JP2024044013A - 情報処理装置、情報処理方法及び情報処理プログラム - Google Patents

情報処理装置、情報処理方法及び情報処理プログラム Download PDF

Info

Publication number
JP2024044013A
JP2024044013A JP2022149307A JP2022149307A JP2024044013A JP 2024044013 A JP2024044013 A JP 2024044013A JP 2022149307 A JP2022149307 A JP 2022149307A JP 2022149307 A JP2022149307 A JP 2022149307A JP 2024044013 A JP2024044013 A JP 2024044013A
Authority
JP
Japan
Prior art keywords
authentication
public key
fido
user
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2022149307A
Other languages
English (en)
Inventor
渉 大神
秀仁 五味
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to JP2022149307A priority Critical patent/JP2024044013A/ja
Publication of JP2024044013A publication Critical patent/JP2024044013A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

【課題】認証の効率をさらに向上させる。【解決手段】本願に係る情報処理装置は、認証時に、認証器から認証用公開鍵を搭載したVC(Verifiable Credentials:検証可能な資格証明書)を受け取る受付部と、認証用公開鍵を搭載したVCから、認証用公開鍵を取り出す抽出部と、VCから取り出された認証用公開鍵を用いてFIDO認証を実施する認証処理部と、FIDO認証に成功した場合、サービスを提供する提供部と、を備えることを特徴とする。【選択図】図4

Description

本発明は、情報処理装置、情報処理方法及び情報処理プログラムに関する。
FIDO(Fast Identity Online)に関する技術であって、認証器を用いる技術が開示されている(特許文献1参照)。
特開2020-141331号公報
しかしながら、上記の従来技術では、認証時の本人確認を含め、FIDO認証に関してまだまだ改善の余地がある。
本願は、上記に鑑みてなされたものであって、認証の効率をさらに向上させることを目的とする。
本願に係る情報処理装置は、認証時に、認証器から認証用公開鍵を搭載したVCを受け取る受付部と、前記認証用公開鍵を搭載したVCから、前記認証用公開鍵を取り出す抽出部と、前記VCから取り出された前記認証用公開鍵を用いてFIDO認証を実施する認証処理部と、前記FIDO認証に成功した場合、サービスを提供する提供部と、を備えることを特徴とする。
実施形態の一態様によれば、認証の効率をさらに向上させることができる。
図1は、実施形態に係る情報処理方法の概要を示す説明図である。 図2は、FIDOマイクロサービスによるFIDO認証機能の分離の概要を示す説明図である。 図3は、VCに公開鍵情報を搭載する方式における登録時の処理の概要を示す説明図である。 図4は、VCに公開鍵情報を搭載する方式における認証時の処理の概要を示す説明図である。 図5は、実施形態に係る情報処理システムの構成例を示す図である。 図6は、実施形態に係る端末装置の構成例を示す図である。 図7は、実施形態に係るサーバ装置の構成例を示す図である。 図8は、利用者情報データベースの一例を示す図である。 図9は、履歴情報データベースの一例を示す図である。 図10は、実施形態に係る処理手順を示すフローチャートである。 図11は、ハードウェア構成の一例を示す図である。
以下に、本願に係る情報処理装置、情報処理方法及び情報処理プログラムを実施するための形態(以下、「実施形態」と記載する)について図面を参照しつつ詳細に説明する。なお、この実施形態により本願に係る情報処理装置、情報処理方法及び情報処理プログラムが限定されるものではない。また、以下の実施形態において同一の部位には同一の符号を付し、重複する説明は省略される。
〔1.情報処理方法の概要〕
まず、図1を参照し、実施形態に係る情報処理装置が行う情報処理方法の概要について説明する。図1は、実施形態に係る情報処理方法の概要を示す説明図である。なお、図1では、FIDO認証の基本的な仕組みについて説明する。
図1に示すように、情報処理システム1は、端末装置10とサーバ装置100とを含む。端末装置10とサーバ装置100とは、ネットワークN(図5参照)を介して有線又は無線で互いに通信可能に接続される。本実施形態では、端末装置10は、サーバ装置100と連携する。
端末装置10は、利用者U(ユーザ)により使用されるスマートフォンやタブレット端末等のスマートデバイスであり、4G(Generation)やLTE(Long Term Evolution)等の無線通信網を介して任意のサーバ装置と通信を行うことができる携帯端末装置である。また、端末装置10は、液晶ディスプレイ等の画面であって、タッチパネルの機能を有する画面を有し、利用者Uから指やスタイラス等によりタップ操作、スライド操作、スクロール操作等、コンテンツ等の表示データに対する各種の操作を受付ける。なお、画面のうち、コンテンツが表示されている領域上で行われた操作を、コンテンツに対する操作としてもよい。また、端末装置10は、スマートデバイスのみならず、デスクトップPC(Personal Computer)やノートPC等の情報処理装置であってもよい。
本実施形態では、端末装置10は、FIDO認証(Fast Identity Online)におけるFIDOクライアントとして機能する。FIDOクライアントは、認証器(Authenticator)と連携してユーザの認証を行う。なお、認証器は、FIDOクライアントと同一のデバイスに実装されることがあってもよく(内蔵認証器)、FIDOクライアントとは物理的に異なるデバイスに実装されていてもよい(外部認証器)。
例えば、FIDO認証では、PIN(Personal Identification Number)、USB(Universal Serial Bus)セキュリティキー、スマートカードなどの記憶や所有物を用いた認証方式や、指紋、顔、虹彩、静脈、声紋などの生体情報や行動情報を用いた認証方式を実装できる。認証方式は、これらに限定されず、あらゆる方式を導入することができる。また、複数の認証方式を組み合わせて、マルチモーダル生体認証や多要素認証を実現することもできる。
以下、説明の簡略化のため、FIDOクライアントと認証器とを区別せず、端末装置10をFIDOクライアントかつ認証器として説明する。すなわち、認証器が内部認証器である場合を例に説明する。なお、実際には、認証器は、端末装置10から物理的に独立し、端末装置10と連携可能な外部認証器であってもよい。
また、FIDOクライアントのWebブラウザに表示されるウェブコンテンツから認証器を呼び出し、認証サーバとのやり取りでFIDO認証を可能にするためのWeb認証API(Application Programming Interface)も実装可能であるが、本実施形態では説明を割愛する。
サーバ装置100は、FIDO認証における認証サーバ(FIDOサーバ)として機能する情報処理装置であり、コンピュータやクラウドシステム等により実現される。認証サーバは、RP(Relying Party)/IdP(Identity Provider)に相当する。RP(Relying Party)は、FIDOサーバを実装するエンティティ・組織のことを指す。FIDO認証では、認証器(Authenticator)と認証サーバとの間で、パスワードや生体情報のような「秘密」を共有しないので、フィッシングに対する耐性がある。
図1に示すように、FIDO認証では、認証サーバは、ユーザからの認証要求を受けると、ユーザ側の認証器にチャレンジ(Challenge)を送る。チャレンジは、一度だけ有効なランダムな文字列であり、乱数を元に決めた毎回異なるデータ列である。ユーザは、認証器を用いてユーザ検証(User verification)を行い、本人性の検証をローカルで実施する。そして、認証器は、検証結果を秘密鍵(Private Key)で署名し、署名付き検証結果(Signed response)として認証サーバに送る。認証サーバは、署名付き検証結果を受け取ると、公開鍵(Public Key)で署名検証する。秘密鍵と公開鍵との組を、鍵ペアと称する。
このように、FIDO認証では、認証サーバが、公開鍵を用いて、ユーザ側の認証器が適切な秘密鍵を保有することを確認することによって認証を実現する。認証器と認証サーバは「秘密鍵」を共有しない。
また、サーバ装置100は、FIDO認証に対応したRP/IdPとのID連携(フェデレーション)によりアイデンティティサービスを提供する連携RP/SP(Service Provider)としても機能する。FIDO認証とID連携とを組み合わせると、認証コンテキストは認証器からRP/IdPを介して連携RP/SPへと伝搬する。
以下、説明の簡略化のため、RP/IdPと連携RP/SPとを区別せず、サーバ装置100をRP/IdPかつ連携RP/SPとして説明する。なお、実際には、RP/IdPとしてのサーバ装置と、連携RP/SPとしてのサーバ装置とは、物理的に独立した異なるサーバ装置であってもよい。
例えば、サーバ装置100は、各利用者Uの端末装置10と連携し、各利用者Uの端末装置10に対して、各種アプリケーション(以下、アプリ)等に対するAPI(Application Programming Interface)サービス等と、各種データを提供してもよい。
また、サーバ装置100は、各利用者Uの端末装置10に対して、オンラインで何らかのWebサービスを提供する情報処理装置であってもよい。例えば、サーバ装置100は、Webサービスとして、インターネット接続、検索サービス、SNS(Social Networking Service)、電子商取引(EC:Electronic Commerce)、電子決済、オンラインゲーム、オンラインバンキング、オンライントレーディング、宿泊・チケット予約、動画・音楽配信、ニュース、地図、ルート検索、経路案内、路線情報、運行情報、天気予報等のサービスを提供してもよい。実際には、サーバ装置100は、上記のようなWebサービスを提供する各種サーバと連携し、Webサービスを仲介してもよいし、Webサービスの処理を担当してもよい。
なお、サーバ装置100は、利用者Uに関する利用者情報を取得可能である。例えば、サーバ装置100は、利用者Uの性別、年代、居住地域といった利用者Uの属性に関する情報を取得する。そして、サーバ装置100は、利用者Uを示す識別情報(利用者ID等)とともに利用者Uの属性に関する情報を記憶して管理する。
また、サーバ装置100は、利用者Uの端末装置10から、あるいは利用者ID等に基づいて各種サーバ等から、利用者Uの行動を示す各種の履歴情報(ログデータ)を取得する。例えば、サーバ装置100は、利用者Uの位置や日時の履歴である位置履歴を端末装置10から取得する。また、サーバ装置100は、利用者Uが入力した検索クエリの履歴である検索履歴を検索サーバ(検索エンジン)から取得する。また、サーバ装置100は、利用者Uが閲覧したコンテンツの履歴である閲覧履歴をコンテンツサーバから取得する。また、サーバ装置100は、利用者Uの商品購入や決済処理の履歴である購入履歴(決済履歴)を電子商取引サーバや決済処理サーバから取得する。また、サーバ装置100は、利用者Uのマーケットプレイスへの出品の履歴である出品履歴や販売履歴を電子商取引サーバや決済処理サーバから取得してもよい。また、サーバ装置100は、利用者Uの投稿の履歴である投稿履歴を口コミの投稿サービスを提供する投稿サーバやSNSサーバから取得する。なお、上記の各種サーバ等は、サーバ装置100自体であってもよい。すなわち、サーバ装置100が上記の各種サーバ等として機能してもよい。
〔1-1.FIDOマイクロサービスによる機能分割〕
現在、FIDOマイクロサービスによるFIDO認証機能の分離が進められている。例えば、FIDOサーバからFIDO認証に必要な機能を細かく切り出す。これにより、IdPがFIDO認証の実装をしなくて済むという利点がある。図2は、FIDOマイクロサービスによるFIDO認証機能の分離の概要を示す説明図である。
本実施形態では、利用者Uは大学等の学生(Student)で、IdPであるサーバ装置100は大学等のサーバであり学生データベース(Student’s DB)を有する。図2では、IdPであるサーバ装置100からFIDO認証機能を分離し、FSP(FIDO Service Provider)であるサーバ装置200でFIDO認証を実施している。このとき、FSPであるサーバ装置200のデータベース(FIDO’s DB)にユーザの公開鍵(FIDO Pubkey)が既に登録されていることが前提である。なお、実際には、サーバ装置200は、サーバ装置100と同種/同じ構成のサーバ装置であってもよい。すなわち、サーバ装置200は、サーバ装置100の1つであってもよい。
例えば、図2に示すように、利用者Uの端末装置10は、ネットワークN(図5参照)を介して、IdPであるサーバ装置100に認証要求(Auth request)を送信する(ステップS1)。
続いて、IdPであるサーバ装置100は、利用者Uの端末装置10からの認証要求(Auth request)に応じて、ネットワークN(図5参照)を介して、FSPであるサーバ装置200に、利用者UのユーザIDとともにFIDO認証要求(FIDO Auth request)を送信する(ステップS2)。
続いて、FSPであるサーバ装置200は、FIDO認証要求(FIDO Auth request)に応じて、利用者UのユーザIDに紐付けられた公開鍵を用いて署名検証を行い、FIDO認証を行う(ステップS3)。
続いて、FSPであるサーバ装置200は、ネットワークN(図5参照)を介して、IdPであるサーバ装置100にFIDO認証結果(FIDO auth result)と認証コンテキスト(auth context)を送信(返信)する(ステップS4)。
続いて、IdPであるサーバ装置100は、FIDO認証結果に基づき、FIDO認証に成功している場合には、利用者UのユーザIDを抽出し、パスワード入力によるパスワード認証を行うとともに、FIDO認証の完了(FIDO Flag ON)を記憶する(ステップS5)。
なお、実際には、IdPであるサーバ装置100は、ステップS2において、先に利用者UのユーザID及びパスワードに基づくパスワード認証等の第1の認証を行い、パスワード認証に成功した場合に、第2認証として、ネットワークN(図5参照)を介して、FSPであるサーバ装置200に、利用者UのユーザIDとともにFIDO認証要求(FIDO Auth request)を送信するというように多要素認証の形態をとってもよい。
公開鍵は、FSPであるサーバ装置200に限らず、IdPであるサーバ装置100が管理してもよい。この方式では、IdPかFSPが公開鍵を管理しておくため、鍵を特定できるユーザのみ認証可能である。
しかし、FIDO認証機能の分離により、FIDO認証が容易に提供できるようになったものの、登録時のユーザ負担が高いという課題がある。また、登録したサイトが消えてしまった場合、認証情報も消えてしまう可能性がある。このとき、VC(Verifiable Credentials:検証可能な資格証明書)が本人のものであることを保証する仕組みがない。
VCは、属性情報を第三者に証明してもらうためのデジタル証明書であり、DID(Decentralized Identifier:分散型ID)で示されたアイデンティティ(属性情報と紐付けられていないアイデンティティ)に対し、属性情報を紐付ける役割を持つ。例えば、VCは、運転免許証や学歴証明書、資格証明書、その他の機密データなどの物理的に存在する個人の属性を表す情報等を格納することができる。実際には、VCは情報そのものを指すものではなく、その情報を格納する入れ物であり、その入れ物の真正性を検証できるもの(検証可能な輸送用コンテナのようなもの)である。
〔1-2.登録時〕
本実施形態では、IdPやFSPは公開鍵情報の登録や管理を行わない(実際にはしてもよいが、必須ではない)。本実施形態では、VCに認証用公開鍵を搭載する。例えば、認証用公開鍵を属性情報の1つとしてVCに格納する。図3は、VCに公開鍵情報を搭載する方式における登録時の処理の概要を示す説明図である。
例えば、図3に示すように、利用者Uの端末装置10は、ネットワークN(図5参照)を介して、IdPであるサーバ装置100に登録要求(Reg request)を送信する(ステップS11)。
続いて、IdPであるサーバ装置100は、利用者Uの端末装置10からの登録要求(Reg request)に応じて、ネットワークN(図5参照)を介して、FSPであるサーバ装置200に、利用者UのユーザIDとともにFIDO登録要求(FIDO Reg request)を送信する(ステップS12)。
続いて、FSPであるサーバ装置200は、FIDO登録要求(FIDO Reg request)に応じて、利用者UのユーザIDに紐付けられた登録用公開鍵を用いて署名検証を行い、FIDO登録を行う(ステップS13)。
登録用公開鍵は、例えば認証器証明書(Attestation:アテステーション)の署名検証用の公開鍵等である。FSPであるサーバ装置200は、登録用公開鍵を用いて認証器の真正性確認(署名検証)を行う。登録用公開鍵は別途HP(Webサイト)又はそれに類する手段などで公開されているものとする。
続いて、FSPであるサーバ装置200は、ネットワークN(図5参照)を介して、IdPであるサーバ装置100にFIDO登録結果(FIDO Reg result)を送信(返信)する(ステップS14)。なお、FIDO登録結果は、認証器の真正性確認(署名検証)の結果であってもよい。
続いて、IdPであるサーバ装置100は、FIDO登録結果に基づき、FIDO登録に成功している場合には、利用者UのユーザID及びパスワードを含むユーザ登録を行う(ステップS15)。
続いて、IdPであるサーバ装置100は、ネットワークN(図5参照)を介して、認証器である利用者Uの端末装置10から認証用公開鍵を受け取り、VC(Verifiable Credentials:検証可能な資格証明書)に認証用公開鍵を搭載し、利用者Uの端末装置10に、認証用公開鍵を搭載したVCを発行する(ステップS16)。
なお、実際には、IdPであるサーバ装置100は、ネットワークN(図5参照)を介して、認証器である利用者Uの端末装置10に対して、認証用秘密鍵と認証用公開鍵の鍵ペアの生成と、認証用公開鍵を搭載したVCの生成を要求してもよい。すなわち、認証器である利用者Uの端末装置10が、IdPであるサーバ装置100から指示/許可を受けて(IdPであるサーバ装置100の制御下で)、認証用公開鍵を搭載したVCを生成してもよい。例えば、認証器である利用者Uの端末装置10は、IdPであるサーバ装置100からVCの生成に使用される登録パラメータを受け取り、登録パラメータに含まれるデータを用いて認証用公開鍵を搭載したVCを生成してもよい。このとき、IdPであるサーバ装置100は、VCの真正性の検証用に、認証器である利用者Uの端末装置10から、生成された認証用公開鍵を搭載したVCを受け取って保管してもよい。
認証用公開鍵は、例えば認証器でのユーザ検証結果の証明書(Assertion:アサーション)の署名検証用の公開鍵等である。認証用公開鍵をVCに搭載することで、VCの発行者(Issuer)であるIdPが認めた認証器により生成された正規の認証用公開鍵であることが保証される。VCの発行者(Issuer)であるIdP以外の各認証サーバ(Verifier)も、VCの発行者(Issuer)であるIdPを信頼している場合、VCの発行者(Issuer)であるIdPにより保証された正規の認証用公開鍵として、VCに搭載された認証用公開鍵をFIDO認証に使用することができる。すなわち、あるRP/IdPにおいて一度生成された認証用公開鍵を、複数のRP/IdP間で使い回すことができる。
なお、必要であれば、VCの発行を受けた利用者U(Holder)は、VCの発行者(Issuer)以外の各認証サーバ(Verifier)にも、認証用公開鍵を搭載したVCを提供してもよい。あるいは、VCの発行者(Issuer)であるIdPが、直接、各認証サーバ(Verifier)に認証用公開鍵を提供してもよい。
本実施形態では、基本的に、IdPであるサーバ装置100やFSPであるサーバ装置200は、認証用公開鍵を管理(登録・保管)しないものとする。すなわち、IdPやFSPは、認証用公開鍵を「保有」しない。認証用公開鍵が必要な場合には、VCに搭載された認証用公開鍵を使用するものとする。但し、必要であれば、IdPやFSPでも認証用公開鍵を管理するようにしてもよい。なお、IdPであるサーバ装置100やFSPであるサーバ装置200は、登録用公開鍵についても自身で管理しないようにしてもよい。
〔1-3.認証時〕
本実施形態では、VCに登録した公開鍵情報を搭載する。例えば、端末装置10が、VCと、秘密鍵と公開鍵の鍵ペアとを保持し、公開鍵を搭載したVCを認証サーバ(FIDOサーバ)であるサーバ装置100に送信する。図4は、VCに公開鍵情報を搭載する方式における認証時の処理の概要を示す説明図である。図4では、認証サーバ(Verifier)であるサーバ装置100は複数存在する。複数のサーバ装置100(100-i、i=1~n:nは任意)の各々は、個別に、VCに搭載された認証用公開鍵を用いてFIDO認証を行う。
例えば、図4に示すように、利用者Uの端末装置10は、ネットワークN(図5参照)を介して、認証サーバの1台(Verifier 1)であるサーバ装置100-1に認証要求(Auth request)とともに、認証用公開鍵を搭載したVCを送信する(ステップS21)。
続いて、認証サーバの1台であるサーバ装置100-1は、利用者Uの端末装置10からの認証要求(Auth request)に応じて、VCの真正性を検証するとともに、VCに搭載された認証用公開鍵を取り出して通常のFIDO認証を行い、FIDO認証に成功した場合、利用者UのユーザIDを抽出し、パスワード入力によるパスワード認証を行う(ステップS22)。
認証サーバ(Verifier)は任意の事業者等のサーバであり、VCの発行者(Issuer)であるIdPも含む。各認証サーバ(Verifier)はVCの発行者(Issuer)を信頼する。また、認証サーバ(Verifier)は、VCの真正性については、事前に公開されている登録用公開鍵(又は認証用公開鍵とは別の署名検証用公開鍵)で署名検証を行い、VCの真正性によって正しく登録されていることを確認する。
さらに、認証サーバ(Verifier)は、VCに搭載された認証用公開鍵を用いてFIDO認証を行うことで、VCの適切性を検証する。そのため、ユーザは任意の属性セットのみを持ち運んで認証を行うことが可能である。任意の属性セットは、例えば生体認証のための生体情報等の認証情報である。
また、認証サーバ(Verifier)は、認証用公開鍵を管理しないため、鍵の識別をするためのDID(Decentralized Identifier)も必要ない。すなわち、公開鍵の参照DIDが不要となる。公開鍵の参照DIDは、公開鍵の場所を示す公開鍵URL等である。本実施形態では、参照DIDとユーザIDとを鍵IDに紐付けて保管する必要がない。また、鍵IDを用いて鍵レジストリから公開鍵を取得する必要もないので、鍵レジストリも不要となる。
なお、実際には、サーバ装置100-1は、ネットワークN(図5参照)を介して、FSPであるサーバ装置200にFIDO認証要求(FIDO Auth request)とともに、認証用公開鍵を搭載したVCを送信し、FSPであるサーバ装置200でVCに搭載された認証用公開鍵を用いたFIDO認証を行い、FSPであるサーバ装置200からFIDO認証結果を受信してもよい。
続いて、認証サーバの1台であるサーバ装置100-1は、認証に成功した場合、ネットワークN(図5参照)を介して、利用者Uの端末装置10にサービスを提供する(ステップS23)。
同様に、利用者Uの端末装置10は、ネットワークN(図5参照)を介して、認証サーバの1台(Verifier 2)であるサーバ装置100-2に認証要求(Auth request)とともに、認証用公開鍵を搭載したVCを送信する(ステップS24)。
なお、サーバ装置100-2に送信される認証用公開鍵を搭載したVCは、サーバ装置100-1に送信される認証用公開鍵を搭載したVCと同じである。すなわち、認証用公開鍵及びVCは共通である。
続いて、認証サーバの1台であるサーバ装置100-2は、利用者Uの端末装置10からの認証要求(Auth request)に応じて、VCの真正性を検証するとともに、VCに搭載された認証用公開鍵を取り出して通常のFIDO認証を行い、FIDO認証に成功した場合、利用者UのユーザIDを抽出し、パスワード入力によるパスワード認証を行う(ステップS25)。
続いて、認証サーバの1台であるサーバ装置100-2は、認証に成功した場合、ネットワークN(図5参照)を介して、利用者Uの端末装置10にサービスを提供する(ステップS26)。
また、他の認証サーバ(Verifier N)であるサーバ装置100-nについても、上記のサーバ装置100-1、サーバ装置100-2と同様の処理を行う。
〔1-4.信頼できる登録先〕
本実施形態では、第1事業者(RP1)で登録し、第1事業者(RP1)で認証する場合、ユーザIDを特定して認証することに限らず、属性を持つ個人として認証することも可能になる。また、第2事業者(RP2)で認証する場合でも、新たな鍵ペアを生成することなく、第1事業者(RP1)と同じ公開鍵で認証可能となる。
このとき、第2事業者(RP2)は、VCを参照して、ユーザが第1事業者(RP1)にも登録されたユーザであることを認識する。そこで、第2事業者(RP2)は、ユーザが第1事業者(RP1)の登録ユーザであることを考慮したサービスを提供することもできる。
また、官製システムで登録し、民間システムで認証及びログインする場合、ユーザIDを明示的に紐付けなくても利用可能である。官製システムの場合は、ユーザの本人確認の信頼性が高い(公的個人認証サービス等)。官製システムから、認証用公開鍵を搭載したVCが発行された場合は、VC及び認証用公開鍵をそのまま信頼しても問題ないと考えられる。また、官製システムの場合、マイナンバー(個人番号)や免許証番号、又は電子証明書等により、ユーザを特定することができる。例えば、第1事業者(RP1)が行政機関(又はそれに準ずる公共機関)で、第2事業者(RP2)が民間企業等である場合、民間システムで使用されているユーザIDを特定して認証しなくてもよい。
また、何を信頼するかにより、様々なサービスの提供の形態が考えられる。例えば、以下のようなケースが考えられる。
(1)VCの中身を信頼するケース
VCの中身により、ユーザが○○大学の学生であると証明された場合、学割の発行/適用を許可する。また、VCの中身により、ユーザが△△株式会社の社員であると証明された場合、社割の発行/適用を許可する。あるいは、ユーザの入館を許可し、社員ゲートを開放する。
(2)VCの発行者(Issuer)であるIdPの属性を信頼するケース
VCの発行者(Issuer)であるIdPが第1事業者(RP1)である場合、ISMS認証(ISO27001)を取得済みの企業であることを条件に、ユーザのログインを許可する。また、VCの発行者(Issuer)であるIdPが第2事業者(RP2)である場合、FIDO認定試験に合格したサーバであることを条件に、ユーザのログインを許可する。しかし、金融サービスについては別途、認証サーバ(verifier)が本人確認をするものとする。
〔1-5.2回目以降の認証形態〕
本実施形態では、利用者Uの端末装置10は、毎回、公開鍵を搭載したVCを送信する。ただし、他の実施形態として、IdPであるサーバ装置100やFSPであるサーバ装置200が1回目のFIDO認証で使用した公開鍵を保管しておいて、2回目以降は保管済みの公開鍵を用いてFIDO認証してもよい。
これにより、登録と認証の分離(登録と認証とでFIDOサーバを分けること)が可能になる。また、複数のFIDOサーバを1回の登録で利用可能になる。さらに、ユーザID(Identifier)が不要になる(必須ではなくなる)と考えられる。
すなわち、VC提示後、2回目以降の認証形態として、毎回VCを提示して認証してもよいし、最初のVCに包含されている鍵を認証サーバ(verifier)に登録するようにしてもよい。
例えば、第1事業者(RP1)でVCを発行し、そのVCを第2事業者(RP2)に持っていくと、それ以降はVCに搭載された第1事業者(RP1)用の認証用公開鍵で第2事業者(RP2)にもログインできるようになる。
また、最初の認証だけVC依存の認証を行い、次回以降のために新たな鍵ペアを認証サーバ(verifier)に登録するようにしてもよい。すなわち、最初の1回だけVCに搭載された第1の認証用公開鍵を用いた認証を行い、新たな鍵ペアとして生成された第2の認証用公開鍵を認証サーバ(verifier)に登録し、2回目以降は第2の認証用公開鍵を用いた認証を行うようにしてもよい。
〔1-6.VCによって伝達できる情報〕
書類送付、免許証/マイナンバーカードなどにより本人確認済みである場合、VCの基本的な使い方として、様々な属性を持ち歩くことができる。
また、ユーザのIDの有無により、認証サーバ(verifier)からVCの発行者(Issuer)への問い合わせ方法が異なる。
登録済みのユーザなど、ユーザのIDありの場合には、認証サーバ(verifier)は、ユーザのIDを用いて後から該当ユーザをVCの発行者(Issuer)であるIdPに問い合わせることが可能である。
初回利用時/未登録のユーザなど、ユーザのIDなしの場合には、認証サーバ(verifier)は、ユーザのIDを用いて後から該当ユーザをVCの発行者(Issuer)であるIdPに問い合わせることができない。しかし、本実施形態では、VCの発行者(Issuer)であるIdPに、VCのIDで該当ユーザを問い合わせることが可能である。
〔2.情報処理システムの構成例〕
次に、図5を用いて、実施形態に係るサーバ装置100が含まれる情報処理システム1の構成について説明する。図5は、実施形態に係る情報処理システム1の構成例を示す図である。図5に示すように、実施形態に係る情報処理システム1は、端末装置10とサーバ装置100とサーバ装置200とを含む。これらの各種装置は、ネットワークNを介して、有線又は無線により通信可能に接続される。ネットワークNは、例えば、LAN(Local Area Network)や、インターネット等のWAN(Wide Area Network)である。
また、図5に示す情報処理システム1に含まれる各装置の数は図示したものに限られない。例えば、図5では、図示の簡略化のため、端末装置10を1台のみ示したが、これはあくまでも例示であって限定されるものではなく、2台以上であってもよい。
端末装置10は、利用者Uによって使用される情報処理装置である。例えば、端末装置10は、スマートフォン(スマホ)やタブレット端末等のスマートデバイス、フィーチャーフォン(ガラケー・ガラホ)等の携帯電話、PC(Personal Computer)、PDA(Personal Digital Assistant)、通信機能を備えたゲーム機やAV機器、情報家電・デジタル家電、カーナビゲーションシステム、スマートウォッチやヘッドマウントディスプレイ等のウェアラブルデバイス(Wearable Device)、スマートグラス等である。また、端末装置10は、IOT(Internet of Things)に対応した住宅・建物、車、家電製品、電子機器等であってもよい。
また、かかる端末装置10は、LTE(Long Term Evolution)、4G(4th Generation)、5G(5th Generation:第5世代移動通信システム)等の無線通信網や、Bluetooth(登録商標)、無線LAN(Local Area Network)等の近距離無線通信を介してネットワークNに接続し、サーバ装置100と通信することができる。
サーバ装置100及びサーバ装置200は、例えばPCやブレードサーバ(blade server)等のコンピュータ、あるいはメインフレーム又はワークステーション等である。なお、サーバ装置100及びサーバ装置200は、クラウドコンピューティングにより実現されてもよい。
〔3.端末装置の構成例〕
次に、図6を用いて、端末装置10の構成について説明する。図6は、端末装置10の構成例を示す図である。図6に示すように、端末装置10は、通信部11と、表示部12と、入力部13と、測位部14と、センサ部20と、制御部30(コントローラ)と、記憶部40とを備える。
(通信部11)
通信部11は、ネットワークN(図5参照)と有線又は無線で接続され、ネットワークNを介して、サーバ装置100との間で情報の送受信を行う。例えば、通信部11は、NIC(Network Interface Card)やアンテナ等によって実現される。
(表示部12)
表示部12は、位置情報等の各種情報を表示する表示デバイスである。例えば、表示部12は、液晶ディスプレイ(LCD:Liquid Crystal Display)や有機ELディスプレイ(Organic Electro-Luminescent Display)である。また、表示部12は、タッチパネル式のディスプレイであるが、これに限定されるものではない。
(入力部13)
入力部13は、利用者Uから各種操作を受け付ける入力デバイスである。例えば、入力部13は、文字や数字等を入力するためのボタン等を有する。なお、入力部13は、入出力ポート(I/O port)やUSB(Universal Serial Bus)ポート等であってもよい。また、表示部12がタッチパネル式のディスプレイである場合、表示部12の一部が入力部13として機能する。また、入力部13は、利用者Uから音声入力を受け付けるマイク等であってもよい。マイクはワイヤレスであってもよい。
(測位部14)
測位部14は、GPS(Global Positioning System)の衛星から送出される信号(電波)を受信し、受信した信号に基づいて、自装置である端末装置10の現在位置を示す位置情報(例えば、緯度及び経度)を取得する。すなわち、測位部14は、端末装置10の位置を測位する。なお、GPSは、GNSS(Global Navigation Satellite System)の一例に過ぎない。
また、測位部14は、GPS以外にも、種々の手法により位置を測位することができる。例えば、測位部14は、位置補正等のための補助的な測位手段として、下記のように、端末装置10の様々な通信機能を利用して位置を測位してもよい。
(Wi-Fi測位)
例えば、測位部14は、端末装置10のWi-Fi(登録商標)通信機能や、各通信会社が備える通信網を利用して、端末装置10の位置を測位する。具体的には、測位部14は、Wi-Fi通信等を行い、付近の基地局やアクセスポイントとの距離を測位することにより、端末装置10の位置を測位する。
(ビーコン測位)
また、測位部14は、端末装置10のBluetooth(登録商標)機能を利用して位置を測位してもよい。例えば、測位部14は、Bluetooth(登録商標)機能によって接続されるビーコン(beacon)発信機と接続することにより、端末装置10の位置を測位する。
(地磁気測位)
また、測位部14は、予め測定された構造物の地磁気のパターンと、端末装置10が備える地磁気センサとに基づいて、端末装置10の位置を測位する。
(RFID測位)
また、例えば、端末装置10が駅改札や店舗等で使用される非接触型ICカードと同等のRFID(Radio Frequency Identification)タグの機能を備えている場合、もしくはRFIDタグを読み取る機能を備えている場合、端末装置10によって決済等が行われた情報とともに、使用された位置が記録される。測位部14は、かかる情報を取得することで、端末装置10の位置を測位してもよい。また、位置は、端末装置10が備える光学式センサや、赤外線センサ等によって測位されてもよい。
測位部14は、必要に応じて、上述した測位手段の一つ又は組合せを用いて、端末装置10の位置を測位してもよい。
(センサ部20)
センサ部20は、端末装置10に搭載又は接続される各種のセンサを含む。なお、接続は、有線接続、無線接続を問わない。例えば、センサ類は、ウェアラブルデバイスやワイヤレスデバイス等、端末装置10以外の検知装置であってもよい。図6に示す例では、センサ部20は、加速度センサ21と、ジャイロセンサ22と、気圧センサ23と、気温センサ24と、音センサ25と、光センサ26と、磁気センサ27と、画像センサ(カメラ)28とを備える。
なお、上記した各センサ21~28は、あくまでも例示であって限定されるものではない。すなわち、センサ部20は、各センサ21~28のうちの一部を備える構成であってもよいし、各センサ21~28に加えてあるいは代えて、湿度センサ等その他のセンサを備えてもよい。
加速度センサ21は、例えば、3軸加速度センサであり、端末装置10の移動方向、速度、及び、加速度等の端末装置10の物理的な動きを検知する。ジャイロセンサ22は、端末装置10の角速度等に基づいて3軸方向の傾き等の端末装置10の物理的な動きを検知する。気圧センサ23は、例えば端末装置10の周囲の気圧を検知する。
端末装置10は、上記した加速度センサ21やジャイロセンサ22、気圧センサ23等を備えることから、これらの各センサ21~23等を利用した歩行者自律航法(PDR:Pedestrian Dead-Reckoning)等の技術を用いて端末装置10の位置を測位することが可能になる。これにより、GPS等の測位システムでは取得することが困難な屋内での位置情報を取得することが可能になる。
例えば、加速度センサ21を利用した歩数計により、歩数や歩くスピード、歩いた距離を算出することができる。また、ジャイロセンサ22を利用して、利用者Uの進行方向や視線の方向、体の傾きを知ることができる。また、気圧センサ23で検知した気圧から、利用者Uの端末装置10が存在する高度やフロアの階数を知ることもできる。
気温センサ24は、例えば端末装置10の周囲の気温を検知する。音センサ25は、例えば端末装置10の周囲の音を検知する。光センサ26は、端末装置10の周囲の照度を検知する。磁気センサ27は、例えば端末装置10の周囲の地磁気を検知する。画像センサ28は、端末装置10の周囲の画像を撮像する。
上記した気圧センサ23、気温センサ24、音センサ25、光センサ26及び画像センサ28は、それぞれ気圧、気温、音、照度を検知したり、周囲の画像を撮像したりすることで、端末装置10の周囲の環境や状況等を検知することができる。また、端末装置10の周囲の環境や状況等から、端末装置10の位置情報の精度を向上させることが可能になる。
(制御部30)
制御部30は、例えば、CPU(Central Processing Unit)、ROM(Read Only Memory)、RAM、入出力ポート等を有するマイクロコンピュータや各種の回路を含む。また、制御部30は、例えば、ASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)等の集積回路等のハードウェアで構成されてもよい。制御部30は、送信部31と、受信部32と、処理部33とを有する。
(送信部31)
送信部31は、例えば入力部13を用いて利用者Uにより入力された各種情報や、端末装置10に搭載又は接続された各センサ21~28によって検知された各種情報、測位部14によって測位された端末装置10の位置情報等を、通信部11を介してサーバ装置100へ送信することができる。
(受信部32)
受信部32は、通信部11を介して、サーバ装置100から提供される各種情報や、サーバ装置100からの各種情報の要求を受信することができる。
(処理部33)
処理部33は、表示部12等を含め、端末装置10全体を制御する。例えば、処理部33は、送信部31によって送信される各種情報や、受信部32によって受信されたサーバ装置100からの各種情報を表示部12へ出力して表示させることができる。
また、処理部33は、登録要求部33Aと、鍵生成部33Bと、VC管理部33Cと、認証要求部33Dとを有する。なお、実際には、処理部33は、アプリを起動又はプログラムを実行することで、下記の登録要求部33A、鍵生成部33B、VC管理部33C、及び認証要求部33Dとして機能してもよい。
(登録要求部33A)
登録要求部33Aは、送信部31を介して、IdPであるサーバ装置100に、登録要求(Reg request)を送信する。そして、登録要求部33Aは、登録要求に対する応答として、受信部32を介して、IdPであるサーバ装置100から発行されたVCを受け取る。
(鍵生成部33B)
鍵生成部33Bは、秘密鍵と公開鍵との鍵ペアを生成する。例えば、鍵生成部33Bは、登録用秘密鍵と登録用公開鍵との鍵ペアを生成する。また、鍵生成部33Bは、認証用秘密鍵と認証用公開鍵との鍵ペアを生成する。なお、鍵生成部33Bは、VCの発行前/発行時に、送信部31を介して、VCの発行者(Issuer)であるIdPに、認証用公開鍵を送信・提供してもよい。
(VC管理部33C)
VC管理部33Cは、VCの発行者(Issuer)であるIdPから発行されたVC(Verifiable Credentials:検証可能な資格証明書)を管理する。例えば、VC管理部33Cは、IdPであるサーバ装置100から発行されたVCを記憶部40に保管する。本実施形態では、VC管理部33Cは、認証用公開鍵を搭載したVCを管理する。なお、VC管理部33Cは、IdPであるサーバ装置100から指示/許可を受けて(IdPであるサーバ装置100の制御下で)、認証用公開鍵をVCに搭載してもよい。
(認証要求部33D)
認証要求部33Dは、送信部31を介して、IdPであるサーバ装置100に、認証要求(Auth request)を送信する。このとき、認証要求部33Dは、送信部31を介して、IdPであるサーバ装置100に、認証要求とともに、認証用公開鍵を搭載したVCを送信する。本実施形態では、認証として、FIDO認証とパスワード認証とが実施される。そして、認証要求部33Dは、認証に成功した場合、IdPであるサーバ装置100にログインし、IdPであるサーバ装置100(又はその先にある連携RP/SP)からサービスの提供を受ける。
(記憶部40)
記憶部40は、例えば、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、又は、HDD(Hard Disk Drive)、SSD(Solid State Drive)、光ディスク等の記憶装置によって実現される。かかる記憶部40には、各種プログラムや各種データ等が記憶される。
また、記憶部40のセキュア領域(セキュアエレメント)には、登録用秘密鍵と登録用公開鍵との鍵ペア(40A)と、認証用秘密鍵と認証用公開鍵との鍵ペア(40B)と、認証用公開鍵を搭載したVC(40C)とが記憶される。このとき、各鍵ペアとVCとは異なるセキュア領域に記憶されてもよい。なお、実際には、セキュア領域に記憶されるのは、秘密鍵とVCだけでも良い。公開鍵は、ノーマル領域に記憶されてもよいし、記憶されなくてもよい。
〔4.サーバ装置の構成例〕
次に、図7を用いて、実施形態に係るサーバ装置100の構成について説明する。図7は、実施形態に係るサーバ装置100の構成例を示す図である。図7に示すように、サーバ装置100は、通信部110と、記憶部120と、制御部130とを備える。
(通信部110)
通信部110は、例えば、NIC(Network Interface Card)等によって実現される。また、通信部110は、ネットワークN(図5参照)と有線又は無線で接続される。
(記憶部120)
記憶部120は、例えば、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、又は、HDD、SSD、光ディスク等の記憶装置によって実現される。図7に示すように、記憶部120は、利用者情報データベース121と、履歴情報データベース122とを有する。
(利用者情報データベース121)
利用者情報データベース121は、利用者Uに関する利用者情報を記憶する。例えば、利用者情報データベース121は、利用者Uの属性等の種々の情報を記憶する。図8は、利用者情報データベース121の一例を示す図である。図8に示した例では、利用者情報データベース121は、「利用者ID(Identifier)」、「年齢」、「性別」、「自宅」、「勤務地」、「興味」といった項目を有する。
「利用者ID」は、利用者Uを識別するための識別情報を示す。なお、「利用者ID」は、利用者Uの連絡先(電話番号、メールアドレス等)であってもよいし、利用者Uの端末装置10を識別するための識別情報であってもよい。
また、「年齢」は、利用者IDにより識別される利用者Uの年齢を示す。なお、「年齢」は、利用者Uの具体的な年齢(例えば35歳など)を示す情報であってもよいし、利用者Uの年代(例えば30代など)を示す情報であってもよい。あるいは、「年齢」は、利用者Uの生年月日を示す情報であってもよいし、利用者Uの世代(例えば80年代生まれなど)を示す情報であってもよい。また、「性別」は、利用者IDにより識別される利用者Uの性別を示す。
また、「自宅」は、利用者IDにより識別される利用者Uの自宅の位置情報を示す。なお、図8に示す例では、「自宅」は、「LC11」といった抽象的な符号を図示するが、緯度経度情報等であってもよい。また、例えば、「自宅」は、地域名や住所であってもよい。
また、「勤務地」は、利用者IDにより識別される利用者Uの勤務地(学生の場合は学校)の位置情報を示す。なお、図8に示す例では、「勤務地」は、「LC12」といった抽象的な符号を図示するが、緯度経度情報等であってもよい。また、例えば、「勤務地」は、地域名や住所であってもよい。
また、「興味」は、利用者IDにより識別される利用者Uの興味を示す。すなわち、「興味」は、利用者IDにより識別される利用者Uが関心の高い対象を示す。例えば、「興味」は、利用者Uが検索エンジンに入力して検索した検索クエリ(キーワード)等であってもよい。なお、図8に示す例では、「興味」は、各利用者Uに1つずつ図示するが、複数であってもよい。
例えば、図8に示す例において、利用者ID「U1」により識別される利用者Uの年齢は、「20代」であり、性別は、「男性」であることを示す。また、例えば、利用者ID「U1」により識別される利用者Uは、自宅が「LC11」であることを示す。また、例えば、利用者ID「U1」により識別される利用者Uは、勤務地が「LC12」であることを示す。また、例えば、利用者ID「U1」により識別される利用者Uは、「スポーツ」に興味があることを示す。
ここで、図8に示す例では、「U1」、「LC11」及び「LC12」といった抽象的な値を用いて図示するが、「U1」、「LC11」及び「LC12」には、具体的な文字列や数値等の情報が記憶されるものとする。以下、他の情報に関する図においても、抽象的な値を図示する場合がある。
なお、利用者情報データベース121は、上記に限らず、目的に応じて種々の情報を記憶してもよい。例えば、利用者情報データベース121は、利用者Uの端末装置10に関する各種情報を記憶してもよい。また、利用者情報データベース121は、利用者Uのデモグラフィック(人口統計学的属性)、サイコグラフィック(心理学的属性)、ジオグラフィック(地理学的属性)、ベヘイビオラル(行動学的属性)等の属性に関する情報を記憶してもよい。例えば、利用者情報データベース121は、氏名、家族構成、出身地(地元)、職業、職位、収入、資格、居住形態(戸建、マンション等)、車の有無、通学・通勤時間、通学・通勤経路、定期券区間(駅、路線等)、利用頻度の高い駅(自宅・勤務地の最寄駅以外)、習い事(場所、時間帯等)、趣味、興味、ライフスタイル等の情報を記憶してもよい。
(履歴情報データベース122)
履歴情報データベース122は、利用者Uの行動を示す履歴情報(ログデータ)に関する各種情報を記憶する。図9は、履歴情報データベース122の一例を示す図である。図9に示した例では、履歴情報データベース122は、「利用者ID」、「位置履歴」、「検索履歴」、「閲覧履歴」、「購入履歴」、「投稿履歴」といった項目を有する。
「利用者ID」は、利用者Uを識別するための識別情報を示す。また、「位置履歴」は、利用者Uの位置や移動の履歴である位置履歴を示す。また、「検索履歴」は、利用者Uが入力した検索クエリの履歴である検索履歴を示す。また、「閲覧履歴」は、利用者Uが閲覧したコンテンツの履歴である閲覧履歴を示す。また、「購入履歴」は、利用者Uによる購入の履歴である購入履歴を示す。また、「投稿履歴」は、利用者Uによる投稿の履歴である投稿履歴を示す。なお、「投稿履歴」は、利用者Uの所有物に関する質問を含んでいてもよい。
例えば、図9に示す例において、利用者ID「U1」により識別される利用者Uは、「位置履歴#1」の通りに移動し、「検索履歴#1」の通りに検索し、「閲覧履歴#1」の通りにコンテンツを閲覧し、「購入履歴#1」の通りに所定の店舗等で所定の商品等を購入し、「投稿履歴#1」の通りに投稿したことを示す。
ここで、図9に示す例では、「U1」、「位置履歴#1」、「検索履歴#1」、「閲覧履歴#1」、「購入履歴#1」及び「投稿履歴#1」といった抽象的な値を用いて図示するが、「U1」、「位置履歴#1」、「検索履歴#1」、「閲覧履歴#1」、「購入履歴#1」及び「投稿履歴#1」には、具体的な文字列や数値等の情報が記憶されるものとする。
なお、履歴情報データベース122は、上記に限らず、目的に応じて種々の情報を記憶してもよい。例えば、履歴情報データベース122は、利用者Uの所定のサービスの利用履歴等を記憶してもよい。また、履歴情報データベース122は、利用者Uの実店舗の来店履歴又は施設の訪問履歴等を記憶してもよい。また、履歴情報データベース122は、利用者Uの端末装置10を用いた決済(電子決済)での決済履歴等を記憶してもよい。
(制御部130)
図7に戻り、説明を続ける。制御部130は、コントローラ(Controller)であり、例えば、CPU(Central Processing Unit)、MPU(Micro Processing Unit)、ASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)等によって、サーバ装置100の内部の記憶装置に記憶されている各種プログラム(情報処理プログラムの一例に相当)がRAM等の記憶領域を作業領域として実行されることにより実現される。図7に示す例では、制御部130は、取得部131と、受付部132と、登録処理部133と、発行部134と、抽出部135と、管理部136と、認証処理部137と、提供部138とを有する。
(取得部131)
取得部131は、利用者U(ユーザ)により入力された検索クエリを取得する。例えば、取得部131は、利用者Uが検索エンジン等に検索クエリを入力してキーワード検索を行った際に、通信部110を介して、当該検索クエリを取得する。すなわち、取得部131は、通信部110を介して、利用者Uにより検索エンジンやサイト又はアプリの検索窓に入力されたキーワードを取得する。
また、取得部131は、通信部110を介して、利用者Uに関する利用者情報を取得する。例えば、取得部131は、利用者Uの端末装置10から、利用者Uを示す識別情報(利用者ID等)や、利用者Uの位置情報、利用者Uの属性情報等を取得する。また、取得部131は、利用者Uのユーザ登録時に、利用者Uを示す識別情報や、利用者Uの属性情報等を取得してもよい。そして、取得部131は、利用者情報を、記憶部120の利用者情報データベース121に登録する。
また、取得部131は、通信部110を介して、利用者Uの行動を示す各種の履歴情報(ログデータ)を取得する。例えば、取得部131は、利用者Uの端末装置10から、あるいは利用者ID等に基づいて各種サーバ等から、利用者Uの行動を示す各種の履歴情報を取得する。そして、取得部131は、各種の履歴情報を、記憶部120の履歴情報データベース122に登録する。
(受付部132)
受付部132は、登録時に、通信部110を介して、認証器である利用者Uの端末装置10から登録要求を受け取る。なお、受付部132は、VC(Verifiable Credentials:検証可能な資格証明書)を発行する前に、通信部110を介して、認証器である利用者Uの端末装置10から、認証用公開鍵を受け取ってもよい。なお、受付部132は、上記の取得部131であってもよい。
また、受付部132は、認証時に、通信部110を介して、認証器である利用者Uの端末装置10から、認証要求とともに、認証用公開鍵を搭載したVCを受け取る。
また、受付部132は、パスワード認証が行われた際に、通信部110を介して、利用者Uの端末装置10から利用者UのユーザID及びパスワードを受け取る。例えば、受付部132は、利用者Uのユーザ登録時やユーザ認証に、通信部110を介して、利用者Uの端末装置10から利用者UのユーザID及びパスワードを受け取る。なお、実際には、受付部132は、ユーザIDが入力済みである場合には、パスワードのみ受け取ってもよい。
(登録処理部133)
登録処理部133は、登録要求に応じて、認証器として端末装置10を用いる利用者Uの登録処理を行う。このとき、登録処理部133は、登録時に、FIDO認証を実施する他のサーバ装置(認証サーバ)に、事前に公開された登録用公開鍵を用いたFIDO登録を要求し、応答としてFIDO登録結果を受信し、FIDO登録結果に基づいて、FIDO登録の成否を判定し、FIDO登録に成功した場合に、利用者Uの登録処理を行う。例えば、登録処理部133は、FIDO登録に成功した場合に、利用者UのユーザID及びパスワードを含むユーザ登録を行う。
なお、FIDO登録結果は、認証器の真正性確認(署名検証)の結果であってもよい。すなわち、登録処理部133は、認証器の真正性確認(署名検証に成功した場合に、利用者UのユーザID及びパスワードを含むユーザ登録を行うようにしてもよい。
(発行部134)
発行部134は、通信部110を介して、認証器である利用者Uの端末装置10に、検証可能な資格証明書であるVCを発行する。例えば、発行部134は、通信部110を介して、認証器である利用者Uの端末装置10から認証用公開鍵を取得した後、認証器である利用者Uの端末装置10に、認証用公開鍵を搭載したVCを発行する。あるいは、発行部134は、通信部110を介して、認証器である利用者Uの端末装置10に、検証可能な資格証明書であるVCの生成に使用される情報(登録パラメータ)を送信・提供し、認証用公開鍵を搭載したVCの生成を要求する。例えば、発行部134は、VCの発行として、VCの生成に使用される情報(登録パラメータ)と、認証用公開鍵を搭載したVCの生成の指示/許可とを、認証器である利用者Uの端末装置10に送信・提供してもよい。なお、発行部134は、後述する提供部138であってもよい。
(抽出部135)
抽出部135は、認証用公開鍵を搭載したVCから、認証用公開鍵を取り出す。なお、実際には、抽出部135は、VCの真正性が確認された場合に、認証用公開鍵を搭載したVCから、認証用公開鍵を取り出すようにしてもよい。
(管理部136)
管理部136は、VCに搭載された認証用公開鍵を保管する。例えば、管理部136は、VCから取り出された認証用公開鍵を保管してもよい。あるいは、管理部136は、認証器である利用者Uの端末装置10から受け取った認証用公開鍵を保管してもよい。なお、管理部136は、必須ではない。例えば、2回目以降のFIDO認証に用いるため、VCに搭載された認証用公開鍵を保管する必要がある場合にのみ、管理部136を設置/用意するものとする。
(認証処理部137)
認証処理部137は、認証時に、VCから取り出された認証用公開鍵を用いてFIDO認証を実施する。例えば、認証処理部137は、認証時に、VCの真正性を検証するとともに、VCから取り出された認証用公開鍵を用いてFIDO認証を実施する。
このとき、認証処理部137は、認証時に、FIDO認証を実施する他のサーバ装置(認証サーバ)に、認証用公開鍵を搭載したVC、又はVCから取り出された認証用公開鍵を送信してFIDO認証を要求し、応答としてFIDO認証結果を受信し、FIDO認証結果に基づいて、FIDO認証の成否を判定してもよい。
また、認証処理部137は、1回目はVCから取り出された認証用公開鍵を用いてFIDO認証を実施し、2回目以降は管理部136に保管されている認証用公開鍵を用いてFIDO認証を実施してもよい。
(提供部138)
提供部138は、FIDO認証に成功した場合、通信部110を介して、利用者Uの端末装置10(又は利用者U自身、あるいは利用者Uが保有する他の機器)に、サービスを提供する。また、提供部138は、通信部110を介して、他のサーバ装置(認証サーバ)に、認証用公開鍵を提供してもよい。
〔5.処理手順〕
次に、図10を用いて実施形態に係るサーバ装置100による処理手順について説明する。図10は、実施形態に係る処理手順を示すフローチャートである。なお、以下に示す処理手順は、サーバ装置100の制御部130によって繰り返し実行される。
続いて、サーバ装置100の受付部132は、登録時に、通信部110を介して、認証器である利用者Uの端末装置10から登録要求を受け取る(ステップS101)。
続いて、サーバ装置100の登録処理部133は、登録要求に応じてFIDO登録を実施する(ステップS102)。例えば、登録処理部133は、通信部110を介して、FIDO認証を実施する他のサーバ装置(認証サーバ)に、事前に公開された登録用公開鍵を用いたFIDO登録を要求し、応答としてFIDO登録結果を受信し、FIDO登録結果に基づいて、FIDO登録の成否を判定する。なお、登録処理部137は、FIDO登録に失敗した場合(ステップS102:No)、一連の処理を終了する。あるいは、FIDO登録を必要とするサービスへの登録を行わないようにする。なお、FIDO登録結果は、認証器の真正性確認(署名検証)の結果であってもよい。すなわち、登録処理部133は、認証器の真正性確認(署名検証)の結果に基づいて、認証器の真正性確認(署名検証)の成否を判定してもよい。
続いて、サーバ装置100の登録処理部133は、FIDO登録に成功した場合(ステップS102:Yes)、登録器として端末装置10を用いる利用者Uの登録処理を行う(ステップS103)。例えば、登録処理部133は、利用者UのユーザID及びパスワードを含むユーザ登録を行う。
続いて、サーバ装置100の発行部134は、通信部110を介して、認証器である利用者Uの端末装置10に、認証用公開鍵を搭載したVCを発行する(ステップS104)。このとき、サーバ装置100の発行部134は、VCを発行する前に、通信部110を介して、認証器である利用者Uの端末装置10に、認証用公開鍵の生成・提供を要求し、認証器である利用者Uの端末装置10から受け取った認証用公開鍵を搭載したVCを発行してもよい。あるいは、発行部134は、通信部110を介して、認証器である利用者Uの端末装置10に対し、検証可能な資格証明書であるVCの生成に使用される情報(登録パラメータ)を送信・提供し、認証用公開鍵を搭載したVCの生成を要求してもよい。
続いて、サーバ装置100の受付部132は、認証時に、通信部110を介して、認証器である利用者Uの端末装置10から、認証要求とともに、認証用公開鍵を搭載したVCを受け取る(ステップS105)。
続いて、サーバ装置100の抽出部135は、認証用公開鍵を搭載したVCから、認証用公開鍵を取り出す(ステップS106)。このとき、サーバ装置100の管理部136は、VCから取り出された認証用公開鍵を保管して2回目以降のFIDO認証に用いる場合、VCに搭載された認証用公開鍵を保管する。
続いて、サーバ装置100の認証処理部137は、VCの真正性を検証する(ステップS107)。なお、認証処理部137は、VCの真正性が確認されない場合(ステップS107:No)、一連の処理を終了する。あるいは、FIDO認証を必要とするサービスの提供を行わないようにする。
なお、実際には、サーバ装置100の抽出部135は、VCの真正性を検証する前(ステップS106)ではなく、VCの真正性が確認された場合(ステップS107:Yes)に、認証用公開鍵を搭載したVCから、認証用公開鍵を取り出すようにしてもよい。
続いて、サーバ装置100の認証処理部137は、VCの真正性が確認された場合(ステップS107:Yes)、VCから取り出された認証用公開鍵を用いてFIDO認証を実施する(ステップS108)。例えば、認証処理部137は、FIDO認証を実施する他のサーバ装置(認証サーバ)に、認証用公開鍵を搭載したVC、又はVCから取り出された認証用公開鍵を送信してFIDO認証を要求し、応答としてFIDO認証結果を受信し、FIDO認証結果に基づいて、FIDO認証の成否を判定する。なお、認証処理部137は、FIDO認証に失敗した場合(ステップS108:No)、一連の処理を終了する。あるいは、FIDO認証を必要とするサービスの提供を行わないようにする。
続いて、サーバ装置100の提供部138は、FIDO認証に成功した場合、通信部110を介して、利用者Uの端末装置10(又は利用者U自身、あるいは利用者Uが保有する他の機器)に、サービスを提供する(ステップS109)。
〔6.変形例〕
上述した端末装置10及びサーバ装置100は、上記実施形態以外にも種々の異なる形態にて実施されてよい。そこで、以下では、実施形態の変形例について説明する。
上記の実施形態において、サーバ装置100が実行している処理の一部又は全部は、実際には、端末装置10が実行してもよい。例えば、スタンドアローン(Stand-alone)で(端末装置10単体で)処理が完結してもよい。この場合、端末装置10に、上記の実施形態におけるサーバ装置100の機能が備わっているものとする。また、上記の実施形態では、端末装置10はサーバ装置100と連携しているため、利用者Uから見れば、サーバ装置100の処理も端末装置10が実行しているように見える。すなわち、他の観点では、端末装置10は、サーバ装置100を備えているともいえる。
また、上記の実施形態において、IdPであるサーバ装置100やFSPであるサーバ装置200は、FIDO認証と他の認証とを組み合わせて多段階認証としてもよい。例えば、IdPであるサーバ装置100やFSPであるサーバ装置200は、FIDO認証とパスワード認証とを組み合わせて2段階認証としてもよい。あるいは、IdPであるサーバ装置100やFSPであるサーバ装置200は、FIDO認証と秘密の質問とを組み合わせて2段階認証としてもよい。
また、上記の実施形態において、IdPであるサーバ装置100やFSPであるサーバ装置200は、FIDO認証において、認証の3要素である「知識情報」、「所持情報」、「生体情報」のうち、2つ以上を組み合わせて認証するようにしてもよい。すなわち、IdPであるサーバ装置100やFSPであるサーバ装置200は、多要素認証(MFA:Multi-Factor Authentication)を採用してもよい。
〔7.効果〕
上述してきたように、本願に係る情報処理装置(端末装置10及びサーバ装置100)は、認証時に、認証器から認証用公開鍵を搭載したVCを受け取る受付部132と、認証用公開鍵を搭載したVCから、認証用公開鍵を取り出す抽出部135と、VCから取り出された認証用公開鍵を用いてFIDO認証を実施する認証処理部137と、FIDO認証に成功した場合、サービスを提供する提供部138と、を備えることを特徴とする。
また、本願に係る情報処理装置は、認証器から、認証用公開鍵を取得する取得部と、認証器に、認証用公開鍵を搭載したVCを発行する発行部134と、をさらに備える。
あるいは、本願に係る情報処理装置は、認証器に、検証可能な資格証明書であるVCの生成に使用される情報を提供し、認証用公開鍵を搭載したVCの生成を要求する発行部134と、をさらに備える。
また、提供部138は、他の情報処理装置に、認証用公開鍵を搭載したVCを提供する。
また、認証処理部137は、FIDO認証を実施する他の情報処理装置に、認証用公開鍵を搭載したVC、又はVCから取り出された認証用公開鍵を送信してFIDO認証を要求し、応答としてFIDO認証結果を受信し、FIDO認証結果に基づいて、FIDO認証の成否を判定する。
また、本願に係る情報処理装置は、認証器を用いるユーザの登録処理を行う登録処理部133をさらに備える。受付部132は、登録時に、認証器から登録要求を受け取る。登録処理部133は、FIDO認証を実施する他の情報処理装置に、事前に公開された登録用公開鍵を用いたFIDO登録を要求し、応答としてFIDO登録結果を受信し、FIDO登録結果に基づいて、FIDO登録の成否を判定し、FIDO登録に成功した場合、ユーザの登録処理を行う。
また、認証処理部137は、VCの真正性を検証するとともに、VCから取り出された認証用公開鍵を用いてFIDO認証を実施する。
また、本願に係る情報処理装置は、VCに搭載された認証用公開鍵を保管する管理部136をさらに備える。認証処理部137は、1回目はVCから取り出された認証用公開鍵を用いてFIDO認証を実施し、2回目以降は管理部136に保管されている認証用公開鍵を用いてFIDO認証を実施する。
上述した各処理のいずれかもしくは組合せにより、本願に係る情報処理装置は、認証の効率をさらに向上させることができる。
〔8.ハードウェア構成〕
また、上述した実施形態に係る端末装置10やサーバ装置100は、例えば図11に示すような構成のコンピュータ1000によって実現される。以下、サーバ装置100を例に挙げて説明する。図11は、ハードウェア構成の一例を示す図である。コンピュータ1000は、出力装置1010、入力装置1020と接続され、演算装置1030、一次記憶装置1040、二次記憶装置1050、出力I/F(Interface)1060、入力I/F1070、ネットワークI/F1080がバス1090により接続された形態を有する。
演算装置1030は、一次記憶装置1040や二次記憶装置1050に格納されたプログラムや入力装置1020から読み出したプログラム等に基づいて動作し、各種の処理を実行する。演算装置1030は、例えばCPU(Central Processing Unit)、MPU(Micro Processing Unit)、ASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)等により実現される。
一次記憶装置1040は、RAM(Random Access Memory)等、演算装置1030が各種の演算に用いるデータを一次的に記憶するメモリ装置である。また、二次記憶装置1050は、演算装置1030が各種の演算に用いるデータや、各種のデータベースが登録される記憶装置であり、ROM(Read Only Memory)、HDD(Hard Disk Drive)、SSD(Solid State Drive)、フラッシュメモリ等により実現される。二次記憶装置1050は、内蔵ストレージであってもよいし、外付けストレージであってもよい。また、二次記憶装置1050は、USB(Universal Serial Bus)メモリやSD(Secure Digital)メモリカード等の取り外し可能な記憶媒体であってもよい。また、二次記憶装置1050は、クラウドストレージ(オンラインストレージ)やNAS(Network Attached Storage)、ファイルサーバ等であってもよい。
出力I/F1060は、ディスプレイ、プロジェクタ、及びプリンタ等といった各種の情報を出力する出力装置1010に対し、出力対象となる情報を送信するためのインターフェースであり、例えば、USB(Universal Serial Bus)やDVI(Digital Visual Interface)、HDMI(登録商標)(High Definition Multimedia Interface)といった規格のコネクタにより実現される。また、入力I/F1070は、マウス、キーボード、キーパッド、ボタン、及びスキャナ等といった各種の入力装置1020から情報を受信するためのインターフェースであり、例えば、USB等により実現される。
また、出力I/F1060及び入力I/F1070はそれぞれ出力装置1010及び入力装置1020と無線で接続してもよい。すなわち、出力装置1010及び入力装置1020は、ワイヤレス機器であってもよい。
また、出力装置1010及び入力装置1020は、タッチパネルのように一体化していてもよい。この場合、出力I/F1060及び入力I/F1070も、入出力I/Fとして一体化していてもよい。
なお、入力装置1020は、例えば、CD(Compact Disc)、DVD(Digital Versatile Disc)、PD(Phase change rewritable Disk)等の光学記録媒体、MO(Magneto-Optical disk)等の光磁気記録媒体、テープ媒体、磁気記録媒体、又は半導体メモリ等から情報を読み出す装置であってもよい。
ネットワークI/F1080は、ネットワークNを介して他の機器からデータを受信して演算装置1030へ送り、また、ネットワークNを介して演算装置1030が生成したデータを他の機器へ送信する。
演算装置1030は、出力I/F1060や入力I/F1070を介して、出力装置1010や入力装置1020の制御を行う。例えば、演算装置1030は、入力装置1020や二次記憶装置1050からプログラムを一次記憶装置1040上にロードし、ロードしたプログラムを実行する。
例えば、コンピュータ1000がサーバ装置100として機能する場合、コンピュータ1000の演算装置1030は、一次記憶装置1040上にロードされたプログラムを実行することにより、制御部130の機能を実現する。また、コンピュータ1000の演算装置1030は、ネットワークI/F1080を介して他の機器から取得したプログラムを一次記憶装置1040上にロードし、ロードしたプログラムを実行してもよい。また、コンピュータ1000の演算装置1030は、ネットワークI/F1080を介して他の機器と連携し、プログラムの機能やデータ等を他の機器の他のプログラムから呼び出して利用してもよい。
〔9.その他〕
以上、本願の実施形態を説明したが、これら実施形態の内容により本発明が限定されるものではない。また、前述した構成要素には、当業者が容易に想定できるもの、実質的に同一のもの、いわゆる均等の範囲のものが含まれる。さらに、前述した構成要素は適宜組み合わせることが可能である。さらに、前述した実施形態の要旨を逸脱しない範囲で構成要素の種々の省略、置換又は変更を行うことができる。
また、上記実施形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部又は一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。例えば、各図に示した各種情報は、図示した情報に限られない。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。
例えば、上述したサーバ装置100は、複数のサーバコンピュータで実現してもよく、また、機能によっては外部のプラットフォーム等をAPI(Application Programming Interface)やネットワークコンピューティング等で呼び出して実現するなど、構成は柔軟に変更できる。
また、上述してきた実施形態及び変形例は、処理内容を矛盾させない範囲で適宜組み合わせることが可能である。
また、上述してきた「部(section、module、unit)」は、「手段」や「回路」などに読み替えることができる。例えば、取得部は、取得手段や取得回路に読み替えることができる。
1 情報処理システム
10 端末装置
33 処理部
33A 登録要求部
33B 鍵生成部
33C VC管理部
33D 認証要求部
100 サーバ装置(IdP)
110 通信部
120 記憶部
121 利用者情報データベース
122 履歴情報データベース
130 制御部
131 取得部
132 受付部
133 登録処理部
134 発行部
135 抽出部
136 管理部
137 認証処理部
138 提供部
200 サーバ装置(FSP)

Claims (10)

  1. 認証時に、認証器から認証用公開鍵を搭載したVCを受け取る受付部と、
    前記認証用公開鍵を搭載したVCから、前記認証用公開鍵を取り出す抽出部と、
    前記VCから取り出された前記認証用公開鍵を用いてFIDO認証を実施する認証処理部と、
    前記FIDO認証に成功した場合、サービスを提供する提供部と、
    を備えることを特徴とする情報処理装置。
  2. 前記認証器から、前記認証用公開鍵を取得する取得部と、
    前記認証器に、前記認証用公開鍵を搭載したVCを発行する発行部と、
    をさらに備えることを特徴とする請求項1に記載の情報処理装置。
  3. 前記認証器に、検証可能な資格証明書であるVCの生成に使用される情報を提供し、前記認証用公開鍵を搭載したVCの生成を要求する発行部と、
    をさらに備えることを特徴とする請求項1に記載の情報処理装置。
  4. 前記提供部は、他の情報処理装置に、前記認証用公開鍵を搭載したVCを提供する
    ことを特徴とする請求項1に記載の情報処理装置。
  5. 前記認証処理部は、FIDO認証を実施する他の情報処理装置に、前記認証用公開鍵を搭載したVC、又は前記VCから取り出された前記認証用公開鍵を送信してFIDO認証を要求し、応答としてFIDO認証結果を受信し、前記FIDO認証結果に基づいて、前記FIDO認証の成否を判定する
    ことを特徴とする請求項1に記載の情報処理装置。
  6. 前記認証器を用いるユーザの登録処理を行う登録処理部をさらに備え、
    前記受付部は、登録時に、前記認証器から登録要求を受け取り、
    前記登録処理部は、FIDO認証を実施する他の情報処理装置に、事前に公開された登録用公開鍵を用いたFIDO登録を要求し、応答としてFIDO登録結果を受信し、前記FIDO登録結果に基づいて、前記FIDO登録の成否を判定し、前記FIDO登録に成功した場合、前記ユーザの登録処理を行う
    ことを特徴とする請求項1に記載の情報処理装置。
  7. 前記認証処理部は、前記VCの真正性を検証するとともに、前記VCから取り出された前記認証用公開鍵を用いてFIDO認証を実施する
    ことを特徴とする請求項1に記載の情報処理装置。
  8. 前記VCに搭載された前記認証用公開鍵を保管する管理部をさらに備え、
    前記認証処理部は、1回目は前記VCから取り出された前記認証用公開鍵を用いてFIDO認証を実施し、2回目以降は前記管理部に保管されている前記認証用公開鍵を用いてFIDO認証を実施する
    ことを特徴とする請求項1に記載の情報処理装置。
  9. 情報処理装置が実行する情報処理方法であって、
    認証時に、認証器から認証用公開鍵を搭載したVCを受け取る受付工程と、
    前記認証用公開鍵を搭載したVCから、前記認証用公開鍵を取り出す抽出工程と、
    前記VCから取り出された前記認証用公開鍵を用いてFIDO認証を実施する認証処理工程と、
    前記FIDO認証に成功した場合、サービスを提供する提供工程と、
    を含むことを特徴とする情報処理方法。
  10. 認証時に、認証器から認証用公開鍵を搭載したVCを受け取る受付手段と、
    前記認証用公開鍵を搭載したVCから、前記認証用公開鍵を取り出す抽出手段と、
    前記VCから取り出された前記認証用公開鍵を用いてFIDO認証を実施する認証処理手段と、
    前記FIDO認証に成功した場合、サービスを提供する提供手段と、
    をコンピュータに実行させることを特徴とする情報処理プログラム。
JP2022149307A 2022-09-20 2022-09-20 情報処理装置、情報処理方法及び情報処理プログラム Pending JP2024044013A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2022149307A JP2024044013A (ja) 2022-09-20 2022-09-20 情報処理装置、情報処理方法及び情報処理プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2022149307A JP2024044013A (ja) 2022-09-20 2022-09-20 情報処理装置、情報処理方法及び情報処理プログラム

Publications (1)

Publication Number Publication Date
JP2024044013A true JP2024044013A (ja) 2024-04-02

Family

ID=90480387

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022149307A Pending JP2024044013A (ja) 2022-09-20 2022-09-20 情報処理装置、情報処理方法及び情報処理プログラム

Country Status (1)

Country Link
JP (1) JP2024044013A (ja)

Similar Documents

Publication Publication Date Title
US20230129693A1 (en) Transaction authentication and verification using text messages and a distributed ledger
US9397838B1 (en) Credential management
US20180103341A1 (en) System for location based authentication
US20170085563A1 (en) System for validating a biometric input
US20140137206A1 (en) Password-free, token-based wireless access
JP6134371B1 (ja) 利用者情報管理装置、利用者情報管理方法及び利用者情報管理プログラム
JP2019032841A (ja) 売り場の内部通信網基盤の決済システム、売り場の内部通信網基盤の決済機能を含む移動端末、売り場の内部通信網基盤の決済サービス提供方法、及びこれを実行するプログラム
US11356243B2 (en) Information management system with blockchain authentication
US20170032368A1 (en) Systems and Methods for Authenticating Account Users
JP2024044013A (ja) 情報処理装置、情報処理方法及び情報処理プログラム
JP7197630B2 (ja) 端末装置、認証サーバ、認証方法及び認証プログラム
JP7343545B2 (ja) 端末装置、情報処理方法及び情報処理プログラム
JP7492545B2 (ja) 情報処理装置、情報処理方法及び情報処理プログラム
JP7326382B2 (ja) 情報処理装置、情報処理方法及び情報処理プログラム
JP7490008B2 (ja) 情報処理装置、情報処理方法及び情報処理プログラム
JP7305703B2 (ja) 認証サーバ、端末装置、鍵管理方法及び鍵管理プログラム
JP2023124201A (ja) 情報処理装置、情報処理方法及び情報処理プログラム
JP2024060266A (ja) 情報処理装置、情報処理方法及び情報処理プログラム
JP2022178691A (ja) 情報処理装置、情報処理方法及び情報処理プログラム
JP2024060389A (ja) 情報処理装置、情報処理方法及び情報処理プログラム
JP2023124455A (ja) 情報処理装置、情報処理方法及び情報処理プログラム
TWI612436B (zh) 自然人憑證認證方法
JP7342079B2 (ja) 情報処理装置、情報処理方法及び情報処理プログラム
JP7436436B2 (ja) 情報処理装置、情報処理方法及び情報処理プログラム
JP2023159785A (ja) 情報処理装置、情報処理方法及び情報処理プログラム

Legal Events

Date Code Title Description
A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A712

Effective date: 20231026