JPWO2008099756A1 - クライアント装置、鍵装置、サービス提供装置、ユーザ認証システム、ユーザ認証方法、プログラム、記録媒体 - Google Patents
クライアント装置、鍵装置、サービス提供装置、ユーザ認証システム、ユーザ認証方法、プログラム、記録媒体 Download PDFInfo
- Publication number
- JPWO2008099756A1 JPWO2008099756A1 JP2008558066A JP2008558066A JPWO2008099756A1 JP WO2008099756 A1 JPWO2008099756 A1 JP WO2008099756A1 JP 2008558066 A JP2008558066 A JP 2008558066A JP 2008558066 A JP2008558066 A JP 2008558066A JP WO2008099756 A1 JPWO2008099756 A1 JP WO2008099756A1
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- user
- password
- service providing
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
- G06F21/445—Program or device authentication by mutual authentication, e.g. between devices or programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q30/00—Commerce
- G06Q30/06—Buying, selling or leasing transactions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
- H04L9/3273—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/60—Digital content management, e.g. content distribution
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/76—Proxy, i.e. using intermediary entity to perform cryptographic operations
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Business, Economics & Management (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Accounting & Taxation (AREA)
- Computing Systems (AREA)
- Finance (AREA)
- Development Economics (AREA)
- Economics (AREA)
- Marketing (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
Abstract
Description
前述の従来技術では、代理認証機構と業務サーバとが分離しているため、業務サーバを利用する利用者のユーザID及びパスワードを予め代理認証機構に登録する事前設定が必要となる。オンラインサービスには事前の登録なく利用する形態も多いが、このようなオンラインサービスの突発的な利用には、前述の従来技術は適していない。
しかし、前記利用者認証システムでは、代理認証機構と業務サーバとが分離している点、同意確認を証明可能な形態で業務サーバに伝える手順になっていない点などにより、強い認証と同意確認の両立が困難である。
本発明のクライアント装置は、ユーザID、公開鍵、秘密鍵及びサーバ証明書をサービス毎に関連付けて登録するサービス情報データベースを保持するクライアント認証情報管理部と、制御部と、クライアント認証部と、鍵生成部とを備え、さらに、要求機能、サーバ認証機能、ユーザ情報送信機能、サービス情報登録機能、認証応答機能を備える。
図1は、実施例1のユーザ認証システムの構成を示す。クライアント装置100とサービス提供装置200は、ネットワーク10を介して互いに通信可能なように接続される。ネットワーク10は、例えばインターネットや企業内網である。サービス提供装置200は、ユーザにサービスを提供する装置であり、例えばWebサーバなどである。クライアント装置100は、サービス提供装置200に対してユーザ認証を行うために認証応答を送信する装置であり、例えばブラウザ機能を備えた携帯電話、パーソナルコンピュータ、PDA(Personal Digital Assistants)等である。なお、複数のクライアント装置100および複数のサービス提供装置200が、ネットワーク10に接続される構成でもよい。
図3は、実施例1のサービス提供装置の構成例を示す。サービス提供装置200は、ネットワークインターフェース210、サービス提供部220、認証部230及び認証情報管理部240を含んで構成されている。
まず、ユーザがクライアント装置100を介してサービス提供装置200にユーザ登録を行う場合の手順を説明する。図6は、ユーザ登録の処理フローを示している。クライアント装置100の制御部120は、ネットワークインターフェース110を介してサービス提供装置200にユーザ登録要求を送信する(S1)。ユーザ登録要求とは、例えば、Webページで特定のサービスへの登録を決定したときに送信されるHTTPリクエストなどである。また、ユーザ登録要求は、利用するサービスを識別するためのインデックス情報を含んでもよい。インデックス情報とは、例えば前記HTTPリクエストに含まれるURIなどである。
なお、サービス提供装置200は、サーバ認証情報と一緒に、クライアント装置100に、クライアント装置100の処理フローを決めるプログラムも送ってもよい。このように、プログラムをステップS2で送ることで、クライアント装置100はあらかじめプログラムを記録しておく必要がなくなる。つまり、クライアント装置100は、後述するサーバ認証(S3)、鍵生成(S7)、署名計算(S8)などの個別の機能やデータベースを備えておけばよく、処理手順を記録しておく必要がない。このように処理手順を記載したプログラムを処理ごとに送れば、処理の追加や変更が容易になる。
以降に送受信されるデータのインテグリティ保証や秘匿性の実現のため、クライアント装置100とサービス提供装置200との間で保護チャネルを確立する(S4)。なお、S2〜S4の手順はSSL(Secure Sockets Layer)などの既存のプロトコルを利用するものであってもよい。
図8は、ユーザ認証を行う場合の手順を示している。クライアント装置100の制御部120は、ネットワークインターフェース110を介してサービス提供装置200にサービス要求を送信する(S20)。サービス要求とは、例えば、Webページで特定のサービスの利用を決定したときに送信されるHTTPリクエストなどである。また、サービス要求は、利用するサービスを識別するためのインデックス情報を含んでもよい。インデックス情報とは、例えば前記HTTPリクエストに含まれるURIなどである。
この検証が失敗した場合、クライアント装置100は、ユーザ認証手順を終了する。検証が成功した場合、クライアント装置100は、以下の処理を行う。まず、以降に送受信されるデータのインテグリティ保証や秘匿性の実現のため、必要に応じて、クライアント装置100とサービス提供装置200は、保護チャネルを確立する(S24)。なお、S22〜S24の手順はSSLなどの既存のプロトコルを利用するものであってもよい。続いてクライアント装置100は、サービス提供装置200から受信した認証要求に含まれる認証ポリシーを参照し、認証法を選択する(S25)。具体的には、参照した認証ポリシーを用いる、あるいは参照した認証ポリシーと、クライアント装置100が保持する認証ポリシーから計算された新たな認証ポリシーを用いる等である。
実施例2のユーザ認証システムのシステム構成は、実施例1(図1)と同じである。図11は、実施例2のサービス提供装置の機能構成例を示している。サービス提供装置300は、実施例1のサービス提供装置200の認証情報管理部240に代えて認証情報管理部340を含むとともに、認証情報変換部350を新たに含んでいる。認証情報管理部340は、ユーザ認証のために必要なパスワードを、提供するサービスと関連付けて格納している。認証情報変換部350は、必要に応じて、公開鍵認証(PKもしくはPKPW)の結果を正しいパスワードに変換する。
本実施例のユーザ認証システムで、ユーザがクライアント装置100を介してサービス提供装置300にユーザ登録を行う場合の手順について説明する。図14は、実施例2のユーザ認証システムでのユーザ登録の処理フローを示している。ステップS1からステップS10までは、実施例1(図6)と同じである。
次に、実施例2のユーザ認証システムで、ユーザがクライアント装置100を介してサービス提供装置300に対して認証を行う場合の手順について説明する。図15は、実施例2のユーザ認証システムでの認証の処理フローを示している。なお、ステップS20からステップS32までは、実施例1(図8)と同じである。
ステップS32の次に、サービス提供装置300の認証部230は、認証法に応じた以下のパスワード取得処理を行う(S36)。
認証応答に含まれる認証法がPKの場合、認証部230は、認証応答に含まれるユーザIDに基づいて、認証情報変換部350に保持された認証情報変換データベースを検索し、該当するユーザのエントリーを特定する。認証部230は、このエントリーの公開鍵を用いて認証応答に含まれる署名1の正当性を確認する。認証部230は、さらに、タイムスタンプが適正であるか(現在時刻に近い時刻を表しているか)、および、チャレンジがステップS22の認証要求として送られたものと同じであるかの確認を行う。認証部230は、この確認に成功した場合に前記エントリーのパスワードを取得する。
図16は、実施例3のユーザ認証システムの構成を示している。クライアント装置400とサービス提供装置200は、ネットワーク10を介して互いに通信可能なように接続される。また、クライアント装置400と鍵装置500は、互いに通信可能なように接続される。
図20は、実施例3のユーザ認証システムでのユーザ登録の処理フローを示している。サービス提供装置200は、パスワード記憶ポリシーを、サーバ認証情報に含めてクライアント装置400に送信する(S40)。なお、サーバ認証情報は、パスワード記憶ポリシーを含むこと以外、実施例1のステップS2で送信されるものと同一である。また、パスワード記憶ポリシーは、鍵装置500でユーザのパスワードを記憶することを許可するか否かを表すフラグであり、そのフラグがYESを示す場合、鍵装置500はユーザのパスワードを記憶することができる。一方、フラグがNOを示す場合、鍵装置500はユーザのパスワードを記憶することができない。この場合、ユーザはサービス利用時の認証の都度、パスワードを入力する必要がある。
サーバ認証情報を受信した鍵装置500は、実施例1のクライアント装置100と同様に、ステップS3からステップS8まで、およびステップS12を実行する。
図21は、実施例3のユーザ認証システムのユーザ認証の処理フローを示している。ステップS22で、サービス提供装置200からの認証要求を受信したクライアント装置400では、制御部120が受信した情報が認証要求であることを判断した場合、PANインターフェース410が受信した認証要求を鍵装置500に送信する(S44)。認証要求を受信した鍵装置500は、実施例1のクライアント装置100と同様に、ステップS23からS26までを実行する。
実施例1のクライアント装置100がPC等のオープンプラットフォームで構成される場合、パスワード入力を代行するブラウザソフトやミドルウェアが動作している場合もあり得る。この場合、ユーザはパスワード入力を省略できるので便利になる。しかし、反面、ユーザからのパスワード入力を期待しているサービス提供装置200にとっては、安全性の低下となる恐れがある。
実施例4は、実施例1の認証法の選択をより詳細に規定したものである。実施例4のユーザ認証システムのシステム構成は、実施例1(図1)と同一である。また、クライアント装置100およびサービス提供装置200の構成も、実施例1(図2、図3)と同一である。
行は同意確認のレベルを表している。2行目は同意確認のレベル0に対応している。同意確認のレベル0は、認証の際に同意確認が不要であることを表す。3行目は同意確認のレベル1に対応している。同意確認のレベル1は、認証の際に同意確認が必要であることを表す。列は認証強度のレベルを表している。2列目は強度のレベル0に対応している。強度のレベル0は、低強度の認証で十分であることを表す。3列目は強度のレベル1に対応している。強度のレベル1は、中強度の認証が必要であることを表す。4列目は強度のレベル2に対応している。強度のレベル2は、高強度の認証が必要であることを表す。
NA(No Action)はユーザの認証操作が不要なもの、例えばユーザIDの通知などを示している。OKはOKボタンをクリックするなどの単純な操作を示している。PKは公開鍵に基づく認証を示している。PWはパスワードに基づく認証を示している。PKPWは公開鍵とパスワードの組み合わせによる認証法を示している。
実施例4のユーザ認証システムでユーザ登録を行う処理フローは、実施例1(図6)と同じである。
図8は、実施例4のユーザ認証システムのユーザ認証の処理フローを示している。ステップS22の認証要求に含まれる認証ポリシーは、上述した形式とする。即ち、必要とされる認証強度のレベルSと同意確認のレベルCの組<S,C>で表されている。なお、本実施例の認証ポリシーも、サービス提供装置200のサービス提供部220にサービス毎に記憶されている。ステップS23,S24は実施例1と同じである。
本変形例は、サービス提供装置200からクライアント装置100に送信される認証ポリシーの選択に関して、クライアント装置100からの要求を、予めサービス登録時に送信しておく手順を追加したものである。
図23は、ステップS9でクライアント装置100からサービス提供装置200に送信されるユーザ情報が示されている。これは、図7で示される実施例1のユーザ情報に、ユーザポリシーが付加されている。ユーザポリシーとは、サービス利用時にサービス提供装置からクライアント装置に送信される認証要求に含まれる認証ポリシーを決定するための、ユーザからの要求である。なお、認証ポリシーは、ユーザポリシーと、サービス提供装置が提供するサービス毎に予め決められたサービスポリシーとから後述する手順で計算される。
図26は、本変形例のユーザ認証システムでの、ユーザ認証の処理フローを示している。まず、クライアント装置100の入力部160は、ユーザIDを受け付ける(S50)。クライアント装置100の制御部120は、ネットワークインターフェース110を介してサービス提供装置200にサービス要求を送信する(S51)。このサービス要求には、S50で入力したユーザIDが含まれる。
引き続きサービス提供装置200からは、決定された認証ポリシーを含む認証要求を、クライアント装置100へ送信する(S22)。ステップS23,S24は、実施例1と同じである。
登録時にクライアント装置100からサービス提供装置200へユーザポリシーを送信することで、ユーザ側からの認証ポリシーの制御が可能となる。これは、例えば、クライアント装置100が常に認証法PKに適応しており、ユーザが認証法をPK以上にしたい場合などに有効である。そして、低いレベルで認証法が合意することによる安全性の低下を、ユーザ側からの要求により防ぐことができる。
実施例5は、実施例1のユーザ認証システムをWebアプリケーションに適用したものである。具体的には、HTMLのFORMを用いて実現したものである。図27は、実施例5のユーザ認証システムのユーザ認証で送信されるメッセージの形式を示している。
図28は、実施例5変形例のユーザ認証システムにおける認証要求のデータ形式を示している。図29は、実施例5変形例のユーザ認証システムにおける認証スクリプトの内容を示している。本変形例では、ステップS22でサービス提供装置200からクライアント装置100に送信される認証要求メッセージは、図27Bに代わって図28に示される形式とする。この形式では、認証要求に含まれる情報はINPUTタグにより記述されている。また、ステップS23〜S29で実行される認証法に応じた認証処理は、図28の4行目で指定された、クライアント装置100の認証部130に格納された認証スクリプト「authScript.js」を実行することでなされる。認証スクリプトの内容は図29に示されている通りである。
実施例6では、サービス提供装置200の認証情報管理部240が記録しているユーザ情報の中の公開鍵を更新する手順を説明する。本実施例のユーザ認証システムのシステム構成は、実施例1(図1)と同一である。また、クライアント装置100およびサービス提供装置200の構成も、実施例1(図2、図3)と同一である。図30は、本実施例のユーザ認証システムでの公開鍵更新の処理フローを示している。
鍵更新結果が「OK」の場合、クライアント装置100の認証情報管理部140は、サービス情報(ステップS2で受信したサーバ証明書にユーザID、公開鍵、秘密鍵を対応付けた情報)の公開鍵を、新たに生成した公開鍵2に更新する(S66)。鍵更新結果が「NG」の場合、クライアント装置100は、鍵更新手順を終了する。
実施例7では、サービス提供装置200の認証情報管理部240が記録しているユーザ情報を抹消する手順を説明する。本実施例のユーザ認証システムのシステム構成は、実施例1(図1)と同一である。また、クライアント装置100およびサービス提供装置200の構成も、実施例1(図2、図3)と同一である。図32は、本実施例のユーザ認証システムでのユーザ登録抹消の処理フローを示している。
認証法毎の認証応答の検証(S33)が成功した場合には、サービス提供装置200の認証情報管理部240は、認証応答に含まれたユーザID(認証が成功したユーザID)により特定されるユーザ情報を、ユーザ情報データベースから抹消する(S71)。認証および登録抹消が成功した場合には、サービス提供装置200は、クライアント装置100に、ユーザ登録抹消結果として「OK」を送信する(S72)。認証または登録抹消が失敗した場合、サービス提供装置200は、クライアント装置100に、ユーザ登録抹消結果として「NG」を送信する(S72)。
なお、以上説明したクライアント装置、サービス提供装置は、その機能を実現するためのプログラムを、コンピュータ読取可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータに読み込ませ、実行するものであってもよい。コンピュータ読取可能な記録媒体とは、フレキシブルディスク、光磁気ディスク、CD−ROM、フラッシュメモリ等の記録媒体、コンピュータシステムに内蔵されるハードディスク装置等の記憶装置を指す。さらに、コンピュータ読取可能な記録媒体は、インターネットを介してプログラムを送信する場合のように、短時間、動的にプログラムを保持するもの(伝送媒体もしくは伝送波)、その場合のサーバとなるコンピュータ内の揮発性メモリのように、一定時間プログラムを保持しているものを含む。
Claims (24)
- ネットワークを介してサービス提供装置に接続されるクライアント装置であって、
ユーザID、公開鍵、秘密鍵及びサーバ証明書をサービス毎に関連付けて登録するサービス情報データベースを保持するクライアント認証情報管理部と、制御部と、クライアント認証部と、鍵生成部とを備え、
さらに、
前記制御部が、ユーザ登録要求及びサービス要求を前記サービス提供装置へ送信する要求機能と、
前記クライアント認証部が、前記サービス提供装置からのサーバ認証情報及び認証要求を検証するサーバ認証機能と、
前記クライアント認証部が、ユーザID、パスワード、ユーザ属性及び前記鍵生成部で生成させた公開鍵に対する署名を、前記鍵生成部で当該公開鍵と対応して生成させた秘密鍵を用いて求め、ユーザID、パスワード、ユーザ属性、公開鍵及び署名を含むユーザ情報を前記サービス提供装置へ送信するユーザ情報送信機能と、
前記クライアント認証情報管理部が、ユーザID、公開鍵、秘密鍵及びサーバ証明書を含むサービス情報をサービス情報データベースに登録するサービス情報登録機能と、
前記クライアント認証部が、前記サービス提供装置からの認証要求に含まれる認証ポリシーから特定した認証法がパスワード認証であれば、パスワードから当該パスワードの所有を確認できるパスワード認証情報を計算し、当該パスワード認証情報、認証法及びユーザIDを含む認証応答を前記サービス提供装置へ送信し、また、認証ポリシーから特定した認証法が公開鍵認証であれば、認証法、ユーザID及び認証要求に含まれるチャレンジに対する署名1を計算し、該署名1、認証法、ユーザIDを含む認証応答を前記サービス提供装置へ送信し、また、認証ポリシーから特定した認証法が公開鍵とパスワードを組み合わせた認証であれば、認証法、ユーザID、認証要求に含まれるチャレンジ及びパスワードに対する署名2を計算し、該署名2、認証法、ユーザIDを含む認証応答を前記サービス提供装置へ送信する認証応答機能を
備えるクライアント装置。 - ネットワークを介してサービス提供装置に接続されるクライアント装置に接続される鍵装置であって、
ユーザID、公開鍵、秘密鍵及びサーバ証明書をサービス毎に関連付けて登録するサービス情報データベースを保持するクライアント認証情報管理部と、クライアント認証部と、鍵生成部とを備え、
さらに、
前記クライアント認証部が、前記サービス提供装置側からのサーバ認証情報及び認証要求を検証するサーバ認証機能と、
前記クライアント認証部が、ユーザID、パスワード、ユーザ属性及び前記鍵生成部で生成させた公開鍵に対する署名を、前記鍵生成部で当該公開鍵と対応して生成させた秘密鍵を用いて求め、ユーザID、パスワード、ユーザ属性、公開鍵及び署名を含むユーザ情報をサービス提供装置側へ送信するユーザ情報送信機能と、
前記クライアント認証部が、前記サービス提供装置からの認証要求に含まれる認証ポリシーから特定した認証法がパスワード認証であれば、パスワードから当該パスワードの所有を確認できるパスワード認証情報を計算し、当該パスワード認証情報、認証法及びユーザIDを含む認証応答をサービス提供装置側へ送信し、また、認証ポリシーから特定した認証法が公開鍵認証であれば、認証法、ユーザID及び認証要求に含まれるチャレンジに対する署名1を計算し、該署名1、認証法、ユーザIDを含む認証応答をサービス提供装置側へ送信し、また、認証ポリシーから特定した認証法が公開鍵とパスワードを組み合わせた認証であれば、認証法、ユーザID、認証要求に含まれるチャレンジ及びパスワードに対する署名2を計算し、該署名2、認証法、ユーザIDを含む認証応答をサービス提供装置側へ送信する認証応答機能と、
前記クライアント認証情報管理部が、ユーザID、公開鍵、秘密鍵及びサーバ証明書を含むサービス情報をサービス情報データベースに登録するサービス情報登録機能を、
備える鍵装置。 - 請求項1記載のクライアント装置であって、
前記クライアント認証部は、認証の強度と同意確認のレベルとの組み合わせからなる認証ポリシー毎に認証法を登録する認証法対応表を格納し、
前記認証応答機能では、前記サービス提供装置からの認証要求に含まれる認証ポリシーに対応する認証法を前記認証法対応表から前記クライアント認証部が全て読み出し、そのうちでユーザから選択された認証法あるいは実行可能な認証法を、認証ポリシーから特定した認証法とする
ことを特徴とするクライアント装置。 - 請求項2記載の鍵装置であって、
前記クライアント認証部は、認証の強度と同意確認のレベルとの組み合わせからなる認証ポリシー毎に認証法を登録する認証法対応表を格納し、
前記認証応答機能では、前記サービス提供装置からの認証要求に含まれる認証ポリシーに対応する認証法を前記認証法対応表から前記クライアント認証部が全て読み出し、そのうちでユーザから選択された、あるいは実行可能な認証法を、認証ポリシーから特定した認証法とする
ことを特徴とする鍵装置。 - 請求項3記載のクライアント装置であって、
前記ユーザ情報送信機能は、前記クライアント認証部が、ユーザ側が要求する認証ポリシーであるユーザポリシー、ユーザID、パスワード、ユーザ属性及び前記鍵生成部で生成させた公開鍵に対する署名を、前記鍵生成部で当該公開鍵と対応して生成させた秘密鍵を用いて求め、ユーザポリシー、ユーザID、パスワード、ユーザ属性、公開鍵及び署名を含むユーザ情報を前記サービス提供装置へ送信する機能である
ことを特徴とするクライアント装置。 - 請求項4記載の鍵装置であって、
前記ユーザ情報送信機能は、前記クライアント認証部が、ユーザ側が要求する認証ポリシーであるユーザポリシー、ユーザID、パスワード、ユーザ属性及び前記鍵生成部で生成させた公開鍵に対する署名を、前記鍵生成部で当該公開鍵と対応して生成させた秘密鍵を用いて求め、ユーザポリシー、ユーザID、パスワード、ユーザ属性、公開鍵及び署名を含むユーザ情報をサービス提供装置へ送信する機能である
ことを特徴とする鍵装置。 - ネットワークを介してクライアント装置と接続されるサービス提供装置であって、
ユーザID、パスワード、ユーザ属性及び公開鍵をユーザ毎に関連付けて登録するユーザ情報データベースを保持するサービス提供装置認証情報管理部と、サービス提供部と、サービス提供装置認証部とを備え、
さらに、
前記サービス提供装置認証部が、前記クライアント装置からのユーザ登録要求に応じてサーバ証明書及び署名を含むサーバ認証情報を前記クライアント装置に送信する登録要求応答機能と、
前記サービス提供装置認証部が、前記クライアント装置からのユーザ情報を受信して署名を検証し、検証に成功した場合は、前記サービス提供装置認証情報管理部が、ユーザID、パスワード、ユーザ属性及び公開鍵を含むユーザ情報をユーザ情報データベースに登録するとともに、ユーザ登録成功を表すメッセージを前記クライアント装置へ送信するユーザ登録機能と、
前記サービス提供装置認証部が、前記クライアント装置からのサービス要求に応じて当該サービスの認証法を示す認証ポリシー、サーバ証明書及び署名を含む認証要求を前記クライアント装置へ送信するサービス要求応答機能と、
前記サービス提供装置認証部が、前記クライアント装置からの認証応答を受信して当該認証応答に含まれる認証法を確認し、当該確認に成功した場合は、前記サービス提供装置認証情報管理部が、前記認証応答に含まれるユーザIDに対応するエントリーを特定し、さらに確認した認証法に応じた認証処理を行う認証処理機能と、
前記サービス提供部が、サービス提供の可否を判定し、提供可であればサービスを提供するサービス提供機能を
備えたサービス提供装置。 - 請求項7記載のサービス提供装置であって、
前記認証ポリシーは、サービスの認証法がパスワード認証か公開鍵認証か公開鍵とパスワードを組み合わせた認証かを示すものであり、
前記認証処理機能は、前記認証法に応じた認証処理として、確認した認証法がパスワード認証であれば、認証応答に含まれるユーザIDに対応するエントリーからパスワードを取得して前記認証応答に含まれるパスワードもしくはパスワード認証情報と照合し、確認した認証法が公開鍵認証であれば、前記エントリーから公開鍵を取得して前記認証応答に含まれる署名1の正当性を確認し、確認した認証法が公開鍵とパスワードを組み合わせた認証であれば、前記エントリーから公開鍵を取得して前記認証応答に含まれる署名2の正当性を確認して検証する
ことを特徴とするサービス提供装置。 - 請求項7または8記載のサービス提供装置であって、
ユーザID、パスワード及び公開鍵をユーザ毎に関連付けて登録する認証情報変換データベースを保持する認証情報変換部も備え、前記サービス提供装置認証情報管理部は、ユーザID、パスワード及びユーザ属性をユーザ毎に関連付けて登録するユーザ情報データベースを保持する構成部であり、
さらに、
前記ユーザ登録機能は、前記サービス提供装置認証部が、前記クライアント装置からのユーザ情報を受信して署名を検証し、検証に成功した場合は、前記サービス提供装置認証情報管理部が、前記ユーザ情報のうちユーザID、パスワード及びユーザ属性をユーザ情報データベースに登録し、前記認証情報変換部が、ユーザ情報のうちユーザID、パスワード及び公開鍵を認証情報変換データベースに登録するとともに、ユーザ登録成功を表すメッセージを前記クライアント装置へ送信する機能であり、
前記認証処理機能が、前記サービス提供装置認証部が、前記クライアント装置からの認証応答を受信して当該認証応答に含まれる認証法を確認し、当該確認に成功した場合は、確認した認証法がパスワード認証であれば、当該認証応答からパスワードもしくはパスワード認証情報を取得し、また、確認した認証法が公開鍵認証であれば、前記認証情報変換部が、前記認証応答に含まれるユーザIDで認証情報変換データベースを検索して該当するユーザのエントリーを特定し、公開鍵を取得して前記認証応答に含まれる署名1の正当性を確認し、前記エントリーからパスワードを取得し、また、確認した認証法が公開鍵とパスワードを組み合わせた認証であれば、前記認証情報変換部が、前記認証応答に含まれるユーザIDで認証情報変換データベースを検索して該当するユーザのエントリーを特定し、公開鍵を取得して前記認証応答に含まれる署名2の正当性を確認し、前記エントリーからパスワードを取得し、前記サービス提供装置認証情報管理部が、前記認証応答に含まれるユーザIDでユーザ情報データベースを検索して該当するユーザのエントリーを特定し、当該エントリーのパスワードと前記認証情報変換部が取得したパスワードを照合して検証する機能である、
ことを特徴とするサービス提供装置。 - 請求項7から9のいずれかに記載のサービス提供装置であって、
前記サービス要求応答機能が前記クライアント装置へ送信する認証ポリシーは、認証の強度と同意確認のレベルとの組み合わせを示す認証ポリシーである
ことを特徴とするサービス提供装置。 - 請求項10記載のサービス提供装置であって、
前記ユーザ登録機能が、前記サービス提供装置認証部が、前記クライアント装置からのユーザ情報を受信して署名を検証し、検証に成功した場合は、前記サービス提供装置認証情報管理部が、ユーザポリシー、ユーザID、パスワード、ユーザ属性及び公開鍵を含むユーザ情報をユーザ情報データベースに登録するとともに、ユーザ登録成功を表すメッセージを前記クライアント装置へ送信する機能であり、
前記サービス要求応答機能が、前記サービス提供装置認証部が、前記クライアント装置からのサービス要求に応じて当該サービスに対応する認証ポリシーであるサービスポリシーと前記ユーザポリシーとから認証ポリシーを決定し、決定した認証ポリシー、サーバ証明書及び署名を含む認証要求を前記クライアント装置へ送信する機能である
ことを特徴とするサービス提供装置。 - 請求項1記載のクライアント装置と、
請求項7から9のいずれかに記載のサービス提供装置と、
前記クライアント装置と前記サービス提供装置とを接続するネットワーク
を備えるユーザ認証システム。 - 請求項2記載の鍵装置と、
前記鍵装置に接続されるクライアント装置と、
請求項7から9のいずれかに記載のサービス提供装置と、
前記クライアント装置と前記サービス提供装置とを接続するネットワーク
を備えるユーザ認証システム。 - 請求項3記載のクライアント装置と、
請求項10記載のサービス提供装置と、
前記クライアント装置と前記サービス提供装置とを接続するネットワーク
を備えるユーザ認証システム。 - 請求項4記載の鍵装置と、
前記鍵装置に接続されるクライアント装置と、
請求項10記載のサービス提供装置と、
前記クライアント装置と前記サービス提供装置とを接続するネットワーク
を備えるユーザ認証システム。 - 請求項5記載のクライアント装置と、
請求項11記載のサービス提供装置と、
前記クライアント装置と前記サービス提供装置とを接続するネットワーク
を備えるユーザ認証システム。 - 請求項6記載の鍵装置と、
前記鍵装置に接続されるクライアント装置と、
請求項11記載のサービス提供装置と、
前記クライアント装置と前記サービス提供装置とを接続するネットワーク
を備えるユーザ認証システム。 - ネットワークで接続されたクライアント装置とサービス提供装置とを動作させ、ユーザの認証を行うユーザ認証方法であって、
前記クライアント装置が、ユーザ登録要求を前記サービス提供装置へ送信する登録要求ステップと、
前記サービス提供装置が、前記ユーザ登録要求に応じてサーバ証明書及び署名を含むサーバ認証情報を前記クライアント装置に送信する登録要求応答ステップと、
前記クライアント装置が、前記サーバ認証情報を検証する認証情報検証ステップと、
前記クライアント装置が、ユーザID、パスワード、ユーザ属性及び公開鍵に対する署名を、当該公開鍵と対応して生成させた秘密鍵を用いて求め、ユーザID、パスワード、ユーザ属性、公開鍵及び署名を含むユーザ情報を前記サービス提供装置へ送信するユーザ情報送信ステップと、
前記サービス提供装置が、前記ユーザ情報の署名を検証し、検証に成功した場合は、ユーザID、パスワード、ユーザ属性及び公開鍵を含むユーザ情報を登録するとともに、ユーザ登録成功を表すメッセージを前記クライアント装置へ送信するユーザ登録ステップと、
前記クライアント装置が、ユーザID、公開鍵、秘密鍵及びサーバ証明書を含むサービス情報をサービス情報データベースに登録するサービス情報登録ステップと、
前記クライアント装置が、サービス要求を前記サービス提供装置へ送信するサービス要求ステップと、
前記サービス提供装置が、前記サービス要求に応じて当該サービスの認証法を示す認証ポリシー、サーバ証明書及び署名を含む認証要求を前記クライアント装置へ送信するサービス要求応答ステップと、
前記クライアント装置が、前記認証要求を検証する認証要求検証ステップと、
前記クライアント装置が、認証要求に含まれる認証ポリシーを参照して決定した認証法に応じた認証応答を計算して、前記サービス提供装置へ送信する認証応答ステップと、
前記サービス提供装置が、前記認証応答に含まれる認証法を確認し、確認に成功した場合は、確認した認証法に応じた認証処理を行う認証処理ステップと、
前記サービス提供装置が、サービス提供の可否を判定し、提供可であればサービスを提供するサービス提供ステップ
を有するユーザ認証方法。 - 請求項18記載のユーザ認証方法であって、
前記認証ポリシーは、サービスの認証法がパスワード認証か公開鍵認証か公開鍵とパスワードを組み合わせた認証かを示すものであり、
前記認証応答ステップは、認証ポリシーを参照して決定した認証法が、パスワード認証であれば、パスワードから当該パスワードの所有を確認できるパスワード認証情報を計算し、当該パスワード認証情報、認証法及びユーザIDを含む認証応答を前記サービス提供装置へ送信し、また、認証ポリシーを参照して決定した認証法が公開鍵認証であれば、認証法、ユーザID及び認証要求に含まれるチャレンジに対する署名1を計算し、該署名1、認証法、ユーザIDを含む認証応答を前記サービス提供装置へ送信し、また、認証ポリシーを参照して決定した認証法が公開鍵とパスワードを組み合わせた認証であれば、認証法、ユーザID、認証要求に含まれるチャレンジ及びパスワードに対する署名2を計算し、該署名2、認証法、ユーザIDを含む認証応答を前記サービス提供装置へ送信するものであり、
前記サービス提供装置が行う前記認証処理ステップは、認証法に応じた認証処理として、確認した認証法がパスワード認証であれば、ユーザIDに対応するパスワードを取得して前記認証応答に含まれるパスワードもしくはパスワード認証情報と照合し、また、確認した認証法が公開鍵認証であれば、ユーザIDに対応する公開鍵を取得して前記認証応答に含まれる署名1の正当性を確認し、また、確認した認証法が公開鍵とパスワードを組み合わせた認証であれば、ユーザIDに対応する公開鍵を取得して前記認証応答に含まれる署名2の正当性を確認して検証する
ことを特徴とするユーザ認証方法。 - 請求項18または19記載のユーザ認証方法であって、
前記ユーザ登録ステップは、前記サービス提供装置が、前記ユーザ情報の署名を検証し、検証に成功した場合は、前記ユーザ情報のうちユーザID、パスワード及びユーザ属性をユーザ情報データベースに登録し、ユーザ情報のうちユーザID、パスワード及び公開鍵を認証情報変換データベースに登録するとともに、ユーザ登録成功を表すメッセージを前記クライアント装置へ送信するステップであり、
前記認証処理ステップは、前記サービス提供装置が、前記認証応答に含まれる認証法を確認し、当該確認に成功した場合は、確認した認証法がパスワード認証であれば、当該認証応答からパスワードもしくはパスワード認証情報を取得し、また、確認した認証法が公開鍵認証であれば、前記認証応答に含まれるユーザIDで前記認証情報変換データベースを検索してユーザIDに対応する公開鍵を取得し、前記認証応答に含まれる署名1の正当性を確認し、ユーザIDに対応するパスワードを取得し、また、確認した認証法が公開鍵とパスワードを組み合わせた認証であれば、前記認証応答に含まれるユーザIDで認証情報変換データベースを検索してユーザIDに対応する公開鍵を取得し、前記認証応答に含まれる署名2の正当性を確認し、ユーザIDに対応するパスワードを取得し、前記認証応答に含まれるユーザIDでユーザ情報データベースを検索してユーザIDに対応するパスワードと前記取得したパスワードを照合して検証するステップである
ことを特徴とするユーザ認証方法。 - 請求項18から20のいずれかに記載のユーザ認証方法であって、
前記認証応答ステップでは、認証要求に含まれる認証ポリシーに対応する認証法のうちで、選択された認証法あるいは実行可能な認証法を、認証ポリシーから特定した認証法とし、
前記サービス要求応答ステップでは、前記クライアント装置へ送信する認証ポリシーが、認証の強度と同意確認のレベルとの組み合わせを示す認証ポリシーである
ことを特徴とするユーザ認証方法。 - 請求項21記載のユーザ認証方法であって、
前記ユーザ情報送信ステップは、前記クライアント装置が、ユーザ側が要求する認証ポリシーであるユーザポリシー、ユーザID、パスワード、ユーザ属性及び公開鍵に対する署名を、当該公開鍵と対応して生成させた秘密鍵を用いて求め、ユーザポリシー、ユーザID、パスワード、ユーザ属性、公開鍵及び署名を含むユーザ情報を前記サービス提供装置へ送信するステップである
ことを特徴とするユーザ認証方法。 - 請求項1から11のいずれかに記載の装置として、コンピュータを動作させるプログラム。
- 請求項23記載のプログラムを記録したコンピュータ読み取り可能な記録媒体。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008558066A JP4892011B2 (ja) | 2007-02-07 | 2008-02-07 | クライアント装置、鍵装置、サービス提供装置、ユーザ認証システム、ユーザ認証方法、プログラム、記録媒体 |
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007028500 | 2007-02-07 | ||
JP2007028500 | 2007-02-07 | ||
JP2008558066A JP4892011B2 (ja) | 2007-02-07 | 2008-02-07 | クライアント装置、鍵装置、サービス提供装置、ユーザ認証システム、ユーザ認証方法、プログラム、記録媒体 |
PCT/JP2008/052055 WO2008099756A1 (ja) | 2007-02-07 | 2008-02-07 | クライアント装置、鍵装置、サービス提供装置、ユーザ認証システム、ユーザ認証方法、プログラム、記録媒体 |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2008099756A1 true JPWO2008099756A1 (ja) | 2010-05-27 |
JP4892011B2 JP4892011B2 (ja) | 2012-03-07 |
Family
ID=39689992
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008558066A Active JP4892011B2 (ja) | 2007-02-07 | 2008-02-07 | クライアント装置、鍵装置、サービス提供装置、ユーザ認証システム、ユーザ認証方法、プログラム、記録媒体 |
Country Status (4)
Country | Link |
---|---|
US (1) | US8352743B2 (ja) |
EP (1) | EP2110774A4 (ja) |
JP (1) | JP4892011B2 (ja) |
WO (1) | WO2008099756A1 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014153826A (ja) * | 2013-02-06 | 2014-08-25 | Hitachi Systems Ltd | パブリッククラウドサービス利用支援システム及び同利用支援方法、パブリッククラウド管理ツール及び同クラウド管理方法 |
Families Citing this family (73)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5175615B2 (ja) * | 2007-06-04 | 2013-04-03 | パナソニック株式会社 | 利用装置、サーバ装置、サービス利用システム、サービス利用方法、サービス利用プログラム及び集積回路 |
KR101452708B1 (ko) * | 2008-02-01 | 2014-10-21 | 삼성전자주식회사 | Ce 장치 관리 서버, ce 장치 관리 서버를 이용한drm 키 발급 방법, 및 그 방법을 실행하기 위한프로그램 기록매체 |
JP5272602B2 (ja) * | 2008-09-16 | 2013-08-28 | 株式会社リコー | 認証機能連携機器、認証機能連携システム及び認証機能連携プログラム |
JP2010193110A (ja) * | 2009-02-17 | 2010-09-02 | Nippon Hoso Kyokai <Nhk> | コンテンツ取得装置、コンテンツ配信装置およびユーザ認証装置、ならびに、ユーザ署名プログラム、コンテンツ配信プログラムおよびユーザ認証プログラム |
FR2951892B1 (fr) * | 2009-10-27 | 2011-12-23 | Sfr Sa | Systeme et procede de securisation contextuelle et dynamique des echanges de donnees au travers d'un reseau |
JP5459845B2 (ja) * | 2010-02-17 | 2014-04-02 | 株式会社東芝 | 携帯可能電子装置、携帯可能電子装置の制御方法及びicカード |
US8645699B2 (en) * | 2010-03-15 | 2014-02-04 | Blackberry Limited | Use of certificate authority to control a device's access to services |
WO2012118835A2 (en) * | 2011-02-28 | 2012-09-07 | Interactive Social Internetworks, Llc | Network communication systems and methods |
US9135409B2 (en) * | 2011-05-18 | 2015-09-15 | Hewlett-Packard Development Company, L.P. | Distributing update information based on validated license information |
CN104025503B (zh) * | 2011-12-28 | 2017-07-28 | 英特尔公司 | 使用客户端平台信任根的网页认证 |
US9009258B2 (en) | 2012-03-06 | 2015-04-14 | Google Inc. | Providing content to a user across multiple devices |
EP2847927A4 (en) * | 2012-03-29 | 2015-12-16 | Intel Corp | SECURE REPAIR OF DEVICES TO REQUIRE CLOUD SERVICES |
SG11201405282RA (en) * | 2012-04-01 | 2014-09-26 | Authentify Inc | Secure authentication in a multi-party system |
WO2013150343A1 (en) * | 2012-04-05 | 2013-10-10 | Nokia Corporation | Identification for apparatuses |
US8688984B2 (en) | 2012-04-27 | 2014-04-01 | Google Inc. | Providing content to a user across multiple devices |
US9258279B1 (en) | 2012-04-27 | 2016-02-09 | Google Inc. | Bookmarking content for users associated with multiple devices |
US8978158B2 (en) | 2012-04-27 | 2015-03-10 | Google Inc. | Privacy management across multiple devices |
US9881301B2 (en) | 2012-04-27 | 2018-01-30 | Google Llc | Conversion tracking of a user across multiple devices |
US8966043B2 (en) | 2012-04-27 | 2015-02-24 | Google Inc. | Frequency capping of content across multiple devices |
US8892685B1 (en) | 2012-04-27 | 2014-11-18 | Google Inc. | Quality score of content for a user associated with multiple devices |
US9514446B1 (en) | 2012-04-27 | 2016-12-06 | Google Inc. | Remarketing content to a user associated with multiple devices |
US8855312B1 (en) * | 2012-06-29 | 2014-10-07 | Emc Corporation | Mobile trust broker |
US9887965B2 (en) * | 2012-07-20 | 2018-02-06 | Google Llc | Method and system for browser identity |
US10068083B2 (en) * | 2012-09-28 | 2018-09-04 | International Business Machines Corporation | Secure transport of web form submissions |
JP2014090372A (ja) * | 2012-10-31 | 2014-05-15 | Sony Corp | 情報処理装置、情報処理システム、情報処理方法及びコンピュータプログラム |
US9363241B2 (en) | 2012-10-31 | 2016-06-07 | Intel Corporation | Cryptographic enforcement based on mutual attestation for cloud services |
US9521032B1 (en) * | 2013-03-14 | 2016-12-13 | Amazon Technologies, Inc. | Server for authentication, authorization, and accounting |
JP6081857B2 (ja) * | 2013-04-26 | 2017-02-15 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 認証システムおよび認証方法 |
US10489852B2 (en) * | 2013-07-02 | 2019-11-26 | Yodlee, Inc. | Financial account authentication |
US9288206B2 (en) * | 2013-07-09 | 2016-03-15 | Empire Technology Development Llc | Shared secret techniques for ubiquitous computing devices |
EP3029879B1 (en) * | 2013-08-05 | 2018-07-04 | Sony Corporation | Information processing device, information processing method, and computer program |
DE102013108925A1 (de) * | 2013-08-19 | 2015-02-19 | Deutsche Post Ag | Unterstützung der Nutzung eines geheimen Schlüssels |
SG2014011308A (en) * | 2014-02-11 | 2015-09-29 | Smart Communications Inc | Authentication system and method |
JP6201835B2 (ja) * | 2014-03-14 | 2017-09-27 | ソニー株式会社 | 情報処理装置、情報処理方法及びコンピュータプログラム |
CN103929307B (zh) * | 2014-04-02 | 2018-06-01 | 天地融科技股份有限公司 | 密码输入方法、智能密钥设备以及客户端装置 |
US10460098B1 (en) | 2014-08-20 | 2019-10-29 | Google Llc | Linking devices using encrypted account identifiers |
US9444848B2 (en) * | 2014-09-19 | 2016-09-13 | Microsoft Technology Licensing, Llc | Conditional access to services based on device claims |
CN105490997B (zh) | 2014-10-10 | 2019-05-14 | 阿里巴巴集团控股有限公司 | 安全校验方法、装置、终端及服务器 |
JP6459398B2 (ja) * | 2014-10-30 | 2019-01-30 | 株式会社リコー | 情報処理システム、情報処理装置、アクセス制御方法及びプログラム |
US10129031B2 (en) | 2014-10-31 | 2018-11-13 | Convida Wireless, Llc | End-to-end service layer authentication |
EP3272094B1 (en) * | 2015-03-16 | 2021-06-23 | Convida Wireless, LLC | End-to-end authentication at the service layer using public keying mechanisms |
CN105704123B (zh) * | 2016-01-08 | 2017-09-15 | 腾讯科技(深圳)有限公司 | 一种进行业务处理的方法、装置和系统 |
WO2017147696A1 (en) * | 2016-02-29 | 2017-09-08 | Troy Jacob Ronda | Systems and methods for distributed identity verification |
AU2017225928A1 (en) | 2016-02-29 | 2018-09-20 | Securekey Technologies Inc. | Systems and methods for distributed data sharing with asynchronous third-party attestation |
US10484382B2 (en) | 2016-08-31 | 2019-11-19 | Oracle International Corporation | Data management for a multi-tenant identity cloud service |
US10511589B2 (en) | 2016-09-14 | 2019-12-17 | Oracle International Corporation | Single logout functionality for a multi-tenant identity and data security management cloud service |
US10594684B2 (en) | 2016-09-14 | 2020-03-17 | Oracle International Corporation | Generating derived credentials for a multi-tenant identity cloud service |
US10846390B2 (en) | 2016-09-14 | 2020-11-24 | Oracle International Corporation | Single sign-on functionality for a multi-tenant identity and data security management cloud service |
WO2018053258A1 (en) | 2016-09-16 | 2018-03-22 | Oracle International Corporation | Tenant and service management for a multi-tenant identity and data security management cloud service |
US10484243B2 (en) | 2016-09-16 | 2019-11-19 | Oracle International Corporation | Application management for a multi-tenant identity cloud service |
US10445395B2 (en) | 2016-09-16 | 2019-10-15 | Oracle International Corporation | Cookie based state propagation for a multi-tenant identity cloud service |
US10904074B2 (en) | 2016-09-17 | 2021-01-26 | Oracle International Corporation | Composite event handler for a multi-tenant identity cloud service |
US10171465B2 (en) * | 2016-09-29 | 2019-01-01 | Helene E. Schmidt | Network authorization system and method using rapidly changing network keys |
US10084797B2 (en) * | 2016-10-03 | 2018-09-25 | Extreme Networks, Inc. | Enhanced access security gateway |
JP2018067854A (ja) * | 2016-10-21 | 2018-04-26 | 株式会社プラットフィールド | 情報通信システム |
US11210412B1 (en) * | 2017-02-01 | 2021-12-28 | Ionic Security Inc. | Systems and methods for requiring cryptographic data protection as a precondition of system access |
US10454915B2 (en) * | 2017-05-18 | 2019-10-22 | Oracle International Corporation | User authentication using kerberos with identity cloud service |
CN109309565B (zh) | 2017-07-28 | 2021-08-10 | 中国移动通信有限公司研究院 | 一种安全认证的方法及装置 |
US10831789B2 (en) | 2017-09-27 | 2020-11-10 | Oracle International Corporation | Reference attribute query processing for a multi-tenant cloud service |
US10705823B2 (en) | 2017-09-29 | 2020-07-07 | Oracle International Corporation | Application templates and upgrade framework for a multi-tenant identity cloud service |
US10715564B2 (en) | 2018-01-29 | 2020-07-14 | Oracle International Corporation | Dynamic client registration for an identity cloud service |
JP7338478B2 (ja) * | 2018-02-06 | 2023-09-05 | ソニーグループ株式会社 | 情報処理装置、情報処理方法、プログラム、および情報処理システム |
CN109064606B (zh) * | 2018-08-03 | 2021-09-03 | 广州邦讯信息系统有限公司 | 门禁任务执行方法、系统、门禁系统和可读存储介质 |
BR102018016813A2 (pt) * | 2018-08-16 | 2020-03-10 | Daniel Alberto Rezende | Adaptação em dispositivos transmissores e receptores de radiofrequência e método de criptografia de dados temporais para comparação por sincronia |
US11321187B2 (en) | 2018-10-19 | 2022-05-03 | Oracle International Corporation | Assured lazy rollback for a multi-tenant identity cloud service |
US11423111B2 (en) | 2019-02-25 | 2022-08-23 | Oracle International Corporation | Client API for rest based endpoints for a multi-tenant identify cloud service |
US11792226B2 (en) | 2019-02-25 | 2023-10-17 | Oracle International Corporation | Automatic api document generation from scim metadata |
CN110401544A (zh) * | 2019-08-29 | 2019-11-01 | 北京艾摩瑞策科技有限公司 | 知识付费平台用户的区块链私钥的代签方法及其装置 |
US11687378B2 (en) | 2019-09-13 | 2023-06-27 | Oracle International Corporation | Multi-tenant identity cloud service with on-premise authentication integration and bridge high availability |
US11870770B2 (en) | 2019-09-13 | 2024-01-09 | Oracle International Corporation | Multi-tenant identity cloud service with on-premise authentication integration |
CN110635916B (zh) * | 2019-09-30 | 2022-07-12 | 四川虹微技术有限公司 | 基于tee的安全应用认证方法 |
CN111988147B (zh) * | 2020-08-20 | 2022-06-03 | 上海万向区块链股份公司 | 组合签名及验证签名方法、系统及存储介质 |
CN114710290B (zh) * | 2022-06-06 | 2022-08-26 | 科大天工智能装备技术(天津)有限公司 | 一种智慧大棚传感器设备的安全认证方法 |
Family Cites Families (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5778071A (en) | 1994-07-12 | 1998-07-07 | Information Resource Engineering, Inc. | Pocket encrypting and authenticating communications device |
US7275155B1 (en) * | 2000-09-01 | 2007-09-25 | Northrop Grumman Corporation | Chain of trust processing |
JP2002132727A (ja) | 2000-10-27 | 2002-05-10 | Nippon Telegr & Teleph Corp <Ntt> | 利用者認証方法及びシステム装置 |
US20030200447A1 (en) * | 2001-08-17 | 2003-10-23 | Lotta Almroth | Identification system |
US8020201B2 (en) * | 2001-10-23 | 2011-09-13 | Intel Corporation | Selecting a security format conversion for wired and wireless devices |
JP2004021686A (ja) * | 2002-06-18 | 2004-01-22 | Toshiba Corp | 認証処理システム、認証処理装置、プログラム及び認証処理方法 |
WO2004092864A2 (en) * | 2003-04-14 | 2004-10-28 | Matsushita Electric Industrial Co., Ltd. | Client-server authentication using the challenge-response principle |
JP2004334860A (ja) * | 2003-04-14 | 2004-11-25 | Matsushita Electric Ind Co Ltd | 機器認証システム、サーバ機器、クライアント機器 |
JP4374904B2 (ja) * | 2003-05-21 | 2009-12-02 | 株式会社日立製作所 | 本人認証システム |
US7194763B2 (en) * | 2004-08-02 | 2007-03-20 | Cisco Technology, Inc. | Method and apparatus for determining authentication capabilities |
US8365293B2 (en) * | 2005-01-25 | 2013-01-29 | Redphone Security, Inc. | Securing computer network interactions between entities with authorization assurances |
JP2006251868A (ja) | 2005-03-08 | 2006-09-21 | Hitachi Ltd | Id管理システム及びid管理方法 |
JP4689335B2 (ja) * | 2005-04-25 | 2011-05-25 | 日立オムロンターミナルソリューションズ株式会社 | 不正取引防止システムおよび端末装置 |
JP4211760B2 (ja) * | 2005-05-26 | 2009-01-21 | コニカミノルタビジネステクノロジーズ株式会社 | 情報処理装置およびその管理方法ならびにコンピュータプログラム |
US7958362B2 (en) * | 2005-10-11 | 2011-06-07 | Chang Gung University | User authentication based on asymmetric cryptography utilizing RSA with personalized secret |
US20070220274A1 (en) * | 2005-10-17 | 2007-09-20 | Saflink Corporation | Biometric authentication system |
US8341238B2 (en) * | 2006-03-03 | 2012-12-25 | Sharp Laboratories Of America, Inc. | Methods and systems for multiple-device session synchronization |
US8015409B2 (en) * | 2006-09-29 | 2011-09-06 | Rockwell Automation Technologies, Inc. | Authentication for licensing in an embedded system |
US8352738B2 (en) * | 2006-12-01 | 2013-01-08 | Carnegie Mellon University | Method and apparatus for secure online transactions |
-
2008
- 2008-02-07 JP JP2008558066A patent/JP4892011B2/ja active Active
- 2008-02-07 US US12/523,537 patent/US8352743B2/en active Active
- 2008-02-07 WO PCT/JP2008/052055 patent/WO2008099756A1/ja active Application Filing
- 2008-02-07 EP EP08710934A patent/EP2110774A4/en not_active Ceased
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014153826A (ja) * | 2013-02-06 | 2014-08-25 | Hitachi Systems Ltd | パブリッククラウドサービス利用支援システム及び同利用支援方法、パブリッククラウド管理ツール及び同クラウド管理方法 |
Also Published As
Publication number | Publication date |
---|---|
EP2110774A4 (en) | 2010-08-11 |
US20100088519A1 (en) | 2010-04-08 |
WO2008099756A1 (ja) | 2008-08-21 |
EP2110774A1 (en) | 2009-10-21 |
US8352743B2 (en) | 2013-01-08 |
JP4892011B2 (ja) | 2012-03-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4892011B2 (ja) | クライアント装置、鍵装置、サービス提供装置、ユーザ認証システム、ユーザ認証方法、プログラム、記録媒体 | |
JP5790653B2 (ja) | サービス提供システム | |
JP5016678B2 (ja) | 利用者認証システム及びその方法 | |
EP2008398B1 (en) | Enhanced security for electronic communications | |
JP5604176B2 (ja) | 認証連携装置およびそのプログラム、機器認証装置およびそのプログラム、ならびに、認証連携システム | |
KR100739245B1 (ko) | 정보 처리 장치, 정보 처리 방법 및 기억 매체 | |
WO2007126905A2 (en) | Customizable sign-on service | |
JP4960738B2 (ja) | 認証システム、認証方法および認証プログラム | |
JP2018197997A (ja) | システム、情報処理装置、方法及びプログラム | |
JP6430689B2 (ja) | 認証方法、端末およびプログラム | |
JP2019086937A (ja) | 画像処理装置、画像処理装置の制御方法、プログラム、システム、およびシステムの制御方法 | |
JP4611988B2 (ja) | 端末装置 | |
JP2011221729A (ja) | Id連携システム | |
JP2020120173A (ja) | 電子署名システム、証明書発行システム、証明書発行方法及びプログラム | |
JP5036500B2 (ja) | 属性証明書管理方法及び装置 | |
JP2005267529A (ja) | ログイン認証方式、ログイン認証システム、認証プログラム、通信プログラムおよび記憶媒体 | |
JP5252721B2 (ja) | 情報提供サーバ | |
JP6325654B2 (ja) | ネットワークサービス提供装置、ネットワークサービス提供方法、及びプログラム | |
JP3914152B2 (ja) | 認証サーバ、認証システムおよび認証プログラム | |
JP2015192377A (ja) | 鍵送信方法、鍵送信システム、及び鍵送信プログラム | |
JP2005078371A (ja) | 情報処理サーバ及び情報処理方法 | |
JP4652018B2 (ja) | コンテンツ視聴装置、情報開示プログラム、視聴情報管理装置およびそのプログラム、並びに、視聴データ提供方法 | |
JP5384462B2 (ja) | 認証システムおよび認証方法 | |
JP4882255B2 (ja) | 属性証明書管理装置および方法 | |
Bicakci et al. | QRAuth: A Secure and Accessible Web Authentication Alternative to FIDO2 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110830 |
|
RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20110908 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20111027 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20111206 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20111216 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4892011 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20141222 Year of fee payment: 3 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |