JP6367262B2 - Authentication system - Google Patents

Authentication system Download PDF

Info

Publication number
JP6367262B2
JP6367262B2 JP2016123011A JP2016123011A JP6367262B2 JP 6367262 B2 JP6367262 B2 JP 6367262B2 JP 2016123011 A JP2016123011 A JP 2016123011A JP 2016123011 A JP2016123011 A JP 2016123011A JP 6367262 B2 JP6367262 B2 JP 6367262B2
Authority
JP
Japan
Prior art keywords
authentication
unit
information
context
subject
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016123011A
Other languages
Japanese (ja)
Other versions
JP2017228046A (en
Inventor
真吾 阿部
真吾 阿部
竜朗 池田
竜朗 池田
森尻 智昭
智昭 森尻
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Toshiba Digital Solutions Corp
Original Assignee
Toshiba Corp
Toshiba Digital Solutions Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp, Toshiba Digital Solutions Corp filed Critical Toshiba Corp
Priority to JP2016123011A priority Critical patent/JP6367262B2/en
Publication of JP2017228046A publication Critical patent/JP2017228046A/en
Application granted granted Critical
Publication of JP6367262B2 publication Critical patent/JP6367262B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明の実施形態は、認証システム、認証装置およびプログラムに関する。   Embodiments described herein relate generally to an authentication system, an authentication apparatus, and a program.

近年、ネットワークを介した通信やサービスを利用する個人または機器端末を認証するための技術の研究が進められている。特に、認証対象主体(サブジェクト)が個人である場合、個人が本人であるか否かを確認する本人確認技術として、ユーザIDおよびパスワードを用いた固定パスワード認証技術、生体認証技術(Biometrics)などが知られている。また、このような本人確認技術とは別に、サブジェクトの位置的または空間的な状況および/または行動を追跡し、不正なアクセスを検出するための技術が知られている。このような技術は、一般的にはリスクベース認証(Risk-based Authentication)と呼ばれている。例えば、特定の空間内に存在するか否か、前回のアクセス時点から物理的に移動可能な距離内からのアクセスか否かなどをリスクとして判定し、それらを認証の補足情報として利用する。   In recent years, research on technology for authenticating an individual or a device terminal that uses communication and services via a network has been advanced. In particular, when the subject of authentication (subject) is an individual, fixed-password authentication technology using a user ID and password, biometrics (Biometrics), etc., as identity verification technology for confirming whether or not an individual is an individual Are known. In addition to such identity verification techniques, techniques for tracking the location or spatial situation and / or behavior of subjects and detecting unauthorized access are known. Such a technique is generally called risk-based authentication. For example, it is determined as a risk whether it exists in a specific space, whether it is an access from a physically movable distance from the previous access point, etc., and these are used as supplementary information for authentication.

しかしながら、上記のリスクベース認証では、サブジェクトの状況および/または行動に関する情報(以下、コンテクスト情報という)を認証検証者が逐一把握できてしまい、個人のプライバシーが適切に保護されないという課題がある。他の認証技術として、認証検証者とサービス提供者とを分離する仮名ベースのID連携(Identity Federation)技術が知られている。しかしながら、このID連携技術においても、サブジェクトの本人確認情報とコンテクスト情報とを用いた認証を行う場合にはこれらの情報が認証検証者により一元的に管理されるため、個人のプライバシーが適切に保護されないという課題がある。   However, in the above risk-based authentication, there is a problem that the information verifier can grasp the information on the subject status and / or behavior (hereinafter referred to as context information) one by one and personal privacy cannot be properly protected. As another authentication technique, a pseudonym-based ID federation (Identity Federation) technique for separating an authentication verifier and a service provider is known. However, even in this ID linkage technology, when authentication is performed using subject identification information and context information, the information is centrally managed by an authentication verifier, so that personal privacy is appropriately protected. There is a problem that is not done.

特許第5100356号公報Japanese Patent No. 5100366

“Assertions and Protocols for the OASIS Security Assertion Markup Language (SAML) V2.0”,[online],OASIS Security Services (SAML) TC,[2016年6月1日検索],インターネット<URL:http://docs.oasis-open.org/security/saml/v2.0/saml-core-2.0-os.pdf>“Assertions and Protocols for the OASIS Security Assertion Markup Language (SAML) V2.0”, [online], OASIS Security Services (SAML) TC, [Search June 1, 2016], Internet <URL: http: // docs .oasis-open.org / security / saml / v2.0 / saml-core-2.0-os.pdf> Tim Moses,“eXtensible Access Control Markup Language (XACML) Version 2.0”,[online],[2016年6月1日検索],インターネット<URL:http://docs.oasis-open.org/xacml/2.0/access_control-xacml-2.0-core-spec-os.pdf>Tim Moses, “eXtensible Access Control Markup Language (XACML) Version 2.0”, [online], [Search June 1, 2016], Internet <URL: http://docs.oasis-open.org/xacml/2.0/ access_control-xacml-2.0-core-spec-os.pdf> “A Uniform Resource Identifier for Geographic Locations (‘geo’ URI),[online],Internet Engineering Task Force (IETF),[2016年6月1日検索],インターネット<URL:https://tools.ietf.org/html/rfc5870>“A Uniform Resource Identifier for Geographic Locations ('geo' URI), [online], Internet Engineering Task Force (IETF), [Search June 1, 2016], Internet <URL: https://tools.ietf.org / html / rfc5870>

本発明が解決しようとする課題は、サブジェクトの認証情報と、コンテクスト情報とを別々に取得および管理することでサブジェクトのプライバシーを保護しつつ、高精度な認証を行うことができる認証システム、認証装置およびプログラムを提供することである。   The problem to be solved by the present invention is that an authentication system and an authentication apparatus that can perform high-precision authentication while protecting subject privacy by separately acquiring and managing subject authentication information and context information And to provide a program.

実施形態の認証システムは、第1装置と、第2装置と、第3装置とを持つ。第1装置は、認証対象から認証情報を取得する。第2装置は、認証対象の認証を行う。第3装置は、認証対象の状況および行動の少なくとも一方に関する情報を第1装置から収集する。第1装置は、認証情報を第2装置に送信する。第2装置は、認証情報を使用して認証対象の本人確認を行い、かつ認証対象の状況および行動の少なくとも一方の判定条件を含むリクエストを生成して、リクエストを第3装置に送信する。第3装置は、収集した認証対象の状況および行動の少なくとも一方に関する情報を使用して判定条件を評価し、評価結果を含むレスポンスを第2装置に送信する。第2装置は、本人確認の結果と、レスポンスに含まれる評価結果との両方に基づいて、認証対象の認証を行う。   The authentication system according to the embodiment includes a first device, a second device, and a third device. The first device acquires authentication information from the authentication target. The second device performs authentication of the authentication target. The third device collects information on at least one of the status and behavior of the authentication target from the first device. The first device transmits authentication information to the second device. The second device uses the authentication information to verify the identity of the authentication target, generates a request that includes at least one of the authentication target status and behavior determination conditions, and transmits the request to the third device. The third device evaluates the determination condition using the collected information on at least one of the authentication target situation and the action, and transmits a response including the evaluation result to the second device. The second device authenticates the authentication target based on both the result of identity verification and the evaluation result included in the response.

実施形態における認証システムの構成例を示す機能ブロック図。The functional block diagram which shows the structural example of the authentication system in embodiment. 実施形態におけるエージェント装置の構成例を示す機能ブロック図。The functional block diagram which shows the structural example of the agent apparatus in embodiment. 実施形態におけるコンテクスト情報の一例を示す図。The figure which shows an example of the context information in embodiment. 実施形態におけるコンテクスチュアル認証装置の構成例を示す機能ブロック図。The functional block diagram which shows the structural example of the contextual authentication apparatus in embodiment. 実施形態におけるリクエスト記述の一例を示す図。The figure which shows an example of the request description in embodiment. 実施形態におけるリクエストに含まれる判定条件をRule要素としとして示す例の図。The figure of the example which shows the judgment conditions contained in the request in an embodiment as a Rule element. 実施形態におけるコンテクスト情報収集装置の構成例を示す機能ブロック図。The functional block diagram which shows the structural example of the context information collection apparatus in embodiment. 実施形態におけるコンテクスト解決装置の構成例を示す機能ブロック図。The functional block diagram which shows the structural example of the context solution apparatus in embodiment. 実施形態におけるコンテクスチュアル認証装置のサブジェクトID情報記憶部に記憶された情報と、コンテクスト解決装置のエージェントID情報記憶部に記憶された情報とが連携IDを介して連携している一例を示す図。The figure which shows an example which the information memorize | stored in the subject ID information storage part of the contextual authentication apparatus in embodiment, and the information memorize | stored in the agent ID information storage part of a context resolution apparatus are cooperated via cooperation ID. 実施形態におけるコンテクスト情報収集の処理の流れの一例を示すフローチャート。The flowchart which shows an example of the flow of the process of context information collection in embodiment. 実施形態における認証処理の流れの一例を示すフローチャート。The flowchart which shows an example of the flow of the authentication process in embodiment.

以下、実施形態の認証システムを、図面を参照して説明する。   Hereinafter, an authentication system according to an embodiment will be described with reference to the drawings.

図1は、本実施形態における認証システム1の構成例を示す機能ブロック図である。認証システム1は、認証対象であるサブジェクトMの認証を行う。認証システム1は、サブジェクトMを識別するための情報(サブジェクト認証要素SA)と、サブジェクトMのコンテクスト情報(コンテクスト情報CI)とが別々に取得および管理されるように構成されている。   FIG. 1 is a functional block diagram showing a configuration example of an authentication system 1 in the present embodiment. The authentication system 1 authenticates the subject M that is an authentication target. The authentication system 1 is configured such that information for identifying a subject M (subject authentication element SA) and context information of the subject M (context information CI) are acquired and managed separately.

認証システム1は、エージェント装置2(第1装置)と、コンテクスチュアル認証装置3(第2装置)と、コンテクスト情報収集装置4(第3装置,認証装置)と、コンテクスト解決装置5(第3装置,認証装置)とを備える。エージェント装置2とコンテクスチュアル認証装置3との間、コンテクスチュアル認証装置3とコンテクスト解決装置5との間、コンテクスト情報収集装置4とコンテクスト解決装置5との間、およびエージェント装置2とコンテクスト情報収集装置4との間は、任意のネットワーク接続形態(ネットワークN1,N2,N3,N4)によって接続される。ネットワークN1,N2,N3,およびN4の各々は、例えば、インターネットなどの無線通信、Wi−Fi,ブルートゥース(Bluetooth:登録商標)などの近距離無線通信、各種有線通信などにより実現される。   The authentication system 1 includes an agent device 2 (first device), a contextual authentication device 3 (second device), a context information collection device 4 (third device, authentication device), and a context resolution device 5 (third device). , Authentication device). Between the agent device 2 and the context authentication device 3, between the context authentication device 3 and the context resolution device 5, between the context information collection device 4 and the context resolution device 5, and between the agent device 2 and the context information collection device. 4 is connected by an arbitrary network connection form (networks N1, N2, N3, N4). Each of the networks N1, N2, N3, and N4 is realized by, for example, wireless communication such as the Internet, short-range wireless communication such as Wi-Fi, Bluetooth (registered trademark), various wired communication, and the like.

エージェント装置2は、サブジェクトMにより使用され、各ネットワークを介した通信を行うことができる任意の通信装置である。エージェント装置2は、サブジェクトMからサブジェクト認証要素SAを取得し、ネットワークN1を介して、サブジェクト認証要素SAをコンテクスチュアル認証装置3に送信し、コンテクスチュアル認証装置3から認証結果ARを受信する。固定パスワード認証方式では、サブジェクト認証要素SAは、ユーザIDとパスワードである。また、公開鍵証明書を用いたチャレンジアンドレスポンス認証方式では、サブジェクト認証要素SAは、公開鍵証明書対(公開鍵証明書と秘密鍵のペア)である。本実施形態においては、任意の認証方式を用いてよい。また、エージェント装置2は、ネットワークN4を介して、コンテクスト情報収集装置4にコンテクスト情報CIを送信する。エージェント装置2は、例えば、携帯電話、タブレット端末、PDA(Personal Digital Assistant)、その他、商業施設、工場などで使用される任意の通信装置である。   The agent device 2 is an arbitrary communication device that is used by the subject M and can perform communication via each network. The agent device 2 acquires the subject authentication factor SA from the subject M, transmits the subject authentication factor SA to the contextual authentication device 3 via the network N1, and receives the authentication result AR from the contextual authentication device 3. In the fixed password authentication method, the subject authentication element SA is a user ID and a password. In the challenge and response authentication method using a public key certificate, the subject authentication element SA is a public key certificate pair (a pair of a public key certificate and a private key). In the present embodiment, any authentication method may be used. Further, the agent device 2 transmits the context information CI to the context information collection device 4 via the network N4. The agent device 2 is an arbitrary communication device used in, for example, a mobile phone, a tablet terminal, a PDA (Personal Digital Assistant), a commercial facility, a factory, or the like.

図2は、本実施形態におけるエージェント装置2の構成例を示す機能ブロック図である。エージェント装置2は、入力受付部20と、サブジェクト認証クライアント部21と、コンテクスト基本情報収集部22と、エージェント認証要素記憶部23と、コンテクスト情報生成部24と、通信部25とを備える。   FIG. 2 is a functional block diagram showing a configuration example of the agent device 2 in the present embodiment. The agent device 2 includes an input receiving unit 20, a subject authentication client unit 21, a context basic information collection unit 22, an agent authentication element storage unit 23, a context information generation unit 24, and a communication unit 25.

入力受付部20は、サブジェクトMからサブジェクト認証要素SAの入力を受け付ける。入力受付部20は、例えば、ユーザインターフェースとして機能するキーボード、タッチパネル式表示装置、マイク、カメラなどにより実現される。例えば、入力受付部20は、IDおよびパスワードを用いた固定パスワード認証を行う場合には、サブジェクトMによるIDおよびパスワードの入力を受け付ける。また、入力受付部20は、生体認証を行う場合には、サブジェクトMの生体情報(指紋、音声など)の入力を受け付ける。   The input receiving unit 20 receives an input of the subject authentication factor SA from the subject M. The input receiving unit 20 is realized by, for example, a keyboard that functions as a user interface, a touch panel display device, a microphone, a camera, and the like. For example, the input reception unit 20 receives input of an ID and a password by the subject M when performing fixed password authentication using an ID and a password. Moreover, the input reception part 20 receives the input of the biometric information (fingerprint, a sound, etc.) of the subject M, when performing biometric authentication.

サブジェクト認証クライアント部21は、コンテクスチュアル認証装置3との間で所定認証処理を実行する。例えば、サブジェクト認証クライアント部21は、入力受付部20から入力されたサブジェクト認証要素SAを、通信部25を介してコンテクスチュアル認証装置3に送信する。また、サブジェクト認証クライアント部21は、通信部25を介してコンテクスチュアル認証装置3から受信した認証結果ARに応じて、例えば、エージェント装置2に設けられた表示部(図示しない)に認証完了画面または認証失敗画面を表示する。   The subject authentication client unit 21 executes predetermined authentication processing with the contextual authentication device 3. For example, the subject authentication client unit 21 transmits the subject authentication element SA input from the input receiving unit 20 to the context authentication device 3 via the communication unit 25. Further, the subject authentication client unit 21, for example, displays an authentication completion screen or a display unit (not shown) provided in the agent device 2 according to the authentication result AR received from the contextual authentication device 3 via the communication unit 25. Display the authentication failure screen.

コンテクスト基本情報収集部22は、コンテクスト情報CIに含まれるコンテクストレコードの生成に必要なコンテクスト基本情報CBを収集する。コンテクスト基本情報CBは、サブジェクトMの状況および/または行動を示すための情報である。例えば、コンテクスト基本情報は、特定時刻でのサブジェクトM(エージェント装置2)の位置や移動に関する情報(緯度、経度、高さ、測定精度、測量系、方向、特定エリアの識別情報など)などを含む。コンテクスト基本情報CBは、エージェント装置2に設けられたセンサ(位置情報取得装置など)により取得された情報や外部からの発信情報などから取得および算出すればよい。なお、コンテクストレコードは、これらコンテクスト基本情報CBに基づいて、特定のデータ形式(例えば、非特許文献3に示されたRFC5870を拡張した形式など)で表現されたデータであってよい。   The context basic information collection unit 22 collects the context basic information CB necessary for generating a context record included in the context information CI. The context basic information CB is information for indicating the situation and / or behavior of the subject M. For example, the context basic information includes information (latitude, longitude, height, measurement accuracy, surveying system, direction, identification information of a specific area, etc.) on the position and movement of the subject M (agent device 2) at a specific time. . The context basic information CB may be acquired and calculated from information acquired by a sensor (position information acquisition device or the like) provided in the agent device 2 or transmission information from the outside. Note that the context record may be data expressed in a specific data format (for example, a format obtained by extending RFC5870 shown in Non-Patent Document 3) based on the context basic information CB.

エージェント認証要素記憶部23は、コンテクスト基本情報収集部22により収集されたコンテクスト基本情報CBに付加するエージェント認証要素AEを記憶する。エージェント認証要素AEは、コンテクスト情報CIを探索可能にするための探索コードSCおよびコンテクスト情報CIを証明するための署名データを生成するために用いる。エージェント認証要素AEは、エージェント装置2によって発行されるエージェント装置2に関連付けされた秘密情報である。例えば、エージェント認証要素AEは、推測が困難なランダムなデータ値である。   The agent authentication element storage unit 23 stores an agent authentication element AE to be added to the context basic information CB collected by the context basic information collection unit 22. The agent authentication element AE is used to generate a search code SC for enabling search of the context information CI and signature data for proving the context information CI. The agent authentication factor AE is secret information associated with the agent device 2 issued by the agent device 2. For example, the agent authentication factor AE is a random data value that is difficult to guess.

コンテクスト情報生成部24は、コンテクスト基本情報収集部22から入力されたコンテクスト基本情報CBと、エージェント認証要素記憶部23から抽出したエージェント認証要素AEとを用いて、コンテクスト情報CIを生成する。コンテクスト情報生成部24は、通信部25を介して、コンテクスト情報CIをコンテクスト情報収集装置4に送信する。   The context information generation unit 24 uses the context basic information CB input from the context basic information collection unit 22 and the agent authentication element AE extracted from the agent authentication element storage unit 23 to generate context information CI. The context information generation unit 24 transmits the context information CI to the context information collection device 4 via the communication unit 25.

図3は、本実施形態におけるコンテクスト情報CIの一例を示す図である。コンテクスト情報CIは、例えば、探索コードSCと、コンテクスト解決装置5の装置名と、コンテクスト基本情報CBを含むコンテクストデータと、署名データとを含む。   FIG. 3 is a diagram illustrating an example of the context information CI in the present embodiment. The context information CI includes, for example, a search code SC, a device name of the context resolution device 5, context data including the context basic information CB, and signature data.

コンテクスト情報生成部24は、エージェント認証要素AEおよび所定のシード値より探索コードSCを一意に生成する。探索コードSCは、コンテクスト情報CIを生成する一定間隔で更新され、エージェント認証要素AEおよびシード値を知らなければ、それぞれの探索コードSCの関連を推測できない方式を採用してもよい。例えば、時刻同期ワンタイムパスワードのような一定時刻間隔でランダムな文字列を生成するような方式や、S/KEYのような一方向関数を用いた方式を採用してもよい。なお、探索コードSCと署名データとで共通なエージェント認証要素を利用することが容易ではない場合は、独立したエージェント認証要素を用いてもよい。   The context information generation unit 24 uniquely generates the search code SC from the agent authentication element AE and a predetermined seed value. The search code SC may be updated at regular intervals for generating the context information CI, and a method in which the relationship between the search codes SC cannot be estimated unless the agent authentication factor AE and the seed value are known. For example, a method of generating a random character string at a constant time interval such as a time synchronization one-time password, or a method using a one-way function such as S / KEY may be adopted. If it is not easy to use a common agent authentication factor for the search code SC and signature data, an independent agent authentication factor may be used.

通信部25は、コンテクスチュアル認証装置3およびコンテクスト情報収集装置4との間で各種情報の送受信を行う。例えば、通信部25は、ネットワークN1を介して、コンテクスチュアル認証装置3にサブジェクト認証要素SAを送信し、コンテクスチュアル認証装置3から認証結果ARを受信する。また、通信部25は、ネットワークN4を介して、コンテクスト情報収集装置4にコンテクスト情報CIを送信する。   The communication unit 25 transmits and receives various types of information between the contextual authentication device 3 and the context information collection device 4. For example, the communication unit 25 transmits the subject authentication factor SA to the contextual authentication device 3 via the network N1 and receives the authentication result AR from the contextual authentication device 3. The communication unit 25 transmits the context information CI to the context information collection device 4 via the network N4.

コンテクスチュアル認証装置3は、エージェント装置2から受信したサブジェクト認証要素SAに基づいてサブジェクトMの本人確認を行う。また、コンテクスチュアル認証装置3は、サブジェクト認証要素SAに基づいてリクエストRQを生成してコンテクスト解決装置5に送信する。また、コンテクスチュアル認証装置3は、コンテクスト解決装置5から受信したレスポンスRPを評価する。コンテクスチュアル認証装置3は、上記の本人確認の結果と、レスポンスRPの評価結果との両方に基づいて、サブジェクトMの認証を行い、認証結果ARをエージェント装置2に送信する。   The contextual authentication device 3 performs identity verification of the subject M based on the subject authentication factor SA received from the agent device 2. Further, the context authentication device 3 generates a request RQ based on the subject authentication element SA and transmits the request RQ to the context resolution device 5. Further, the context authentication device 3 evaluates the response RP received from the context resolution device 5. The contextual authentication device 3 authenticates the subject M based on both the result of the identity verification and the evaluation result of the response RP, and transmits the authentication result AR to the agent device 2.

図4は、本実施形態におけるコンテクスチュアル認証装置3の構成例を示す機能ブロック図である。コンテクスチュアル認証装置3は、サブジェクト認証部30と、リクエスト生成部31と、ポリシ記憶部32と、ID連携解決部33と、サブジェクトID情報記憶部34と、レスポンス評価部35と、通信部36とを備える。   FIG. 4 is a functional block diagram illustrating a configuration example of the contextual authentication device 3 in the present embodiment. The contextual authentication device 3 includes a subject authentication unit 30, a request generation unit 31, a policy storage unit 32, an ID linkage resolution unit 33, a subject ID information storage unit 34, a response evaluation unit 35, and a communication unit 36. Is provided.

サブジェクト認証部30は、エージェント装置2から受信したサブジェクト認証要素SAに基づいてサブジェクトMを検証する。サブジェクト認証部30は、エージェント装置2との間で任意の認証方式を実行し、コンテクスチュアル認証装置3の処理においてサブジェクトMを一意に特定するサブジェクト識別情報SIを特定する。この場合、サブジェクト認証部30は、エージェント装置2から受信したサブジェクト認証要素SAに関連付けされたサブジェクト識別情報SIをサブジェクトID情報記憶部34から取得する。また、サブジェクト認証部30は、レスポンス評価部35から入力される評価結果ERに基づいてサブジェクトMの認証結果ARを生成し、認証結果ARをエージェント装置2に送信する。   The subject authentication unit 30 verifies the subject M based on the subject authentication element SA received from the agent device 2. The subject authentication unit 30 executes an arbitrary authentication method with the agent device 2, and specifies subject identification information SI that uniquely specifies the subject M in the processing of the context authentication device 3. In this case, the subject authentication unit 30 acquires, from the subject ID information storage unit 34, the subject identification information SI associated with the subject authentication element SA received from the agent device 2. In addition, the subject authentication unit 30 generates an authentication result AR of the subject M based on the evaluation result ER input from the response evaluation unit 35 and transmits the authentication result AR to the agent device 2.

リクエスト生成部31は、サブジェクト認証部30から入力されたサブジェクト識別情報SIと、ポリシ記憶部32に記憶されているポリシPとから、コンテクスト解決装置5に送信するリクエストRQを生成する。ポリシPとは、サブジェクト識別情報SIによって特定されるサブジェクトMに関連付けされたコンテクスト情報CIが所定の条件を満たしているか否かを判定する処理の判定条件を指定するものである。   The request generation unit 31 generates a request RQ to be transmitted to the context resolution device 5 from the subject identification information SI input from the subject authentication unit 30 and the policy P stored in the policy storage unit 32. The policy P designates a determination condition for processing for determining whether or not the context information CI associated with the subject M specified by the subject identification information SI satisfies a predetermined condition.

図5は、本実施形態におけるリクエスト記述の一例を示す図である。この例では、OASIS XACML V2.0仕様(非特許文献2)によるポリシ記述を用いている。AttributeValue要素には、コンテクスチュアル認証装置3とコンテクスト解決装置5との間で連携されたサブジェクトMの連携IDが指定されている。この連携IDは、サブジェクト認証部30から入力されたサブジェクト識別情報SIと関連付けされており、サブジェクトID情報記憶部34に記憶されている。図5に示す例では、一つのポリシ表現としているが、OASIS XACML V2.0で定義されているRequest要素とPolicy要素のように分離した形で表現してもよい。サブジェクトMに関連付けられた連携IDと、判定条件とを示す要素が含まれていれば、任意のリクエスト表現形式を採用してもよい。   FIG. 5 is a diagram illustrating an example of a request description in the present embodiment. In this example, a policy description according to the OASIS XACML V2.0 specification (Non-Patent Document 2) is used. In the AttributeValue element, the cooperation ID of the subject M linked between the context authentication apparatus 3 and the context resolution apparatus 5 is specified. This linkage ID is associated with the subject identification information SI input from the subject authentication unit 30 and is stored in the subject ID information storage unit 34. In the example shown in FIG. 5, a single policy expression is used, but it may be expressed in a separated form such as a Request element and a Policy element defined in OASIS XACML V2.0. An arbitrary request expression format may be adopted as long as elements indicating the cooperation ID associated with the subject M and the determination condition are included.

図6は、図5におけるリクエスト記述例に含まれる判定条件をRule要素として示した例である。この例では、Environments要素として、判定対象のサブジェクトMが、指定した円周(AttributeValue要素値で示した値)に含まれるか否かの判定条件を示している。なお、この値は、非特許文献3のGeoURIを拡張した円周表現形式を示している。標準のGeoURIで示した位置情報(緯度:35.668557、経度:139.471814)に加えて、この位置情報からの距離をrパラメータ値で示すことで、特定の位置からの円周を表現している。また、この判定処理は、EnvironmentMatch要素のMatchId属性値で指定した、OASIS XACML V2.0を拡張した独自な関数により行われる。このRule要素においては、上記の条件に適合したときに、Effectとして、“Permit”が返される。この例では、判定条件の一例を示しているものであり、ポリシ記述仕様が許容する範囲であれば、任意の判定条件を指定してもよい。   FIG. 6 is an example showing the determination conditions included in the request description example in FIG. 5 as Rule elements. In this example, a determination condition as to whether or not the subject M to be determined is included in the specified circumference (value indicated by the AttributeValue element value) is shown as the Environments element. This value indicates a circumferential expression format obtained by expanding GeoURI of Non-Patent Document 3. In addition to the position information (latitude: 35.668557, longitude: 139.471814) indicated by the standard GeoURI, the distance from this position information is indicated by the r parameter value to express the circumference from a specific position. ing. In addition, this determination process is performed by a unique function that extends OASIS XACML V2.0, which is specified by the MatchId attribute value of the EnvironmentMatch element. In this Rule element, “Permit” is returned as Effect when the above condition is met. In this example, an example of the determination condition is shown, and an arbitrary determination condition may be designated as long as the policy description specification allows it.

ID連携解決部33は、リクエスト生成部31から入力されたサブジェクト識別情報SIに関連付けされた連携IDを、サブジェクトID情報記憶部34から取得し、リクエスト生成部31に出力する。   The ID cooperation resolution unit 33 acquires the cooperation ID associated with the subject identification information SI input from the request generation unit 31 from the subject ID information storage unit 34 and outputs it to the request generation unit 31.

レスポンス評価部35は、コンテクスト解決装置5から受信したレスポンスRPを評価する。本実施形態では、レスポンス評価部35は、例えば、OASIS XACML V2.0形式のResponse要素を評価し、評価結果ER1をサブジェクト認証部30に出力する。   The response evaluation unit 35 evaluates the response RP received from the context resolution device 5. In the present embodiment, the response evaluation unit 35 evaluates a Response element in, for example, OASIS XACML V2.0 format, and outputs the evaluation result ER1 to the subject authentication unit 30.

通信部36は、コンテクスト解決装置5との間でリクエストRQおよびレスポンスRPのメッセージの送受信を行う。   The communication unit 36 transmits and receives request RQ and response RP messages to and from the context resolution device 5.

コンテクスト情報収集装置4は、ネットワークN4を介してエージェント装置2からコンテクスト情報CIを受信し、受信したコンテクスト情報CIを記憶する。また、コンテクスト情報収集装置4は、ネットワークN3を介してエージェント装置2からコンテクスト情報CIをコンテクスト解決装置5に送信する。   The context information collection device 4 receives the context information CI from the agent device 2 via the network N4, and stores the received context information CI. The context information collection device 4 transmits the context information CI from the agent device 2 to the context resolution device 5 via the network N3.

図7は、本実施形態におけるコンテクスト情報収集装置4の構成例を示す機能ブロック図である。コンテクスト情報収集装置4は、コンテクスト情報収集部40(収集部)と、コンテクスト情報記憶部41と、コンテクスト情報抽出部42と、通信部43とを備える。   FIG. 7 is a functional block diagram illustrating a configuration example of the context information collection device 4 in the present embodiment. The context information collection device 4 includes a context information collection unit 40 (collection unit), a context information storage unit 41, a context information extraction unit 42, and a communication unit 43.

コンテクスト情報収集部40は、ネットワークN4を介して、エージェント装置2からコンテクスト情報CIを収集し、収集したコンテクスト情報CIをコンテクスト情報記憶部41に記憶させる。ネットワークN4は、例えば、Bluetooth Low Energy(BLE)仕様に代表される近接無線通信などであってよい。   The context information collection unit 40 collects the context information CI from the agent device 2 via the network N4, and stores the collected context information CI in the context information storage unit 41. The network N4 may be, for example, close proximity wireless communication represented by Bluetooth Low Energy (BLE) specifications.

コンテクスト情報抽出部42は、コンテクスト情報記憶部41に記憶されたコンテクスト情報CIを抽出し、コンテクスト情報CI内において指定されたコンテクスト解決装置5に送信する。このとき、コンテクスト情報収集装置4が収集したことを示す署名情報等を付与してもよい。   The context information extraction unit 42 extracts the context information CI stored in the context information storage unit 41 and transmits it to the context resolution device 5 specified in the context information CI. At this time, signature information indicating that the context information collection device 4 has collected may be added.

通信部43は、ネットワークN3を介して、コンテクスト情報抽出部42から入力されたコンテクスト情報CIをコンテクスト解決装置5に送信する。   The communication unit 43 transmits the context information CI input from the context information extraction unit 42 to the context resolution device 5 via the network N3.

コンテクスト解決装置5は、ネットワークN2を介してコンテクスチュアル認証装置3から受信したリクエストRQに含まれるポリシに応じて、ネットワークN3を介してコンテクスト情報収集装置4から受信したコンテクスト情報CIを評価し、評価結果ER2を含むレスポンスRPをコンテクスチュアル認証装置3に送信する。   The context resolution device 5 evaluates the context information CI received from the context information collection device 4 via the network N3 according to the policy included in the request RQ received from the contextual authentication device 3 via the network N2. The response RP including the result ER2 is transmitted to the contextual authentication device 3.

図8は、本実施形態におけるコンテクスト解決装置5の構成例を示す機能ブロック図である。コンテクスト解決装置5は、リクエスト解析部50(抽出部)と、ポリシ評価部51(評価部)と、レスポンス生成部52(評価部)と、コンテクスト解決部53(抽出部)と、探索コード生成部54(抽出部)と、エージェントID情報記憶部55と、コンテクスト情報取得部56(収集部)と、コンテクスト情報記憶部57と、通信部58(評価部)とを備える。   FIG. 8 is a functional block diagram showing a configuration example of the context resolution device 5 in the present embodiment. The context resolution device 5 includes a request analysis unit 50 (extraction unit), a policy evaluation unit 51 (evaluation unit), a response generation unit 52 (evaluation unit), a context resolution unit 53 (extraction unit), and a search code generation unit. 54 (extraction unit), an agent ID information storage unit 55, a context information acquisition unit 56 (collection unit), a context information storage unit 57, and a communication unit 58 (evaluation unit).

リクエスト解析部50は、通信部58を介してコンテクスチュアル認証装置3から受信したリクエストRQを解析し、リクエストRQに含まれる連携IDとポリシPとを抽出する。また、リクエスト解析部50は、抽出した連携IDと関連付けされたコンテクスト情報CIを取得し、このコンテクスト情報CIとポリシPとの組をポリシ評価部51に出力する。   The request analysis unit 50 analyzes the request RQ received from the contextual authentication device 3 via the communication unit 58 and extracts the cooperation ID and the policy P included in the request RQ. Further, the request analysis unit 50 acquires the context information CI associated with the extracted linkage ID, and outputs a set of the context information CI and the policy P to the policy evaluation unit 51.

コンテクスト解決部53は、リクエスト解析部50から入力された連携IDと関連付けされた探索コードSCに基づいて、コンテクスト情報記憶部57からコンテクスト情報CIを取得し、取得したコンテクスト情報CIをリクエスト解析部50に出力する。この場合、コンテクスト解決部53は、連携IDを探索コード生成部に出力し、この連携IDと関連付けされた探索コードSCを探索コード生成部から取得する。また、コンテクスト解決部53は、ポリシ評価部51の負荷を軽減するために、リクエストRQに含まれるポリシPを解釈し、リクエスト解析部50に出力するコンテクスト情報CIの範囲を限定してもよい。例えば、ポリシPに時間を指定する条件(2015年1月1日から2015年1月10日までの範囲など)が含まれている場合、その条件に合致するコンテクスト情報CIのみをリクエスト解析部50に出力してよい。   The context resolution unit 53 acquires the context information CI from the context information storage unit 57 based on the search code SC associated with the cooperation ID input from the request analysis unit 50, and the request analysis unit 50 uses the acquired context information CI. Output to. In this case, the context resolution unit 53 outputs the cooperation ID to the search code generation unit, and acquires the search code SC associated with the cooperation ID from the search code generation unit. Further, the context resolution unit 53 may interpret the policy P included in the request RQ and limit the range of the context information CI output to the request analysis unit 50 in order to reduce the load on the policy evaluation unit 51. For example, if the policy P includes a condition for specifying time (such as a range from January 1, 2015 to January 10, 2015), only the context information CI that matches the condition is included in the request analysis unit 50. May be output.

探索コード生成部54は、コンテクスト解決部53から入力された連携IDに基づいて探索コードSCを生成する。例えば、探索コード生成部54は、連携IDとエージェント認証要素AEとを関連付けて記憶するエージェントID情報記憶部55から、コンテクスト解決部53から入力された連携IDと関連付けされたエージェント認証要素AEを抽出する。次に、探索コード生成部54は、抽出したエージェント認証要素AEに基づいて、探索コードSCを生成する。例えば、探索コード生成部54は、エージェント認証要素AEおよび所定のシード値より探索コードSCを一意に生成する。特定のエージェント認証要素AEに対して探索コード生成部54により生成される探索コードSCは、同一のエージェント認証要素AEに対してエージェント装置2のコンテクスト情報生成部24により生成される探索コードSCと同一である。   The search code generation unit 54 generates a search code SC based on the cooperation ID input from the context resolution unit 53. For example, the search code generation unit 54 extracts the agent authentication element AE associated with the cooperation ID input from the context resolution unit 53 from the agent ID information storage unit 55 that stores the association ID and the agent authentication element AE in association with each other. To do. Next, the search code generation unit 54 generates a search code SC based on the extracted agent authentication element AE. For example, the search code generation unit 54 uniquely generates the search code SC from the agent authentication element AE and a predetermined seed value. The search code SC generated by the search code generation unit 54 for a specific agent authentication element AE is the same as the search code SC generated by the context information generation unit 24 of the agent device 2 for the same agent authentication element AE. It is.

図9は、コンテクスチュアル認証装置3のサブジェクトID情報記憶部34に記憶された情報と、コンテクスト解決装置5のエージェントID情報記憶部55に記憶された情報とが連携IDを介して連携している一例を示す図である。この例においては、サブジェクトID情報記憶部34と、エージェントID情報記憶部55とには、互いに共通する連携ID“xhso1801osi”が記憶されている。この連携IDを用いることで、サブジェクトID情報記憶部34に記憶された情報と、エージェントID情報記憶部55に記憶された情報とを紐付けることができる。   FIG. 9 shows that information stored in the subject ID information storage unit 34 of the contextual authentication device 3 and information stored in the agent ID information storage unit 55 of the context resolution device 5 are linked via a linkage ID. It is a figure which shows an example. In this example, a common ID “xhso1801osi” is stored in the subject ID information storage unit 34 and the agent ID information storage unit 55. By using this linkage ID, the information stored in the subject ID information storage unit 34 and the information stored in the agent ID information storage unit 55 can be linked.

コンテクスト情報取得部56は、コンテクスト情報収集装置4からコンテクスト情報CIを受信し、受信したコンテクスト情報CIをコンテクスト情報記憶部57に記憶させる。なお、コンテクスト情報取得部56およびコンテクスト情報記憶部57を省略し、コンテクスト解決部53が、コンテクスト情報収集装置4からコンテクスト情報CIを取得する構成としてもよい。   The context information acquisition unit 56 receives the context information CI from the context information collection device 4 and stores the received context information CI in the context information storage unit 57. The context information acquisition unit 56 and the context information storage unit 57 may be omitted, and the context resolution unit 53 may acquire the context information CI from the context information collection device 4.

ポリシ評価部51は、リクエスト解析部50から入力されるポリシPおよびコンテクスト情報CIを評価し、評価結果ER2をレスポンス生成部52に出力する。   The policy evaluation unit 51 evaluates the policy P and the context information CI input from the request analysis unit 50, and outputs the evaluation result ER2 to the response generation unit 52.

レスポンス生成部52は、ポリシ評価部51から入力される評価結果ER2を用いてレスポンスRPを生成し、生成したレスポンスRPをコンテクスチュアル認証装置3に通信部58を介して送信する。   The response generation unit 52 generates a response RP using the evaluation result ER <b> 2 input from the policy evaluation unit 51, and transmits the generated response RP to the contextual authentication device 3 via the communication unit 58.

通信部58は、コンテクスチュアル認証装置3との間でのリクエストRQおよびレスポンスRPのメッセージの送受信を行う。   The communication unit 58 transmits and receives request RQ and response RP messages to and from the contextual authentication device 3.

次に、以上のように構成された認証システム1の動作について説明する。   Next, the operation of the authentication system 1 configured as described above will be described.

図10は、コンテクスト情報収集の処理の流れの一例を示すフローチャートである。まず、エージェント装置2のコンテクスト基本情報収集部22は、所定のトリガに従ってコンテクスト基本情報CBの収集を行う(ステップST1−1)。このトリガの例としては、一定間隔や、コンテクスト情報CIの受信が可能なコンテクスト情報収集装置4をエージェント装置2が検知したときなどが挙げられる。例えば、ネットワークN4としてBLE仕様を利用した場合、エージェント装置2は、コンテクスト情報収集装置4が発信するアドバタイズを検知することで、コンテクスト情報収集装置4の収集可能エリアを検知することができる。また、一定間隔でコンテクスト基本情報CBを収集する場合は、エージェント装置2内に収集したコンテクスト基本情報CIを一時的にキャッシュしてもよい。   FIG. 10 is a flowchart illustrating an example of a flow of context information collection processing. First, the context basic information collection unit 22 of the agent device 2 collects the context basic information CB according to a predetermined trigger (step ST1-1). Examples of the trigger include a fixed interval and when the agent device 2 detects the context information collection device 4 capable of receiving the context information CI. For example, when the BLE specification is used as the network N4, the agent device 2 can detect a collectable area of the context information collection device 4 by detecting an advertisement transmitted by the context information collection device 4. Further, when collecting the context basic information CB at regular intervals, the context basic information CI collected in the agent device 2 may be temporarily cached.

次に、エージェント装置2のコンテクスト情報生成部24は、コンテクスト基本情報収集部22から入力されたコンテクスト基本情報CBと、エージェント認証要素記憶部23から抽出したエージェント認証要素AEとを用いて、コンテクスト情報CIを生成する(ステップST1−2)。ステップST1−1と同様に、コンテクスト情報生成部24は、コンテクスト情報CIを事前に生成して、エージェント装置2内に一時的にキャッシュしてもよい。なお、コンテクスト情報CIにおいて指定されるコンテクスト解決装置5の装置名は、近傍のコンテクスト情報収集装置4より動的に取得してもよい。   Next, the context information generation unit 24 of the agent device 2 uses the context basic information CB input from the context basic information collection unit 22 and the agent authentication element AE extracted from the agent authentication element storage unit 23 to use the context information. CI is generated (step ST1-2). Similarly to step ST <b> 1-1, the context information generation unit 24 may generate the context information CI in advance and temporarily cache it in the agent device 2. The device name of the context resolution device 5 specified in the context information CI may be dynamically acquired from the nearby context information collection device 4.

次に、エージェント装置2の通信部25は、コンテクスト情報生成部24により生成されたコンテクスト情報CIを、送信可能な近傍のコンテクスト情報収集装置4に対して送信する(ステップST1−3)。   Next, the communication unit 25 of the agent device 2 transmits the context information CI generated by the context information generation unit 24 to the neighboring context information collection device 4 that can be transmitted (step ST1-3).

次に、コンテクスト情報収集装置4は、エージェント装置2から受信したコンテクスト情報CIを、コンテクスト情報CIの装置名によって指定されたコンテクスト解決装置5に送信する(ステップST1−4)。   Next, the context information collection device 4 transmits the context information CI received from the agent device 2 to the context resolution device 5 designated by the device name of the context information CI (step ST1-4).

次に、コンテクスト解決装置5のコンテクスト情報取得部56は、コンテクスト情報収集装置4から受信したコンテクスト情報CIをコンテクスト情報記憶部57に記憶させ、本フローチャートの処理を終了する(ステップST1−5)。   Next, the context information acquisition unit 56 of the context resolution device 5 stores the context information CI received from the context information collection device 4 in the context information storage unit 57, and ends the process of this flowchart (step ST1-5).

図11は、認証処理の流れの一例を示すフローチャートである。まず、エージェント装置2の入力受付部20は、サブジェクトMによる認証情報(サブジェクト認証要素SA)の入力を受け付ける(ステップST2−1)。例えば、入力受付部20は、ユーザIDおよびパスワードを用いた固定パスワード認証を行う場合には、サブジェクトMによるユーザIDおよびパスワードの入力を受け付ける。以下においては、固定パスワード認証を行う場合を例に挙げて説明するが、本実施形態においては、任意の認証方式を用いてよい。   FIG. 11 is a flowchart illustrating an example of the flow of authentication processing. First, the input receiving unit 20 of the agent device 2 receives an input of authentication information (subject authentication element SA) by the subject M (step ST2-1). For example, the input reception unit 20 receives input of the user ID and password by the subject M when performing fixed password authentication using the user ID and password. In the following, a case where fixed password authentication is performed will be described as an example. However, in the present embodiment, any authentication method may be used.

次に、エージェント装置2のサブジェクト認証クライアント部21は、入力受付部20から入力されたサブジェクト認証要素SAを、通信部25を介してコンテクスチュアル認証装置3に送信する(ステップST2−2)。   Next, the subject authentication client unit 21 of the agent device 2 transmits the subject authentication element SA input from the input receiving unit 20 to the context authentication device 3 via the communication unit 25 (step ST2-2).

次に、コンテクスチュアル認証装置3のサブジェクト認証部30は、エージェント装置2から受信したサブジェクト認証要素SAに基づいて、サブジェクトMの本人認証を行う(ステップST2−3)。サブジェクト認証部30は、エージェント装置2から受信したサブジェクト認証要素SA(例えば、ユーザIDおよびパスワード)と、サブジェクトID情報記憶部34に記憶されている情報とを照合する。サブジェクト認証部30は、サブジェクト認証要素SAと対応するデータが、サブジェクトID情報記憶部34に記憶されている場合には、本人認証成功と判断し、サブジェクト認証要素SAと関連付けされたサブジェクト識別情報SIをサブジェクトID情報記憶部34から取得する。さらに、サブジェクト認証部30は、サブジェクト識別情報SIをリクエスト生成部31に出力する。リクエスト生成部31は、サブジェクト識別情報SIをID連携解決部33に出力する。次に、ID連携解決部33は、サブジェクト識別情報SIと関連付けされた連携IDをサブジェクトID情報記憶部34から抽出し、抽出した連携IDをリクエスト生成部31に出力する。この連携IDは、サブジェクトMが連携済みであるコンテクスト解決装置5の数だけ抽出される。   Next, the subject authentication unit 30 of the contextual authentication device 3 authenticates the subject M based on the subject authentication element SA received from the agent device 2 (step ST2-3). The subject authentication unit 30 collates the subject authentication element SA (for example, user ID and password) received from the agent device 2 with the information stored in the subject ID information storage unit 34. When the data corresponding to the subject authentication element SA is stored in the subject ID information storage unit 34, the subject authentication unit 30 determines that the personal authentication is successful and the subject identification information SI associated with the subject authentication element SA. Is obtained from the subject ID information storage unit 34. Further, the subject authentication unit 30 outputs subject identification information SI to the request generation unit 31. The request generation unit 31 outputs the subject identification information SI to the ID cooperation resolution unit 33. Next, the ID cooperation resolution unit 33 extracts the cooperation ID associated with the subject identification information SI from the subject ID information storage unit 34 and outputs the extracted cooperation ID to the request generation unit 31. This cooperation ID is extracted by the number of context resolution apparatuses 5 to which the subject M has already been linked.

一方、サブジェクト認証部30は、サブジェクト認証要素SAと対応するデータが、サブジェクトID情報記憶部34に記憶されていない場合には、本人認証失敗と判断し、認証失敗を示す認証結果ARをエージェント装置2に送信し、本フローチャートの処理を終了する。   On the other hand, if the data corresponding to the subject authentication element SA is not stored in the subject ID information storage unit 34, the subject authentication unit 30 determines that the personal authentication has failed, and sends the authentication result AR indicating the authentication failure to the agent device 2 and the process of this flowchart is terminated.

次に、リクエスト生成部31は、ID連携解決部33から入力された連携IDと、ポリシ記憶部32に記憶されたポリシPとを用いてリクエストRQを生成する(ステップST2−4)。リクエスト生成部31は、ST2−1でサブジェクトMが認証要求をしたサービスに基づいて、何れのポリシPを適用するかを決定する。   Next, the request generation unit 31 generates a request RQ using the cooperation ID input from the ID cooperation resolution unit 33 and the policy P stored in the policy storage unit 32 (step ST2-4). The request generation unit 31 determines which policy P to apply based on the service to which the subject M requested authentication in ST2-1.

次に、リクエスト生成部31は、通信部36を介して、生成したリクエストRQをコンテクスト解決装置5に送信する(ステップST2−5)。   Next, the request generation unit 31 transmits the generated request RQ to the context resolution device 5 via the communication unit 36 (step ST2-5).

次に、コンテクスト解決装置5のリクエスト解析部50は、コンテクスチュアル認証装置3から受信したリクエストRQを解析して連携IDを取得し、取得した連携IDをコンテクスト解決部53に出力する(ステップST2−6)。また、リクエスト解析部50は、リクエストRQを解析してポリシPを取得しておく。   Next, the request analysis unit 50 of the context resolution device 5 analyzes the request RQ received from the contextual authentication device 3 to acquire a cooperation ID, and outputs the acquired cooperation ID to the context resolution unit 53 (step ST2- 6). The request analysis unit 50 analyzes the request RQ and acquires the policy P.

次に、コンテクスト解決装置5のコンテクスト解決部53は、リクエスト解析部50から入力された連携IDに関連付けされた探索コードSCを探索コード生成部54から取得する(ステップST2−7)。ここで、探索コード生成部54は、連携IDと関連付けされたエージェント認証要素AEをエージェントID情報記憶部55から抽出し、抽出したエージェント認証要素AEを使用して探索コードSCを生成する。   Next, the context resolution unit 53 of the context resolution device 5 acquires the search code SC associated with the cooperation ID input from the request analysis unit 50 from the search code generation unit 54 (step ST2-7). Here, the search code generation unit 54 extracts the agent authentication element AE associated with the cooperation ID from the agent ID information storage unit 55, and generates the search code SC using the extracted agent authentication element AE.

次に、コンテクスト解決部53は、探索コードSCと関連付けされたコンテクスト情報CIをコンテクスト情報記憶部57から抽出する(ステップST2−8)。コンテクスト解決部53は、抽出したコンテクスト情報CIをリクエスト解析部50に出力し、リクエスト解析部50はこのコンテクスト情報CIとポリシPとの組をポリシ評価部51に出力する。   Next, the context resolution unit 53 extracts the context information CI associated with the search code SC from the context information storage unit 57 (step ST2-8). The context resolution unit 53 outputs the extracted context information CI to the request analysis unit 50, and the request analysis unit 50 outputs the combination of the context information CI and the policy P to the policy evaluation unit 51.

次に、ポリシ評価部51は、リクエスト解析部50から入力されたコンテクスト情報CIとポリシPとの組を用いて、ポリシPを評価し、評価結果ER2をレスポンス生成部52に出力する(ステップST2−9)。   Next, policy evaluation unit 51 evaluates policy P using the set of context information CI and policy P input from request analysis unit 50, and outputs evaluation result ER2 to response generation unit 52 (step ST2). -9).

次に、レスポンス生成部52は、評価結果ER2を含むレスポンスRPを生成して、生成したレスポンスRPを通信部58を介してコンテクスチュアル認証装置3に送信する(ステップST2−10)。   Next, the response generation unit 52 generates a response RP including the evaluation result ER2, and transmits the generated response RP to the contextual authentication device 3 via the communication unit 58 (step ST2-10).

次に、コンテクスチュアル認証装置3のレスポンス評価部35は、コンテクスト解決装置5から受信したレスポンスRPを評価して評価結果ER1をサブジェクト認証部30に出力する。サブジェクト認証部30は、レスポンス評価部35から入力された評価結果ER1に基づいて最終的な認証結果AR(認証成功,認証失敗)を生成して、エージェント装置2に送信し、本フローチャートの処理を終了する(ステップST2−11)。   Next, the response evaluation unit 35 of the contextual authentication device 3 evaluates the response RP received from the context resolution device 5 and outputs the evaluation result ER1 to the subject authentication unit 30. The subject authentication unit 30 generates a final authentication result AR (authentication success, authentication failure) based on the evaluation result ER1 input from the response evaluation unit 35, and transmits it to the agent device 2 to perform the processing of this flowchart. The process ends (step ST2-11).

以上説明した少なくともひとつの実施形態によれば、サブジェクトMの認証情報(本人情報)を取得および保持するコンテクスチュアル認証装置3と、コンテクスト情報CIを取得および保持するコンテクスト情報収集装置4(コンテクスト解決装置5)とを備えることで、サブジェクトMの認証情報とコンテクスト情報CIとは物理的に分離して保持することができる。また、コンテクスチュアル認証装置3と、コンテクスト解決装置5との間で送受信されるリクエストRQおよびレスポンスRPは連携IDによって特定されるものであるため、コンテクスト情報収集装置4はサブジェクトMに関する情報を保持する必要がない。また、コンテクスチュアル認証装置3は、サブジェクトMの本人確認の結果と、レスポンスRPに含まれる評価結果との両方に基づいてサブジェクトMの認証を行う。これにより、サブジェクトMのプライバシーを保護しつつ、高精度な認証を行うことができる。   According to at least one embodiment described above, the context authentication device 3 that acquires and holds the authentication information (person information) of the subject M, and the context information collection device 4 that acquires and holds the context information CI (context resolution device). 5), the authentication information of the subject M and the context information CI can be physically separated and held. Further, since the request RQ and the response RP transmitted / received between the context authentication device 3 and the context resolution device 5 are specified by the linkage ID, the context information collection device 4 holds information on the subject M. There is no need. Further, the context authentication device 3 authenticates the subject M based on both the result of identity verification of the subject M and the evaluation result included in the response RP. Thereby, highly accurate authentication can be performed while protecting the privacy of the subject M.

なお、上記実施形態に記載した手法は、コンピューターに実行させることのできるプログラムとして、磁気ディスク(フロッピー(登録商標)ディスク、ハードディスクなど)、光ディスク(CD−ROM、DVDなど)、光磁気ディスク(MO)、半導体メモリなどの記憶媒体に格納して頒布することもできる。   The method described in the above embodiment is a program that can be executed by a computer as a magnetic disk (floppy (registered trademark) disk, hard disk, etc.), optical disk (CD-ROM, DVD, etc.), magneto-optical disk (MO). ), And can be distributed in a storage medium such as a semiconductor memory.

また、この記憶媒体としては、プログラムを記憶でき、かつコンピューターが読み取り可能な記憶媒体であれば、その記憶形式は何れの形態であっても良い。また、記憶媒体からコンピューターにインストールされたプログラムの指示に基づきコンピューター上で稼働しているOS(オペレーティングシステム)や、データベース管理ソフト、ネットワークソフト等のMW(ミドルウェア)等が上記実施形態を実現するための各処理の一部を実行しても良い。さらに、本実施形態における記憶媒体は、コンピューターと独立した媒体に限らず、LANやインターネット等により伝送されたプログラムをダウンロードして記憶または一時記憶した記憶媒体も含まれる。   In addition, as long as the storage medium can store a program and can be read by a computer, the storage format may be any form. In addition, an OS (operating system) operating on a computer based on an instruction of a program installed on the computer from a storage medium, MW (middleware) such as database management software, network software, or the like realizes the above-described embodiment. A part of each process may be executed. Furthermore, the storage medium in the present embodiment is not limited to a medium independent of a computer, but also includes a storage medium that downloads and stores or temporarily stores a program transmitted via a LAN, the Internet, or the like.

また、記憶媒体は1つに限らず、複数の媒体から上記実施形態における処理が実行される場合も本実施形態における記憶媒体に含まれ、媒体構成は何れの構成であっても良い。なお、本実施形態におけるコンピューターは、記憶媒体に記憶されたプログラムに基づき、上記実施形態における各処理を実行するものであって、パソコン等の1つからなる装置、複数の装置がネットワーク接続されたシステム等の何れの構成であっても良い。また、本実施形態におけるコンピューターとは、パソコンに限らず、情報処理機器に含まれる演算処理装置、マイコン等も含み、プログラムによって本発明の機能を実現することが可能な機器、装置を総称している。   Further, the number of storage media is not limited to one, and the case where the processing in the above embodiment is executed from a plurality of media is also included in the storage medium in this embodiment, and the medium configuration may be any configuration. The computer in this embodiment executes each process in the above embodiment based on a program stored in a storage medium, and a single device such as a personal computer or a plurality of devices are connected to a network. Any configuration such as a system may be used. In addition, the computer in the present embodiment is not limited to a personal computer, and includes an arithmetic processing device, a microcomputer, and the like included in an information processing device. Yes.

本発明のいくつかの実施形態を説明したが、これらの実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。これら実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。これら実施形態やその変形は、発明の範囲や要旨に含まれると同様に、特許請求の範囲に記載された発明とその均等の範囲に含まれるものである。   Although several embodiments of the present invention have been described, these embodiments are presented by way of example and are not intended to limit the scope of the invention. These embodiments can be implemented in various other forms, and various omissions, replacements, and changes can be made without departing from the spirit of the invention. These embodiments and their modifications are included in the scope and gist of the invention, and are also included in the invention described in the claims and the equivalents thereof.

1…認証システム、2…エージェント装置、3…コンテクスチュアル認証装置、4…コンテクスト情報収集装置、5…コンテクスト解決装置、20…入力受付部、21…サブジェクト認証クライアント部、22…コンテクスト基本情報収集部、23…エージェント認証要素記憶部、24…コンテクスト情報生成部、25…通信部、30…サブジェクト認証部、31…リクエスト生成部、32…ポリシ記憶部、33…ID連携解決部、34…サブジェクトID情報記憶部、35…レスポンス評価部、36…通信部、40…コンテクスト情報収集部、41…コンテクスト情報記憶部41、42…コンテクスト情報抽出部、43…通信部、50…リクエスト解析部、51…ポリシ評価部、52…レスポンス生成部、53…コンテクスト解決部、54…探索コード生成部、55…エージェントID情報記憶部、56…コンテクスト情報取得部、57…コンテクスト情報記憶部、58…通信部58、M…サブジェクト、N1,N2,N3,N4…ネットワーク   DESCRIPTION OF SYMBOLS 1 ... Authentication system, 2 ... Agent apparatus, 3 ... Contextual authentication apparatus, 4 ... Context information collection apparatus, 5 ... Context resolution apparatus, 20 ... Input reception part, 21 ... Subject authentication client part, 22 ... Context basic information collection part , 23 ... Agent authentication element storage unit, 24 ... Context information generation unit, 25 ... Communication unit, 30 ... Subject authentication unit, 31 ... Request generation unit, 32 ... Policy storage unit, 33 ... ID cooperation resolution unit, 34 ... Subject ID Information storage unit 35 ... Response evaluation unit 36 ... Communication unit 40 ... Context information collection unit 41 ... Context information storage unit 41, 42 ... Context information extraction unit 43 ... Communication unit 50 ... Request analysis unit 51 ... Policy evaluation unit, 52 ... response generation unit, 53 ... context resolution unit, 54 Search code generating unit, 55 ... agent ID information storage unit, 56 ... context information acquisition unit, 57 ... context information storage unit, 58 ... communication unit 58, M ... subject, N1, N2, N3, N4 ... Network

Claims (2)

認証対象から認証情報を取得する第1装置と、
前記認証対象の認証を行う第2装置と、
前記認証対象の状況および行動の少なくとも一方に関する情報を前記第1装置から収集する第3装置と、
を備える認証システムであって、
前記第1装置は、前記認証情報を前記第2装置に送信し、
前記第2装置は、前記認証情報を使用して前記認証対象の本人確認を行い、かつ前記認証対象の状況および行動の少なくとも一方の判定条件と、前記第2装置と前記第3装置との両方に予め保持された連携IDのうち前記第2装置が保持する連携IDと、を含むリクエストを生成して、前記リクエストを前記第3装置に送信し、
前記第3装置は、収集した前記認証対象の状況および行動の少なくとも一方に関する情報の中から、前記第2装置から受信したリクエストに含まれる前記連携IDに関連付けされた情報を抽出し、抽出した情報を使用して前記判定条件を評価し、評価結果を含むレスポンスを前記第2装置に送信し、
前記第2装置は、前記本人確認の結果と、前記レスポンスに含まれる評価結果との両方に基づいて、前記認証対象の認証を行う、認証システム。 A first device for obtaining authentication information from an authentication target;
A second device for performing authentication of the authentication target;
A third device that collects information about at least one of the status and behavior of the authentication target from the first device;
An authentication system comprising:
The first device transmits the authentication information to the second device;
The second device performs identity verification of the authentication target using the authentication information, and at least one determination condition of the status and action of the authentication target, and both the second device and the third device Generating a request including the cooperation ID held by the second device among the cooperation IDs held in advance, and transmitting the request to the third device.
The third device extracts information associated with the linkage ID included in the request received from the second device from the collected information on at least one of the authentication target situation and action, and the extracted information To evaluate the determination condition, and send a response including the evaluation result to the second device,
The second apparatus is an authentication system in which the authentication target is authenticated based on both the result of the identity verification and the evaluation result included in the response. 前記認証対象の状況および行動の少なくとも一方に関する情報は、前記認証対象の位置情報を含む、請求項1に記載の認証システム。   The authentication system according to claim 1, wherein the information related to at least one of the status and action of the authentication target includes position information of the authentication target.
JP2016123011A 2016-06-21 2016-06-21 Authentication system Active JP6367262B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016123011A JP6367262B2 (en) 2016-06-21 2016-06-21 Authentication system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016123011A JP6367262B2 (en) 2016-06-21 2016-06-21 Authentication system

Publications (2)

Publication Number Publication Date
JP2017228046A JP2017228046A (en) 2017-12-28
JP6367262B2 true JP6367262B2 (en) 2018-08-01

Family

ID=60889218

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016123011A Active JP6367262B2 (en) 2016-06-21 2016-06-21 Authentication system

Country Status (1)

Country Link
JP (1) JP6367262B2 (en)

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002007801A (en) * 2000-06-21 2002-01-11 Nec Corp On-line shopping system, method and server for providing credit information, and recording medium of program therefor
JP2002157422A (en) * 2000-11-20 2002-05-31 Fujitsu Ltd Credit method and recording medium
JP2010026602A (en) * 2008-07-15 2010-02-04 B2B Solutions Co Ltd Business information provision service system

Also Published As

Publication number Publication date
JP2017228046A (en) 2017-12-28

Similar Documents

Publication Publication Date Title
US9529985B2 (en) Global authentication service using a global user identifier
US9628282B2 (en) Universal anonymous cross-site authentication
JP6410798B2 (en) User authentication
US11316842B2 (en) Identity verification based on electronic file fingerprinting data
US20150046989A1 (en) System and method for verifying status of an authentication device
US11023568B2 (en) Image processing apparatus, system related to image processing apparatus, and method
JP6170982B2 (en) Determination device, determination method, and determination program
JP2020036234A (en) Information processing apparatus, authorization system, and verification method
JP2012212211A (en) Authentication cooperation system and authentication cooperation method
JP6039029B1 (en) Selection device, selection method, selection program, and authentication processing system
US11645377B1 (en) Online authentication and security management using device-based identification
JP5951094B1 (en) Generation device, terminal device, generation method, generation program, and authentication processing system
JP2022524095A (en) System and method of user identification and authentication based on proximity
KR20190021367A (en) A password generation device and a password verification device
JP6122924B2 (en) Providing device, terminal device, providing method, providing program, and authentication processing system
JP6367262B2 (en) Authentication system
JP6307610B2 (en) Data falsification detection device, data falsification detection method, and program
JP2019176251A (en) Authentication system and authentication method
JP6570480B2 (en) Generation device, terminal device, generation method, generation program, and authentication processing system
JP6947529B2 (en) Judgment device, judgment method and judgment program
KR20140098028A (en) Access authentification for multiple devices and flatforms
JP6218226B2 (en) Terminal device, authentication method, and program
JP6077077B1 (en) Authentication apparatus, authentication method, and authentication program
JP2009093482A (en) Information processing system, information processor, authentication server, information processing method, and program
KR20140043628A (en) Log-in process method

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20171205

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180202

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180327

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180523

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180605

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180704

R150 Certificate of patent or registration of utility model

Ref document number: 6367262

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150