JP6765993B2 - クレデンシャル生成システム及び方法 - Google Patents
クレデンシャル生成システム及び方法 Download PDFInfo
- Publication number
- JP6765993B2 JP6765993B2 JP2017038986A JP2017038986A JP6765993B2 JP 6765993 B2 JP6765993 B2 JP 6765993B2 JP 2017038986 A JP2017038986 A JP 2017038986A JP 2017038986 A JP2017038986 A JP 2017038986A JP 6765993 B2 JP6765993 B2 JP 6765993B2
- Authority
- JP
- Japan
- Prior art keywords
- credential
- client terminal
- client
- issuing
- server device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
以下、図面を参照して、この発明の一実施形態について説明する。
クライアントは、クライアント端末1を用いて、サービス提供者のサーバ装置2にアクセスし、クライアントの登録を要求する。
サーバ装置2は、クライアントの登録情報から、クレデンシャルの発行に必要なクライアント情報を作成する(ステップS2)。
サーバ装置2は、クライアント情報に対して、作成者を識別できる発行依頼情報を作成し、クライアント情報と発行依頼情報をクレデンシャル発行装置4に送信する。作成者を識別できる発行依頼情報を作成には、例えばHMACや共通鍵暗号や公開鍵暗号などを用いることができる。
クレデンシャル発行装置4は、受信した依頼を検証し、正しければクライアント情報に対応するクレデンシャルの一部を発行し、サーバ装置2に送信する(ステップS4)。
サーバ装置2は、受信したクレデンシャルをクライアント端末1に送信する(ステップS5)。
クライアント端末1は、例えばクライアントがサーバ装置2から受け取ったクレデンシャルと、クライアント端末1がサーバ装置2から受信したクレデンシャルとを用いて、クレデンシャルの一部を作成する(ステップS6)。
クライアントは、クライアント端末1を用いて、発行依頼装置3にアクセスし、クライアントの登録を要求する。
発行依頼装置3は、クライアントの登録情報から、クレデンシャルの発行に必要なクライアント情報を作成する(ステップS8)。
発行依頼装置3は、クライアント情報に対して、作成者を識別できる発行依頼情報を作成し、クライアント情報と発行依頼情報をクレデンシャル発行装置4に送信する。作成者を識別できる発行依頼情報を作成には、例えばHMACや共通鍵暗号や公開鍵暗号などを用いることができる。
クレデンシャル発行装置4は、発行依頼装置3から受信した依頼を検証し、正しければクライアント情報に対応するクレデンシャルの他部を発行し、発行依頼装置3に送信する(ステップS10)。
発行依頼装置3は、受信したクレデンシャルをクライアント端末1に送信する(ステップS11)。
クライアント端末1は、例えばクライアントがサーバ装置2から受け取ったクレデンシャルと、クライアント端末1がサーバ装置2から受信したクレデンシャルとを用いて、クレデンシャルの他部を作成する(ステップS12)。
クライアント端末1は、ステップS6で作成したクレデンシャルの一部と、ステップS12で作成したクレデンシャルの他部とを用いて、クライアント情報に対応するクレデンシャルを作成する。
以下、具体例1として、D-TAを使用した認証システムの例を説明する。
クライアント端末1は、mailをサーバ装置2に送信する。mailが、クライアントの登録情報に対応する。
P←H1(mail)。すなわち、サーバ装置2は、H1(mail)を計算しPに代入する。Pが、クライアント情報に対応する。
tag1←HMAC(k1,P)。すなわち、サーバ装置2は、HMAC(k1,P)を計算し、tag1に代入する。
IF tag1=HMAC(k1,P), s1P←s1*P。すなわち、クレデンシャル発行装置4のD-TA1は、受信したPとk1を用いてHMAC(k1,P)を計算し、その計算結果が受信したtag1と一致するかどうかを判定する。一致すると判定された場合には、s1*Pを計算しs1Pに代入する。
a∈Zq *, aP←a*P, (s1-a)P←s1P-aP。すなわち、サーバ装置2は、a∈Zq *を選択し、a*Pを計算してaPに代入し、s1P-aPを計算して(s1-a)Pに代入する。
aP←a*P, s1P←(s1-a)P+aP。すなわち、クライアント端末1は、a*Pを計算してaPに代入し、(s1-a)P+aPを計算してs1Pに代入する。
クライアント端末1は、mail,Pを発行依頼装置3に送信する。mail,Pが、クライアントの登録情報に対応する。
この例では、ステップS8の処理は行われない。
tag2←HMAC(k2,P)。すなわち、サーバ装置2は、HMAC(k2,P)を計算し、tag2に代入する。
IF tag2=HMAC(k2,P), s2P←s2*P。すなわち、クレデンシャル発行装置4のD-TA2は、受信したPとk2を用いてHMAC(k2,P)を計算し、その計算結果が受信したtag2と一致するかどうかを判定する。一致すると判定された場合には、s2Pを計算しs2Pに代入する。
b∈Zq *, bP←b*P, (s2-b)P←s2P-bP。すなわち、発行依頼装置3は、b∈Zq *を選択し、b*Pを計算してbPに代入し、s2P-bPを計算して(s2-b)Pに代入する。
bP←b*P, s2P←(s2-b)P+bP。すなわち、クライアント端末1は、b*Pを計算してbPに代入し、(s2-b)P+bPを計算してs2Pに代入する。
sP←s1P+s2P。すなわち、クライアント端末1は、s1P+s2Pを計算してsPに代入する。
x∈Zq *, U←x*P。すなわち、クライアント端末1は、x∈Zq *を選択し、x*Pを計算してUに代入する。
y∈Zq *。すなわち、サーバ装置2は、y∈Zq *を選択する。
V→-(x+y)((s-α)P+αP)。すなわち、クライアント端末1は、-(x+y)((s-α)P+αP)を計算し、Vに代入する。αは、クライアントが設定するpin番号である。また、s=s1+s2である。
P=H1(mail), g=e(V,Q)・e(U+yP,sQ), IF g≠1, reject the connection。すなわち、サーバ装置2は、H1(mail)を計算してPに代入し、e(V,Q)・e(U+yP,sQ)を計算してgに代入して、g≠1であるか判定する。
以下、具体例2として、PKIを使用した認証システムの例を説明する。
クライアント端末1は、証明書に必要なIDやメールアドレスであるクライアントの登録情報をサーバ装置2に送信する。
サーバ装置2は、クライアントの登録情報から、クレデンシャルの発行に必要なCSRを作成する。
サーバ装置2は、CSRに対して、自身のRSA秘密鍵で署名を作成し、CSRと署名をクレデンシャル発行装置4に送信する。CSRと署名が、発行依頼情報に対応する。
CAであるクレデンシャル発行装置4は、受信した署名をサーバ装置2の公開鍵で検証し、検証結果が正しければCSRに沿って証明書を作成し、その証明書の署名値をランダムに二分割する。
サーバ装置2は、受信した証明書の署名値をランダムに二分割し、片方をクライアントのみが得られる方法(メールアドレスに情報を送信するなど)で送信し、残りをクライアント端末1に送信する。
クライアント端末1は、クライアントがメールで受信した署名値と、クライアント端末1がサーバ装置2から受信した署名値を組み合わせて、署名値の一部を作成する。
クライアント端末1は、証明書に必要なIDやメールアドレスであるクライアントの登録情報を発行依頼装置3に送信する。
発行依頼装置3は、クライアントの登録情報から、クレデンシャルの発行に必要なCSRを作成する。
発行依頼装置3は、CSRに対して、自身のRSA秘密鍵で署名を作成し、CSRと署名をクレデンシャル発行装置4に送信する。CSRと署名が、発行依頼情報に対応する。
CAであるクレデンシャル発行装置4は、受信した署名を発行依頼装置3の公開鍵で検証し、検証結果が正しければ、ステップS4で生成された証明書の署名値の残り一部を発行依頼装置3に送信する。
発行依頼装置3は、受信した証明書の署名値をランダムに二分割し、片方をクライアントのみが得られる方法(メールアドレスに情報を送信するなど)で送信し、残りをクライアント端末1に送信する。
クライアント端末1は、クライアントがメールで受信した署名値と、クライアント端末1が発行依頼装置3から受信した署名値を組み合わせて、署名値の一部を作成する。
クライアント端末1は、ステップS6で作成された署名値の一部と、ステップS12で作成された署名値の一部とを足し合わせることにより、完全な証明書を作成する.
こうした認証システムを構成することによって、発行依頼装置3という第三者への証明書発行機能を委託しながら、安全に証明書発行を行うことができる。
発行依頼装置3及びクレデンシャル発行装置4の数は任意である。1つのクレデンシャル発行装置4にサーバ装置と複数の発行依頼装置3を使用したり、1つのサーバ装置と発行依頼装置3で複数のクレデンシャル発行装置4の発行依頼権限を保有したりしても良い。
クライアント端末1、サーバ装置2、発行依頼装置3及びクレデンシャル発行装置4における各処理をコンピュータによって実現する場合、これらの端末及び装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、これらの端末及び装置の処理がコンピュータ上で実現される。
2 サーバ装置
3 発行依頼措置
4 クレデンシャル発行装置
Claims (3)
- クライアント端末と、上記クライアント端末に対してサービスの提供を行うサーバ装置と、発行依頼装置と、クレデンシャル発行装置とを含み、上記クライアント端末のクレデンシャルを生成するクレデンシャル生成システムにおいて、
上記サーバ装置は、上記クレデンシャル発行装置に上記クライアント端末のクレデンシャルの発行を依頼し、
上記発行依頼装置は、上記クレデンシャル発行装置に上記クライアント端末のクレデンシャルの発行を依頼し、
上記クレデンシャル発行装置は、上記サーバ装置からのクレデンシャルの発行依頼に基づいて上記クライアント端末のクレデンシャルの一部を発行し、上記発行依頼装置からのクレデンシャルの発行依頼に基づいて上記クライアント端末のクレデンシャルの他部を発行し、
上記クライアント端末は、上記発行されたクレデンシャルの一部及びクレデンシャルの他部を用いて、上記クライアント端末のクレデンシャルを生成する、
クレデンシャル生成システム。 - 請求項1のクレデンシャル生成システムであって、
上記クレデンシャル発行装置は、上記発行したクレデンシャルの一部を上記サーバ装置を経由して上記クライアント端末に送信し、上記発行したクレデンシャルの他部を上記発行依頼装置を経由して上記クライアント端末に送信する、
クレデンシャル生成システム。 - クライアント端末と、上記クライアント端末に対してサービスの提供を行うサーバ装置と、発行依頼装置と、クレデンシャル発行装置により実行され、上記クライアント端末のクレデンシャルを生成するクレデンシャル生成方法において、
上記サーバ装置が、上記クレデンシャル発行装置に上記クライアント端末のクレデンシャルの発行を依頼するステップと、
上記発行依頼装置が、上記クレデンシャル発行装置に上記クライアント端末のクレデンシャルの発行を依頼するステップと、
上記クレデンシャル発行装置が、上記サーバ装置からのクレデンシャルの発行依頼に基づいて上記クライアント端末のクレデンシャルの一部を発行し、上記発行依頼装置からのクレデンシャルの発行依頼に基づいて上記クライアント端末のクレデンシャルの他部を発行するステップと、
上記クライアント端末が、上記発行されたクレデンシャルの一部及びクレデンシャルの他部を用いて、上記クライアント端末のクレデンシャルを生成するステップと、
を含むクレデンシャル生成方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017038986A JP6765993B2 (ja) | 2017-03-02 | 2017-03-02 | クレデンシャル生成システム及び方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017038986A JP6765993B2 (ja) | 2017-03-02 | 2017-03-02 | クレデンシャル生成システム及び方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2018148293A JP2018148293A (ja) | 2018-09-20 |
JP6765993B2 true JP6765993B2 (ja) | 2020-10-07 |
Family
ID=63591594
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017038986A Active JP6765993B2 (ja) | 2017-03-02 | 2017-03-02 | クレデンシャル生成システム及び方法 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6765993B2 (ja) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110837633B (zh) * | 2019-10-16 | 2021-10-08 | 支付宝(杭州)信息技术有限公司 | 智能凭证实现方法、系统及可读存储介质 |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6885747B1 (en) * | 1997-02-13 | 2005-04-26 | Tec.Sec, Inc. | Cryptographic key split combiner |
JP4194745B2 (ja) * | 2000-09-19 | 2008-12-10 | 株式会社エヌ・ティ・ティ・データ | 電子署名システム及び電子署名方法 |
JP3983561B2 (ja) * | 2002-02-04 | 2007-09-26 | 株式会社エヌ・ティ・ティ・ドコモ | 秘密分散法による鍵管理システム、検証センタ、通信端末、検証センタ用プログラム、通信端末用プログラム、並びに秘密分散法による鍵管理方法 |
JP4908941B2 (ja) * | 2006-06-16 | 2012-04-04 | 株式会社三井住友銀行 | 初期パスワード発行処理方法およびシステム |
JP5167835B2 (ja) * | 2008-01-29 | 2013-03-21 | 大日本印刷株式会社 | 利用者認証システム、および方法、プログラム、媒体 |
JP6195526B2 (ja) * | 2014-02-13 | 2017-09-13 | 新日鉄住金ソリューションズ株式会社 | 決済システム、決済装置、決済管理方法及びプログラム |
JP2016053879A (ja) * | 2014-09-04 | 2016-04-14 | キヤノン株式会社 | ファイル管理システム、管理サーバ、ファイル管理方法およびコンピュータプログラム |
-
2017
- 2017-03-02 JP JP2017038986A patent/JP6765993B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JP2018148293A (ja) | 2018-09-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11757662B2 (en) | Confidential authentication and provisioning | |
AU2019240671B2 (en) | Methods for secure cryptogram generation | |
WO2021114923A1 (zh) | 针对隐私数据的数据存储、数据读取方法及装置 | |
EP3642997B1 (en) | Secure communications providing forward secrecy | |
US10637818B2 (en) | System and method for resetting passwords on electronic devices | |
US9673979B1 (en) | Hierarchical, deterministic, one-time login tokens | |
JP2019509667A (ja) | データ転送方法、データ使用のコントロール方法、および、暗号デバイス | |
US11368314B2 (en) | Secure digital signing | |
CN106992978B (zh) | 网络安全管理方法及服务器 | |
KR20220030298A (ko) | 참여 엔티티에 대한 네트워크 식별자를 사용하여 블록체인과 연관된 트랜잭션을 용이하게 하는 컴퓨터 구현 시스템 및 방법 | |
JP6765993B2 (ja) | クレデンシャル生成システム及び方法 | |
KR101371054B1 (ko) | 일회용 비밀번호와 서명 패스워드를 이용한 비대칭키 전자 서명 및 인증 방법 | |
JP6093664B2 (ja) | 秘密鍵発行装置、公開鍵暗号システム、電子署名システム、秘密鍵発行方法およびコンピュータプログラム | |
US20240012933A1 (en) | Integration of identity access management infrastructure with zero-knowledge services | |
RU2771928C2 (ru) | Безопасный обмен данными, обеспечивающий прямую секретность | |
Nagasuresh et al. | Defense against Illegal Use of Single Sign on Mechanism for Distributed Network Services |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190304 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200131 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200303 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200424 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200915 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200916 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6765993 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |