JP4761348B2 - User authentication method and system - Google Patents

User authentication method and system Download PDF

Info

Publication number
JP4761348B2
JP4761348B2 JP2005134100A JP2005134100A JP4761348B2 JP 4761348 B2 JP4761348 B2 JP 4761348B2 JP 2005134100 A JP2005134100 A JP 2005134100A JP 2005134100 A JP2005134100 A JP 2005134100A JP 4761348 B2 JP4761348 B2 JP 4761348B2
Authority
JP
Japan
Prior art keywords
public key
user
certificate
management system
user terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2005134100A
Other languages
Japanese (ja)
Other versions
JP2006311425A (en
Inventor
泰之 渡邊
慎司 太田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Priority to JP2005134100A priority Critical patent/JP4761348B2/en
Publication of JP2006311425A publication Critical patent/JP2006311425A/en
Application granted granted Critical
Publication of JP4761348B2 publication Critical patent/JP4761348B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、ユーザ認証方法およびシステムに係り、特に、公開鍵認証方式に好適なユーザ認証方法およびシステムに関する。   The present invention relates to a user authentication method and system, and more particularly to a user authentication method and system suitable for a public key authentication method.

サービスを提供するサーバがサービスの提供を受けるユーザを認証する手法として、ログイン名とパスワードとの一致を条件に認証するパスワード認証方式や、サーバとユーザ端末とが同一の暗号鍵を共有して認証を行う共通鍵認証方式が知られている。さらには、これらの方式よりも安全性の高い認証方式として、特許文献1には、サーバとユーザ端末とが個別の暗号鍵(公開鍵および秘密鍵)を用いて認証を行う公開鍵認証方式が開示されている。   As a method of authenticating the user who receives the service, the server that provides the service authenticates the password authentication method that authenticates the condition that the login name and password match, and the server and the user terminal share the same encryption key for authentication. A common key authentication method for performing is known. Furthermore, as an authentication method that is more secure than these methods, Patent Document 1 discloses a public key authentication method in which a server and a user terminal authenticate using individual encryption keys (public key and private key). It is disclosed.

このような認証手法において、多数のユーザの認証を効率よく安全に行うためには、認証に必要な情報を管理するシステム、すなわち認証基盤が必要となり、公開鍵認証方式では公開鍵認証基盤(PKI:Public Key Infrastructure)が用いられる。
特開2003−309546号公報 In such an authentication method, in order to efficiently and safely authenticate a large number of users, a system for managing information necessary for authentication, i.e., an authentication infrastructure, is required. In the public key authentication method, a public key authentication infrastructure (PKI : Public Key Infrastructure).
JP 2003-309546 A

ユーザが多種多様なサービスの提供を希望する場合、ユーザは多数のサービス提供サーバと個別に契約をする必要がある。この際、上記した公開鍵認証方法では、サービス提供サーバごとに予め認証局へ公開鍵登録を要求し、公開鍵および秘密鍵の暗号鍵ペアならびに公開鍵証明書を取得しておかなければならない。しかしながら、公開鍵登録の要求や、その後の公開鍵および秘密鍵の暗号鍵ペアならびに公開鍵証明書の取得には多大な労力を要するので、ユーザは大きな負担を強いられることになる。   When a user desires to provide a wide variety of services, the user needs to individually contract with a number of service providing servers. At this time, in the public key authentication method described above, public key registration must be requested from the certificate authority in advance for each service providing server, and an encryption key pair of a public key and a private key and a public key certificate must be acquired. However, a great burden is imposed on the user because a great deal of effort is required to obtain a public key registration request and obtain a public key / private key encryption key pair and a public key certificate.

本発明の目的は、上記した従来技術の課題を解決し、ユーザ端末と多数のサービス提供先との間で公開鍵認証方式による認証が簡単に行えるユーザ認証方法およびシステムを提供することにある。   An object of the present invention is to solve the above-described problems of the prior art and provide a user authentication method and system capable of easily performing authentication by a public key authentication method between a user terminal and a number of service providers.

上記した目的を達成するために、本発明は、ユーザ端末、前記ユーザ端末の要求に応答して公開鍵証明書を発行するユーザ管理システムおよび各ユーザ端末の要求に応答してサービスを提供する複数のサービス提供サーバを含むネットワーク上で、各サービス提供サーバがユーザ端末を認証するユーザ認証方法において、ユーザ端末からユーザ管理システムへ登録要求を送信する手順と、ユーザ管理システムが前記登録要求に応答して第1ユーザ識別子ならびに第1公開鍵および第1秘密鍵の暗号鍵ペアを生成する手順と、前記ユーザ管理システムが、前記第1公開鍵に関する公開鍵証明書を生成する手順と、前記ユーザ管理システムがユーザ端末へ、前記第1ユーザ識別子、第1公開鍵、第1秘密鍵および公開鍵証明書を送信する手順と、前記ユーザ端末が、第2ユーザ識別子ならびに第2公開鍵および第2秘密鍵の暗号鍵ペアを生成する手順と、前記ユーザ端末が、前記第2公開鍵に関して代理証明書を発行する手順とを含み、前記ユーザ端末が前記サービス提供サーバへ、前記代理証明書を含むサービス要求を送信する手順と、前記サービス提供サーバが、受信した代理証明書を含む検証要求をユーザ管理システムへ送信する手順と、前記ユーザ管理システムが、受信した代理証明書に対応した公開鍵証明書を抽出する手順と、前記ユーザ管理システムが、前記公開鍵証明書および代理証明書を検証する手順と、前記ユーザ管理システムが、前記検証結果を前記サービス提供サーバへ送信する手順とをさらに含むことを特徴とする。 To achieve the above object, the present invention provides a user terminal, a user management system that issues a public key certificate in response to a request from the user terminal, and a plurality of services that provide a service in response to a request from each user terminal. In a user authentication method in which each service providing server authenticates a user terminal on a network including the service providing server, a procedure for transmitting a registration request from the user terminal to the user management system, and the user management system responding to the registration request Generating a first user identifier and an encryption key pair of a first public key and a first secret key, a procedure for generating a public key certificate related to the first public key by the user management system, and the user management A procedure in which the system transmits the first user identifier, the first public key, the first private key, and the public key certificate to the user terminal; Serial user terminal comprises a step of generating a second user identifier and the second public key and the second private key encryption key pair, wherein the user terminal, and a procedure of issuing a proxy certificate with respect to the second public key A procedure in which the user terminal transmits a service request including the proxy certificate to the service providing server; and a procedure in which the service providing server transmits a verification request including the received proxy certificate to a user management system; A procedure in which the user management system extracts a public key certificate corresponding to the received proxy certificate; a procedure in which the user management system verifies the public key certificate and the proxy certificate; and And a step of transmitting the verification result to the service providing server.

本発明によれば、ユーザ端末がユーザ識別子、公開鍵および秘密鍵の暗号鍵ペアを自身で生成することができ、かつこの公開鍵に関して公開鍵証明書で証明された代理証明書を独自かつ簡単に発行できるようになる。したがって、この代理証明書を利用して公開鍵認証を行うようにすれば、ユーザ端末と多数のサービス提供先との間で公開鍵認証方式による認証を簡単に行えるようになる。   According to the present invention, a user terminal can generate an encryption key pair of a user identifier, a public key and a private key by itself, and a proxy certificate certified with the public key certificate for this public key can be uniquely and simply Can be issued. Therefore, if public key authentication is performed using this proxy certificate, authentication by the public key authentication method can be easily performed between the user terminal and a number of service providing destinations.

以下、図面を参照して本発明の最良の実施の形態について詳細に説明する。図1は、本発明に係るユーザ認証方法が適用されるユーザ認証システムの構成を示したブロック図であり、複数のサービス提供サーバ1(1a,1b…)と、各サービス提供サーバ1を利用するユーザ端末2(2a,2b…)と、認証局としての機能を備えるユーザ管理システム3とが、インターネット等の広域ネットワークを介して相互に接続されている。前記ユーザ管理システム3には、各ユーザの属性情報を一元管理するディレクトリ4が併設されている。   DESCRIPTION OF THE PREFERRED EMBODIMENTS Hereinafter, the best embodiment of the present invention will be described in detail with reference to the drawings. FIG. 1 is a block diagram showing a configuration of a user authentication system to which a user authentication method according to the present invention is applied. A plurality of service providing servers 1 (1a, 1b...) And each service providing server 1 are used. A user terminal 2 (2a, 2b...) And a user management system 3 having a function as a certificate authority are connected to each other via a wide area network such as the Internet. The user management system 3 is provided with a directory 4 for centrally managing attribute information of each user.

図2は、ユーザがユーザ端末2からユーザ管理システム3へユーザ登録を要求して暗号鍵ペアおよび公開鍵証明書を取得する手順を示したフローチャートであり、図3は、そのシーケンスフローである。ここでは、ユーザAが自身のユーザ端末2aからユーザ登録を要求する場合を例にして説明する。   FIG. 2 is a flowchart showing a procedure for a user requesting user registration from the user terminal 2 to the user management system 3 to acquire an encryption key pair and a public key certificate, and FIG. 3 is a sequence flow thereof. Here, a case where user A requests user registration from his / her user terminal 2a will be described as an example.

ユーザAは、ユーザ登録の要求に際して、自身の氏名、生年月日、性別、現住所およびその電話番号、ならびに勤務先およびその電話番号等の個人情報を属性情報としてユーザ端末2aに登録し、これをユーザ登録要求メッセージと共にユーザ管理システム3へ送信する。ユーザ管理システム3では、ユーザ端末2aから送信されたユーザ登録要求がステップS101で受信されると、ステップS102では、当該ユーザ登録要求に含まれる属性情報が抽出されて一時記憶される。ステップS103では、当該ユーザAに対して一意のユーザ識別子IDaが割り当てられる。ステップS104では、当該ユーザAに固有の暗号鍵ペアとして、秘密鍵SKaおよび公開鍵PKaが生成される。ステップS105では、前記公開鍵PKaに対して公開鍵証明書PKCaが発行される。   When the user A requests user registration, the user A registers his / her name, date of birth, gender, current address and its telephone number, and personal information such as office and telephone number as attribute information in the user terminal 2a. It transmits to the user management system 3 with a user registration request message. In the user management system 3, when the user registration request transmitted from the user terminal 2a is received in step S101, the attribute information included in the user registration request is extracted and temporarily stored in step S102. In step S103, a unique user identifier IDa is assigned to the user A. In step S104, a secret key SKa and a public key PKa are generated as an encryption key pair unique to the user A. In step S105, a public key certificate PKCa is issued for the public key PKa.

公開鍵証明書(Public key Certificate:PKC)とは、公開鍵の所有者名(主体者)に関する情報、公開鍵データ、証明書の有効期間、証明書を発行した認証局情報などのデータを組み合わせたものに対して、認証局が電子署名を行って発行する証明書である。   A public key certificate (PKC) is a combination of information about the owner name (subject) of the public key, public key data, the validity period of the certificate, and information on the certificate authority that issued the certificate. This is a certificate issued by the certificate authority with an electronic signature.

図4は、本実施形態においてユーザAに発行される公開鍵証明書PKCaのフォーマットを示した図であり、シリアル番号(SNa)、所有者名(SUBJECTa)、発行者名(ISSUERa)、有効期限…およびユーザAに割り当てられた公開鍵PKaを含む各種の情報と、これらの情報に対してユーザ管理システム3が行った電子署名とが登録されている。本実施形態では、前記所有者名(SUBJECTa)として、前記ユーザ識別子IDaがCN(Common Name)として用いられ、これに発行者名(ISSUERa)が付与されたもの[CN(=IDa)+ISSUERa]が用いられる。   FIG. 4 is a diagram showing the format of the public key certificate PKCa issued to the user A in the present embodiment. The serial number (SNa), owner name (SUBJECTa), issuer name (ISSUERa), expiration date ... and various kinds of information including the public key PKa assigned to the user A, and an electronic signature performed by the user management system 3 for these pieces of information are registered. In the present embodiment, as the owner name (SUBJECTa), the user identifier IDa is used as a CN (Common Name), and an issuer name (ISSUERa) is added to this [CN (= IDa) + ISSUERa]. Used.

図2へ戻り、ステップS106では、前記ユーザ識別子IDa、暗号鍵ペア(SKa,PKa)および公開鍵証明書PKCaがユーザ端末2aへ返信される。ステップS107では、前記ユーザ識別子IDa、暗号鍵ペア(SKa,PKa)、公開鍵証明書PKCaおよび前記ユーザAから提供された属性情報が、相互に対応付けられてディレクトリ4に記憶される。ステップS108において、前記ディレクトリ4から完了確認が受信されると、一連の公開鍵登録処理が終了する。   Returning to FIG. 2, in step S106, the user identifier IDa, the encryption key pair (SKa, PKa), and the public key certificate PKCa are returned to the user terminal 2a. In step S107, the user identifier IDa, the encryption key pair (SKa, PKa), the public key certificate PKCa, and the attribute information provided from the user A are stored in the directory 4 in association with each other. In step S108, when a completion confirmation is received from the directory 4, a series of public key registration processing ends.

次いで、ユーザAがサービス提供サーバ1へアクセスし、認証手順を経てサービスの提供を受けるまでの手順について、図5、6のフローチャートおよび図7のシーケンスフローを参照して説明する。   Next, a procedure until the user A accesses the service providing server 1 and receives service provision through the authentication procedure will be described with reference to the flowcharts of FIGS. 5 and 6 and the sequence flow of FIG.

ユーザAでは、いずれかのサービス提供サーバ1へアクセスする際に、図5のステップS201において任意のユーザ識別子IDanが生成され、さらに任意の秘密鍵SKanおよび公開鍵PKanの暗号鍵ペアが生成される。ステップS202では、前記公開鍵PKanに対して、前記公開鍵証明書PKCa代理証明書PCanが、IETF RFC(Request for Comments)3820に基づいて発行される。ただし、発行者名の項目については下記に示す独自手順とする。 When the user A accesses any one of the service providing servers 1, an arbitrary user identifier IDan is generated in step S201 in FIG. 5, and an encryption key pair of an arbitrary secret key SKan and public key PKan is further generated. . In step S202, a proxy certificate PCan of the public key certificate PKCa is issued to the public key PKan based on IETF RFC (Request for Comments) 3820 . However, the issuer name item shall be the original procedure shown below.

図8は、前記代理証明書PCanの内容を示した図であり、シリアル番号(SNan)、所有者名(SUBJECTan)、発行者名(ISSUERan)、認証局情報…および前記公開鍵PKanを含む各種の情報と、これらの情報に対してユーザAが行った電子署名とが登録されている。   FIG. 8 is a diagram showing the contents of the proxy certificate PCan, which includes a serial number (SNan), an owner name (SUBJECTan), an issuer name (ISSUERan), certificate authority information, and various types including the public key PKan. And the electronic signature made by the user A for these pieces of information are registered.

この代理証明書PCanでは、前記公開鍵証明書PKCaの所有者(SUBJECTa=[CN+ISSUERa]))))と当該代理証明書PCanのシリアル番号(SNan)とを連結し、これを予めユーザ管理システム3から提供されている公開鍵PKcで暗号化したものをCN(Common Name)[=EPKc(SUBJECTa+SNan)]として用い、このCNに前記公開鍵証明書PKCaの発行者名(ISSUERa)を付与したもの[EPKc(SUBJECTa+SNan)+ISSUERa]が発行者名(ISSUERan)となっている。   In this proxy certificate PCan, the owner of the public key certificate PKCa (SUBJECTa = [CN + ISSUERa]))) and the serial number (SNan) of the proxy certificate PCan are concatenated, and this is connected in advance to the user management system 3 What is encrypted with the public key PKc provided by, as CN (Common Name) [= EPKc (SUBJECTa + SNan)], and is given the issuer name (ISSUERa) of the public key certificate PKCa to this CN [ EPKc (SUBJECTa + SNan) + ISSUERa] is the issuer name (ISSUERan).

このように、本実施形態では発行者名にシリアル番号(SNan)を含ませることで、同一ユーザにより発行される代理証明書であっても発行者名に関連性が無くなるので、ユーザの匿名性を保護できるようになる。   In this way, in this embodiment, by including the serial number (SNan) in the issuer name, even if it is a proxy certificate issued by the same user, the issuer name is no longer relevant, so the user's anonymity Can be protected.

ステップS203では、前記代理証明書PCanを含むサービス要求がサービス提供サーバ1へ向けて送信される。サービス提供サーバ1は、ユーザ端末2aから前記代理証明書PCanを含むサービス要求を受信すると、当該代理証明書PCanを含む検証要求メッセージを前記ユーザ管理システム3へ送信して検証を要求する。   In step S203, a service request including the proxy certificate PCan is transmitted to the service providing server 1. Upon receiving a service request including the proxy certificate PCan from the user terminal 2a, the service providing server 1 transmits a verification request message including the proxy certificate PCan to the user management system 3 to request verification.

図6は、サービス提供サーバ1から転送された代理証明書PCanを受信したユーザ管理システム3による検証手順を示したフローチャートである。   FIG. 6 is a flowchart showing a verification procedure by the user management system 3 that has received the proxy certificate PCan transferred from the service providing server 1.

ステップS301では、受信した代理証明書PCanの発行者に関する管理ドメインがユーザ管理システム3の管理下にあるか否か(すなわち、代理証明書の発行者のCN以外の部分がユーザ管理システム3を表すか否か)が判定される。管理下にあればステップS302へ進み、前記代理証明書PCanに登録されている発行者のCN(公開鍵PKcで暗号化されている)が、ユーザ管理システム3の秘密鍵SKcにより復号化され、前記公開鍵証明書PKCaの所有者名(SUBJECTa)と代理証明書PCanのシリアル番号(SNan)とが再生される。ステップS303では、前記再生されたシリアル番号(SNan)と代理証明書PCanに登録されているシリアル番号とが比較され、両者が一致すればステップS304へ進む。   In step S301, whether or not the management domain related to the issuer of the received proxy certificate PCan is under the control of the user management system 3 (that is, the portion other than the CN of the issuer of the proxy certificate represents the user management system 3). Whether or not) is determined. If it is under management, the process proceeds to step S302, where the issuer CN (encrypted with the public key PKc) registered in the proxy certificate PCan is decrypted with the secret key SKc of the user management system 3, The owner name (SUBJECTa) of the public key certificate PKCa and the serial number (SNan) of the proxy certificate PCan are reproduced. In step S303, the reproduced serial number (SNan) is compared with the serial number registered in the proxy certificate PCan, and if they match, the process proceeds to step S304.

ステップS304では、前記再生された所有者名(SUBJECTa)からユーザ識別子IDaが抽出される。ステップS305では、このユーザ識別子IDaをパラメータとしてディレクトリ4が検索され、当該ユーザ識別子IDaと対応付けられている公開鍵証明書PKCaが取得される。ステップS306では、この公開鍵証明書PKCaに付与されている署名の検証、検証時点が有効期限内であるかの検証、検証対象証明書が失効されていないかの検証、公開鍵証明書を発行した機関の証明書が失効されていないか等の検証が行われ、これら全てに問題が無いことが確認されれば、ステップS307において、その公開鍵証明書PKCaが有効(検証OK)と判定される。   In step S304, the user identifier IDa is extracted from the reproduced owner name (SUBJECTa). In step S305, the directory 4 is searched using the user identifier IDa as a parameter, and the public key certificate PKCa associated with the user identifier IDa is obtained. In step S306, verification of the signature attached to the public key certificate PKCa, verification of whether the verification time point is within the validity period, verification of whether the verification target certificate has been revoked, and issue of the public key certificate If it is verified that the certificate of the institution that has been revoked has not been revoked, and it is confirmed that there is no problem with all of these, in step S307, the public key certificate PKCa is determined to be valid (verification is OK). The

これに対して、前記ステップS306において、署名の検証や検証時点が有効期限内であるかの検証等のいずれかが無効となれば、ステップS308において、前記公開鍵証明書PKCaが無効(検証NG)と判定される。なお、前記ステップS301において、発行者の管理ドメインが管理下にないと判定された場合や、あるいはステップS303において、シリアル番号が不一致と判定された場合も同様に、前記ステップS308へ進んで公開鍵証明書PKCaが無効と判定される。ステップS309では、前記検証結果がサービス提供サーバへ返信される。   On the other hand, if any of the verification of the signature and the verification of whether the verification time point is within the validity period becomes invalid in step S306, the public key certificate PKCa is invalid (verification NG) in step S308. ). If it is determined in step S301 that the issuer's management domain is not under management, or if it is determined in step S303 that the serial numbers do not match, the process proceeds to step S308 and the public key is entered. The certificate PKCa is determined to be invalid. In step S309, the verification result is returned to the service providing server.

以上のようにして、代理証明書PCanの有効性が確認されると、サービス提供サーバはユーザAに対して認証を行い、その後、要求されたサービスが提供されるようになる。   As described above, when the validity of the proxy certificate PCan is confirmed, the service providing server authenticates the user A, and then the requested service is provided.

このように、本発明によればユーザ端末がユーザ識別子、公開鍵および秘密鍵の暗号鍵ペアを自身で生成することができ、かつこの公開鍵に関して公開鍵証明書で証明された代理証明書を独自かつ簡単に発行できるようになる。また、同一ユーザ端末が発行する複数の代理証明書間の関連はユーザ管理システム3のみが検知可能であるため、ユーザの匿名性が保たれる。したがって、この代理証明書を利用して公開鍵認証を行うようにすれば、ユーザ端末と多数のサービス提供先との間で公開鍵認証方式による認証を簡単に行えるようになる。   As described above, according to the present invention, the user terminal can generate the encryption key pair of the user identifier, the public key and the private key by itself, and the proxy certificate proved by the public key certificate with respect to this public key. Can be issued independently and easily. Further, since only the user management system 3 can detect the association between a plurality of proxy certificates issued by the same user terminal, the anonymity of the user is maintained. Therefore, if public key authentication is performed using this proxy certificate, authentication by the public key authentication method can be easily performed between the user terminal and a number of service providing destinations.

本発明に係るユーザ認証方法が適用されるユーザ認証システムの構成を示したブロック図である。1 is a block diagram showing a configuration of a user authentication system to which a user authentication method according to the present invention is applied. ユーザがユーザ管理システムへユーザ登録を要求して暗号鍵ペアおよび公開鍵証明書を取得する手順を示したフローチャートである。It is the flowchart which showed the procedure in which a user requests | requires user registration to a user management system, and acquires an encryption key pair and a public key certificate. ユーザがユーザ管理システムへユーザ登録を要求して暗号鍵ペアおよび公開鍵証明書を取得する手順を示したシーケンスフローである。It is the sequence flow which showed the procedure in which a user requests | requires user registration to a user management system and acquires an encryption key pair and a public key certificate. 公開鍵証明書のフォーマットの一例を示した図である。It is the figure which showed an example of the format of a public key certificate. ユーザがサービス提供サーバへアクセスし、認証手順を経てサービスの提供を受けるまでの手順を示したフローチャートである。It is the flowchart which showed the procedure until a user accesses a service provision server and receives provision of a service through an authentication procedure. ユーザがサービス提供サーバへアクセスし、認証手順を経てサービスの提供を受けるまでの手順を示したフローチャートである。It is the flowchart which showed the procedure until a user accesses a service provision server and receives provision of a service through an authentication procedure. ユーザがサービス提供サーバへアクセスし、認証手順を経てサービスの提供を受けるまでの手順を示したシーメンスフローである。It is a Siemens flow showing a procedure from a user accessing a service providing server until receiving a service through an authentication procedure. 代理証明書のフォーマットの一例を示した図である。It is the figure which showed an example of the format of a proxy certificate.

符号の説明Explanation of symbols

1…サービス提供サーバ,2…ユーザ端末,3…ユーザ管理システム,4…ディレクトリ DESCRIPTION OF SYMBOLS 1 ... Service provision server, 2 ... User terminal, 3 ... User management system, 4 ... Directory

Claims (5)

ユーザ端末、前記ユーザ端末の要求に応答して公開鍵証明書を発行するユーザ管理システムおよび各ユーザ端末の要求に応答してサービスを提供する複数のサービス提供サーバを含むネットワーク上で、各サービス提供サーバがユーザ端末を認証するユーザ認証方法において、
ユーザ端末からユーザ管理システムへ登録要求を送信する手順と、
ユーザ管理システムが前記登録要求に応答して、第1ユーザ識別子ならびに第1公開鍵および第1秘密鍵の暗号鍵ペアを生成する手順と、
前記ユーザ管理システムが、前記第1公開鍵に関する公開鍵証明書を生成する手順と、
前記ユーザ管理システムがユーザ端末へ、前記第1ユーザ識別子、第1公開鍵、第1秘密鍵および公開鍵証明書を送信する手順と、
前記ユーザ端末が、第2ユーザ識別子ならびに第2公開鍵および第2秘密鍵の暗号鍵ペアを生成する手順と、
前記ユーザ端末が、前記第2公開鍵に関して代理証明書を発行する手順とを含み、
前記ユーザ端末が前記サービス提供サーバへ、前記代理証明書を含むサービス要求を送信する手順と、
前記サービス提供サーバが、受信した代理証明書を含む検証要求をユーザ管理システムへ送信する手順と、
前記ユーザ管理システムが、受信した代理証明書に対応した公開鍵証明書を抽出する手順と、
前記ユーザ管理システムが、前記抽出した公開鍵証明書および受信した代理証明書を検証する手順と、
前記ユーザ管理システムが、前記検証結果を前記サービス提供サーバへ送信する手順とをさらに含むことを特徴とするユーザ認証方法。 Providing each service on a network including a user terminal, a user management system for issuing a public key certificate in response to a request from the user terminal, and a plurality of service providing servers for providing a service in response to a request from each user terminal In a user authentication method in which a server authenticates a user terminal,
A procedure for sending a registration request from a user terminal to a user management system;
A procedure in which a user management system generates an encryption key pair of a first user identifier and a first public key and a first secret key in response to the registration request;
The user management system generating a public key certificate for the first public key;
A procedure in which the user management system transmits the first user identifier, a first public key, a first secret key, and a public key certificate to a user terminal;
The user terminal generating a second user identifier and an encryption key pair of a second public key and a second secret key;
The user terminal issuing a proxy certificate for the second public key ,
A procedure in which the user terminal transmits a service request including the proxy certificate to the service providing server;
The service providing server sends a verification request including the received proxy certificate to the user management system;
The user management system extracting a public key certificate corresponding to the received proxy certificate;
The user management system verifying the extracted public key certificate and the received proxy certificate;
The user management system further includes a procedure for transmitting the verification result to the service providing server. 前記ユーザ管理システムの公開鍵証明書が予めユーザ端末へ提供されており、
前記ユーザ端末は、前記代理証明書の一部の情報を、前記サービス提供サーバの公開鍵で暗号化する手順を含み、
前記ユーザ管理システムは、受信した代理証明書の前記一部の情報を自身の秘密鍵で復号化する手順を含み、
前記ユーザ管理システムは、前記復号化された一部の情報に基づいて当該代理証明書を検証することを特徴とする請求項1に記載のユーザ認証方法。 The public key certificate of the user management system is provided in advance to the user terminal,
The user terminal includes a procedure of encrypting a part of the information of the proxy certificate with the public key of the service providing server,
The user management system includes a procedure for decrypting the partial information of the received proxy certificate with its own private key,
The user authentication method according to claim 1, wherein the user management system verifies the proxy certificate based on the decrypted partial information. 前記代理証明書の一部の情報には、当該代理証明書の他の一部の情報および前記ユーザ端末の公開鍵証明書に含まれる情報の一部とが含まれることを特徴とする請求項2に記載のユーザ認証方法。   The partial information of the proxy certificate includes another partial information of the proxy certificate and a part of information included in the public key certificate of the user terminal. The user authentication method according to 2. 前記ユーザ管理システムは、前記代理証明書の一部の情報を秘密鍵で復号して得られた情報のうち、公開鍵証明書に含まれる情報の一部に基づいて当該ユーザ管理システムの公開鍵証明書を特定することを特徴とする請求項3に記載のユーザ認証方法。 The user management system uses the public key of the user management system based on a part of the information included in the public key certificate among the information obtained by decrypting a part of the information of the proxy certificate with a secret key. The user authentication method according to claim 3, wherein a certificate is specified. ユーザ端末、前記ユーザ端末の要求に応答して公開鍵証明書を発行するユーザ管理システムおよび各ユーザ端末の要求に応答してサービスを提供する複数のサービス提供サーバを含むネットワーク上で、各サービス提供サーバがユーザ端末を認証するユーザ認証システムにおいて、
ユーザ管理システムが、
ユーザ端末から受信した公開鍵登録要求に応答して第1ユーザ識別子ならびに第1公開鍵および第1秘密鍵の暗号鍵ペアを生成する手段と、
前記第1公開鍵に関する公開鍵証明書を生成する手段と、
ユーザ端末へ、前記第1ユーザ識別子、第1公開鍵、第1秘密鍵および公開鍵証明書を送信する手段とを含み、
ユーザ端末が、
前記ユーザ管理システムへ公開鍵登録要求を送信する手段と、
前記ユーザ管理システムから前記第1ユーザ識別子、第1公開鍵、第1秘密鍵および公開鍵証明書を受信する手段と、
第2ユーザ識別子ならびに第2公開鍵および第2秘密鍵の暗号鍵ペアを生成する手段と、
前記第2公開鍵に関して代理証明書を発行する手段と、
前記サービス提供サーバへ、前記代理証明書を含むサービス要求を送信する手段とを含み、
サービス提供サーバが、受信した代理証明書を含む検証要求をユーザ管理システムへ送信する手段を含み、
前記ユーザ管理システムがさらに、
受信した代理証明書に対応した公開鍵証明書を抽出する手段と、
前記抽出した公開鍵証明書および受信した代理証明書を検証する手段と、
前記検証結果を前記サービス提供サーバへ送信する手段とをさらに含むことを特徴とするユーザ認証システム。 Providing each service on a network including a user terminal, a user management system for issuing a public key certificate in response to a request from the user terminal, and a plurality of service providing servers for providing a service in response to a request from each user terminal In a user authentication system in which a server authenticates a user terminal,
User management system
Means for generating an encryption key pair of the first user identifier and the first public key and the first secret key in response to the public key registration request received from the user terminal;
Means for generating a public key certificate for the first public key;
Means for transmitting the first user identifier, the first public key, the first private key and the public key certificate to a user terminal,
User terminal
Means for transmitting a public key registration request to the user management system;
Means for receiving the first user identifier, first public key, first private key and public key certificate from the user management system;
Means for generating a second user identifier and an encryption key pair of a second public key and a second secret key;
Means for issuing a proxy certificate for the second public key ;
Means for transmitting a service request including the proxy certificate to the service providing server,
The service providing server includes means for transmitting a verification request including the received proxy certificate to the user management system;
The user management system further comprises:
Means for extracting a public key certificate corresponding to the received proxy certificate;
Means for verifying the extracted public key certificate and the received proxy certificate;
And a means for transmitting the verification result to the service providing server.
JP2005134100A 2005-05-02 2005-05-02 User authentication method and system Expired - Fee Related JP4761348B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005134100A JP4761348B2 (en) 2005-05-02 2005-05-02 User authentication method and system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005134100A JP4761348B2 (en) 2005-05-02 2005-05-02 User authentication method and system

Publications (2)

Publication Number Publication Date
JP2006311425A JP2006311425A (en) 2006-11-09
JP4761348B2 true JP4761348B2 (en) 2011-08-31

Family

ID=37477734

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005134100A Expired - Fee Related JP4761348B2 (en) 2005-05-02 2005-05-02 User authentication method and system

Country Status (1)

Country Link
JP (1) JP4761348B2 (en)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5491015B2 (en) * 2008-09-25 2014-05-14 Kddi株式会社 Mediation apparatus and program for setting wireless communication channel
JP5425496B2 (en) * 2009-03-19 2014-02-26 日立公共システムエンジニアリング株式会社 Communication system, certificate verification apparatus, and service providing method
CN106487743B (en) * 2015-08-25 2020-02-21 阿里巴巴集团控股有限公司 Method and apparatus for supporting multi-user cluster identity verification
JP6936169B2 (en) 2018-02-27 2021-09-15 ヤフー株式会社 Authenticator management device, authenticator management method, authenticator management program and authenticator management system
JP6894469B2 (en) * 2019-06-11 2021-06-30 株式会社ユビキタスAiコーポレーション Information processing device and its control program

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2312791B1 (en) * 1999-01-29 2017-11-01 Google Technology Holdings LLC Key management for telephone calls to protect signaling and call packets between cta's
JP4207465B2 (en) * 2002-06-07 2009-01-14 ソニー株式会社 Data processing authority management system, information processing apparatus and method, and computer program
JP3928589B2 (en) * 2003-06-12 2007-06-13 コニカミノルタビジネステクノロジーズ株式会社 Communication system and method
JP2005333596A (en) * 2004-05-21 2005-12-02 Toshiba Corp Electronic application system, and electronic application apparatus
JP4730814B2 (en) * 2005-05-10 2011-07-20 Kddi株式会社 User information management method and system

Also Published As

Publication number Publication date
JP2006311425A (en) 2006-11-09

Similar Documents

Publication Publication Date Title
KR100990320B1 (en) Method and system for providing client privacy when requesting content from a public server
TWI321939B (en) Method and system for a single-sign-on operation providing grid access and network access
JP4372446B2 (en) Secure ad hoc access to documents and services
US10567370B2 (en) Certificate authority
KR100721522B1 (en) Method for providing location based service using location token
US20030177351A1 (en) System and method for single session sign-on with cryptography
JP2005525622A (en) Method and system for providing third party authorization authorization
TW200833060A (en) Authentication delegation based on re-verification of cryptographic evidence
EP2957064B1 (en) Method of privacy-preserving proof of reliability between three communicating parties
JP5992535B2 (en) Apparatus and method for performing wireless ID provisioning
JP5264548B2 (en) Authentication system and authentication method
JP4870427B2 (en) Digital certificate exchange method, terminal device, and program
JP4761348B2 (en) User authentication method and system
JP2009212689A (en) Automatic common key distribution system, client, third-person certification body side server, and automatic common key sharing method
JP2008129673A (en) User authentication system and method, gateway for use therein, program, and recording medium
US11146536B2 (en) Method and a system for managing user identities for use during communication between two web browsers
JP4730814B2 (en) User information management method and system
JP3914193B2 (en) Method for performing encrypted communication with authentication, authentication system and method
JP2007074745A (en) Method for performing encrypted communication by obtaining authentication, authentication system and method
KR100447623B1 (en) Authentication and payment based on ticket in wireless Internet
JP2007043750A (en) Method for performing encryption communication after autentication, system and method for authentication
WO2020017643A1 (en) Electronic signature system, certificate issuance system, key management system, certificate issuance method, and program
JP2006154125A (en) Local authentication system, local authentication device and local authentication method
JP2005318399A (en) Data communication control system, communication management server, and communication control server
KR20130125201A (en) Apparatus and method for authenticating based on public key

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080428

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110323

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110511

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110601

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110602

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140617

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4761348

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees