JP6342441B2 - Authentication processing apparatus and authentication system - Google Patents

Authentication processing apparatus and authentication system Download PDF

Info

Publication number
JP6342441B2
JP6342441B2 JP2016045105A JP2016045105A JP6342441B2 JP 6342441 B2 JP6342441 B2 JP 6342441B2 JP 2016045105 A JP2016045105 A JP 2016045105A JP 2016045105 A JP2016045105 A JP 2016045105A JP 6342441 B2 JP6342441 B2 JP 6342441B2
Authority
JP
Japan
Prior art keywords
authentication
user
account
unit
attribute
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016045105A
Other languages
Japanese (ja)
Other versions
JP2017162129A (en
Inventor
パキン オソトクラパヌン
パキン オソトクラパヌン
竜朗 池田
竜朗 池田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Toshiba Digital Solutions Corp
Original Assignee
Toshiba Corp
Toshiba Digital Solutions Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp, Toshiba Digital Solutions Corp filed Critical Toshiba Corp
Priority to JP2016045105A priority Critical patent/JP6342441B2/en
Publication of JP2017162129A publication Critical patent/JP2017162129A/en
Application granted granted Critical
Publication of JP6342441B2 publication Critical patent/JP6342441B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Description

本発明の実施形態は、ーザを認証する認証処理装置、および、認証処理装置と他装置との間のアカウント連携を実現する認証システムに関する。 Embodiments of the present invention, the authentication processing unit that authenticates the User chromatography THE, and relates to an authentication system for implementing the account linkage between the authentication processing unit and another device.

通常、ユーザが情報システムにおけるサービスを利用することにあたり、サービス側でユーザのアイデンティティを持つ必要がある。なぜなら、ユーザのアイデンティティは、ユーザがだれなのか、どこまでの権限があるのか、どんなプロファイルを持つのか等の情報がサービスにとって欠かせない要素であるからである。   Normally, when a user uses a service in an information system, the service side needs to have the user's identity. This is because the identity of the user is an indispensable element for the service, such as who the user is, how much authority the user has, and what profile the user has.

しかし、ユーザが利用するサービスが増加することに伴い、各サービスにアイデンティティを登録するのが、ユーザにとって負担となり、セキュリティの面でも好ましくない状況になってきている。   However, as the number of services used by users increases, it becomes a burden on users to register their identities in each service, which is not preferable in terms of security.

これに対処するため、ユーザのアイデンティティを集中的に管理し、サービスにアイデンティティを要求される際に適宜提供するようなアイデンティティ管理装置が用いられている。   In order to cope with this, an identity management device is used that centrally manages the user's identity and provides the identity as needed when requested by the service.

この種のアイデンティティ管理装置では、ユーザが本人であることを確認する必要があるので、認証機能を持っているが、利用シーンによって要求される認証の確実度が異なる場合がある。例えば、ユーザが口座の情報を単に閲覧するだけの場合、パスワードによる認証で十分であるが、決済を行う場合は、より確実度の高い生体認証が必要である等である。アイデンティティが多い認証方法に対応するのには負担がかかるが、認証機能を外部の認証処理装置に委託することで、柔軟に認証処理をサポートすることができる。   This type of identity management apparatus has an authentication function because it is necessary to confirm that the user is the person himself, but the certainty of authentication required may vary depending on the usage scene. For example, when the user simply browses the account information, authentication with a password is sufficient, but when making a payment, biometric authentication with higher certainty is required. Although it is burdensome to deal with an authentication method with many identities, the authentication processing can be flexibly supported by entrusting the authentication function to an external authentication processing device.

アイデンティティ管理装置が認証処理装置に認証を委託する場合は、ユーザがアイデンティティ管理装置と認証処理装置とに別々にアカウントを登録する必要がある。その際、ユーザが、それぞれの装置にアイデンティティを登録する必要がある。既にユーザがアイデンティティ管理装置にアイデンティティを登録している場合でも、認証処理装置に対してアイデンティティを登録する必要があるため、ユーザにとっては手間がかかる。   When the identity management device entrusts authentication to the authentication processing device, the user needs to register an account separately in the identity management device and the authentication processing device. At that time, the user needs to register an identity with each device. Even if the user has already registered the identity with the identity management device, it is necessary for the user to register the identity with the authentication processing device, which is troublesome for the user.

認証処理装置側としても、アイデンティティが登録された場合、登録されたアイデンティティの信頼性を確認し、正当かどうか、いわゆる本人確認を行う必要があるため、コストがかかる。   On the authentication processing device side as well, when an identity is registered, it is necessary to check the authenticity of the registered identity and to verify whether it is valid, so that it is costly.

特開2010−108116号公報JP 2010-108116 A 特開2010−160709号公報JP 2010-160709 A 特開2003−208407号公報JP 2003-208407 A

すなわち、従来のアイデンティティ管理装置および認証処理装置には以下のような課題がある。   That is, the conventional identity management device and authentication processing device have the following problems.

すなわち、アイデンティティ管理装置と認証処理装置との間において、一方の装置に登録されているアカウントに基づいて、他方の装置に新規アカウントを登録するためには、両装置が信頼関係をもつ必要がある。   That is, in order to register a new account in the other device based on the account registered in one device between the identity management device and the authentication processing device, both devices need to have a trust relationship. .

これに関しては、特許文献1のように、新規アカウントを登録される装置が、元装置からユーザのログイン情報を取得して、ユーザが本人かどうかを確認する技術もある。しかしながら、このような技術では、ユーザのログイン情報そのものを他システムに渡すことになるので、セキュリティ上、望ましくない。   With regard to this, there is a technique in which a device in which a new account is registered acquires a user's login information from the original device and confirms whether or not the user is the person as in Patent Document 1. However, such a technique is not desirable in terms of security because the user's login information itself is passed to another system.

また、ユーザが認証処理装置に対してアカウントを新規作成する際に、登録処理を行っているユーザが本人であるかを確認する必要がある。   Further, when a user creates a new account for the authentication processing apparatus, it is necessary to confirm whether the user who is performing the registration process is the person himself / herself.

これに関しては、特許文献2のように、予めユーザに紐付けられたIDを記憶したIDカードを配布し、登録時にこのIDカードを用いて本人確認を行う技術がある。しかしながら、ユーザに発行したIDを配布する際に、正しい本人であることを確認する必要がある。   With regard to this, there is a technique of distributing an ID card storing an ID associated with a user in advance as in Patent Document 2 and performing identity verification using this ID card during registration. However, when the ID issued to the user is distributed, it is necessary to confirm that the user is correct.

特許文献3のように、ユーザが認証要素を登録する前と後に写真を撮影し、この写真を比較することで、登録された認証要素は本人のものを確認する技術もあるが、写真を2度撮らねばならないという手間が発生してしまう。   As in Patent Document 3, there is a technique in which a photograph is taken before and after a user registers an authentication factor, and the registered authentication factor is confirmed by comparing the photos. The trouble of having to shoot every time occurs.

一方、認証処理装置は、登録時にユーザの本人確認を行う場合、ユーザのアイデンティティを管理することになる。このアイデンティティ情報はプライバシーに関わる場合が多いため、管理コストがかかる。   On the other hand, the authentication processing device manages the identity of the user when performing identity verification of the user at the time of registration. Since this identity information is often related to privacy, management costs are required.

このため、アイデンティティ管理装置と認証処理装置との間でのアカウント連携を行うことによって、これら課題を解決する認証システムが求められている。   Therefore, there is a need for an authentication system that solves these problems by performing account linkage between the identity management device and the authentication processing device.

本発明が解決しようとする課題は、ユーザを認証する認証処理装置と、アイデンティティ管理装置(第1の装置)と認証処理装置(第2の装置)との間のアカウント連携を実現する認証システムと、提供することである。 The problems to be solved by the present invention include an authentication processing device that authenticates a user, an authentication system that realizes account cooperation between an identity management device (first device) and an authentication processing device (second device), and Is to provide.

実施形態の認証処理装置は、他装置からのアカウント登録要求に応じてユーザのアカウントを登録するとともに、ユーザを認証する認証処理装置であり、通信部と、アカウント生成部と、情報格納部と、クレデンシャル生成部と、ユーザ認証部と、アカウント登録応答生成部とを備えてなる。   The authentication processing device of the embodiment is an authentication processing device that authenticates a user while registering a user's account in response to an account registration request from another device, a communication unit, an account generation unit, an information storage unit, A credential generation unit, a user authentication unit, and an account registration response generation unit are provided.

通信部は、ユーザが前記他装置によって認証されたことを保証する保証情報と、ユーザのアカウント情報の前記他装置との連携のための連携属性とが含まれた、アカウント登録要求を受信する。   The communication unit receives an account registration request including guarantee information for guaranteeing that the user has been authenticated by the other device and a cooperation attribute for cooperation with the other device in the user's account information.

アカウント生成部は、アカウント登録要求に含まれた連携属性を用いて、ユーザのアカウントを生成する。   The account generation unit generates a user account using the linkage attribute included in the account registration request.

情報格納部は、生成されたアカウントに関連付けて、連携属性を格納する。   The information storage unit stores the linkage attribute in association with the generated account.

クレデンシャル生成部は、ユーザを認証する際に利用するクレデンシャルを生成し、前記アカウントに関連付けて、前記情報格納部に格納する。   The credential generation unit generates a credential to be used when authenticating the user, and stores the credential in association with the account in the information storage unit.

ユーザ認証部は、クレデンシャルを用いてユーザの認証を行い、認証処理内容を示す認証コンテキストを生成する。   The user authentication unit authenticates the user using the credential and generates an authentication context indicating the authentication processing content.

アカウント登録応答生成部は、連携属性と前記認証コンテキストとを含むアカウント登録応答を生成する。   The account registration response generation unit generates an account registration response including the linkage attribute and the authentication context.

また、実施形態の認証システムは、前述した認証処理装置にアカウントを登録するユーザのためのアイデンティティ情報を管理するアイデンティティ管理装置と、前述した認証処理装置とを備えてなる。 The authentication system according to the embodiment includes an identity management device that manages identity information for a user who registers an account in the authentication processing device described above, and the authentication processing device described above .

第1の実施形態の認証システムの構成例を示すブロック図である。It is a block diagram which shows the structural example of the authentication system of 1st Embodiment. 第1の実施形態の認証システムによる動作例を説明するためのシーケンス図である(1/2)。It is a sequence diagram for demonstrating the operation example by the authentication system of 1st Embodiment (1/2). 第1の実施形態の認証システムによる動作例を説明するためのシーケンス図である(2/2)。It is a sequence diagram for demonstrating the operation example by the authentication system of 1st Embodiment (2/2). 図2における(ST1−1)乃至(ST1−7)のアイデンティティ管理装置内の動作例を説明するための模式図である。FIG. 7 is a schematic diagram for explaining an operation example in the identity management apparatus of (ST1-1) to (ST1-7) in FIG. 図3における(ST1−8)乃至(ST1−15)の認証処理装置内の動作例を説明するための模式図である。FIG. 6 is a schematic diagram for explaining an operation example in the authentication processing device of (ST1-8) to (ST1-15) in FIG. 3. 図3における(ST1−16)乃至(ST1−17)のアイデンティティ管理装置内の動作例を説明するための模式図である。It is a schematic diagram for demonstrating the operation example in the identity management apparatus of (ST1-16) thru | or (ST1-17) in FIG. 第1の実施形態におけるアイデンティティ管理装置内のユーザアカウント情報格納部に格納されるユーザアカウント情報の例を説明するための模式図である。It is a schematic diagram for demonstrating the example of the user account information stored in the user account information storage part in the identity management apparatus in 1st Embodiment. 第1の実施形態で生成されるアカウント登録要求に含まれる情報の例を説明するための模式図である。It is a schematic diagram for demonstrating the example of the information contained in the account registration request produced | generated in 1st Embodiment. 第1の実施形態における認証処理装置内のユーザアカウント情報格納部に格納される情報の例を説明するための模式図である。It is a schematic diagram for demonstrating the example of the information stored in the user account information storage part in the authentication processing apparatus in 1st Embodiment. 第1の実施形態におけるアカウント登録応答に含まれる情報の例を説明するための模式図である。It is a schematic diagram for demonstrating the example of the information contained in the account registration response in 1st Embodiment. 第2の実施形態の認証システムの構成例を示すブロック図である。It is a block diagram which shows the structural example of the authentication system of 2nd Embodiment. 第2の実施形態の認証システムによる動作例を説明するためのシーケンス図である。It is a sequence diagram for demonstrating the operation example by the authentication system of 2nd Embodiment. 図12における(ST2−13)までの認証処理装置内の動作例を説明するための模式図である。It is a schematic diagram for demonstrating the operation example in the authentication processing apparatus to (ST2-13) in FIG. 第2の実施形態におけるアカウント登録応答に含まれる情報の例を示す模式図である。It is a schematic diagram which shows the example of the information contained in the account registration response in 2nd Embodiment. 図12における(ST2−14)乃至(ST2−15)のアイデンティティ管理装置内の動作例を説明するための模式図である。It is a schematic diagram for demonstrating the operation example in the identity management apparatus of (ST2-14) thru | or (ST2-15) in FIG. 図12における(ST2−16)乃至(ST2−17)の認証処理装置内の動作例を説明するための模式図である。It is a schematic diagram for demonstrating the operation example in the authentication processing apparatus of (ST2-16) thru | or (ST2-17) in FIG. 図12における(ST2−18)乃至(ST2−19)のアイデンティティ管理装置内の動作例を説明するための模式図である。It is a schematic diagram for demonstrating the operation example in the identity management apparatus of (ST2-18) thru | or (ST2-19) in FIG.

以下に、本発明の各実施形態の認証システムを、図面を参照して説明する。   The authentication system according to each embodiment of the present invention will be described below with reference to the drawings.

(第1の実施形態)
第1の実施形態の認証システムを図1乃至図10を用いて説明する。 (First embodiment)
An authentication system according to the first embodiment will be described with reference to FIGS.

図1は、本実施形態の認証システム10の構成例を示すブロック図である。   FIG. 1 is a block diagram illustrating a configuration example of an authentication system 10 according to the present embodiment.

すなわち、本実施形態の認証システム10は、ネットワーク20を介して互いに接続されたアイデンティティ管理装置200と認証処理装置300とを備えてなる。   That is, the authentication system 10 of this embodiment includes an identity management device 200 and an authentication processing device 300 that are connected to each other via a network 20.

ネットワーク20は、イーサネット(登録商標)等のLAN、あるいはインターネットのような公衆回線や、専用の通信回線を介して複数のLANが接続されるWAN等からなり得る。LANの場合には、必要に応じてルータを介した多数のサブネットから構成され得る。また、WANの場合には、公衆回線に接続するためのファイアウォール等を適宜備え得るが、ここではその図示及び詳細説明を省略する。   The network 20 may be a LAN such as Ethernet (registered trademark), a public line such as the Internet, a WAN to which a plurality of LANs are connected through a dedicated communication line. In the case of a LAN, it can be composed of multiple subnets via routers as necessary. In the case of a WAN, a firewall or the like for connecting to a public line can be provided as appropriate, but illustration and detailed description thereof are omitted here.

また、ネットワーク20には、クライアント装置100が接続されている。クライアント装置100は、ユーザからの入力を受け取る機能、入力をアイデンティティ管理装置200や認証処理装置300に送信する機能、アイデンティティ管理装置200や認証処理装置300からの出力を受信する機能、出力を表示する機能を有する。   Further, the client device 100 is connected to the network 20. The client apparatus 100 displays a function for receiving input from a user, a function for transmitting input to the identity management apparatus 200 and the authentication processing apparatus 300, a function for receiving output from the identity management apparatus 200 and the authentication processing apparatus 300, and output. It has a function.

アイデンティティ管理装置200は、通信部210、ユーザアカウント情報格納部220、ユーザ認証部230、認証サービス管理部240、連携属性生成部250、認証アサーション生成部260、アカウント登録要求生成部270、アサーション検証部280、および連携属性フラグ管理部290を備える。   The identity management apparatus 200 includes a communication unit 210, a user account information storage unit 220, a user authentication unit 230, an authentication service management unit 240, a linkage attribute generation unit 250, an authentication assertion generation unit 260, an account registration request generation unit 270, and an assertion verification unit. 280, and a linkage attribute flag management unit 290.

通信部210は、アイデンティティ管理装置200の内部通信機能と、ネットワーク20を介してクライアント装置100および認証処理装置300と通信する機能と、を有する。   The communication unit 210 has an internal communication function of the identity management device 200 and a function of communicating with the client device 100 and the authentication processing device 300 via the network 20.

ユーザアカウント情報格納部220は、ユーザのアイデンティティ情報に含まれるアカウント情報の、他のサービスとの連携のための連携情報を格納する機能と、格納した情報を、アイデンティティ管理装置200内の各部位からの要求に応じて、要求元の部位に受け渡す機能と、を有する。   The user account information storage unit 220 stores a function for storing cooperation information for cooperation with other services of account information included in the user's identity information, and the stored information from each part in the identity management apparatus 200. And a function of delivering to the requesting part in response to the request.

ユーザ認証部230は、クライアント装置100から送られたユーザの認証情報を受け取る機能と、ユーザアカウント情報格納部220からユーザ認証に必要な情報を受け取る機能と、これら受け取った情報を用いてユーザの認証を行う機能と、を有する。なお、ユーザ認証に必要な情報とは、後述するユーザ識別UID1およびクレデンシャルCR1であり、これらは、ユーザアカウント情報格納部220に、予め格納されている。   The user authentication unit 230 has a function of receiving user authentication information sent from the client device 100, a function of receiving information necessary for user authentication from the user account information storage unit 220, and user authentication using the received information. And a function of performing The information necessary for user authentication is a user identification UID1 and a credential CR1 described later, which are stored in advance in the user account information storage unit 220.

認証サービス管理部240は、クライアント装置100から送られたユーザの識別情報と、認証サービスの識別情報とを受け取る機能と、同ユーザが持つ認証サービス識別情報をユーザアカウント情報格納部220から取得する機能と、これら情報を用いて同ユーザの認証サービスが既に登録されているかを判定する機能と、を有する。   The authentication service management unit 240 has a function of receiving user identification information and authentication service identification information sent from the client device 100, and a function of acquiring authentication service identification information of the user from the user account information storage unit 220. And a function for determining whether the authentication service of the same user has already been registered using these pieces of information.

連携属性生成部250は、ユーザアカウント情報のアイデンティティ管理装置200と認証処理装置300の間の連携に必要な連携属性を生成する機能と、この連携属性をユーザアカウント情報格納部220に登録する機能と、を有する。なお、連携に必要な連携属性とは、たとえばIDや乱数である。   The linkage attribute generation unit 250 generates a linkage attribute necessary for linkage between the identity management device 200 and the authentication processing device 300 for user account information, and a function of registering the linkage attribute in the user account information storage unit 220. Have. The cooperation attribute necessary for cooperation is, for example, an ID or a random number.

認証アサーション生成部260は、ユーザアカウント情報格納部220からユーザの認証と、アイデンティティ管理装置200と認証処理装置300との間の連携に関する情報を取得する機能と、認証処理装置300にこれらの情報を送る際に、確かにアイデンティティ管理装置が送信した情報であることを確認するためのアサーション情報を生成する機能と、を有する。なお、このアサーション情報は、SAML(Security Assertion Markup Language)の認証アサーションが好適である。SAMLの認証アサーションでは、PKIの電子署名の仕組みが使われ、アサーション発行者の電子署名を付与することで、アサーションの受信側では、その署名を検証することで、アサーションの発行者を確認でき、かつ、情報が改ざんされていないことを確認することが可能である。   The authentication assertion generation unit 260 has a function of acquiring information related to user authentication and cooperation between the identity management device 200 and the authentication processing device 300 from the user account information storage unit 220, and the authentication processing device 300 with these pieces of information. And a function of generating assertion information for confirming that the information is transmitted by the identity management device. Note that this assertion information is preferably an authentication assertion of SAML (Security Assession Markup Language). In the SAML authentication assertion, the PKI digital signature mechanism is used. By giving the assertion issuer's digital signature, the assertion recipient can verify the assertion issuer by verifying the signature, It is also possible to confirm that the information has not been tampered with.

アカウント登録要求生成部270は、認証アサーション生成部260から認証アサーションを受け取る機能と、このアサーションを用いて認証処理装置300に対するアカウント登録要求を生成する機能と、を有する。   The account registration request generation unit 270 has a function of receiving an authentication assertion from the authentication assertion generation unit 260 and a function of generating an account registration request for the authentication processing device 300 using this assertion.

アサーション検証部280は、認証処理装置300からアカウント登録応答を受け取る機能と、このアカウント登録応答が確かに認証処理装置300が発行したものであることを検証する機能と、を有する。   The assertion verification unit 280 has a function of receiving an account registration response from the authentication processing device 300 and a function of verifying that this account registration response is indeed issued by the authentication processing device 300.

連携属性フラグ管理部290は、ユーザの連携ステータスを「有効」/「無効」に設定し、ユーザアカウント情報格納部220に書き込む機能、を有する。   The cooperation attribute flag management unit 290 has a function of setting the user's cooperation status to “valid” / “invalid” and writing it to the user account information storage unit 220.

認証処理装置300は、通信部310、ユーザアカウント情報格納部320、アサーション検証部330、アイデンティティ保証情報検証部340、ユーザアカウント生成部350、クレデンシャル生成部360、ユーザ認証部370、認証アサーション生成部380、およびアカウント登録応答生成部390を備える。   The authentication processing device 300 includes a communication unit 310, a user account information storage unit 320, an assertion verification unit 330, an identity assurance information verification unit 340, a user account generation unit 350, a credential generation unit 360, a user authentication unit 370, and an authentication assertion generation unit 380. , And an account registration response generation unit 390.

通信部310は、認証処理装置300の内部通信機能と、ネットワーク20を介してクライアント装置100およびアイデンティティ管理装置200と通信する機能と、を有する。   The communication unit 310 has an internal communication function of the authentication processing device 300 and a function of communicating with the client device 100 and the identity management device 200 via the network 20.

ユーザアカウント情報格納部320は、ユーザの、アイデンティティ管理装置200と認証処理装置300との間の連携属性、および認証処理に必要なクレデンシャル情報を格納する機能と、認証処理装置300内の各部位からの要求に応じて、要求元の部位に、要求元の部位に受け渡す機能と、を有する。なお、ユーザアカウント情報格納部320は、アイデンティティ管理装置200と認証処理装置300との連携と認証処理に必要な情報以外は持たないことが好適であるが、他のアカウント情報を持っていても良い。   The user account information storage unit 320 includes a function of storing a user's cooperation attribute between the identity management device 200 and the authentication processing device 300 and credential information necessary for the authentication processing, and each part in the authentication processing device 300. In response to the request, the request source part has a function of delivering to the request source part. The user account information storage unit 320 preferably has no information other than information necessary for cooperation and authentication processing between the identity management device 200 and the authentication processing device 300, but may have other account information. .

アサーション検証部330は、アイデンティティ管理装置200から取得したアサーション情報の正当性を確認する機能を有する。なお、このアサーションに、SAMLのアサーションが使われた場合、付与された電子署名を検証することで、このアサーションの正当性を確認することができる。   The assertion verification unit 330 has a function of confirming the validity of the assertion information acquired from the identity management device 200. When a SAML assertion is used for this assertion, the validity of the assertion can be confirmed by verifying the attached electronic signature.

アイデンティティ保証情報検証部340は、アサーション情報の中にアイデンティティ保証情報が含まれているか否かを確認する機能を有する。なお、アイデンティティの保証情報がアカウントの登録に十分かどうかを確認する機能があっても良い。例えば、アイデンティティの保証機関が信頼できる機関であるか等を確認する機能があっても良い。   The identity guarantee information verification unit 340 has a function of confirming whether or not the identity guarantee information is included in the assertion information. There may be a function for confirming whether the identity guarantee information is sufficient for account registration. For example, there may be a function of confirming whether the identity guarantee organization is a reliable organization.

ユーザアカウント生成部350は、取得したアサーション情報に含まれた連携属性を用いてアカウントを生成する機能と、このアカウントをユーザアカウント情報格納部320に登録する機能と、を有する。   The user account generation unit 350 has a function of generating an account using the cooperation attribute included in the acquired assertion information and a function of registering this account in the user account information storage unit 320.

クレデンシャル生成部360は、ユーザアカウント生成部350が生成したアカウントにおいて、ユーザの認証に必要なクレデンシャルを生成する機能と、このクレデンシャルをユーザアカウント情報格納部320に登録する機能と、を有する。なお、クレデンシャルは、例えばパスワードやトークン等であり、内部で生成したものであっても、外部から取得したものであっても、何れでも構わない。   The credential generation unit 360 has a function of generating a credential necessary for user authentication in the account generated by the user account generation unit 350 and a function of registering the credential in the user account information storage unit 320. The credentials are, for example, passwords and tokens, and may be generated internally or acquired externally.

ユーザ認証部370は、ユーザからクレデンシャル等の認証に必要な情報を受け取る機能と、ユーザアカウント情報格納部320から認証に必要な情報を取得する機能と、これらの情報を用いてユーザ認証を行う機能と、どのような認証方法や本人確認がなされたか等の認証コンテキストを出力する機能と、を有する。   The user authentication unit 370 has a function of receiving information necessary for authentication such as credentials from the user, a function of acquiring information necessary for authentication from the user account information storage unit 320, and a function of performing user authentication using these information And a function of outputting an authentication context such as what authentication method and identity verification have been performed.

認証アサーション生成部380は、ユーザの連携属性とユーザ認証部370が出力した認証コンテキストとを用いてアサーションを生成する機能を有する。なお、このアサーションはSAMLの認証アサーションが好適である。   The authentication assertion generation unit 380 has a function of generating an assertion using the user cooperation attribute and the authentication context output by the user authentication unit 370. This assertion is preferably a SAML authentication assertion.

アカウント登録応答生成部390は、認証アサーション生成部380が生成したアサーションを用いてアカウント登録応答を生成する機能と、このアカウント登録応答をアイデンティティ管理装置200に送信するために通信部310へ送る機能と、を有する。   The account registration response generation unit 390 has a function of generating an account registration response using the assertion generated by the authentication assertion generation unit 380, and a function of sending the account registration response to the communication unit 310 to transmit it to the identity management device 200. Have.

次に、以上のように構成した本実施形態の認証システム10の動作例を説明する。   Next, an operation example of the authentication system 10 of the present embodiment configured as described above will be described.

図2および図3は、本実施形態の認証システム10による動作例を説明するためのシーケンス図である。   2 and 3 are sequence diagrams for explaining an operation example by the authentication system 10 of the present embodiment.

図4は、図2における(ST1−1)乃至(ST1−7)のアイデンティティ管理装置200内の動作例を説明するための模式図である。   FIG. 4 is a schematic diagram for explaining an operation example in the identity management apparatus 200 of (ST1-1) to (ST1-7) in FIG.

図5は、図2および図3における(ST1−8)乃至(ST1−15)の認証処理装置300内の動作例を説明するための模式図である。   FIG. 5 is a schematic diagram for explaining an operation example in the authentication processing apparatus 300 of (ST1-8) to (ST1-15) in FIG. 2 and FIG.

図6は、図3における(ST1−16)乃至(ST1−17)のアイデンティティ管理装置200内の動作例を説明するための模式図である。   FIG. 6 is a schematic diagram for explaining an operation example in the identity management apparatus 200 of (ST1-16) to (ST1-17) in FIG.

本実施形態の認証システム10によれば、アイデンティティ管理装置200が持つユーザアイデンティティから、認証処理装置300に対して、ユーザアカウント情報の自動連携が行われる。この自動連携処理について、以下に、図2および図3における各ステップ毎に説明する。また、各ステップにおける動作については、図4乃至図6をあわせて参照されたい。   According to the authentication system 10 of the present embodiment, user account information is automatically linked to the authentication processing device 300 from the user identity of the identity management device 200. This automatic cooperation process will be described below for each step in FIGS. 2 and 3. Refer to FIGS. 4 to 6 for the operation in each step.

(ST1−1)
図2および図4に示すように、ユーザは、認証を行うために、クライアント装置100を用いて、ユーザ識別UID1とクレデンシャルCR1を、アイデンティティ管理装置200に送る。また、ユーザは、アカウント自動連携を行いたいサービスを識別するため、クライアント装置100に、認証サービス識別ASID1を入力する。クライアント装置100は、入力された認証サービス識別ASID1をアイデンティティ管理装置200に送信する。 (ST1-1)
As shown in FIGS. 2 and 4, the user sends the user identification UID1 and the credential CR1 to the identity management apparatus 200 using the client apparatus 100 for authentication. Further, the user inputs an authentication service identification ASID1 to the client device 100 in order to identify a service for which account automatic cooperation is desired. The client device 100 transmits the input authentication service identification ASID1 to the identity management device 200.

クライアント装置100から送信されたユーザ識別UID1、クレデンシャルCR1、および認証サービス識別ASID1は、アイデンティティ管理装置200の通信部210によって受信される。通信部210は、ユーザ識別UID1およびクレデンシャルCR1をユーザ認証部230に送り、ユーザ識別UID1および認証サービス識別ASID1を認証サービス管理部240に送る。その後、(ST1−2)の処理に進む。   The user identification UID1, the credential CR1, and the authentication service identification ASID1 transmitted from the client apparatus 100 are received by the communication unit 210 of the identity management apparatus 200. The communication unit 210 sends the user identification UID1 and the credential CR1 to the user authentication unit 230, and sends the user identification UID1 and the authentication service identification ASID1 to the authentication service management unit 240. Thereafter, the process proceeds to (ST1-2).

(ST1−2)
ユーザ認証部230が、通信部210から送られたユーザ識別UID1およびクレデンシャルCR1と、ユーザアカウント情報格納部220に予め格納されているユーザ識別UID1およびクレデンシャルCR1との一致を確認することによって、ユーザの認証を行う。そして、認証に成功すると、(ST1−3)の処理に進む。認証に成功しない場合、アカウント自動連携はできない。 (ST1-2)
The user authentication unit 230 confirms the match between the user identification UID1 and the credential CR1 sent from the communication unit 210 and the user identification UID1 and the credential CR1 stored in the user account information storage unit 220 in advance. Authenticate. If the authentication is successful, the process proceeds to (ST1-3). If authentication is not successful, automatic account linkage is not possible.

(ST1−3)
認証サービス管理部240が、(ST1−1)において通信部210から送られた認証サービス識別ASID1が既にユーザアカウント情報格納部220に登録されているか否かを確認する。そして、登録されていることが確認されると、アイデンティティ保証情報IDP1を生成してユーザアカウント情報格納部220に格納し、(ST1−4)の処理に進む。確認されない場合、アカウント自動連携はできない。 (ST1-3)
The authentication service management unit 240 checks whether or not the authentication service identification ASID1 sent from the communication unit 210 in (ST1-1) has already been registered in the user account information storage unit 220. Then, if it is confirmed that it is registered, the identity guarantee information IDP1 is generated and stored in the user account information storage unit 220, and the process proceeds to (ST1-4). If it is not confirmed, automatic account linkage is not possible.

(ST1−4)
連携属性生成部250が、認証サービス識別ASID1に対して新規連携を行うために、たとえばIDや乱数を用いて連携属性FA1を生成し、ユーザアカウント情報格納部220に格納する。また、連携属性FA1の有効ステータスを示すフラグである連携属性フラグFAF1を「無効」に設定し、ユーザアカウント情報格納部220に格納する。連携属性フラグFAF1が「無効」であることは、アイデンティティ管理装置200と認証処理装置300とのアカウント連携はまだ未完了であることを示す。その後、(ST1−5)の処理に進む。 (ST1-4)
The cooperation attribute generation unit 250 generates a cooperation attribute FA1 using, for example, an ID or a random number, and stores it in the user account information storage unit 220 in order to perform a new cooperation with the authentication service identification ASID1. Further, the cooperation attribute flag FAF1 which is a flag indicating the valid status of the cooperation attribute FA1 is set to “invalid” and stored in the user account information storage unit 220. The cooperation attribute flag FAF1 being “invalid” indicates that the account cooperation between the identity management apparatus 200 and the authentication processing apparatus 300 is not yet completed. Thereafter, the process proceeds to (ST1-5).

図7は、ユーザアカウント情報格納部220に格納されるユーザアカウント情報の例を説明するための模式図である。   FIG. 7 is a schematic diagram for explaining an example of user account information stored in the user account information storage unit 220.

図7に示されるように、ユーザアカウント情報格納部220には、(ST1−3)で生成されたアイデンティティ保証情報IDP1と、(ST1−4)で生成された連携属性FA1および連携属性フラグFAF1が格納されるようになる。特に、連携属性FA1および連携属性フラグFAF1は、ユーザアカウント情報のうちの認証サービスとの連携情報として格納される。なお、ユーザアカウント情報のうちのその他の情報であるユーザ識別UID1およびクレデンシャルCR1と、認証サービスとの連携情報に含まれる認証サービス識別ASID1とは、予め格納されている。   As shown in FIG. 7, the user account information storage unit 220 includes the identity guarantee information IDP1 generated in (ST1-3), the linkage attribute FA1 and the linkage attribute flag FAF1 generated in (ST1-4). Will be stored. In particular, the cooperation attribute FA1 and the cooperation attribute flag FAF1 are stored as cooperation information with the authentication service in the user account information. Note that the user identification UID1 and credential CR1, which are other information in the user account information, and the authentication service identification ASID1 included in the cooperation information with the authentication service are stored in advance.

(ST1−5)
認証処理装置300に対して、ユーザがアイデンティティ管理装置200で認証されたことを保証するために、認証アサーション生成部260が、ユーザアカウント情報格納部220に格納された連携属性FA1およびアイデンティティ保証情報IDP1を用いて認証アサーションAA1を生成し、アカウント登録要求生成部270に送る。すなわち、認証アサーション生成部260は、アイデンティティ管理装置200と認証処理装置300間でユーザを識別するための連携属性FA1と、ユーザのアイデンティティを保証するアイデンティティ保証情報IDP1を含めることによって認証アサーションAA1を生成する。なお、認証アサーションAA1を表現するのに、SAMLを利用することが好ましい。SAMLを利用する場合、認証アサーションAA1に格納された情報が確かに、ユーザアカウント情報格納部220が格納していることを保証するため、PKIの電子署名の仕組みが用いられる。 (ST1-5)
In order to guarantee to the authentication processing device 300 that the user has been authenticated by the identity management device 200, the authentication assertion generation unit 260 uses the linkage attribute FA1 and the identity assurance information IDP1 stored in the user account information storage unit 220. Is used to generate an authentication assertion AA1 and send it to the account registration request generator 270. That is, the authentication assertion generation unit 260 generates the authentication assertion AA1 by including the cooperation attribute FA1 for identifying the user between the identity management device 200 and the authentication processing device 300 and the identity assurance information IDP1 that guarantees the user's identity. To do. Note that SAML is preferably used to represent the authentication assertion AA1. When using SAML, a PKI electronic signature mechanism is used to ensure that the information stored in the authentication assertion AA1 is indeed stored in the user account information storage unit 220.

(ST1−6)
アカウント登録要求生成部270が、(ST1−5)において生成された認証アサーションAA1を、認証アサーション生成部260から受け取る。そして、認証処理装置300に対して、ユーザのアカウントを新規登録することを要求するため、認証アサーションAA1を用いて、アカウント登録要求RQ1を生成し、通信部210へ送る。 (ST1-6)
The account registration request generation unit 270 receives the authentication assertion AA1 generated in (ST1-5) from the authentication assertion generation unit 260. Then, in order to request the authentication processing device 300 to newly register a user account, an authentication registration assertion AA1 is used to generate an account registration request RQ1 and send it to the communication unit 210.

図8は、アカウント登録要求RQ1に含まれる情報の例を説明するための模式図である。   FIG. 8 is a schematic diagram for explaining an example of information included in the account registration request RQ1.

すなわち、アカウント登録要求RQ1には、認証アサーションAA1が含まれている。そして、認証アサーションAA1には、連携属性FA1と、アイデンティティ保証情報IPD1とが含まれている。なお、前述したように、認証アサーションAA1を表現するのに、SAMLを利用することが好ましい。SAMLが利用された場合、アイデンティティ保証情報IPD1は、アイデンティティステートメントIDS1内の1つの要素として生成される。したがって、図8では、SAMLが利用された場合の例として、アイデンティティステートメントIDS1にアイデンティティ保証情報IPD1が含まれているように示されている。   That is, the account registration request RQ1 includes an authentication assertion AA1. The authentication assertion AA1 includes a linkage attribute FA1 and identity assurance information IPD1. As described above, it is preferable to use SAML to represent the authentication assertion AA1. When SAML is used, the identity assurance information IPD1 is generated as one element in the identity statement IDS1. Therefore, in FIG. 8, as an example when SAML is used, the identity statement IDS1 is shown to include the identity guarantee information IPD1.

(ST1−7)
通信部210が、(ST1−6)でアカウント登録要求生成部270から送られたアカウント登録要求RQ1を、ネットワーク20を介して認証処理装置300へ送信する。 (ST1-7)
The communication unit 210 transmits the account registration request RQ1 sent from the account registration request generation unit 270 in (ST1-6) to the authentication processing device 300 via the network 20.

(ST1−8)
図5に示すように、認証処理装置300が、通信部310において、(ST1−7)において送信されたアカウント登録要求RQ1を受信する。そして、アサーション検証部330において、認証アサーションAA1を検証する。なお、SAMLが利用された場合、アサーション検証部330は、認証アサーションAA1に添付された署名を検証することで、認証アサーションAA1を検証することができる。認証アサーションAA1の検証に成功すると、(ST1−9)の処理に進む。検証に失敗すると、処理が終了し、アカウント自動連携はできない。 (ST1-8)
As illustrated in FIG. 5, authentication processing apparatus 300 receives account registration request RQ1 transmitted in (ST1-7) at communication unit 310. Then, the assertion verification unit 330 verifies the authentication assertion AA1. When SAML is used, the assertion verification unit 330 can verify the authentication assertion AA1 by verifying the signature attached to the authentication assertion AA1. If the verification of the authentication assertion AA1 is successful, the process proceeds to (ST1-9). If verification fails, the process ends and automatic account linkage is not possible.

(ST1−9)
ユーザのアイデンティティが保証されていることを確認するために、アイデンティティ保証情報検証部340が、認証アサーションAA1に含まれるアイデンティティ保証情報IDP1を確認する。確認がなされると、(ST1−10)の処理に進む。確認がなされないと、処理が終了し、アカウント自動連携はできない。 (ST1-9)
In order to confirm that the identity of the user is guaranteed, the identity assurance information verification unit 340 confirms the identity assurance information IDP1 included in the authentication assertion AA1. If confirmation is made, the process proceeds to (ST1-10). If the confirmation is not made, the process ends and automatic account linkage is not possible.

(ST1−10)
ユーザアカウント生成部350が、認証アサーションAA1に含まれる連携属性FA1を用いて、認証処理装置300におけるユーザのアカウントを生成し、ユーザアカウント情報格納部320に、生成されたアカウントに関連付けて連携属性FA1を格納する。その後、(ST1−11)の処理に進む。 (ST1-10)
The user account generation unit 350 generates a user account in the authentication processing device 300 using the cooperation attribute FA1 included in the authentication assertion AA1, and associates the generated account with the generated account in the user account information storage unit 320. Is stored. Thereafter, the process proceeds to (ST1-11).

(ST1−11)
クレデンシャル生成部360が、アイデンティティ保証情報認証処理装置300においてユーザを認証する際に利用するクレデンシャルCR2を生成し、ユーザアカウント情報格納部320に、対応するアカウントに関連付けて格納する。クレデンシャルCR2は、認証処理装置300の持つ認証方式によって異なるため、クレデンシャル生成部360は、認証方式に沿ったクレデンシャルを生成すると良い。例えば、認証処理装置300がパスワードに用いる認証を採用する場合、クレデンシャルCR2はパスワードが好適である。 (ST1-11)
The credential generation unit 360 generates a credential CR2 used when authenticating the user in the identity guarantee information authentication processing apparatus 300, and stores it in the user account information storage unit 320 in association with the corresponding account. Since the credential CR2 varies depending on the authentication method of the authentication processing apparatus 300, the credential generation unit 360 may generate a credential in accordance with the authentication method. For example, when the authentication processing apparatus 300 employs authentication used for a password, the credential CR2 is preferably a password.

図9は、ユーザアカウント情報格納部320に格納される情報の例を説明するための模式図である。   FIG. 9 is a schematic diagram for explaining an example of information stored in the user account information storage unit 320.

すなわち、ユーザアカウント情報格納部320には、(ST1−10)および(ST1−11)における処理によって生成された連携属性FA1およびクレデンシャルCR2がユーザアカウント情報として格納される。   That is, the user account information storage unit 320 stores the cooperation attribute FA1 and the credential CR2 generated by the processes in (ST1-10) and (ST1-11) as user account information.

クレデンシャルCR2がユーザアカウント情報格納部320に格納されると、(ST−12)の処理に進む。   When the credential CR2 is stored in the user account information storage unit 320, the process proceeds to (ST-12).

(ST1−12)
ユーザ認証部370が、(ST1−11)で格納されたクレデンシャルCR2を用いてユーザ認証を行い、認証コンテキストAC2を生成する。認証コンテキストAC2は、認証処理がどう行われたか等を示す情報である。なお、この認証コンテキストAC2は、SAMLの認証コンテキストを利用することが好ましい。その後、(ST1−13)の処理に進む。 (ST1-12)
The user authentication unit 370 performs user authentication using the credential CR2 stored in (ST1-11), and generates an authentication context AC2. The authentication context AC2 is information indicating how the authentication processing has been performed. The authentication context AC2 preferably uses a SAML authentication context. Thereafter, the process proceeds to (ST1-13).

(ST1−13)
認証アサーション生成部380が、連携属性FA1と認証コンテキストAC2から、認証アサーションAA2を生成する。なお、この認証アサーションAA2を表現するのに、SAMLが好適である。その後、(ST1−14)の処理に進む。 (ST1-13)
The authentication assertion generation unit 380 generates an authentication assertion AA2 from the cooperation attribute FA1 and the authentication context AC2. Note that SAML is suitable for expressing the authentication assertion AA2. Thereafter, the process proceeds to (ST1-14).

(ST1−14)
アカウント登録応答生成部390が、(ST1−13)で生成された認証アサーションAA2を用いてアカウント登録応答RP1を生成する。その後、(ST1−15)の処理に進む。 (ST1-14)
Account registration response generation section 390 generates account registration response RP1 using authentication assertion AA2 generated in (ST1-13). Thereafter, the process proceeds to (ST1-15).

図10は、アカウント登録応答RP1に含まれる情報の例を説明するための模式図である。   FIG. 10 is a schematic diagram for explaining an example of information included in the account registration response RP1.

アカウント登録応答RP1には、認証アサーションAA2が含まれる。そして、認証アサーションAA2には、連携属性FA1と認証コンテキストAC2とが含まれる。なお、前述したように、認証アサーションAA2を表現するのに、SAMLを利用することが好ましい。SAMLが利用された場合、認証コンテキストAC2は、認証ステートメントAS2内の1つの要素として生成される。したがって、図10では、SAMLが利用された場合の例として、認証ステートメントAS2に認証コンテキストAC2が含まれているように示されている。   The account registration response RP1 includes an authentication assertion AA2. The authentication assertion AA2 includes the cooperation attribute FA1 and the authentication context AC2. As described above, it is preferable to use SAML to represent the authentication assertion AA2. When SAML is used, the authentication context AC2 is generated as one element in the authentication statement AS2. Therefore, in FIG. 10, as an example when SAML is used, the authentication statement AS2 is shown to include the authentication context AC2.

(ST1−15)
通信部310が、(ST1−14)で生成されたアカウント登録応答RP1を、ネットワーク20を介してアイデンティティ管理装置200に送信する。そして、(ST1−16)の処理に進む。 (ST1-15)
The communication unit 310 transmits the account registration response RP1 generated in (ST1-14) to the identity management apparatus 200 via the network 20. Then, the process proceeds to (ST1-16).

(ST1−16)
図6に示すように、(ST1−15)で送信されたアカウント登録応答RP1を、アイデンティティ管理装置200が、通信部210において受信する。通信部210は、受信したアカウント登録応答RP1をアサーション検証部280へ送る。そして、アサーション検証部280は、アカウント登録応答RP1に含まれる認証アサーションAA2を検証する。なお、SAMLが利用された場合、アサーション検証部280は、認証アサーションAA2に添付された署名を検証することで、認証アサーションAA2を検証することができる。認証アサーションAA2の検証に成功すると、(ST1−17)の処理に進む。検証に失敗すると、処理は終了する。 (ST1-16)
As illustrated in FIG. 6, the identity management apparatus 200 receives the account registration response RP1 transmitted in (ST1-15) in the communication unit 210. The communication unit 210 sends the received account registration response RP1 to the assertion verification unit 280. Then, the assertion verification unit 280 verifies the authentication assertion AA2 included in the account registration response RP1. When SAML is used, the assertion verification unit 280 can verify the authentication assertion AA2 by verifying the signature attached to the authentication assertion AA2. If the verification of the authentication assertion AA2 is successful, the process proceeds to (ST1-17). If verification fails, the process ends.

(ST1−17)
連携属性フラグ管理部290が、認証アサーションAA2に含まれた連携属性FA1を用いて、ユーザアカウント情報格納部220に格納されているユーザアカウント情報を検索する。そして、該当するユーザアカウント情報の連携属性フラグFAF1を、「有効」に設定し、ユーザアカウント情報格納部220に格納する。これでアイデンティティ管理装置200と認証処理装置300とのアカウント連携処理が完了する。 (ST1-17)
The cooperation attribute flag management unit 290 searches for user account information stored in the user account information storage unit 220 using the cooperation attribute FA1 included in the authentication assertion AA2. Then, the cooperation attribute flag FAF1 of the corresponding user account information is set to “valid” and stored in the user account information storage unit 220. This completes the account linkage processing between the identity management device 200 and the authentication processing device 300.

上述したように、本実施形態の認証システム10によれば、連携属性FA1をアイデンティティ管理装置200と認証処理装置300との間で相互認証することにより、アイデンティティ管理装置200と認証処理装置300との間でのアカウント連携が可能となる。   As described above, according to the authentication system 10 of the present embodiment, mutual authentication between the identity management apparatus 200 and the authentication processing apparatus 300 is performed between the identity management apparatus 200 and the authentication processing apparatus 300. Account linkage between them becomes possible.

その結果、認証システム10で新規アカウント登録に利用する情報は、アイデンティティ管理装置200で取り扱っている本人確認されたアイデンティティに対応した連携属性FA1となるため、仮に認証処理装置300が、アイデンティティ管理装置200とは異なるセキュリティドメインにある場合であっても、セキュリティを低下させることなく、新規アカウント登録のためのアカウント情報の、アイデンティティ管理装置200と認証処理装置300との間での連携が可能となる。   As a result, the information used for new account registration in the authentication system 10 becomes the linkage attribute FA1 corresponding to the identity confirmed by the identity management apparatus 200, so that the authentication processing apparatus 300 is assumed to be the identity management apparatus 200. Even in a different security domain, it is possible to link the account information for new account registration between the identity management device 200 and the authentication processing device 300 without degrading security.

また、認証システム10は、アイデンティティ管理装置200で取り扱っている本人確認されたアイデンティティに対応した連携属性FA1を用いて、新規アカウントを登録できるようになるので、登録時に再度本人確認を行う必要性を省くことが可能となる。   In addition, the authentication system 10 can register a new account using the cooperation attribute FA1 corresponding to the identity confirmed by the identity management device 200, so that it is necessary to confirm the identity again at the time of registration. It can be omitted.

さらには、認証システム10は、ユーザのアイデンティティそのものを管理することなく、アイデンティティ管理装置200が取り扱っているアイデンティティに対応付けられた連携属性FA1のみを管理するようになる。連携属性FA1の情報は直接的にはユーザに関係しない、プライバシー情報ではないため、セキュリティを低下させることなく、管理コストを低減することが可能となる。   Furthermore, the authentication system 10 manages only the cooperative attribute FA1 associated with the identity handled by the identity management device 200 without managing the user identity itself. Since the information of the linkage attribute FA1 is not privacy information that is not directly related to the user, the management cost can be reduced without lowering the security.

(第2の実施形態)
第2の実施形態の認証システムをさらに図11乃至図17を用いて説明する。 (Second Embodiment)
The authentication system of the second embodiment will be further described with reference to FIGS.

図11は、本実施形態の認証システム10’の構成例を示すブロック図である。   FIG. 11 is a block diagram illustrating a configuration example of the authentication system 10 ′ according to the present embodiment.

すなわち、本実施形態の認証システム10’は、アイデンティティ管理装置200’と認証処理装置300’とを備えてなる。アイデンティティ管理装置200’は、第1の実施形態におけるアイデンティティ管理装置200に認証要求生成部299を追加したものであり、認証処理装置300’は、第1の実施形態における認証処理装置300に認証応答生成部399を追加したものである。その他の構成要件は、第1の実施形態と同じであるので、以下の説明に用いる図中の符号は、図1と同一部分については同一符号を付して示し、重複説明を避ける。   That is, the authentication system 10 ′ of the present embodiment includes an identity management device 200 ′ and an authentication processing device 300 ′. The identity management device 200 ′ is obtained by adding an authentication request generation unit 299 to the identity management device 200 in the first embodiment, and the authentication processing device 300 ′ sends an authentication response to the authentication processing device 300 in the first embodiment. A generation unit 399 is added. Since the other constituent elements are the same as those in the first embodiment, the same reference numerals in the drawings used in the following description are given to the same parts as those in FIG.

図12は、本実施形態の認証システム10’による動作例を説明するためのシーケンス図である。   FIG. 12 is a sequence diagram for explaining an operation example by the authentication system 10 ′ of the present embodiment.

図13は、図12における(ST2−13)までの認証処理装置300内の動作例を説明するための模式図である。   FIG. 13 is a schematic diagram for explaining an operation example in the authentication processing apparatus 300 up to (ST2-13) in FIG.

本実施形態の認証システム10’の動作は、図12に示す(ST2−12)よりも前については、第1の実施形態の(ST1−1)乃至(ST1−11)と同様である。したがって、図12では、(ST1−1)乃至(ST1−11)の記載を省略している。また、図13中に示す(ST1−7)乃至(ST1−11)も第1の実施形態と同様である。   The operation of the authentication system 10 'of this embodiment is the same as (ST1-1) to (ST1-11) of the first embodiment before (ST2-12) shown in FIG. Therefore, the description of (ST1-1) to (ST1-11) is omitted in FIG. Further, (ST1-7) to (ST1-11) shown in FIG. 13 are the same as those in the first embodiment.

よって、以下では、(ST2−12)乃至(ST2−19)について説明する。   Therefore, (ST2-12) to (ST2-19) will be described below.

(ST2−12)
アカウント登録応答生成部390は、(ST1−11)において図9に示すような連携属性FA1およびクレデンシャルCR2を含むユーザアカウント情報が、ユーザアカウント情報格納部320に格納された後に、ユーザアカウント情報格納部320に格納された連携属性FA1を用いて、ユーザのアカウント登録応答RP1を生成する。 (ST2-12)
The account registration response generation unit 390 stores the user account information including the linkage attribute FA1 and the credential CR2 as shown in FIG. 9 in (ST1-11) in the user account information storage unit 320, and then stores the user account information storage unit A user account registration response RP1 is generated using the cooperation attribute FA1 stored in 320.

図14は、本実施形態におけるアカウント登録応答RP1に含まれる情報の例を示す模式図である。すなわち、本実施形態におけるアカウント登録応答RP1には、連携属性FA1が含まれている。   FIG. 14 is a schematic diagram illustrating an example of information included in the account registration response RP1 in the present embodiment. That is, the cooperation attribute FA1 is included in the account registration response RP1 in the present embodiment.

アカウント登録応答生成部390は、このようなアカウント登録応答RP1を生成すると、通信部310に送る。   When the account registration response generation unit 390 generates such an account registration response RP1, the account registration response generation unit 390 transmits the account registration response RP1 to the communication unit 310.

図15は、図12における(ST2−14)乃至(ST2−15)のアイデンティティ管理装置200’内の動作例を説明するための模式図である。   FIG. 15 is a schematic diagram for explaining an operation example in the identity management apparatus 200 ′ (ST 2-14) to (ST 2-15) in FIG.

(ST2−13)
通信部310は、アカウント登録応答生成部390から送られたアカウント登録応答RP1を受け取る。そして、図15に示すように、ネットワーク20を介してアイデンティティ管理装置200’へ送信する。 (ST2-13)
The communication unit 310 receives the account registration response RP1 sent from the account registration response generation unit 390. Then, as shown in FIG. 15, it is transmitted to the identity management apparatus 200 ′ via the network 20.

(ST2−14)
アイデンティティ管理装置200’は、(ST2−13)において通信部310から送信されたアカウント登録応答RP1を通信部210において受信する。通信部210は、このアカウント登録応答RP1を認証要求生成部299へ送る。そして、認証要求生成部299は、このアカウント登録応答RP1に含まれる連携属性FA1が、ユーザアカウント情報格納部220に格納されているものと同一であることを確認し、認証要求ARQ1を生成する。そして、認証要求ARQ1を通信部210へ送る。連携属性FA1の同一性が確認されない場合には、認証要求ARQ1は生成されず、処理が終了する。 (ST2-14)
The identity management device 200 ′ receives the account registration response RP1 transmitted from the communication unit 310 in (ST2-13) in the communication unit 210. The communication unit 210 sends this account registration response RP1 to the authentication request generation unit 299. Then, the authentication request generation unit 299 confirms that the cooperation attribute FA1 included in the account registration response RP1 is the same as that stored in the user account information storage unit 220, and generates an authentication request ARQ1. Then, the authentication request ARQ1 is sent to the communication unit 210. If the identity of the cooperation attribute FA1 is not confirmed, the authentication request ARQ1 is not generated and the process ends.

(ST2−15)
通信部210は、(ST2−14)で認証要求生成部299から送られた認証要求ARQ1を、ネットワーク20を介して認証処理装置300’へ送信する。通信部210から送信された認証要求ARQ1を、認証処理装置300’の通信部310が受信する。 (ST2-15)
The communication unit 210 transmits the authentication request ARQ1 sent from the authentication request generation unit 299 in (ST2-14) to the authentication processing device 300 ′ via the network 20. The communication unit 310 of the authentication processing device 300 ′ receives the authentication request ARQ1 transmitted from the communication unit 210.

(ST2−16)
図16は、(ST2−16)乃至(ST2−17)の認証処理装置300’内の動作例を説明するための模式図である。 (ST2-16)
FIG. 16 is a schematic diagram for explaining an operation example in the authentication processing apparatus 300 ′ of (ST2-16) to (ST2-17).

図16に示すように、通信部310は、認証要求ARQ1を受信すると、ユーザ認証部370に送る。すると、ユーザ認証部370が、ユーザアカウント情報格納部320に格納された連携属性FA1を取得し、さらに、指定された認証方法に従って認証要求ARQ1の認証処理を行い、認証コンテキストAC2を生成し、認証アサーション生成部380へ送る。   As illustrated in FIG. 16, upon receiving the authentication request ARQ1, the communication unit 310 sends the authentication request ARQ1 to the user authentication unit 370. Then, the user authentication unit 370 acquires the cooperation attribute FA1 stored in the user account information storage unit 320, further performs authentication processing of the authentication request ARQ1 according to the specified authentication method, generates an authentication context AC2, and performs authentication. Send to the assertion generator 380.

これを受けて認証アサーション生成部380は、連携属性FA1と認証コンテキストAC2とから、認証アサーションAA2を生成する。したがって、認証アサーションAA2には、連携属性FA1と認証コンテキストAC2とが含まれている。認証アサーション生成部380は、このような認証アサーションAA2を、認証応答生成部399へ送る。   In response to this, the authentication assertion generation unit 380 generates an authentication assertion AA2 from the cooperation attribute FA1 and the authentication context AC2. Therefore, the authentication assertion AA2 includes the cooperation attribute FA1 and the authentication context AC2. The authentication assertion generation unit 380 sends such an authentication assertion AA2 to the authentication response generation unit 399.

これに応じて認証応答生成部399は、認証アサーションAA2を用いて認証応答ARP1を生成する。したがって、認証応答ARP1には、認証アサーションAA2が含まれている。認証応答生成部399は、このような認証応答ARP1を通信部310へ送る。   In response to this, the authentication response generation unit 399 generates an authentication response ARP1 using the authentication assertion AA2. Therefore, the authentication response ARP1 includes an authentication assertion AA2. The authentication response generation unit 399 sends such an authentication response ARP1 to the communication unit 310.

(ST2−17)
通信部310は、認証応答生成部399から送られた認証応答ARP1を受け取り、ネットワーク20を介してアイデンティティ管理装置200’へ送信する。 (ST2-17)
The communication unit 310 receives the authentication response ARP1 sent from the authentication response generation unit 399 and transmits it to the identity management device 200 ′ via the network 20.

図17は、(ST2−18)乃至(ST2−19)のアイデンティティ管理装置200’内の動作例を説明するための模式図である。   FIG. 17 is a schematic diagram for explaining an operation example in the identity management apparatus 200 'of (ST2-18) to (ST2-19).

(ST2−18)
図17に示すように、通信部210は、通信部310から送信された認証応答ARP1を受信し、アサーション検証部280へ送る。アサーション検証部280は、認証アサーションAA2に含まれている連携属性FA1と認証コンテキストAC2とから、認証アサーションAA2を検証する。これは、たとえば電子署名を検証することによって行う。なお、認証アサーションAA2を表現するのに、SAMLが好適である。その後、検証に成功すると、(ST2−19)の処理に進む。 (ST2-18)
As illustrated in FIG. 17, the communication unit 210 receives the authentication response ARP1 transmitted from the communication unit 310 and sends it to the assertion verification unit 280. The assertion verification unit 280 verifies the authentication assertion AA2 from the cooperation attribute FA1 and the authentication context AC2 included in the authentication assertion AA2. This is done, for example, by verifying the electronic signature. Note that SAML is suitable for expressing the authentication assertion AA2. Thereafter, when the verification is successful, the process proceeds to (ST2-19).

(ST2−19)
連携属性フラグ管理部290は、認証アサーションAA2に含まれる連携属性FA1を用いて、ユーザアカウント情報格納部220に格納されているユーザアカウント情報を検索する。そして、該当したユーザアカウント情報の連携属性フラグFAF1を、「有効」に設定し、格納する。これでアイデンティティ管理装置200’と認証処理装置300’との間でのアカウント連携が完了となる。 (ST2-19)
The cooperation attribute flag management unit 290 searches for user account information stored in the user account information storage unit 220 using the cooperation attribute FA1 included in the authentication assertion AA2. Then, the cooperation attribute flag FAF1 of the corresponding user account information is set to “valid” and stored. This completes the account linkage between the identity management device 200 ′ and the authentication processing device 300 ′.

上述したように、本実施形態の認証システム10’によれば、第1の実施形態の認証システム10とは異なり、認証処理装置300’がユーザの連携アカウントを生成する際に、認証アサーションAA2を生成せず、すなわちユーザ認証を行わず、アイデンティティ管理装置200’にアカウント登録応答を通信する。そして、アイデンティティ管理装置200’は、認証処理装置300’に対してユーザ認証を要求し、ユーザ認証処理が行われ、認証処理装置300’から認証成功の応答を取得すると、アカウント連携を「有効」としている。   As described above, according to the authentication system 10 ′ of the present embodiment, unlike the authentication system 10 of the first embodiment, when the authentication processing device 300 ′ generates the user's cooperation account, the authentication assertion AA2 is set. The account registration response is communicated to the identity management device 200 ′ without generation, that is, without user authentication. Then, the identity management device 200 ′ requests the user authentication from the authentication processing device 300 ′, the user authentication processing is performed, and when an authentication success response is obtained from the authentication processing device 300 ′, the account linkage is “valid”. It is said.

このような構成によっても、アイデンティティ管理装置200’は認証処理装置300’に対して、認証処理に関する指定をすることが可能となり、もって、第1の実施形態の認証システム10と同じ作用効果を奏することができる。   Even with such a configuration, the identity management device 200 ′ can specify the authentication processing to the authentication processing device 300 ′, and thus has the same effect as the authentication system 10 of the first embodiment. be able to.

なお、請求項における認証システムにおける第1の装置の第1の情報格納部、認証部、連携属性生成部、登録要求部、検証部、連携属性フラグ管理部、および認証要求生成部は、実施形態におけるユーザアカウント情報格納部220、ユーザ認証部230、連携属性生成部250、アカウント登録要求生成部270、アサーション検証部280、連携属性フラグ管理部290、および認証要求生成部299にそれぞれ対応する。 The first information storage unit, the authentication unit, the linkage attribute generation unit, the registration request unit, the verification unit, the linkage attribute flag management unit, and the authentication request generation unit of the first device in the authentication system according to the claims are the embodiments. Corresponds to the user account information storage unit 220, the user authentication unit 230, the linkage attribute generation unit 250, the account registration request generation unit 270, the assertion verification unit 280, the linkage attribute flag management unit 290, and the authentication request generation unit 299, respectively.

また、請求項における認証処理装置における通信部、アカウント生成部、情報格納部、クレデンシャル生成部、ユーザ認証部、アカウント登録応答生成部、認証アサーション生成部、および認証応答生成部は、実施形態における通信部310、ユーザアカウント生成部350、ユーザアカウント情報格納部320、クレデンシャル生成部360、ユーザ認証部370、アカウント登録応答生成部390、認証アサーション生成部380、および認証応答生成部399にそれぞれ対応する。   In addition, the communication unit, the account generation unit, the information storage unit, the credential generation unit, the user authentication unit, the account registration response generation unit, the authentication assertion generation unit, and the authentication response generation unit in the authentication processing device in the claims are the communication in the embodiment. Unit 310, user account generation unit 350, user account information storage unit 320, credential generation unit 360, user authentication unit 370, account registration response generation unit 390, authentication assertion generation unit 380, and authentication response generation unit 399.

本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれると同様に、特許請求の範囲に記載された発明とその均等の範囲に含まれるものである。   Although several embodiments of the present invention have been described, these embodiments are presented by way of example and are not intended to limit the scope of the invention. These embodiments can be implemented in various other forms, and various omissions, replacements, and changes can be made without departing from the spirit of the invention. These embodiments and their modifications are included in the scope and gist of the invention, and are also included in the invention described in the claims and the equivalents thereof.

例えば、実施形態では、アイデンティティ管理装置200(200’)とアカウント連携する装置として、認証処理装置300(300’)を例に説明したが、アイデンティティ管理装置200(200’)とアカウント連携する対象となる装置は、認証処理装置300(300’)に限られるものではない。実施形態では、アイデンティティ管理装置200(200’)とアカウント連携する装置の一例として、認証処理装置300(300’)とし、これに応じて、アイデンティティ管理装置200(200’)では、認証処理装置300(300’)によってなされる認証サービスを識別するための識別子として認証サービス識別ASID1を取り扱い、さらに認証サービス識別ASID1を管理するための認証サービス管理部240を設けている。   For example, in the embodiment, the authentication processing apparatus 300 (300 ′) has been described as an example of an apparatus that performs account cooperation with the identity management apparatus 200 (200 ′). Is not limited to the authentication processing device 300 (300 ′). In the embodiment, the authentication processing device 300 (300 ′) is used as an example of a device that cooperates with the identity management device 200 (200 ′), and the identity management device 200 (200 ′) responds accordingly. The authentication service identification ASID1 is handled as an identifier for identifying the authentication service performed by (300 ′), and an authentication service management unit 240 for managing the authentication service identification ASID1 is provided.

したがって、当業者であれば、アイデンティティ管理装置200(200’)とアカウント連携する対象となる装置が、認証処理装置300(300’)ではない場合、それに応じたサービス識別情報およびサービス管理部を、認証サービス識別ASID1および認証サービス管理部240の代わりに用いることにより、アイデンティティ管理装置200(200’)は、認証処理装置300(300’)以外の装置とであっても、アカウント連携することが可能となることを理解できるであろう。   Therefore, if the person who is skilled in the art is not the authentication processing device 300 (300 ′), the service identification information and the service management unit corresponding to the device to be account-linked with the identity management device 200 (200 ′) By using instead of the authentication service identification ASID1 and the authentication service management unit 240, the identity management device 200 (200 ′) can be linked with an account even with a device other than the authentication processing device 300 (300 ′). You will understand that

10、10’ 本実施形態の認証システム、20 ネットワーク、100 クライアント装置、200、200’ アイデンティティ管理装置、210 通信部、220 ユーザアカウント情報格納部、230 ユーザ認証部、240 認証サービス管理部、250 連携属性生成部、260 認証アサーション生成部、270 アカウント登録要求生成部、280 アサーション検証部、290 連携属性フラグ管理部、299 認証要求生成部、300、300’ 認証処理装置、310 通信部、320 ユーザアカウント情報格納部、330 アサーション検証部、340 アイデンティティ保証情報検証部、350 ユーザアカウント生成部、360 クレデンシャル生成部、370 ユーザ認証部、380 認証アサーション生成部、390 アカウント登録応答生成部、399 認証応答生成部。 10, 10 ′ authentication system of this embodiment, 20 network, 100 client device, 200, 200 ′ identity management device, 210 communication unit, 220 user account information storage unit, 230 user authentication unit, 240 authentication service management unit, 250 cooperation Attribute generation unit, 260 authentication assertion generation unit, 270 account registration request generation unit, 280 assertion verification unit, 290 linkage attribute flag management unit, 299 authentication request generation unit, 300, 300 ′ authentication processing device, 310 communication unit, 320 user account Information storage unit, 330 Assertion verification unit, 340 Identity assurance information verification unit, 350 User account generation unit, 360 Credential generation unit, 370 User authentication unit, 380 Authentication assertion generation unit, 390 Und registration response generation unit, 399 authentication response generation unit.

Claims (4)

他装置からのアカウント登録要求に応じてユーザのアカウントを登録するとともに、前記ユーザを認証する認証処理装置であって、
前記ユーザが前記他装置によって認証されたことを保証する保証情報と、前記ユーザのアカウント情報の前記他装置との連携のための連携属性とが含まれた、前記アカウント登録要求を受信する通信部と、
前記アカウント登録要求に含まれた連携属性を用いて、前記ユーザのアカウントを生成するアカウント生成部と、
前記生成されたアカウントに関連付けて、前記連携属性を格納する情報格納部と、
前記ユーザを認証する際に利用するクレデンシャルを生成し、前記アカウントに関連付けて、前記情報格納部に格納するクレデンシャル生成部と、
前記クレデンシャルを用いて前記ユーザの認証を行い、認証処理内容を示す認証コンテキストを生成するユーザ認証部と、
前記連携属性と前記認証コンテキストとを含むアカウント登録応答を生成する、アカウント登録応答生成部と、
を備えた認証処理装置。 In addition to registering a user account in response to an account registration request from another device, the authentication processing device authenticates the user,
A communication unit that receives the account registration request, including guarantee information for guaranteeing that the user has been authenticated by the other device, and a cooperation attribute for cooperation of the user's account information with the other device. When,
An account generation unit that generates an account of the user using a linkage attribute included in the account registration request;
An information storage unit for storing the linkage attribute in association with the generated account;
Generating a credential to be used when authenticating the user, associating it with the account, and storing it in the information storage unit;
A user authentication unit that authenticates the user using the credentials and generates an authentication context indicating an authentication processing content;
An account registration response generator for generating an account registration response including the linkage attribute and the authentication context;
An authentication processing apparatus comprising: 前記通信部が、前記アカウント登録応答を前記他装置へ送信し、前記アカウント登録応答に応じて、前記他装置によって生成された、前記ユーザの認証を要求する認証要求を受信し、
前記ユーザ認証部が、前記認証要求に対応する連携属性を、前記情報格納部から取得し、さらに、前記認証要求の認証処理を行い、認証コンテキストを生成し、
前記取得された連携属性と、前記生成された認証コンテキストとから、認証アサーションを生成する、認証アサーション生成部と、
前記認証アサーションを用いて認証応答を生成する認証応答生成部と、
をさらに備える請求項に記載の認証処理装置。 The communication unit transmits the account registration response to the other device, receives an authentication request for requesting authentication of the user generated by the other device in response to the account registration response,
The user authentication unit acquires a cooperation attribute corresponding to the authentication request from the information storage unit, further performs authentication processing of the authentication request, and generates an authentication context.
An authentication assertion generation unit that generates an authentication assertion from the acquired cooperative attribute and the generated authentication context;
An authentication response generation unit that generates an authentication response using the authentication assertion;
The authentication processing device according to claim 1 , further comprising: 第2の装置にアカウントを登録するユーザのためのアイデンティティ情報を管理する第1の装置と、前記第1の装置からのアカウント登録要求に応じてユーザのアカウントを登録する前記第2の装置と、を備えてなる認証システムであって、
前記第1の装置は、
前記ユーザのアイデンティティ情報に含まれるアカウント情報と、前記第2の装置によって提供されるサービスを識別するサービス識別情報とを格納する第1の情報格納部と、
前記格納されたアカウント情報を用いて前記ユーザを認証する認証部と、
前記認証されたユーザによって入力されたサービス識別情報が、前記格納されたサービス識別情報と一致する場合、前記アカウント情報の前記第2の装置との連携のための連携属性と、前記連携属性のステータスを示す連携属性フラグとを生成し、前記連携属性フラグを無効に設定する連携属性生成部と、
前記ユーザが認証されたことを保証する保証情報と、前記連携属性とを用いて、前記第2の装置に対して、前記ユーザのアカウントの登録を要求する登録要求部と、
前記要求に応じて、前記第2の装置によって生成された、前記連携属性を含むアカウント登録応答を検証する検証部と、
前記アカウント登録応答が正しく検証された場合、前記アカウント登録応答に含まれた連携属性に対応するアカウント情報を、前記第1の情報格納部から検索し、前記連携属性のステータスを示す連携属性フラグを有効に設定することにより、前記アカウント情報の前記第2の装置との連携を可能とする連携属性フラグ管理部とを備え、
前記第2の装置は、
前記ユーザが前記第1の装置によって認証されたことを保証する保証情報と、前記ユーザのアカウント情報の前記第1の装置との連携のための連携属性とが含まれた、前記アカウント登録要求を受信する通信部と、
前記アカウント登録要求に含まれた連携属性を用いて、前記ユーザのアカウントを生成するアカウント生成部と、
前記生成されたアカウントに関連付けて、前記連携属性を格納する第2の情報格納部と、
前記ユーザを認証する際に利用するクレデンシャルを生成し、前記アカウントに関連付けて、前記第2の情報格納部に格納するクレデンシャル生成部と、
前記クレデンシャルを用いて前記ユーザの認証を行い、認証処理内容を示す認証コンテキストを生成するユーザ認証部と、
前記連携属性と前記認証コンテキストとを含むアカウント登録応答を生成する、アカウント登録応答生成部とを備えた、認証システム。 A first device that manages identity information for a user who registers an account with a second device; and a second device that registers a user account in response to an account registration request from the first device; An authentication system comprising:
The first device includes:
A first information storage unit for storing account information included in the identity information of the user and service identification information for identifying a service provided by the second device;
An authenticating unit for authenticating the user using the stored account information;
When the service identification information input by the authenticated user matches the stored service identification information, the cooperation attribute for cooperation with the second device of the account information, and the status of the cooperation attribute A linkage attribute flag indicating that the linkage attribute flag is set to invalid,
A registration request unit for requesting registration of the user's account to the second device using guarantee information for guaranteeing that the user has been authenticated and the linkage attribute;
A verification unit that verifies an account registration response including the linkage attribute generated by the second device in response to the request;
When the account registration response is correctly verified, the account information corresponding to the linkage attribute included in the account registration response is searched from the first information storage unit, and a linkage attribute flag indicating the status of the linkage attribute is set. A linkage attribute flag management unit that enables linkage with the second device of the account information by enabling it;
The second device includes:
The account registration request including guarantee information for guaranteeing that the user has been authenticated by the first device, and a cooperation attribute for cooperation of the user's account information with the first device. A communication unit to receive,
An account generation unit that generates an account of the user using a linkage attribute included in the account registration request;
A second information storage unit for storing the linkage attribute in association with the generated account;
A credential generation unit that generates a credential to be used when authenticating the user, stores the credential in association with the account, and stores the credential in the second information storage unit;
A user authentication unit that authenticates the user using the credentials and generates an authentication context indicating an authentication processing content;
An authentication system comprising: an account registration response generation unit that generates an account registration response including the linkage attribute and the authentication context. 前記第1の装置は、
前記アカウント登録応答に応じて、前記第2の装置に対して、前記ユーザの認証を要求する認証要求を生成する認証要求生成部をさらに備え、
前記第2の装置は、
前記通信部が、前記アカウント登録応答を前記第1の装置へ送信し、前記アカウント登録応答に応じて、前記第1の装置によって生成された、前記ユーザの認証を要求する認証要求を受信し、
前記ユーザ認証部が、前記認証要求に対応する連携属性を、前記第2の情報格納部から取得し、さらに、前記認証要求の認証処理を行い、認証コンテキストを生成し、
前記第2の装置はさらに、
前記取得された連携属性と、前記生成された認証コンテキストとから、認証アサーションを生成する、認証アサーション生成部と、
前記認証アサーションを用いて認証応答を生成する認証応答生成部とを備える、請求項に記載の認証システム。 The first device includes:
An authentication request generator for generating an authentication request for requesting authentication of the user to the second device in response to the account registration response;
The second device includes:
The communication unit transmits the account registration response to the first device, and receives an authentication request for requesting authentication of the user generated by the first device in response to the account registration response;
The user authentication unit acquires a cooperation attribute corresponding to the authentication request from the second information storage unit, further performs an authentication process of the authentication request, generates an authentication context,
The second device further includes
An authentication assertion generation unit that generates an authentication assertion from the acquired cooperative attribute and the generated authentication context;
The authentication system of Claim 3 provided with the authentication response production | generation part which produces | generates an authentication response using the said authentication assertion.
JP2016045105A 2016-03-09 2016-03-09 Authentication processing apparatus and authentication system Active JP6342441B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016045105A JP6342441B2 (en) 2016-03-09 2016-03-09 Authentication processing apparatus and authentication system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016045105A JP6342441B2 (en) 2016-03-09 2016-03-09 Authentication processing apparatus and authentication system

Publications (2)

Publication Number Publication Date
JP2017162129A JP2017162129A (en) 2017-09-14
JP6342441B2 true JP6342441B2 (en) 2018-06-13

Family

ID=59853033

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016045105A Active JP6342441B2 (en) 2016-03-09 2016-03-09 Authentication processing apparatus and authentication system

Country Status (1)

Country Link
JP (1) JP6342441B2 (en)

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9143502B2 (en) * 2004-12-10 2015-09-22 International Business Machines Corporation Method and system for secure binding register name identifier profile
KR100953092B1 (en) * 2007-11-06 2010-04-19 한국전자통신연구원 Method and system for serving single sign on
US8078870B2 (en) * 2009-05-14 2011-12-13 Microsoft Corporation HTTP-based authentication
JP5790474B2 (en) * 2011-12-14 2015-10-07 富士通株式会社 Authentication processing program, authentication processing method, and authentication processing apparatus
JP5383838B2 (en) * 2012-02-17 2014-01-08 株式会社東芝 Authentication linkage system, ID provider device, and program
JP6111186B2 (en) * 2013-12-03 2017-04-05 日本電信電話株式会社 Distributed information linkage system and data operation method and program thereof
JP5987021B2 (en) * 2014-06-06 2016-09-06 日本電信電話株式会社 Distributed information linkage system

Also Published As

Publication number Publication date
JP2017162129A (en) 2017-09-14

Similar Documents

Publication Publication Date Title
US9992189B2 (en) Generation and validation of derived credentials
US11088847B2 (en) Authority transfer system, control method therefor, and storage medium
RU2434340C2 (en) Infrastructure for verifying biometric account data
US20170244676A1 (en) Method and system for authentication
CN101515932B (en) Method and system for accessing Web service safely
JP5759009B2 (en) Anonymous entity authentication method and apparatus
US10291567B2 (en) System and method for resetting passwords on electronic devices
US11777743B2 (en) Method for securely providing a personalized electronic identity on a terminal
JP2019046059A (en) Delegation-of-authority system, control method and program
CN113302894A (en) Secure account access
MX2012011105A (en) Certificate authority.
US9398024B2 (en) System and method for reliably authenticating an appliance
CN108885658B (en) Proof of device authenticity by means of credentials
JP2015194879A (en) Authentication system, method, and provision device
EP3908946B1 (en) Method for securely providing a personalized electronic identity on a terminal
US11082236B2 (en) Method for providing secure digital signatures
JP6465426B1 (en) Electronic signature system, certificate issuing system, key management system, and electronic certificate issuing method
CN113647080B (en) Providing digital certificates in a cryptographically secure manner
CN109933992A (en) Information processing method, terminal device and device management module
JP2015231177A (en) Device authentication method, device authentication system, and device authentication program
CN110855442A (en) PKI (public key infrastructure) technology-based inter-device certificate verification method
JP6178112B2 (en) Authentication server, authentication system and program
JP6342441B2 (en) Authentication processing apparatus and authentication system
JP5793593B2 (en) Network authentication method for securely verifying user identification information
JP6653368B2 (en) Authentication server, authentication system and program

Legal Events

Date Code Title Description
A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A712

Effective date: 20170907

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20170908

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20171206

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180206

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180409

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180417

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180516

R150 Certificate of patent or registration of utility model

Ref document number: 6342441

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150