JP6182080B2 - 認証システム、プログラム - Google Patents

認証システム、プログラム Download PDF

Info

Publication number
JP6182080B2
JP6182080B2 JP2014007633A JP2014007633A JP6182080B2 JP 6182080 B2 JP6182080 B2 JP 6182080B2 JP 2014007633 A JP2014007633 A JP 2014007633A JP 2014007633 A JP2014007633 A JP 2014007633A JP 6182080 B2 JP6182080 B2 JP 6182080B2
Authority
JP
Japan
Prior art keywords
authentication
certificate
unit
public key
user terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2014007633A
Other languages
English (en)
Other versions
JP2015138978A (ja
Inventor
鉄太郎 小林
鉄太郎 小林
具英 山本
具英 山本
麗生 吉田
麗生 吉田
山本 剛
剛 山本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2014007633A priority Critical patent/JP6182080B2/ja
Publication of JP2015138978A publication Critical patent/JP2015138978A/ja
Application granted granted Critical
Publication of JP6182080B2 publication Critical patent/JP6182080B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、オンライン上でユーザ認証を実行する認証システム、プログラムに関する。
従来、インターネットやイントラネットにおけるネットワーク上のリソースに対するアクセス制御方法がいくつか提案されている。よく知られているのは、IDとパスワードを用いるBasic認証である(非特許文献1参照)。これ以外にも、アクセス元のIPアドレスによりアクセス制御を行う方法がある。他には、個人用証明書を使用した認証方法がある。個人用証明書を使用した認証方法としてよく知られているものにベリサイン(登録商標)社が提供している個人用電子証明書サービスがある(非特許文献2参照)。また、個人用証明書を使用した認証方法として、ApacheのFakeBasic認証が知られている(非特許文献3参照)。
"HTTP Authentication: Basic and Digest Access Authentication"、[online]、[平成 25年 1月 10日検索]、インターネット〈URL:http://tools.ietf.org/html/rfc2617〉 "ベリサイン 個人用電子証明書 Class2 スタンダード - 組織内個人を認証 -"、[online]、[平成 25年 1月 10日検索]、インターネット〈URL:https://www.verisign.co.jp/personal/class2/index.html〉 "Fake Basic Authentication"、[online]、[平成 25年 1月 10日検索]、インターネット〈URL:http://httpd.apache.org/docs/2.2/mod/mod_ssl.html〉
IDとパスワードを用いる認証方法では、通常サーバ側はパスワードをハッシュ関数で変換した値を管理することになるが、この値が漏えいすれば、この値に対して総当たり攻撃をしかけることによりパスワードが不正に入手できてしまうため、セキュリティの観点から問題がある。アクセス元のIPアドレスによりアクセス制御を行う方法では、アクセス元のIPアドレスに対して不正な改竄が行われる場合があり、IDとパスワードを用いる認証方法と同様にセキュリティの観点から問題がある。
また個人用証明書を使う認証方法では、本人確認手続きなどが煩雑で導入コストが高いという問題がある。
そこで、本発明では安全性が高く、より簡易に使用できる認証システムを提供することを目的とする。
本発明の認証システムは、複数のユーザ端末と、認証サーバを含む。ユーザ端末は、第1登録部と、第1認証部を含み、認証サーバは、第2登録部と、第2認証部を含む。
第1登録部は、個人情報を含まない公開鍵と、公開鍵に対応する秘密鍵とを生成して、公開鍵を含む登録情報を認証サーバに送信する。第1認証部は、秘密鍵を用いて自端末が公開鍵に対応する秘密鍵を所持していることを認証、又は認証に必要なデータを生成して送信する。第2登録部は、受信した登録情報をユーザ端末ごとに記憶する。第2認証部は、登録情報に含まれる公開鍵を用いてユーザ端末が公開鍵に対応する秘密鍵を所持していることを認証、又は認証に必要なデータを生成して送信する。
本発明の認証システムは、安全性が高く、より簡易に使用できる。
実施例1の認証システムの概要を示すブロック図。 実施例1のユーザ端末、認証サーバの構成を示すブロック図。 実施例1のユーザ端末、認証サーバの動作を示すフローチャート。 実施例1のユーザ端末、認証サーバの詳細構成を示すブロック図。 実施例1のユーザ端末、認証サーバの動作の詳細を示すフローチャート。 実施例2の認証システムの概要を示すブロック図。 実施例2のユーザ端末、認証サーバの構成を示すブロック図。 実施例2のユーザ端末、認証サーバの詳細構成を示すブロック図。 実施例2のユーザ端末、認証サーバの動作の詳細を示すフローチャート。 実施例3の認証システムの概要を示すブロック図。 実施例3のユーザ端末、認証サーバの構成を示すブロック図。 実施例3のユーザ端末、認証サーバの詳細構成を示すブロック図。 実施例3のユーザ端末、認証サーバの動作の詳細を示すフローチャート。 実施例4の認証システムの概要を示すブロック図。 実施例4のユーザ端末、認証サーバの構成を示すブロック図。 実施例4のユーザ端末、認証サーバの動作を示すフローチャート。 実施例5の認証システムの概要を示すブロック図。 実施例5のユーザ端末、認証サーバの構成を示すブロック図。 実施例5のユーザ端末、認証サーバの動作を示すフローチャート。
以下、本発明の実施の形態について、詳細に説明する。なお、同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。
以下、図1、図2、図3を参照して実施例1の認証システムの概要について説明する。図1は、本実施例の認証システム1の概要を示すブロック図である。図2は、本実施例のユーザ端末11−k、認証サーバ12の構成を示すブロック図である。図3は、本実施例のユーザ端末11−k、認証サーバ12の動作を示すフローチャートである。
図1に示すように、本実施例の認証システム1は、複数のユーザ端末11−1,11−2,…,11−k,…,11−nと、認証サーバ12を含む。ただしnは2以上の整数である。kは1以上n以下の整数である。なお、n台のユーザ端末11−1,11−2,…,11−k,…,11−n、および認証サーバ12は、NW9を介して互いに通信可能に接続されている。n台のユーザ端末11−1,11−2,…,11−k,…,11−nは全て同じ機能を備えるため、これらの代表として、以下ユーザ端末11−kについて述べる。図2に示すように、ユーザ端末11−kは、第1登録部111と、第1認証部112を含み、認証サーバ12は、第2登録部121と、第2認証部122を含む。図3に示すように、まずユーザ端末11−kの第1登録部111は、個人情報を含まない公開鍵と、公開鍵に対応する秘密鍵とを生成して、公開鍵を含む登録情報を認証サーバに送信する(S111)。次に、認証サーバ12の第2登録部121は、受信した登録情報をユーザ端末ごとに記憶する(S121)。以上がユーザ登録動作である。次に、ユーザ端末11−kの第1認証部112は、秘密鍵を用いて自端末が公開鍵に対応する秘密鍵を所持していることを認証、又は認証に必要なデータを生成して送信する(S112)。次に、認証サーバ12の第2認証部122は、登録情報に含まれる公開鍵を用いてユーザ端末が公開鍵に対応する秘密鍵を所持していることを認証、又は認証に必要なデータを生成して送信する(S122)。以上がユーザ認証動作である。
以下、図4、図5を参照して本実施例の認証システム1の詳細について説明する。図4は、本実施例のユーザ端末11−k、認証サーバ12の詳細構成を示すブロック図である。図5は、本実施例のユーザ端末11−k、認証サーバ12の動作の詳細を示すフローチャートである。
図4に示すように第1登録部111は、識別子取得部1111と、鍵生成部1112と、秘密鍵記憶部1113と、登録情報送信部1114を含む。第1認証部112は、識別子送信部1121と、暗号文受信部1122と、暗号文復号部1123を含む。第2登録部121は、登録情報受信部1211と、登録情報記憶部1212を含む。第2認証部122は、識別子受信部1221と、公開鍵取得部1222と、セッション鍵生成部1223と、暗号文生成部1224と、暗号文送信部1225を含む。
図5に示すように、まず第1登録部111の識別子取得部1111は、自端末を識別する情報である識別子IDを取得する(S1111)。識別子としては、例えばユーザが独自に設定した文字列を用いることができる。また、ユーザのメールアドレスを識別子とすることができる。また、システムから識別子が割り振られるようにしてもよい。これ以外には、例えば後述する実施例3のように公開鍵そのものを識別子として用いることもできる。次に、鍵生成部1112は、個人情報を含まない公開鍵PKと、公開鍵PKに対応する秘密鍵SKとを生成する(S1112)。次に、秘密鍵記憶部1113は、秘密鍵SKを記憶する(S1113)。次に、登録情報送信部1114は、識別子IDと公開鍵PKの組を登録情報として認証サーバ12に送信する(S1114)。
次に、第2登録部121の登録情報受信部1211は、登録情報を受信する(S1211)。登録情報記憶部1212は、受信した登録情報を記憶する(S1212)。以上がユーザ登録動作の詳細である。
次に、第1認証部112の識別子送信部1121は、認証開始時に識別子IDを認証サーバ12に送信する(S1121)。
次に、第2認証部122の識別子受信部1221は、識別子IDを受信する(S1221)。次に、公開鍵取得部1222は、受信した識別子IDに対応する公開鍵PKを登録情報記憶部1212から取得する(S1222)。次に、セッション鍵生成部1223は、セッション鍵Kを生成する(S1223)。次に、暗号文生成部1224は、受信した識別子IDに対応する公開鍵PKを用いて、セッション鍵Kを暗号化して暗号文C=EncPK(K)を生成する(S1224)。次に、暗号文送信部1225は、暗号文C=EncPK(K)をユーザ端末11−kに送信する(S1225)。
次に、第1認証部112の暗号文受信部1122は、認証サーバ12から暗号文を受信する(S1122)。次に、暗号文復号部1123は、秘密鍵SKを用いて暗号文Cを復号してセッション鍵Kを取得する(S1123)。セッション鍵Kで通信が可能であれば、認証成功とみなされる。以後、ユーザ端末11−kと認証サーバ12とは、セッション鍵Kを用いて安全に通信を行うことができる。以上がユーザ認証動作の詳細である。
本実施例の認証システム1は、ユーザ登録時には、第1登録部111が公開鍵を含む登録情報を送信し、ユーザ認証時は識別子送信部1122が識別子を送信する。従って、認証サーバ12には、例え漏えいしても安全性に問題がない公開鍵や識別子などが送信されるだけである。一方、秘匿されるべき秘密鍵はユーザ端末11−kの秘密鍵記憶部1113内で安全に秘匿されている。従って、例え通信を傍受されたり、認証サーバ12が管理する登録情報が漏えいしたとしてもセキュリティ上の問題が発生しない。また、セッション鍵Kは、暗号化されてユーザ端末11−kに送信されるため、通信中の第三者の盗聴を防ぐことができる。これらの点において本認証システムは、IDとパスワードを使用するBasic認証よりも優れている。また、本実施例の認証システム1で用いられる公開鍵や識別子は個人情報を含まないため、事前の本人確認手続きなど煩雑な手続きが不要である。このため、ユーザは簡単に本認証システムを利用できる。また、個人用証明書を使う従来のアクセス制御方法では、端末のアクセスを不許可とする場合に証明書失効リストを正しく管理する必要があり、またその即時性も低いが、本認証システムでは認証サーバ12がリソースと公開鍵の紐付け情報を変更するだけでよいため、管理に手間がかからず、即時性がある。これらの点において本認証システムは、個人用証明書を使う認証方法よりも優れている。
昨今の認証を必要とするオンライン上のサービスは、本名や所属を証明しなくても十分なものが多い。このようなサービスでは、認証に必要な機能は「利用者が初回に登録したときにつけたIDと対応する秘密情報を持っていることを確認すること」のみで足りる。本実施例の認証システム1は、この条件を上手く利用して、本名や所属の証明に必要となる余分なコスト、煩雑さを上手く取り除いたことがポイントである。
以下、図6、図7を参照して実施例1と異なる認証方法とした実施例2の認証システムの概要について説明する。図6は本実施例の認証システム2の概要を示すブロック図である。図7は本実施例のユーザ端末21−k、認証サーバ22の構成を示すブロック図である。
図6に示すように、本実施例の認証システム2は、複数のユーザ端末21−1,21−2,…,21−k,…,21−nと、認証サーバ22を含む。なお、n台のユーザ端末21−1,21−2,…,21−k,…,21−n、および認証サーバ22は、NW9を介して互いに通信可能に接続されている。n台のユーザ端末21−1,21−2,…,21−k,…,21−nは全て同じ機能を備えるため、これらの代表として、以下、ユーザ端末21−kについて述べる。図7に示すように、ユーザ端末21−kは、第1登録部111と、第1認証部212を含み、認証サーバ22は、第2登録部121と、第2認証部222を含む。第1登録部111、第2登録部121については、実施例1と同様であるため、ユーザ登録動作の詳細については説明を割愛する。
以下、図8、図9を参照して本実施例の認証システム2の詳細について説明する。図8は、本実施例のユーザ端末21−k、認証サーバ22の詳細構成を示すブロック図である。図9は、本実施例のユーザ端末21−k、認証サーバ22の動作の詳細を示すフローチャートである。
図8に示すように第1認証部212は、識別子送信部1121と、乱数受信部2122と、署名生成部2123と、署名送信部2124を含む。第2認証部222は、識別子受信部1221と、公開鍵取得部1222と、乱数生成部2223と、乱数送信部2224と、署名受信部2225と、署名検証部2226を含む。
図9に示すように、ユーザ認証動作において、まず第1認証部212の識別子送信部1121は、認証開始時に識別子IDを認証サーバに送信する(S1121)。
次に、第2認証部222の識別子受信部1221は、識別子IDを受信する(S1221)。次に、公開鍵取得部1222は、受信した識別子IDに対応する公開鍵PKを登録情報記憶部1212から取得する(S1222)。次に、乱数生成部2223は、乱数rを生成する(S2223)。次に、乱数送信部2224は、乱数rをユーザ端末21−kに送信する(S2224)。
次に、第1認証部212の乱数受信部2122は、認証サーバ22から乱数rを受信する(S2122)。次に、署名生成部2123は、秘密鍵SKを用いて乱数rの署名σ=sig(SK,r)を生成する(S2123)。次に、署名送信部2124は、署名σ=sig(SK,r)を認証サーバ22に送信する(S2124)。
次に、第2認証部222の署名受信部2225は、署名σをユーザ端末21−kから受信する(S2225)。次に、署名検証部2226は、受信した識別子IDに対応する公開鍵PKを用いて、署名σを検証する(S2226)。
このように、本実施例の認証システム2によれば、秘密鍵による署名を用いて実施例1と同様に安全性が高く、より簡易な認証を実現することができる。
以下、図10、図11を参照して、前述の識別情報の代わりに認証局が発行する証明書を用いる認証方法とした実施例3の認証システムの概要について説明する。図10は本実施例の認証システム3の概要を示すブロック図である。図11は本実施例のユーザ端末31−k、認証サーバ32の構成を示すブロック図である。
図10に示すように、本実施例の認証システム3は、複数のユーザ端末31−1,31−2,…,31−k,…,31−nと、認証サーバ32と、認証局33を含む。なお、n台のユーザ端末31−1,31−2,…,31−k,…,31−n、認証サーバ32、および認証局33は、NW9を介して互いに通信可能に接続されている。n台のユーザ端末31−1,31−2,…,31−k,…,31−nは全て同じ機能を備えるため、これらの代表として、以下、ユーザ端末31−kについて述べる。図11に示すように、ユーザ端末31−kは、第1登録部311と、第1認証部312を含み、認証サーバ32は、第2登録部321と、第2認証部322を含む。
以下、図12、図13を参照して本実施例の認証システム3の詳細について説明する。図12は、本実施例のユーザ端末31−k、認証サーバ32の詳細構成を示すブロック図である。図13は、本実施例のユーザ端末31−k、認証サーバ32の動作の詳細を示すフローチャートである。
図12に示すように第1登録部311は、鍵生成部1112と、秘密鍵記憶部1113と、登録情報送信部3114と、証明書受信部3115と、証明書記憶部3116を含む。第1認証部312は、証明書送信部3121と、暗号文受信部1122と、暗号文復号部1123を含む。第2登録部321は、登録情報受信部3211と、証明書署名要求生成部3212と、証明書署名要求送信部3213と、証明書受信部3214と、公開鍵−証明書記憶部3215を含む。第2認証部322は、証明書受信部3221と、公開鍵取得部3222と、セッション鍵生成部1223と、暗号文生成部1224と、暗号文送信部1225を含む。なお、第1認証部312、第2認証部322については、実施例1における識別子の代わりに証明書を用いている点のみが異なるため、ユーザ認証動作の説明は適宜割愛する。
ステップS1112、S1113は実施例1と同じであるため、説明を割愛する。次に、第1登録部311の登録情報送信部3114は、公開鍵PKのみを登録情報として認証サーバ32に送信する(S3114)。次に、第2登録部321の登録情報受信部3211は、登録情報として公開鍵PKを受信する(S3211)。次に、証明書署名要求生成部3212は、受信した公開鍵PKを証明書署名要求CSRに含むべき個人情報の代用として、証明書署名要求CSRを生成する(S3212)。次に、証明書署名要求送信部3213は、証明書署名要求CSRを認証局33に送信する(S3213)。
次に、認証局33は、証明書署名要求CSRを受信する(S331)。次に、認証局33は、公開鍵PKに対応する証明書certを生成して、認証サーバ32に送信する(S332)。
次に、第2登録部321の証明書受信部3214は、認証局33から公開鍵PKに対応する証明書certを受信する(S3214)。公開鍵−証明書記憶部3215は、受信した公開鍵PKと公開鍵PKに対応する証明書certの組を記憶する(S3215)。以上が、ユーザ登録動作の詳細である。
第1登録部311の証明書受信部3115は、認証局33から公開鍵PKに対応する証明書certを受信する(S3115)。次に、証明書記憶部3116は、証明書certを記憶する(S3116)。
ユーザ認証動作においては、図13に示すように、第1認証部312の証明書送信部3121は、認証開始時に証明書certを認証サーバ32に送信する(S3121)。
次に、第2認証部322の証明書受信部3221は、ユーザ端末31−kから送信された証明書certを受信する(S3221)。次に、公開鍵取得部3222は、ユーザ端末31−kから送信された証明書certに対応する公開鍵PKを証明書−公開鍵記憶部3215から取得する(S3222)。前述したように、本実施例では実施例1における識別子の代わりに証明書を用いている点のみが異なる。従って、ステップS1223以降の動作は実施例1と同じであるため説明を割愛する。
なお、本実施例の認証システム3は、WebブラウザとWebサーバの認証で実装することができる。従来のIDパスワードによる認証の場合、ユーザがブラウザの入力欄にIDとパスワードを手入力し、Basic認証などのプロトコルを用いて認証を行うことができる。一方、本認証システムの場合、ブラウザの入力欄に公開鍵暗号の秘密鍵を手入力することは現実的ではない。そこで、個人用証明書を認証するプロトコルであるFakeBasic認証(非特許文献3)を利用することで本認証システムを実現することができる。この場合、認証サーバ側32では、ApacheのFakeBasic認証を有効にすることで、個人用証明書を用いた認証を行なうことができる。認証には、LDAPを利用する設定とする。LDAPは、インターネットやイントラネットなどのTCP/IPネットワークで、ディレクトリデータベースにアクセスするためのプロトコルである。本認証システムでは、認証サーバ32において、登録されたユーザ公開鍵のリストをデータベースに登録するためにLDAPを使用することができる。
本実施例の認証システム3では、証明書署名要求生成部3212が、証明書署名要求CSRに含むべき個人情報の代用として公開鍵を用いて、証明書署名要求CSRを生成するように構成したため、FakeBasic認証などの個人用証明書を認証するプロトコルを用いて実装した場合でも、個人用証明書を使う認証方法特有の煩雑さが発生しない。
以下、図14、図15、図16を参照して、実施例1の構成に加えて認証サーバが、他のサーバ(各種サービスを提供するサービス提供サーバ)に認証結果通知を送信する機能を付加した実施例4の認証システム4について説明する。図14は、本実施例の認証システム4の概要を示すブロック図である。図15は、本実施例のユーザ端末11−k、認証サーバ42の構成を示すブロック図である。図16は、本実施例のユーザ端末11−k、認証サーバ42の動作を示すフローチャートである。
図14に示すように、本実施例の認証システム4は、複数のユーザ端末11−1,11−2,…,11−k,…,11−nと、認証サーバ42、サービス提供サーバ43を含む。ユーザ端末11−1,11−2,…,11−k,…,11−nは、実施例1と同じである。なお、n台のユーザ端末11−1,11−2,…,11−k,…,11−n、認証サーバ42、およびサービス提供サーバ43は、NW9を介して互いに通信可能に接続されている。サービス提供サーバ43は、ユーザ端末11−1,11−2,…,11−k,…,11−nからのアクセスに応じて認証サーバ42に認証クエリ(認証要求)を送信する。これは、認証サーバ42にユーザの認証動作を肩代わりさせることを目的とした動作である。例えばサービス提供サーバ43が、PayTVサイト、電子書籍販売サイト、ゲームサーバなどであって、認証サーバ42に該当するfacebook(登録商標)、iTunes Store(登録商標)などの規模の大きいサーバに認証動作を代行してもらう例がある。
図15に示すように、認証サーバ42は、実施例1と同じ第2登録部121、第2認証部122に加え、認証結果通知部423をさらに含む。図16に示すように、認証結果通知部423は、認証クエリQを受信した場合に、アクセスを実行したユーザ端末11−kとの認証の結果である認証結果通知(T or F,Tならば認証成功、Fならば認証失敗)をサービス提供サーバ43に送信する(S423)。サービス提供サーバ43は、受信した認証結果通知に基づいて、ユーザのリソースへのアクセスの可否を判断する。
このように、本実施例の認証システム4によれば、サービス提供サーバ43に代わって、認証サーバ42がアクセス元のユーザ端末11−kを認証することができるため、実施例1の効果に加え、より柔軟に、様々なシステムに応用することができる。
以下、図17、図18、図19を参照して、実施例1の構成に加えて認証サーバが、認証成功時にユーザ端末に許可トークンを送信する機能を付加した実施例5の認証システム5について説明する。図17は、本実施例の認証システム5の概要を示すブロック図である。図18は、本実施例のユーザ端末51−k、認証サーバ52の構成を示すブロック図である。図19は、本実施例のユーザ端末51−k、認証サーバ52の動作を示すフローチャートである。
図17に示すように、本実施例の認証システム5は、複数のユーザ端末51−1,51−2,…,51−k,…,51−nと、認証サーバ52、サービス提供サーバ53を含む。n台のユーザ端末51−1,51−2,…,51−k,…,51−n、認証サーバ52、およびサービス提供サーバ53は、NW9を介して互いに通信可能に接続されている。n台のユーザ端末51−1,51−2,…,51−k,…,51−nは全て同じ機能を備えるため、これらの代表として、以下ユーザ端末51−kについて述べる。本実施例では、例えば認証サーバ52は、会社などの入退室管理システムにおけるシステム・サーバ、サービス提供サーバ53は、社内LANや大学の学内LANにおけるサーバ装置などとすることができる。この場合、学生や社員が研究室や会社に入室する際に認証が実行され、認証成功時に許可トークンが発行され、社内LANや学内LANにおいて、この許可トークンを使用する例が想定できる。この場合、許可トークンは例えばプリンタの使用許可、ネットワークドライブへのアクセスの許否などに使用することができる。
図18に示すように、ユーザ端末51−kは、実施例1と同じ第1登録部111、第1認証部112に加え、許可トークン受信部513をさらに含む。認証サーバ52は、実施例1と同じ第2登録部121、第2認証部122に加え、許可トークン送信部523をさらに含む。図19に示すように、認証サーバ52の許可トークン送信部523は、第2認証部122における認証が成功する度に許可トークンを生成し、許可トークンを認証相手であるユーザ端末51−kに送信する(S523)。ユーザ端末51−kの許可トークン受信部513は、許可トークンを受信する(S513)。
このように、本実施例の認証システム5によれば、サービス提供サーバ53などで利用される許可トークンを、認証サーバ52が発行することとしたため、実施例1の効果に加え、より柔軟に、様々なシステムに応用することができる。
上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。
また、上述の構成をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。
この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。
また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。
このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP(Application Service Provider)型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの(コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等)を含むものとする。
また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。

Claims (5)

  1. 複数のユーザ端末と、認証サーバと、認証局を含む認証システムであって、
    前記ユーザ端末は
    個人情報を含まない公開鍵と、前記公開鍵に対応する秘密鍵とを生成する鍵生成部と、
    前記秘密鍵を記憶する秘密鍵記憶部と、
    前記公開鍵を登録情報として前記認証サーバに送信する登録情報送信部と、
    前記認証局から前記公開鍵に対応する証明書を受信する証明書受信部と、
    前記証明書を記憶する証明書記憶部と、
    認証開始時に前記証明書を前記認証サーバに送信する証明書送信部と、
    前記認証サーバから暗号文を受信する暗号文受信部と、
    前記秘密鍵を用いて前記暗号文を復号してセッション鍵を取得する暗号文復号部を含み、
    前記認証サーバは
    前記登録情報として前記公開鍵を受信する登録情報受信部と、
    受信した前記公開鍵を証明書署名要求に含むべき個人情報の代用として、前記証明書署名要求を生成する証明書署名要求生成部と、
    前記証明書署名要求を前記認証局に送信する証明書署名要求送信部と、
    前記認証局から前記公開鍵に対応する前記証明書を受信する証明書受信部と、
    受信した前記公開鍵と前記公開鍵に対応する前記証明書の組を記憶する公開鍵−証明書記憶部と、
    前記ユーザ端末から送信された前記証明書を受信する証明書受信部と、
    前記ユーザ端末から送信された前記証明書に対応する前記公開鍵を前記証明書−公開鍵記憶部から取得する公開鍵取得部と、
    前記セッション鍵を生成するセッション鍵生成部と、
    前記ユーザ端末から送信された前記証明書に対応する前記公開鍵を用いて、前記セッション鍵を暗号化して前記暗号文を生成する暗号文生成部と、
    前記暗号文を送信する暗号文送信部を含む
    証システム。
  2. 請求項1に記載の認証システムであって、
    前記ユーザ端末からのアクセスに応じて前記認証サーバに認証クエリを送信するサービス提供サーバをさらに含み、
    前記認証サーバは、
    前記認証クエリを受信した場合にアクセスを実行した前記ユーザ端末との認証の結果である認証結果通知を前記サービス提供サーバに送信する認証結果通知部をさらに含む
    認証システム。
  3. 請求項1に記載の認証システムであって、
    前記認証サーバは、
    証が成功する度に許可トークンを生成し、前記許可トークンを認証相手である前記ユーザ端末に送信する許可トークン送信部をさらに含む
    認証システム。
  4. コンピュータを、請求項1に記載の認証システムに含まれるユーザ端末として機能させるためのプログラム。
  5. コンピュータを、請求項1に記載の認証システムに含まれる認証サーバとして機能させるためのプログラム。
JP2014007633A 2014-01-20 2014-01-20 認証システム、プログラム Active JP6182080B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014007633A JP6182080B2 (ja) 2014-01-20 2014-01-20 認証システム、プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014007633A JP6182080B2 (ja) 2014-01-20 2014-01-20 認証システム、プログラム

Publications (2)

Publication Number Publication Date
JP2015138978A JP2015138978A (ja) 2015-07-30
JP6182080B2 true JP6182080B2 (ja) 2017-08-16

Family

ID=53769749

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014007633A Active JP6182080B2 (ja) 2014-01-20 2014-01-20 認証システム、プログラム

Country Status (1)

Country Link
JP (1) JP6182080B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105568615B (zh) * 2015-12-16 2017-10-27 惠而浦(中国)股份有限公司 具有超声波装置的洗衣机

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5951094B1 (ja) 2015-09-07 2016-07-13 ヤフー株式会社 生成装置、端末装置、生成方法、生成プログラム及び認証処理システム
JP6122924B2 (ja) 2015-09-11 2017-04-26 ヤフー株式会社 提供装置、端末装置、提供方法、提供プログラム及び認証処理システム
JP6134371B1 (ja) * 2015-11-27 2017-05-24 ヤフー株式会社 利用者情報管理装置、利用者情報管理方法及び利用者情報管理プログラム
CN107689947B (zh) 2016-08-05 2021-03-30 华为国际有限公司 一种数据处理的方法和装置
JP6407232B2 (ja) * 2016-11-14 2018-10-17 ソラミツ株式会社 ログイン認証システム、ログイン認証システムにおけるサービスプロバイダ及び認証サーバ、ログイン認証システムにおけるサービスプロバイダ、認証サーバ、コンピュータ及び携帯端末のためのログイン認証方法及びプログラム

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH03131139A (ja) * 1989-10-16 1991-06-04 Hitachi Ltd 暗号鍵の鍵管理方式
JP2001320356A (ja) * 2000-02-29 2001-11-16 Sony Corp 公開鍵系暗号を使用したデータ通信システムおよびデータ通信システム構築方法
US7246230B2 (en) * 2002-01-29 2007-07-17 Bea Systems, Inc. Single sign-on over the internet using public-key cryptography
JP2009100195A (ja) * 2007-10-16 2009-05-07 Canon Inc 認証クライアント装置、認証サーバ装置、ユーザ認証方式
US8595816B2 (en) * 2007-10-19 2013-11-26 Nippon Telegraph And Telephone Corporation User authentication system and method for the same

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105568615B (zh) * 2015-12-16 2017-10-27 惠而浦(中国)股份有限公司 具有超声波装置的洗衣机

Also Published As

Publication number Publication date
JP2015138978A (ja) 2015-07-30

Similar Documents

Publication Publication Date Title
JP4617763B2 (ja) 機器認証システム、機器認証サーバ、端末機器、機器認証方法、および機器認証プログラム
JP6182080B2 (ja) 認証システム、プログラム
US20080155267A1 (en) Identity management system with an untrusted identity provider
EP2553894B1 (en) Certificate authority
CN108809633B (zh) 一种身份认证的方法、装置及系统
CN111901346A (zh) 一种身份认证系统
US20080155664A1 (en) Identity management system with an untrusted identity provider
CN103634265A (zh) 安全认证的方法、设备及系统
KR20080050937A (ko) 인증 수행 방법 및 그 장치
WO2010090252A1 (ja) アカウント発行システム、アカウントサーバ、サービスサーバおよびアカウント発行方法
US10671717B2 (en) Communication device, communication method and computer program
KR101388251B1 (ko) 소셜 네트워크 서비스에서의 미인증 사용자의 인증 방법 및 장치
EP3820186A1 (en) Method and apparatus for transmitting router security information
KR101856530B1 (ko) 사용자 인지 기반 암호화 프로토콜을 제공하는 암호화 시스템 및 이를 이용하는 온라인 결제 처리 방법, 보안 장치 및 거래 승인 서버
JP2001344214A (ja) 端末の認証方法と暗号通信システム
KR19990038925A (ko) 분산 환경에서 안전한 양방향 인증 방법
KR20150005789A (ko) 인증서를 이용한 사용자 인증 방법
CN108322311A (zh) 数字证书的生成方法及装置
TW201901508A (zh) 用於登入的認證方法
JP5553914B1 (ja) 認証システム、認証装置、及び認証方法
KR101484744B1 (ko) 사용자 인증서의 개인키 유출 탐지 방법 및 시스템
JP6165044B2 (ja) 利用者認証装置、システム、方法及びプログラム
CN107454063B (zh) 一种用户交互认证方法、设备及系统
US11153288B2 (en) System and method for monitoring leakage of internal information by analyzing encrypted traffic
JP4615889B2 (ja) 属性検証方法、属性認証システムおよび属性認証システム用プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160107

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20161024

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20161108

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170106

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170718

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170721

R150 Certificate of patent or registration of utility model

Ref document number: 6182080

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150