 达闼机器人股份有限公司 程序验证方法和装置、平台和用户终端及在线服务系统
US11799639B2 (en) 2021-01-05 2023-10-24 Bank Of America Corporation Systems and methods using distributed ledgers to correct for missing one time passwords in event processing
US11271716B1 (en) * 2021-01-28 2022-03-08 Emtruth, Inc. Blockchain-based data management of distributed binary objects
CN114861147A (zh) * 2022-05-18 2022-08-05 广州超云科技有限公司 一种用户的管理方法、管理装置、电子设备及存储介质
US11893150B2 (en) * 2022-06-28 2024-02-06 Bank Of America Corporation Systems and methods for multi-point validation in communication network with associated virtual reality application layer

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002297548A (ja) * 2001-03-30 2002-10-11 Matsushita Electric Ind Co Ltd 端末登録システムとそれを構成する装置及び方法
JP2002335239A (ja) * 2001-05-09 2002-11-22 Nippon Telegr & Teleph Corp <Ntt> シングルサインオン認証方法及びシステム装置
JP2014038608A (ja) * 2012-08-20 2014-02-27 Naver Corp 認証共有によるアプリケーションログインシステム、方法およびコンピュータ読み取り可能な記録媒体
JP2015053069A (ja) * 2014-10-30 2015-03-19 株式会社 ディー・エヌ・エー 認証方法、認証システム、サービス提供サーバ、および認証サーバ
JP2017050763A (ja) * 2015-09-03 2017-03-09 日本電信電話株式会社 許諾情報管理システム、利用者端末、権利者端末、許諾情報管理方法、および、許諾情報管理プログラム
US20180294977A1 (en) * 2015-12-14 2018-10-11 Coinplug, Inc. System for issuing public certificate on basis of block chain, and method for issuing public certificate on basis of block chain by using same
CN108701308A (zh) * 2016-03-30 2018-10-23 科因普拉格株式会社 用于基于区块链发布公共证书的系统、及使用该系统的用于基于区块链发布公共证书的方法

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170011469A (ko) * 2015-07-23 2017-02-02 (주)세이퍼존 보안키를 이용한 온라인 통합 로그인 서비스 제공 방법
US9992028B2 (en) * 2015-11-26 2018-06-05 International Business Machines Corporation System, method, and computer program product for privacy-preserving transaction validation mechanisms for smart contracts that are included in a ledger
KR101680260B1 (ko) 2015-12-14 2016-11-29 주식회사 코인플러그 블록체인을 기반으로 하는 공인인증서 발급시스템과 이를 이용한 블록체인을 기반으로 하는 공인인증서 발급방법
KR101661933B1 (ko) 2015-12-16 2016-10-05 주식회사 코인플러그 블록체인을 기반으로 하는 공인인증서 인증시스템 및 이를 이용한 인증방법
KR101756719B1 (ko) 2016-04-28 2017-07-12 주식회사 코인플러그 로그인을 지원하기 위한 방법 및 이를 사용한 인증 지원 서버
US11829998B2 (en) * 2016-06-07 2023-11-28 Cornell University Authenticated data feed for blockchains
CA2975843C (en) * 2016-08-10 2023-06-13 Peer Ledger Inc. Apparatus, system, and methods for a blockchain identity translator
JP6980769B2 (ja) * 2016-09-21 2021-12-15 アール−ストール インコーポレイテッド データ処理用の分散型台帳を使用するための方法、装置及びコンピュータプログラム
KR101829729B1 (ko) 2016-11-03 2018-03-29 주식회사 코인플러그 블록체인 및 이와 연동하는 머클 트리 구조를 통해 모바일 아이디를 이용하여 사용자를 인증하는 방법, 단말 및 이를 이용한 서버
US10382485B2 (en) * 2016-12-23 2019-08-13 Vmware, Inc. Blockchain-assisted public key infrastructure for internet of things applications
KR101816650B1 (ko) 2017-02-21 2018-01-09 주식회사 코인플러그 계정 등록의 간소화 서비스 및 사용자 인증 서비스를 제공하는 방법 및 이를 이용한 인증 서버
US10848322B2 (en) * 2017-03-24 2020-11-24 Cable Television Laboratories, Inc System and method for distributed PKI root
US10810004B2 (en) * 2017-06-30 2020-10-20 Oracle International Corporation System and method for managing a public software component ecosystem using a distributed ledger
US10057243B1 (en) * 2017-11-30 2018-08-21 Mocana Corporation System and method for securing data transport between a non-IP endpoint device that is connected to a gateway device and a connected service

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002297548A (ja) * 2001-03-30 2002-10-11 Matsushita Electric Ind Co Ltd 端末登録システムとそれを構成する装置及び方法
JP2002335239A (ja) * 2001-05-09 2002-11-22 Nippon Telegr & Teleph Corp <Ntt> シングルサインオン認証方法及びシステム装置
JP2014038608A (ja) * 2012-08-20 2014-02-27 Naver Corp 認証共有によるアプリケーションログインシステム、方法およびコンピュータ読み取り可能な記録媒体
JP2015053069A (ja) * 2014-10-30 2015-03-19 株式会社 ディー・エヌ・エー 認証方法、認証システム、サービス提供サーバ、および認証サーバ
JP2017050763A (ja) * 2015-09-03 2017-03-09 日本電信電話株式会社 許諾情報管理システム、利用者端末、権利者端末、許諾情報管理方法、および、許諾情報管理プログラム
US20180294977A1 (en) * 2015-12-14 2018-10-11 Coinplug, Inc. System for issuing public certificate on basis of block chain, and method for issuing public certificate on basis of block chain by using same
CN108701308A (zh) * 2016-03-30 2018-10-23 科因普拉格株式会社 用于基于区块链发布公共证书的系统、及使用该系统的用于基于区块链发布公共证书的方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20220417008A1 (en) * 2021-06-26 2022-12-29 Redpine Signals, Inc. Efficient Storage of Blockchain in Embedded Device
US11902426B2 (en) * 2021-06-26 2024-02-13 Ceremorphic, Inc. Efficient storage of blockchain in embedded device

Also Published As

Publication number Publication date
CA3038444C (en) 2020-07-21
CA3038444A1 (en) 2019-09-30
US10454918B1 (en) 2019-10-22
KR20190114423A (ko) 2019-10-10
JP6716744B2 (ja) 2020-07-01
KR102181600B1 (ko) 2020-11-23
US20190306147A1 (en) 2019-10-03

Similar Documents

Publication Publication Date Title
JP6716744B2 (ja) ブロックチェーン基盤の統合ログイン方法、端末及びこれを利用したサーバ
JP6716745B2 (ja) ブロックチェーン基盤の権限認証方法、端末及びこれを利用したサーバ
KR102116235B1 (ko) 블록체인 네트워크를 이용하여 사용자의 아이덴티티를 관리하는 방법 및 서버, 그리고, 블록체인 네트워크 기반의 사용자 아이덴티티를 이용하여 사용자를 인증하는 방법 및 단말
KR102192370B1 (ko) 블록체인 기반의 권한 인증 방법, 단말 및 이를 이용한 서버
KR102118962B1 (ko) 블록체인 네트워크를 이용하여 사용자의 아이덴티티를 관리하는 방법 및 서버, 그리고, 블록체인 네트워크 기반의 사용자 아이덴티티를 이용하여 사용자를 인증하는 방법 및 단말
KR20190114432A (ko) 블록체인 기반의 권한 인증 방법, 단말 및 이를 이용한 서버
KR102118935B1 (ko) 블록체인 네트워크를 이용하여 사용자의 아이덴티티를 관리하는 방법 및 서버, 그리고, 블록체인 네트워크 기반의 사용자 아이덴티티를 이용하여 사용자를 인증하는 방법 및 단말
KR102216292B1 (ko) 블록체인 기반의 통합 로그인 방법, 단말 및 이를 이용한 서버
KR20200043320A (ko) 블록체인 기반의 통합 로그인 방법, 단말 및 이를 이용한 서버
KR20200062100A (ko) 블록체인 기반의 통합 로그인 방법, 단말 및 이를 이용한 서버
KR102216305B1 (ko) 블록체인 기반의 통합 로그인 방법, 단말 및 이를 이용한 서버
KR102216285B1 (ko) 블록체인 기반의 통합 로그인 방법, 단말 및 이를 이용한 서버
KR102181601B1 (ko) 블록체인 기반의 통합 로그인 방법, 단말 및 이를 이용한 서버
KR20200083396A (ko) 블록체인 네트워크를 이용하여 사용자의 아이덴티티를 관리하는 방법 및 서버, 그리고, 블록체인 네트워크 기반의 사용자 아이덴티티를 이용하여 사용자를 인증하는 방법 및 단말
KR102353808B1 (ko) 블록체인 기반의 통합 로그인 방법, 단말 및 이를 이용한 서버
KR20200110118A (ko) 블록체인 네트워크를 이용하여 사용자의 아이덴티티를 관리하는 방법 및 서버, 그리고, 블록체인 네트워크 기반의 사용자 아이덴티티를 이용하여 사용자를 인증하는 방법 및 단말
JP6714551B2 (ja) 認証鍵共有システム及び端末間鍵コピー方法
KR20200083178A (ko) 블록체인 네트워크를 이용하여 사용자의 아이덴티티를 관리하는 방법 및 서버, 그리고, 블록체인 네트워크 기반의 사용자 아이덴티티를 이용하여 사용자를 인증하는 방법 및 단말
KR20200062098A (ko) 블록체인 기반의 통합 로그인 방법, 단말 및 이를 이용한 서버
KR20200043321A (ko) 블록체인 기반의 통합 로그인 방법, 단말 및 이를 이용한 서버
KR102118921B1 (ko) 블록체인 네트워크를 이용하여 사용자의 아이덴티티를 관리하는 방법 및 서버, 그리고, 블록체인 네트워크 기반의 사용자 아이덴티티를 이용하여 사용자를 인증하는 방법 및 단말
KR20200112771A (ko) 블록체인 기반의 권한 인증 방법, 단말 및 이를 이용한 서버
KR20200130191A (ko) 블록체인 네트워크를 이용하여 사용자의 아이덴티티를 관리하는 방법 및 서버, 그리고, 블록체인 네트워크 기반의 사용자 아이덴티티를 이용하여 사용자를 인증하는 방법 및 단말
KR20200083179A (ko) 블록체인 네트워크를 이용하여 사용자의 아이덴티티를 관리하는 방법 및 서버, 그리고, 블록체인 네트워크 기반의 사용자 아이덴티티를 이용하여 사용자를 인증하는 방법 및 단말
KR20200110121A (ko) 블록체인 네트워크를 이용하여 사용자의 아이덴티티를 관리하는 방법 및 서버, 그리고, 블록체인 네트워크 기반의 사용자 아이덴티티를 이용하여 사용자를 인증하는 방법 및 단말

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190329

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200219

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200303

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200522

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200602

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200610

R150 Certificate of patent or registration of utility model

Ref document number: 6716744

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250