JP2023176034A - Authentication system of network using blockchain and authentication method using the same - Google Patents

Authentication system of network using blockchain and authentication method using the same Download PDF

Info

Publication number
JP2023176034A
JP2023176034A JP2023179920A JP2023179920A JP2023176034A JP 2023176034 A JP2023176034 A JP 2023176034A JP 2023179920 A JP2023179920 A JP 2023179920A JP 2023179920 A JP2023179920 A JP 2023179920A JP 2023176034 A JP2023176034 A JP 2023176034A
Authority
JP
Japan
Prior art keywords
authentication
card
user
access history
transaction
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2023179920A
Other languages
Japanese (ja)
Other versions
JP7559178B2 (en
Inventor
尚一 清本
Shoichi Kiyomoto
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Feed Back Corp
SECURE DESIGN SOLUTIONS Inc
Original Assignee
Feed Back Corp
SECURE DESIGN SOLUTIONS Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Feed Back Corp, SECURE DESIGN SOLUTIONS Inc filed Critical Feed Back Corp
Priority to JP2023179920A priority Critical patent/JP7559178B2/en
Publication of JP2023176034A publication Critical patent/JP2023176034A/en
Application granted granted Critical
Publication of JP7559178B2 publication Critical patent/JP7559178B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

To provide an authentication system which secures validity of authentication and access right of a user in accessing an endpoint on the Internet in various services or application systems on a network, and implements mutual authentication for ensuring authenticity of the endpoint.SOLUTION: An authentication system is configured to: implement authentication of a user in accessing an endpoint on the Internet in various services or application systems on a network through fingerprint authentication using an IC card with fingerprint authentication, and sets a blockchain network for managing and storing, as transactions, most recent access histories of the user as background authentication processing; implement an authentication agent at an entrance of the endpoint; and collate the most recent access histories recorded on the IC card with fingerprint authentication and the blockchain on the authentication agent, to control accesses to the services or the application systems.SELECTED DRAWING: Figure 5

Description

本発明は、ブロックチェーンを利用したネットワークの認証システムとこれを使用した認証方法に関するものである。 The present invention relates to a network authentication system using blockchain and an authentication method using the same.

クラウドサービスの利用とテレワークの拡大により、企業のファイアーウォールの内側と外側の環境境界をデバイスが行き来することから、企業のIT環境において今や安全な場所はなくなりつつある。 With the use of cloud services and the expansion of remote work, there are now no safe spaces in corporate IT environments, as devices move between environmental boundaries inside and outside the company's firewall.

実際、テレワークの間に流出した企業の暗証番号が、世界で900社(国内で38社)分、犯罪サイトに挙げられていることが2020年に8月に公表されており、またIPA(情報処理推進機構)「情報セキュリティ10大脅威2021」によると、企業における脅威としては、外部からのサイバー攻撃の他に内部不正による情報漏洩が上位にランクされている。 In fact, it was announced in August 2020 that corporate PIN numbers leaked during telework were listed on criminal websites for 900 companies worldwide (38 companies in Japan), and IPA (Information According to the ``Top 10 Information Security Threats 2021'' (Information Promotion Agency), in addition to external cyber attacks, information leaks due to internal improprieties rank high among threats to companies.

そこで、既に始まっている欧米での「取引先に対するセキュリティ対策の義務化」の流れを受け、「サプライチェーン管理」、「一般データ保護規則」等に対応する社内システムの見直しは、大企業に限らず中小企業にも待ったなしの課題となっており、業務システムにアクセスする際の厳格な認証が求められている。 Therefore, in response to the trend of ``mandatory security measures for business partners'' that has already begun in Europe and the United States, it is only large companies that are reviewing their internal systems in response to ``supply chain management'', ``General Data Protection Regulations'', etc. This has become an urgent issue for small and medium-sized enterprises as well, and strict authentication is required when accessing business systems.

一方、テレワークにおいて企業の業務サイトをアクセスする場合や、ネットワーク経由で電子取引を行うサイトなどのネットワークのエンドポイント(様々なインターネットのアクセス先の総称)が、犯罪者によって用意された偽のサイトであるといったフィッシング詐欺の脅威にも対策が求められている。 On the other hand, when accessing a company's business site during telework or a site that conducts electronic transactions via the network, the network endpoint (collective term for various Internet access destinations) may be a fake site prepared by a criminal. Countermeasures are also required to combat the threat of phishing scams.

すなわち、ネットワークのエンドポイントの正当性の認証にも配慮した新しい相互認証のサイバーセキュリティが求められている。 In other words, there is a need for a new type of mutual authentication cybersecurity that also takes into consideration the authentication of network endpoints.

図2に示したように従来の認証プロセスにおいては、利用者が社内システム200にリモートでアクセスするためのアプリS400を介してアクセスしS401、社内システム200から認証要求S402を受信し、自ら「ID・パスワード」を入力しS403、ログインS404し、社内システムのID管理データベース410を検索の上、入力されたID・パスワードの照合S407が実施され、OKの判定後に業務開始が許可されS408、利用者は作業を開始S409することが可能となる。 As shown in FIG. 2, in the conventional authentication process, a user accesses the in-house system 200 via an application S400 for remote access, S401 receives an authentication request S402 from the in-house system 200, and uses the "ID"・Password" is entered in S403, login S404, the ID management database 410 of the in-house system is searched, the entered ID and password are verified in S407, and after determining OK, the start of work is permitted, S408, the user It becomes possible to start work S409.

特開2020-190868JP2020-190868 特開2019-8753JP2019-8753

現在、社内の業務システムにアクセスする際や、ネットワーク経由で電子取引を行う場合に用意されているセキュリティ・ソリューションの本人認証手段は、ID・パスワードに依拠するものが殆どである(特許文献1,2)。 Currently, most of the security solutions used to authenticate individuals when accessing internal business systems or conducting electronic transactions via networks rely on IDs and passwords (Patent Document 1, 2).

しかしながら、近時コンピュータの高速化に伴いID・パスワードにも際限なく複雑さが要求されており、ID・パスワードによるセキュリティ対策としての有効性は疑問視される状態にある。 However, with the recent increase in the speed of computers, IDs and passwords are required to be infinitely more complex, and the effectiveness of IDs and passwords as a security measure is being questioned.

しかも、ID・パスワードを記憶する面倒や、失念による人的ミスの誘発、更には、第三者による盗聴、流用など、絶えず「ハッキング」や「なりすまし」の脅威を意識させられるID・パスワードによる認証は破綻した状態にあると言わざるを得ない。 Moreover, authentication using IDs and passwords requires the trouble of remembering IDs and passwords, induces human error due to forgetting them, and is constantly made aware of the threat of ``hacking'' and ``spoofing'' such as eavesdropping and diversion by third parties. It must be said that the company is in a state of bankruptcy.

一方、身分証や金融系、交通系カードとして用いられる従来のICカードは、オフライン端末であり、内部データに対する秘匿性、機密性が高いし、内部データに対する外部からの攻撃による改竄、漏洩に対して堅牢な情報端末であるが、カード内の持主の登録済み指紋情報との照合によってのみ、ICカードとしての機能を発揮するように調整されている指紋認証付きICカードは、「スキミング」や「なりすまし」の心配も無くなり、セキュリティ上の安全対策としては有力な手段となる。 On the other hand, conventional IC cards used as identification cards, financial cards, and transportation cards are offline terminals, and their internal data is highly confidential and confidential, and they are resistant to falsification or leakage due to external attacks. However, IC cards with fingerprint authentication are adjusted to function as an IC card only by comparing the registered fingerprint information of the cardholder with the cardholder's registered fingerprint information. There is no need to worry about ``spoofing,'' and it is an effective means of security.

しかし、前出の指紋認証付きICカードを用いてネットワークのエンドポイントにアクセスする場合においても、繰返し同一のID・パスワードの入力が求められている以上、盗聴などの脅威に対して完全なセキュリティ対策になってはいない。 However, even when accessing network endpoints using the aforementioned fingerprint authentication IC card, since the same ID and password are required to be entered repeatedly, complete security measures against threats such as eavesdropping are required. It has not become.

しかも、ネットワークのエンドポイントの正当性、真正性の確認は全く手付かずなため、偽のエンドポイントに誘導されてID・パスワードを盗まれる「フィッシング詐欺」などの犯罪を防止できない。 Moreover, since the validity and authenticity of network endpoints have not been verified at all, it is impossible to prevent crimes such as ``phishing scams,'' in which people are led to fake endpoints and their IDs and passwords are stolen.

そこで、本願発明は上記の課題に鑑みてなされたものであり、ネットワークのエンドポイントへのアクセスに際して、ID・パスワードの入力を必要とせず、本人認証の正当性をアクセス先に保証すると共に、アクセス先のエンドポイントの真正性を保証する相互認証を実現する完全なサイバーセキュリティ対策を提供することを目的とする。 Therefore, the present invention has been made in view of the above-mentioned problems, and does not require the input of an ID/password when accessing a network endpoint, guarantees the validity of personal authentication to the access destination, and provides access. The aim is to provide a complete cybersecurity measure that achieves mutual authentication that guarantees the authenticity of the destination endpoint.

本発明は、ネットワーク上の様々なサービスや業務システム等のインターネットのエンドポイントにアクセスする際の利用者の本人認証を指紋認証付きICカード(Secure Finger ID card)(SFID)を用いた指紋認証により実施すると同時に、そのバックグラウンドでの認証処理として、前記利用者の直近のアクセス履歴をトランザクション(Tx)として管理、保管するブロックチェーンネットワークを設置し、当該エンドポイントの入口に認証エージェント(Authentication Provider Interface )(API)を実装し、SFIDとブロックチェーンに夫々記録された直近のアクセス履歴をAPI上で照合することにより業務システムへのアクセスを制御するようにした認証システムにおいて、
SFIDとAPIとの間での安全なデータの送受信を可能にするための暗号化・復号化に利用する共通鍵を前記SFID内部のメモリと前記APIに接続された個人情報データベースとに記録すると共に、利用者のアクセス履歴が書き込まれたトランザクション(Tx)を複数のブロックチェーンネットワークの複数のノードに前記APIから配信する際、トランザクション(Tx)の配信元の認証と配信の転送路上でのデータの改竄が無かったことを検証するために必用な公開鍵暗号化方式の秘密鍵をSFID内部のメモリに、またそのペアとなる公開鍵を前記認証エージェントに接続された個人情報データベースに記録して、新規利用者の登録とSFIDの発給を実施して利用者のアクセス権の正当性とエンドポイントの真正性との相互認証をSFIDとAPIとの間で検証する認証システムとこれを使用した認証方法を提案するものである。
The present invention uses fingerprint authentication using a Secure Finger ID card (SFID) to authenticate the user's identity when accessing Internet endpoints such as various services and business systems on the network. At the same time, as a background authentication process, a blockchain network is installed to manage and store the user's recent access history as a transaction (Tx), and an authentication agent (Authentication Provider Interface) is installed at the entrance of the endpoint. ) (API) and controls access to business systems by comparing the most recent access history recorded in SFID and blockchain on the API.
In order to enable secure data transmission and reception between the SFID and the API, a common key used for encryption and decryption is recorded in the memory inside the SFID and the personal information database connected to the API. When distributing a transaction (Tx) in which a user's access history is written to multiple nodes of multiple blockchain networks from the above API, authentication of the transaction (Tx) distribution source and data transmission on the distribution path are required. The private key of the public key encryption method necessary to verify that there has been no tampering is recorded in the memory inside the SFID, and the public key that becomes the pair is recorded in the personal information database connected to the authentication agent, An authentication system that registers new users, issues SFIDs, and verifies the validity of users' access rights and the authenticity of endpoints between SFID and API, and an authentication method using this system. This is what we propose.

本発明ではSFIDが、ID・パスワードに代わり、利用者の業務システムへのアクセス権を認証する役割を果たす為に、SFIDの内部には、氏名または社員コードのような個人を特定するデータと共に、個人に紐付けされる固有の暗号鍵等、本人にも知らされない情報を予め記録、保存した状態で本人に発給され、その後にSFIDカードへの正確な指紋の登録に必要な操作方法の指示を対面またはリモートで受けながら指紋登録を実施する。 In the present invention, the SFID plays the role of authenticating the user's access rights to the business system instead of IDs and passwords, so the SFID contains data that identifies the individual such as the name or employee code. The card is issued to the person with information that is not known to the person, such as a unique encryption key linked to the person, recorded and stored in advance, and then instructions on how to operate the card are required to accurately register fingerprints on the SFID card. Fingerprint registration will be performed in-person or remotely.

指紋が未登録のSFIDカードの発給後、本人の指紋を登録完了した事象が、社内システムに設置された「個人情報データベース」の当該利用者のレコードに「利用者の登録日」として記録され、同時に最初の「アクセス履歴」として当該ブロックチェーンの起点となる記録データ(一つのトランザクションに相当)が生成され、以後、当該ブロックチェーンに記録された「アクセス履歴」とSFIDに記録された「認証履歴情報」の照合により。利用者の当該業務システムへのアクセスが検証されることになる。 After an SFID card with unregistered fingerprints is issued, the event that the registration of the user's fingerprints is completed is recorded as the "user registration date" in the user's record in the "personal information database" installed in the internal system. At the same time, record data (equivalent to one transaction) is generated as the first "access history" that becomes the starting point of the blockchain, and from then on, the "access history" recorded in the blockchain and the "authentication history" recorded in the SFID are generated. By collating "information". User access to the business system will be verified.

すなわち、本発明では、正当な利用者であることの本人確認のためにSFIDカードを付与し、当該利用者のネットワークのエンドポイントへのアクセス履歴を「トランザクション(Tx)」として記録、管理するブロックチェーンネットワークと、前記ICカードSFIDとブロックチェーンネットワークとの連携を仲介するAPIを当該エンドポイントに配備し、利用者によるエンドポイントへのアクセス履歴情報をAPIにおいて暗号化、復号化、集配信および検証を実施し、利用者のリモートワーク等のネットワークからのアクセスを認証および制御するものである。 In other words, in the present invention, an SFID card is assigned to confirm the identity of a legitimate user, and a block records and manages the user's access history to the network endpoint as a "transaction (Tx)". An API that mediates the linkage between the chain network, the IC card SFID, and the blockchain network is deployed to the endpoint, and the API encrypts, decrypts, collects, distributes, and verifies the user's access history information to the endpoint. It authenticates and controls users' access from networks such as remote work.

さらに、本発明では当該最新のアクセス履歴情報を当該利用者のアクセスとその認証の実施の度に更新して、前記SFID およびブロックチェーンネットワークに秘匿し、それぞれAPIからの要求により集配信し、検証を行うことにより利用者およびエンドポイントの真正性の相互認証を実現するサイバーセキュリティの新たなインフラとなる。 Furthermore, in the present invention, the latest access history information is updated every time the user accesses and authenticates it, is kept secret in the SFID and the blockchain network, and is collected and distributed based on requests from the API, and verified. By doing so, it becomes a new infrastructure for cybersecurity that realizes mutual authentication of the authenticity of users and endpoints.

本発明ではSFID、APIおよびブロックチェーン技術により利用者自身の指紋認証とエンドポイントへのアクセス履歴を用いた認証基盤(Finger Identity as a Service認証基盤)(以下FIDaaS認証基盤)が形成され、これにより利用者の正当性とネットワークのアクセスサイトの真正性とを相互に認証可能となる。 In the present invention, an authentication platform (Finger Identity as a Service authentication platform) (hereinafter referred to as FIDaaS authentication platform) using the user's own fingerprint authentication and endpoint access history is formed using SFID, API, and blockchain technology. It becomes possible to mutually authenticate the authenticity of the user and the authenticity of the network access site.

また、本発明によればネットワークのエンドポイントへのアクセスの際にパスワードの入力を必要とせずに上記の認証が行われるため、利用者がID・パスワードを記憶する面倒や、失念による人的ミスの誘発、更には、盗聴等による「ハッキング」や「なりすまし」を防止し、外部からのサイバー攻撃のみならず内部不正による情報漏洩に対する防御が可能となる。 Furthermore, according to the present invention, the above-mentioned authentication is performed without requiring the input of a password when accessing a network endpoint, so there is no need for users to memorize IDs and passwords, and human error caused by forgetting them. It also prevents "hacking" and "spoofing" caused by eavesdropping, making it possible to protect against not only external cyber-attacks but also information leaks caused by internal fraud.

なお、本発明では複数の業務システムのうち、特に重要な業務システム、例えばサイバー攻撃を受けた場合に事業に深刻な影響が及ぶような基幹システムだけを他の業務システムと切り離して独立したエンドポイントとし、APIを設けて認証を行うようにすることもできる。 In addition, in the present invention, among multiple business systems, only particularly important business systems, such as core systems that would have a serious impact on business in the event of a cyber attack, are separated from other business systems and created as an independent endpoint. It is also possible to set up an API to perform authentication.

また、本発明によれば作業効率を高めるために関連する複数の業務システムをひとつのグループとし、このグループを一つのポータルとしてのエンドポイントに対し認証エージェントを設けてグループ内の複数の業務システムを一括して一度だけの認証を行うようにするシングルサインオンと呼ばれるサービス形態を実現することもできる。 Furthermore, according to the present invention, in order to improve work efficiency, a plurality of related business systems are grouped into one group, and an authentication agent is provided for the endpoint of this group as one portal. It is also possible to implement a service form called single sign-on, which performs one-time authentication all at once.

本発明によれば利用者の正当性とエンドポイントの真正性とを相互に認証でき、サイバー空間における厳正な認証インフラが実現可能となる。 According to the present invention, the authenticity of a user and the authenticity of an endpoint can be mutually authenticated, and a strict authentication infrastructure in cyberspace can be realized.

また、本発明によれば、利用者の真正性の認証と厳正なアクセス履歴の管理により保護された当該ブロックチェーンのトランザクションは、完全な署名付きタイムスタンプとしての機能要件を満たす。そこで、業務に係る契約書等のドキュメント情報を当該トランザクションのデータ・レコードに追加して保管する等の付加価値の高いカスタマイズが提供可能となる。例えば、本FIDaaS認証基盤に接続し制御する業務アプリが、社内システムの中の資材管理システムの場合、受発注に係る契約のエビデンスをトランザクションに記録として残すことにより、受発注書データの改竄や削除の心配の無い安全な保管が可能となる。 Furthermore, according to the present invention, transactions on the blockchain that are protected by user authenticity authentication and strict access history management satisfy the functional requirements as a complete signed timestamp. Therefore, it becomes possible to provide high value-added customization, such as adding and storing document information such as contracts related to business to the data record of the transaction. For example, if the business application that connects and controls this FIDaaS authentication platform is a materials management system in an in-house system, the evidence of contracts related to orders is recorded in transactions, so that order data cannot be tampered with or deleted. This enables safe storage without worrying about.

更に、本発明ではSFIDにより利用者の真正性が認証され、またSFIDに書き込まれたアクセス履歴は、書き換えが不可能となり、欠損も起きないブロックチェーンのトランザクションに記載された内容と照合するため、業務システムサイトの真正性が認証され、利用者の真正性と業務システムサイトの真正性とを相互に認証でき、厳正な認証が可能となる。 Furthermore, in the present invention, the authenticity of the user is authenticated by the SFID, and the access history written in the SFID cannot be rewritten and is compared with the content written in the blockchain transaction, which does not cause loss. The authenticity of the business system site is authenticated, the authenticity of the user and the authenticity of the business system site can be mutually authenticated, and strict authentication becomes possible.

この発明に係るFIDaaS認証基盤の構成を模式的に説明する図A diagram schematically explaining the configuration of the FIDaaS authentication infrastructure according to this invention この発明に係る従来の認証プロセスのシーケンスを説明する図A diagram explaining the sequence of the conventional authentication process according to the present invention この発明に係るFIDaaS認証基盤における認証プロセスのシーケンスを説明する図A diagram explaining the sequence of the authentication process in the FIDaaS authentication infrastructure according to this invention この発明に係るSCP01に従いSFIDカードとAPIとの相互認証方式を説明する図Diagram explaining mutual authentication method between SFID card and API according to SCP01 according to this invention この発明に係るFIDaaS認証基盤の仕組みと各データの相関を模式的に説明する図A diagram schematically explaining the structure of the FIDaaS authentication infrastructure and the correlation of each data according to this invention この発明に係るFIDaaS認証基盤のブロックチェーンのデータ構造を示す図Diagram showing the data structure of the blockchain of the FIDaaS authentication platform according to this invention

以下、本発明に係るネットワーク上の様々なWEBサービスや業務システムのサイト等のインターネットのエンドポイントにアクセスする際の利用者の本人認証をSFIDの指紋認証を用いて実施すると同時に、利用者のアクセス履歴をトランザクションとして管理、保管するブロックチェーンネットワークを配備し、当該エンドポイントの前段に認証エージェント(API)を実装し、SFIDとブロックチェーンに夫々記録された直近のアクセス履歴を照合することにより業務システムへのアクセス権をチェックするようにしたサイバー・フィジカル・セキュリティを実施するための好適な実施形態について説明する。 Hereinafter, we will use SFID fingerprint authentication to authenticate the user's identity when accessing Internet endpoints such as various web services and business system sites on the network according to the present invention, and at the same time, the user's access By deploying a blockchain network that manages and stores history as transactions, implementing an authentication agent (API) in front of the relevant endpoint, and comparing the SFID with the latest access history recorded on the blockchain, the business system A preferred embodiment for implementing cyber-physical security that checks the right to access will be described.

図1は、FIDaaS認証基盤の一つの構成例を模式的に示したものである。 FIG. 1 schematically shows one configuration example of the FIDaaS authentication infrastructure.

図1に示されるように業務システム等のインターネットのエンドポイントにアクセスする際の利用者の本人認証を指紋認証付きICカード(SFID)を用いた指紋認証により実施すると同時に、そのバックグラウンドでの認証処理として、前記利用者の直近のアクセス履歴をトランザクションとして管理、保管するブロックチェーンネットワークを設置し、当該エンドポイントの入口に認証エージェント(API)を実装し、認証エージェント(API)に個人情報データベースを接続し、SFIDとブロックチェーンに夫々記録された直近のアクセス履歴をAPI上で照合、検証することにより業務システムへのアクセスを制御するようにしたことを特徴とする認証システムにおいて、SFIDにはAPIとのに共通鍵、前記ブロックチェーンネットワークで用いられる公開鍵暗号化方式の秘密鍵および当該利用者の直近のアクセス履歴を含むブロックチェーンのトランザクションのハッシュIDの前半分とアクセス履歴を記録し、個人情報データベースには前記共通鍵、秘密鍵を複合する公開鍵および前記トランザクションハッシュIDの後半分が記録されている。(図5参照) As shown in Figure 1, the user's identity is authenticated when accessing an Internet endpoint such as a business system by fingerprint authentication using an IC card with fingerprint authentication (SFID), and at the same time, background authentication is performed. As a process, we will install a blockchain network that manages and stores the user's recent access history as transactions, implement an authentication agent (API) at the entrance of the endpoint, and add a personal information database to the authentication agent (API). In an authentication system that controls access to business systems by connecting and collating and verifying the latest access history recorded in SFID and blockchain respectively on API, SFID has an API records the first half of the hash ID and access history of the blockchain transaction, including the common key, the private key of the public key encryption method used in the blockchain network, and the user's recent access history, and The information database records the public key for decoding the common key, the private key, and the last half of the transaction hash ID. (See Figure 5)

上記認証システムについて、SFID110を身分証明書(例えば、社員証)として保有する利用者100(例えば、一部の選ばれた社員または取引先の社員)が、作業環境として用意された業務システム(例えば、社内システム200の中の製造システム204)にアクセスする場合を例にして、FIDaaS認証基盤の実施形態について図に沿って説明する。 Regarding the above authentication system, a user 100 (e.g., some selected employees or employees of a business partner) who holds SFID 110 as an identification document (e.g., employee ID card) uses a business system prepared as a work environment (e.g., An embodiment of the FIDaaS authentication platform will be described with reference to the diagram, taking as an example the case of accessing the manufacturing system 204 in the in-house system 200.

従来の認証プロセスと異なる方式を採用したFIDaaS認証基盤における認証手順を、図1の製造システム204をエンドポイントとして、外部からのアクセスに対するセキュリティのために具備された認証エージェントソフトウェアであるAPI220とリモートで業務を実行しようとする利用者100の保有するSFID110との認証過程を図3に示す。 The authentication procedure in the FIDaaS authentication platform, which adopts a method different from the conventional authentication process, is performed remotely using the manufacturing system 204 in Figure 1 as an endpoint and the API 220, which is authentication agent software equipped for security against external access. FIG. 3 shows the authentication process with the SFID 110 held by the user 100 who wants to execute a business.

その認証工程はステップ1では、当該業務システムへのハッシュ値で表記されたアクセス履歴が書き込まれた指紋認証付きICカードの指紋認証により、カード外部との通信を許可して認証エージェントにアクセスし、ステップ2では、認証エージェントは個人情報データベースより共通鍵を得、この共通鍵をベースとして指紋認証付きICカードと認証エージェントとの真正性を相互に認証すると共に、テンポラリーにセッションキーを生成し、通信上でのセキュリティを確保し、
ステップ3では指紋認証付きICカード内に記録された秘密鍵及びアクセス履歴を夫々セッションキーにより暗号化して認証エージェントに送信し、認証エージェント側で復元する方法でデータを受渡しし、
ステップ4では認証エージェントにおいて指紋認証付きICカードから受信したアクセス履歴ハッシュ値の前半分(1/2)と個人情報データベースから得たアクセス履歴ハッシュ値の後半分と(2/2)を結合したトランザクションハッシュを用いて、ブロックチェーンより、当該トランザクション・レコードを得、このレコードに記録されたアクセス履歴のハッシュ値が前記ステップ3のアクセス履歴のハッシュ値に一致することを確認し、
ステップ5では認証エージェントが利用者のアクセス権の正当性を認めた事を新たなアクセス履歴としてトランザクションをブロックチェーンに配信し、他のノードの合意形成後に確定したトランザクションハッシュ値を用いて、新たなアクセス履歴ハッシュ値を得る。
ステップ6では新たに獲得したトランザクションハッシュ値の前半分を含む新たなアクセス履歴を次回のアクセス時の認証用としてSFIDに送信し、SFID内では、アクセス履歴を更新した後に保管の完了をAPIに通知し、APIがそれを確認して、個人情報データベースの記録の中の直近のアクセス履歴のトランザクションハッシュ値の残りの一半分を更新した後に、利用者に対してリモートからの作業が許可され、以下、それぞれのステップを詳細に説明する。
In step 1 of the authentication process, the authentication agent is accessed by permitting communication with the outside of the card through fingerprint authentication of the fingerprint authentication IC card in which the access history expressed as a hash value to the business system has been written. In step 2, the authentication agent obtains a common key from the personal information database, mutually authenticates the authenticity of the fingerprint authentication IC card and the authentication agent based on this common key, and generates a temporary session key to communicate. ensure security on
In step 3, the private key and access history recorded in the fingerprint authentication IC card are each encrypted with a session key and sent to the authentication agent, and the data is transferred by decoding it on the authentication agent side.
In step 4, the authentication agent combines the first half (1/2) of the access history hash value received from the fingerprint authentication IC card with the second half (2/2) of the access history hash value obtained from the personal information database. Using the hash, obtain the transaction record from the blockchain, confirm that the hash value of the access history recorded in this record matches the hash value of the access history in step 3,
In step 5, the authentication agent recognizes the validity of the user's access rights and distributes the transaction to the blockchain as a new access history, and uses the transaction hash value determined after consensus among other nodes to create a new Get the access history hash value.
In step 6, the new access history including the first half of the newly acquired transaction hash value is sent to SFID for authentication at the next access, and within SFID, after updating the access history, the API is notified of the completion of storage. After the API confirms this and updates the remaining half of the transaction hash value of the most recent access history in the personal information database record, the user is allowed to work remotely and the following , each step will be explained in detail.

ステップ1
図3の利用者100は、製造システム204に対するリモートでの作業を実施するためのアプリケーション・ソフトウェアを起動S150し、「STEP1」S10に記載されたSFID110の上に実装された指紋センサーを用いて指紋認証を実施することにより、カード外部との通信およびSFID110内部に保管されているデータの送受信を可能ならしめ、例えば社員コード(個人情報データベース260の262または図5のSFID110内のメモリ111に記録される個人情報112に含まれる)を送信する方式でAPIをアクセスする。
Step 1
The user 100 in FIG. 3 starts up the application software S150 to perform remote work on the manufacturing system 204, and uses the fingerprint sensor mounted on the SFID 110 described in "STEP 1" S10 to print a fingerprint. By performing authentication, it is possible to communicate with the outside of the card and send and receive data stored inside the SFID 110. For example, the employee code (262 of the personal information database 260 or recorded in the memory 111 of the SFID 110 in Access the API by sending personal information (included in personal information 112).

ステップ2
図3の「STEP2」S11は、SFID110とAPI220との相互の真正性の認証と、その後の相互のデータ通信上におけるセキュリティを確保するための処理を示す。
Step 2
STEP 2” S11 in FIG. 3 shows mutual authentication between the SFID 110 and the API 220, and subsequent processing to ensure security in mutual data communication.

SFID110には、利用者100の個人情報と共に「共通鍵K0(図5のSFID110内のメモリ111に記録される113)」が、予め記録されて発行される。このSFID110と、個人情報データベース260より共通鍵K0265を読取るAPI220とが、この共通鍵をベースとして相互の真正性を検証すると共に、通信を実施する度毎に生成され、しかも一度きりの使い捨ての「セッションキーKS 」を用いることにより、通信上でのセキュリティを確保する。 In the SFID 110, a "common key K0 (113 recorded in the memory 111 in the SFID 110 in FIG. 5)" is recorded in advance and issued together with the personal information of the user 100. This SFID 110 and the API 220 that reads the common key K0265 from the personal information database 260 verify mutual authenticity based on this common key. Communication security is ensured by using the session key KS.

SCPの説明
共通鍵をベースとした相互認証方式としては、ICカードの安全性管理システムの世界標準化組織である「globalplatform.org」で規定するSCP(Secure Channel Protocol) 01をベースとした認証スキームがあるが、以下、このスキームを利用する場合を例に説明する。
Explanation of SCP As a mutual authentication method based on a common key, there is an authentication scheme based on SCP (Secure Channel Protocol) 01 specified by "globalplatform.org", a global standardization organization for IC card security management systems. However, the case where this scheme is used will be explained below as an example.

この認証方式の例を図4に示す。SFID110とAPI220とは、夫々共通鍵K0を保有S501し、認証を開始する際に夫々が16B(バイト)の乱数RapiとRsfidを生成し、例えば共通鍵K0で暗号化し、相手に送信するS502。両者は互いに受け取った乱数を4B単位に区切り、S503の配置規則に従い組み替えてテスト用の暗号文CRMを算出する。このCRMを共通鍵K0で暗号化してセッションキーKS とするS504。このKSを暗号鍵として乱数Rapi、Rsfidを暗号化して暗号文Capi、Csfidを算出し、相互に送信し、復号化することにより元の乱数に戻ることを確認する方法で、互いの真正性を検証すると同時に、SFID110とAPI220とは、このセッションキーKSを用いてデータの送受信を安全に実施することが可能となる。 An example of this authentication method is shown in Figure 4. SFID110 and API220 each have a common key K0 (S501), and when starting authentication, each generates 16B (byte) random numbers Rapi and Rsfid, encrypts them with, for example, common key K0, and sends them to the other party (S502). Both parties divide the random numbers received from each other into 4B units, rearrange them according to the arrangement rules in S503, and calculate the test ciphertext CRM. S504 encrypts this CRM with the common key K0 and uses it as the session key KS. Using this KS as an encryption key, the random numbers Rapi and Rsfid are encrypted to calculate the ciphertext Capi and Csfid, which are sent to each other and decrypted to confirm that they return to the original random numbers. This method verifies the authenticity of each other. At the same time as verification, SFID 110 and API 220 can safely transmit and receive data using this session key KS.

ステップ3
図3の「STEP3」S12は、図5のSFID内のメモリ111に記録されたアクセス履歴を意味する{TSi、TxHi(1/2)}116、117および秘密鍵KB114を夫々セッションキーKS により、暗号化(各通信データをXで代表して記す。図5の10を参照のこと)し、API220に送信し、API側で復元する方法でデータを安全に送受信する。以下の数式(1)および(2)にTSiの処理の例を示す。
(例) SFID : Xi = E (TSi 、KS) ・・・(1)
API : TSi =E -1(X i 、KS) ・・・(2)
ここで添え字“i”は、利用者100の製造システム204のAPI220への直近の“i番目”のアクセスであることを意味する。
Step 3
"STEP 3" S12 in FIG. 3 means the access history recorded in the memory 111 in the SFID in FIG. The data is sent and received safely by encrypting it (each communication data is represented by X, see 10 in Figure 5), sending it to the API 220, and decompressing it on the API side. Equations (1) and (2) below show examples of TSi processing.
(Example) SFID: Xi = E (TSi, KS) ... (1)
API: TSi = E -1(X i , KS) ... (2)
Here, the subscript "i" means the most recent "i-th" access to the API 220 of the manufacturing system 204 of the user 100.

前記数式(1)および(2)では、関数「暗号文=E (平文、暗号鍵)」を意味する記号としてE、E の逆関数「平文=E -1(暗号文、暗号鍵)」を意味する記号としてE -1を用いた。 In the above formulas (1) and (2), E and E's inverse function "plaintext = E -1 (ciphertext, encryption key)" are used as symbols to mean the function "ciphertext = E (plaintext, encryption key)". E -1 was used as the meaning symbol.

ステップ4
図3の「STEP4」S221では、SFIDから受信したTxHi(1/2) 117と個人情報データベース260に記録されたTxHi(2/2) 266を連結して生成されるトランザクションハッシュTxHi12を用いて、ブロックチェーン・データベース351より、図5のトランザクション・レコードTxi13を得て、その中に記録されている当該利用者100すなわち社員コード122と当該SFID110の前回のアクセス履歴のハッシュ値H(TSi)を取り出して、「STEP3」S12で受信したデータTSiのハッシュ値を計算した結果との照合を実施する。すなわち、両者が一致すれば指紋認証で本人確認されたSFID110の正当な保有者は、真正性の認証を受けた製造システム204へのアクセス権の保有者であることが検証される。
Step 4
In "STEP 4" S221 of FIG. 3, using the transaction hash TxHi12 generated by concatenating TxHi(1/2) 117 received from SFID and TxHi(2/2) 266 recorded in the personal information database 260, Obtain the transaction record Txi13 in Figure 5 from the blockchain database 351, and extract the hash value H(TSi) of the previous access history of the user 100, that is, the employee code 122, and the SFID 110 recorded therein. Then, in "STEP 3", a comparison is performed with the result of calculating the hash value of the data TSi received in S12. That is, if the two match, it is verified that the legitimate holder of the SFID 110 whose identity has been verified through fingerprint authentication is the holder of the right to access the manufacturing system 204 whose authenticity has been authenticated.

ここで、記号H(X)は、データXを引数とするハッシュ関数を表し、その計算結果の値が「ハッシュ値」に他ならない。 Here, the symbol H(X) represents a hash function that takes data X as an argument, and the value of the calculation result is nothing but a "hash value."

前出の「TxHi(1/2) 117と個人情報データベース260に記録されたTxHi(2/2) 266を連結し生成する」ことの具体例を以下の数式(3)、(4)、(5)および(6)に示す。

TxHi =TxHi(1/2) + TxHi(2/2) ・・・(3)
TxHi(1/2) = “6b88c87243aa29yfhhtdfh1d4rws2jb1” ・・・(4)
TxHi(2/2) = “2b67gg32hhjrvud3343421987wev4f32” ・・・(5)
TxHi = “6b88c87243aa29yfhhtdfh1d4rws2jb12b67gg32hhjrvud3343421987wev4f32” ・・・(6)

例えば、(4)および(5)のそれぞれ32Bのデータを結合して、(6)のように64BのTxHi12データとすることを意味する。
A specific example of "generating by concatenating TxHi(1/2) 117 and TxHi(2/2) 266 recorded in the personal information database 260" mentioned above is expressed by the following formulas (3), (4), ( Shown in 5) and (6).

TxHi = TxHi(1/2) + TxHi(2/2) ...(3)
TxHi(1/2) = “6b88c87243aa29yfhhtdfh1d4rws2jb1” ・・・(4)
TxHi(2/2) = “2b67gg32hhjrvud3343421987wev4f32” ・・・(5)
TxHi = “6b88c87243aa29yfhhtdfh1d4rws2jb12b67gg32hhjrvud3343421987wev4f32” ・・・(6)

For example, it means combining 32B of data in each of (4) and (5) to create 64B of TxHi12 data as in (6).

ステップ5
図3の「STEP5」S222では、前出の[0039]に記載の「STEP4」S221の検証の結果、利用者100が正当なアクセス権の保有者であることが認められ、リモートでの作業が許可されるが、この事実は、この利用者100の次回のアクセスの際に検証用に必要となるアクセス履歴として記録を残さなければならない。そのために、図1に示したブロックチェーンネットワーク300に現在時刻に相当するアクセス履歴TSi+1のハッシュ値を含むトランザクションTxi+1(図5の15を参照)に、そのハッシュ値を公開鍵暗号方式により秘密鍵KBを用いて暗号化して得られるデジタル署名を付帯して配信する。複数のブロックチェーン・ノード(図1の351~353に当る)への「ブロードキャスト」とも呼ばれる。
Step 5
In "STEP 5" S222 of FIG. 3, as a result of the verification in "STEP 4" S221 described in [0039] above, it is recognized that the user 100 is the holder of legitimate access rights, and remote work is possible. Although permission is granted, this fact must be recorded as an access history that will be necessary for verification the next time this user 100 accesses. To do this, the hash value is transferred to the blockchain network 300 shown in Figure 1 using public key cryptography in transaction Txi+1 (see 15 in Figure 5), which includes the hash value of the access history TSi+1 corresponding to the current time. It is distributed with a digital signature obtained by encrypting it using the private key KB. It is also called "broadcast" to multiple blockchain nodes (corresponding to 351 to 353 in Figure 1).

トランザクションTxi+115を受けたブロックチェーン・ノードでは、受信したデジタル署名を秘密鍵KBに対応する公開鍵PKB(図5の個人情報データベース260の社員コード262)によって復号化し、TxHi+1のハッシュ値との一致を検証することにより、トランザクションの配信元が、公開鍵のペアとなる秘密鍵を有する者からの送信であることを認証し、ハッシュ値の一致から伝送路上でのデータの改竄が無かったことを検証する。 The blockchain node that received the transaction Txi+115 decrypts the received digital signature using the public key PKB (employee code 262 of the personal information database 260 in Figure 5) corresponding to the private key KB, and obtains the hash value of TxHi+1. By verifying the match between the hash values, it is possible to authenticate that the sender of the transaction is from someone who has the private key that is the public key pair, and the match of the hash values indicates that the data has not been tampered with on the transmission path. Verify that.

ブロックチェーンネットワークの説明
図1に示されているようにブロックチェーンネットワーク300におけるデータは、分散型ネットワークを構成する複数のノード351~353に同期して記録される。ブロックチェーンを構成するデータ構造は、図6に示されるようにデータの送受信に係る出来事を一つの単位である「トランザクションTx13」として、更に、そのハッシュ値を「トランザクションハッシュID、TxH12」として付加し、一定期間に生起した複数のトランザクションTx13が集められ(図6の例では、8個のTxとしてD1~ID8を示す)、ブロックチェーンのプロトコルに従い暗号化してブロックの単位310(320、330および340も同様)にまとめられ、ノード間で、そのブロックの正当性を検証し合いながら記録をチェーン(鎖)のようにつないで蓄積する。図6の例では、「j+1」番目のブロック310のハッシュ値311が、「j」番目の情報から生成されるハッシュ値312を内包することがチェーン(鎖)構造の所以に当る。このチェーン構造により、トランザクション・データの改竄や削除は困難とされている。同時に、複数のノードで同期してデータが記録されることからデータのバックアップの機能も果たすことになる。
Description of the Blockchain Network As shown in FIG. 1, data in the blockchain network 300 is recorded synchronously in a plurality of nodes 351 to 353 that constitute a distributed network. As shown in Figure 6, the data structure that makes up the blockchain is such that events related to data transmission and reception are treated as one unit, ``transaction Tx13,'' and its hash value is added as ``transaction hash ID, TxH12.'' , multiple transactions Tx13 that occurred during a certain period of time are collected (in the example in Figure 6, D1 to ID8 are shown as 8 Tx), and encrypted according to the blockchain protocol to create block units of 310 (320, 330, and 340). (Similarly), and records are connected like a chain and accumulated between nodes while verifying the validity of the block. In the example of FIG. 6, the reason for the chain structure is that the hash value 311 of the "j+1"th block 310 includes the hash value 312 generated from the "j"th information. This chain structure makes it difficult to tamper with or delete transaction data. At the same time, since data is recorded synchronously on multiple nodes, it also functions as a data backup.

また、各ブロックのハッシュ値の計算にノンスと呼ばれる値をパラメータとして加えて、この値を調節することにより決められた条件に合致したハッシュ値を見出し、更に他のノードでの計算によっても当該ハッシュ値の結果が再現されることを追試することによって当該ブロックの正当性が合意形成されたとし、新たにTxHi+1を確定する。 In addition, a value called a nonce is added as a parameter to the calculation of the hash value of each block, and by adjusting this value, a hash value that meets the predetermined conditions is found, and the hash value is also calculated by other nodes. It is assumed that a consensus has been formed on the validity of the block by retrying to reproduce the value result, and TxHi+1 is newly determined.

即ち、前述の通り他のノードによりトランザクションTxi+1(図5の15)の正当性が追認されて初めて図6のブロック310の8個のトランザクションの一つとしてブロックチェーン・データベースに蓄積され、改めてTxHi+1(図5の14を参照)が検索可能となる。 In other words, as mentioned above, only after the validity of transaction Txi+1 (15 in Figure 5) is confirmed by another node, is it stored in the blockchain database as one of the eight transactions in block 310 in Figure 6, and then TxHi+1 (see 14 in FIG. 5) becomes searchable.

なお、ブロックの蓄積が許可される従来の方式(例えば、仮想通貨ビットコインのブロックチェーンの場合)に対して、プライベート・ブロックチェーンの場合は、ハッシュ値の制限を緩め、条件に合致するパラメータ(ノンス)を高速且つ容易に発見出来る方式を採用することも出来る。 In contrast to the conventional method in which blocks are allowed to be accumulated (for example, in the case of the blockchain of the virtual currency Bitcoin), in the case of private blockchains, restrictions on hash values are relaxed, and parameters that meet the conditions ( It is also possible to adopt a method that can quickly and easily discover nonces).

ステップ6
図3の「STEP6」S13では、新たに確定したTxHi+1の前半分(1/2)を含むアクセス履歴{TSi+1、TxHi+1(1/2)}115を次回のアクセス時の認証用としてSFIDに送信し、SFID内では、アクセス履歴115を更新した後に保管の完了をAPIに通知し、APIがそれを確認して、個人情報データベース260の記録の中の直近のアクセス履歴のトランザクションハッシュ値の残りの一半分266を更新した後に、リモートからの作業が許可され、利用者100による製造システム204に対する作業が開始S151される。
Step 6
In "STEP 6" S13 in Figure 3, the access history including the first half (1/2) of the newly determined TxHi+1 {TSi+1, TxHi+1(1/2)} 115 is used for authentication at the next access. Within SFID, after updating the access history 115, the API is notified of the completion of storage, and the API confirms it and updates the transaction of the most recent access history in the records of the personal information database 260. After updating the remaining half 266 of the hash value, remote work is permitted and the user 100 starts working on the manufacturing system 204 S151.

以上、この発明において特に留意すべきことは、図3に示された一連の認証処理のシーケンスにおいて、「STEP1」S10における指紋認証のみが利用者100が実際に行わねばならない行為であって、それ以降のリモート作業開始S151の許可が発行され、作業を開始するまでのプロセスは利用者の感知しないバックグラウンドにおいて、SFIDとAPIと当該ブロックチェーンネットワークとの間で自動的に処理が遂行されるという点である。すなわち、利用者100にとって負担となっていたID・パスワードの入力の手間はもちろん、それを記憶する負荷、失念や操作ミス、更には盗聴の心配も無くなる。 As mentioned above, what should be particularly noted in this invention is that in the sequence of authentication processing shown in FIG. After that, permission for remote work start S151 is issued, and the process until the start of work is automatically performed between SFID, API, and the relevant blockchain network in the background without the user's knowledge. It is a point. In other words, the trouble of entering IDs and passwords, which was a burden for the user 100, as well as the burden of remembering them, forgetting them, operational errors, and even eavesdropping are eliminated.

図1に沿って説明した実施例1では、社内システムのうち、重要な業務システム、例えばサイバー攻撃を受けた場合に事業に深刻な影響が及ぶような基幹システム(例えば、図1の「製造システム」204)だけを他の業務システムと切り離してこの発明に係る認証基盤で管理する形態について説明した。 In Example 1, which is explained in accordance with Figure 1, important business systems among in-house systems, such as core systems that would have a serious impact on business in the event of a cyber attack (for example, the "manufacturing system" in Figure 1), are 204) is separated from other business systems and managed using the authentication infrastructure according to the present invention.

この場合は、特定システムへのアクセスを選ばれた社員のみにSFID(指紋認証付きICカード)110が発行、配布されて利用される。 In this case, SFIDs (IC cards with fingerprint authentication) 110 will be issued and distributed to only those employees who have been selected to access a specific system.

上記と異なり、社内のシステムにおける作業効率を高めるために関連する複数の業務システムを一つのグループとし、そのグループに対してポータルとして統一した一つのアクセスポイントを定め、一つのAPI(認証エージェント)を実装することにより、グループ内のシングルサインオン(SSO)機能を構成、提供することができる。例えば、図1の人事システム201、経理システム202、資材システム203では、共通のAPI210によりアクセスの認証を管理する形態をとっている。すなわち、利用者100は、従来、別々のID・パスワードで管理される3つの異なるサービスを、SFIDカードを用いた一度の指紋認証により横断的な使用が許可される。 Different from the above, in order to improve the work efficiency of internal systems, multiple related business systems are grouped together, one unified access point is established as a portal for that group, and one API (authentication agent) is established. By implementing it, you can configure and provide single sign-on (SSO) functionality within a group. For example, in the personnel system 201, accounting system 202, and materials system 203 in FIG. 1, access authentication is managed using a common API 210. That is, the user 100 is permitted to use three different services, which are conventionally managed using separate IDs and passwords, by performing one-time fingerprint authentication using an SFID card.

以上要するに、本発明によれば業務システム等のネットワークへのアクセスに際し、完全なセキュリティ対策が施され、且つ厳格な認証が行われるようなエンドポイントでの認証システムを提供できる。 In summary, according to the present invention, it is possible to provide an authentication system at an endpoint in which complete security measures are taken and strict authentication is performed when accessing a network such as a business system.

100 本FIDaaS認証基盤の利用者であり、社内システムの中の製造システムにリモートでアクセスする業務アプリの利用者
110 利用者の保有するSFIDカード(指紋認証付きICカード)
111 SFIDカード内のメモリ
112 SFID内のメモリに記録された、利用者の氏名、連絡先等の一般的な個人情報
113 SFID内のメモリに記録された、SFIDカードと業務システムのAPIとの間でデータを安全に通信するための共通鍵データ
114 SFID内のメモリに記録された、本発明のFIDaaS認証基盤で用いられる公開鍵暗号方式に必要な秘密鍵データ。社員コードに用いられる公開鍵と対になる。
115 SFID内のメモリに記録された、このSFIDの保有者が、業務システムをアクセスした直近のアクセス履歴
116 SFID内のメモリに記録された、このSFIDの保有者が、業務システムをアクセスした直近のアクセス時刻データ
117 SFID内のメモリに記録された、ブロックチェーン・データベースに記録された業務システムへの直近のアクセス履歴が書かれたトランザクションのトランザクションハッシュIDの前半のデータ
120 指紋照合を実施する指
200 リモートアクセスを認める複数の業務システムを含む社内システムの全体
201 社内システムの中、リモートアクセスを認める人事システム
202 社内システムの中、リモートアクセスを認める経理システム
203 社内システムの中、リモートアクセスを認める資材システム
204 社内システムの中、リモートアクセスを認める製造システム
205 社内システムの中、リモートアクセスを認めるR&Dシステム
206 社内システムの中、リモートアクセスを認めるシステム管理業務を意味する。
210 社内システムの中、人事システム、経理システム、資材システムを一つの合同アクセスポイントとして扱い、アクセスを制御する認証エージェントソフトウェア(API:Authentication Provider Interface)
220 社内システムの中、製造システムへのアクセスを制御する認証エージェントソフトウェア(API)。本発明の実施形態の説明において例として言及
230 社内システムの中、R&Dシステムへのアクセスを制御する認証エージェントソフトウェア(API)。
240 社内システムの中、システム管理業務へのアクセスを制御する認証エージェントソフトウェア(API)。
260 社内システムにアクセスする全ての利用者の個人情報を記録、管理するデータベース
261 「個人情報データベース」の中、利用者の氏名、連絡先等の一般的な個人データ・レコード
262 「個人情報データベース」の中、社員コードを記録するレコードで、本発明のFIDaaS認証基盤で用いられる公開鍵暗号方式に必要なSFID内に秘匿される秘密鍵と対になる公開鍵を社員コードとして使用
263、267 「個人情報データベース」の予備のデータ・レコード
264 「個人情報データベース」の中、利用者のSFIDカードへの指紋登録を完了した時刻または利用者に業務システムへのアクセス権を登録した時刻のデータ・レコード
265 「個人情報データベース」の中、利用者のSFIDカードと業務システムのAPIとの間でデータを安全に通信するための共通鍵を記録するデータ・レコード。
266 「個人情報データベース」の中、ブロックチェーン・データベースに記録された業務システムへの直近のアクセス履歴が書かれたトランザクションのトランザクションハッシュIDの後半のデータが記録されるデータ・レコード
300 ブロックチェーンネットワーク
310 ノードの一つに相当するブロックチェーン・データベース中の「J+1」番目のブロック。ブロックは、番号の若い順から昇順に蓄積される。
311 ブロックチェーン・データベース中の「J+1」番目のブロックを代表するハッシュ値
312 ブロックチェーン・データベース中の「J」番目のブロックを代表するハッシュ値
313、314 ブロックチェーン・データベース中の「J+1」番目のブロックを構成する8個のトランザクション・データから成るハッシュ木(マークル木)とそのルートを示す。
320 ブロックチェーン・データベース中の「J」番目のブロック。
340 ブロックチェーン・データベース中の「新規利用者の登録時刻」または「SFIDカードへの指紋の登録完了時刻」を起点とするアクセス履歴が記録されるブロック。
350 ブロックチェーンのノード351、352、352が配置されたクラウド
S400~S409 リモートアクセスの従来の認証プロセスのフローチャートの各処理工程を示す。
410 リモートアクセスの従来の認証プロセスに用いられるID管理データベース
S150 本発明の実施形態の例として、製造システムのAPIをリモートでアクセスする為のアプリケーション・ソフトウェア
S151 本発明の実施形態の例として、APIの認証を得て製造システムへのリモートワークを開始、実施工程を意味する。
S10~S13 本発明の実施形態の例として、製造システムのリモートワークを実施する際に要求される利用者のアクセス権とエンドポイントの相互認証をSFIDとAPI間で検証するプロセスの各処理工程を示す。
S221~S222 本発明の実施形態の例として、製造システムのリモートワークを実施する際に要求される利用者のアクセス権とエンドポイントの相互認証に必要なデータのAPIとブロックチェーン・データベースとの間の読込み、書込みの各処理工程を示す
S500~S505 ICカードの安全性管理システムの世界標準化組織で規定する認証スキームSCP01をベースとしたSFIDカードとAPIとの相互認証プロセスのフローチャートの各処理工程を示す。
10 認証スキームSCP01をベースとして、認証の度毎に再計算されるセッションキーを使って、SFIDからAPIに送られる暗号化されたデータ
11 認証スキームSCP01をベースとして、認証の度毎に再計算されるセッションキーを使って、APIからSFIDに送られる暗号化されたデータ
12 ブロックチェーン・データベースに記録された業務システムへの直近のアクセス履歴が書かれたトランザクションのトランザクションハッシュID
13 ブロックチェーン・データベースに記録された業務システムへの直近のアクセス履歴が書かれたトランザクション・レコード
122 業務システムへの直近のアクセス履歴が書かれたトランザクション・データに含まれる利用者を示す社員コード。本発明のFIDaaS認証基盤で用いられる公開鍵暗号方式に必要なSFID内に秘匿される秘密鍵と対になる公開鍵
123 業務システムへの直近のアクセス履歴が書かれたトランザクション・データに含まれる業務システムへの直近のアクセス時刻データ
124 業務システムへの直近のアクセス履歴が書かれたトランザクション・データに含まれる予備のレコード
125 業務システムへの直近のアクセス履歴が書かれたトランザクション・データに含まれるカスタマイズに使用される予備のレコード
14 業務システムへのアクセス権が認証完了した直後のアクセス履歴データが含まれたトランザクション・レコードのトランザクションハッシュID
15 業務システムへのアクセス権が認証完了した直後のアクセス履歴データが含まれたトランザクション・レコード
100 A user of this FIDaaS authentication platform and a user of a business application that remotely accesses a manufacturing system within an in-house system 110 An SFID card (IC card with fingerprint authentication) owned by the user
111 Memory in the SFID card 112 General personal information such as the user's name and contact information recorded in the memory in the SFID 113 Between the SFID card and the business system API recorded in the memory in the SFID Common key data 114 for securely communicating data Private key data necessary for the public key cryptosystem used in the FIDaaS authentication infrastructure of the present invention, which is recorded in the memory in the SFID. Pairs with the public key used for the employee code.
115 History of the most recent access to the business system by the holder of this SFID, recorded in the memory of the SFID 116 History of the most recent access to the business system by the holder of this SFID, recorded in the memory of the SFID Access time data 117 Data in the first half of the transaction hash ID of the transaction containing the most recent access history to the business system recorded in the blockchain database, which is recorded in the memory in the SFID 120 Finger used for fingerprint verification 200 Entire internal system including multiple business systems that allow remote access 201 Human resources system that allows remote access among internal systems 202 Accounting system that allows remote access among internal systems 203 Material system that allows remote access among internal systems 204 Manufacturing systems that allow remote access among in-house systems 205 R&D systems that allow remote access among in-house systems 206 System management operations that allow remote access among in-house systems.
210 Authentication agent software (API: Authentication Provider Interface) that treats the human resources system, accounting system, and materials system among internal systems as one joint access point and controls access.
220 Authentication agent software (API) that controls access to manufacturing systems within an in-house system. Mentioned by way of example in the description of embodiments of the invention 230 Authentication Agent Software (API) that controls access to the R&D system within the internal system.
240 Authentication agent software (API) that controls access to system management operations within an in-house system.
260 A database that records and manages the personal information of all users who access internal systems 261 General personal data records such as users' names and contact information in the "Personal Information Database" 262 "Personal Information Database" 263, 267 "This is a record that records the employee code, and the public key paired with the private key hidden in the SFID, which is necessary for the public key encryption method used in the FIDaaS authentication infrastructure of the present invention, is used as the employee code. 263, 267 " Preliminary data record in the "Personal Information Database" 264 Data record in the "Personal Information Database" of the time when fingerprint registration on the user's SFID card was completed or the time when the user was registered with access rights to the business system. 265 A data record in the "Personal Information Database" that records the common key for securely communicating data between the user's SFID card and the business system's API.
266 Data record in the “Personal Information Database” where the data in the second half of the transaction hash ID of the transaction in which the most recent access history to the business system recorded in the blockchain database is recorded 300 Blockchain network 310 The “J+1”th block in the blockchain database corresponding to one of the nodes. Blocks are accumulated in ascending order starting from the smallest number.
311 Hash value representing the “J+1”th block in the blockchain database 312 Hash value representing the “J”th block in the blockchain database 313, 314 Hash value representing the “J+1”th block in the blockchain database This figure shows a hash tree (Merkle tree) consisting of eight pieces of transaction data that make up a block and its root.
320 The “J” block in the blockchain database.
340 A block in which the access history starting from the "time of new user registration" or "time of completion of fingerprint registration on SFID card" in the blockchain database is recorded.
350 Cloud where blockchain nodes 351, 352, and 352 are placed
S400 to S409 show each processing step of a flowchart of a conventional authentication process for remote access.
410 ID management database used in traditional authentication process for remote access
S150 As an example of an embodiment of the present invention, application software for remotely accessing the API of a manufacturing system
S151 As an example of the embodiment of the present invention, this refers to the process of obtaining API authentication and starting remote work to the manufacturing system.
S10 to S13 As an example of the embodiment of the present invention, each processing step of the process of verifying user access rights and mutual authentication of endpoints between SFID and API, which is required when implementing remote work in a manufacturing system, will be explained. show.
S221 to S222 As an example of the embodiment of the present invention, between an API and a blockchain database of data necessary for user access rights and mutual authentication of endpoints required when implementing remote work of a manufacturing system This shows each reading and writing process.
S500 to S505 Each processing step of a flowchart of a mutual authentication process between an SFID card and an API based on the authentication scheme SCP01 specified by the global standardization organization for IC card safety management systems is shown.
10 Based on the authentication scheme SCP01, encrypted data sent from SFID to the API using a session key that is recalculated every time there is an authentication.11 Based on the authentication scheme SCP01, the session key is recalculated every time there is an authentication. Encrypted data sent from the API to SFID using the session key 12 Transaction hash ID of the transaction containing the most recent access history to the business system recorded in the blockchain database
13 Transaction record containing the most recent access history to the business system recorded in the blockchain database 122 Employee code indicating the user included in the transaction data containing the most recent access history to the business system. A public key 123 paired with a private key hidden in the SFID necessary for the public key cryptosystem used in the FIDaaS authentication infrastructure of the present invention Business operations included in transaction data that describes the most recent access history to the business system Latest access time data to the system 124 Preliminary record 125 included in the transaction data that records the latest access history to the business system Customization included in the transaction data that records the latest access history to the business system Reserve record 14 used for transaction hash ID of the transaction record containing access history data immediately after authentication of access rights to the business system is completed
15 Transaction record containing access history data immediately after authentication of access rights to the business system is completed

Claims (3)

インターネットのエンドポイントにアクセスする際の利用者の本人認証を指紋認証付きICカードを用いた指紋認証により実施すると同時に、そのバックグラウンドでの認証処理として、利用者の直近のアクセス履歴をトランザクションとして管理、保管するブロックチェーンネットワークを設置し、前記エンドポイントの入口に認証エージェントを実装し、前記指紋認証付きICカードとブロックチェーンに夫々記録された直近のアクセス履歴を前記認証エージェント上で照合することによりサービスや業務システムへのアクセスを制御するようにしたことを特徴とする認証システムにおける
指紋認証付きICカードと認証エージェントとの間での安全なデータの送受信を可能にするための暗号化・復号化に利用する共通鍵を前記指紋認証付きICカード内部のメモリと前記認証エージェントに接続された個人情報データベースとに記録すると共に、利用者のアクセス履歴が書き込まれたトランザクションを複数のブロックチェーンネットワークの複数のノードに前記認証エージェントから配信する際、トランザクションの配信元の認証と配信の転送路上でのデータの改竄が無かったことを検証するために必用な公開鍵暗号化方式の秘密鍵を指紋認証付きICカード内部のメモリに、またそのペアとなる公開鍵を前記認証エージェントに接続された個人情報データベースに記録して新規利用者の登録と指紋認証付きICカードの発給を実施して利用者のアクセス権の正当性とエンドポイントの真正性との相互認証を指紋認証付きICカードと認証エージェントとの間で検証することを特徴する認証システム方法において、
ステップ1では指紋認証付きICカードの指紋認証により、カード外部との通信を許可し、認証エージェントにアクセスし、
ステップ2では、認証エージェントは個人情報データベースより共通鍵を得、この共通鍵をベースとして指紋認証付きICカードと認証エージェントとの真正性を相互に認証すると共に、テンポラリーにセッションキーを生成し、通信上でのセキュリティを確保し、
ステップ3では指紋認証付きICカードに記録された秘密鍵及びアクセス履歴を夫々セッションキーにより暗号化して認証エージェントに送信し、認証エージェント側で復元する方法でデータを受渡しし、
ステップ4では認証エージェントにおいて指紋認証付きICカードから受信したアクセス履歴ハッシュ値の一半分(1/2)と個人情報データベースから得たアクセス履歴ハッシュ値の他の一半分と(2/2)を結合したトランザクションハッシュを用いて、ブロックチェーンより、トランザクション・レコードを得、このレコードに記録されたアクセス履歴のハッシュ値が前記ステップ3のアクセス履歴のハッシュ値に一致することを確認し、
ステップ5では認証エージェントが利用者のアクセス権の正当性を認めた事を新たなアクセス履歴としてトランザクションをブロックチェーンに配信し、他のノードの合意形成後に確定したトランザクションハッシュ値を用いて、新たなアクセス履歴ハッシュ値を得て、
ステップ6では新たに獲得したトランザクションハッシュ値の一半分を含む新たなアクセス履歴を次回のアクセス時の認証用として指紋認証付きICカードに送信し、指紋認証付きICカード内では、アクセス履歴を更新した後に保管の完了を認証エージェントに通知し、認証エージェントがそれを確認して、個人情報データベースの記録の中の直近のアクセス履歴のトランザクションハッシュ値の残りの一半分を更新した後に利用者に対してリモートからの作業が許可され、利用者によるサービスや業務システム204に対する作業が開始される認証方法。
The user's identity is authenticated when accessing an Internet endpoint using fingerprint authentication using an IC card with fingerprint authentication, and at the same time, the user's recent access history is managed as a transaction as a background authentication process. , by installing a blockchain network for storage, implementing an authentication agent at the entrance of the endpoint, and collating the most recent access history recorded in the fingerprint authentication IC card and the blockchain on the authentication agent. Encryption/decryption to enable secure data transmission and reception between an IC card with fingerprint authentication and an authentication agent in an authentication system characterized by controlling access to services and business systems. The common key used for the fingerprint authentication IC card is recorded in the internal memory of the fingerprint authentication IC card and the personal information database connected to the authentication agent, and the transactions in which the user's access history is written are stored in multiple blockchain networks. When delivering a transaction from the authentication agent to a node, the private key of the public key encryption method, which is necessary to authenticate the source of the transaction and verify that the data has not been tampered with during the delivery transfer, is sent with fingerprint authentication. User access is achieved by recording the public key in the IC card's internal memory and the paired public key in the personal information database connected to the authentication agent, registering new users, and issuing IC cards with fingerprint authentication. In an authentication system method, the authentication system method is characterized by verifying mutual authentication of the authenticity of a user's rights and the authenticity of an endpoint between an IC card with fingerprint authentication and an authentication agent,
In step 1, the fingerprint authentication of the IC card with fingerprint authentication allows communication with the outside of the card, accesses the authentication agent,
In step 2, the authentication agent obtains a common key from the personal information database, mutually authenticates the authenticity of the fingerprint authentication IC card and the authentication agent based on this common key, and generates a temporary session key to communicate. ensure security on
In step 3, the private key and access history recorded on the fingerprint authentication IC card are each encrypted with a session key, sent to the authentication agent, and restored on the authentication agent side, and the data is transferred.
In step 4, the authentication agent combines one half (1/2) of the access history hash value received from the fingerprint authentication IC card with the other half (2/2) of the access history hash value obtained from the personal information database. Obtain a transaction record from the blockchain using the transaction hash, confirm that the hash value of the access history recorded in this record matches the hash value of the access history in step 3,
In step 5, the authentication agent recognizes the validity of the user's access rights and distributes the transaction to the blockchain as a new access history, and uses the transaction hash value determined after consensus among other nodes to create a new Obtain the access history hash value,
In step 6, the new access history including half of the newly acquired transaction hash value is sent to the fingerprint authentication IC card for authentication at the next access, and the access history is updated in the fingerprint authentication IC card. Afterwards, the authentication agent is notified of the completion of storage, and after the authentication agent confirms it and updates the remaining half of the transaction hash value of the most recent access history in the record of the personal information database, it is sent to the user. An authentication method by which remote work is permitted and the user starts working on a service or business system 204.
複数の業務システムのうち、特に重要な業務システムだけを他の業務システムと切り離してエンドポイントとし、その業務システムの入口に認証エージェントを設けて認証の制御を行う方式や、作業効率を高めるために関連する複数の業務システムをひとつのグループとし、このグループを一つのエンドポイントとして認証エージェントを設けてグループ内の業務システムを一括して認証を行う方式も実現可能なことを特徴とする請求項1記載の認証方法。 Among multiple business systems, only particularly important business systems are separated from other business systems and used as endpoints, and an authentication agent is installed at the entrance of that business system to control authentication. Claim 1, characterized in that it is also possible to realize a method in which a plurality of related business systems are grouped into one group, and an authentication agent is provided with this group as one end point to collectively authenticate the business systems in the group. Authentication method described. 利用者の真正性の認証と厳正なアクセス履歴の管理により保護されたブロックチェーンのトランザクションに、業務に係る契約書のドキュメント情報を当該トランザクションのデータ・レコードに追加して保管することによりハイセキュリティな署名付きタイムスタンプ機能を実現可能にすることを特徴とする請求項1記載の認証方法。 High security is achieved by adding document information of business contracts to the transaction data record and storing it in blockchain transactions, which are protected by user authenticity authentication and strict access history management. The authentication method according to claim 1, characterized in that it enables a signed timestamp function to be implemented.
JP2023179920A 2021-11-29 2023-10-19 Blockchain-based network authentication system and authentication method using the same Active JP7559178B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2023179920A JP7559178B2 (en) 2021-11-29 2023-10-19 Blockchain-based network authentication system and authentication method using the same

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2021193218A JP7398183B2 (en) 2021-11-29 2021-11-29 Network authentication system using blockchain and authentication method using this
JP2023179920A JP7559178B2 (en) 2021-11-29 2023-10-19 Blockchain-based network authentication system and authentication method using the same

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2021193218A Division JP7398183B2 (en) 2021-11-29 2021-11-29 Network authentication system using blockchain and authentication method using this

Publications (2)

Publication Number Publication Date
JP2023176034A true JP2023176034A (en) 2023-12-12
JP7559178B2 JP7559178B2 (en) 2024-10-01

Family

ID=86646978

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2021193218A Active JP7398183B2 (en) 2021-11-29 2021-11-29 Network authentication system using blockchain and authentication method using this
JP2023179920A Active JP7559178B2 (en) 2021-11-29 2023-10-19 Blockchain-based network authentication system and authentication method using the same

Family Applications Before (1)

Application Number Title Priority Date Filing Date
JP2021193218A Active JP7398183B2 (en) 2021-11-29 2021-11-29 Network authentication system using blockchain and authentication method using this

Country Status (1)

Country Link
JP (2) JP7398183B2 (en)

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003046500A (en) 2001-08-03 2003-02-14 Nec Corp Personal information management system, personal information management method, and information processing server
JP4414173B2 (en) 2003-09-01 2010-02-10 三菱電機株式会社 Fingerprint verification device
JP2005244534A (en) 2004-02-26 2005-09-08 Hitachi Ltd Device and method for cipher communication
JP4576633B2 (en) 2004-03-12 2010-11-10 国立大学法人東京工業大学 IC card immediate reissuing method and system using network
CN1936947B (en) 2005-09-22 2011-04-13 富士施乐株式会社 Device customizing system, device customizing method, authentication agent
JP5855217B1 (en) 2014-12-15 2016-02-09 株式会社MoriX Smart card with fingerprint authentication and payment method using the same
EP3536002B1 (en) 2016-11-08 2020-11-18 Aware, Inc. Decentralized biometric identity authentication
CN106845210A (en) 2017-01-19 2017-06-13 布比(北京)网络技术有限公司 Event authentication method and apparatus
JP6532581B1 (en) 2018-08-28 2019-06-19 株式会社リップル・マーク Virtual currency management system, virtual currency management method and virtual currency management program
JP2020072307A (en) 2018-10-29 2020-05-07 合同会社玉木栄三郎事務所 Secret key management system in distributed network and secret key management method
JP2021048546A (en) 2019-09-20 2021-03-25 富士通株式会社 Communication device, communication method, communication system, and program
CN110888932A (en) 2019-10-17 2020-03-17 广州大学 Urban building waste supervision method and system based on block chain and storage medium

Also Published As

Publication number Publication date
JP7398183B2 (en) 2023-12-14
JP2023079648A (en) 2023-06-08
JP7559178B2 (en) 2024-10-01

Similar Documents

Publication Publication Date Title
CN108830600B (en) Block chain-based electronic invoice system and implementation method
US11533164B2 (en) System and method for blockchain-based cross-entity authentication
US11025435B2 (en) System and method for blockchain-based cross-entity authentication
EP3788523B1 (en) System and method for blockchain-based cross-entity authentication
US10880089B2 (en) Methods and systems for universal storage and access to user-owned credentials for trans-institutional digital authentication
KR100962399B1 (en) Method for providing anonymous public key infrastructure and method for providing service using the same
CN110874464A (en) Method and equipment for managing user identity authentication data
CN109450843B (en) SSL certificate management method and system based on block chain
JP2001326632A (en) Distribution group management system and method
JP7114078B2 (en) Electronic authentication method and program
TW200402224A (en) Biometric private key infrastructure
JP2009514072A (en) Method for providing secure access to computer resources
CN109962890A (en) A kind of the authentication service device and node access, user authen method of block chain
CN112789642A (en) Association of identities in a distributed database
KR20060032888A (en) Apparatus for managing identification information via internet and method of providing service using the same
TWI268077B (en) Remote unblocking with a security agent
Gulati et al. Self-sovereign dynamic digital identities based on blockchain technology
CN112565294A (en) Identity authentication method based on block chain electronic signature
JP6712707B2 (en) Server system and method for controlling a plurality of service systems
Dumas et al. LocalPKI: An interoperable and IoT friendly PKI
Verma et al. Applications of Data Security and Blockchain in Smart City Identity Management
JP7398183B2 (en) Network authentication system using blockchain and authentication method using this
CN105743883B (en) A kind of the identity attribute acquisition methods and device of network application
CN117396866A (en) Authorized transaction escrow service
JP2007110175A (en) Management service device, backup service device, communication terminal device, and storage medium

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20231019

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20231025

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240912

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240918

R150 Certificate of patent or registration of utility model

Ref document number: 7559178

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150