JP2024072460A - 認証システムおよび認証方法 - Google Patents
認証システムおよび認証方法 Download PDFInfo
- Publication number
- JP2024072460A JP2024072460A JP2022183287A JP2022183287A JP2024072460A JP 2024072460 A JP2024072460 A JP 2024072460A JP 2022183287 A JP2022183287 A JP 2022183287A JP 2022183287 A JP2022183287 A JP 2022183287A JP 2024072460 A JP2024072460 A JP 2024072460A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- service
- unit
- authenticator
- management device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims description 36
- 230000005540 biological transmission Effects 0.000 claims abstract description 35
- 238000012545 processing Methods 0.000 claims abstract description 26
- 230000004044 response Effects 0.000 claims abstract description 19
- 230000008569 process Effects 0.000 claims description 23
- 238000012797 qualification Methods 0.000 abstract description 7
- 238000012790 confirmation Methods 0.000 abstract description 3
- 238000004891 communication Methods 0.000 description 14
- 238000010586 diagram Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 6
- 230000009471 action Effects 0.000 description 3
- 238000003825 pressing Methods 0.000 description 3
- 238000012795 verification Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 238000007796 conventional method Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Images
Landscapes
- Lock And Its Accessories (AREA)
Abstract
【課題】資格確認型や承認型などあらゆる利用シーンでセキュリティレベルの高いオーセンティケータを有する認証システムを提供する。【解決手段】認証システム1は、所定のサービスを提供するサービス管理装置100と、サービス利用者の認証を行うオーセンティケータ200と、を有する。サービス管理装置は、ユーザ端末からサービスの提供の要求を受け付ける受付部と、要求に応じて認証を行う対象者を特定する特定部と、特定された認証を行う対象者をオーセンティケータに通知する通知部と、オーセンティケータから受信した認証結果を基に、サービスの提供を決定する決定部と、を有する。オーセンティケータは、サービス管理装置から受信した認証を行う対象者のユーザ端末に対し、認証を要求する第一の送信部と、送信された認証要求に対する応答を用いて認証処理を行う認証部と、認証結果をサービス管理装置に送信する第二の送信部と、を有する。【選択図】図1
Description
本発明は、認証システムおよび認証方法に関する。
従来、提供されるPKIを利用したオーセンティケータのような認証技術が存在する。近年では、様々なサービス提供時の認証にこの技術が用いられている。
FIDO認証とは?(https://www.dds.co.jp/ja/topics/9736/)
オーセンティケータの利用方法として、従来のようにログインによる利用(以下、ログイン型)の他に、資格を有しているかを確認する資格確認型や、承認者が承認を行う承認型など新たな利用方法が考えられる。
上記の利用方法を実現するにあたり様々な方法が存在するが、高いセキュリティレベルを求められる利用への対応を可能とするためには、PKIを利用した認証方法が有効な手段と考えられる。
PKIを利用したオーセンティケータには、特定のサービス利用者が複数のサービスを利用する場合に、それぞれのサービスごとに異なる証明書を生成し、認証処理を行う必要があるなどの課題がある。
本発明は、上記に鑑みてなされたものであって、資格確認型や承認型などあらゆる利用シーンでセキュリティレベルの高いオーセンティケータを有する認証システムおよび認証方法を提供することを目的とする。
上述した課題を解決し、目的を達成するために、本発明の認証システムは、所定のサービスを提供するサービス管理装置と、サービス利用者の認証を行うオーセンティケータとを有する認証システムであって、サービス管理装置が、ユーザ端末からサービスの提供の要求を受け付ける受付部と、受付部によって受け付けられた要求に応じて、認証を行う対象者を特定する特定部と、特定部によって特定された認証を行う対象者をオーセンティケータに通知する通知部と、オーセンティケータから受信した認証結果を基に、サービスの提供を決定する決定部とを有し、オーセンティケータが、サービス管理装置から受信した認証を行う対象者のユーザ端末に対し、認証を要求する第一の送信部と、第一の送信部によって送信された認証要求に対する応答を用いて、認証処理を行う認証部と、認証部によって行われた認証処理の認証結果をサービス管理装置に送信する第二の送信部とを有することを特徴とする。
本発明によれば、資格確認型や承認型などあらゆる利用シーンでセキュリティレベルの高いオーセンティケータを有する認証システムの提供を行うことができる。
以下、図面を参照して、本願に係る認証システムおよび認証方法の実施形態を詳細に説明する。なお、この実施の形態により本発明が限定されるものではない。また、図面の記載において、同一部分には同一の符号を付して示しており、重複する説明は適宜省略される。
[認証システムの構成]
まず、図1を用いて、認証システム1の構成について説明する。図1が示すように、認証システム1は、サービス管理装置100と、オーセンティケータ200と、利用者端末10と、承認者端末20とを有する。
まず、図1を用いて、認証システム1の構成について説明する。図1が示すように、認証システム1は、サービス管理装置100と、オーセンティケータ200と、利用者端末10と、承認者端末20とを有する。
サービス管理装置100は、サービス利用者からの要求を受けて、所定のサービスを提供する装置である。例えば、サービス管理装置100は、書庫管理システムやカーリース管理システム、スマートロック管理システムなど様々なサービスの管理システムとして機能することができる。オーセンティケータ200は、サービス利用者の認証を行う装置である。なお、オーセンティケータ200は、複数の端末に分散して機能してもよい。例えば、オーセンティケータ200は、スマホアプリとして機能し、署名操作を受け付ける。続いて、オーセンティケータ200は、プラットフォームとして機能し、署名操作によって得られた署名情報を用いることで、PKIによる認証を行う。
利用者端末10は、利用者がサービスを要求するためのサービス要求端末や、利用者がサービスを利用するためのサービス利用端末である。承認者端末20は、承認・認証を行う者が所持または操作する認証端末や、承認・認証を行う際に利用者に操作させる認証端末である。ここで、利用者や承認者は、利用者端末10や承認者端末20として、スマートフォン、デスクトップ型PC、ノート型PC、タブレット型PC等の任意のタイプの端末装置を用いることができる。なお、利用者と承認者とは、同一の者であってもよい。そのため、利用者端末10と承認者端末20とが同一の端末であってもよい。
[認証システムが行う処理の概要]
次に、図2を用いて、認証システム1による処理の概要について説明する。まず、図2上部は、PC/スマホといった利用者端末10から、サービス利用の要求が行われる場合である。はじめに、認証システム1は、利用者端末10からのサービスの要求を受けて、利用者情報を受け付ける。例えば、認証システム1は、利用者に対して利用者IDの入力を求める。次に、認証システム1は、承認者端末20に認証要求の通知を行う。例えば、認証システム1は、承認者端末20によるパスコード、指紋認証、顔認証といった方法で署名操作を行い、署名情報を用いることでPKIによる認証が完了する。そして、認証システム1は、承認者により正しく認証が行われると、サービス要求者の利用者端末10に対して、サービスの提供を行う。
次に、図2を用いて、認証システム1による処理の概要について説明する。まず、図2上部は、PC/スマホといった利用者端末10から、サービス利用の要求が行われる場合である。はじめに、認証システム1は、利用者端末10からのサービスの要求を受けて、利用者情報を受け付ける。例えば、認証システム1は、利用者に対して利用者IDの入力を求める。次に、認証システム1は、承認者端末20に認証要求の通知を行う。例えば、認証システム1は、承認者端末20によるパスコード、指紋認証、顔認証といった方法で署名操作を行い、署名情報を用いることでPKIによる認証が完了する。そして、認証システム1は、承認者により正しく認証が行われると、サービス要求者の利用者端末10に対して、サービスの提供を行う。
次に、図2下部は、利用者から物の利用要求を受けた場合である。はじめに、認証システム1は、利用者による利用開始アクションを受けて、利用者端末10への利用者IDの入力を求める。例えば、ボタン押下や鍵の挿入など、部屋や金庫、自転車などを開錠するためのアクションである。次に、認証システム1は、承認者端末20に認証要求の通知を行う。例えば、認証システム1は、承認者端末20によるパスコード、指紋認証、顔認証といった方法で署名操作を行い、署名情報を用いることでPKIによる認証が完了する。そして、認証システム1は、承認者により正しく認証が行われると、利用者に対して、部屋や金庫、自転車などの開錠といったサービスの提供を行う。
[サービス管理装置の構成]
次に、図3を用いて、サービス管理装置100の構成について説明する。図3が示すように、サービス管理装置100は、通信部110と、制御部120と、記憶部130とを有する。なお、これらの各部は、複数の装置が分散して保持してもよい。以下にこれら各部の処理を説明する。
次に、図3を用いて、サービス管理装置100の構成について説明する。図3が示すように、サービス管理装置100は、通信部110と、制御部120と、記憶部130とを有する。なお、これらの各部は、複数の装置が分散して保持してもよい。以下にこれら各部の処理を説明する。
通信部110は、NIC(Network Interface Card)等で実現され、LAN(Local Area Network)やインターネットなどの電気通信回線を介した外部装置と制御部120の通信を可能とする。例えば、通信部110は、外部装置と制御部120との通信を可能とする。
記憶部130は、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、または、ハードディスク、光ディスク等の記憶装置によって実現される。記憶部130が記憶する情報としては、例えば、利用者に関する情報、認証者に関する情報、オーセンティケータ200に関する情報、サービスの提供に関する情報などが含まれる。例えば、記憶部130は、提供するサービスごとに利用者に関する情報を記憶する。なお、記憶部130が記憶する情報は上記に記載したものに限定されない。
制御部120は、CPU(Central Processing Unit)やNP(Network Processor)やFPGA(Field Programmable Gate Array)等を用いて実現され、メモリに記憶された処理プログラムを実行する。図3に示すように、制御部120は、受付部121と、特定部122と、通知部123と、決定部124とを有する。以下、制御部120が有する各部について説明する。
受付部121は、ユーザ端末からサービスの提供の要求を受け付ける。例えば、受付部121は、書庫利用者からのボタン押下のアクションにより、書庫の開錠の要求を受け付ける。また、例えば、受付部121は、カーリース利用者からの鍵の挿入のアクションにより、車の開錠の要求を受け付ける。
特定部122は、受付部121により受け付けられた要求に応じて、認証を行う対象者を特定する。例えば、特定部122は、認証を行う対象者として、提供するサービスに対応する管理者を特定する。例えば、特定部122は、書庫利用者からの書庫の開錠の要求があった場合には、サービスに対応する管理者のID情報を記憶部130から取得することで、認証を行う対象者として書庫管理者を特定する。例えば、特定部122は、スマートロックの開錠の要求を受けた場合には、サービスに対応する管理者ID情報を記憶部130から取得することで、認証を行う対象者として開錠要求者の家族を特定する。また、例えば、特定部122は、カーリース利用者からの車の開錠の要求について、認証を行う対象者として、車の所有者を特定する。なお、特定部122により特定される認証を行う対象者は、サービスの提供の要求を行う者と同一の者であってもよい。例えば、特定部122は、認証を行う対象者として、サービス利用者を特定する。
通知部123は、特定部122により特定された認証を行う対象者をオーセンティケータ200に通知する。例えば、通知部123は、オーセンティケータ200に対象者および対象者の端末の情報を通知する。
決定部124は、オーセンティケータ200から受信した認証結果を基に、サービスの提供を決定する。例えば、決定部124は、オーセンティケータ200から、正しく認証されたという結果を受けて、利用者に対してサービスの提供を決定する。また、例えば、決定部124は、オーセンティケータ200から、正しく認証されなかったという結果を受けて、利用者に対してサービスを提供しないことを決定する。
[オーセンティケータの構成]
続いて、図4を用いて、オーセンティケータ200の構成について説明する。図4が示すように、オーセンティケータ200は、通信部210と、制御部220と、記憶部230とを有する。なお、これらの各部は、複数の装置が分散して保持してもよい。以下にこれら各部の処理を説明する。
続いて、図4を用いて、オーセンティケータ200の構成について説明する。図4が示すように、オーセンティケータ200は、通信部210と、制御部220と、記憶部230とを有する。なお、これらの各部は、複数の装置が分散して保持してもよい。以下にこれら各部の処理を説明する。
通信部210は、NIC(Network Interface Card)等で実現され、LAN(Local Area Network)やインターネットなどの電気通信回線を介した外部装置と制御部220の通信を可能とする。例えば、通信部210は、外部装置と制御部220との通信を可能とする。
記憶部230は、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、または、ハードディスク、光ディスク等の記憶装置によって実現される。記憶部230が記憶する情報としては、例えば、利用者に関する情報、認証者に関する情報、サービス管理装置100に関する情報、その他認証に必要な情報などが含まれる。例えば、記憶部230は、提供するサービスごとに利用者に関する情報を記憶する。なお、記憶部230が記憶する情報は上記に記載したものに限定されない。
制御部220は、CPU(Central Processing Unit)やNP(Network Processor)やFPGA(Field Programmable Gate Array)等を用いて実現され、メモリに記憶された処理プログラムを実行する。図4に示すように、制御部220は、第一の送信部221と、認証部222と、第二の送信部223とを有する。以下、制御部220が有する各部について説明する。
第一の送信部221は、サービス管理装置100から受信した認証を行う対象者のユーザ端末に対し、認証を要求する。例えば、第一の送信部221は、サービス管理装置100から受信した認証を行う対象者である書庫管理者の承認者端末20に対して、認証を要求する。また、例えば、第一の送信部221は、サービス管理装置100から受信した認証を行う対象者である車の所有者の承認者端末20に対して、認証を要求する。なお、第一の送信部221が、認証を要求する対象者は、サービス要求を行う者と同一であってもよい。
認証部222は、第一の送信部221により送信された認証要求に対する応答を用いて、認証処理を行う。例えば、認証部222は、第一の送信部221により送信された認証要求に対し、承認者端末20での顔認証やパスコードの入力などを用いた署名操作により得られる署名情報を用いて認証処理を行う。また、例えば、認証部222は、各サービスで共通する鍵と証明書とを用いて認証処理を行う。また、例えば、認証システム1は、OIDC(Open ID Connect)の技術を用いて認証処理を行う。
第二の送信部223は、認証部222により行われた認証処理の認証結果をサービス管理装置100に送信する。例えば、第二の送信部223は、認証部222により行われた認証処理により正しく認証されたという認証結果をサービス管理装置100に送信する。また、例えば、第二の送信部223は、認証部222により行われた認証処理により正しく認証されなかったという認証結果をサービス管理装置100に送信する。
[認証処理]
次に、図5を用いて、認証システム1による処理について説明する。まず、サービス管理装置100の受付部121は、書庫利用者によるボタン押下などのアクションによって、書庫の開錠の要求を受け付ける。次に、書庫管理システムとして機能するサービス管理装置100の特定部122は、書庫の開錠の要求を受けて、記憶部130に記憶された承認者に関する情報(例えば、管理者ID:123)を用いて、認証を行う対象者である書庫管理者を特定する。そして、サービス管理装置100の通知部123は、オーセンティケータ200に対して、書庫管理者に関する情報を通知する。
次に、図5を用いて、認証システム1による処理について説明する。まず、サービス管理装置100の受付部121は、書庫利用者によるボタン押下などのアクションによって、書庫の開錠の要求を受け付ける。次に、書庫管理システムとして機能するサービス管理装置100の特定部122は、書庫の開錠の要求を受けて、記憶部130に記憶された承認者に関する情報(例えば、管理者ID:123)を用いて、認証を行う対象者である書庫管理者を特定する。そして、サービス管理装置100の通知部123は、オーセンティケータ200に対して、書庫管理者に関する情報を通知する。
続いて、オーセンティケータ200の第一の送信部221は、サービス管理装置100の通知部123から受信した書庫管理者に関する情報を用いて、書庫管理者の承認者端末20に対して、認証を要求する。オーセンティケータ200の認証部222は、承認者端末20により行われた顔認証やパスコード入力などを用いた署名操作により得られる署名情報を用いて認証処理を行う。そして、オーセンティケータ200の第二の送信部223は、認証部222により行われた、正しく認証されたという認証結果を、サービス管理装置100に対して送信する。
そして、サービス管理装置100は、オーセンティケータ200から受信した、正しく認証されたという認証結果を基に、書庫の開錠を決定する。
[認証処理のバリエーション]
ここまで説明した認証システム1は、利用者端末10(サービス要求端末とサービス利用端末)と承認者端末20(認証端末)とに、それぞれどのような端末を用いるかによって認証処理に様々なバリエーションが生じうるため、図6と図7とを用いて、認証システム1による処理のバリエーションについて説明する。まず、図6(1)は、利用者の端末でサービス利用要求を行い、サービス利用要求を行った端末とは異なる利用者の端末で認証を行い、サービス利用要求を行った利用者の端末でサービスを利用するパターンである。次に、図6(2)は、利用者の端末でサービス利用要求、認証、サービス利用のすべてを行うパターンである。
ここまで説明した認証システム1は、利用者端末10(サービス要求端末とサービス利用端末)と承認者端末20(認証端末)とに、それぞれどのような端末を用いるかによって認証処理に様々なバリエーションが生じうるため、図6と図7とを用いて、認証システム1による処理のバリエーションについて説明する。まず、図6(1)は、利用者の端末でサービス利用要求を行い、サービス利用要求を行った端末とは異なる利用者の端末で認証を行い、サービス利用要求を行った利用者の端末でサービスを利用するパターンである。次に、図6(2)は、利用者の端末でサービス利用要求、認証、サービス利用のすべてを行うパターンである。
それから、図6(3)は、専用端末でサービス利用要求を行い、利用者の端末で認証を行い、サービス利用要求を行った専用端末でサービスを利用するパターンである。続いて、図6(4)は、専用端末でサービス利用要求を行い、利用者の端末で認証を行い、サービス提供者の端末でサービスを提供するパターンである。
図7(5)は、サービス提供者の端末でサービス利用要求を行い、利用者の端末で認証を行い、サービス提供者の端末でサービス利用を行うパターンである。図7(6)は、利用者の端末でサービス利用要求を行い、承認者の端末で認証を行い、利用者の端末でサービスを利用するパターンである。そして、図7(7)は、専用端末でサービス利用要求を行い、承認者の端末で認証を行い、専用端末でサービスを利用するパターンである。
[汎用的な鍵と証明書とを用いた認証]
次に、図8を用いて、認証システム1による処理について説明する。図8(1)は、従来技術である。従来技術では、特定の利用者が複数のサービス提供者からサービスの提供を受ける場合、オーセンティケータは、サービスごとに個別の秘密鍵/証明書を設定し、それぞれのサービスごとに異なる鍵や証明書を作成し、公開鍵や証明書を登録しなければならなかった。
次に、図8を用いて、認証システム1による処理について説明する。図8(1)は、従来技術である。従来技術では、特定の利用者が複数のサービス提供者からサービスの提供を受ける場合、オーセンティケータは、サービスごとに個別の秘密鍵/証明書を設定し、それぞれのサービスごとに異なる鍵や証明書を作成し、公開鍵や証明書を登録しなければならなかった。
図8(2)では、オーセンティケータ200は、1つの汎用的な鍵と証明書のみを設定する。このため、サービスごとに個別の証明書を生成・登録することなく、柔軟なサービス提供を可能とする。ここで、1つの汎用的な鍵と証明書との設定は、プラットフォームとして機能するオーセンティケータ200であってもよいし、スマホアプリとして機能するオーセンティケータ200であってもよい。認証システム1は、サービス管理装置100とオーセンティケータ200はOIDCなどの技術により連携する。
[フローチャート]
次に、図9を用いて、認証システム1による処理の流れについて説明する。なお、下記のステップS11~S17は、異なる順序で実行することもできる。また、下記のステップS11~S17のうち、省略される処理があってもよい。
次に、図9を用いて、認証システム1による処理の流れについて説明する。なお、下記のステップS11~S17は、異なる順序で実行することもできる。また、下記のステップS11~S17のうち、省略される処理があってもよい。
まず、サービス管理装置100の受付部121は、ユーザ端末からサービスの提供の要求を受け付ける(ステップS11)。例えば、受付部121は、書庫利用者からの書庫の開錠の要求を受け付ける。
次に、サービス管理装置100の特定部122は、受付部121によって受け付けられた要求に応じて、認証を行う対象者を特定する(ステップS12)。例えば、特定部122は、書庫利用者からの書庫の開錠の要求について、認証を行う対象者として、書庫管理者を特定する。
それから、サービス管理装置100の通知部123は、特定部122によって特定された認証を行う対象者をオーセンティケータ200に通知する(ステップS13)。例えば、通知部123は、オーセンティケータ200に対象者および対象者の端末の情報を通知する。
続いて、オーセンティケータ200の第一の送信部221は、サービス管理装置100から受信した認証を行う対象者のユーザ端末に対し、認証を要求する(ステップS14)。例えば、第一の送信部221は、サービス管理装置100から受信した認証を行う対象者である書庫管理者の承認者端末20に対して、認証を要求する。
その後、オーセンティケータ200の認証部222は、第一の送信部221によって送信された認証要求に対する応答を用いて、認証処理を行う(ステップS15)。例えば、認証部222は、第一の送信部221により送信された認証要求に対し、承認者端末20での顔認証やパスコードの入力といった署名操作により得られる署名情報を用いて認証処理を行う。
続いて、オーセンティケータ200の第二の送信部223は、認証部222によって行われた認証処理の認証結果をサービス管理装置100に送信する(ステップS16)。例えば、第二の送信部223は、認証部222により行われた認証処理により正しく認証されたという認証結果をサービス管理装置100に送信する。
そして、サービス管理装置100の決定部124は、オーセンティケータ200から受信した認証結果を基に、サービスの提供を決定する(ステップS17)。例えば、決定部124は、オーセンティケータ200から、正しく認証されたという結果を受けて、利用者に対して書庫の開錠を決定する。
[効果]
実施形態に係る認証システム1は、所定のサービスを提供するサービス管理装置100と、サービス利用者の認証を行うオーセンティケータ200とを有する認証システムであって、サービス管理装置100が、ユーザ端末からサービスの提供の要求を受け付ける受付部121と、受付部121によって受け付けられた要求に応じて、認証を行う対象者を特定する特定部122と、特定部122によって特定された認証を行う対象者をオーセンティケータ200に通知する通知部123と、オーセンティケータ200から受信した認証結果を基に、サービスの提供を決定する決定部124とを有し、オーセンティケータ200が、サービス管理装置100から受信した認証を行う対象者のユーザ端末に対し、認証を要求する第一の送信部221と、第一の送信部221によって送信された認証要求に対する応答を用いて、認証処理を行う認証部222と、認証部222によって行われた認証処理の認証結果をサービス管理装置100に送信する第二の送信部223とを有する。
実施形態に係る認証システム1は、所定のサービスを提供するサービス管理装置100と、サービス利用者の認証を行うオーセンティケータ200とを有する認証システムであって、サービス管理装置100が、ユーザ端末からサービスの提供の要求を受け付ける受付部121と、受付部121によって受け付けられた要求に応じて、認証を行う対象者を特定する特定部122と、特定部122によって特定された認証を行う対象者をオーセンティケータ200に通知する通知部123と、オーセンティケータ200から受信した認証結果を基に、サービスの提供を決定する決定部124とを有し、オーセンティケータ200が、サービス管理装置100から受信した認証を行う対象者のユーザ端末に対し、認証を要求する第一の送信部221と、第一の送信部221によって送信された認証要求に対する応答を用いて、認証処理を行う認証部222と、認証部222によって行われた認証処理の認証結果をサービス管理装置100に送信する第二の送信部223とを有する。
これにより認証システム1は、サービス利用者以外の者による認証を可能とすることで、資格確認型や承認型などあらゆる利用シーンで利用できる。
また、実施形態に係る認証システム1は、認証を行う対象者として提供するサービスに対応する管理者を特定する。これにより認証システム1は、サービスごとに管理者を特定し、承認型などの利用シーンでセキュリティレベルの高いオーセンティケータ200を有する認証システムを提供することができる。
また、実施形態に係る認証システム1は、認証を行う対象者としてサービス利用者を特定する。これにより認証システム1は、各サービスの利用者を特定し、資格確認型などの利用シーンでセキュリティレベルの高いオーセンティケータ200を有する認証システムを提供することができる。
認証方法としてPKIを利用することで、高いセキュリティレベルが求められるサービ
スに対しても利用でき、あらゆる利用シーンでセキュリティレベルの高いオーセンティケータ200を有する認証システムを提供することができる。
スに対しても利用でき、あらゆる利用シーンでセキュリティレベルの高いオーセンティケータ200を有する認証システムを提供することができる。
また、実施形態に係る認証システム1は、各サービスで共通する鍵と証明書とを用いて認証処理を行う。これにより認証システム1は、PKIによる認証を行う際に各サービスで共通の鍵・証明書を利用することで、利用者や運用者の利便性向上につながる。
[システム構成等]
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。例えば、さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。例えば、さらに、各装置にて行なわれる各処理機能は、その全部または任意の一部が、CPUおよび当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、本実施例において説明した各処理のうち、自動的に行われるものとして説明した処理の全部または一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部または一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
[その他]
様々な実施形態を、図面を参照して、本明細書で詳細に説明したが、これらの複数の実施形態は例であり、本発明をこれらの複数の実施形態に限定することを意図するものではない。本明細書に記載された特徴は、当業者の知識に基づく様々な変形や改良を含む、様々な方法によって実現され得る。
様々な実施形態を、図面を参照して、本明細書で詳細に説明したが、これらの複数の実施形態は例であり、本発明をこれらの複数の実施形態に限定することを意図するものではない。本明細書に記載された特徴は、当業者の知識に基づく様々な変形や改良を含む、様々な方法によって実現され得る。
また、上述した「部(module、-er接尾辞、-or接尾辞)」は、ユニット、手段、回路などに読み替えることができる。例えば、通信部(communication module)、制御部(control module)および記憶部(storage module)は、それぞれ、通信ユニット、制御ユニットおよび記憶ユニットに読み替えることができる。
1 認証システム
100 サービス管理装置
110 通信部
120 制御部
121 受付部
122 特定部
123 通知部
124 決定部
130 記憶部
200 オーセンティケータ
210 通信部
220 制御部
221 第一の送信部
222 認証部
223 第二の送信部
230 記憶部
100 サービス管理装置
110 通信部
120 制御部
121 受付部
122 特定部
123 通知部
124 決定部
130 記憶部
200 オーセンティケータ
210 通信部
220 制御部
221 第一の送信部
222 認証部
223 第二の送信部
230 記憶部
Claims (5)
- 所定のサービスを提供するサービス管理装置と、サービス利用者の認証を行うオーセンティケータとを有する認証システムであって、
前記サービス管理装置が、
ユーザ端末からサービスの提供の要求を受け付ける受付部と、
前記受付部によって受け付けられた要求に応じて、認証を行う対象者を特定する特定部と、
前記特定部によって特定された認証を行う対象者を前記オーセンティケータに通知する通知部と、
オーセンティケータから受信した認証結果を基に、サービスの提供を決定する決定部と
を有し、
前記オーセンティケータが、
前記サービス管理装置から受信した認証を行う対象者のユーザ端末に対し、認証を要求する第一の送信部と、
前記第一の送信部によって送信された認証要求に対する応答を用いて、認証処理を行う認証部と、
前記認証部によって行われた認証処理の認証結果を前記サービス管理装置に送信する第二の送信部と
を有することを特徴とする認証システム。 - 前記特定部は、認証を行う対象者として提供するサービスに対応する管理者を特定することを特徴とする請求項1に記載の認証システム。
- 前記特定部は、認証を行う対象者としてサービス利用者を特定することを特徴とする請求項1に記載の認証システム。
- 前記認証部は、各サービスで共通する鍵と証明書とを用いて認証処理を行うことを特徴とする請求項1に記載の認証システム。
- 所定のサービスを提供するサービス管理装置と、サービス利用者の認証を行うオーセンティケータとによって実行される認証方法であって、
前記サービス管理装置が、ユーザ端末からサービスの提供の要求を受け付ける受付工程と、
前記サービス管理装置が、前記受付工程によって受け付けられた要求に応じて、認証を行う対象者を特定する特定工程と、
前記サービス管理装置が、前記特定工程によって特定された認証を行う対象者を前記オーセンティケータに通知する通知工程と、
前記オーセンティケータが、前記サービス管理装置から受信した認証を行う対象者のユーザ端末に対し、認証を要求する第一の送信工程と、
前記オーセンティケータが、前記第一の送信工程によって送信された認証要求に対する応答を用いて、認証処理を行う認証工程と、
前記オーセンティケータが、前記認証工程によって行われた認証処理の認証結果を前記サービス管理装置に送信する第二の送信工程と、
前記サービス管理装置が、オーセンティケータから受信した認証結果を基に、サービスの提供を決定する決定工程と
を含むことを特徴とする認証方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2022183287A JP2024072460A (ja) | 2022-11-16 | 2022-11-16 | 認証システムおよび認証方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2022183287A JP2024072460A (ja) | 2022-11-16 | 2022-11-16 | 認証システムおよび認証方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2024072460A true JP2024072460A (ja) | 2024-05-28 |
Family
ID=91197110
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2022183287A Pending JP2024072460A (ja) | 2022-11-16 | 2022-11-16 | 認証システムおよび認証方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2024072460A (ja) |
-
2022
- 2022-11-16 JP JP2022183287A patent/JP2024072460A/ja active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11297064B2 (en) | Blockchain authentication via hard/soft token verification | |
| US10636240B2 (en) | Architecture for access management | |
| US10771459B2 (en) | Terminal apparatus, server apparatus, blockchain and method for FIDO universal authentication using the same | |
| US10929524B2 (en) | Method and system for verifying an access request | |
| US11569991B1 (en) | Biometric authenticated biometric enrollment | |
| WO2021137684A1 (en) | System and method for integrating digital identity verification to authentication platform | |
| WO2021107755A1 (en) | A system and method for digital identity data change between proof of possession to proof of identity | |
| US20230016488A1 (en) | Document signing system for mobile devices | |
| US11275858B2 (en) | Document signing system for mobile devices | |
| JP2024072460A (ja) | 認証システムおよび認証方法 | |
| KR20000059245A (ko) | 생체정보 저장 시스템 및 이를 이용한 인터넷 이용자 인증방법 | |
| JP7232862B2 (ja) | 情報処理装置、情報処理方法および情報処理プログラム | |
| JP7232863B2 (ja) | 情報処理装置、情報処理方法および情報処理プログラム | |
| US20230362009A1 (en) | User identification and authentication method and system | |
| US20230376947A1 (en) | De-centralized authentication in a network system |