JP7202688B2 - 認証システム、認証方法、アプリケーション提供装置、認証装置、及び認証用プログラム - Google Patents

認証システム、認証方法、アプリケーション提供装置、認証装置、及び認証用プログラム Download PDF

Info

Publication number
JP7202688B2
JP7202688B2 JP2020525067A JP2020525067A JP7202688B2 JP 7202688 B2 JP7202688 B2 JP 7202688B2 JP 2020525067 A JP2020525067 A JP 2020525067A JP 2020525067 A JP2020525067 A JP 2020525067A JP 7202688 B2 JP7202688 B2 JP 7202688B2
Authority
JP
Japan
Prior art keywords
authentication
information
possession
terminal
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020525067A
Other languages
English (en)
Other versions
JPWO2019239591A1 (ja
Inventor
和弘 中川
孝信 渡辺
満雄 岡田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Publication of JPWO2019239591A1 publication Critical patent/JPWO2019239591A1/ja
Application granted granted Critical
Publication of JP7202688B2 publication Critical patent/JP7202688B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/629Protecting access to data via a platform, e.g. using keys or access control rules to features or functions of an application
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Description

本発明は、認証システム、認証方法、アプリケーション提供装置、認証装置、及び認証用プログラムに関する。
認証時のセキュリティを強化することを目的として、本人のみが所持している物によって利用者を認証する認証方式である所持認証が行われている(例えば、特許文献1参照)。
特開2010-015263号公報
所持認証としては、ユーザが認証器を所持していることを提示する動作に基づいて認証を行う方法がある。認証器を用いた認証の認証手順は、例えば、FIDO(Fast IDentity Online)のU2F(Universal Second Factor)等で標準化されているが、アプリケーションの開発者は、アプリケーションの開発に専念するために、当該認証手順に対応したプログラムを開発せずに、当該認証手順に基づいて認証を行う認証サーバに認証を代行することがある。従来、アプリケーションを提供するアプリケーションサーバと、認証サーバとの間の所持認証の通信手順が定められておらず、アプリケーションサーバにおいて所持認証の結果を容易に扱えるようにすることが求められている。
そこで、本発明はこれらの点に鑑みてなされたものであり、アプリケーションサーバにおいて所持認証の結果を容易に扱えるようにすることができる認証システム、認証方法、アプリケーション提供装置、認証装置、及び認証用プログラムを提供することを目的とする。
本発明の第1の態様に係る認証システムは、アプリケーションを提供するアプリケーション提供装置と、前記アプリケーションを利用するユーザが所持する認証器を用いた認証である所持認証を行う認証装置とを備える認証システムであって、前記アプリケーション提供装置は、前記ユーザが使用する端末から前記ユーザの認証の要求を受け付けると、前記認証装置に前記所持認証を要求する要求部と、前記認証装置から前記所持認証の認証結果と、前記認証装置の正当性の検証に用いる検証用情報とを受信し、受信した前記検証用情報に基づいて前記認証装置の正当性を検証する検証部と、前記検証部により前記認証装置が正当であると検証されると、前記端末に前記アプリケーションに関する機能を提供する提供部と、を有し、前記認証装置は、前記所持認証の要求を受け付けると、前記端末に接続された前記認証器との間で前記所持認証を行う所持認証部と、前記所持認証の認証結果と前記検証用情報とを前記アプリケーション提供装置に送信する結果送信部と、を有する。
前記認証システムは、複数の前記アプリケーション提供装置を備え、前記要求部は、前記アプリケーション提供装置を識別するサービス識別情報を前記認証装置に送信し、前記所持認証部は、前記サービス識別情報を受信すると、前記端末との間で当該サービス識別情報に対応する前記所持認証を行ってもよい。
前記要求部は、前記ユーザが所持する前記認証器に関する所持認証用情報が前記認証装置に登録されているか否かを判定し、前記認証装置に登録されていると判定すると、前記認証装置に前記所持認証を要求してもよい。
前記要求部は、前記所持認証用情報が前記認証装置に登録されていないと判定すると、前記認証装置に、当該所持認証用情報の登録を要求し、前記認証装置は、前記アプリケーション提供装置から前記所持認証用情報の登録の要求を受け付けると、前記端末に接続された前記認証器から前記所持認証用情報を取得して登録する登録部を有してもよい。
前記認証装置は、
前記サービス識別情報を受信すると、前記認証装置のアドレスであって当該サービス識別情報に対応するアドレスを前記アプリケーション提供装置に送信するアドレス情報送信部をさらに有し、前記要求部は、前記所持認証用情報が前記認証装置に登録されていると判定すると、前記認証装置から受信した前記アドレスに、前記所持認証を要求する情報を付加して前記端末に送信し、前記端末に、前記アドレスに基づいて前記所持認証の要求を行わせてもよい。
前記認証装置は、前記サービス識別情報を受信すると、前記認証装置のアドレスであって当該サービス識別情報に対応するアドレスを前記アプリケーション提供装置に送信するアドレス情報送信部をさらに有し、前記要求部は、前記所持認証用情報が前記認証装置に登録されていないと判定すると、前記認証装置から受信した前記アドレスに、前記所持認証用情報の登録を要求する情報を付加して前記端末に送信し、前記端末に、前記アドレスに基づいて前記所持認証用情報の登録の要求を行わせてもよい。
前記アドレス情報送信部は、前記サービス識別情報を受信すると、前記認証装置と前記アプリケーション提供装置との間で用いられるトークン情報をトークン用秘密鍵により暗号化した署名情報を第1の検証用情報として前記アプリケーション提供装置に送信し、前記結果送信部は、前記トークン情報を前記トークン用秘密鍵により暗号化した署名情報を第2の検証用情報として、前記所持認証の認証結果とともに前記アプリケーション提供装置に送信し、前記検証部は、受信した前記第1の検証用情報と、前記第2の検証用情報とが一致するか否かに基づいて、前記認証装置の正当性を検証してもよい。
前記結果送信部は、前記端末から受け付けた前記ユーザを識別するユーザ識別情報を含むトークン情報をトークン用秘密鍵により暗号化した署名情報と、前記トークン用秘密鍵と対となるトークン用公開鍵とを前記検証用情報として前記アプリケーション提供装置に送信し、前記検証部は、前記認証装置から受信した前記署名情報を前記トークン用公開鍵により復号して得られる前記ユーザ識別情報と、前記端末から受け付けた前記ユーザ識別情報とが一致するか否かに基づいて、前記認証装置の正当性を検証してもよい。
前記要求部は、前記端末から、ハッシュ化された前記ユーザ識別情報を取得し、当該ハッシュ化された前記ユーザ識別情報を前記認証装置に送信し、前記結果送信部は、前記要求部を介して前記端末から受け付けた前記ハッシュ化された前記ユーザ識別情報を含むトークン情報をトークン用秘密鍵により暗号化した署名情報を前記アプリケーション提供装置に送信してもよい。
前記アプリケーション提供装置は、前記端末から前記ユーザの認証要求を受け付けると、前記認証装置が提供する、前記ユーザ識別情報をハッシュ化するスクリプトを前記端末が取得するためのページを前記端末に送信する認証受付部をさらに有し、前記要求部は、前記スクリプトによりハッシュ化された前記ユーザ識別情報を前記端末から取得してもよい。
本発明の第2の態様に係る認証方法は、アプリケーションを提供するアプリケーション提供装置と、前記アプリケーションを利用するユーザが所持する認証器を用いた認証である所持認証を行う認証装置とを備える認証システムであって、前記アプリケーション提供装置が、前記ユーザが使用する端末から前記ユーザの認証の要求を受け付けると、前記認証器を用いた所持認証を前記認証装置に要求するステップと、前記認証装置が、前記所持認証の要求を受け付けると、前記端末に接続された前記認証器との間で前記所持認証を行うステップと、前記認証装置が、前記所持認証の認証結果と、前記認証装置の正当性の検証に用いる検証用情報とを前記アプリケーション提供装置に送信するステップと、前記アプリケーション提供装置が、前記認証装置から前記認証結果と前記検証用情報とを受信し、受信した前記検証用情報に基づいて前記認証装置の正当性を検証するステップと、前記アプリケーション提供装置が、前記認証装置が正当であると検証すると、前記端末に前記アプリケーションに関する機能を提供するステップと、を有する。
本発明の第3の態様に係るアプリケーション提供装置は、ユーザが使用する端末から前記ユーザの認証の要求を受け付けると、前記ユーザが所持する認証器を用いた認証である所持認証を認証装置に要求する要求部と、前記認証装置から前記所持認証の認証結果と、前記認証装置の正当性の検証に用いる検証用情報とを受信し、受信した前記検証用情報に基づいて前記認証装置の正当性を検証する検証部と、前記検証部により前記認証装置が正当であると検証されると、前記端末にアプリケーションに関する機能を提供する提供部と、を備える。
本発明の第4の態様に係る認証装置は、認証器を用いた認証である所持認証を行う認証装置であって、アプリケーションを提供するアプリケーション提供装置から、前記アプリケーションを利用するユーザが所持する前記認証器を用いた前記所持認証の要求を受け付けると、前記認証器との間で前記所持認証を行う所持認証部と、前記所持認証の認証結果と前記認証装置の正当性の検証に用いる検証用情報とを前記アプリケーション提供装置に送信する結果送信部と、を備える。
本発明の第5の態様に係る認証用プログラムは、コンピュータを、ユーザが使用する端末から前記ユーザの認証の要求を受け付けると、前記ユーザが所持する認証器を用いた認証である所持認証を認証装置に要求する要求部、前記認証装置から前記所持認証の認証結果と、前記認証装置の正当性の検証に用いる検証用情報とを受信し、受信した前記検証用情報に基づいて前記認証装置の正当性を検証する検証部、及び、前記検証部により前記認証装置が正当であると検証されると、前記端末にアプリケーションに関する機能を提供する提供部、として機能させる。
本発明によれば、アプリケーションサーバにおいて所持認証の結果を容易に扱えるようにすることができるという効果を奏する。
実施の形態に係る認証システムの構成を示す図である。 実施の形態に係る認証サーバとアプリケーションサーバとのそれぞれの機能構成を模式的に示す図である。 実施の形態に係る認証サーバが所持認証用情報の登録を行う場合の処理の流れを示すシーケンス図である。 図3に続くシーケンスを示す図である。 図4に続くシーケンスを示す図である。 実施の形態に係る認証サーバが、ユーザが所持する認証器を用いた所持認証を行う場合の処理の流れを示すシーケンス図である。 図6に続くシーケンスを示す図である。 図7に続くシーケンスを示す図である。
[認証システムSの概要]
図1は、実施の形態に係る認証システムSの構成を示す図である。認証システムSは、認証装置としての認証サーバ1と、アプリケーション提供装置としてのアプリケーションサーバ2と、端末3と、認証器4とを備え、二要素認証を行うシステムである。
本実施形態では、二要素認証は、パスワード認証と、所持認証とにより実現される。所持認証は、ユーザUが予め認証サーバ1に登録した認証器4を所持しているか否かを認証サーバ1において判定することにより、ユーザUが正当なユーザであるか否かを判定する認証である。
端末3は、例えば、ユーザUが使用するパーソナルコンピュータである。端末3は、例えば、LANや携帯電話回線網やWi-Fi(登録商標)等のネットワークNを介して、認証サーバ1及びアプリケーションサーバ2と通信可能に接続されている。端末3には、認証サーバ1と所持認証を行う場合に使用される認証器4が接続される。
認証サーバ1は、ユーザUが所持する認証器4を用いた所持認証を行うサーバである。
アプリケーションサーバ2は、端末3にアプリケーションを提供するサーバである。実施の形態において、アプリケーションサーバ2は複数設けられているものとする。
以下、認証システムSで行われる処理の手順を(1)から(6)で説明するが、その説明は図1中の(1)から(6)と対応する。
(1)アプリケーションサーバ2は、端末3から認証要求を受け付けるとパスワード認証を行う。
(2)アプリケーションサーバ2は、パスワード認証に成功すると、認証サーバ1に端末3のユーザに対する所持認証の要求を行う。
(3)、(4)認証サーバ1は、アプリケーションサーバ2から、端末3のユーザに対する所持認証の要求を受け付けると、端末3を介して認証器4との間で所持認証を行う。
(5)認証サーバ1は、所持認証の認証結果と、認証サーバ1の正当性の検証に用いる検証用情報とをアプリケーションサーバ2に送信する。
(6)アプリケーションサーバ2は、認証サーバ1から受信した認証結果が所持認証に成功したことを示しているとともに、認証サーバ1から受信した検証用情報に基づいて認証サーバ1が正当であると検証すると、ユーザUにアプリケーションに係る機能を提供する。
アプリケーションサーバ2の運用者は、アプリケーションサーバ2におけるユーザUの認証時に所持認証を行わせる場合に、所持認証の要求に関する処理を行う機能と、検証用情報に基づく認証サーバ1の検証に関する処理を行う機能とを実装するだけで、アプリケーションサーバ2において所持認証の結果を容易に扱えるようにすることができる。
[認証サーバ1及びアプリケーションサーバ2の機能構成]
以下、図2を参照して、認証サーバ1の機能構成とアプリケーションサーバ2の機能構成とを説明する。
図2は、実施の形態に係る認証サーバ1とアプリケーションサーバ2とのそれぞれの機能構成を模式的に示す図である。図2に示すように、認証サーバ1は、通信部10、記憶部11、及び制御部12を備える。
通信部10は、ネットワークNを介してアプリケーションサーバ2及び端末3との間でデータを送受信する。
記憶部11は、認証サーバ1を実現するコンピュータのBIOS(Basic Input Output System)等を格納するROM(Read Only Memory)や認証サーバ1の作業領域となるRAM(Random Access Memory)、OS(Operating System)やアプリケーションプログラム、当該アプリケーションプログラムの実行時に参照される各種データベースを含む種々の情報を格納するHDD(Hard Disk Drive)やSSD(Solid State Drive)等の大容量記憶装置である。
制御部12は、認証サーバ1のCPU(Central Processing Unit)やGPU(Graphics Processing Unit)等のプロセッサであり、記憶部11に記憶されたプログラムを実行することによってアドレス情報送信部120、登録部121、登録結果送信部122、所持認証部123、及び認証結果送信部124として機能する。
また、図2に示すように、アプリケーションサーバ2は、通信部20、記憶部21、及び制御部22を備える。
通信部20は、認証サーバ1の通信部10と同様に、ネットワークNを介して認証サーバ1及び端末3との間でデータを送受信する。
記憶部21は、アプリケーションサーバ2を実現するコンピュータのBIOS等を格納するROMやアプリケーションサーバ2の作業領域となるRAM、OSやアプリケーションプログラム、当該アプリケーションプログラムの実行時に参照される各種データベースを含む種々の情報を格納するHDDやSSD等の大容量記憶装置である。記憶部21は、制御部22を、認証受付部220、要求部221、検証部222、及び提供部223として機能させる認証用プログラムを記憶する。
制御部22は、アプリケーションサーバ2のCPUやGPU等のプロセッサであり、記憶部21に記憶されたプログラムを実行することによって認証受付部220、要求部221、検証部222、及び提供部223として機能する。
実施の形態において、アプリケーションサーバ2の要求部221は、ユーザUが使用する端末3からユーザの認証の要求を受け付けると、ユーザUが所持する認証器4に関する所持認証用情報が認証サーバ1に登録されているか否かを判定する。要求部221は、所持認証用情報が認証サーバ1に登録されていないと判定すると、認証サーバ1に、当該所持認証用情報の登録を要求する。
認証サーバ1の登録部121は、所持認証用情報の登録の要求を受け付けると、認証器4が接続されている端末3から、所持認証用情報を取得して登録する。
要求部221は、所持認証用情報が認証サーバ1に登録されていると判定すると、認証サーバ1に所持認証を要求する。
認証サーバ1の所持認証部123は、所持認証の要求を受け付けると、端末3との間で認証器4を用いた所持認証を行う。
認証サーバ1の認証結果送信部124は、結果送信部として機能し、所持認証部123による所持認証の認証結果と、認証サーバ1の正当性の検証に用いる検証用情報とをアプリケーションサーバ2に送信する。
アプリケーションサーバ2の検証部222は、認証サーバ1から所持認証の認証結果と、検証用情報とを受信し、受信した検証用情報に基づいて認証サーバ1の正当性を検証する。
アプリケーションサーバ2の提供部223は、検証部222により認証サーバ1が正当であると検証されると、端末3にアプリケーションに関する機能を提供する。
[認証器4に関する情報を登録するシーケンス]
以下、認証サーバ1及びアプリケーションサーバ2がそれぞれ備える機能の詳細について、認証システムSにおけるシーケンスに沿って説明する。まず、認証サーバ1が、ユーザUが所持する認証器4に関する所持認証用情報の登録を行う場合のシーケンスについて説明する。図3から図5は、実施の形態に係る認証サーバ1が所持認証用情報の登録を行う場合の処理の流れを示すシーケンス図である。
まず、アプリケーションサーバ2の認証受付部220は、端末3から、ログインフォームの取得要求を受け付ける(S1)。認証受付部220は、ログインフォームの取得要求を受け付けると、ログインフォームを端末3に送信する(S2)。ログインフォームには、ユーザIDをハッシュ化するスクリプトとしてのJavaScript(登録商標)を認証サーバ1から取得するためのアドレスが埋め込まれている。アプリケーションサーバ2は、ログインフォームと、サービスIDとを関連付けて管理する。ここで、サービスIDは、アプリケーションサーバ2を識別する識別情報であり、所定長の文字列である。
端末3は、ログインフォームを受信すると、自身の表示部(不図示)に表示させる(S3)。端末3は、ログインフォームを表示部に表示させる場合に、スクリプトを認証サーバ1から取得するためのアドレスに基づいてスクリプトの取得要求を認証サーバ1に送信する(S4)。認証サーバ1の制御部12は、スクリプトの取得要求を受信すると、当該スクリプトを端末3に送信する(S5)。
端末3は、ユーザUからユーザIDとパスワードとの入力を受け付ける(S6)。端末3は、ユーザIDが入力されると、認証サーバ1から受信したスクリプトに基づいて、当該ユーザIDをハッシュ化する(S7)。図3では、ハッシュ化されたユーザIDを、h(ユーザID)と表記する。
ログインフォームには、ユーザIDとパスワードとをアプリケーションサーバ2に送信するための送信ボタンが設けられている。送信ボタンが押下されると、端末3は、HTTPS POSTメソッドにより、ユーザIDと、ハッシュ化されたユーザIDと、パスワードと、をアプリケーションサーバ2に送信する(S8)。認証受付部220は、端末3からユーザIDと、ハッシュ化されたユーザIDと、パスワードとを取得する。
要求部221は、認証受付部220が端末3から取得したユーザIDとパスワードとに基づいて、パスワード認証を行う。
アプリケーションサーバ2の記憶部21には、ユーザIDと、パスワードとを関連付けたパスワード認証情報が記憶されている。要求部221は、認証受付部220が端末3から取得したハッシュ化されたユーザIDと、パスワードとが記憶部21に記憶されていると、パスワード認証に成功したと判定する。
要求部221は、認証受付部220がハッシュ化されたユーザIDと、パスワードとを取得した後、パスワード認証に成功した場合、HTTPS POSTメソッドにより、ハッシュ化されたユーザIDと、ログインフォームに関連付けられているサービスIDとを認証サーバ1に送信する(S9)。このようにすることで、認証サーバ1において、ユーザIDをそのまま扱うことがないので、認証サーバ1からユーザIDが漏洩することを防止することができる。
認証サーバ1のアドレス情報送信部120は、ハッシュ化されたユーザIDとサービスIDとを受信すると、認証サーバ1とアプリケーションサーバ2との間で用いられるトークン情報を生成する(S10)。具体的には、アドレス情報送信部120は、ハッシュ化されたユーザIDと、サービスIDと、現在時刻を示す時刻情報とを含む情報を、予め記憶部11に記憶されているトークン用秘密鍵により暗号化した署名情報を、トークン情報として生成する。トークン情報は、セッション管理用及び第1の検証用情報として用いられる。
また、記憶部11には、サービスIDと、アプリケーションサーバ2を識別するアプリケーションIDとが関連付けて記憶されており、アドレス情報送信部120は、受信したサービスIDに関連付けられているアプリケーションIDを特定する。アプリケーションIDは、例えば、アプリケーションサーバ2を識別する情報であり、後述される登録用ページ及び所持認証用ページのアドレスに含まれるパラメータである。アドレス情報送信部120は、認証サーバ1のアドレスであって、サービスIDに対応するアプリケーションIDを含むアドレスと、生成したトークン情報とをアプリケーションサーバ2に送信する(S11)。
要求部221は、アプリケーションIDを含むアドレスと、生成したトークン情報とを認証サーバ1から受信すると、ユーザIDに対応する所持認証用情報が認証サーバ1に登録されているか否かを判定する。例えば、記憶部21には、ユーザIDと、認証サーバ1において所持認証用情報が登録されているか否かを示す登録状況情報とが関連付けて記憶されている。要求部221は、ユーザIDに関連付けられている登録状況情報に基づいて、ユーザIDに対応する所持認証用情報が認証サーバ1に登録されているか否かを判定する。
要求部221は、ユーザIDに対応する所持認証用情報が認証サーバ1に登録されていないと判定すると、認証サーバ1に、ユーザIDに対応する所持認証用情報の登録を要求する。具体的には、要求部221は、ユーザIDに対応する所持認証用情報が認証サーバ1に登録されていないと判定すると、認証サーバ1から受信したアドレスに、所持認証用情報の登録を要求する情報を付加することにより、登録用ページのアドレスを生成する。
なお、要求部221は、認証サーバ1からアプリケーションIDを含むアドレスと、生成したトークン情報とを受信したことに応じて、ユーザIDに対応する所持認証用情報が認証サーバ1に登録されているか否かを判定したが、これに限らない。例えば、要求部221は、ログイン認証を行うタイミングにおいてユーザIDに対応する所持認証用情報が認証サーバ1に登録されているか否かを判定してもよい。この場合において、要求部221は、ユーザIDに対応する所持認証用情報が認証サーバ1に登録されていないと判定すると、ハッシュ化されたユーザID及びサービスIDとともに所持認証用情報の登録要求を示す情報を認証サーバ1に送信し、認証サーバ1から、アプリケーションIDを含むアドレスとして、アプリケーションIDを含む登録用ページのアドレスを取得してもよい。
要求部221は、登録用ページにリダイレクトさせるためのリダイレクト情報を端末3に送信する(S12)。要求部221は、当該端末3に、当該リダイレクト情報に基づいて認証サーバ1の登録用ページにアクセスさせることにより、所持認証用情報の登録の要求を行わせる。
端末3は、リダイレクト情報を受信すると、登録用ページの取得要求を認証サーバ1に送信する(S13)。認証サーバ1の登録部121は、端末3を介してアプリケーションサーバ2から登録用ページの取得要求を受け付けることにより、所持認証用情報の登録の要求を受け付けると、端末3から所持認証用情報を取得して登録する。具体的には、まず、登録部121は、登録用ページの取得要求を端末3から受信すると、登録用ページを端末3に送信する(S14)。登録用ページには、所持認証用情報の登録要求を送信するための登録ボタンが設けられている。
図3における連結点A1、連結点B1、連結点C1、及び連結点D1は、それぞれ図4における連結点A1、連結点B1、連結点C1、及び連結点D1に連結することを示している。以下、説明を図4のシーケンス図に示す処理に移行する。
端末3は、登録ボタンが押下されると(S15)、所持認証用情報の登録要求を認証サーバ1に送信する(S16)。
認証サーバ1の登録部121は、所持認証用情報の登録要求を端末3から受信すると、ランダムな文字列であるチャレンジ情報を生成し、当該チャレンジ情報を端末3に送信する(S17)。
端末3は、自身に接続されている認証器4にチャレンジ情報を通知するとともに、自身の表示部に、認証器4をタッチするタッチ操作を行う旨を表示させ、認証器4をタッチすることをユーザUに通知する(S18)。
認証器4は、ユーザUからタッチ操作を受け付けると(S19)、認証用秘密鍵と、当該認証用秘密鍵と対になる認証用公開鍵とを生成するとともに、認証用秘密鍵及び認証用公開鍵を識別する認証鍵識別子を生成する(S20)。
続いて、認証器4は、チャレンジ情報、認証用公開鍵、及び認証鍵識別子を認証用秘密鍵により暗号化することにより署名情報を生成する(S21)。認証器4は、認証用公開鍵と、認証鍵識別子と、署名情報と、アテステーション証明書とを端末3に通知する(S22)。アテステーション証明書は、認証用秘密鍵とは異なるアテステーション用秘密鍵により署名された情報であり、認証サーバ1において、認証器4を受け付けるか否かの判定に用いられる。
端末3は、認証用公開鍵と、認証鍵識別子と、署名情報と、アテステーション証明書とを認証サーバ1に送信する(S23)。
認証サーバ1の登録部121は、端末3から受信した署名情報が正しいか否かを検証する(S24)。具体的には、登録部121は、端末3から受信したアテステーション証明書に基づいて認証器4の正当性を検証する。登録部121は、認証器4が正当であることを検証すると、署名情報を、受信した認証用公開鍵により復号することで、署名情報に含まれているチャレンジ情報、認証用公開鍵、及び認証鍵識別子を取得する。登録部121は、署名情報から取得したチャレンジ情報、認証用公開鍵、及び認証鍵識別子が、S17において送信したチャレンジ情報、受信した認証用公開鍵、受信した認証鍵識別子と一致しているか否かを判定することにより、署名情報を検証する。
登録部121は、署名情報が正しいと判定すると(S25)、S9においてアプリケーションサーバ2から受信したサービスIDに、S9において受信したハッシュ化されたユーザIDと、認証用公開鍵と、認証鍵識別子とを関連付けて、これらの情報を記憶部11に記憶させる(S26)。
図4における連結点A2、連結点B2、連結点C2、及び連結点D2は、それぞれ図5における連結点A2、連結点B2、連結点C2、及び連結点D2に連結することを示している。以下、説明を図5のシーケンス図に示す処理に移行する。
認証サーバ1は、S26による登録結果を示す登録結果情報と、S10において生成されたトークン情報と、当該トークン情報に対応するトークン用公開鍵とをアプリケーションサーバ2に送信する(S27)。
アプリケーションサーバ2の検証部222は、認証サーバ1から、登録結果情報と、トークン情報と、トークン用公開鍵とを受信すると、認証サーバ1の正当性を検証する(S28)。具体的には、検証部222は、登録結果情報とともに受信したトークン情報をトークン用公開鍵により復号できるか否かに基づいて認証サーバ1の正当性を検証する。なお、検証部222は、S11に対応して受信したトークン情報と、S27に対応して受信したトークン情報とが一致するか否かに基づいて認証サーバ1の正当性を検証してもよい。
検証部222は、認証サーバ1が正当であると判定すると、記憶部11においてハッシュ化されたユーザIDと関連付けて記憶されている登録状況情報の内容を、認証サーバ1において所持認証用情報が登録されていることを示す内容に変更する。また、検証部222は、認証サーバ1が正当であると判定すると、認証サーバ1が正当であることを示す検証結果を認証サーバ1に送信する(S30)。
認証サーバ1の登録結果送信部122は、認証サーバ1が正当であることを示す検証結果を受信すると、認証用情報の登録が完了したことを示す登録完了ページを端末3に送信する(S31)。ここで、登録完了ページには、認証用情報の登録が完了したことを示す情報が表示されており、アプリケーションサーバ2が提供するアプリケーションの機能を提供するためのアプリケーションページをアプリケーションサーバ2に要求するためのOKボタンが設けられている。
端末3は、受信した登録完了ページを表示部に表示する。端末3は、登録完了ページにおいて、OKボタンが押下されると、アプリケーションページの取得要求をアプリケーションサーバ2に送信する(S32)。なお、アプリケーションページの取得要求はリダイレクトにより行われてもよい。
アプリケーションサーバ2の提供部223は、アプリケーションページの取得要求を受け付けると、アプリケーションページを端末3に送信する(S33)。
なお、図3から図5に示すシーケンス図のS13からS26に示す所持認証情報の登録に係る処理の流れは、FIDOのU2Fに対応するものとするが、これに限らず、他の処理手順に対応した所持認証情報の登録を行ってもよい。
[認証器4を用いた所持認証を行うシーケンス]
続いて、認証器4を用いた所持認証を行う場合のシーケンスについて説明する。図6から図8は、実施の形態に係る認証サーバ1が、ユーザUが所持する認証器4を用いた所持認証を行う場合の処理の流れを示すシーケンス図である。
図6におけるS101からS111までの処理の流れは、図3におけるS1からS11までの処理の流れと同じであるので説明を省略する。
本シーケンスでは、認証受付部220が取得したユーザIDと、パスワードとが関連付けて記憶部21に記憶されており、ユーザIDに対応する所持認証用情報が認証サーバ1に登録されているとともに、パスワード認証に成功したものとする。
なお、要求部221は、ログイン認証を行うタイミングにおいてユーザIDに対応する所持認証用情報が認証サーバ1に登録されているか否かを判定してもよい。要求部221は、ユーザIDに対応する所持認証用情報が認証サーバ1に登録されていると判定すると、ハッシュ化されたユーザID及びサービスIDとともに所持認証の要求を示す情報を認証サーバ1に送信し、認証サーバ1から、アプリケーションIDを含むアドレスとして、アプリケーションIDを含む所持認証用ページのアドレスを取得してもよい。
要求部221は、記憶部21においてユーザIDに関連付けられている登録状況情報に基づいて、ユーザIDに対応する所持認証用情報が認証サーバ1に登録されていると判定すると、認証サーバ1に所持認証を要求する。要求部221は、認証サーバ1から受信したアドレスに、所持認証を要求する情報を付加することにより、所持認証用ページのアドレスを生成する。そして、要求部221は、所持認証用ページにリダイレクトさせるためのリダイレクト情報を端末3に送信する(S112)。要求部221は、当該端末3に、当該リダイレクト情報に基づいて認証サーバ1の所持認証用ページにアクセスさせることにより、所持認証の要求を行わせる。
端末3は、リダイレクト情報を受信すると、所持認証用ページの取得要求を認証サーバ1に送信する(S113)。認証サーバ1の所持認証部123は、端末3を介してアプリケーションサーバ2から所持認証用ページの取得要求を受け付けることにより、所持認証の要求を受け付けると、端末3との間で所持認証を行う。具体的には、まず、登録部121は、所持認証用ページの取得要求を端末3から受信すると、所持認証用ページを端末3に送信する(S114)。所持認証用ページには、所持認証を開始するための開始ボタンが設けられている。
図6における連結点E1、連結点F1、連結点G1、及び連結点H1は、それぞれ図7における連結点E1、連結点F1、連結点G1、及び連結点H1に連結することを示している。以下、説明を図7のシーケンス図に示す処理に移行する。
端末3は、開始ボタンが押下されると(S115)、所持認証の開始要求を認証サーバ1に送信する(S116)。
認証サーバ1の所持認証部123は、所持認証の開始要求を端末3から受信すると、記憶部11において、S109において取得したハッシュ化されたユーザID及びサービスIDに関連付けられている認証鍵識別子を特定する。また、所持認証部123は、ランダムな文字列であるチャレンジ情報を生成する。所持認証部123は、チャレンジ情報と、アプリケーションIDと、認証鍵識別子とを端末3に送信する(S117)。
端末3は、自身に接続されている認証器4に、チャレンジ情報と、アプリケーションIDと、認証鍵識別子とを通知するとともに、自身の表示部に、認証器4をタッチするタッチ操作を行う旨を表示させ、認証器4をタッチすることをユーザUに通知する(S118)。
認証器4は、ユーザUからタッチ操作を受け付けると(S119)、署名情報を生成する(S120)。具体的には、認証器4は、自身に通知された認証鍵識別子に関連する認証鍵秘密鍵により、端末3から通知されたチャレンジ情報、アプリケーションID、及び認証鍵識別子を暗号化することにより署名情報を生成する。
認証器4は、生成した署名情報と、ユーザUが実際に認証器4を操作したことを示すユーザプレゼンス情報と、認証器4を用いた所持認証が行われた回数を示すカウンタ値とを端末3に通知する(S121)。
端末3は、認証器4から通知された署名情報と、カウンタ値と、ユーザプレゼンス情報とを認証サーバ1に送信する(S122)。
認証サーバ1の所持認証部123は、端末3から受信した署名情報が正しいか否かを検証する(S123)。具体的には、所持認証部123は、端末3から受信したユーザプレゼンス情報及びカウンタ値に基づいて認証器4の正当性を検証する。所持認証部123は、認証器4が正当であることを検証すると、署名情報を、S109において取得したハッシュ化されたユーザID及びサービスIDに関連付けられている認証用公開鍵により復号することで、署名情報に含まれているチャレンジ情報、アプリケーションID、及び認証鍵識別子を取得する。所持認証部123は、署名情報から取得したチャレンジ情報、アプリケーションID、及び認証鍵識別子が、S117において送信したチェレンジ情報、アプリケーションID、特定した認証鍵識別子と一致しているか否かを判定することにより、署名情報を検証する。
所持認証部123が、署名情報が正しいと判定すると(S124)、認証結果送信部124は、S123による認証結果を示す認証結果情報と、S110において生成された署名情報としてのトークン情報と、トークン用秘密鍵と対となるトークン用公開鍵とを検証用情報として、アプリケーションサーバ2に送信する(S125)。
図7における連結点E2、連結点F2、連結点G2、及び連結点H2は、それぞれ図8における連結点E2、連結点F2、連結点G2、及び連結点H2に連結することを示している。以下、説明を図8のシーケンス図に示す処理に移行する。
アプリケーションサーバ2の検証部222は、認証サーバ1から、認証結果情報と、トークン情報(署名情報)と、トークン用公開鍵とを受信すると、認証サーバ1の正当性を検証する(S126)。具体的には、検証部222は、認証結果情報とともに受信したトークン情報を、トークン用公開鍵により復号できるか否かに基づいて認証サーバ1の正当性を検証する。なお、検証部222は、S111に対応して受信したトークン情報(第1の検証用情報)と、S125に対応して受信したトークン情報(第2の検証用情報)とが一致するか否かに基づいて認証サーバ1の正当性を検証してもよい。
また、検証部222は、トークン情報に含まれているトークン情報が生成された生成時刻と、現在時刻との時間差が所定時間以上である場合には、認証処理に時間がかかりすぎていると判定し、認証に失敗したものとみなしてもよい。
提供部223は、検証部222により認証サーバ1が正当であると検証されると、端末3にアプリケーションに関する機能を提供する。
具体的には、まず、提供部223は、認証サーバ1が正当であると判定すると(S127)、認証サーバ1が正当であることを示す検証結果を認証サーバ1に送信する(S128)。
認証サーバ1の認証結果送信部124は、認証サーバ1が正当であることを示す検証結果を受信すると、認証に成功したことを示す認証完了ページを端末3に送信する(S129)。ここで、認証完了ページには、認証に成功したことを示す情報が表示されており、アプリケーションサーバ2が提供するアプリケーションの機能を提供するためのアプリケーションページをアプリケーションサーバ2に要求するためのOKボタンが設けられている。
端末3は、受信した認証完了ページを表示部に表示する。端末3は、認証完了ページにおいて、OKボタンが押下されると、アプリケーションページの取得要求をアプリケーションサーバ2に送信する(S130)。なお、アプリケーションページの取得要求はリダイレクトにより行われてもよい。
アプリケーションサーバ2の提供部223は、アプリケーションページの取得要求を受け付けると、アプリケーションページを端末3に送信する(S131)。
なお、図6から図8に示すシーケンス図のS113からS123に示す所持認証に係る処理の流れは、FIDO U2Fに対応するものとするが、これに限らず、他の処理手順に対応した所持認証を行ってもよい。
<実施の形態に係る認証システムSが奏する効果>
以上説明したように、実施の形態に係る認証システムSによれば、アプリケーションサーバ2は、ユーザUが使用する端末3からユーザの認証の要求を受け付けると、認証サーバ1に所持認証を要求する。認証サーバ1は、所持認証の要求を受け付けると、端末3との間で所持認証を行い、所持認証の認証結果と検証用情報とをアプリケーションサーバ2に送信する。アプリケーションサーバ2は、認証サーバ1から所持認証の認証結果と、認証サーバ1の正当性の検証に用いる検証用情報とを受信し、受信した検証用情報に基づいて認証サーバ1が正当であることを検証すると、端末3にアプリケーションに関する機能を提供する。
このようにすることで、アプリケーションサーバ2の運用者は、アプリケーションサーバ2におけるユーザUの認証時に所持認証を行わせる場合に、所持認証の要求に関する処理を行う機能と、検証用情報に基づく認証サーバ1の検証に関する処理を行う機能とをアプリケーションサーバ2に実装するだけで、アプリケーションサーバ2において所持認証の結果を容易に扱えるようにすることができる。よって、認証システムSは、アプリケーションサーバにおいて所持認証の結果を容易に扱えるようにすることができる。
以上、本発明を実施の形態を用いて説明したが、本発明の技術的範囲は上記実施の形態に記載の範囲には限定されず、その要旨の範囲内で種々の変形及び変更が可能である。例えば、装置の分散・統合の具体的な実施の形態は、以上の実施の形態に限られず、その全部又は一部について、任意の単位で機能的又は物理的に分散・統合して構成することができる。また、複数の実施の形態の任意の組み合わせによって生じる新たな実施の形態も、本発明の実施の形態に含まれる。組み合わせによって生じる新たな実施の形態の効果は、もとの実施の形態の効果を合わせ持つ。
1・・・認証サーバ
10・・・通信部
11・・・記憶部
12・・・制御部
120・・・アドレス情報送信部
121・・・登録部
122・・・登録結果送信部
123・・・所持認証部
124・・・認証結果送信部
2・・・アプリケーションサーバ
20・・・通信部
21・・・記憶部
22・・・制御部
220・・・認証受付部
221・・・要求部
222・・・検証部
223・・・提供部
3・・・端末
4・・・認証器
S・・・認証システム

Claims (15)

  1. アプリケーションを提供する複数のアプリケーション提供装置と、前記アプリケーションを利用するユーザが所持する認証器を用いた認証である所持認証を行う認証装置とを備える認証システムであって、
    前記アプリケーション提供装置は、
    前記ユーザが使用する端末から前記ユーザの認証の要求を受け付けると、前記認証装置に前記所持認証を要求し、前記アプリケーション提供装置を識別するサービス識別情報を前記認証装置に送信する要求部と、
    前記認証装置から前記所持認証の認証結果と、前記認証装置の正当性の検証に用いる検証用情報とを受信し、受信した前記検証用情報に基づいて前記認証装置の正当性を検証する検証部と、
    前記検証部により前記認証装置が正当であると検証されると、前記端末に前記アプリケーションに関する機能を提供する提供部と、
    を有し、
    前記認証装置は、
    前記所持認証の要求を受け付け、前記サービス識別情報を受信すると、前記端末に接続された前記認証器との間で当該サービス識別情報に対応する前記所持認証を行う所持認証部と、
    前記所持認証の認証結果と前記検証用情報とを前記アプリケーション提供装置に送信する結果送信部と、
    を有する、
    認証システム。
  2. 前記要求部は、前記ユーザが所持する前記認証器に関する所持認証用情報が前記認証装置に登録されているか否かを判定し、前記認証装置に登録されていると判定すると、前記認証装置に前記所持認証を要求する、
    請求項1に記載の認証システム。
  3. 前記要求部は、前記所持認証用情報が前記認証装置に登録されていないと判定すると、前記認証装置に、当該所持認証用情報の登録を要求し、
    前記認証装置は、
    前記アプリケーション提供装置から前記所持認証用情報の登録の要求を受け付けると、前記端末に接続された前記認証器から前記所持認証用情報を取得して登録する登録部を有する、
    請求項2に記載の認証システム。
  4. 前記認証装置は、
    前記サービス識別情報を受信すると、前記認証装置のアドレスであって当該サービス識別情報に対応するアドレスを前記アプリケーション提供装置に送信するアドレス情報送信部をさらに有し、
    前記要求部は、前記所持認証用情報が前記認証装置に登録されていると判定すると、前記認証装置から受信した前記アドレスに、前記所持認証を要求する情報を付加して前記端末に送信し、前記端末に、前記アドレスに基づいて前記所持認証の要求を行わせる、
    請求項3に記載の認証システム。
  5. 前記認証装置は、
    前記サービス識別情報を受信すると、前記認証装置のアドレスであって当該サービス識別情報に対応するアドレスを前記アプリケーション提供装置に送信するアドレス情報送信部をさらに有し、
    前記要求部は、前記所持認証用情報が前記認証装置に登録されていないと判定すると、前記認証装置から受信した前記アドレスに、前記所持認証用情報の登録を要求する情報を付加して前記端末に送信し、前記端末に、前記アドレスに基づいて前記所持認証用情報の登録の要求を行わせる、
    請求項3又は4に記載の認証システム。
  6. 前記アドレス情報送信部は、前記サービス識別情報を受信すると、前記認証装置と前記アプリケーション提供装置との間で用いられるトークン情報をトークン用秘密鍵により暗号化した署名情報を第1の検証用情報として前記アプリケーション提供装置に送信し、
    前記結果送信部は、前記トークン情報を前記トークン用秘密鍵により暗号化した署名情報を第2の検証用情報として、前記所持認証の認証結果とともに前記アプリケーション提供装置に送信し、
    前記検証部は、受信した前記第1の検証用情報と、前記第2の検証用情報とが一致するか否かに基づいて、前記認証装置の正当性を検証する、
    請求項4又は5に記載の認証システム。
  7. アプリケーションを提供するアプリケーション提供装置と、前記アプリケーションを利用するユーザが所持する認証器を用いた認証である所持認証を行う認証装置とを備える認証システムであって、
    前記アプリケーション提供装置は、
    前記ユーザが使用する端末から前記ユーザの認証の要求を受け付けると、前記認証装置に前記所持認証を要求する要求部と、
    前記認証装置から前記所持認証の認証結果と、前記認証装置の正当性の検証に用いる検証用情報とを受信し、受信した前記検証用情報に基づいて前記認証装置の正当性を検証する検証部と、
    前記検証部により前記認証装置が正当であると検証されると、前記端末に前記アプリケーションに関する機能を提供する提供部と、
    を有し、
    前記認証装置は、
    前記所持認証の要求を受け付けると、前記端末に接続された前記認証器との間で前記所持認証を行う所持認証部と、
    前記所持認証の認証結果を前記アプリケーション提供装置に送信するとともに、前記端末から受け付けた前記ユーザを識別するユーザ識別情報を含むトークン情報をトークン用秘密鍵により暗号化した署名情報と、前記トークン用秘密鍵と対となるトークン用公開鍵とを前記検証用情報として前記アプリケーション提供装置に送信する結果送信部と、
    を有し、
    前記検証部は、前記認証装置から受信した前記署名情報を前記トークン用公開鍵により復号して得られる前記ユーザ識別情報と、前記端末から受け付けた前記ユーザ識別情報とが一致するか否かに基づいて、前記認証装置の正当性を検証する、
    認証システム。
  8. 前記要求部は、前記端末から、ハッシュ化された前記ユーザ識別情報を取得し、当該ハッシュ化された前記ユーザ識別情報を前記認証装置に送信し、
    前記結果送信部は、前記要求部を介して前記端末から受け付けた前記ハッシュ化された前記ユーザ識別情報を含むトークン情報をトークン用秘密鍵により暗号化した署名情報を前記アプリケーション提供装置に送信する、
    請求項7に記載の認証システム。
  9. 前記アプリケーション提供装置は、前記端末から前記ユーザの認証要求を受け付けると、前記認証装置が提供する、前記ユーザ識別情報をハッシュ化するスクリプトを前記端末が取得するためのページを前記端末に送信する認証受付部をさらに有し、
    前記要求部は、前記スクリプトによりハッシュ化された前記ユーザ識別情報を前記端末から取得する、
    請求項8に記載の認証システム。
  10. アプリケーションを提供する複数のアプリケーション提供装置と、前記アプリケーションを利用するユーザが所持する認証器を用いた認証である所持認証を行う認証装置とを備える認証システムであって、
    前記アプリケーション提供装置が、前記ユーザが使用する端末から前記ユーザの認証の要求を受け付けると、前記認証器を用いた所持認証を前記認証装置に要求し、前記アプリケーション提供装置を識別するサービス識別情報を前記認証装置に送信するステップと、
    前記認証装置が、前記所持認証の要求を受け付け、前記サービス識別情報を受信すると、前記端末に接続された前記認証器との間で当該サービス識別情報に対応する前記所持認証を行うステップと、
    前記認証装置が、前記所持認証の認証結果と、前記認証装置の正当性の検証に用いる検証用情報とを前記アプリケーション提供装置に送信するステップと、
    前記アプリケーション提供装置が、前記認証装置から前記認証結果と前記検証用情報とを受信し、受信した前記検証用情報に基づいて前記認証装置の正当性を検証するステップと、
    前記アプリケーション提供装置が、前記認証装置が正当であると検証すると、前記端末に前記アプリケーションに関する機能を提供するステップと、
    を有する認証方法。
  11. アプリケーションを提供するアプリケーション提供装置と、前記アプリケーションを利用するユーザが所持する認証器を用いた認証である所持認証を行う認証装置とを備える認証システムであって、
    前記アプリケーション提供装置が、前記ユーザが使用する端末から前記ユーザの認証の要求を受け付けると、前記認証器を用いた所持認証を前記認証装置に要求するステップと、
    前記認証装置が、前記所持認証の要求を受け付けると、前記端末に接続された前記認証器との間で前記所持認証を行うステップと、
    前記認証装置が、前記所持認証の認証結果を前記アプリケーション提供装置に送信するとともに、前記端末から受け付けた前記ユーザを識別するユーザ識別情報を含むトークン情報をトークン用秘密鍵により暗号化した署名情報と、前記トークン用秘密鍵と対となるトークン用公開鍵とを前記認証装置の正当性の検証に用いる検証用情報とを前記アプリケーション提供装置に送信するステップと、
    前記アプリケーション提供装置が、前記認証装置から前記認証結果と、前記検証用情報としての前記署名情報及び前記トークン用公開鍵とを受信し、受信した前記署名情報を前記トークン用公開鍵により復号して得られる前記ユーザ識別情報と、前記端末から受け付けた前記ユーザ識別情報とが一致するか否かに基づいて前記認証装置の正当性を検証するステップと、
    前記アプリケーション提供装置が、前記認証装置が正当であると検証すると、前記端末に前記アプリケーションに関する機能を提供するステップと、
    を有する認証方法。
  12. ユーザが使用する端末から前記ユーザの認証の要求を受け付けると、前記ユーザが所持する認証器を用いた認証である所持認証を認証装置に要求する要求部と、
    前記認証装置から前記所持認証の認証結果を受信するとともに、前記端末から受け付けた前記ユーザを識別するユーザ識別情報を含むトークン情報をトークン用秘密鍵により暗号化した署名情報と、前記トークン用秘密鍵と対となるトークン用公開鍵とを前記認証装置の正当性の検証に用いる検証用情報として受信し、受信した前記署名情報を前記トークン用公開鍵により復号して得られる前記ユーザ識別情報と、前記端末から受け付けた前記ユーザ識別情報とが一致するか否かに基づいて前記認証装置の正当性を検証する検証部と、
    前記検証部により前記認証装置が正当であると検証されると、前記端末にアプリケーションに関する機能を提供する提供部と、
    を備えるアプリケーション提供装置。
  13. 認証器を用いた認証である所持認証を行う認証装置であって、
    アプリケーションを提供するアプリケーション提供装置から、前記アプリケーションを利用するユーザが所持する前記認証器を用いた前記所持認証の要求を受け付け、前記アプリケーション提供装置を識別するサービス識別情報を受信すると、前記認証器との間で当該サービス識別情報に対応する前記所持認証を行う所持認証部と、
    前記所持認証の認証結果と前記認証装置の正当性の検証に用いる検証用情報とを前記アプリケーション提供装置に送信する結果送信部と、
    を備える認証装置。
  14. 認証器を用いた認証である所持認証を行う認証装置であって、
    アプリケーションを提供するアプリケーション提供装置から、前記アプリケーションを利用するユーザが所持する前記認証器を用いた前記所持認証の要求を受け付けると、前記認証器との間で前記所持認証を行う所持認証部と、
    前記所持認証の認証結果を前記アプリケーション提供装置に送信するとともに、前記ユーザが使用する端末から受け付けた前記ユーザを識別するユーザ識別情報を含むトークン情報をトークン用秘密鍵により暗号化した署名情報と、前記トークン用秘密鍵と対となるトークン用公開鍵とを、前記認証装置の正当性の検証に用いる検証用情報として前記アプリケーション提供装置に送信する結果送信部と、
    を備える認証装置。
  15. コンピュータを、
    ユーザが使用する端末から前記ユーザの認証の要求を受け付けると、前記ユーザが所持する認証器を用いた認証である所持認証を認証装置に要求する要求部、
    前記認証装置から前記所持認証の認証結果を受信するとともに、前記端末から受け付けた前記ユーザを識別するユーザ識別情報を含むトークン情報をトークン用秘密鍵により暗号化した署名情報と、前記トークン用秘密鍵と対となるトークン用公開鍵とを前前記認証装置の正当性の検証に用いる検証用情報として受信し、受信した前記署名情報を前記トークン用公開鍵により復号して得られる前記ユーザ識別情報と、前記端末から受け付けた前記ユーザ識別情報とが一致するか否かに基づいて前記認証装置の正当性を検証する検証部、及び、
    前記検証部により前記認証装置が正当であると検証されると、前記端末にアプリケーションに関する機能を提供する提供部、
    として機能させる認証用プログラム。
JP2020525067A 2018-06-15 2018-06-15 認証システム、認証方法、アプリケーション提供装置、認証装置、及び認証用プログラム Active JP7202688B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2018/022972 WO2019239591A1 (ja) 2018-06-15 2018-06-15 認証システム、認証方法、アプリケーション提供装置、認証装置、及び認証用プログラム

Publications (2)

Publication Number Publication Date
JPWO2019239591A1 JPWO2019239591A1 (ja) 2021-06-24
JP7202688B2 true JP7202688B2 (ja) 2023-01-12

Family

ID=68842448

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020525067A Active JP7202688B2 (ja) 2018-06-15 2018-06-15 認証システム、認証方法、アプリケーション提供装置、認証装置、及び認証用プログラム

Country Status (4)

Country Link
US (1) US11539690B2 (ja)
JP (1) JP7202688B2 (ja)
CN (1) CN112313648A (ja)
WO (1) WO2019239591A1 (ja)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7322732B2 (ja) * 2020-02-03 2023-08-08 トヨタ自動車株式会社 認証システム
JP7385507B2 (ja) 2020-03-13 2023-11-22 株式会社フジミック 二要素認証システム、二要素認証方法、二要素認証プログラム及び認証操作用アプリケーション
US11411952B2 (en) * 2020-04-02 2022-08-09 Verizon Patent And Licensing Inc. Systems and methods for multi-level authentication
EP4027606A1 (en) * 2021-01-11 2022-07-13 Google LLC Delivery of notifications to mobile devices
JP2022111426A (ja) * 2021-01-20 2022-08-01 富士フイルムビジネスイノベーション株式会社 情報処理装置、情報処理システム及び情報処理プログラム
EP4068686A1 (en) * 2021-03-31 2022-10-05 Siemens Aktiengesellschaft Signing system for validating stateful hash-based digital signatures
JP7232862B2 (ja) * 2021-04-19 2023-03-03 ヤフー株式会社 情報処理装置、情報処理方法および情報処理プログラム
JP7232863B2 (ja) * 2021-04-19 2023-03-03 ヤフー株式会社 情報処理装置、情報処理方法および情報処理プログラム
US20220414226A1 (en) * 2021-06-25 2022-12-29 Citrix Systems, Inc. Systems and methods for dynamic detection of vulnerable credentials
CN114553432B (zh) * 2022-01-28 2023-08-18 中国银联股份有限公司 身份认证方法、装置、设备及计算机可读存储介质
DE102022104090A1 (de) * 2022-02-22 2023-08-24 Bayerische Motoren Werke Aktiengesellschaft Vorrichtung zum Identifizieren eines Eigentümers, Server, Benutzerendgerät, Fahrzeug, Verfahren zum Identifizieren eines Eigentümers

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005258687A (ja) 2004-03-10 2005-09-22 Japan Telecom Co Ltd バイオメトリクス認証システム、及びそれに利用されるバイオメトリクス認証ゲートウェイ、並びにバイオメトリクス認証情報の振分方法
JP2008152612A (ja) 2006-12-19 2008-07-03 Hitachi Software Eng Co Ltd 認証システム及び認証方法
JP2011129040A (ja) 2009-12-21 2011-06-30 Kddi Corp 認証システム、携帯無線通信端末、認証方法、認証プログラム、認証情報生成方法、認証情報生成プログラム

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8353015B2 (en) * 2008-01-09 2013-01-08 Microsoft Corporation Trusted internet identity
JP5276346B2 (ja) * 2008-03-31 2013-08-28 株式会社エヌ・ティ・ティ・データ 認証サーバ、認証方法、及びそのプログラム
JP5081696B2 (ja) * 2008-03-31 2012-11-28 株式会社エヌ・ティ・ティ・データ 情報処理システム、認証サーバ、サービス提供サーバ、認証方法、サービス提供方法、及び、プログラム
JP5258422B2 (ja) 2008-07-01 2013-08-07 Kddi株式会社 相互認証システム、相互認証方法およびプログラム
JP5573293B2 (ja) * 2010-03-30 2014-08-20 富士通株式会社 認証装置、暗号化装置、トークンデバイス、認証方法、および認証プログラム
US10469490B2 (en) * 2017-10-19 2019-11-05 Mastercard International Incorporated Methods and systems for providing FIDO authentication services

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005258687A (ja) 2004-03-10 2005-09-22 Japan Telecom Co Ltd バイオメトリクス認証システム、及びそれに利用されるバイオメトリクス認証ゲートウェイ、並びにバイオメトリクス認証情報の振分方法
JP2008152612A (ja) 2006-12-19 2008-07-03 Hitachi Software Eng Co Ltd 認証システム及び認証方法
JP2011129040A (ja) 2009-12-21 2011-06-30 Kddi Corp 認証システム、携帯無線通信端末、認証方法、認証プログラム、認証情報生成方法、認証情報生成プログラム

Also Published As

Publication number Publication date
US11539690B2 (en) 2022-12-27
JPWO2019239591A1 (ja) 2021-06-24
WO2019239591A1 (ja) 2019-12-19
CN112313648A (zh) 2021-02-02
US20210234857A1 (en) 2021-07-29

Similar Documents

Publication Publication Date Title
JP7202688B2 (ja) 認証システム、認証方法、アプリケーション提供装置、認証装置、及び認証用プログラム
US10666642B2 (en) System and method for service assisted mobile pairing of password-less computer login
JP6643373B2 (ja) 情報処理システムと、その制御方法とプログラム
RU2417422C2 (ru) Услуга распределенной единой регистрации в сети
US9009463B2 (en) Secure delivery of trust credentials
JP4617763B2 (ja) 機器認証システム、機器認証サーバ、端末機器、機器認証方法、および機器認証プログラム
US10484372B1 (en) Automatic replacement of passwords with secure claims
US20140019752A1 (en) Encryption-based session establishment
EP3602991A1 (en) Mechanism for achieving mutual identity verification via one-way application-device channels
JP7186346B2 (ja) 認証システム、認証装置及び認証方法
JP5431040B2 (ja) 認証要求変換装置、認証要求変換方法および認証要求変換プログラム
US20100250949A1 (en) Generation, requesting, and/or reception, at least in part, of token
US9787668B1 (en) Sensitive user information management system and method
KR101690989B1 (ko) Fido 인증모듈을 이용한 전자서명 방법
US20120311331A1 (en) Logon verification apparatus, system and method for performing logon verification
JP6240102B2 (ja) 認証システム、認証鍵管理装置、認証鍵管理方法および認証鍵管理プログラム
WO2017029708A1 (ja) 個人認証システム
JP2012079231A (ja) 認証情報管理装置および認証情報管理方法
JP5665592B2 (ja) サーバ装置並びにコンピュータシステムとそのログイン方法
JP5793593B2 (ja) ユーザ識別情報を安全に検証するためのネットワーク認証方法
JP7043480B2 (ja) 情報処理システムと、その制御方法とプログラム
JP6165044B2 (ja) 利用者認証装置、システム、方法及びプログラム
JP6353412B2 (ja) Idパスワード認証方法、パスワード管理サービスシステム、情報端末、パスワード管理サービス装置、利用端末及びそれらのプログラム
WO2016017324A1 (ja) ユーザ情報管理システム、ユーザ情報管理方法、管理サーバ用プログラム及びこれを記録した記録媒体、ユーザ端末用プログラム及びこれを記録した記録媒体、サービスサーバ用プログラム及びこれを記録した記録媒体
KR20170096691A (ko) 자체확장인증을 이용한 키관리 방법

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210517

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220510

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220706

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220809

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220914

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20221129

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20221219

R150 Certificate of patent or registration of utility model

Ref document number: 7202688

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150