JP6353412B2 - Idパスワード認証方法、パスワード管理サービスシステム、情報端末、パスワード管理サービス装置、利用端末及びそれらのプログラム - Google Patents

Idパスワード認証方法、パスワード管理サービスシステム、情報端末、パスワード管理サービス装置、利用端末及びそれらのプログラム Download PDF

Info

Publication number
JP6353412B2
JP6353412B2 JP2015144519A JP2015144519A JP6353412B2 JP 6353412 B2 JP6353412 B2 JP 6353412B2 JP 2015144519 A JP2015144519 A JP 2015144519A JP 2015144519 A JP2015144519 A JP 2015144519A JP 6353412 B2 JP6353412 B2 JP 6353412B2
Authority
JP
Japan
Prior art keywords
password
key
terminal
information
information terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015144519A
Other languages
English (en)
Other versions
JP2017028475A (ja
Inventor
遼 山田
遼 山田
山本 隆広
隆広 山本
堀 正弘
正弘 堀
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2015144519A priority Critical patent/JP6353412B2/ja
Publication of JP2017028475A publication Critical patent/JP2017028475A/ja
Application granted granted Critical
Publication of JP6353412B2 publication Critical patent/JP6353412B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明はWebサービスのIDパスワード認証に関し、特に複数のWebサービスのID・パスワードを管理する技術に関する。
Webサービスの多くではIDとパスワードを用いたIDパスワード認証が用いられている。
しかし、利用するWebサービスの数が増えてくると、各々のWebサービスに設定した異なるIDとパスワードの組を記憶することが困難になってくる。
そこで、1つのマスターパスワードに紐付けて複数のWebサービスのID・パスワードを管理する手法が提案されている。これらの管理手法は大きくクライアント型とクラウド型の2つの方式に分けることができる。
〈クライアント型〉
Webサービスを利用する端末にIDとパスワードの情報を保存しておき、この情報をマスターパスワードで管理する方法である。この方法では、必要なときにマスターパスワードを用いて個々のWebサービスのID・パスワードを呼び出すことになる。
この方法ではIDとパスワードを利用する端末にて管理することになるため、パスワード漏洩リスクを個人で管理することができる(非特許文献1)。
〈クラウド型〉
Webサービスに利用するIDとパスワードはクラウド上に保存されており、必要なときにクラウドからマスターパスワードを用いて個々のWebサービスのID・パスワードを呼び出す方法である。
この方法ではIDとパスワードをクラウドで管理していることから、1つの利用端末に縛られず複数の端末からWebサービスのID・パスワードを呼び出すことができる。
AgileBits Inc.、"1Password"、[online]、[平成27年7月9日検索]、インターネット<URL:https://agilebits.com/onepassword> Trend Micro Incorporated.、"パスワードマネージャー"、[online]、[平成27年7月9日検索]、インターネット<URL:http://safe.trendmicro.jp/products/pwmgr.aspx>
しかしながら、従来のマスターパスワードを用いて複数のWebサービスのID・パスワードを管理する技術では、以下のような課題がある。
〈クライアント型〉
マスターパスワードで管理されるID・パスワードのデータはユーザが利用する個々の端末に保存されているため、ID・パスワードのデータを復号するためのマスターパスワードを知られることですべてのWebサービスを使われてしまう危険性がある。また、複数の利用端末からWebサービスを利用したい場合はそれぞれの端末にID・パスワードのデータを保存する必要があり管理が煩雑になる。
〈クラウド型〉
ID・パスワードのデータはクラウド上に保存されているため、ID・パスワード自体の管理をサービス事業者に任せてしまうことになる。そのため、ID・パスワードの漏洩リスク・不正利用リスクをユーザ自身で管理できないという問題がある。
本発明は、このような事情に鑑みてなされたもので、ID・パスワードの漏洩リスク・不正利用リスクの管理を他人に任せることなく、複数の利用端末でID・パスワードを簡便に利用することができるIDパスワード認証方法、パスワード管理サービスシステム、情報端末、パスワード管理サービス装置、利用端末及びそれらのプログラムを提供することを目的とする。
本発明の一態様は、Webサービスを利用するためにユーザが使用する利用端末と、暗号化用の情報端末鍵と、前記情報端末鍵を用いて前記Webサービスを利用するためのIDとパスワードを暗号化した暗号化IDと暗号化パスワードとを保持する情報端末と、前記ユーザを示すアカウント名と前記情報端末を示すトークンとを対応付けて保持するパスワード管理サービス装置とからなるパスワード管理サービスシステムを用いてWebサービスを利用する際のIDパスワード認証方法であって、前記利用端末が、Webサービスを利用する際の認証に用いるIDとパスワードの入力画面の表示を検知し、前記アカウント名の入力を促すアカウント名入力画面を表示するアカウント名入力画面表示ステップと、前記利用端末が、入力されたアカウント名と前記利用端末を示す利用端末情報と前記Webサービスを示すWebサービス識別情報をパスワード管理サービス装置に送信するアカウント名送信ステップと、前記パスワード管理サービス装置が、受信したアカウント名に対応するトークンから特定される情報端末に対して前記利用端末情報と前記Webサービス識別情報を送信する利用端末情報・Webサービス識別情報送信ステップと、前記情報端末が、ユーザのWebサービス利用意思を示す認証結果を取得する所持認証ステップと、前記情報端末が、前記認証結果を前記パスワード管理サービス装置に送信する認証結果送信ステップと、前記パスワード管理サービス装置が、前記認証結果はユーザのWebサービス利用意思を示すものである場合に、前記パスワード管理サービス装置が保持する秘密鍵と公開鍵のうち、当該公開鍵を前記情報端末に送信する公開鍵送信ステップと、前記情報端末が、受信した公開鍵を用いて前記情報端末鍵を暗号化した暗号化鍵を生成する暗号化鍵生成ステップと、前記情報端末が、前記暗号化IDと前記暗号化パスワードと前記暗号化鍵を前記利用端末に送信する暗号化情報送信ステップと、前記利用端末が、前記暗号化鍵を前記パスワード管理サービス装置に送信する暗号化鍵送信ステップと、前記パスワード管理サービス装置が、前記公開鍵に対応する秘密鍵を用いて前記暗号化鍵を復号し、前記情報端末鍵を取得する暗号化鍵復号ステップと、前記パスワード管理サービス装置が、復号した情報端末鍵を前記利用端末に送信する鍵送信ステップと、前記利用端末が、前記暗号化IDと前記暗号化パスワードを前記情報端末鍵を用いて復号し、前記IDと前記パスワードを取得するID・パスワード復号ステップとを有する。
本発明によれば、ユーザ個人が常時携帯する情報端末にWebサービスのID・パスワードを記録、Webサービス利用に際してIDパスワード認証が必要になる都度、情報端末に記録したID・パスワードをユーザの承認を得たうえで利用端末に提供することにより、複数の利用端末で簡便にWebサービスを利用することができるようになる。
パスワード管理サービスシステム100の構成例を示す図である。 IDパスワードDB290の例を示す図である。 鍵管理DB295の例を示す図である。 ユーザDB480の例を示す図である。 公開鍵DB490の例を示す図である。 パスワード管理サービスの利用登録の処理フローを示す図である。 Webサービスで用いるIDとパスワードの登録の処理フローを示す図である。 Webサービス利用時のIDパスワード認証のシークエンスを示す図である。 Webサービス利用時のIDパスワード認証の処理フローを示す図である。
以下、本発明の実施の形態について、詳細に説明する。なお、同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。
以下の説明では、平文Dを鍵kで暗号化したデータをEnck(D)と表す。また、秘密鍵と公開鍵はそれぞれsk、pkで表す。
パスワード管理サービスシステム100の構成例を図1に示す。パスワード管理サービスシステム100は、情報端末200、端末通知装置300、パスワード管理サービス装置400、利用端末500から構成される。Webサービスを提供するWebサーバ600はパスワード管理サービスシステム100の外にある。情報端末200、端末通知装置300、パスワード管理サービス装置400、利用端末500、Webサーバ600はネットワーク700に接続している。
ユーザは利用端末500を用いてWebサーバ600にアクセスし、Webサービスを利用する。その際、利用するWebサービスによってはIDパスワード認証が求められることがある。認証が求められるWebサービスについては、ID・パスワードの組を情報端末200に記録する。情報端末200はスマートフォンのようにユーザが常時携帯するものである。
パスワード管理サービス事業者は、情報端末200に記録されたID・パスワードの組を用いてユーザに対してWebサービスに対するIDパスワード認証を提供するものである。IDパスワード認証のサービス(以下、パスワード管理サービスという)を提供するための装置がパスワード管理サービス装置400である。
また、端末事業者は、情報端末200に対するメッセージを送信するサービスを提供するものであり、パスワード管理サービス提供に際してパスワード管理サービス事業者に代わりユーザへのプッシュ通知サービスを提供する。当該プッシュ通知サービスを提供するための装置が端末通知装置300である。
パスワード管理サービスを受けるためには以下の手順を行う必要がある。
1)パスワード管理サービスの利用登録
ユーザはパスワード管理サービスを利用するために、情報端末200からパスワード管理サービス事業者のパスワード管理サービス装置400に対してユーザ登録を行う。
2)Webサービスで用いるIDとパスワードの登録
ユーザが利用するWebサービスと当該サービスに用いるIDとパスワードを情報端末200に登録する。
3)パスワード管理サービスの利用(Webサービス利用時におけるIDパスワード認証)
ユーザがWebサービスを利用する際のIDパスワード認証手続きである。
以下、情報端末200、端末通知装置300、パスワード管理サービス装置400、利用端末500の構成について説明する。
1)情報端末200
情報端末200は、共通鍵発行部210、暗号化部220、DB管理部230、応答送信部240、所持認証部250、認証結果送信部260、暗号化鍵生成部270、暗号化情報送信部280、IDパスワードDB290、鍵管理DB295を備える。
共通鍵発行部210、暗号化部220、DB管理部230は、Webサービスで用いるIDとパスワードの登録に用いる構成である。共通鍵発行部210は、ユーザが利用するWebサービスで用いるIDとパスワードを暗号化するための共通鍵を発行する。この共通鍵のことを情報端末鍵という。暗号化部220は、共通鍵を用いてIDとパスワードを暗号化する。DB管理部230は、Webサービスに対してサービスコードを発行し、IDパスワードDB290にサービスコード、暗号化部220が暗号化したIDとパスワード(以下、それぞれ暗号化ID、暗号化パスワードという)を記録する(図2参照)。また、鍵管理DB295にサービスコード、Webサービス識別情報であるURL、暗号化に用いた共通鍵(情報端末鍵)を記録する(図3参照)。
応答送信部240、所持認証部250、認証結果送信部260、暗号化鍵生成部270、暗号化情報送信部280は、パスワード管理サービスの利用に用いる構成である。応答送信部240は、端末通知装置300から送信されたプッシュ通知に対し、ユーザが応答する場合、応答結果をパスワード管理サービス装置400に送信する。所持認証部250は、ユーザが情報端末200の所有者であることを認証後、パスワード管理サービス装置400から受信した利用端末500に関する情報である利用端末情報(例えば、端末名、OS、MACアドレス)とWebサービス識別情報であるURL(IDパスワード入力画面のURL)をユーザに提示し、ユーザのWebサービス利用意思を認証結果として取得する。所有者であることの認証機能は、例えば、情報端末利用時にパスワード入力によりロックを解除する形で提供されるものである。認証結果送信部260は、認証結果をパスワード管理サービス装置400に送信する。暗号化鍵生成部270は、パスワード管理サービス装置400から取得した公開鍵を用いて利用したいと考えているWebサービス識別情報であるURLに対応する共通鍵(情報端末鍵)を暗号化し、暗号化鍵を生成する。暗号化情報送信部280は、暗号化ID、暗号化パスワード、暗号化鍵を利用端末500に送信する。
2)端末通知装置300
端末通知装置300は、トークン生成部310、プッシュ通知部320を備える。
トークン生成部310は、パスワード管理サービスの利用登録に用いる構成である。トークン生成部310は、情報端末200からの依頼に基づき端末ユニークなトークンを生成し、情報端末200に送信する。
プッシュ通知部320は、パスワード管理サービスの利用に用いる構成である。プッシュ通知部320は、パスワード管理サービス装置400から送信されてきたトークンの情報をもとに情報端末200にIDパスワード認証が求められていることをプッシュ通知する。
3)パスワード管理サービス装置400
パスワード管理サービス装置400は、少なくとも、DB管理部410、秘密鍵・公開鍵生成部420、トークン送信部430、利用端末情報・Webサービス識別情報送信部440、公開鍵送信部450、暗号化鍵復号部460、鍵送信部470、ユーザDB480を備える。更に公開鍵DB490を備えてもよい。
DB管理部410は、パスワード管理サービスの利用登録に用いる構成である。DB管理部410は、ユーザが入力したパスワード管理サービスに用いるアカウント名、端末通知装置300が生成したトークンを情報端末200から受信し、ユーザDB480に登録する(図4参照)。その際、情報端末のOS種別も併せて登録してもよい。
秘密鍵・公開鍵生成部420、トークン送信部430、利用端末情報・Webサービス識別情報送信部440、公開鍵送信部450、暗号化鍵復号部460、鍵送信部470は、パスワード管理サービスの利用に用いる構成である。秘密鍵・公開鍵生成部420は、パスワード管理サービスの利用要求ごとに秘密鍵と公開鍵の組を生成する。また、不要になった場合には生成した秘密鍵・公開鍵の組を廃棄する。また、後述するように事前に生成しておき、図5のような公開鍵DB490に記録しておいてもよい。トークン送信部430は、ユーザDB480に記録しているアカウント名に対応するトークンをユーザDB480から検索し、端末通知装置300に送信する。利用端末情報・Webサービス識別情報送信部440は、利用端末情報とWebサービス識別情報であるURLを情報端末200に送信する。公開鍵送信部450は、WebサービスのIDパスワード認証手続きを進めるとの応答を認証結果として情報端末200から受信すると、情報端末200に事前に生成した公開鍵を送信する。暗号化鍵復号部460は、対応する秘密鍵を用いて暗号化鍵を復号し、共通鍵を取得する。鍵送信部470は、暗号化鍵復号部が復号した共通鍵を利用端末500に送信する。
4)利用端末500
利用端末500は、少なくともアカウント名入力画面表示部510、アカウント名送信部520、暗号化鍵送信部530、ID・パスワード復号部540を備える。更に、ID・パスワード自動入力部550を備えてもよい。その他、利用端末500はブラウザ部560を備える。
アカウント名入力画面表示部510、アカウント名送信部520、暗号化鍵送信部530、ID・パスワード復号部540、ID・パスワード自動入力部550は、パスワード管理サービスの利用に用いる構成である。アカウント名入力画面表示部510は、WebサービスのIDパスワード入力画面の表示を検知し、ユーザにパスワード管理サービスに用いるアカウント名を入力するように促す。アカウント名送信部520は、ユーザが入力したアカウント名とともに利用端末情報とWebサービス識別情報をパスワード管理サービス装置400に送信する。暗号化鍵送信部530は、情報端末200から受信した暗号化鍵をパスワード管理サービス装置400に送信する。ID・パスワード復号部540は、パスワード管理サービス装置400から取得した共通鍵を用いて暗号化IDと暗号化パスワードを復号し、IDとパスワードを取得する。ID・パスワード自動入力部550は、復号したIDとパスワードをIDパスワード入力画面で求められていたID、パスワードとして自動的に入力する。
ブラウザ部560は、ユーザがサービスを享受するために必要なWebページをブラウジングする機能を提供する。
以下、図を参照してパスワード管理サービスシステム100の処理動作について説明する。この処理動作は、パスワード管理サービスの利用登録、Webサービスで用いるIDとパスワードの登録、パスワード管理サービスの利用(Webサービス利用時におけるIDパスワード認証)から成る。
1)パスワード管理サービスの利用登録
まず、パスワード管理サービスの利用登録について説明する。
ユーザはパスワード管理サービスを利用するために、情報端末200からパスワード管理サービス事業者のパスワード管理サービス装置400に対してユーザ登録を行う。当該処理フローを図6に基づいて説明する。
ユーザは情報端末200から端末業者の端末通知装置300にパスワード管理サービスに利用することを示す端末ユニークなトークンの生成を依頼する(ステップS1-10)。このトークンは個々のWebサービス利用時に求められる認証の際に、情報端末200にプッシュ通知する場合に利用されるものである。なお、当該プッシュ通知の機能をパスワード管理サービス装置400が提供する形態としてもよい。
端末通知装置300のトークン生成部310はトークンを発行し、情報端末200に送信する(ステップS1-20)。発行したトークンをTokenAとする。
情報端末200はユーザ登録に用いるアカウント名の入力を促しユーザはアカウント名を入力する(ステップS1-30)。ユーザAが入力したアカウント名をUserNameAとする。
情報端末200は入力されたアカウント名(UserName)、受信したトークン(Token)、情報端末のOS種別(OS)をパスワード管理サービス装置400に送信する(ステップS1-40)。UserNameA、TokenAを送信する。また、併せてユーザAが用いている情報端末のOS種別を送信してもよい。
パスワード管理サービス装置400のDB管理部410はこれらの情報に対して識別子となるユーザコード(UserCode)を付与しユーザDB480に記録する(ステップS1-50)。ユーザコードとして001を払い出し、001、UserNameA、TokenAをそれぞれユーザDBのUserCode、UserName、Tokenに記録する(図4参照)。
2)Webサービスで用いるIDとパスワードの登録
次に、Webサービスで用いるIDとパスワードの登録について説明する。
ユーザが利用するWebサービスと当該サービスに用いるIDとパスワードを情報端末200に登録する。当該処理フローを図7に基づいて説明する。
ユーザは情報端末200に利用しようと考えているWebサービス識別情報(URL)、ID(ID)、パスワード(PASS)を入力する(ステップS2-10)。ユーザが入力したWebサービス識別情報、ID、パスワードをそれぞれURL001、ID001、PASS001とする。
情報端末200はサービスに応じたサービスコード(ServiceCode)を発行する(ステップS2−20)。発行されたサービスコードを001とする。
続いて、情報端末200の共通鍵発行部210は共通鍵(key)を発行する(ステップS2-30)。発行した共通鍵をk001とする。
情報端末200の暗号化部220は発行した共通鍵を用いてIDとパスワードを暗号化し、暗号化IDと暗号化パスワードを生成する(ステップS2-40)。共有鍵k001を用いてID001、PASS001をそれぞれ暗号化した暗号化ID、暗号化パスワードをEnck001(ID001)、Enck001(PASS001)とする。
情報端末200のDB管理部230はIDパスワードDB290のServiceCode、ID、PASSにサービスコード、ID、パスワードを、鍵管理DB295のServiceCode、URL、keyにサービスコード、Webサービス識別情報、共通鍵をそれぞれ記録し(ステップS2-50)、IDとパスワードの登録を終了する。図2は、IDパスワードDB290のServiceCode、ID、PASSとしてそれぞれ001、Enck001(ID001)、Enck001(PASS001)、図3は、鍵管理DB295のServiceCode、URL、keyとして001、URL001、k001が記録されている様子を示している。
3)パスワード管理サービスの利用(Webサービス利用時におけるIDパスワード認証)
次に、パスワード管理サービスの利用(Webサービス利用時におけるIDパスワード認証)について説明する。
ユーザがWebサービスを利用する際のIDパスワード認証手続きの様子を示す図8のシークエンス図に基づいて説明する。また、当該シークエンス図に対応する処理フローを示す図が図9である。
ユーザが利用端末500のブラウザ部560を用いてWebサービスにアクセスする。利用端末500のアカウント名入力画面表示部510がIDパスワード入力画面の表示を検知し、ユーザにパスワード管理サービスに用いるアカウント名を入力するように促す(ステップS510)。ユーザは利用端末500にアカウント名UserNameAを入力する。
入力後、ユーザはアカウント名とともに利用端末情報とWebサービス識別情報であるURLを利用端末500のアカウント名送信部520を用いて送信する(ステップS520)。具体的には、アカウント名としてUserNameA、Webサービス識別情報であるURLとしてURL001を送信する。また、ここで送信される利用端末情報をTermAで表す。
パスワード管理サービス装置400の秘密鍵・公開鍵生成部420は当該利用端末500に対して秘密鍵と公開鍵の組を生成する(ステップS420)。生成した秘密鍵をskA、公開鍵をpkAとする。当該秘密鍵と公開鍵の組はパスワード管理サービスの利用登録時に生成しておき、図5のような公開鍵DB490にユーザコードごとに記録しておいてもよい。あるいは、最初にパスワード管理サービスの利用をするタイミングで生成し、公開鍵DB490に記録するのでもよい。なお、公開鍵DB490は図5(A)のようにユーザごとに秘密鍵と公開鍵の組を記録するのでもよいし、ユーザが複数の端末を持つことを想定して図5(B)のように端末ごとに記録するのでもよい。
パスワード管理サービス装置400のトークン送信部430はユーザDB480に記録しているアカウント名に対応するトークンを端末通知装置300に送信する(ステップS430)。パスワード管理サービス装置400のトークン送信部430はアカウント名UserNameAに対応するトークンTokenAをユーザDB480から検索し、端末通知装置300に送信する。
端末通知装置300のプッシュ通知部320はパスワード管理サービス装置400から送信されてきたトークンの情報をもとに情報端末200にIDパスワード認証が求められていることをプッシュ通知する(ステップS320)。
情報端末200がプッシュ通知を受信する。ユーザが当該通知に対して応答する場合、当該情報端末200の応答送信部240が応答結果をパスワード管理サービス装置400に送信する(ステップS240)。
パスワード管理サービス装置400の利用端末情報・Webサービス識別情報送信部440は利用端末情報とWebサービス識別情報を情報端末200に送信する(ステップS440)。パスワード管理サービス装置400の利用端末情報・Webサービス識別情報送信部440から情報端末200に送信される利用端末情報とWebサービス識別情報は、ステップS520のTermAとURL001である。
情報端末200の所持認証部250は、ユーザが情報端末200の所有者であることを認証後、ユーザは利用端末情報とWebサービス識別情報を確認する(ステップS250)。つまり、情報端末200の所持認証部250はユーザに対してこれらの情報を提示し、利用端末500を用いて当該Webサービスを利用する意思があるならばIDパスワード認証手続きを進めるように促す。情報端末200の所持認証部250は、ユーザのWebサービス利用意思を認証結果として取得する。
情報端末200の認証結果送信部260は、認証結果をパスワード管理サービス装置400に送信する(ステップS260)。認証結果が利用する意思がないことを示すものである場合は、そのまま処理を終了する。
なお、ここでは、端末事業者の提供する端末通知サービスをパスワード管理サービス事業者が利用して情報端末200にプッシュ通知する形態について説明したが、プッシュ通知をパスワード管理サービス事業者自身が提供できる形態としてもよい。この場合、図8で点線になっているS430、S320、S240各ステップが省略されることになる。
ユーザがIDパスワード認証手続きを進める旨応答すると、パスワード管理サービス装置400の公開鍵送信部450は情報端末200に事前に生成した公開鍵を送信する(ステップS450)。送信される公開鍵pkAはステップS420で生成されたものである。当該公開鍵は情報端末200に送信するまでに生成されていればよい。
情報端末200の暗号化鍵生成部270はパスワード管理サービス装置400から取得した公開鍵を用いて利用したいと考えているWebサービス識別情報であるURLに対応する共通鍵を暗号化し、暗号化鍵を生成する(ステップS270)。情報端末200はステップS440で取得していたWebサービス識別情報URL001に対応する共通鍵を鍵管理DBから検索し、共通鍵k001を特定する。その後、情報端末200の暗号化鍵生成部270は公開鍵pkAを用いて共通鍵k001を暗号化し、EncpkA(k001)を生成する。
情報端末200の暗号化情報送信部280は利用端末500に暗号化ID、暗号化パスワード、暗号化鍵を送信する(ステップS280)。情報端末200の暗号化情報送信部280は鍵管理DB295、IDパスワードDB290を用いてWebサービス識別情報URL001に対応する暗号化IDと暗号化パスワードを検索し、Enck001(ID001)とEnck001(PASS001)を特定する。続いて、情報端末200は利用端末500にEnck001(ID001)、Enck001(PASS001)、EncpkA(k001)を送信する。
利用端末500の暗号化鍵送信部530はパスワード管理サービス装置400に暗号化鍵を送信する(ステップS530)。利用端末500はステップS280で受信した暗号化鍵EncpkA(k001)をパスワード管理サービス装置400に送信する。
パスワード管理サービス装置400の暗号化鍵復号部460は対応する秘密鍵を用いて暗号化鍵を復号し(ステップS460)、パスワード管理サービス装置400の鍵送信部470は利用端末500に復号した共通鍵を送信する(ステップS470)。対応する秘密鍵skAを用いて暗号化鍵EncpkA(k001)から共通鍵k001を復号し、利用端末500に共通鍵k001を送信する。
利用端末500のID・パスワード復号部540はパスワード管理サービス装置400から取得した共通鍵を用いて暗号化IDと暗号化パスワードを復号し、IDとパスワードを取得する(ステップS540)。利用端末500は共通鍵k001を用いて暗号化IDEnck001(ID001)、暗号化パスワードEnck001(PASS001)を復号化しID、PASSを取得する。
利用端末500のID・パスワード自動入力部550は復号したIDとパスワードをIDパスワード入力画面で求められていたID、パスワードとして入力し(ステップS550)、IDパスワード認証手続きを終了する。利用端末は復号して得られたID001とPASS001をIDパスワード入力画面に自動記入する。なお、ID、パスワードについては、手入力してもよい。
パスワード管理サービス装置400は暗号化鍵を利用端末500に送信後、S430で生成した秘密鍵・公開鍵の組を廃棄する。
本発明によれば、クラウドに代わりにユーザ個人が常時携帯する情報端末にWebサービスのID・パスワードを記録、Webサービス利用に際してIDパスワード認証が必要になる都度、情報端末に記録したID・パスワードをユーザの承認を得たうえで利用端末に提供することにより、複数の利用端末で簡便にWebサービスを利用することができるようになる。
ID・パスワードを利用端末が要求する都度、情報端末を用いたユーザの承認が必要となることから、擬似的な所持認証とすることができる。このとき、情報端末を利用するための認証機能を用いることにより、擬似的二要素認証となる。また、ユーザが承認する際、どの利用端末がどのWebサービスにアクセスしようとしているかもわかることから、不正利用を検知することも可能となる。
パスワード管理サービス装置が、ID・パスワードを利用端末が要求する都度、秘密鍵と公開鍵の組を生成することにより、ユーザ認証の安全度を維持することができる。
上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。
また、上述の構成をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。
この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。
また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD−ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。
このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP(Application Service Provider)型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの(コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等)を含むものとする。
また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。
100…パスワード管理サービスシステム、200…情報端末、210…共通鍵発行部、220…暗号化部、230…DB管理部、240…応答送信部、250…所持認証部、260…認証結果送信部、270…暗号化鍵生成部、280…暗号化情報送信部、290…IDパスワードDB、295…鍵管理DB、300…端末通知装置、310…トークン生成部、320…プッシュ通知部、400…パスワード管理サービス装置、410…DB管理部、420…秘密鍵・公開鍵生成部、430…トークン送信部、440…利用端末情報・Webサービス識別情報送信部、450…公開鍵送信部、460…暗号化鍵復号部、470…鍵送信部、480…ユーザDB、490…公開鍵DB、500…利用端末、510…アカウント名入力画面表示部、520…アカウント名送信部、530…暗号化鍵送信部、540…ID・パスワード復号部、550…ID・パスワード自動入力部、560…ブラウザ部、600…Webサーバ、700…ネットワーク

Claims (8)

  1. Webサービスを利用するためにユーザが使用する利用端末と、
    暗号化用の情報端末鍵と、前記情報端末鍵を用いて前記Webサービスを利用するためのIDとパスワードを暗号化した暗号化IDと暗号化パスワードとを保持する情報端末と、
    前記ユーザを示すアカウント名と前記情報端末を示すトークンとを対応付けて保持するパスワード管理サービス装置とからなるパスワード管理サービスシステムを用いてWebサービスを利用する際のIDパスワード認証方法であって、
    前記利用端末が、Webサービスを利用する際の認証に用いるIDとパスワードの入力画面の表示を検知し、前記アカウント名の入力を促すアカウント名入力画面を表示するアカウント名入力画面表示ステップと、
    前記利用端末が、入力されたアカウント名と前記利用端末を示す利用端末情報と前記Webサービスを示すWebサービス識別情報をパスワード管理サービス装置に送信するアカウント名送信ステップと、
    前記パスワード管理サービス装置が、受信したアカウント名に対応するトークンから特定される情報端末に対して前記利用端末情報と前記Webサービス識別情報を送信する利用端末情報・Webサービス識別情報送信ステップと、
    前記情報端末が、ユーザのWebサービス利用意思を示す認証結果を取得する所持認証ステップと、
    前記情報端末が、前記認証結果を前記パスワード管理サービス装置に送信する認証結果送信ステップと、
    前記パスワード管理サービス装置が、前記認証結果はユーザのWebサービス利用意思を示すものである場合に、前記パスワード管理サービス装置が保持する秘密鍵と公開鍵のうち、当該公開鍵を前記情報端末に送信する公開鍵送信ステップと、
    前記情報端末が、受信した公開鍵を用いて前記情報端末鍵を暗号化した暗号化鍵を生成する暗号化鍵生成ステップと、
    前記情報端末が、前記暗号化IDと前記暗号化パスワードと前記暗号化鍵を前記利用端末に送信する暗号化情報送信ステップと、
    前記利用端末が、前記暗号化鍵を前記パスワード管理サービス装置に送信する暗号化鍵送信ステップと、
    前記パスワード管理サービス装置が、前記公開鍵に対応する秘密鍵を用いて前記暗号化鍵を復号し、前記情報端末鍵を取得する暗号化鍵復号ステップと、
    前記パスワード管理サービス装置が、復号した情報端末鍵を前記利用端末に送信する鍵送信ステップと、
    前記利用端末が、前記暗号化IDと前記暗号化パスワードを前記情報端末鍵を用いて復号し、前記IDと前記パスワードを取得するID・パスワード復号ステップと、
    を有するIDパスワード認証方法。
  2. 請求項1に記載のIDパスワード認証方法であって、
    更に、
    前記パスワード管理サービス装置が、秘密鍵と公開鍵を生成する秘密鍵・公開鍵生成ステップと、
    前記パスワード管理サービス装置が、前記鍵送信ステップを実行後、前記秘密鍵と前記公開鍵を廃棄する秘密鍵・公開鍵廃棄ステップと
    を有するIDパスワード認証方法。
  3. 請求項1に記載のIDパスワード認証方法であって、
    前記秘密鍵と前記公開鍵は、ユーザごとまたは情報端末ごとに前記パスワード管理サービス装置に保持するものであるIDパスワード認証方法。
  4. Webサービスを利用するためにユーザが使用する利用端末と、
    暗号化用の情報端末鍵と、前記情報端末鍵を用いて前記Webサービスを利用するためのIDとパスワードを暗号化した暗号化IDと暗号化パスワードとを保持する情報端末と、
    前記ユーザを示すアカウント名と前記情報端末を示すトークンとを対応付けて保持するパスワード管理サービス装置とからなるパスワード管理サービスシステムであって、
    前記利用端末は、
    Webサービスを利用する際の認証に用いるIDとパスワードの入力画面の表示を検知し、前記アカウント名の入力を促すアカウント名入力画面を表示するアカウント名入力画面表示部と、
    入力されたアカウント名と前記利用端末を示す利用端末情報と前記Webサービスを示すWebサービス識別情報をパスワード管理サービス装置に送信するアカウント名送信部と、
    前記情報端末から受信した暗号化鍵を前記パスワード管理サービス装置に送信する暗号化鍵送信部と、
    前記パスワード管理サービス装置から受信した鍵を用いて、前記暗号化IDと前記暗号化パスワードを復号し、前記IDと前記パスワードを取得するID・パスワード復号部と、
    を備え、
    前記パスワード管理サービス装置は、
    前記利用端末から受信したアカウント名に対応するトークンから特定される情報端末に対して前記利用端末情報と前記Webサービス識別情報を送信する利用端末情報・Webサービス識別情報送信部と、
    前記情報端末から受信した認証結果はユーザのWebサービス利用意思を示すものである場合に、保持する秘密鍵と公開鍵のうち、当該公開鍵を前記情報端末に送信する公開鍵送信部と、
    前記利用端末から受信した暗号化鍵の暗号化に用いた公開鍵に対応する秘密鍵を用いて前記暗号化鍵を復号し、前記情報端末鍵を取得する暗号化鍵復号部と、
    前記復号した情報端末鍵を前記利用端末に送信する鍵送信部と
    を備え、
    前記情報端末は、
    ユーザのWebサービス利用意思を示す認証結果を取得する所持認証部と、
    前記認証結果を前記パスワード管理サービス装置に送信する認証結果送信部と、
    前記パスワード管理サービス装置から受信した公開鍵を用いて前記情報端末鍵を暗号化し、暗号化鍵を生成する暗号化鍵生成部と、
    前記暗号化IDと前記暗号化パスワードと前記暗号化鍵を前記利用端末に送信する暗号化情報送信部と
    を備えるパスワード管理サービスシステム。
  5. ユーザのWebサービス利用意思を示す認証結果を取得する所持認証部と、
    前記認証結果をパスワード管理サービス装置に送信する認証結果送信部と、
    前記パスワード管理サービス装置から受信した公開鍵を用いて情報端末鍵を暗号化し、暗号化鍵を生成する暗号化鍵生成部と、
    前記情報端末鍵を用いて前記Webサービスを利用するためのIDとパスワードを暗号化した暗号化IDと暗号化パスワードと、前記暗号化鍵とを利用端末に送信する暗号化情報送信部と
    を備える情報端末。
  6. 利用端末から受信したアカウント名に対応するトークンから特定される情報端末に対して、前記利用端末を示す利用端末情報とWebサービスを示すWebサービス識別情報を送信する利用端末情報・Webサービス識別情報送信部と、
    前記情報端末から受信した認証結果がユーザのWebサービス利用意思を示すものである場合に、保持する秘密鍵と公開鍵のうち、当該公開鍵を前記情報端末に送信する公開鍵送信部と、
    前記利用端末から受信した暗号化鍵の暗号化に用いた公開鍵に対応する秘密鍵を用いて前記暗号化鍵を復号し、情報端末鍵を取得する暗号化鍵復号部と、
    復号した情報端末鍵を前記利用端末に送信する鍵送信部と
    を備えるパスワード管理サービス装置。
  7. Webサービスを利用する際の認証に用いるIDとパスワードの入力画面の表示を検知し、ユーザを示すアカウント名の入力を促すアカウント名入力画面を表示するアカウント名入力画面表示部と、
    入力されたアカウント名と自端末を示す利用端末情報と前記Webサービスを示すWebサービス識別情報をパスワード管理サービス装置に送信するアカウント名送信部と、
    情報端末から受信した暗号化鍵を前記パスワード管理サービス装置に送信する暗号化鍵送信部と、
    前記パスワード管理サービス装置から受信した情報端末鍵を用いて、前記IDを暗号化した暗号化IDと前記パスワードを暗号化した暗号化パスワードを復号し、前記IDと前記パスワードを取得するID・パスワード復号部と、
    を備える利用端末。
  8. 請求項5に記載の情報端末としてコンピュータを動作させるためのプログラム。
JP2015144519A 2015-07-22 2015-07-22 Idパスワード認証方法、パスワード管理サービスシステム、情報端末、パスワード管理サービス装置、利用端末及びそれらのプログラム Active JP6353412B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015144519A JP6353412B2 (ja) 2015-07-22 2015-07-22 Idパスワード認証方法、パスワード管理サービスシステム、情報端末、パスワード管理サービス装置、利用端末及びそれらのプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015144519A JP6353412B2 (ja) 2015-07-22 2015-07-22 Idパスワード認証方法、パスワード管理サービスシステム、情報端末、パスワード管理サービス装置、利用端末及びそれらのプログラム

Publications (2)

Publication Number Publication Date
JP2017028475A JP2017028475A (ja) 2017-02-02
JP6353412B2 true JP6353412B2 (ja) 2018-07-04

Family

ID=57946157

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015144519A Active JP6353412B2 (ja) 2015-07-22 2015-07-22 Idパスワード認証方法、パスワード管理サービスシステム、情報端末、パスワード管理サービス装置、利用端末及びそれらのプログラム

Country Status (1)

Country Link
JP (1) JP6353412B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10848304B2 (en) 2018-07-17 2020-11-24 Visa International Service Association Public-private key pair protected password manager

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH05173972A (ja) * 1991-12-24 1993-07-13 Matsushita Electric Ind Co Ltd パスワード復旧方法
US6249866B1 (en) * 1997-09-16 2001-06-19 Microsoft Corporation Encrypting file system and method
JP2002157226A (ja) * 2000-11-16 2002-05-31 Nec Corp パスワード集中管理システム
JP2007102777A (ja) * 2005-10-04 2007-04-19 Forval Technology Inc ユーザ認証システムおよびその方法

Also Published As

Publication number Publication date
JP2017028475A (ja) 2017-02-02

Similar Documents

Publication Publication Date Title
JP6573627B2 (ja) 補助デバイスを使用したサービス認可
RU2417422C2 (ru) Услуга распределенной единой регистрации в сети
US11134069B2 (en) Method for authorizing access and apparatus using the method
JP7202688B2 (ja) 認証システム、認証方法、アプリケーション提供装置、認証装置、及び認証用プログラム
CN101605137B (zh) 安全分布式文件系统
US20160014112A1 (en) Wireless communication of a user identifier and encrypted time-sensitive data
JP7421771B2 (ja) Iotサービスを実施するための方法、アプリケーションサーバ、iot装置および媒体
CN109510802B (zh) 鉴权方法、装置及系统
JP2005102163A (ja) 機器認証システム、機器認証サーバ、端末機器、機器認証方法、機器認証プログラム、及び記憶媒体
JP2016100772A (ja) 情報処理システム、読出装置、情報処理装置、および、情報処理方法
WO2016144257A2 (en) Method and system for facilitating authentication
US20120311331A1 (en) Logon verification apparatus, system and method for performing logon verification
JP5489775B2 (ja) 秘密鍵共有システム、方法、データ処理装置、管理サーバ、及びプログラム
US10686787B2 (en) Use of personal device for convenient and secure authentication
KR20200088740A (ko) 키오스크를 이용한 서비스 제공 방법 및 장치
KR101541165B1 (ko) 모바일 메시지 암호화 방법, 이 방법을 수행하는 프로그램을 기록한 컴퓨터 판독가능 기록매체 및 이 방법을 저장한 다운로드 서버
JP6240102B2 (ja) 認証システム、認証鍵管理装置、認証鍵管理方法および認証鍵管理プログラム
JP6353412B2 (ja) Idパスワード認証方法、パスワード管理サービスシステム、情報端末、パスワード管理サービス装置、利用端末及びそれらのプログラム
JP5485452B1 (ja) 鍵管理システム、鍵管理方法、ユーザ端末、鍵生成管理装置、及びプログラム
JP2012079231A (ja) 認証情報管理装置および認証情報管理方法
WO2017107642A1 (zh) 一种安全输入法的文本处理方法、装置和系统
JP2005086428A (ja) 認証を得て暗号通信を行う方法、認証システムおよび方法
JP6919484B2 (ja) 暗号通信方法、暗号通信システム、鍵発行装置、プログラム
JP6404928B2 (ja) ユーザ情報管理システム、及びユーザ情報管理方法
Al-Hamadi et al. A novel protocol for security of location based services in multi-agent systems

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170829

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180411

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180417

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180515

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180605

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180608

R150 Certificate of patent or registration of utility model

Ref document number: 6353412

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150