JP5276940B2 - センタ装置,端末装置,および,認証システム - Google Patents
センタ装置,端末装置,および,認証システム Download PDFInfo
- Publication number
- JP5276940B2 JP5276940B2 JP2008240196A JP2008240196A JP5276940B2 JP 5276940 B2 JP5276940 B2 JP 5276940B2 JP 2008240196 A JP2008240196 A JP 2008240196A JP 2008240196 A JP2008240196 A JP 2008240196A JP 5276940 B2 JP5276940 B2 JP 5276940B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- terminal
- user
- information
- terminal device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Telephonic Communication Services (AREA)
- Navigation (AREA)
Description
本発明は,ユーザ認証を行い正当なユーザにサービスを提供するシステムに関する。
ユーザと,個人用端末と,サーバの3者モデルによる認証方法が知られている(例えば,特許文献1)。認証手段を複数持ち,段階的あるいは組み合わせにより認証を行う方法が知られている(例えば,特許文献2)。さらに,端末の性能によって端末認証を切り替える方法が知られている(例えば,特許文献3)。
近年の自動車の利用形態として,リースやレンタルによる賃貸利用,あるいはカーシェアリングによる共同利用などが増加している。自動車向けテレマティクスサービスを受ける場合,自動車が個人の所有物であれば,個人の所有物である車載機器(カーナビゲーション端末)を認証すれば十分であった。しかし,前述の利用形態の変化により,今後は車載機器の認証では不十分になることが予想できる。つまり,その時点で自動車を運転している個人を認証することが重要になると予想できる。
個人を認証する場合,自家用車であれば,カーナビ端末に個人情報を登録して認証に利用することが可能であるが,レンタカーやカーシェアリングなどでは,共有する自動車のカーナビ端末に個人情報を登録することはできず,他の方法を利用することが必要になる。つまり,自動車の使われ方によってユーザ認証の方法を切り替えることが必要であると考えられる。
特許文献1では,ユーザと個人用端末とサーバの三者による認証方法が示されているが,個人用の端末の利用状況に応じて,ユーザ認証の方法を切り替えることはできない。また,特許文献2では,複数のユーザ認証の組み合わせによって段階的にユーザを認証する方法が示されているが,端末の利用状況に応じて,ユーザ認証の方法を切り替えることはできない。さらに,特許文献3では,端末の性能によって端末認証を切り替える方法が示されているが,その端末を経由したユーザ認証を切り替えることはできない。
本発明は,上記事情に鑑みてなされたものであり,機器を認証した上でユーザ認証の方法を切り替えて利用するシステムおよびその方法を提供する。
具体的には,端末装置を経由してユーザ認証を行う際に,端末装置を認証した上で,その認証結果に基づき,端末装置の利用用途を判別し,その利用用途に適するようにユーザ認証の方法を切り替えて実施する。
すなわち,本発明が提供する端末およびユーザ認証システムは,端末装置が,センタ装置に対してアクセス要求を行い,アクセス要求情報を送信する。アクセス要求情報を受けたセンタ装置は,端末装置に対して,端末認証要求を行い,サーバ認証情報を送信する。端末装置は,前記サーバ認証情報を用いてサーバ認証を行い,その結果,正しいサーバが確認できた場合には,端末認証情報を送信する。端末認証情報を受信したセンタ装置は,端末用途判定部において,前記端末情報DBに登録されている端末情報と,前記端末装置から受信した端末認証情報と,から正しい端末装置であるということを判定する。その後,認証方法決定部は,端末判定結果と,前記認証ポリシDBに登録されているユーザ認証方法の決定ルールからユーザ認証方法を決定する。ユーザデバイス装置を用いるダイジェスト認証が決定された場合には,センタ装置は端末装置に対してダイジェスト認証要求を送信する。端末装置は,ユーザデバイス装置に対して,ダイジェスト認証要求を送信する。ユーザデバイス装置の暗号演算部は,受信したダイジェスト認証要求の情報と,あらかじめ鍵保管部に保管されている秘密情報を用いて暗号演算を行い,結果としてのダイジェスト認証情報を端末装置に送信する。端末装置は該ダイジェスト認証情報をセンタ装置に転送する。センタ装置の認証処理部は,受信したダイジェスト認証情報と,ユーザ情報DBに登録されているユーザ情報を用いてユーザ認証を行い,正しいユーザであることは確認された場合に,サービス提供部は前記端末装置に対してサービスを提供する。
また,センタ装置のユーザ認証方法決定部が,IDとパスワードを使った認証を決定した場合には,センタ装置は端末装置に対してIDパスワード認証要求を送信する。端末装置は,ユーザ情報部に登録されているユーザIDとパスワードを取得する。このとき,端末装置のユーザ情報部に登録されているIDとパスワードを取得する代わりに,ユーザデバイス装置に登録されているIDとパスワードを,データ送受信部を経由して取得しても良い。
端末装置は,取得したIDとパスワードをセンタ装置に送信する。センタ装置の認証処理部は,受信したIDとパスワードと,ユーザ情報DBに登録されているユーザ情報を用いてユーザ認証を行い,正しいユーザであることは確認された場合に,サービス提供部は前記端末装置に対してサービスを提供する。
より具体的な本発明の一態様は,センタ装置が,サービスを提供するために,端末装置を利用するユーザを認証する認証システムであって,
端末装置は,当該端末装置の端末情報を保管する端末情報部と,センタ装置が提供するサービスを享受するサービス享受部と,を有し,
センタ装置は,端末装置ごとの用途を格納する端末情報DBと,端末装置の用途と認証方法の複数の組み合わせが認証ポリシとして登録されている認証ポリシDBと,認証ポリシDBに登録されている認証ポリシからユーザ認証方法を決定する認証方法決定部と,認証方法決定部が決定したユーザ認証方法に従った認証処理を実行する認証処理部と,認証処理が成功した場合に,端末装置にサービスを提供するサービス提供部と,を有することを特徴とするものである。
端末装置は,当該端末装置の端末情報を保管する端末情報部と,センタ装置が提供するサービスを享受するサービス享受部と,を有し,
センタ装置は,端末装置ごとの用途を格納する端末情報DBと,端末装置の用途と認証方法の複数の組み合わせが認証ポリシとして登録されている認証ポリシDBと,認証ポリシDBに登録されている認証ポリシからユーザ認証方法を決定する認証方法決定部と,認証方法決定部が決定したユーザ認証方法に従った認証処理を実行する認証処理部と,認証処理が成功した場合に,端末装置にサービスを提供するサービス提供部と,を有することを特徴とするものである。
さらに,センタ装置は,端末装置から受信した端末情報と,端末情報DBと,から端末装置の用途を判定する端末用途判定部を有し,センタ装置の認証方法決定部は,端末用途判定部が判定した端末装置の用途と,認証ポリシDBに登録されている認証ポリシと,に基づき,ユーザ認証方法を決定してもよい。
さらに,端末装置は,センタ装置の認証要求に応じた認証処理を実行する認証処理部を備え,
センタ装置は,ユーザIDに対応付けられた情報を格納するユーザ情報DBを備え,
認証方法決定部が決定したユーザ認証方法が,端末装置での認証情報の生成を要求する場合に,センタ装置は,端末装置に,乱数を含む認証要求を送信し,端末装置の認証処理部は,乱数に基づく認証情報を生成し,端末装置は,当該端末装置のユーザ情報部が格納するユーザ情報と共に,センタ装置に送信し,センタ装置の認証処理部は,端末装置から受信した,認証情報と,ユーザ情報と,送信した乱数と,ユーザ情報DBに格納した情報とに基づき,ユーザ認証処理を実行する,ものであってもよい。
センタ装置は,ユーザIDに対応付けられた情報を格納するユーザ情報DBを備え,
認証方法決定部が決定したユーザ認証方法が,端末装置での認証情報の生成を要求する場合に,センタ装置は,端末装置に,乱数を含む認証要求を送信し,端末装置の認証処理部は,乱数に基づく認証情報を生成し,端末装置は,当該端末装置のユーザ情報部が格納するユーザ情報と共に,センタ装置に送信し,センタ装置の認証処理部は,端末装置から受信した,認証情報と,ユーザ情報と,送信した乱数と,ユーザ情報DBに格納した情報とに基づき,ユーザ認証処理を実行する,ものであってもよい。
さらに,端末装置は,ユーザデバイス装置とデータを送受信するデータ送受信部を備え,
ユーザデバイス装置は,端末装置とデータを送受信するデータ送受信部と,秘密情報を保管する鍵保管部と,秘密情報を用いて暗号処理を行う暗号演算部と,を有し,
センタ装置の認証処理部は,決定された認証方法に基づき,端末装置に認証要求を送信し,端末装置の認証処理部は,認証要求に従い,ユーザデバイス装置に認証要求を送信し,ユーザデバイス装置の暗号演算部は,認証要求に基づく暗号処理の処理結果をユーザデバイス装置に送信し,端末装置の認証処理部は,暗号処理の処理結果を端末装置に送信し,センタ装置の認証処理部は,決定された認証方法において,暗号処理の処理結果に基づく処理を実行する,ものであってもよい。
ユーザデバイス装置は,端末装置とデータを送受信するデータ送受信部と,秘密情報を保管する鍵保管部と,秘密情報を用いて暗号処理を行う暗号演算部と,を有し,
センタ装置の認証処理部は,決定された認証方法に基づき,端末装置に認証要求を送信し,端末装置の認証処理部は,認証要求に従い,ユーザデバイス装置に認証要求を送信し,ユーザデバイス装置の暗号演算部は,認証要求に基づく暗号処理の処理結果をユーザデバイス装置に送信し,端末装置の認証処理部は,暗号処理の処理結果を端末装置に送信し,センタ装置の認証処理部は,決定された認証方法において,暗号処理の処理結果に基づく処理を実行する,ものであってもよい。
さらに,センタ装置の認証処理部は,端末装置からのアクセス要求に基づき端末認証の要求を行い,端末認証を要求する際に,サーバ認証情報を送信し,端末装置の認証処理部は,サーバ認証情報を用いてセンタ装置の認証を行い,センタ装置を認証できた場合に,センタ装置に対して端末情報を送信し,センタ装置の認証処理部は,端末情報に基づき端末装置を認証する,ものであってもよい。
なお,要求するユーザ認証方法は,IDパスワード方法,または,ダイジェスト認証方法,または,公開鍵認証方法であってもよい。
また,上記センタ装置は,データを送受信する通信部と,端末装置ごとの用途を格納する端末情報DBと,端末装置の用途と認証方法の複数の組み合わせが認証ポリシとして登録されている認証ポリシDBと,認証ポリシDBに登録されている認証ポリシからユーザ認証方法を決定する認証方法決定部と,認証方法決定部が決定したユーザ認証方法に従った認証処理を実行する認証処理部と,認証処理が成功した場合に,端末装置にサービスを提供するサービス提供部と,を有することを特徴とするものである。
さらに,センタ装置は,端末装置から受信した端末情報と,端末情報DBと,から端末装置の用途を判定する端末用途判定部を有し,認証方法決定部は,端末用と判定部が判定した端末装置の用途と,認証ポリシDBに登録されている認証ポリシと,に基づき,ユーザ認証方法を決定してもよい。
また,上記端末装置は,
センタ装置とデータを送受信する通信部と,ユーザデバイス装置とデータを送受信するデータ送受信部と,当該端末装置の端末情報を保管する端末情報部と,センタ装置の認証要求に応じた認証処理を実行する認証処理部と,認証処理により,当該端末がセンタ装置に認証された場合にセンタ装置が提供するサービスを享受するサービス享受部と,を有することを特徴とするものである。
センタ装置とデータを送受信する通信部と,ユーザデバイス装置とデータを送受信するデータ送受信部と,当該端末装置の端末情報を保管する端末情報部と,センタ装置の認証要求に応じた認証処理を実行する認証処理部と,認証処理により,当該端末がセンタ装置に認証された場合にセンタ装置が提供するサービスを享受するサービス享受部と,を有することを特徴とするものである。
さらに,端末装置は,1つあるいは複数のユーザのユーザ情報を格納するユーザ情報部を有し,認証処理部は,センタ装置の認証要求に応じて,ユーザ情報部からユーザ情報を取得し,通信部は,ユーザ情報をセンタ装置に送信する,ものであってもよい。
さらに,端末装置において,認証処理部は,センタ装置の認証要求に応じて,端末情報部から端末情報を取得し,通信部は,端末情報をセンタ装置に送信する,ものであってもよい。
本発明によれば,センタが端末およびユーザを認証する際に,端末の利用形態によってユーザ認証の方法を切り替え,より適切な認証処理を実行することが可能となる。
本発明の実施形態について説明する。なお,これにより本発明が限定されるものではない。
図1は,本実施例の端末およびユーザ認証システムの機能構成図である。本実施例の端末およびユーザ認証システムは,図1に示すように,n台(nは1以上の整数)の端末装置30nとセンタ装置50とがインターネットや携帯電話網などの1つまたは複数のネットワーク40を介して互いに接続されている。さらに,1つの端末装置30nにはm台(mは1以上の整数)のユーザデバイス装置20mが,非接触無線通信や,車内有線網などの1つまたは複数のネットワーク60を介して互いに接続されている。
センタ装置50は,ネットワーク40を経由して,端末装置30nを認証し,その認証結果に基づいて,ユーザ認証方法を決定し,決定したユーザ認証方法を,前記端末装置30nに通知する。
端末装置30nは,通知された認証方法に基づき,ユーザ認証処理を実行する。指定されたユーザ認証処理が,ユーザデバイス装置を用いる方法である場合には,端末装置30nは,ネットワーク60を介してユーザデバイス装置20mにユーザ認証情報を要求する。端末装置30nは,前記ネットワーク40を経由して,前記センタ装置50に,ユーザデバイス装置20mから取得したユーザ認証情報を通知する。センタ装置50は,前記端末装置30nから送信されたユーザ認証情報に基づいて,認証を行い,合格(認証成功)であれば,ネットワーク40を経由して,端末装置30nにサービスを提供する。認証失敗であれば,ネットワーク40を経由して,端末装置30nに認証失敗通知を送付する。
ユーザデバイス装置20mは,端末装置30nとデータを送受信するデータ送受信部201と,鍵やパスワードなどの秘密情報を保管する鍵保管部203と,前記秘密情報を用いて暗号処理を行う暗号演算部202とを含む。
端末装置30nは,ネットワーク40または60を介して,センタ装置50とデータを送受信する通信部301と,ネットワーク60を介してユーザデバイス装置20mとデータを送受信するデータ送受信部302と,端末装置30の端末情報を保管する端末情報部303と,1つあるいは複数のユーザのユーザ情報を格納するユーザ情報部304と,センタ装置50の認証要求に応じて認証処理を実行する認証処理部305と,センタ装置50が提供するサービスを享受するサービス享受部306と,を含む。端末情報部303が保管する端末情報としては,例えば,端末IDがある。
センタ装置50は,ネットワーク40を介して,データを送受信する通信部501と,端末情報を格納する端末情報DB503と,端末装置30nから受信した端末情報と,端末情報DB503に登録されている端末情報とから端末装置の用途を判定する端末用途判定部502と,端末装置の用途と認証方法の複数の組み合わせが認証ポリシとして登録されている認証ポリシDB505と,前記端末用途判定部502の判定結果と,前記認証ポリシDBに登録されている認証ポリシからユーザ認証方法を決定する認証方法決定部504と,前記認証方法決定部504の決定に基づいて認証処理を実行する複数の認証処理部506jと,ユーザ情報を管理するユーザ情報DB507と,サービスを提供するサービス提供部508と,を含む。
なお,前記センタ装置50の認証方法決定部504の決定に基づいて決定される認証方法がユーザデバイス装置20mを用いない方法である場合には,前記ユーザデバイス装置20mと,前記端末装置30nのデータ送受信部302は使用されない。また,ユーザデバイス装置20mを用いる方法が決定される場合には,前記端末装置30nのユーザ情報部304は使用されない。
図2は,センタ装置50のハードウェア構成図である。センタ装置50は,CPU51,主記憶装置52,補助記憶装置54,通信装置55,入出力装置56,記憶媒体58の読取装置57などがバスなどの内部通信線59で接続された構成である。
図示を省略するが,端末装置30も,規模や性能の違いは有るが,センタ装置50と同様のハードウェア構成である。
図3は,ユーザデバイス装置20mのハードウェア構成図である。ユーザデバイス装置20mは,CPU22,入出力装置21,耐タンパメモリ24,耐タンパ記憶装置23,通信装置26などがバスなどの内部通信線25で接続された構成である。
以下に説明する本実施例の各処理は,各装置の補助記憶装置54に格納された処理プログラムが主記憶装置52にロードされ,CPU51により実行されることにより,実現される。また,各プログラムは予め補助記憶装置54に格納されても良いし,他の記憶媒体または通信媒体(ネットワーク40,またはネットワーク40を伝搬する搬送波またはディジタル信号)を介して,必要なときにロードされても良い。
図4は,センタ装置50が,端末認証処理を行い,その結果,ユーザデバイス装置20mを使った認証処理を行う際の処理フロー図である。
まず,端末装置30nのサービス享受部306は,センタ装置50に対してアクセス要求を行い(S301),アクセス要求情報A301を送信する。アクセス要求情報A301を受けたセンタ装置50のサービス提供部508は,端末装置30nに対して,サーバ認証情報A501を送信し,端末認証要求を行う(S501)。
端末装置30の認証処理部305は,前記サーバ認証情報A501を用いてサーバの認証を行い(S302),その結果,サーバの正当性が確認できた場合には,端末認証情報A302を送信する。端末認証情報A302には,少なくとも端末IDまたは,端末IDをサーバの秘密鍵などで暗号化した情報を含む。端末認証情報A302を受信したセンタ装置50の端末用途判定部502は,端末情報DB503に登録されている端末情報と,端末装置30nから受信した端末認証情報A302と,から正しい端末装置であるか,を認証する(S502)。端末の正当性が確認できた場合は,認証方法決定部504は,端末認証情報A302に含まれる端末IDと,図5に示す端末情報DB503から,当該端末の用途を判定し,該用途と,前記認証ポリシDB505に登録されているユーザ認証方法(認証ポリシ)の決定ルールからユーザ認証方法を決定する(S503)。このユーザ認証方法の決定結果によって以降の処理が振り分けられる。まずユーザデバイス装置20mを用いるダイジェスト認証が決定された例を説明する。
センタ装置50の認証方法決定部504は端末装置30に対してダイジェスト認証要求A503を送信する。端末装置30は,ユーザデバイス装置20に対して,受信したダイジェスト認証要求A503を送信する。ユーザデバイス装置20の暗号演算部202は,受信したダイジェスト認証要求A503に含まれる情報と,あらかじめ鍵保管部203に保管されている秘密情報,具体的には,ユーザIDに対応付けられている秘密情報を用いて暗号演算を行う(S201)。たとえば,センタ装置50の認証方法決定部504が乱数を含めたダイジェスト認証情報A503を送信し,暗号演算部202は,ダイジェスト認証情報A503に含まれる乱数に対して前記ユーザの秘密情報を鍵として暗号演算を行う。
暗号演算部202は,演算結果としてのダイジェスト認証情報A201を端末装置30に送信する。端末装置30は該ダイジェスト認証情報A201をセンタ装置50に転送する。センタ装置50の認証処理部506jは,受信したダイジェスト認証情報A201と,ユーザ情報DB507に登録されているユーザ情報(具体的には,ユーザIDに対応付けられた秘密情報)を用いてユーザ認証を行う(S506)。具体的には,例えば,端末装置30に送信したものと同じ乱数とユーザIDに対応付けられた秘密情報とを用いて,同じ暗号演算結果が得られるか,を調べる。
正しいユーザであることは確認された場合に,サービス提供部508は前記端末装置30に対してサービスを提供し,端末装置30のサービス享受部306はサービスを享受する(S505)。正しいユーザでない,と判定した場合(S510)には,サービス提供部508によるサービス提供は行われず,センタ装置50の認証処理部506jが認証失敗通知を送信して,端末装置30に表示させる。
次に,前記ユーザ認証方法決定処理(S503)でIDパスワード認証方法が決定された例を説明する。
センタ装置50は端末装置30nに対してIDパスワード認証要求A502を送信する。端末装置30nの認証処理部305は,ユーザ情報部304に登録されているユーザIDとパスワードを取得する(S303)。このとき,端末装置30nのユーザ情報部に登録されているIDとパスワードを取得する代わりに,ユーザデバイス装置20mに登録されているIDとパスワードを,データ送受信部302を経由して取得しても良い。また,端末装置30nの入力出力装置56を用いて,ユーザに,IDとパスワードを入力させても良い。
端末装置30nの通信部301は,認証処理部305が取得したIDとパスワードA303をセンタ装置50に送信する。センタ装置50の認証処理部506jは,受信したIDとパスワードA203と,ユーザ情報DB507に登録されているユーザ情報を用いてユーザ認証を行う(S504)。
正しいユーザであることが確認された場合に,サービス提供部508は前記端末装置に対してサービスを提供し,端末装置30のサービス享受部306はサービスを享受する(S505)。正しいユーザでない,と判定した場合(S510)には,サービス提供部508によるサービス提供は行われず,センタ装置50の認証処理部が認証失敗通知を送信して,端末装置30に表示させる。
図5は,センタ装置50の端末情報DB503に登録されている端末情報の例である。端末IDに対してその用途を対応付けて登録されている。図4における端末装置30nからセンタ装置50に送信される端末認証情報A302に,端末IDを含ませることによって,センタ装置50は,図5に示す端末情報DB503より,該端末装置30nの用途を特定することができる。なお,前記端末認証情報A302に直接端末装置の用途に関する情報を含むようにしても良い。この場合は,センタ装置50の端末情報DBには用途の情報は不要である。
図6は,センタ装置50の認証ポリシDB505に登録されている認証ポリシの例である。端末装置の用途に対して認証方法を対応付けて登録されている。図4におけるセンタ装置50のユーザ認証方法決定処理(S503)において,認証ポリシDB505を参照することにより,端末装置30nに対して要求するユーザ認証方法を決定することができる。なお,本例示では,用途として,自動車の使われ方を例にして記述しているが,認証方法を決定できる情報であれば,その種類を問わない。また,認証方法として,2つを例示しているが,3種類以上であっても良い。
図7は,センタ装置50のユーザ情報DB507に登録されているユーザ情報の例であり,ユーザIDと秘密情報が対応付けられて登録されている。秘密情報は,図4におけるセンタ装置50のユーザ認証処理(S504およびS506)において,センタ装置の認証処理部506が参照する情報である。本例示では,秘密情報は,IDパスワード認証方法のパスワードや,ダイジェスト認証方法の秘密鍵として利用される。センタ装置50が実行するユーザ認証処理の違いにより,必要となる秘密情報は異なるため,ユーザ情報DB507は,図7で示した情報以外の情報を含んでも良い。例えば公開鍵暗号方法によるユーザ認証方法の場合には,ユーザ情報としてユーザの公開鍵証明書を含んでも良い。また,ユーザ情報DB507に格納されていない必要な秘密情報を,ユーザ認証の都度,端末装置30nから取得するようにしても良い。
図4において端末装置30は,サーバ認証処理(S302)を行っているが,特定のセンタ装置50にしかアクセスできないという制限を設けてサーバ認証を省略しても良い。
また,センタ装置50と端末装置30の間,端末装置30とユーザデバイス装置20の間,センタ装置50とユーザデバイス装置20の間の通信は暗号化してデータの送受信を行うようにしても良い。
また,センタ装置50が決定するユーザ認証方法は,IDパスワード認証やダイジェスト認証に限らず,任意のユーザ認証を行ってよい。
なお,本発明は,上記の本実施形態に限定されるものではなく,その要旨の範囲内で様々な変形が可能である。
20:ユーザデバイス装置,21:入出力装置,22:CPU,23:耐タンパ記憶装置,24:耐タンパメモリ,25:内部信号線,30:端末装置,40:ネットワーク,50:センタ装置,51:CPU,52:主記憶装置,54:補助記憶装置,55:通信装置,56:入出力装置,57:読取装置,58:記憶媒体,59:内部信号線,60:ネットワーク,A301:アクセス要求情報,A501:サーバ認証情報,A302:端末認証情報,A502:IDパスワード認証要求,A303:IDとパスワード,A503:ダイジェスト認証要求,A201:ダイジェスト認証情報,A504:認証失敗通知。
Claims (5)
- センタ装置が、サービスを提供するために、端末装置を利用するユーザを認証する認証システムであって、
前記端末装置は、
当該端末装置に固有な端末固有情報を保管する端末情報部と、
前記センタ装置からの認証要求に応じた認証処理を実行する端末側認証処理部と、
前記センタ装置へサービス提供を要求するアクセス要求情報を送信し、前記センタ装置が提供する前記サービスを享受するサービス享受部と、を有し、
前記センタ装置は、
前記端末装置ごとに、前記端末の端末固有情報と、当該端末装置の用途と、を対応付けて格納する端末情報DBと、
前記用途別の認証方法が、認証ポリシとして登録されている認証ポリシDBと、
前記端末装置から受信する前記アクセス要求情報をきっかけとして、前記端末装置から取得する端末認証情報に含まれる端末固有情報と、前記端末情報DBと、に基づき、前記端末装置を認証し、認証できた前記端末装置の用途を判定する端末用途判定部と、
前記端末用途判定部が判定した前記端末装置の用途と、前記認証ポリシDBに登録されている前記認証ポリシと、に基づき、前記端末装置を利用するユーザを認証するためのユーザ認証方法を決定するユーザ認証方法決定部と、
前記ユーザ認証方法決定部が決定した前記ユーザ認証方法に従ったユーザ認証処理を実行するユーザ認証処理部と、
前記ユーザ認証処理が成功した場合に、前記端末装置にサービスを提供するサービス提供部と、を有し、
前記端末装置は、当該端末装置を利用するユーザのユーザ固有情報を格納するユーザ情報部を備え、
前記センタ装置は、ユーザ固有情報に対応付けられた秘密情報を格納するユーザ情報DBを備え、
前記認証方法決定部が決定したユーザ認証方法が、前記端末装置での認証情報の生成を要求する場合に、
前記センタ装置のユーザ認証処理部は、前記端末装置に、乱数を含む認証要求を送信し、
前記端末装置の前記端末側認証処理部は、
前記乱数に基づく認証情報を生成し、
前記認証情報と、前記ユーザ情報部に格納されている前記ユーザ情報と、を前記センタ装置に送信し、
前記センタ装置の前記ユーザ認証処理部は、前記端末装置から受信した、前記認証情報と、前記ユーザ情報と、送信した前記乱数と、前記ユーザ情報DBに格納した前記秘密情報と、に基づき、前記ユーザ認証処理を実行する
ことを特徴とする認証システム。 - 請求項1に記載の認証システムにおいて、
前記端末装置は、ユーザデバイス装置とデータを送受信するデータ送受信部を備え、
前記ユーザデバイス装置は、
前記端末装置とデータを送受信するデータ送受信部と、
秘密情報を保管する鍵保管部と、
前記秘密情報を用いて暗号処理を行う暗号演算部と、を有し、
前記センタ装置の認証処理部は、前記決定された認証方法に基づき、前記端末装置に認証要求を送信し、
前記端末装置の認証処理部は、前記認証要求に従い、前記ユーザデバイス装置に前記認証要求を送信し、
前記ユーザデバイス装置の前記暗号演算部は、前記認証要求に基づく前記暗号処理の処理結果を前記端末装置に送信し、
前記端末装置の認証処理部は、前記暗号処理の処理結果を前記センタ装置に送信し、
前記センタ装置の認証処理部は、前記決定された認証方法において、前記暗号処理の処理結果に基づく処理を実行する
ことを特徴とする認証システム。 - 請求項1または2に記載の認証システムにおいて、
前記センタ装置の前記認証処理部は、
前記端末装置からのアクセス要求に基づき前記端末認証の要求を行い、
前記端末認証を要求する際に、サーバ認証情報を送信し、
端末装置の認証処理部は、
前記サーバ認証情報を用いて前記センタ装置の認証を行い、
前記センタ装置を認証できた場合に、前記センタ装置に対して前記端末固有情報を送信し、
前記センタ装置の前記認証処理部は、前記端末固有情報に基づき前記端末装置を認証する
ことを特徴とする認証システム。 - 請求項1から3のいずれか一に記載の認証システムにおいて、
要求するユーザ認証方法が、IDパスワード方法、または、ダイジェスト認証方法、または、公開鍵認証方法である
ことを特徴とする認証システム。 - 端末装置にサービスを提供するセンタ装置であって、
前記端末装置ごとに、前記端末の端末固有情報と、当該端末装置の用途と、を対応付けて格納する端末情報DBと、
前記用途別の認証方法が、認証ポリシとして登録されている認証ポリシDBと、
前記端末装置から、当該センタ装置によるサービス提供を要求するアクセス要求情報を受信し、
前記アクセス要求情報をきっかけとして、前記端末装置から端末認証情報を取得し、前記端末認証情報に含まれる端末固有情報と、前記端末情報DBと、に基づき、前記端末装置を認証し、認証できた前記端末装置の用途を判定する端末用途判定部と、
前記端末用途判定部が判定した前記端末装置の用途と、前記認証ポリシDBに登録されている前記認証ポリシと、に基づき、前記端末装置を利用するユーザを認証するためのユーザ認証方法を決定するユーザ認証方法決定部と、
前記ユーザ認証方法決定部が決定した前記ユーザ認証方法に従ったユーザ認証処理を実行するユーザ認証処理部と、
前記ユーザ認証処理が成功した場合に、前記端末装置にサービスを提供するサービス提供部と、を有する
ことを特徴とするセンタ装置。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008240196A JP5276940B2 (ja) | 2008-09-19 | 2008-09-19 | センタ装置,端末装置,および,認証システム |
| CN200910149873.8A CN101677272B (zh) | 2008-09-19 | 2009-07-02 | 中心装置、终端装置以及认证系统 |
| US12/497,137 US20100077446A1 (en) | 2008-09-19 | 2009-07-02 | Center apparatus, terminal apparatus, and authentication system |
| EP09164770.1A EP2166727B1 (en) | 2008-09-19 | 2009-07-07 | Center apparatus, terminal apparatus, and authentication system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008240196A JP5276940B2 (ja) | 2008-09-19 | 2008-09-19 | センタ装置,端末装置,および,認証システム |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2010072976A JP2010072976A (ja) | 2010-04-02 |
| JP2010072976A5 JP2010072976A5 (ja) | 2011-03-17 |
| JP5276940B2 true JP5276940B2 (ja) | 2013-08-28 |
Family
ID=41056887
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008240196A Active JP5276940B2 (ja) | 2008-09-19 | 2008-09-19 | センタ装置,端末装置,および,認証システム |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20100077446A1 (ja) |
| EP (1) | EP2166727B1 (ja) |
| JP (1) | JP5276940B2 (ja) |
| CN (1) | CN101677272B (ja) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5538132B2 (ja) * | 2010-08-11 | 2014-07-02 | 株式会社日立製作所 | 真正性を保証する端末システム、端末及び端末管理サーバ |
| US9268545B2 (en) | 2011-03-31 | 2016-02-23 | Intel Corporation | Connecting mobile devices, internet-connected hosts, and cloud services |
| US9032493B2 (en) * | 2011-03-31 | 2015-05-12 | Intel Corporation | Connecting mobile devices, internet-connected vehicles, and cloud services |
| DE102011006904A1 (de) * | 2011-04-06 | 2012-10-11 | Bayerische Motoren Werke Aktiengesellschaft | Fahrzeugkommunikationssystem, Zugangsdateneinrichtung und Telematikkommunikationssystem |
| JP2014175728A (ja) * | 2013-03-06 | 2014-09-22 | Fujitsu Ltd | 券検証システム及び券検証方法 |
| JP6175679B2 (ja) * | 2013-10-16 | 2017-08-09 | 株式会社 日立産業制御ソリューションズ | 業務管理システム |
| KR102194341B1 (ko) * | 2014-02-17 | 2020-12-22 | 조현준 | 비밀정보를 안전하고 편리하게 제출하기 위한 방법과 장치 |
| DE102016212230A1 (de) * | 2016-07-05 | 2018-01-11 | Bayerische Motoren Werke Aktiengesellschaft | Verfahren zur sicheren Authentifizierung von Steuervorrichtungen in einem Kraftfahrzeug |
| CN107529697A (zh) * | 2017-06-13 | 2018-01-02 | 江苏紫米软件技术有限公司 | 一种开放式认证授权方法、系统及应用 |
| JP2020201857A (ja) * | 2019-06-13 | 2020-12-17 | 株式会社東海理化電機製作所 | 認証システム及び認証方法 |
| CN110807202B (zh) * | 2019-10-31 | 2022-03-18 | 北京字节跳动网络技术有限公司 | 校验信息的处理方法、装置、电子设备及计算机可读介质 |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4974405B2 (ja) * | 2000-08-31 | 2012-07-11 | ソニー株式会社 | サーバ使用方法、サーバ使用予約管理装置およびプログラム格納媒体 |
| US20030033524A1 (en) * | 2001-08-13 | 2003-02-13 | Luu Tran | Client aware authentication in a wireless portal system |
| JP3754004B2 (ja) * | 2002-05-20 | 2006-03-08 | システムニーズ株式会社 | データ更新方法 |
| JP4274770B2 (ja) * | 2002-10-01 | 2009-06-10 | 株式会社エヌ・ティ・ティ・ドコモ | 認証決済方法、サービス提供装置及び認証決済システム |
| JP2005122567A (ja) * | 2003-10-17 | 2005-05-12 | National Institute Of Information & Communication Technology | デバイス間において認証用情報を委譲する情報処理方法及び情報処理システム |
| JP2005135290A (ja) * | 2003-10-31 | 2005-05-26 | Matsushita Electric Ind Co Ltd | 認証レベル設定方法及び認証レベル設定システム |
| JP4247109B2 (ja) * | 2003-12-25 | 2009-04-02 | 株式会社東芝 | ネットワーク電話システム、このネットワーク電話システムの主装置及び接続認証方法 |
| US20060015580A1 (en) * | 2004-07-01 | 2006-01-19 | Home Box Office, A Delaware Corporation | Multimedia content distribution |
| JP2006065690A (ja) * | 2004-08-27 | 2006-03-09 | Ntt Docomo Inc | デバイス認証装置、サービス制御装置、サービス要求装置、デバイス認証方法、サービス制御方法及びサービス要求方法 |
| GB2435161B (en) | 2005-03-23 | 2007-12-12 | Dell Products Lp | Systems and methods for adaptive authentication |
| JP4741292B2 (ja) * | 2005-06-09 | 2011-08-03 | 株式会社日立製作所 | デバイス管理システム |
| JP4241705B2 (ja) * | 2005-09-30 | 2009-03-18 | ブラザー工業株式会社 | 情報管理装置、及び、プログラム |
| US8099495B2 (en) * | 2005-12-29 | 2012-01-17 | Intel Corporation | Method, apparatus and system for platform identity binding in a network node |
| US20080028453A1 (en) * | 2006-03-30 | 2008-01-31 | Thinh Nguyen | Identity and access management framework |
| US8566925B2 (en) * | 2006-08-03 | 2013-10-22 | Citrix Systems, Inc. | Systems and methods for policy based triggering of client-authentication at directory level granularity |
| KR100749720B1 (ko) * | 2006-08-18 | 2007-08-16 | 삼성전자주식회사 | 다중 인증 정책을 지원하는 접속노드 장치 및 방법 |
| US8200191B1 (en) * | 2007-02-08 | 2012-06-12 | Clearwire IP Holdings | Treatment of devices that fail authentication |
-
2008
- 2008-09-19 JP JP2008240196A patent/JP5276940B2/ja active Active
-
2009
- 2009-07-02 CN CN200910149873.8A patent/CN101677272B/zh active Active
- 2009-07-02 US US12/497,137 patent/US20100077446A1/en not_active Abandoned
- 2009-07-07 EP EP09164770.1A patent/EP2166727B1/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| EP2166727A1 (en) | 2010-03-24 |
| EP2166727B1 (en) | 2016-06-22 |
| JP2010072976A (ja) | 2010-04-02 |
| CN101677272B (zh) | 2013-08-21 |
| US20100077446A1 (en) | 2010-03-25 |
| CN101677272A (zh) | 2010-03-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5276940B2 (ja) | センタ装置,端末装置,および,認証システム | |
| JP5180678B2 (ja) | Icカード、icカードシステムおよびその方法 | |
| JP6365410B2 (ja) | 車両用通信システム | |
| EP2093927A1 (en) | An authentication method, system, server and user node | |
| CN108141444B (zh) | 经改善的认证方法和认证装置 | |
| WO2017150270A1 (ja) | 通信システム、ハードウェアセキュリティモジュール、端末装置、通信方法、及びプログラム | |
| JP5380583B1 (ja) | デバイス認証方法及びシステム | |
| JP2012530311A5 (ja) | ||
| CN101212293A (zh) | 一种身份认证方法及系统 | |
| JP2013138304A (ja) | セキュリティシステム及び鍵データの運用方法 | |
| JP2021511743A (ja) | Iotサービスを実施するための方法、アプリケーションサーバ、iot装置および媒体 | |
| CN102999710A (zh) | 一种安全共享数字内容的方法、设备及系统 | |
| WO2022135392A1 (zh) | 身份鉴别方法、装置、设备、芯片、存储介质及程序 | |
| WO2016035466A1 (ja) | 通信システム、サーバ装置用プログラム及びこれを記録した記録媒体、通信装置用プログラム及びこれを記録した記録媒体、端末装置用プログラム及びこれを記録した記録媒体 | |
| JP6719503B2 (ja) | ログイン制御方法 | |
| CN116232599A (zh) | 一种物联网身份认证方法、物联网终端及服务器 | |
| EP1879321A1 (en) | Electronic signature with a trusted platform | |
| CN112491559B (zh) | 一种身份验证方法及装置 | |
| US11265161B2 (en) | System and method for computing an escrow session key and a private session key for encoding digital communications between two devices | |
| Goel | Access Control and Authorization Techniques wrt Client Applications | |
| KR100938391B1 (ko) | 서버와 클라이언트 상호인증을 통한 로그인 시스템 | |
| KR101737925B1 (ko) | 도전-응답 기반의 사용자 인증 방법 및 시스템 | |
| JP2021136485A (ja) | 認証システム及び認証方法 | |
| JP2024500527A (ja) | アイデンティティ認証方法、装置、機器、チップ、記憶媒体およびプログラム | |
| CN115987636A (zh) | 一种信息安全的实现方法、装置及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A712 Effective date: 20100108 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110202 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20110202 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110202 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120911 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120918 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20121119 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130423 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130520 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 5276940 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313111 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |