JP6165044B2 - 利用者認証装置、システム、方法及びプログラム - Google Patents
利用者認証装置、システム、方法及びプログラム Download PDFInfo
- Publication number
- JP6165044B2 JP6165044B2 JP2013259595A JP2013259595A JP6165044B2 JP 6165044 B2 JP6165044 B2 JP 6165044B2 JP 2013259595 A JP2013259595 A JP 2013259595A JP 2013259595 A JP2013259595 A JP 2013259595A JP 6165044 B2 JP6165044 B2 JP 6165044B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- random number
- secret
- user
- secret information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
(1) クライアント端末から送信された情報に基づいてユーザを認証する利用者認証装置であって、前記ユーザに関する複数の秘密情報について、それぞれの前記秘密情報に基づいて生成された秘密鍵と前記秘密情報の種類とを対応付け、前記ユーザの識別情報ごとに記憶する秘密鍵記憶手段と、乱数を生成する乱数生成手段と、前記複数の秘密情報のうち認証に使用する前記秘密情報を指定する指定情報を作成する指定情報作成手段と、前記乱数生成手段によって生成された乱数と、前記指定情報作成手段によって作成された前記指定情報とを前記クライアント端末に送信する乱数送信手段と、前記乱数送信手段によって送信された前記乱数及び前記指定情報を受信し、前記指定情報に基づいた前記秘密情報を前記ユーザから受け付け、受け付けた前記秘密情報に基づいて前記乱数を暗号化したクライアント端末から、前記乱数が暗号化された暗号を受信する暗号受信手段と、前記指定情報に基づいた前記秘密鍵を前記秘密鍵記憶手段に基づいて抽出し、抽出した秘密鍵を用いて、前記暗号受信手段によって受信された前記暗号を復号し、前記ユーザを認証する認証手段と、を備える利用者認証装置。
したがって、(1)に係る利用者認証装置は、本人認証に秘密情報を利用しても、秘密情報の漏洩の危険性がなく、秘密情報を組み合わせて利用者を安全に認証することができる。
さらに、本発明により、より柔軟なユーザ認証方式を実現することができる。
ユーザは、認証に使う秘密情報を指定し、それを公開鍵として属性暗号方式で用いられる秘密鍵の生成を行い、生成された秘密鍵を利用者認証装置10に登録する。なお、実際の秘密鍵の生成は信頼できる第三者が行う。このとき、利用者認証装置10に保存される秘密鍵の個数は、ユーザの秘密情報の個数に等しく、その組み合わせを考慮する必要はない。
利用者認証装置10は、チャレンジとして乱数を生成し、クライアントに送信する。その際、どの秘密情報を入力すべきかを指定した情報もクライアント端末50に送付する。暗号化の際の暗号化ポリシーがそのままユーザの秘密情報の選択ポリシーとなる。
クライアント端末50は、ユーザに対し、利用者認証装置10から指定された秘密情報の入力を促す。入力された秘密情報を利用して、送られてきた乱数を暗号化し利用者認証装置10に送信する。
利用者認証装置10は、送られてきた暗号文を秘密鍵を使って復号し、自分が送付した乱数と一致するかどうかを検証する。一致すれば認証完了とする。
属性暗号とは、複数の属性A,B,C,…を使って暗号化、復号を行う手法であり、それぞれの属性に対して鍵a,b,c,…が割り当てられる。暗号化の際に復号の条件を指定することで、特定の属性を持つ人物しか復号できないようにする。条件の設定には、AかつB(AND条件)、A又はB(OR条件)を指定できる。
本発明では、属性がユーザの秘密情報であり公開されない。また、属性に対しての鍵は、認証を行う利用者認証装置10に登録される。
具体的な手順は以下の通りである。
(1)ユーザは、認証に使う秘密情報を指定し、それを公開鍵として属性暗号方式で用いられる秘密鍵の生成を行う。生成された秘密鍵を利用者認証装置10に登録する。
(2)利用者認証装置10はチャレンジとして乱数Rを生成し、クライアント端末50に送信する。その際、どの秘密情報を入力すべきかを指定した情報(ポリシー)もクライアント端末50に送付する。
(3)クライアント端末50は、ユーザに対し、利用者認証装置10から指定された秘密情報の入力を促す。秘密情報の入力を利用して、送られてきた乱数を暗号化する。暗号化の際の暗号化ポリシーがそのままユーザの秘密情報の選択ポリシーとなる。
(4)利用者認証装置10は、ポリシーに従って秘密鍵を選択し、選択した秘密鍵を使って送られてきた暗号文を復号し、自分が送付した乱数と一致するかどうかを検証する。一致すれば認証完了とする。なお、ポリシーとしてOR条件を用いた場合、入力されたそれぞれの秘密情報に対応する秘密鍵すべてで同様の検証を実施しなければならない。
図1は、本発明の一実施形態に係る利用者認証装置10の構成を示す図である。
利用者認証装置10は、秘密鍵記憶手段31と、乱数生成手段11と、指定情報作成手段12と、乱数送信手段13と、暗号受信手段14と、認証手段15と、認証レベル決定手段16とを備える。各手段ごとに説明する。
秘密鍵記憶手段31は、後述する図2のように、ユーザIDごとに、秘密情報の種類と秘密鍵とを対応付けて記憶する。なお、利用者認証装置10に保存される秘密鍵は、ユーザの秘密情報から生成されているが、一方向性関数を用いて生成されるため、秘密鍵から秘密情報を復元することは不可能である。
指定情報作成手段12によって作成される指定情報によって、認証されるユーザがクライアント端末50において入力する秘密情報が指定される。例えば、職業と趣味とが指定された場合、上述の例において、ユーザは、認証されるために、クライアント端末50において、職業として「公務員」、趣味として「剣道3段」を入力する必要がある。
なお、秘密情報の指定情報は、秘密情報のリストであってもよい。利用者認証装置10は、許容される秘密情報のリストのみを送信し、クライアント端末50においてユーザによってそのリストの中から秘密情報が選択される方式としてもよい。その場合には、クライアント端末50は、ユーザによって選択された秘密情報の種類も返信する。
すなわち、乱数及び指定情報を受信したクライアント端末50は、ユーザに対し、指定された秘密情報の入力を促し、入力された秘密情報に基づいて、受信した乱数を暗号化し、暗号化した暗号を利用者認証装置10に送信する。
具体的には、認証手段15は、秘密情報の指定情報に基づいて、秘密鍵を選択し、選択した秘密鍵を用いて暗号を復号する。そして、認証手段15は、復号した暗号と送付した乱数とが一致するかどうかを検証し、一致すれば認証完了とする。
秘密情報の指定情報が、OR条件の場合、認証手段15は、入力されたそれぞれの秘密情報に対応する秘密鍵すべてで同様の検証を実施し、送付した乱数との一致が、条件(例えば、いずれか2つ以上の秘密鍵において一致すること、というような条件)に合う場合に認証を完了する。なお、OR条件の場合、ユーザが入力可能な秘密情報を選択して入力するとしてもよい。
すなわち、指定情報作成手段12は、OR条件を活用して、複数の秘密情報の中からn個の秘密情報を入力させることも可能である。この場合、任意のn個の秘密情報が正しければよい。
さらに、利用者認証装置10は、指定した秘密情報の利用方法(AND条件やOR条件)をも含む指定情報を作成し、認証したレベルを、指定情報に基づいて決定する。
したがって、利用者認証装置10は、本人認証に秘密情報を利用しても、秘密情報の漏洩の危険性がなく、秘密情報を組み合わせて利用者を安全に認証することができる。
さらに、利用者認証装置10は、決定された認証レベルに応じて提供するサービスを変更するシステムに、適切な認証レベルの情報を提供することができる。
11 乱数生成手段
12 指定情報作成手段
13 乱数送信手段
14 暗号受信手段
15 認証手段
16 認証レベル決定手段
31 秘密鍵記憶手段
50 クライアント端末
51 端末受信手段
52 受付手段
53 暗号化手段
54 端末送信手段
Claims (8)
- クライアント端末から送信された情報に基づいてユーザを認証する利用者認証装置であって、
前記ユーザに関する複数の秘密情報について、それぞれの前記秘密情報に基づいて生成された秘密鍵と前記秘密情報の種類とを対応付け、前記ユーザの識別情報ごとに記憶する秘密鍵記憶手段と、
乱数を生成する乱数生成手段と、
前記複数の秘密情報のうち認証に使用する前記秘密情報を指定する指定情報を作成する指定情報作成手段と、
前記乱数生成手段によって生成された乱数と、前記指定情報作成手段によって作成された前記指定情報とを前記クライアント端末に送信する乱数送信手段と、
前記乱数送信手段によって送信された前記乱数及び前記指定情報を受信し、前記指定情報に基づいた前記秘密情報を前記ユーザから受け付け、受け付けた前記秘密情報に基づいて前記乱数を暗号化したクライアント端末から、前記乱数が暗号化された暗号を受信する暗号受信手段と、
前記指定情報に基づいた前記秘密鍵を前記秘密鍵記憶手段に基づいて抽出し、抽出した秘密鍵を用いて、前記暗号受信手段によって受信された前記暗号を復号し、前記ユーザを認証する認証手段と、
を備える利用者認証装置。 - 前記指定情報作成手段は、指定した前記秘密情報の利用方法をも含む前記指定情報を作成する、請求項1に記載の利用者認証装置。
- 前記認証手段によって認証されたレベルを、前記指定情報に基づいて決定する認証レベル決定手段をさらに備える請求項1又は2に記載の利用者認証装置。
- 前記指定情報作成手段は、複数の前記秘密情報を指定する前記指定情報を作成する際に、複数の前記秘密情報の組み合わせを、前記指定情報を作成するごとに変更する、請求項1から3のいずれか一項に記載の利用者認証装置。
- 前記指定情報作成手段は、前記秘密情報の利用方法として、指定した前記秘密情報のうちいずれかの前記秘密情報であって指定した個数の前記秘密情報によって認証する条件であるOR条件を含む前記指定情報を作成し、
前記認証手段は、前記暗号受信手段によって受信された前記暗号を、前記指定情報において指定されている複数の前記秘密情報にそれぞれ対応する前記秘密鍵によって復号し、復号できた場合の乱数が、前記乱数送信手段によって送信された乱数とそれぞれ同一である場合に認証する、請求項1から4のいずれか一項に記載の利用者認証装置。 - 利用者認証装置と、クライアント端末とを備え、ユーザを認証する利用者認証システムであって、
前記利用者認証装置は、
前記ユーザに関する複数の秘密情報に基づいて生成された秘密鍵と前記秘密情報の種類とを対応付け、前記ユーザの識別情報ごとに記憶する秘密鍵記憶手段と、
乱数を生成する乱数生成手段と、
前記複数の秘密情報のうち認証に使用する前記秘密情報を指定する指定情報を作成する指定情報作成手段と、
前記乱数生成手段によって生成された乱数と、前記指定情報作成手段によって作成された前記指定情報とを前記クライアント端末に送信する乱数送信手段と、を備え、
前記クライアント端末は、
前記乱数送信手段によって送信された前記乱数と前記指定とを受信する端末受信手段と、
前記端末受信手段によって受信された前記指定情報に対応する前記秘密情報を前記ユーザから受け付ける受付手段と、
前記受付手段によって受け付けられた前記秘密情報を用いて、前記乱数を暗号化する暗号化手段と、
前記暗号化手段によって暗号化された暗号を前記利用者認証装置に送信する端末送信手段と、を備え、
前記利用者認証装置は、
前記端末送信手段によって送信された前記暗号を受信する暗号受信手段と、
前記秘密鍵記憶手段に基づいて、前記指定情報に対応付けられた前記秘密鍵を抽出し、抽出した秘密鍵を用いて、前記暗号受信手段によって受信された暗号を復号し、前記ユーザを認証する認証手段と、をさらに備える、
利用者認証システム。 - 請求項1に記載の利用者認証装置が実行する方法であって、
前記乱数生成手段が、乱数を生成する乱数生成ステップと、
前記指定情報作成手段が、前記複数の秘密情報のうち認証に使用する前記秘密情報を指定する指定情報を作成する指定情報作成ステップと、
前記乱数送信手段が、前記乱数生成ステップによって生成された前記乱数と、前記指定情報作成ステップによって作成された前記指定情報とを前記クライアント端末に送信する乱数送信ステップと、
前記暗号受信手段が、前記乱数送信ステップによって送信された前記乱数及び前記指定情報を受信し、前記指定情報に基づいた前記秘密情報を前記ユーザから受け付け、受け付けた前記秘密情報に基づいて前記乱数を暗号化したクライアント端末から、前記乱数が暗号化された暗号を受信する暗号受信ステップと、
前記認証手段が、前記指定情報に基づいた前記秘密鍵を前記秘密鍵記憶手段に基づいて抽出し、抽出した秘密鍵を用いて、前記暗号受信ステップによって受信された前記暗号を復号し、前記ユーザを認証する認証ステップと、
を備える方法。 - コンピュータに、請求項7に記載の方法の各ステップを実行させるためのプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013259595A JP6165044B2 (ja) | 2013-12-16 | 2013-12-16 | 利用者認証装置、システム、方法及びプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013259595A JP6165044B2 (ja) | 2013-12-16 | 2013-12-16 | 利用者認証装置、システム、方法及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2015119226A JP2015119226A (ja) | 2015-06-25 |
JP6165044B2 true JP6165044B2 (ja) | 2017-07-19 |
Family
ID=53531624
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013259595A Expired - Fee Related JP6165044B2 (ja) | 2013-12-16 | 2013-12-16 | 利用者認証装置、システム、方法及びプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6165044B2 (ja) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107508686B (zh) * | 2017-10-18 | 2020-07-03 | 克洛斯比尔有限公司 | 身份认证方法和系统以及计算设备和存储介质 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8219823B2 (en) * | 2005-03-04 | 2012-07-10 | Carter Ernst B | System for and method of managing access to a system using combinations of user information |
US10797867B2 (en) * | 2005-12-01 | 2020-10-06 | Nec Corporation | System and method for electronic bidding |
JP2012256008A (ja) * | 2011-05-19 | 2012-12-27 | Nippon Telegr & Teleph Corp <Ntt> | 評価対象情報自己評価システム、評価対象情報自己評価方法、装置、プログラム |
-
2013
- 2013-12-16 JP JP2013259595A patent/JP6165044B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2015119226A (ja) | 2015-06-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
RU2718689C2 (ru) | Управление конфиденциальной связью | |
US9887989B2 (en) | Protecting passwords and biometrics against back-end security breaches | |
US10142107B2 (en) | Token binding using trust module protected keys | |
US8775794B2 (en) | System and method for end to end encryption | |
JP6399382B2 (ja) | 認証システム | |
KR101265873B1 (ko) | 분산된 단일 서명 서비스 방법 | |
JP7202688B2 (ja) | 認証システム、認証方法、アプリケーション提供装置、認証装置、及び認証用プログラム | |
WO2019020051A1 (zh) | 一种安全认证的方法及装置 | |
JP2005102163A (ja) | 機器認証システム、機器認証サーバ、端末機器、機器認証方法、機器認証プログラム、及び記憶媒体 | |
CN107920052B (zh) | 一种加密方法及智能装置 | |
JP2018023029A (ja) | 通信システム、通信用クライアント、通信用サーバ、通信方法、プログラム | |
JP2019530265A (ja) | グラフィックコード情報を提供及び取得する方法及び装置並びに端末 | |
JP6627043B2 (ja) | Ssl通信システム、クライアント、サーバ、ssl通信方法、コンピュータプログラム | |
CN108809633B (zh) | 一种身份认证的方法、装置及系统 | |
US10686787B2 (en) | Use of personal device for convenient and secure authentication | |
WO2014183671A1 (zh) | 一种云存储安全控制的方法 | |
EP3292654B1 (en) | A security approach for storing credentials for offline use and copy-protected vault content in devices | |
CN114282189A (zh) | 一种数据安全存储方法、系统、客户端以及服务器 | |
WO2017050152A1 (zh) | 用于移动设备的密码安全系统及其密码安全输入方法 | |
JP5324813B2 (ja) | 鍵生成装置、証明書生成装置、サービス提供システム、鍵生成方法、証明書生成方法、サービス提供方法およびプログラム | |
WO2017202136A1 (zh) | 一种认证动态口令的方法和设备 | |
RU2698424C1 (ru) | Способ управления авторизацией | |
JP6165044B2 (ja) | 利用者認証装置、システム、方法及びプログラム | |
JPH09330298A (ja) | パスワード登録方法、認証方法、パスワード更新方法、パスワード登録システム、認証システムおよびパスワード更新システム | |
JP2002063139A (ja) | 端末装置、サーバ装置および端末認証方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20160721 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170524 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170606 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170620 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6165044 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |