JP5373852B2 - Authentication system and authentication method - Google Patents

Authentication system and authentication method Download PDF

Info

Publication number
JP5373852B2
JP5373852B2 JP2011117207A JP2011117207A JP5373852B2 JP 5373852 B2 JP5373852 B2 JP 5373852B2 JP 2011117207 A JP2011117207 A JP 2011117207A JP 2011117207 A JP2011117207 A JP 2011117207A JP 5373852 B2 JP5373852 B2 JP 5373852B2
Authority
JP
Japan
Prior art keywords
authentication
user
password
unit
user terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2011117207A
Other languages
Japanese (ja)
Other versions
JP2012247858A (en
Inventor
宗督 野村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yahoo Japan Corp
Original Assignee
Yahoo Japan Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Yahoo Japan Corp filed Critical Yahoo Japan Corp
Priority to JP2011117207A priority Critical patent/JP5373852B2/en
Publication of JP2012247858A publication Critical patent/JP2012247858A/en
Application granted granted Critical
Publication of JP5373852B2 publication Critical patent/JP5373852B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、認証システム及び認証方法に関する。   The present invention relates to an authentication system and an authentication method.

近年、サービスの増加に伴い、複数のサーバにおいて認証に用いられるパスワードを一元管理することが行われている。   In recent years, with the increase in services, passwords used for authentication are centrally managed in a plurality of servers.

例えば、特許文献1には、複数のサーバと、当該複数のサーバそれぞれに対応する複数のパスワードを一元管理する管理サーバとを備えるシステムが提案されている。このシステムでは、ユーザが複数のサーバのいずれかの利用を所望する場合に、管理サーバが当該ユーザの本人性を確認すると、当該ユーザが利用を所望するサーバに対して管理サーバが認証を行い、当該ユーザに対して、利用を所望するサーバを利用可能とする。   For example, Patent Document 1 proposes a system including a plurality of servers and a management server that centrally manages a plurality of passwords corresponding to each of the plurality of servers. In this system, when a user desires to use one of a plurality of servers, when the management server confirms the identity of the user, the management server authenticates the server that the user desires to use, A server desired to be used is made available to the user.

特開2000−259566号公報Japanese Patent Laid-Open No. 2000-259566

ところで、近年、クラウドコンピューティングが急速に普及している。しかしながら、クラウドコンピューティングを構成するサーバは、汎用性をもたせるため、個別の機能を実現することを目的としてチューニングされたサーバに比べて処理が遅いといった問題点がある。   By the way, in recent years, cloud computing has rapidly spread. However, a server that constitutes cloud computing has a problem that processing is slower than a server tuned for the purpose of realizing individual functions in order to provide versatility.

また、クラウドコンピューティングは、際限なく増加する大容量データを扱うため、新たなサーバが逐次接続されている。このような点から、クラウドコンピューティングにおいて複数のサーバを利用する場合に、結果として、物理的に離れた位置に配置されている複数のサーバを利用し、複数のサーバ間のアクセスに遅延が生じてしまうおそれがある。また、物理的に離れた位置にサーバが配置されている場合、アクセス時に他のサーバを経由する可能性が高まるため、セキュリティが低下する可能性がある。   In addition, since cloud computing handles a large amount of data that increases without limit, new servers are sequentially connected. From these points, when multiple servers are used in cloud computing, as a result, multiple servers that are physically located are used, resulting in a delay in access between the multiple servers. There is a risk that. In addition, when servers are arranged at physically separated positions, the possibility of passing through other servers at the time of access increases, so that security may be lowered.

このように、クラウドコンピューティングを利用して複数サーバに対応する認証システムを構築する場合、遅延することなく処理を実行することができることが求められている。   As described above, when an authentication system corresponding to a plurality of servers is constructed using cloud computing, it is required that processing can be executed without delay.

本発明は、クラウドコンピューティングを利用した場合であっても、セキュリティが強固、かつ、認証に係る処理が遅延しにくい認証システム及び認証方法を提供することを目的とする。   An object of the present invention is to provide an authentication system and an authentication method in which security is strong and processing related to authentication is difficult to delay even when cloud computing is used.

(1)ユーザ端末と、前記ユーザ端末と通信可能に接続された複数サーバとを備える認証システムであって、前記ユーザ端末は、ユーザから、前記複数サーバのいずれかに対する認証要求を受け付ける認証要求受付手段と、前記認証要求受付手段により前記認証要求を受け付けた場合に、認証用データを秘密鍵によって暗号化する暗号化手段と、前記ユーザのユーザIDと暗号化された前記認証用データとを前記認証要求に対応するサーバに送信する認証情報送信手段と、を有し、前記複数サーバそれぞれは、前記ユーザIDと、当該ユーザIDに対応する公開鍵とを記憶する認証情報記憶手段と、前記ユーザ端末から、前記ユーザIDと暗号化された前記認証用データとを受信する認証情報受信手段と、前記認証情報受信手段により受信した前記ユーザIDに対応し、前記認証情報記憶手段に記憶されている前記公開鍵によって、受信した認証用データの復号を試行する復号試行手段と、前記復号試行手段によって、受信した暗号化された前記認証用データを復号できた場合に、前記ユーザ端末が認証に成功したものとする認証手段と、を有する認証システム。   (1) An authentication system comprising a user terminal and a plurality of servers connected to be communicable with the user terminal, wherein the user terminal accepts an authentication request from a user for an authentication request to any of the plurality of servers. And means for encrypting authentication data with a secret key when the authentication request is accepted by the authentication request accepting means, and the user ID of the user and the authentication data encrypted. Authentication information transmitting means for transmitting to a server corresponding to the authentication request, and each of the plurality of servers includes authentication information storage means for storing the user ID and a public key corresponding to the user ID, and the user The authentication information receiving means for receiving the user ID and the encrypted authentication data from the terminal, and the authentication information receiving means Corresponding to the user ID, with the public key stored in the authentication information storage means, the decryption trial means for trying to decrypt the received authentication data, and the encrypted trial received by the decryption trial means An authentication system comprising: an authenticating unit that authenticates the user terminal when the authentication data can be decrypted.

(1)の認証システムでは、ユーザ端末は、認証要求受付手段により認証要求を受け付けた場合に、暗号化手段により秘密鍵を用いて認証用データを暗号化し、認証情報送信手段により、ユーザIDと暗号化された認証用データとを認証要求に対応するサーバに送信する。また、サーバは、復号試行手段により、認証情報受信手段により受信したユーザIDに対応し、認証情報記憶手段に記憶されている公開鍵によって、受信した認証用データの復号を試行し、認証手段により、復号試行手段により暗号化された認証用データを復号できた場合に、ユーザ端末が認証に成功したものとする。   In the authentication system of (1), when the user terminal accepts the authentication request by the authentication request accepting means, the encryption means encrypts the authentication data using the secret key, and the authentication information sending means sends the user ID and the user ID. The encrypted authentication data is transmitted to the server corresponding to the authentication request. In addition, the server attempts to decrypt the received authentication data using the public key stored in the authentication information storage unit corresponding to the user ID received by the authentication information receiving unit by the decryption trial unit. Assume that the user terminal succeeds in authentication when the authentication data encrypted by the decryption trial means can be decrypted.

このように、サーバは、サーバに記憶されている公開鍵に基づいて、ユーザ端末から受信した暗号化された認証用データを復号できたことに応じて、ユーザ端末が認証に成功したものとするので、認証時に他のサーバにアクセスすることなく認証を行うことができる。また、サーバでは、パスワードの照合を行うことなく、公開鍵によって認証を行う。ここで、公開鍵に基づいてパスワードを推定されることは困難であるため、認証システムは、サーバから第三者に対して公開鍵が漏えいした場合であっても、セキュリティを維持することができる。したがって、(1)の認証システムは、クラウドコンピューティングを利用した場合であっても、セキュリティが強固、かつ、認証に係る処理が遅延しにくいものとすることができる。   In this way, the server is assumed to have successfully authenticated the user terminal in response to the decryption of the encrypted authentication data received from the user terminal based on the public key stored in the server. Therefore, authentication can be performed without accessing another server during authentication. Also, the server authenticates with the public key without performing password verification. Here, since it is difficult to estimate the password based on the public key, the authentication system can maintain security even when the public key is leaked from the server to a third party. . Therefore, even if the authentication system of (1) is a case where cloud computing is used, the security can be strengthened and the processing related to authentication can be hardly delayed.

(2)前記認証要求受付手段は、前記ユーザから前記サーバのアドレスとユーザIDとパスワードとを認証情報として受け付けることにより、前記認証要求を受け付け、前記認証要求受付手段により受け付けた前記パスワードに基づいて前記秘密鍵を生成する端末側鍵生成手段を更に備え、前記暗号化手段は、前記端末側鍵生成手段により生成された前記秘密鍵によって、認証用データを暗号化し、前記認証情報送信手段は、前記ユーザのユーザIDと暗号化された前記認証用データとを前記アドレスに対応するサーバに送信する、(1)記載の認証システム。   (2) The authentication request accepting unit accepts the authentication request by accepting the server address, user ID, and password as authentication information from the user, and based on the password accepted by the authentication request accepting unit. The apparatus further comprises terminal side key generation means for generating the secret key, the encryption means encrypts authentication data with the secret key generated by the terminal side key generation means, and the authentication information transmission means includes: The authentication system according to (1), wherein the user ID of the user and the encrypted authentication data are transmitted to a server corresponding to the address.

(2)の認証システムでは、認証要求受付手段により受け付けたパスワードに基づいて前記秘密鍵を生成し、暗号化手段により、当該秘密鍵により認証用データを暗号化する。よって、ユーザ端末において、秘密鍵を記憶する必要がないので、ユーザ端末の紛失等による秘密鍵の漏洩を防止することができる。   In the authentication system of (2), the secret key is generated based on the password received by the authentication request accepting unit, and the authentication data is encrypted by the secret unit using the secret key. Therefore, since it is not necessary to store the secret key in the user terminal, it is possible to prevent leakage of the secret key due to loss of the user terminal or the like.

(3)前記認証システムは、前記ユーザ端末及び前記複数サーバに対して通信可能に接続されたパスワード管理サーバを更に備え、前記パスワード管理サーバは、前記ユーザ端末から、前記ユーザIDと前記パスワードとを登録情報として受信する登録情報受信手段と、前記登録情報受信手段により前記登録情報を受信したことに応じて、前記登録情報に含まれるパスワードに基づいて秘密鍵及び公開鍵を生成するサーバ側鍵生成手段と、前記サーバ側鍵生成手段により生成された公開鍵と、前記登録情報受信手段により受信した前記登録情報に含まれるユーザIDとを前記複数サーバそれぞれに配信する公開鍵配信手段と、を有する、(2)記載の認証システム。   (3) The authentication system further includes a password management server communicably connected to the user terminal and the plurality of servers, and the password management server receives the user ID and the password from the user terminal. Registration information receiving means for receiving as registration information, and server-side key generation for generating a secret key and a public key based on a password included in the registration information in response to receiving the registration information by the registration information receiving means And public key distribution means for distributing the public key generated by the server side key generation means and the user ID included in the registration information received by the registration information receiving means to each of the plurality of servers. The authentication system according to (2).

(3)の認証システムでは、パスワード管理サーバは、登録情報受信手段により、ユーザ端末から、ユーザIDとパスワードとを登録情報として受信し、サーバ側鍵生成手段により、登録情報受信手段により登録情報を受信したことに応じて、登録情報に含まれるパスワードに基づいて秘密鍵及び公開鍵を生成し、公開鍵配信手段により、サーバ側鍵生成手段により生成された公開鍵と、登録情報受信手段により受信した登録情報に含まれるユーザIDとを複数サーバそれぞれに配信する。   In the authentication system of (3), the password management server receives the user ID and password from the user terminal as registration information by the registration information receiving means, and the registration information receiving means by the registration information receiving means by the server side key generation means. In response to the reception, a secret key and a public key are generated based on the password included in the registration information, and received by the public key distribution unit by the public key generated by the server side key generation unit and the registration information reception unit. The user ID included in the registered information is distributed to each of the plurality of servers.

このように、(3)の認証システムは、パスワード管理サーバがユーザ端末から受信したパスワードをサーバに送信することがないため、パスワードの受け渡し時における盗聴等のリスクを排除して、セキュリティを強固なものとすることができる。   As described above, the authentication system (3) does not transmit the password received from the user terminal to the server by the password management server. Can be.

(4)前記パスワード管理サーバは、前記ユーザ端末から、前記ユーザIDと前記パスワードとを変更情報として受信する変更情報受信手段と、前記サーバ側鍵生成手段は、前記変更情報受信手段により変更情報を受信したことに応じて、前記変更情報に含まれるパスワードに基づいて前記秘密鍵及び前記公開鍵を生成する、(3)記載の認証システム。   (4) The password management server includes a change information receiving unit that receives the user ID and the password as change information from the user terminal, and the server-side key generation unit receives the change information by the change information receiving unit. The authentication system according to (3), wherein the secret key and the public key are generated based on a password included in the change information in response to reception.

(4)の認証システムでは、パスワード管理サーバは、変更情報受信手段により、ユーザ端末から、ユーザIDとパスワードとを変更情報として受信し、サーバ側鍵生成手段により、変更情報受信手段により変更情報を受信したことに応じて、変更情報に含まれるパスワードに基づいて秘密鍵及び公開鍵を生成する。   In the authentication system of (4), the password management server receives the user ID and password as change information from the user terminal by the change information receiving means, and the change information receiving means by the server side key generating means. In response to the reception, a secret key and a public key are generated based on the password included in the change information.

このように、(4)の認証システムは、ユーザ端末におけるパスワードの更新においてもパスワード管理サーバからサーバにパスワードが送信されないため、パスワードの更新時においても、パスワードの受け渡し時における盗聴等のリスクを排除して、セキュリティを強固なものとすることができる。   As described above, since the password management server does not transmit the password from the password management server to the server even when the password is updated at the user terminal, the risk of eavesdropping or the like at the time of password delivery is eliminated even when the password is updated. Thus, security can be strengthened.

(5)ユーザ端末と、前記ユーザ端末と通信可能に接続された複数サーバとを備える認証システムにおいて実行される認証方法であって、前記ユーザ端末が、ユーザから、前記複数サーバのいずれかに対する認証要求を受け付ける認証要求受付ステップと、前記認証要求受付ステップにおいて前記認証要求を受け付けた場合に、認証用データを秘密鍵によって暗号化する暗号化ステップと、前記ユーザのユーザIDと暗号化された前記認証用データとを前記認証要求に対応するサーバに送信する認証情報送信ステップと、を実行し、前記複数サーバそれぞれは、前記ユーザIDと、当該ユーザIDに対応する公開鍵とを記憶する認証情報記憶手段とを備え、前記ユーザ端末から、前記ユーザIDと暗号化された前記認証用データとを受信する認証情報受信ステップと、前記認証情報受信ステップにおいて受信した前記ユーザIDに対応し、前記認証情報記憶手段に記憶されている前記公開鍵によって、受信した認証用データの復号を試行する復号試行ステップと、前記復号試行ステップにおいて、受信した暗号化された前記認証用データを復号できた場合に、前記ユーザ端末が認証に成功したものとする認証ステップと、を実行する認証方法。   (5) An authentication method executed in an authentication system comprising a user terminal and a plurality of servers connected to be communicable with the user terminal, wherein the user terminal authenticates one of the plurality of servers from the user. An authentication request receiving step for receiving a request; an encryption step for encrypting authentication data with a secret key when the authentication request is received in the authentication request receiving step; and the user ID of the user encrypted An authentication information transmitting step of transmitting authentication data to a server corresponding to the authentication request, wherein each of the plurality of servers stores the user ID and a public key corresponding to the user ID. Storage means for receiving the user ID and the encrypted authentication data from the user terminal Certificate information receiving step, and a decryption trial step of trying to decrypt the received authentication data with the public key corresponding to the user ID received in the authentication information receiving step and stored in the authentication information storage means; An authentication method for executing an authentication step in which the user terminal succeeds in authentication when the received encrypted data for authentication can be decrypted in the decryption trial step.

このような方法によれば、当該方法を実施することにより、(1)と同様の効果が期待できる。   According to such a method, the same effect as in (1) can be expected by performing the method.

本発明によれば、クラウドコンピューティングを利用した場合であっても、セキュリティが強固、かつ、認証に係る処理が遅延しにくい認証システム及び認証方法を提供することができる。   ADVANTAGE OF THE INVENTION According to this invention, even if it is a case where cloud computing is utilized, it can provide the authentication system and the authentication method with which security is strong and the process regarding authentication is hard to delay.

本実施形態に係る認証システムの機能概要を示す図である。It is a figure which shows the function outline | summary of the authentication system which concerns on this embodiment. 本実施形態に係る認証システムにおいてユーザ情報を登録する処理の流れを示すフローチャートである。It is a flowchart which shows the flow of a process which registers user information in the authentication system which concerns on this embodiment. 本実施形態に係る認証システムにおいてユーザ情報を変更する処理の流れを示すフローチャートである。It is a flowchart which shows the flow of the process which changes user information in the authentication system which concerns on this embodiment. 本実施形態に係る認証システムにおいて認証を行う処理の流れを示すフローチャートである。It is a flowchart which shows the flow of the process which authenticates in the authentication system which concerns on this embodiment.

以下、本発明の実施形態について図を参照しながら説明する。   Hereinafter, embodiments of the present invention will be described with reference to the drawings.

[機能構成]
図1は、本実施形態に係る認証システム1の機能概要を示す図である。認証システム1は、パスワード管理サーバ2と、複数のコンテンツサーバ3と、ユーザ端末4とを備える。
認証システム1では、パスワード管理サーバ2は、複数のコンテンツサーバ3とユーザ端末4とに通信ネットワークNによって通信可能に接続されている。また、ユーザ端末4は、複数のコンテンツサーバ3に通信ネットワークNによって通信可能に接続されている。なお、図1では、コンテンツサーバ3は1つのみ示されているが、実際には複数のコンテンツサーバ3が通信ネットワークNに接続されているものとする。 [Function configuration]
FIG. 1 is a diagram showing a functional outline of an authentication system 1 according to the present embodiment. The authentication system 1 includes a password management server 2, a plurality of content servers 3, and a user terminal 4.
In the authentication system 1, the password management server 2 is communicably connected to a plurality of content servers 3 and user terminals 4 via a communication network N. The user terminal 4 is connected to a plurality of content servers 3 through a communication network N so as to be communicable. Although only one content server 3 is shown in FIG. 1, it is assumed that a plurality of content servers 3 are actually connected to the communication network N.

本実施形態は、コンピュータ(パスワード管理サーバ2、複数のコンテンツサーバ3及びユーザ端末4)及びその周辺装置に適用される。本実施形態における各部は、コンピュータ及びその周辺装置が備えるハードウェア並びに当該ハードウェアを制御するソフトウェアによって構成される。   This embodiment is applied to a computer (password management server 2, a plurality of content servers 3, and a user terminal 4) and its peripheral devices. Each unit in the present embodiment is configured by hardware included in a computer and its peripheral devices, and software that controls the hardware.

上記ハードウェアには、制御部としてのCPU(Central Processing Unit)の他、記憶部、通信装置、表示装置及び入力装置が含まれる。記憶部としては、例えば、メモリ(RAM:Random Access Memory、ROM:Read Only Memory等)、ハードディスクドライブ(HDD:Hard Disk Drive)及び光ディスク(CD:Compact Disk、DVD:Digital Versatile Disk等)ドライブが挙げられる。通信装置としては、例えば、各種有線及び無線インターフェース装置が挙げられる。表示装置としては、例えば、液晶ディスプレイやプラズマディスプレイ等の各種ディスプレイが挙げられる。入力装置としては、例えば、キーボード及びポインティング・デバイス(マウス、トラッキングボール等)が挙げられる。   The hardware includes a storage unit, a communication device, a display device, and an input device in addition to a CPU (Central Processing Unit) as a control unit. Examples of the storage unit include a memory (RAM: Random Access Memory, ROM: Read Only Memory, etc.), a hard disk drive (HDD: Hard Disk Drive), and an optical disk (CD: Compact Disc, DVD: Digital Versatile Drive, etc.). It is done. Examples of the communication device include various wired and wireless interface devices. Examples of the display device include various displays such as a liquid crystal display and a plasma display. Examples of the input device include a keyboard and a pointing device (mouse, tracking ball, etc.).

上記ソフトウェアには、上記ハードウェアを制御するコンピュータ・プログラムやデータが含まれる。コンピュータ・プログラムやデータは、記憶部により記憶され、制御部により適宜実行、参照される。また、コンピュータ・プログラムやデータは、通信回線を介して配布されることも可能であり、CD−ROM等のコンピュータ可読媒体に記録して配布されることも可能である。   The software includes a computer program and data for controlling the hardware. The computer program and data are stored in the storage unit, and are appropriately executed and referenced by the control unit. The computer program and data can be distributed via a communication line, or can be recorded on a computer-readable medium such as a CD-ROM and distributed.

パスワード管理サーバ2は、本発明の機能を実行するプログラム(図示省略)等を記憶する第1記憶部23と、パスワード管理サーバ2に係る各機能を統括的に制御する第1制御部24と、を備える。   The password management server 2 includes a first storage unit 23 that stores a program (not shown) for executing the functions of the present invention, a first control unit 24 that controls each function related to the password management server 2, Is provided.

第1記憶部23は、上述の各種プログラムの他に、第1認証情報DB231を備える。
第1認証情報DB231は、ユーザIDと当該ユーザIDに対応するパスワードとを関連付けて記憶する。 The first storage unit 23 includes a first authentication information DB 231 in addition to the various programs described above.
The first authentication information DB 231 stores a user ID and a password corresponding to the user ID in association with each other.

第1制御部24は、登録情報受信手段としての登録情報受信部241と、変更情報受信手段としての変更情報受信部242と、サーバ側鍵生成手段としてのサーバ側鍵生成部243と、公開鍵配信手段としての公開鍵配信部244と、を備える。   The first control unit 24 includes a registration information receiving unit 241 as a registration information receiving unit, a change information receiving unit 242 as a change information receiving unit, a server side key generating unit 243 as a server side key generating unit, and a public key And a public key distribution unit 244 as distribution means.

登録情報受信部241は、ユーザ端末4から、ユーザIDとパスワードとを登録情報として受信する。   The registration information receiving unit 241 receives a user ID and a password from the user terminal 4 as registration information.

変更情報受信部242は、ユーザ端末4から、ユーザIDとパスワードとを変更情報として受信する。   The change information receiving unit 242 receives the user ID and password from the user terminal 4 as change information.

サーバ側鍵生成部243は、登録情報受信部241により登録情報を受信したことに応じて、登録情報に含まれるパスワードに基づいて秘密鍵及び公開鍵を生成する。また、変更情報受信部242により変更情報を受信したことに応じて、変更情報に含まれるパスワードに基づいて秘密鍵及び公開鍵を生成する。
例えば、サーバ側鍵生成部243は、公知技術である鍵生成アルゴリズムを用いて秘密鍵及び公開鍵を生成する。ここで、サーバ側鍵生成部243は、鍵生成アルゴリズムに対して、登録情報に含まれるパスワードを入力することによって、鍵生成アルゴリズムから秘密鍵及び公開鍵を得る。 The server-side key generation unit 243 generates a secret key and a public key based on the password included in the registration information in response to the registration information receiving unit 241 receiving the registration information. Further, in response to the change information received by the change information receiving unit 242, a secret key and a public key are generated based on the password included in the change information.
For example, the server side key generation unit 243 generates a secret key and a public key using a key generation algorithm that is a publicly known technique. Here, the server-side key generation unit 243 obtains the secret key and the public key from the key generation algorithm by inputting the password included in the registration information for the key generation algorithm.

公開鍵配信部244は、サーバ側鍵生成部243により生成された公開鍵と、登録情報受信部241により受信した登録情報又は変更情報受信部242により受信した変更情報に含まれるユーザIDとを複数のコンテンツサーバ3それぞれに配信する。   The public key distribution unit 244 has a plurality of public keys generated by the server-side key generation unit 243 and registration information received by the registration information reception unit 241 or user IDs included in the change information received by the change information reception unit 242. To each of the content servers 3.

複数のコンテンツサーバ3それぞれは、本発明の機能を実行するプログラム(図示省略)等を記憶する第2記憶部33と、複数のコンテンツサーバ3に係る各機能を統括的に制御する第2制御部34と、を備える。   Each of the plurality of content servers 3 includes a second storage unit 33 that stores a program (not shown) for executing the function of the present invention, and a second control unit that comprehensively controls each function related to the plurality of content servers 3. 34.

第2記憶部33は、上述の各種プログラムの他に、第2認証情報DB331を備える。
第2認証情報DB331は、ユーザIDと、当該ユーザIDに対応する公開鍵とを関連付けて記憶する。 The second storage unit 33 includes a second authentication information DB 331 in addition to the various programs described above.
The second authentication information DB 331 stores a user ID and a public key corresponding to the user ID in association with each other.

第2制御部34は、記憶制御部341と、認証情報受信手段としての認証情報受信部342と、復号試行手段としての復号試行部343と、認証手段としての認証部344とを備える。   The second control unit 34 includes a storage control unit 341, an authentication information receiving unit 342 as an authentication information receiving unit, a decryption trial unit 343 as a decryption trial unit, and an authentication unit 344 as an authentication unit.

記憶制御部341は、パスワード管理サーバ2から配信されたユーザIDと当該ユーザIDに対応する公開鍵とを受信し、これらを関連付けて第2認証情報DB331に記憶させる。   The storage control unit 341 receives the user ID distributed from the password management server 2 and the public key corresponding to the user ID, and stores them in the second authentication information DB 331 in association with each other.

認証情報受信部342は、ユーザ端末4から、ユーザIDと暗号化された認証用データとを受信する。   The authentication information receiving unit 342 receives a user ID and encrypted authentication data from the user terminal 4.

復号試行部343は、認証情報受信部342により受信したユーザIDに対応する公開鍵を第2認証情報DB331から抽出する。そして、抽出した公開鍵によって、受信した認証用データの復号を試行する。   The decryption trial unit 343 extracts the public key corresponding to the user ID received by the authentication information receiving unit 342 from the second authentication information DB 331. Then, it tries to decrypt the received authentication data with the extracted public key.

認証部344は、復号試行部343によって、受信した暗号化された認証用データを復号できた場合に、ユーザ端末4が認証に成功したものとする。   The authentication unit 344 assumes that the user terminal 4 has succeeded in authentication when the decrypted trial unit 343 can decrypt the received encrypted authentication data.

ユーザ端末4は、操作部41と、表示部42と、第3制御部44とを備える。
操作部41は、例えば、キーボード及びポインティング・デバイス(マウス、トラッキングボール等)により実装される。
表示部42は、例えば、液晶ディスプレイやプラズマディスプレイ等の各種ディスプレイにより実装される。 The user terminal 4 includes an operation unit 41, a display unit 42, and a third control unit 44.
The operation unit 41 is implemented by, for example, a keyboard and a pointing device (mouse, tracking ball, etc.).
The display unit 42 is mounted by various displays such as a liquid crystal display and a plasma display.

第3制御部44は、ユーザ端末4に係る各機能を統括的に制御する。第3制御部44は、登録情報送信部441と、変更情報送信部442と、認証要求受付手段としての認証要求受付部443と、端末側鍵生成手段としての端末側鍵生成部444と、暗号化手段としての暗号化部445と、認証情報送信手段としての認証情報送信部446とを備える。   The third control unit 44 comprehensively controls each function related to the user terminal 4. The third control unit 44 includes a registration information transmission unit 441, a change information transmission unit 442, an authentication request reception unit 443 as an authentication request reception unit, a terminal side key generation unit 444 as a terminal side key generation unit, and an encryption An encryption unit 445 serving as an encryption unit and an authentication information transmission unit 446 serving as an authentication information transmission unit.

登録情報送信部441は、操作部41を介して、ユーザからパスワード管理サーバ2のユーザ情報登録用ページのアドレスを受け付ける。そして、登録情報送信部441は、受け付けたアドレスに対応するパスワード管理サーバ2からユーザ情報登録用ページを受信する。そして、登録情報送信部441は、ユーザ情報登録用ページを表示部42に表示させて、ユーザIDとパスワードとの入力を受け付ける。そして、登録情報送信部441は、操作部41を介して、ユーザからユーザIDとパスワードとのパスワード管理サーバ2への登録を受け付ける。そして、登録情報送信部441は、ユーザから受け付けたユーザIDとパスワードとをパスワード管理サーバ2に送信する。   The registration information transmission unit 441 receives the address of the user information registration page of the password management server 2 from the user via the operation unit 41. Then, the registration information transmission unit 441 receives a user information registration page from the password management server 2 corresponding to the received address. Then, the registration information transmission unit 441 displays a user information registration page on the display unit 42 and accepts input of a user ID and a password. Then, the registration information transmission unit 441 receives registration of the user ID and password from the user in the password management server 2 via the operation unit 41. Then, the registration information transmission unit 441 transmits the user ID and password received from the user to the password management server 2.

変更情報送信部442は、ユーザからパスワード管理サーバ2のユーザ情報変更用ページのアドレスを受け付けて、当該アドレスに対応するパスワード管理サーバ2からユーザ情報変更用ページを受信する。そして、変更情報送信部442は、操作部41を介して、ユーザからユーザIDとパスワードとを受け付ける。そして、変更情報送信部442は、ユーザから受け付けたユーザIDとパスワードとをパスワード管理サーバ2に送信する。   The change information transmission unit 442 receives the address of the user information change page of the password management server 2 from the user, and receives the user information change page from the password management server 2 corresponding to the address. Then, the change information transmission unit 442 receives a user ID and a password from the user via the operation unit 41. Then, the change information transmission unit 442 transmits the user ID and password received from the user to the password management server 2.

認証要求受付部443は、ユーザから認証要求を受け付ける。具体的には、認証要求受付部443は、ユーザからコンテンツサーバ3の認証用ページのアドレスを受け付けて、当該アドレスに対応するコンテンツサーバ3から認証用ページを受信する。そして、認証要求受付部443は、認証用ページを表示部42に表示させて、ユーザIDとパスワードとの入力を受け付ける。そして、認証要求受付部443は、操作部41を介して、ユーザからコンテンツサーバ3のアドレスとユーザIDとパスワードとを受け付けることにより、認証要求を受け付ける。   The authentication request receiving unit 443 receives an authentication request from the user. Specifically, the authentication request receiving unit 443 receives the address of the authentication page of the content server 3 from the user, and receives the authentication page from the content server 3 corresponding to the address. Then, the authentication request receiving unit 443 displays an authentication page on the display unit 42 and receives an input of a user ID and a password. Then, the authentication request receiving unit 443 receives the authentication request by receiving the address, the user ID, and the password of the content server 3 from the user via the operation unit 41.

端末側鍵生成部444は、認証要求受付部443によりユーザIDとパスワードとを受け付けたことに応じて、パスワードに基づいて秘密鍵及び公開鍵を生成する。秘密鍵及び公開鍵の生成は、パスワード管理サーバ2における秘密鍵及び公開鍵の生成と同様の方法で行われる。   The terminal-side key generation unit 444 generates a secret key and a public key based on the password in response to reception of the user ID and password by the authentication request reception unit 443. The generation of the secret key and the public key is performed by the same method as the generation of the secret key and the public key in the password management server 2.

暗号化部445は、認証要求受付部443により、認証要求を受け付けたことに応じて、端末側鍵生成部444により生成された秘密鍵によって、認証用データを暗号化する。   The encryption unit 445 encrypts the authentication data with the secret key generated by the terminal-side key generation unit 444 in response to the authentication request reception unit 443 receiving the authentication request.

認証情報送信部446は、ユーザIDと暗号化された認証用データとをアドレスに対応するコンテンツサーバ3に送信する。   The authentication information transmission unit 446 transmits the user ID and the encrypted authentication data to the content server 3 corresponding to the address.

[フローチャート]
続いて、認証システム1における処理の流れについて説明する。
図2は、本実施形態に係る認証システム1においてユーザ情報を登録する処理の流れを示すフローチャートである。 [flowchart]
Next, the flow of processing in the authentication system 1 will be described.
FIG. 2 is a flowchart showing a flow of processing for registering user information in the authentication system 1 according to the present embodiment.

ステップS1において、ユーザ端末4の第3制御部44(登録情報送信部441)は、操作部41を介して、ユーザからパスワード管理サーバ2のユーザ情報登録用ページの取得を要求する。   In step S <b> 1, the third control unit 44 (registration information transmission unit 441) of the user terminal 4 requests acquisition of the user information registration page of the password management server 2 from the user via the operation unit 41.

ステップS2において、パスワード管理サーバ2の第1制御部24(登録情報受信部241)は、ユーザ端末4からユーザ情報登録用ページの取得要求を受け付ける。
ステップS3において、パスワード管理サーバ2の第1制御部24(登録情報受信部241)は、ステップS2において受け付けたユーザ情報登録用ページをユーザ端末4に送信する。 In step S <b> 2, the first control unit 24 (registration information receiving unit 241) of the password management server 2 accepts an acquisition request for a user information registration page from the user terminal 4.
In step S <b> 3, the first control unit 24 (registration information receiving unit 241) of the password management server 2 transmits the user information registration page received in step S <b> 2 to the user terminal 4.

ステップS4において、ユーザ端末4の第3制御部44(登録情報送信部441)は、ステップS3においてパスワード管理サーバ2から送信されたユーザ情報登録用ページを受信し、表示部42に表示させる。   In step S <b> 4, the third control unit 44 (registration information transmission unit 441) of the user terminal 4 receives the user information registration page transmitted from the password management server 2 in step S <b> 3 and displays it on the display unit 42.

ステップS5において、ユーザ端末4の第3制御部44(登録情報送信部441)は、操作部41を介して、ユーザからユーザIDとパスワードとの入力を受け付ける。
ステップS6において、ユーザ端末4の第3制御部44(登録情報送信部441)は、ユーザから受け付けたユーザIDとパスワードとをパスワード管理サーバ2に登録情報として送信する。 In step S <b> 5, the third control unit 44 (registration information transmission unit 441) of the user terminal 4 receives an input of a user ID and a password from the user via the operation unit 41.
In step S <b> 6, the third control unit 44 (registration information transmission unit 441) of the user terminal 4 transmits the user ID and password received from the user to the password management server 2 as registration information.

ステップS7において、パスワード管理サーバ2の第1制御部24(登録情報受信部241)は、ステップS6において送信された登録情報を受信する。
ステップS8において、パスワード管理サーバ2の第1制御部24(登録情報受信部241)は、ステップS7において受信した登録情報に含まれるユーザIDと当該ユーザIDに対応するパスワードとを関連付けて第1認証情報DB231に記憶させる。 In step S7, the first control unit 24 (registration information receiving unit 241) of the password management server 2 receives the registration information transmitted in step S6.
In step S8, the first control unit 24 (registration information receiving unit 241) of the password management server 2 associates the user ID included in the registration information received in step S7 with the password corresponding to the user ID, and performs the first authentication. It memorize | stores in information DB231.

ステップS9において、パスワード管理サーバ2の第1制御部24(サーバ側鍵生成部243)は、ステップS7において登録情報を受信したことに応じて、登録情報に含まれるパスワードに基づいて秘密鍵及び公開鍵を生成する。
ステップS10において、パスワード管理サーバ2の第1制御部24(公開鍵配信部244)は、ステップS9において生成された公開鍵と、ステップS7において受信した登録情報に含まれるユーザIDとを複数のコンテンツサーバ3それぞれに配信する。 In step S9, the first control unit 24 (server-side key generation unit 243) of the password management server 2 receives the registration information in step S7 and, based on the password included in the registration information, discloses the secret key and the public key. Generate a key.
In step S10, the first control unit 24 (public key distribution unit 244) of the password management server 2 uses the public key generated in step S9 and the user ID included in the registration information received in step S7 as a plurality of contents. Delivered to each server 3.

ステップS11において、コンテンツサーバ3の第2制御部34(記憶制御部341)は、ステップS10において配信されたユーザIDと当該ユーザIDに対応する公開鍵とを受信し、当該ユーザIDと当該公開鍵とを関連付けて第2認証情報DB331に記憶させる。   In step S11, the second control unit 34 (storage control unit 341) of the content server 3 receives the user ID distributed in step S10 and the public key corresponding to the user ID, and receives the user ID and the public key. Are stored in the second authentication information DB 331 in association with each other.

図3は、本実施形態に係る認証システム1においてユーザ情報を変更する処理の流れを示すフローチャートである。   FIG. 3 is a flowchart showing a flow of processing for changing user information in the authentication system 1 according to the present embodiment.

ステップS21において、ユーザ端末4の第3制御部44(変更情報送信部442)は、操作部41を介して、ユーザからパスワード管理サーバ2のユーザ情報変更用ページの取得を要求する。   In step S <b> 21, the third control unit 44 (change information transmission unit 442) of the user terminal 4 requests acquisition of the user information change page of the password management server 2 from the user via the operation unit 41.

ステップS22において、パスワード管理サーバ2の第1制御部24(変更情報受信部242)は、ユーザ端末4からユーザ情報変更用ページの取得要求を受け付ける。
ステップS23において、パスワード管理サーバ2の第1制御部24(変更情報受信部242)は、ステップS22において受け付けたユーザ情報変更用ページをユーザ端末4に送信する。 In step S <b> 22, the first control unit 24 (change information receiving unit 242) of the password management server 2 receives a user information change page acquisition request from the user terminal 4.
In step S23, the first control unit 24 (change information receiving unit 242) of the password management server 2 transmits the user information change page received in step S22 to the user terminal 4.

ステップS24において、ユーザ端末4の第3制御部44(変更情報送信部442)は、ステップS21においてパスワード管理サーバ2から送信されたユーザ情報変更用ページを受信し、表示部42に表示させる。   In step S24, the third control unit 44 (change information transmission unit 442) of the user terminal 4 receives the user information change page transmitted from the password management server 2 in step S21 and causes the display unit 42 to display it.

ステップS25において、ユーザ端末4の第3制御部44(変更情報送信部442)は、操作部41を介して、ユーザからユーザIDとパスワードとの入力を受け付ける。
ステップS26において、ユーザ端末4の第3制御部44(変更情報送信部442)は、ユーザから受け付けたユーザIDとパスワードとをパスワード管理サーバ2に変更情報として送信する。 In step S <b> 25, the third control unit 44 (change information transmission unit 442) of the user terminal 4 receives an input of a user ID and a password from the user via the operation unit 41.
In step S <b> 26, the third control unit 44 (change information transmission unit 442) of the user terminal 4 transmits the user ID and password received from the user to the password management server 2 as change information.

ステップS27において、パスワード管理サーバ2の第1制御部24(変更情報受信部242)は、ステップS26において送信された変更情報を受信する。
ステップS28において、パスワード管理サーバ2の第1制御部24(変更情報受信部242)は、ステップS27において受信した変更情報に含まれるユーザIDと当該ユーザIDに対応するパスワードとを関連付けて第1認証情報DB231に記憶させる。 In step S27, the first control unit 24 (change information receiving unit 242) of the password management server 2 receives the change information transmitted in step S26.
In step S28, the first control unit 24 (change information receiving unit 242) of the password management server 2 associates the user ID included in the change information received in step S27 with the password corresponding to the user ID, and performs the first authentication. It memorize | stores in information DB231.

ステップS29において、パスワード管理サーバ2の第1制御部24(サーバ側鍵生成部243)は、ステップS27において変更情報を受信したことに応じて、変更情報に含まれるパスワードに基づいて秘密鍵及び公開鍵を生成する。
ステップS30において、パスワード管理サーバ2の第1制御部24(公開鍵配信部244)は、ステップS29において生成された公開鍵と、ステップS27において受信した変更情報に含まれるユーザIDとを複数のコンテンツサーバ3それぞれに配信する。 In step S29, the first control unit 24 (server-side key generation unit 243) of the password management server 2 receives the change information in step S27 and, based on the password included in the change information, releases the secret key and the public key. Generate a key.
In step S30, the first control unit 24 (public key distribution unit 244) of the password management server 2 uses the public key generated in step S29 and the user ID included in the change information received in step S27 as a plurality of contents. Delivered to each server 3.

ステップS31において、コンテンツサーバ3の第2制御部34(記憶制御部341)は、ステップS30において配信されたユーザIDと当該ユーザIDに対応する公開鍵とを受信し、当該ユーザIDと当該公開鍵とを関連付けて第2認証情報DB331に記憶させる。   In step S31, the second control unit 34 (storage control unit 341) of the content server 3 receives the user ID distributed in step S30 and the public key corresponding to the user ID, and receives the user ID and the public key. Are stored in the second authentication information DB 331 in association with each other.

図4は、本実施形態に係る認証システム1において認証を行う処理の流れを示すフローチャートである。   FIG. 4 is a flowchart showing a flow of processing for performing authentication in the authentication system 1 according to the present embodiment.

ステップS41において、ユーザ端末4の第3制御部44(認証要求受付部443)は、操作部41を介して、ユーザからコンテンツサーバ3の認証用ページの取得を要求する。   In step S <b> 41, the third control unit 44 (authentication request receiving unit 443) of the user terminal 4 requests acquisition of the authentication page of the content server 3 from the user via the operation unit 41.

ステップS42において、コンテンツサーバ3の第2制御部34(認証情報受信部342)は、ユーザ端末4から認証用ページの取得要求を受け付ける。
ステップS43において、コンテンツサーバ3の第2制御部34(認証情報受信部342)は、ステップS42において受け付けた認証用ページをユーザ端末4に送信する。 In step S <b> 42, the second control unit 34 (authentication information receiving unit 342) of the content server 3 receives an authentication page acquisition request from the user terminal 4.
In step S43, the second control unit 34 (authentication information receiving unit 342) of the content server 3 transmits the authentication page received in step S42 to the user terminal 4.

ステップS44において、ユーザ端末4の第3制御部44(認証要求受付部443)は、ユーザから受け付けた当該アドレスに対応するコンテンツサーバ3の認証用ページを、コンテンツサーバ3から受信し、表示部42に表示させる。
ステップS45において、ユーザ端末4の第3制御部44(認証要求受付部443)は、操作部41を介して、ユーザからユーザIDとパスワードとの入力を受け付ける。 In step S44, the third control unit 44 (authentication request receiving unit 443) of the user terminal 4 receives the authentication page of the content server 3 corresponding to the address received from the user from the content server 3, and displays the display unit 42. To display.
In step S <b> 45, the third control unit 44 (authentication request receiving unit 443) of the user terminal 4 receives an input of a user ID and a password from the user via the operation unit 41.

ステップS46において、ユーザ端末4の第3制御部44(端末側鍵生成部444)は、ステップS45においてユーザからユーザIDとパスワードとを受け付けたことに応じて、パスワードに基づいて秘密鍵及び公開鍵を生成する。
ステップS47において、ユーザ端末4の第3制御部44(暗号化部445)は、ステップS46において生成された秘密鍵によって、認証用データを暗号化する。 In step S46, the third control unit 44 (terminal-side key generation unit 444) of the user terminal 4 receives the user ID and password from the user in step S45, and based on the password, the secret key and the public key Is generated.
In step S47, the third control unit 44 (encryption unit 445) of the user terminal 4 encrypts the authentication data using the secret key generated in step S46.

ステップS48において、ユーザ端末4の第3制御部44(認証情報送信部446)は、ステップS45において受け付けたユーザIDとステップS47において暗号化した認証用データとをステップS41において認証用ページの取得を要求したコンテンツサーバ3に送信する。   In step S48, the third control unit 44 (authentication information transmission unit 446) of the user terminal 4 obtains the authentication page in step S41 based on the user ID received in step S45 and the authentication data encrypted in step S47. Transmit to the requested content server 3.

ステップS49において、コンテンツサーバ3の第2制御部34(認証情報受信部342)は、ユーザ端末4から、ユーザIDと暗号化された認証用データとを受信する。   In step S <b> 49, the second control unit 34 (authentication information receiving unit 342) of the content server 3 receives the user ID and the encrypted authentication data from the user terminal 4.

ステップS50において、コンテンツサーバ3の第2制御部34(復号試行部343)は、ステップS49において受信したユーザIDに対応する公開鍵を第2認証情報DB331から取得し、当該公開鍵によってステップS49において受信した暗号化された認証用データの復号を試行する。コンテンツサーバ3の第2制御部34(復号試行部343)は、復号が成功した場合(ステップS50:YES)、ステップS51に処理を移す。コンテンツサーバ3の第2制御部34(復号試行部343)は、復号が成功しなかった場合(ステップS50:NO)、ステップS52に処理を移す。   In step S50, the second control unit 34 (decryption trial unit 343) of the content server 3 acquires the public key corresponding to the user ID received in step S49 from the second authentication information DB 331, and uses the public key in step S49. Attempts to decrypt the received encrypted authentication data. When the decryption is successful (step S50: YES), the second control unit 34 (decryption trial unit 343) of the content server 3 moves the process to step S51. If the decryption is not successful (step S50: NO), the second control unit 34 (decryption trial unit 343) of the content server 3 moves the process to step S52.

ステップS51において、コンテンツサーバ3の第2制御部34(認証部344)は、ユーザ端末4が認証に成功したものとし、認証に成功した旨を示すページをユーザ端末4に送信する。その後、コンテンツサーバ3からユーザ端末4にコンテンツが送信される。
ステップS52において、コンテンツサーバ3の第2制御部34(認証部344)は、ユーザ端末4が認証に失敗したものとし、認証に失敗した旨を示すページをユーザ端末4に送信する。 In step S51, the second control unit 34 (authentication unit 344) of the content server 3 assumes that the user terminal 4 has been successfully authenticated, and transmits a page indicating that the authentication has been successful to the user terminal 4. Thereafter, the content is transmitted from the content server 3 to the user terminal 4.
In step S52, the second control unit 34 (authentication unit 344) of the content server 3 assumes that the user terminal 4 has failed in authentication, and transmits a page indicating that the authentication has failed to the user terminal 4.

ステップS53において、ユーザ端末4の第3制御部44は、ステップS51又はステップS52においてコンテンツサーバ3から送信された認証結果に係るページを受信する。
ステップS54において、ユーザ端末4の第3制御部44は、ステップS53において受信した認証結果に係るページを表示部42に表示させる。 In step S53, the third control unit 44 of the user terminal 4 receives the page related to the authentication result transmitted from the content server 3 in step S51 or step S52.
In step S54, the third control unit 44 of the user terminal 4 causes the display unit 42 to display a page related to the authentication result received in step S53.

以上、本実施形態によれば、認証システム1では、ユーザ端末4は、端末側鍵生成部444により、認証要求受付部443によりユーザIDとパスワードとを受け付けた場合に、パスワードに基づいて秘密鍵及び公開鍵を生成し、暗号化部445により、端末側鍵生成部444により生成された秘密鍵によって、認証用データを暗号化し、認証情報送信部446により、ユーザIDと暗号化された認証用データとを対応するコンテンツサーバ3に送信する。また、コンテンツサーバ3は、復号試行部343により、認証情報受信部342により受信したユーザIDに対応し、第2認証情報DB331に記憶されている公開鍵によって、受信した認証用データの復号を試行し、認証部344により、復号試行部343により暗号化された認証用データを復号できた場合に、ユーザ端末4が認証に成功したものとする。   As described above, according to the present embodiment, in the authentication system 1, when the user terminal 4 receives the user ID and password from the authentication request receiving unit 443 by the terminal-side key generation unit 444, the secret key is based on the password. And the public key, and the encryption unit 445 encrypts the authentication data with the secret key generated by the terminal-side key generation unit 444, and the authentication information transmission unit 446 encrypts the user ID and the authentication data. The data is transmitted to the corresponding content server 3. In addition, the content server 3 attempts to decrypt the received authentication data using the public key stored in the second authentication information DB 331 corresponding to the user ID received by the authentication information receiving unit 342 by the decryption trial unit 343. When the authentication unit 344 can decrypt the authentication data encrypted by the decryption trial unit 343, it is assumed that the user terminal 4 has been successfully authenticated.

このように、コンテンツサーバ3は、コンテンツサーバ3に記憶されている公開鍵に基づいて、ユーザ端末4から受信した暗号化された認証用データを復号できたことに応じて、ユーザ端末4が認証に成功したものとするので、認証時にパスワード管理サーバ2にアクセスすることなく認証を行うことができる。また、コンテンツサーバ3では、パスワードの照合を行うことなく、公開鍵によって認証を行う。ここで、公開鍵に基づいてパスワードを推定することは困難であることから、認証システム1は、コンテンツサーバ3から第三者に対して公開鍵が漏えいした場合であっても、セキュリティを維持することができる。したがって、認証システム1は、クラウドコンピューティングを利用した場合であっても、セキュリティが強固、かつ、認証に係る処理が遅延しにくいものとすることができる。   In this way, the content server 3 authenticates the user terminal 4 in response to the decryption of the encrypted authentication data received from the user terminal 4 based on the public key stored in the content server 3. Therefore, authentication can be performed without accessing the password management server 2 at the time of authentication. Further, the content server 3 performs authentication using the public key without performing password verification. Here, since it is difficult to estimate the password based on the public key, the authentication system 1 maintains security even when the public key is leaked from the content server 3 to a third party. be able to. Therefore, even if the authentication system 1 uses cloud computing, security can be strengthened and processing related to authentication can hardly be delayed.

また、認証システム1では、パスワード管理サーバ2は、登録情報受信部241により、ユーザ端末4から、ユーザIDとパスワードとを登録情報として受信し、サーバ側鍵生成部243により、登録情報受信部241により登録情報を受信したことに応じて、登録情報に含まれるパスワードに基づいて秘密鍵及び公開鍵を生成し、公開鍵配信部244により、サーバ側鍵生成部243により生成された公開鍵と、登録情報受信部241により受信した登録情報に含まれるユーザIDとを複数のコンテンツサーバ3それぞれに配信する。   In the authentication system 1, the password management server 2 receives the user ID and password as registration information from the user terminal 4 by the registration information reception unit 241, and the registration information reception unit 241 by the server side key generation unit 243. In response to receiving the registration information according to, a secret key and a public key are generated based on the password included in the registration information, and the public key generated by the server-side key generation unit 243 by the public key distribution unit 244; The user ID included in the registration information received by the registration information receiving unit 241 is distributed to each of the plurality of content servers 3.

このように、認証システム1は、パスワード管理サーバ2がユーザ端末4から受信したパスワードをコンテンツサーバ3に送信することがないため、パスワードの受け渡し時における盗聴等のリスクを排除して、セキュリティを強固なものとすることができる。   As described above, the authentication system 1 does not transmit the password received by the password management server 2 from the user terminal 4 to the content server 3, thereby eliminating the risk of eavesdropping and the like at the time of passing the password and strengthening the security. Can be.

また、認証システム1では、パスワード管理サーバ2は、変更情報受信部242により、ユーザ端末4から、ユーザIDとパスワードとを変更情報として受信し、サーバ側鍵生成部243により、変更情報受信部242により変更情報を受信したことに応じて、変更情報に含まれるパスワードに基づいて秘密鍵及び公開鍵を生成する。   In the authentication system 1, the password management server 2 receives the user ID and password as change information from the user terminal 4 by the change information reception unit 242, and the change information reception unit 242 by the server side key generation unit 243. In response to receiving the change information, the private key and the public key are generated based on the password included in the change information.

このように、認証システム1は、ユーザ端末4におけるパスワードの更新においてもパスワード管理サーバ2からコンテンツサーバ3にパスワードが送信されない。よって、認証システム1は、パスワードの更新時においても、パスワードの受け渡し時における盗聴等のリスクを排除して、セキュリティを強固なものとすることができる。   Thus, the authentication system 1 does not transmit the password from the password management server 2 to the content server 3 even when the password is updated in the user terminal 4. Therefore, even when the password is updated, the authentication system 1 can eliminate the risk of eavesdropping and the like at the time of passing the password, and can strengthen the security.

以上、本発明の実施形態について説明したが、本発明は前述した実施形態に限るものではない。また、本発明の実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、本発明の実施形態に記載されたものに限定されるものではない。   As mentioned above, although embodiment of this invention was described, this invention is not restricted to embodiment mentioned above. The effects described in the embodiments of the present invention are only the most preferable effects resulting from the present invention, and the effects of the present invention are limited to those described in the embodiments of the present invention. is not.

本実施形態では、パスワード管理サーバ2、コンテンツサーバ3、及びユーザ端末4というコンピュータを含む認証システム1を例にとって説明したが、本発明は当該システムに限られるものではなく、それぞれのコンピュータが各種機能を実行する方法、コンピュータに各種機能を実行させるためのプログラム、及びこのプログラムを記憶した記憶媒体にも適用可能である。   In the present embodiment, the authentication system 1 including the computers of the password management server 2, the content server 3, and the user terminal 4 has been described as an example. However, the present invention is not limited to the system, and each computer has various functions. The present invention can also be applied to a method for executing the program, a program for causing a computer to execute various functions, and a storage medium storing the program.

1 認証システム
2 パスワード管理サーバ
3 コンテンツサーバ
4 ユーザ端末
23 第1記憶部
24 第1制御部
33 第2記憶部
34 第2制御部
41 操作部
42 表示部
43 第3制御部
231 第1認証情報DB
241 登録情報受信部
242 変更情報受信部
243 サーバ側鍵生成部
244 公開鍵配信部
331 第2認証情報DB
341 記憶制御部
342 認証情報受信部
343 復号試行部
344 認証部
441 登録情報送信部
442 変更情報送信部
443 認証要求受付部
444 端末側鍵生成部
445 暗号化部
446 認証情報送信部 DESCRIPTION OF SYMBOLS 1 Authentication system 2 Password management server 3 Content server 4 User terminal 23 1st memory | storage part 24 1st control part 33 2nd memory | storage part 34 2nd control part 41 Operation part 42 Display part 43 3rd control part 231 1st authentication information DB
241 Registration information reception unit 242 Change information reception unit 243 Server side key generation unit 244 Public key distribution unit 331 Second authentication information DB
341 Storage control unit 342 Authentication information reception unit 343 Decryption trial unit 344 Authentication unit 441 Registration information transmission unit 442 Change information transmission unit 443 Authentication request reception unit 444 Terminal side key generation unit 445 Encryption unit 446 Authentication information transmission unit

Claims (3)

ユーザ端末と、前記ユーザ端末と通信可能に接続された複数サーバと、前記ユーザ端末及び前記複数サーバに対して通信可能に接続されたパスワード管理サーバとを備える認証システムであって、
前記ユーザ端末は、
ユーザから、前記複数サーバのいずれかのアドレスとユーザIDとパスワードとを認証情報として受け付けることで認証要求を受け付ける認証要求受付手段と、
前記認証要求受付手段により受け付けた前記パスワードに基づいて秘密鍵を生成する端末側鍵生成手段と、
前記認証要求受付手段により前記認証要求を受け付けた場合に、認証用データを前記端末側鍵生成手段により生成された前記秘密鍵によって暗号化する暗号化手段と、
前記ユーザのユーザIDと暗号化された前記認証用データとを前記アドレスに対応するサーバに送信する認証情報送信手段と、を有し、
前記パスワード管理サーバは、
前記ユーザ端末から、前記ユーザIDと前記パスワードとを登録情報として受信する登録情報受信手段と、
前記登録情報受信手段により前記登録情報を受信したことに応じて、前記登録情報に含まれるパスワードに基づいて秘密鍵及び公開鍵を生成するサーバ側鍵生成手段と、
前記サーバ側鍵生成手段により生成された公開鍵と、前記登録情報受信手段により受信した前記登録情報に含まれるユーザIDとを前記複数サーバそれぞれに配信する公開鍵配信手段と、を有し、
前記複数サーバそれぞれは、
前記パスワード管理サーバから配信された、前記ユーザIDと、当該ユーザIDに対応する公開鍵とを記憶する認証情報記憶手段と、
前記ユーザ端末から、前記ユーザIDと暗号化された前記認証用データとを受信する認証情報受信手段と、
前記認証情報受信手段により受信した前記ユーザIDに対応し、前記認証情報記憶手段に記憶されている前記公開鍵によって、受信した認証用データの復号を試行する復号試行手段と、
前記復号試行手段によって、受信した暗号化された前記認証用データを復号できた場合に、前記ユーザ端末が認証に成功したものとする認証手段と、を有する認証システム。 An authentication system comprising a user terminal, a plurality of servers connected to be communicable with the user terminal, and a password management server connected to be communicable with the user terminal and the plurality of servers ,
The user terminal is
An authentication request accepting unit that accepts an authentication request by accepting an address, a user ID, and a password of the plurality of servers as authentication information from a user ;
Terminal-side key generation means for generating a secret key based on the password received by the authentication request reception means;
An encryption unit that encrypts authentication data with the secret key generated by the terminal-side key generation unit when the authentication request is received by the authentication request reception unit;
Authentication information transmitting means for transmitting the user ID of the user and the encrypted data for authentication to a server corresponding to the address ;
The password management server
Registration information receiving means for receiving the user ID and the password as registration information from the user terminal;
A server-side key generation unit that generates a secret key and a public key based on a password included in the registration information in response to receiving the registration information by the registration information reception unit;
Public key distribution means for distributing the public key generated by the server side key generation means and the user ID included in the registration information received by the registration information reception means to each of the plurality of servers,
Each of the plurality of servers is
Authentication information storage means for storing the user ID distributed from the password management server and a public key corresponding to the user ID;
Authentication information receiving means for receiving the user ID and the encrypted data for authentication from the user terminal;
Corresponding to the user ID received by the authentication information receiving means, decryption trial means for trying to decrypt received authentication data with the public key stored in the authentication information storage means;
An authentication system comprising: an authentication unit that determines that the user terminal has been successfully authenticated when the received encrypted data for authentication can be decrypted by the decryption trial unit. 前記パスワード管理サーバは、
さらに、前記ユーザ端末から、前記ユーザIDと前記パスワードとを変更情報として受信する変更情報受信手段を有し
前記サーバ側鍵生成手段は、前記変更情報受信手段により変更情報を受信したことに応じて、前記変更情報に含まれるパスワードに基づいて前記秘密鍵及び前記公開鍵を生成する、
請求項記載の認証システム。 The password management server
Furthermore, it has change information receiving means for receiving the user ID and the password as change information from the user terminal,
The server-side key generation means generates the secret key and the public key based on a password included in the change information in response to the change information received by the change information receiving means.
The authentication system according to claim 1 . ユーザ端末と、前記ユーザ端末と通信可能に接続された複数サーバと、前記ユーザ端末及び前記複数サーバに対して通信可能に接続されたパスワード管理サーバとを備える認証システムにおいて実行される認証方法であって、
前記ユーザ端末が、
ユーザから、前記複数サーバのいずれかのアドレスとユーザIDとパスワードとを認証情報として受け付けることで認証要求を受け付ける認証要求受付ステップと、
前記認証要求受付ステップにより受け付けた前記パスワードに基づいて秘密鍵を生成する端末側鍵生成ステップと、
前記認証要求受付ステップにおいて前記認証要求を受け付けた場合に、認証用データを前記端末側鍵生成ステップにより生成された前記秘密鍵によって暗号化する暗号化ステップと、
前記ユーザのユーザIDと暗号化された前記認証用データとを前記アドレスに対応するサーバに送信する認証情報送信ステップと、を実行し、
前記パスワード管理サーバは、
前記ユーザ端末から、前記ユーザIDと前記パスワードとを登録情報として受信する登録情報受信ステップと、
前記登録情報受信ステップにより前記登録情報を受信したことに応じて、前記登録情報に含まれるパスワードに基づいて秘密鍵及び公開鍵を生成するサーバ側鍵生成ステップと、
前記サーバ側鍵生成ステップにより生成された公開鍵と、前記登録情報受信ステップにより受信した前記登録情報に含まれるユーザIDとを前記複数サーバそれぞれに配信する公開鍵配信ステップと、を実行し、
前記複数サーバそれぞれは、
前記パスワード管理サーバから配信された、前記ユーザIDと、当該ユーザIDに対応する公開鍵とを記憶する認証情報記憶手段とを備え、
前記ユーザ端末から、前記ユーザIDと暗号化された前記認証用データとを受信する認証情報受信ステップと、
前記認証情報受信ステップにおいて受信した前記ユーザIDに対応し、前記認証情報記憶手段に記憶されている前記公開鍵によって、受信した認証用データの復号を試行する復号試行ステップと、
前記復号試行ステップにおいて、受信した暗号化された前記認証用データを復号できた場合に、前記ユーザ端末が認証に成功したものとする認証ステップと、を実行する認証方法。 An authentication method executed in an authentication system comprising: a user terminal; a plurality of servers connected to be communicable with the user terminal; and a password management server connected to be communicable with the user terminals and the plurality of servers. And
The user terminal is
An authentication request accepting step for accepting an authentication request from a user by accepting any address, user ID, and password of the plurality of servers as authentication information ;
A terminal-side key generation step for generating a secret key based on the password received by the authentication request reception step;
An encryption step of encrypting authentication data with the secret key generated by the terminal-side key generation step when the authentication request is received in the authentication request reception step;
An authentication information transmission step of transmitting the user ID of the user and the encrypted data for authentication to a server corresponding to the address ; and
The password management server
A registration information receiving step for receiving the user ID and the password as registration information from the user terminal;
A server-side key generation step for generating a secret key and a public key based on a password included in the registration information in response to receiving the registration information in the registration information reception step;
Executing the public key generated in the server-side key generation step and the public key distribution step of distributing the user ID included in the registration information received in the registration information reception step to each of the plurality of servers,
Each of the plurality of servers is
Authentication information storage means for storing the user ID and the public key corresponding to the user ID distributed from the password management server ;
An authentication information receiving step of receiving the user ID and the encrypted data for authentication from the user terminal;
Corresponding to the user ID received in the authentication information receiving step, a decryption trial step for trying to decrypt the received authentication data with the public key stored in the authentication information storage means;
An authentication method for executing, in the decryption trial step, an authentication step in which the user terminal succeeds in authentication when the received encrypted authentication data can be decrypted.
JP2011117207A 2011-05-25 2011-05-25 Authentication system and authentication method Active JP5373852B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011117207A JP5373852B2 (en) 2011-05-25 2011-05-25 Authentication system and authentication method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011117207A JP5373852B2 (en) 2011-05-25 2011-05-25 Authentication system and authentication method

Publications (2)

Publication Number Publication Date
JP2012247858A JP2012247858A (en) 2012-12-13
JP5373852B2 true JP5373852B2 (en) 2013-12-18

Family

ID=47468280

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011117207A Active JP5373852B2 (en) 2011-05-25 2011-05-25 Authentication system and authentication method

Country Status (1)

Country Link
JP (1) JP5373852B2 (en)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2011040023A1 (en) * 2009-09-29 2011-04-07 パナソニック株式会社 Encryption apparatus, decryption apparatus, encryption method, decryption method and encryption/decryption system
JP2016029514A (en) * 2012-12-21 2016-03-03 貴弘 高坂 Authentication support device, terminal devices, authentication system, and storage medium
JP6701011B2 (en) * 2016-06-29 2020-05-27 株式会社エヌ・ティ・ティ・データ Terminal registration method and terminal registration system
CN110138545A (en) * 2018-02-02 2019-08-16 戴新生 A kind of guard method and system of private data
CN110930150A (en) * 2019-11-28 2020-03-27 吉林亿联银行股份有限公司 Voucher generation method, voucher signature device, voucher verification method, voucher generation device, voucher verification device, and storage medium
WO2021133152A1 (en) * 2019-12-23 2021-07-01 Mimos Berhad A method for authenticating and synchronizing offline data
JP2021118406A (en) * 2020-01-23 2021-08-10 株式会社リーディングエッジ User authentication method and user authentication method
CN111369364B (en) * 2020-03-02 2024-02-23 中国农业银行股份有限公司 Electronic signature method and device based on super counter
CN112349003A (en) * 2020-11-17 2021-02-09 深圳Tcl新技术有限公司 Door lock password transmission method, lock body, server and readable storage medium

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002063139A (en) * 2000-08-21 2002-02-28 Matsushita Electric Ind Co Ltd Terminal equipment and server device and terminal authenticating method
JP3770173B2 (en) * 2002-02-14 2006-04-26 日本電気株式会社 Common key management system and common key management method

Also Published As

Publication number Publication date
JP2012247858A (en) 2012-12-13

Similar Documents

Publication Publication Date Title
JP5373852B2 (en) Authentication system and authentication method
US11165565B2 (en) Secure distribution private keys for use by untrusted code
CN109088889B (en) SSL encryption and decryption method, system and computer readable storage medium
US10061914B2 (en) Account recovery protocol
CN107959567B (en) Data storage method, data acquisition method, device and system
US9917829B1 (en) Method and apparatus for providing a conditional single sign on
JP7202688B2 (en) Authentication system, authentication method, application providing device, authentication device, and authentication program
US9749130B2 (en) Distributing keys for decrypting client data
CN109547198B (en) System for network transmission video file
EP2251810B1 (en) Authentication information generation system, authentication information generation method, and authentication information generation program utilizing a client device and said method
EP3201815B1 (en) User authentication
CN108809633B (en) Identity authentication method, device and system
JP2012005129A (en) Method for securing transmission data and security system
EP4007964A1 (en) Secure media delivery
WO2015122009A1 (en) Service providing method, service requesting method, information processing device, and client device
US20140250499A1 (en) Password based security method, systems and devices
JP2005301577A (en) Authentication system, authentication program for server, and authentication program for client
KR102252731B1 (en) Key management method and apparatus for software authenticator
US20100146605A1 (en) Method and system for providing secure online authentication
KR102070248B1 (en) User authentication apparatus supporting secure storage of private key and operating method thereof
JP2008083759A (en) Login processor, login processing system, program and recording medium
KR101708880B1 (en) Integrated lon-in apparatus and integrated log-in method
JP2023532976A (en) Method and system for verification of user identity
CN105426771A (en) Method for realizing security of big data
JP6165044B2 (en) User authentication apparatus, system, method and program

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130529

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130611

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20130718

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130809

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130827

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130919

R150 Certificate of patent or registration of utility model

Ref document number: 5373852

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313111

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313111

R371 Transfer withdrawn

Free format text: JAPANESE INTERMEDIATE CODE: R371

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313111

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350