JP4372403B2 - Authentication system - Google Patents

Authentication system Download PDF

Info

Publication number
JP4372403B2
JP4372403B2 JP2002278389A JP2002278389A JP4372403B2 JP 4372403 B2 JP4372403 B2 JP 4372403B2 JP 2002278389 A JP2002278389 A JP 2002278389A JP 2002278389 A JP2002278389 A JP 2002278389A JP 4372403 B2 JP4372403 B2 JP 4372403B2
Authority
JP
Japan
Prior art keywords
server
user
authentication
security device
card
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2002278389A
Other languages
Japanese (ja)
Other versions
JP2004118377A (en
Inventor
洋二 清水
浩 徳江
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2002278389A priority Critical patent/JP4372403B2/en
Publication of JP2004118377A publication Critical patent/JP2004118377A/en
Application granted granted Critical
Publication of JP4372403B2 publication Critical patent/JP4372403B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

【0001】
【発明の属する技術分野】
本発明はネットワークを通じて認証を行うシステムに関する。特にユーザ側で認証に必要な機能をセキュリティデバイスに持たせる個人認証システムに関する。
【0002】
【従来の技術】
ネットワークを利用してサービスを提供するサーバは特定のユーザに特定のサービスを提供したり、ユーザ管理を行ったりしている。そのため、ユーザはサーバのサービスを利用するときに本人であることを証明する。これが認証である。
現在はサーバ側がユーザに固有の認証用IDとパスワードを発行して、ユーザがサービスを利用する際にそれらの認証用IDとパスワード(以下、認証用IDとパスワードをID・パスワードという)を入力することで本人であることを確認する認証方式が主流である。
さらに近年、ICカードなどのセキュリティデバイスにID・パスワードを格納して、ユーザはそのカードの管理をするICカード認証方式も開発されている。ICカードのようなセキュリティデバイスは不正な手段で内部の認証情報(この場合、ID・パスワード)を読み出すことは不可能であるため、セキュリティが高くなっている。
ネットワークはオープンに開かれているため、セキュリティに関する問題が多数存在する。その脅威の一つに、ユーザ本人のID・パスワードを第3者が盗み出し、この第3者がユーザ本人になりすましてサーバからサービスを受ける「なりすまし」がある。この脅威を防ぐために、数学的に解読を難解にした公開鍵暗号方式を用いた防御策がある。
公開鍵暗号方式は秘密鍵と公開鍵がペアになっており、秘密鍵で暗号化したものは公開鍵で、公開鍵で暗号化したものは秘密鍵でのみ復号できる。この秘密鍵と公開鍵のペアを公開鍵ペアあるいは秘密鍵ペアという。
この公開鍵方式を利用することで「なりすまし」を防ぐことができる。さらにセキュリティを高めるために公開鍵がユーザ本人のものであることを証明した電子証明書を発行する認証局を導入する。
これらの公開鍵ペアや電子証明書を格納する手段として耐タンパー性のあるセキュリティデバイスを使うことは非常に有用である。
このセキュリティデバイスの利点を活かしたシステムに特開2001-306519号公報がある。このシステムはネットワーク上に仲介サーバをたてることで、クライアント端末に依存しない認証システムを構築できると記述されている。
【0003】
【発明が解決しようとする課題】
セキュリティデバイスを使用しない上記ID・パスワード方式ではセキュリティを高めるためにパスワードを頻繁にかつ覚えにくいパスワードを選択する必要がある。
そのため、管理に手間がかかり、たいていのユーザは覚えやすい簡単なパスワードを使うか、難しいパスワードを設定してもそのパスワードを第3者に見られる可能性のある場所にメモしている場合もある。
そのため、パスワードが悪意のある第3者に看破されやすく、セキュリティ上の大きな問題となっている。
また、上記公報のシステムでは、ネットワーク上のサーバと認証を行う際にはクライアント側にも認証用に何らかの機能が必要となるケースの場合、ユーザ認証は特定のクライアント端末でのみでしか利用できなくなり、セキュリティデバイスの携帯性が損なわれてしまっている。
そのため、本発明ではクライアント端末に依存せず、また個々のサーバごとで異なる認証方式を採用している場合でも対応可能な認証システムを提供することを目的とする。
【0004】
【課題を解決するための手段】
上記目的を達成するため、本発明は、処理装置と記憶装置を有し記憶装置内に特定ユーザに関するユーザ認証データを記録したセキュリティデバイスと、特定ユーザにさまざまなサービスを提供するサーバと、該セキュリティデバイスとデータをやり取りが可能で、該サーバとネットワークを介して接続可能なセキュリティデバイス利用端末を備える認証システムにおいて、前記セキュリティデバイスが、前記サーバが特定ユーザを認証するためにユーザ側に必要とする機能を搭載するようにしている。。
また、前記機能は、前記ユーザ認証データを前記サーバが認証対象とするデータ形式に変換するために必要な機能としている。
【0005】
【発明の実施の形態】
以下、本発明の実施の形態を詳細に説明する。
図1は、本発明の実施形態の一つであるセキュリティデバイスを用いた認証システムのブロック図である。
ここではセキュリティデバイスとしてICカードを例とする。
何らかのサービスを提供するサーバ1はネットワーク2を通じてICカード利用端末3と接続が可能である。
ICカード利用端末3は、外付け・内蔵を問わずICカードリーダライタ4と接続している。
ユーザが持つICカード5は、ICカードリーダライタ4を介して、ICカード利用端末3とデータのやり取りをすることができる。
【0006】
図2は、サーバ1の構成を表すブロック図である。
ユーザを認証してそのユーザに特定のサービスを提供するサーバ1は、処理装置11、記憶装置12、ICカード利用端末3とネットワーク2を介してデータ通信を行うための外部インタフェース13を有する。
記憶装置12には本実施形態の認証手順で用いる乱数発生アプリケーション1211と暗号化された情報を復号するためのアプリケーション1212とが格納されているアプリケーションプログラム格納部121と、サービスを提供するユーザの情報、例えばユーザの公開鍵とその電子証明書、ユーザ認証データであるユーザのID・パスワードなど、を収めたユーザ情報登録データベース1221と、信頼性のある第3者機関から発行された電子証明書付きのサーバ公開鍵1223と秘密鍵1222、電子証明書1224を有するアプリケーションデータ格納部122と、OSとして機能する制御プログラム123をもつ。
【0007】
図3では図1に示したICカード利用端末3の構造を示す。
本実施形態のICカード利用端末3は、マイクロプロセッサのような処理装置31と、記憶装置32とネットワーク2およびICカード4と接続する外部インタフェース33から構成される。
記憶装置32はOSとして機能する制御プログラム321が格納されている。
本発明のシステムにおけるネットワーク利用端末3は、単純なデータ送信用であるので構造がシンプルなものとなっている。
【0008】
図4では図1に示したICカード5の構造を示す。
本実施形態のICカード5は、マイクロプロセッサのような処理装置51と、EEPROM、フラッシュメモリなどの記憶装置52と、図1に示したICカードリーダライタ4のような機器との間でデータ転送などを行うためのインタフェース部53をもつ。
記憶装置52には、サーバ1が行う認証に必要な機能を格納するアプリケーション格納部521と、種々のデータが格納されるアプリケーションデータ部522と、OSのような制御プログラム523を持つ。
本実施例では、アプリケーション格納部521には、サーバに送信する認証情報(この場合、ID・パスワード)を暗号化するためのアプリケーション5211が格納されており、アプリケーションデータ部522には、複数サーバにも対応するために個々のサーバから発行されたユーザ情報、例えばサーバの公開鍵、サーバの発行したユーザ認証データであるユーザのID・パスワードなど、を記録したユーザ情報DB5221と、信頼性のある第3者機関から発行された電子証明書付きのユーザの公開鍵5223と秘密鍵5222、電子証明書5224が格納されている。
なお、サーバ1が行う認証に必要な機能としては、上記の認証情報を暗号化するためのアプリケーションの他に、例えば、認証情報を複数回繰り返しサーバに送信するためのアプリケーションなどがある。
【0009】
図5から図7までは本発明における実施形態である認証システムの動作手順を示したものである。
図5は、サーバ1のサービスを受ける前に行う登録作業を示したものである。サーバ1の提供するサービスを利用したいユーザは、信頼できる第3者機関である認証局に登録申請を行う(ステップ701)。
認証局はユーザの登録内容を厳密に審査して、誤りや不適格な部分がなければ、その証としてユーザに固有の秘密鍵ペアを添付した電子証明書を発行する(ステップ702)。
発行された秘密鍵ペアや電子証明書はICカード5内に保持する。
同時にサーバ1側でも認証局に自分のサイトの情報を登録して(ステップ703)、認証局がサーバ1の登録内容を審査して、適切ならばサーバ1固有の秘密鍵ペアを添付した電子証明書を発行する(ステップ704)。
発行された秘密鍵ペアや電子証明書は記憶装置12内に保持する。
次にユーザは認証を必要とするサービスを提供するサーバ1に対して、ユーザ登録をする(ステップ705)。登録するものはユーザの電子証明書やユーザの公開鍵などである。
サーバ1はユーザの登録内容である、電子証明書や公開鍵などを確認してサービスを提供してもよいと判断すれば、ユーザ固有の認証用のID・パスワードを発行して、サーバ1の公開鍵とともにユーザに送付する(ステップ706)。
ユーザは発行された情報を全てICカード5に保持する。
【0010】
図6は、本発明においてICカード5とICカード利用端末3とサーバ1の認証動作を示したシーケンス図である。
ユーザ登録の終了したユーザは、ICカード5を装着したICカード利用端末3を利用し、サーバ1へサービス開始要求を出す(ステップ801)。
なお、正確にはICカード利用端末3を通して送信されるが、ICカード利用端末3は単に送られてきたデータをそのままICカード5とサーバ1の双方に送るだけなので、以後特に記述しない。
サーバ1は、ユーザを認証する準備をはじめ、ICカード5へ認証開始の応答を返す(ステップ802)。このとき、サーバ1はこの応答に、サーバ1が行う認証に必要な機能(例えば、サーバ1用の暗号化処理プログラムなど)を指定し、指定した機能をICカード5が有しているかの質問を含める。
なお、正確にはICカード利用端末3を通して送信されるが、ICカード利用端末3は単に送られてきたデータをそのままICカード5とサーバ1の双方に送るだけなので、以後ICカード利用端末3を介することについては特に記述しない。
ICカード5は、サーバ1からの応答に応じて、サーバ1が行う認証に必要な機能があるか判別して(ステップ803)、なければサーバ1より必要な機能を入手する。詳細は後述する。
あれば、認証開始の準備が整ったことをサーバ1に通知する(ステップ804)。
通知を受けたサーバ1は認証に必要な乱数を発生させる(ステップ805)。
続いて発生させた乱数をICカード5に送信する(ステップ806)。
【0011】
ICカード5はユーザ情報DBに持っているユーザ固有の認証用のID・パスワードと送信された乱数を、ユーザの秘密鍵を用いて暗号化処理を施す(ステップ807)。
さらに、サーバ1の公開鍵を用いて暗号化処理を施す(ステップ808)。
ICカード5はその暗号化情報にユーザIDを添付してサーバ1に送信する(ステップ809)。
サーバ1は自身の秘密鍵を用いてステップ808の暗号化情報を復号する。
そして、添付されたユーザIDから必要なユーザの公開鍵をユーザ登録情報DB1221から取り出し、ステップ807で暗号化された暗号化情報を復号する(ステップ810)。
サーバ1は復号化された情報から、乱数を抽出して自身が送信した乱数と合っているか検証する。
さらに同じ情報からID・パスワードも抽出し、このID・パスワードとユーザ登録情報DB1221から取り出したID・パスワードとを比較し、ユーザの認証を行う(ステップ811)。
最後にユーザの認証が完了したことをICカード利用端末に通知する(ステップ812)。
これにより、ユーザはサービスをサーバ1から受けることができる(ステップ813)。
【0012】
図7は、認証に必要な機能を得るためにICカード5とサーバ1により行われる動作を示すシーケンス図である。
本実施形態ではICカード5に格納されていなければならない機能である暗号化処理アプリケーションがない場合を考慮して、図7のようにサーバ1から必要な機能をダウンロードする。
ICカード5は、ICカード利用端末3を介してサーバ1に暗号化処理に必要な機能のダウンロード要求を出す(ステップ901)。
サーバ1はこの要求を受けて、その機能のダウンロードに要する時間やサイズなどの機能に関する情報をICカード5に通知する(ステップ902)。
ICカード5は受け取った情報から、機能のダウンロードが可能かどうかを判断して可能ならば、サーバ1に機能受け入れ可能通知をしてダウンロード開始要求を行う(ステップ903)。
サーバ1は機能のダウンロードを開始する(ステップ904)。
機能のダウンロードが無事に終了すると、ICカード5はその完了通知をサーバ1に送信する(ステップ905)。
【0013】
【発明の効果】
以上述べたように、本発明ではICカードに認証で用いる処理アプリケーションなどの機能やデータを持つことで、特定のICカード利用端末に依存せずに個々のサーバのサービスを受けることが可能となる。
また、認証で用いる処理アプリケーションなどの機能がICカード内に無い場合もサーバからダウンロードすることにより、ICカードの汎用性が向上する。
【図面の簡単な説明】
【図1】本発明が対象とするシステムの基本的な構成を示した図である。
【図2】サーバの構成を示す図である。
【図3】 ICカード利用端末の構成を示す図である。
【図4】 ICカードの構成を示す図である。
【図5】本発明の実施形態例における事前登録の手順を示した図である。
【図6】本発明の実施形態例における認証接続手順を示したシーケンス図である。
【図7】本発明の実施形態例における認証のために必要な機能のダウンロード手順を示した図である。
【符号の説明】
1 サーバ
2 ネットワーク
3 ICカード利用端末
4 ICカードリーダライタ
5 ICカード
11、31、51 処理装置
12、32、52 記憶装置
13、33 外部インタフェース部
53 インタフェース部
121、521 アプリケーションプログラム格納部
122、522 アプリケーションデータ格納部
1211 乱数発生処理
1212 復号化処理
1221 ユーザ情報登録DB
1222 サーバの秘密鍵
1223 サーバの公開鍵
1224 電子証明書
5211 暗号化処理
5221 ユーザ情報DB
5222 ユーザの秘密鍵
5223 ユーザの公開鍵
5224 電子証明書[0001]
BACKGROUND OF THE INVENTION
The present invention relates to a system for performing authentication through a network. In particular, the present invention relates to a personal authentication system in which a security device has a function necessary for authentication on the user side.
[0002]
[Prior art]
A server that provides a service using a network provides a specific service to a specific user and performs user management. Therefore, the user proves his / her identity when using the server service. This is authentication.
Currently, the server issues a unique authentication ID and password to the user, and when the user uses the service, the authentication ID and password (hereinafter, the authentication ID and password are referred to as ID / password) are entered. Authentication methods that confirm the identity of the person are the mainstream.
In recent years, an IC card authentication method has been developed in which an ID / password is stored in a security device such as an IC card, and the user manages the card. A security device such as an IC card has high security because it cannot read internal authentication information (in this case, ID / password) by unauthorized means.
Since the network is open and open, there are many security issues. One of the threats is “spoofing” in which a third party steals the user's own ID / password, and the third party impersonates the user and receives services from the server. In order to prevent this threat, there is a defensive measure using a public key cryptosystem that is difficult to decipher mathematically.
In the public key cryptosystem, a secret key and a public key are paired, and what is encrypted with the secret key is a public key, and what is encrypted with the public key can be decrypted only with the secret key. This private key / public key pair is called a public key pair or a private key pair.
By using this public key method, “spoofing” can be prevented. To further enhance security, a certificate authority that issues an electronic certificate that proves that the public key belongs to the user is introduced.
It is very useful to use a tamper-resistant security device as a means for storing these public key pairs and electronic certificates.
JP-A-2001-306519 discloses a system that takes advantage of this security device. This system describes that an authentication system independent of client terminals can be constructed by setting up a mediation server on the network.
[0003]
[Problems to be solved by the invention]
In the above ID / password method that does not use a security device, it is necessary to select a password that is frequently and difficult to remember in order to increase security.
This can be cumbersome to manage, and most users use a simple password that is easy to remember, or even if a difficult password is set, the user may note the password where it can be seen by a third party. .
For this reason, passwords are easy to be seen by malicious third parties, which is a big security issue.
In the system of the above publication, when authentication is performed with a server on the network, if the client side needs some function for authentication, user authentication can be used only at a specific client terminal. The portability of security devices has been compromised.
Therefore, it is an object of the present invention to provide an authentication system that does not depend on a client terminal and can be used even when different authentication methods are adopted for individual servers.
[0004]
[Means for Solving the Problems]
In order to achieve the above object, the present invention provides a security device having a processing device and a storage device, in which user authentication data related to a specific user is recorded, a server for providing various services to the specific user, and the security In an authentication system including a security device using terminal that can exchange data with a device and can be connected to the server via a network, the security device requires a user side for the server to authenticate a specific user. The function is installed. .
Further, the function is a function necessary for converting the user authentication data into a data format to be authenticated by the server.
[0005]
DETAILED DESCRIPTION OF THE INVENTION
Hereinafter, embodiments of the present invention will be described in detail.
FIG. 1 is a block diagram of an authentication system using a security device which is one embodiment of the present invention.
Here, an IC card is taken as an example of the security device.
A server 1 that provides some service can be connected to an IC card using terminal 3 through a network 2.
The IC card using terminal 3 is connected to the IC card reader / writer 4 regardless of whether it is external or internal.
The IC card 5 held by the user can exchange data with the IC card using terminal 3 via the IC card reader / writer 4.
[0006]
FIG. 2 is a block diagram showing the configuration of the server 1.
A server 1 that authenticates a user and provides a specific service to the user has an external interface 13 for performing data communication with the processing device 11, the storage device 12, and the IC card using terminal 3 via the network 2.
The storage device 12 stores an application program storage unit 121 in which a random number generation application 1211 used in the authentication procedure of the present embodiment and an application 1212 for decrypting encrypted information are stored, and information on a user who provides a service For example, a user information registration database 1221 containing a user's public key and its electronic certificate, a user ID / password as user authentication data, and a digital certificate issued by a trusted third party The application data storage unit 122 having a server public key 1223, a private key 1222, and an electronic certificate 1224, and a control program 123 functioning as an OS.
[0007]
FIG. 3 shows the structure of the IC card using terminal 3 shown in FIG.
The IC card using terminal 3 of this embodiment includes a processing device 31, such as a microprocessor, and an external interface 33 that connects the storage device 32, the network 2, and the IC card 4.
The storage device 32 stores a control program 321 that functions as an OS.
Since the network using terminal 3 in the system of the present invention is for simple data transmission, the structure is simple.
[0008]
FIG. 4 shows the structure of the IC card 5 shown in FIG.
The IC card 5 of this embodiment transfers data between a processing device 51 such as a microprocessor, a storage device 52 such as an EEPROM or a flash memory, and a device such as the IC card reader / writer 4 shown in FIG. And so on.
The storage device 52 includes an application storage unit 521 that stores functions necessary for authentication performed by the server 1, an application data unit 522 that stores various data, and a control program 523 such as an OS.
In this embodiment, the application storage unit 521 stores an application 5211 for encrypting authentication information (in this case, ID / password) to be transmitted to the server, and the application data unit 522 stores information on a plurality of servers. User information DB5221 that records user information issued from each server to cope with, for example, the public key of the server, the user authentication data issued by the server, the user ID and password, and the like A public key 5223, a private key 5222, and an electronic certificate 5224 of a user with an electronic certificate issued by a three-party organization are stored.
Note that functions necessary for authentication performed by the server 1 include, for example, an application for repeatedly transmitting authentication information to the server a plurality of times in addition to the application for encrypting the authentication information.
[0009]
5 to 7 show the operation procedure of the authentication system according to the embodiment of the present invention.
FIG. 5 shows the registration work performed before receiving the service of the server 1. A user who wants to use the service provided by the server 1 makes a registration application to a certificate authority that is a trusted third party (step 701).
The certificate authority strictly examines the registered contents of the user, and if there is no error or ineligible part, the certificate authority issues an electronic certificate attached with a private key pair unique to the user as a proof (step 702).
The issued private key pair and electronic certificate are held in the IC card 5.
At the same time, the server 1 also registers its site information with the certificate authority (step 703), and the certificate authority examines the contents registered in the server 1, and if appropriate, an electronic certificate with a private key pair unique to the server 1 attached. Issue a certificate (step 704).
The issued private key pair and electronic certificate are held in the storage device 12.
Next, the user performs user registration with respect to the server 1 that provides a service requiring authentication (step 705). What is registered is the user's electronic certificate, the user's public key, and the like.
If the server 1 determines that the service can be provided by confirming the electronic certificate or public key, which is the registered content of the user, the server 1 issues an ID / password for user-specific authentication and It is sent to the user together with the public key (step 706).
The user holds all issued information in the IC card 5.
[0010]
FIG. 6 is a sequence diagram showing an authentication operation of the IC card 5, the IC card using terminal 3, and the server 1 in the present invention.
The user who has completed user registration uses the IC card using terminal 3 with the IC card 5 attached thereto, and issues a service start request to the server 1 (step 801).
Although it is transmitted accurately through the IC card using terminal 3, since the IC card using terminal 3 simply sends the transmitted data to both the IC card 5 and the server 1 as it is, no particular description will be given hereinafter.
The server 1 prepares for user authentication and returns an authentication start response to the IC card 5 (step 802). At this time, the server 1 specifies a function necessary for authentication performed by the server 1 (for example, an encryption processing program for the server 1) in this response, and asks whether the IC card 5 has the specified function. Include.
Although it is transmitted through the IC card using terminal 3 accurately, the IC card using terminal 3 simply sends the sent data to both the IC card 5 and the server 1 as it is. There is no particular description about the intermediary.
The IC card 5 determines whether there is a function necessary for authentication performed by the server 1 according to a response from the server 1 (step 803), and if not, obtains a necessary function from the server 1. Details will be described later.
If there is, the server 1 is notified that the preparation for starting authentication is completed (step 804).
Upon receiving the notification, the server 1 generates a random number necessary for authentication (step 805).
Subsequently, the generated random number is transmitted to the IC card 5 (step 806).
[0011]
The IC card 5 encrypts the user-specific authentication ID / password stored in the user information DB and the transmitted random number using the user's private key (step 807).
Further, encryption processing is performed using the public key of the server 1 (step 808).
The IC card 5 attaches the user ID to the encrypted information and transmits it to the server 1 (step 809).
The server 1 decrypts the encrypted information in step 808 using its own secret key.
Then, the necessary user public key is extracted from the user registration information DB 1221 from the attached user ID, and the encrypted information encrypted in step 807 is decrypted (step 810).
The server 1 extracts a random number from the decrypted information and verifies whether it matches the random number transmitted by itself.
Further, an ID / password is extracted from the same information, and the ID / password is compared with the ID / password extracted from the user registration information DB 1221 to authenticate the user (step 811).
Finally, the IC card using terminal is notified of the completion of user authentication (step 812).
As a result, the user can receive the service from the server 1 (step 813).
[0012]
FIG. 7 is a sequence diagram showing operations performed by the IC card 5 and the server 1 in order to obtain a function necessary for authentication.
In the present embodiment, in consideration of the case where there is no encryption processing application that is a function that must be stored in the IC card 5, necessary functions are downloaded from the server 1 as shown in FIG.
The IC card 5 issues a download request for functions necessary for the encryption process to the server 1 via the IC card using terminal 3 (step 901).
In response to this request, the server 1 notifies the IC card 5 of information related to the function such as time and size required for downloading the function (step 902).
The IC card 5 determines from the received information whether or not the function can be downloaded. If it is possible, the IC card 5 notifies the server 1 that the function can be accepted and makes a download start request (step 903).
The server 1 starts downloading functions (step 904).
When the function download is completed successfully, the IC card 5 transmits a notification of completion to the server 1 (step 905).
[0013]
【The invention's effect】
As described above, according to the present invention, since the IC card has functions and data such as a processing application used for authentication, it becomes possible to receive services of individual servers without depending on a specific IC card using terminal. .
Further, even when a function such as a processing application used for authentication is not in the IC card, the versatility of the IC card is improved by downloading from the server.
[Brief description of the drawings]
FIG. 1 is a diagram showing a basic configuration of a system targeted by the present invention.
FIG. 2 is a diagram illustrating a configuration of a server.
FIG. 3 is a diagram showing a configuration of an IC card using terminal.
FIG. 4 is a diagram showing a configuration of an IC card.
FIG. 5 is a diagram showing a pre-registration procedure in the embodiment of the present invention.
FIG. 6 is a sequence diagram showing an authentication connection procedure in the embodiment of the present invention.
FIG. 7 is a diagram showing a procedure for downloading functions necessary for authentication in the embodiment of the present invention.
[Explanation of symbols]
DESCRIPTION OF SYMBOLS 1 Server 2 Network 3 IC card utilization terminal 4 IC card reader / writer 5 IC card 11, 31, 51 Processing device 12, 32, 52 Storage device 13, 33 External interface unit 53 Interface unit 121, 521 Application program storage unit 122, 522 Application data storage unit 1211 Random number generation process 1212 Decryption process 1221 User information registration DB
1222 Server private key 1223 Server public key 1224 Electronic certificate 5211 Encryption processing 5221 User information DB
5222 User private key 5223 User public key 5224 Electronic certificate

Claims (3)

ユーザに関するユーザ認証データを記録したセキュリティデバイスと、ユーザにサービスを提供する複数のサーバと、該セキュリティデバイスとデータのやり取りを行い且つ該サーバとネットワークを介して接続されるセキュリティデバイス利用端末を備え、前記サーバは前記セキュリティデバイスと連携してユーザの認証をサーバ側で行い、前記複数のサーバごとに異なる認証方式を採用している場合にも対応可能な認証システムであって、
前記セキュリティデバイスは、前記サーバがユーザを認証するためにユーザ側に必要とする機能を搭載し、
前記サーバは、前記セキュリティデバイス利用端末からのサービス開始要求を受けたとき、認証開始の応答に、サーバが行う認証に必要な機能を前記セキュリティデバイスが有しているかの質問を含めることにより、該必要な機能の有無を前記セキュリティデバイスに問い合わせ、
前記認証開始の応答を受けたセキュリティデバイスは、前記必要な機能を有していないとき、前記セキュリティデバイス利用端末を介して該必要な機能を前記サーバからダウンロードすることを特徴とする認証システム。 E Bei a security device which records user authentication data about the user, and a plurality of servers that provide services to the user, the security device using a terminal connected via the and the server and the network exchanges of the security device and data The server performs authentication of the user on the server side in cooperation with the security device, and is an authentication system that can cope with a case where different authentication methods are adopted for each of the plurality of servers,
The security device is equipped with a function required on the user side for the server to authenticate the user ,
When the server receives a service start request from the security device using terminal, the server includes a question as to whether the security device has a function necessary for authentication performed by the server in a response to start authentication. Queries the security device for the required functionality,
The security device that receives the authentication start response downloads the necessary function from the server via the security device using terminal when the security device does not have the necessary function . 請求項1記載の認証システムにおいて、
前記機能は、前記ユーザ認証データを前記サーバが認証対象とするデータ形式に変換するために必要な機能であることを特徴とする認証システム。The authentication system according to claim 1,
The authentication system is a function necessary for converting the user authentication data into a data format to be authenticated by the server. 請求項1または請求項2記載の認証システムにおいて、
前記機能は、データの暗号化処理機能であることを特徴とする認証システム。The authentication system according to claim 1 or 2,
An authentication system, wherein the function is a data encryption processing function.
JP2002278389A 2002-09-25 2002-09-25 Authentication system Expired - Fee Related JP4372403B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002278389A JP4372403B2 (en) 2002-09-25 2002-09-25 Authentication system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002278389A JP4372403B2 (en) 2002-09-25 2002-09-25 Authentication system

Publications (2)

Publication Number Publication Date
JP2004118377A JP2004118377A (en) 2004-04-15
JP4372403B2 true JP4372403B2 (en) 2009-11-25

Family

ID=32273672

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002278389A Expired - Fee Related JP4372403B2 (en) 2002-09-25 2002-09-25 Authentication system

Country Status (1)

Country Link
JP (1) JP4372403B2 (en)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005346489A (en) * 2004-06-03 2005-12-15 Fuji Electric Holdings Co Ltd Biological information registration method, biological information registration device, authentication medium, program, and recording medium
CN101027676B (en) * 2004-08-24 2011-10-05 艾斯奥托公司 A personal token and a method for controlled authentication
JP4777706B2 (en) * 2005-07-06 2011-09-21 株式会社エヌ・ティ・ティ・ドコモ Identification information identification system and identification information identification method
JP5026185B2 (en) * 2007-08-01 2012-09-12 株式会社日立製作所 Digital broadcasting communication system, authentication server, IC card, and authentication method
JP5178128B2 (en) * 2007-10-04 2013-04-10 株式会社日立製作所 Communications system
KR20100102099A (en) * 2007-10-23 2010-09-20 비아클릭스, 인코퍼레이티드 Multimedia administration, advertising, content & services system

Also Published As

Publication number Publication date
JP2004118377A (en) 2004-04-15

Similar Documents

Publication Publication Date Title
CN107257334B (en) Identity authentication method for Hadoop cluster
AU2006298507B2 (en) Method and arrangement for secure autentication
US8689290B2 (en) System and method for securing a credential via user and server verification
US7409543B1 (en) Method and apparatus for using a third party authentication server
EP1254547B1 (en) Single sign-on process
US8724819B2 (en) Credential provisioning
TWI775372B (en) A method, device and equipment for authorizing access to blockchain data
CN111447214A (en) Method for centralized service of public key and password based on fingerprint identification
CN111159684B (en) Safety protection system and method based on browser
CN111401901B (en) Authentication method and device of biological payment device, computer device and storage medium
EP2414983B1 (en) Secure Data System
JPH10336172A (en) Managing method of public key for electronic authentication
US20210256102A1 (en) Remote biometric identification
JP4510392B2 (en) Service providing system for personal information authentication
US11985229B2 (en) Method, first device, first server, second server and system for accessing a private key
JP3872616B2 (en) User authentication method on the Internet using a shared key encryption IC card
JP4372403B2 (en) Authentication system
JP2003298574A (en) Electronic apparatus, authentication station, electronic apparatus authentication system, and electronic apparatus authentication method
JP2006126891A (en) Biological information registration method, information providing system using biological information, terminal and server
JP4279607B2 (en) USAGE AUTHENTICATION METHOD, USE LICENSE ISSUING DEVICE, USE AUTHENTICATION AUTHENTICATION SYSTEM, USE LICENSE ISSUING PROGRAM AND RECORDING MEDIUM
KR20060072993A (en) Method of process authentication using mobile terminal

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20040318

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050722

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20081023

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20081118

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090117

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090825

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090902

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120911

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120911

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130911

Year of fee payment: 4

LAPS Cancellation because of no payment of annual fees