JPWO2009050924A1 - 利用者認証システム及びその方法 - Google Patents
利用者認証システム及びその方法 Download PDFInfo
- Publication number
- JPWO2009050924A1 JPWO2009050924A1 JP2009537966A JP2009537966A JPWO2009050924A1 JP WO2009050924 A1 JPWO2009050924 A1 JP WO2009050924A1 JP 2009537966 A JP2009537966 A JP 2009537966A JP 2009537966 A JP2009537966 A JP 2009537966A JP WO2009050924 A1 JPWO2009050924 A1 JP WO2009050924A1
- Authority
- JP
- Japan
- Prior art keywords
- user
- terminal
- certificate
- information
- user authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
Description
これに対して、利用者自らの鍵ペアを利用して証明書(自己署名証明書)を発行し、この自己署名証明書を用いて利用者を認証するプロトコルが提案されている(非特許文献1参照)。この自己署名証明書を用いた利用者認証プロトコルにおいても、利用者の鍵ペアを用いることによって同一の利用者であるということは確認可能であり、また、この場合はCAを利用しないため、前述したCAの秘密鍵を守るのに必要なコスト及びサーバ側の証明書発行コストがかからないという利点がある。
(1) 利用者端末10は、所望のサービスプロバイダ用に公開鍵PKUと秘密鍵SKUの鍵ペアを生成し、その公開鍵PKUと、予め用意した利用者識別子IDUなどの証明書作成に必要な情報(利用者情報INFU)とに対し、前記秘密鍵SKUを使って署名SIGU=SKU(PKU, INFU)を生成し、公開鍵PKU、利用者情報INFU及び署名SIGUを含む自己署名証明書(以下、端末証明書とも呼ぶ)CERTU={PKU, INFU, SIGU}を作成し(ステップS11)、これを記憶装置に保存すると共に前記サービスプロバイダの利用者認証装置30へ送信して登録を要求する(ステップS12)。ここで、SK(*)はデータ*に対し秘密鍵SKを用いて生成した署名を表す。
(1) 利用者認証装置30は、利用者端末からのサービス要求(ステップS15)に応じて、証明書要求と乱数Rを利用者端末10に送信する(ステップS16)。
(2) 利用者端末10は、保持されている複数の端末証明書から、利用しようとするサービスプロバイダに対応する端末証明書を利用者に選択させ、選択された端末証明書に含まれる端末公開鍵PKUに対応する端末秘密鍵SKUを使って前記乱数Rを含むデータに署名を行い(ステップS17)、その署名SIGRUと端末証明書CERTUを利用者認証装置30に送信する(ステップS18)。
"Windows(登録商標) CardSpaceの紹介"、[online]、Microsoft Corporation、[平成19年9月3日検索]、インターネット<URL:http://www.microsoft.com/japan/msdn/net/general/IntroInfoCard.aspx>
(b) サービス提供側のサーバ(即ち、利用者認証装置)は任意の証明書を受け入れる設定にしなければならないが、これにより、処理負荷の増大や、セキュリティの低下が避けられない。
本発明は、自己署名証明書を用いた利用者認証プロトコルにおける、上記2つの課題を解決することを目的とする。
利用者端末は、
任意のデータである署名対象情報に対し、上記認証局秘密鍵を利用して端末署名を計算し、上記署名対象情報、上記端末署名及び上記認証局識別子を少なくとも含む自己署名証明書である端末証明書を生成する端末証明書生成手段と、
上記端末証明書を保存する端末情報記憶手段と、
利用者登録要求として少なくとも上記端末証明書を上記利用者認証装置に送信する登録要求手段と、
サービス要求時に利用者認証装置から受信した認証局識別子に対応する端末証明書を上記端末情報記憶手段から取得し、上記利用者認証装置に送信するサービス要求手段、
とを含み、
利用者認証装置は、
認証情報記憶手段と、
利用者端末から受信した端末証明書を上記認証情報記憶手段に登録する利用者登録手段と、
利用者端末からのサービス要求に応じて、利用者端末の認証時に、上記認証局識別子を上記利用者端末に通知し、対応する端末証明書を上記利用者端末から得て、上記端末証明書に含まれる端末署名を上記認証局公開鍵を用いて検証する利用者認証手段、
とを含む。
[事前フェーズ]
利用者認証装置30は、その利用者認証装置が信頼するCAの情報(CA公開鍵PKCA、CA識別子IDCA)又はそれを含むCA証明書CERTCAを事前に取得し(ステップS7)、CA証明書CERTCA又はCA識別子IDCAを自身の信頼するCAリストに登録しているものとする(ステップS8)。CA証明書CERTCAは、CA公開鍵PKCAと、発行対象であるCAの識別子IDCAを含む発行対象情報INFCAと、証明書の発行者であるCAの識別子IDCAと、その公開鍵PKCAと発行対象情報INFCAと発行者であるCAの識別子IDCAとに対するCA秘密鍵SKCAを使ったCA署名SIGCA=SKCA(PKCA, INFCA, IDCA)とを含む。これをCERTCA={PKCA, INFCA, IDCA, SIGCA}と表すことにする。CA情報又はCA証明書の取得方法は、例えば別途ネットワーク上に設けられているCA情報公開サーバ(図示せず)から取得する。または他の方法で取得してもよい。
(a) 利用者端末10は、署名対象として予め用意した任意の情報(署名対象情報と呼ぶ)UDと、発行者識別子IDCAとを含む情報に対し、前記CA秘密鍵SKCAを用いて端末署名SIGCA/U=SKCA(UD, IDCA)を生成し、署名対象情報UD、端末署名SIGCA/U及び証明書の発行者情報(ここでは署名計算に使われた秘密鍵SKCAに対応するCAの識別子IDCA)からなる自己署名証明書CERTCA/U={UD, SIGCA/U, IDCA}(以降、端末証明書とも呼ぶ)を作成し(ステップS11)、これを利用者端末10の端末記憶装置(図示せず)に保存すると共に利用者認証装置30へ送信し、登録を要求する(ステップS12)。
(a) 利用者認証装置30は、利用者端末10からのサービス要求(ステップS15)に応じて、事前に登録した自身が信頼するCAのリスト、即ち、CA識別子IDCAのリストを証明書要求として利用者端末10に送信する(ステップS16)。
(b) 証明書要求を受信した利用者端末10は、証明書要求に含まれるCA識別子リスト中の何れか1つと同じCA識別子IDCAを発行者情報として有する端末証明書CERTCA/Uを端末記憶装置(図示せず)から選択する(ステップS17)。更に、その端末証明書CERTCA/Uを利用者認証装置30に送信する(ステップS18)。
(c) 利用者認証装置30は、受信した端末証明書CERTCA/Uの正当性を自身が信頼するCAの証明書CERTCAを用いて検証する。即ち、受信した端末証明書CERTCA/Uに含まれるCA識別子IDCAが、CAリスト中の何れかのCA識別子IDCAと一致するか検証し、更に端末証明書CERTCA/Uに含まれる端末署名SIGCA/UをCA公開鍵PKCAを使って検証する(ステップS19)。検証に成功した場合は、利用者へサービスを提供する(ステップS21)。
<第1の実施形態>
図4は本発明の第1の実施形態に係る利用者認証システムの概要を示すもので、図中、10は利用者が使用する利用者端末、20はCA情報(CA公開鍵PKCA、CA秘密鍵SKCA、CA識別子IDCA)を公開するCA情報公開サーバ、30は利用者を認証してサービスを提供する利用者認証装置、NWはこれらを接続するインターネット等のネットワークである。
利用者端末10は、図5に示すように、端末情報データベース101と、端末証明書生成部103と、データベース登録部104と、端末証明書通知部106と、認証プロトコル処理部107と、データベース参照部108とを備えている。端末証明書生成部103と、データベース登録部104は端末証明書生成手段10Aを構成し、端末証明書通知部106は登録要求手段10Bを構成し、認証プロトコル処理部107と、データベース参照部108はサービス要求手段10Cを構成している。
CA情報公開サーバ20は、図6に示すように、CA情報データベース201と、CA情報通知部202と、データベース参照部203とを備えている。CA情報データベース201は、CA識別子IDCAと、CA秘密鍵SKCAと、CA秘密鍵SKCAとペアのCA公開鍵PKCAとをそれぞれ対応付けて保存している。
利用者認証装置30は、図7に示すように、CA情報データベース301と、認証情報データベース302と、データベース登録部305と、認証プロトコル処理部306と、データベース参照部307と、サービス提供部308とを備えている。データベース登録部305は利用者登録手段30Aを構成し、CA情報データベース301と、認証プロトコル処理部306は利用者認証手段30Bを構成し、データベース参照部307と、サービス提供部308はサービス提供手段30Cを構成している。
サービス提供部308は、受け取った端末証明書登録確認結果に基づいてサービスの提供可否を判断し、利用者端末10へサービスを提供する。
図8は本発明の第1の実施形態に係る利用者認証システムにおける利用者端末10による端末証明書生成処理の流れを示すものである。
まず、利用者端末10は、端末証明書生成部103によりCA情報公開サーバ20からCA秘密鍵SKCAを取得する(ステップS9)。利用者端末10は、予め準備した任意のデータである署名対象情報UDに対し、前記受信したCA秘密鍵SKCAを使って端末署名SIGCA/U=SKCA(UD)を生成し(署名を計算し)、署名対象情報UD、端末署名SIGCA/U及び前記CA識別子IDCAを少なくとも含む端末証明書CERTCA/U={UD, SIGCA/U, IDCA}を生成し(ステップS112)、データベース登録部104を介して端末情報データベース101に登録する(ステップS113)。
図9は本発明の第1の実施形態に係る利用者認証システムにおける利用者登録処理(端末証明書の登録処理)の流れを示すものである。
まず、利用者端末10からの利用者登録要求(ステップS121)に応答して利用者認証装置30は利用者端末10に対し、端末証明書送信要求を送る(ステップS122)。
端末証明書送信要求を受信した利用者端末10は、その端末証明書通知部106により、端末証明書生成部103で生成され、端末情報データベース101に保存されている端末証明書CERTCA/Uを利用者認証装置30に送信する(ステップS123)。利用者認証装置30は、受信した端末証明書CERTCA/Uを検証し(ステップS13)、検証に成功したら、端末証明書CERTCA/Uをデータベース登録部305を介して認証情報データベース302に登録する(ステップS14)。
図10は本発明の第1の実施形態に係る利用者認証システムによる利用フェーズにおける利用者認証処理の流れを示すものである。なお、利用者認証装置30は、事前にその利用者認証装置が信頼するCAの識別子IDCA及び公開鍵PKCAを取得し、CA情報データベース301に登録しているものとする。取得方法は、例えば別途CA情報公開サーバ20があり、そこから取得する。また、取得の方法についても問わない。
利用者認証装置30は、サービス提供部308により、データベース参照部307から受け取った端末証明書登録確認結果に基づいてサービスの提供可否を判断し、利用者端末10にサービスを提供する(ステップS21)。
<第2の実施形態>
第2の実施形態に係る利用者認証システムの概要は図4と同様であり、これを参照する。
[利用者端末]
利用者端末10は、図11に示すように、端末情報データベース101と、端末鍵ペア生成部102と、端末証明書生成部103と、データベース登録部104と、利用者確認部105と、端末証明書通知部106と、認証プロトコル処理部107と、データベース参照部108とを備えている。端末鍵ペア生成部102と、端末証明書生成部103と、データベース登録部104は端末証明書生成手段10Aを構成し、利用者確認部105と、端末証明書通知部106は登録要求手段10Bを構成し、認証プロトコル処理部107と、データベース参照部108はサービス要求手段10Cを構成している。
CA情報公開サーバ20は、図12に示すように、CA情報データベース201と、CA情報通知部202と、データベース参照部203とを備えている。
前述のようにCA証明書CERTCAはCA公開鍵PKCAと、CA識別子IDCAと、それらを含む情報に対するCA署名SIGCAとを含んでおり、CA情報データベース201は、利用可能な各CAの証明書CERTCAを、その証明書に含まれるCA公開鍵PKCAとペアのCA秘密鍵SKCAに対応付けて保存している。
存された検索キーによる指定(例えば、CA証明書がサービス毎に規定されている場合におけるサービスのURLなど)等により指定してもよいが、CA情報を自由に公開することにより、指定のない要求に対して、全部又は一部のCA情報を通知することも可能である。また、CA情報を配信することにより、利用者端末10又は利用者認証装置30からの要求なしでPUSH型に全部又は一部のCA情報を通知することも可能であり、さらにまた、要求受信時に所定の利用者認証を行い、CA情報を通知する利用者を限定することも可能である。
利用者認証装置30は、図13に示すように、CA情報データベース301と、認証情報データベース302と、利用者確認部303と、端末証明書・利用者情報結合部304と、データベース登録部305と、認証プロトコル処理部306と、データベース参照部307と、サービス提供部308とを備えている。利用者確認部303と、端末証明書・利用者情報結合部304と、データベース登録部305は利用者登録手段30Aを構成し、CA情報データベース301と、認証プロトコル処理部306は利用者認証手段30Bを構成し、データベース参照部307と、サービス提供部308はサービス提供手段30Cを構成している。
図14は本発明の第2の実施形態に係る利用者認証システムにおける利用者端末10による端末証明書生成処理の流れを示すものである。
[利用者登録処理]
図15は本発明の第2の実施形態に係る利用者認証システムにおける利用者登録処理(端末証明書の登録処理)の流れを示すものである。
まず、利用者端末10からの利用者登録要求(ステップS121)に応答して利用者認証装置30は利用者端末10に対し、端末証明書送信要求を送る(ステップS122)。
図16は本発明の第2の実施形態に係る利用者認証システムによる利用フェーズにおける利用者認証処理の流れを示すものである。なお、利用者認証装置30は、事前にその利用者認証装置が信頼するCAの証明書CERTCAを取得し、CA証明書CERTCA又はCAの識別子IDCAを自身の信頼するCAリストに登録しているものとする。取得方法は、例えば別途CA情報公開サーバ20があり、そこから取得する。また、取得の方法についても問わない。
利用者認証装置30は、サービス提供部308により、データベース参照部307から受け取った利用者情報INFUを用いて利用者端末10にサービスを提供する(ステップS21)。
利用者端末10に対し、利用者からサービス要求送信の指示(ステップS15C)があると、利用者端末10は利用者認証装置30へClientHelloメッセージを送ることで、TLSのハンドシェイクを開始する(ステップS161)。
また、本実施形態において、CA情報公開サーバ20と利用者認証装置30を、一台に統合してもよい。
図18は本発明の第3の実施形態に係る利用者認証システムであり、ここではCA情報を予め利用者端末に埋め込むようにしたシステムの概要を示す。図中、第2の実施形態と同一構成部分は同一符号をもって表す。10bは利用者端末、20bはCA情報公開サーバ、30は利用者認証装置、NWはネットワークである。
利用者端末10bは、図19に示すように、端末情報データベース101と、端末鍵ペア生成部102と、データベース登録部104と、利用者確認部105と、端末証明書通知部106と、認証プロトコル処理部107と、データベース参照部108と、CA情報データベース109と、端末証明書生成部103bとを備えている。端末鍵ペア生成部102と、端末証明書生成部103bと、データベース登録部104と、CA情報データベース109は端末証明書生成手段10Aを構成し、利用者確認部105と、端末証明書通知部106は登録要求手段10Bを構成し、認証プロトコル処理部107と、データベース参照部108はサービス要求手段10Cを構成している。
CA情報公開サーバ20bは、図20に示すように、データベース参照部203と、CA情報データベース201bと、CA情報通知部202bとを備えている。
CA情報データベース201bは、前述した利用者端末10bの基本ソフトウェア又はハードウェアメーカーが公開するCA情報、即ちCA公開鍵PKCA、CA署名SIGCA及び署名した上位CA又は自己のCAの識別子IDCAを少なくとも含むCA証明書CERTCAを保存する。
なお、利用者端末10bにおける要求するCA情報又は利用者認証装置30における要求するCA証明書の指定方法は、第2の実施形態の場合と同様の方法を利用できる。
図21は本発明の第3の実施形態に係る利用者認証システムの利用者端末10bにおける端末証明書生成処理の流れを示すものである。
端末証明書生成部103bは、指定されたCA情報(CA証明書CERTCAとCA秘密鍵SKCA)をCA情報データベース109から取得し(ステップS9)、端末鍵ペア生成部102により、端末公開鍵PKUと端末秘密鍵SKUの鍵ペアを生成し(ステップS111)、図示しない記憶装置に記憶する。
また、上記以外の利用者端末10b、CA情報公開サーバ20b、利用者認証装置30の構成、並びに[利用者登録処理]、[利用者認証処理]の流れは第2の実施形態の場合と同様である。
また、本実施形態においても、CA情報公開サーバ20bと利用者認証装置30を、一台に統合することが可能である。
図22は本発明の第4の実施形態に係る利用者認証システムである。ここではネットワークを介して利用者端末及び利用者認証装置と通信可能な第3者機関としての通信サービス提供サーバを利用して利用者のメールアドレスを基に利用者確認を行うシステムの概要を示す。図中、第2の実施形態と同一構成部分は同一符号をもって表す。10cは利用者端末、20はCA情報公開サーバ、30bは利用者認証装置、NWはネットワーク、50は宛先のユーザを認証してメールを配信するメールサーバ(通信サービス提供サーバ)である。
第2及び第3の実施形態では、利用者情報INFUとして利用者識別子IDUを含む情報を使用したが、第4の実施形態では利用者情報INFUとして利用者のメールアドレスMADUを含む情報を使用する。
利用者端末10cは、図23に示すように、端末情報データベース101と、端末鍵ペア生成部102と、端末証明書生成部103と、データベース登録部104と、端末証明書通知部106と、認証プロトコル処理部107と、データベース参照部108と、利用者確認部105cとを備えている。端末鍵ペア生成部102と、端末証明書生成部103と、データベース登録部104は端末証明書生成手段10Aを構成し、利用者確認部105cと、端末証明書通知部106は登録要求手段10Bを構成し、認証プロトコル処理部107と、データベース参照部108はサービス要求手段10Cを構成している。
利用者認証装置30bは、図24に示すように、CA情報データベース301と、認証情報データベース302と、端末証明書・利用者情報結合部304と、データベース登録部305と、認証プロトコル処理部306と、データベース参照部307と、サービス提供部308と、利用者確認部303bとを備えている。利用者確認部303bと、端末証明書・利用者情報結合部304と、データベース登録部305は利用者登録手段30Aを構成し、CA情報データベース301と、認証プロトコル処理部306は利用者認証手段30Bを構成し、データベース参照部307と、サービス提供部308はサービス提供手段30Cを構成している。
図25は本発明の第4の実施形態に係る利用者認証システムにおける利用者登録処理の流れを示すものである。
まず、第2の実施形態における利用者登録処理と同様のステップS121からステップS13(図15)までのシーケンスに従い、利用者端末10cの端末証明書生成部103で生成した端末証明書CERTCA/Uを利用者認証装置30bに送信し、利用者認証装置30bは受信した端末証明書CERTCA/Uを検証する。検証が済んだ端末証明書CERTCA/Uは利用者認証装置30bの一時的な記憶装置(図示せず)に保存される。次に、利用者認証装置30bの利用者確認部303bは、利用者端末10cに対し、利用者識別子IDUを含む利用者情報INFU及びE-mailアドレスを要求する(ステップS124b)。
利用者認証装置30bでは、その利用者確認部303bにより、前記テンポラリ鍵TKを含む確認情報を受信し、これを検証し(ステップS226)、検証に成功すれば、その端末証明書・利用者情報結合部304により、前記保存した端末証明書CERTCA/U又は少なくとも当該端末証明書CERTCA/Uに含まれる端末公開鍵PKUに対応付けて、前記保存した利用者情報INFUをデータベース登録部305を介して認証情報データベース302に登録する(ステップS227)。なお、利用者情報INFUに加え、前記保存したE-mailアドレスMADUを認証情報データベース302に保存し、後のサービス提供時に利用してもよい。
また、本実施形態においても、CA情報公開サーバ20と利用者認証装置30bを、一台に統合することが可能である。
更に、本実施形態においても、第3の実施形態と同様に、利用者端末10c内にCA情報データベース109があり、端末証明書生成部103はCA情報公開サーバ20からCA情報を取得することなしに端末証明書CERTCA/Uを生成してもよい。
上述の第4の実施形態では電子メールを使って利用者確認を行なったが、第5の実施形態では利用者の電話番号を使って利用者確認を行なう。図26は本発明の第5の実施形態に係る利用者認証システム、ここでは第3者機関を利用して利用者確認を行う、特に利用者の電話番号を基に利用者確認を行うシステムの概要を示すものである。図中、第2の実施形態と同一構成部分は同一符号をもって表す。10dは利用者端末、20はCA情報公開サーバ、30cは利用者認証装置、NWはネットワーク、60は電話網又はNGN(Next Generation Network)、70は第3者機関である通信サービス提供サーバとしての交換機又はSIPサーバ(Session Initiation Protocol Server, 以下、SIPサーバと呼ぶ)である。
利用者端末10dは、図27に示すように、端末情報データベース101と、端末鍵ペア生成部102と、端末証明書生成部103と、データベース登録部104と、端末証明書通知部106と、認証プロトコル処理部107と、データベース参照部108と、利用者確認部105dとを備えている。端末鍵ペア生成部102と、端末証明書生成部103と、データベース登録部104は端末証明書生成手段10Aを構成し、利用者確認部105dと、端末証明書通知部106は登録要求手段10Bを構成し、認証プロトコル処理部107と、データベース参照部108はサービス要求手段10Cを構成している。
利用者認証装置30cは、図28に示すように、CA情報データベース301と、認証情報データベース302と、端末証明書・利用者情報結合部304と、データベース登録部305と、認証プロトコル処理部306と、データベース参照部307と、サービス提供部308と、利用者確認部303cとを備えている。利用者確認部303cと、端末証明書・利用者情報結合部304と、データベース登録部305は利用者登録手段30Aを構成し、CA情報データベース301と、認証プロトコル処理部306は利用者認証手段30Bを構成し、データベース参照部307と、サービス提供部308はサービス提供手段30Cを構成している。
図29は本発明の第5の実施形態に係るSIPサーバ70を使用した場合の利用者認証システムにおける利用者登録処理の流れを示すものである。
まず、利用者端末10dは事前準備として、利用者確認部105dによりメッセージREGISTERと共に電話番号TELU(IP電話番号)とそれに対応して与えられているIPアドレスIPADUをSIPサーバ70に送信する(ステップS321)。SIPサーバ70は受信した電話番号TELUとIPアドレスIPADUを対応つけて登録し、"200 OK"のメッセージ200を利用者端末10dに送信する(ステップS322)。なお、この事前準備(ステップS321,S322)はTELUやIPADUが変わらない限り一度だけ実行すればよく、例えば複数の利用者認証装置にアクセスする場合でも、最初のアクセスの前に一度だけ実行すればよい。
0cに送信し、利用者認証装置30cはステップS13でその受信した利用者署名SIGγUを、受信した端末証明書CERTCA/Uに含まれる端末公開鍵PKUを使って検証してもよい。
上記以外の利用者端末10d、CA情報公開サーバ20、利用者認証装置30cの構成、並びに[証明書生成処理]、[利用者認証処理]の流れは第2の実施形態の場合と同様である。
更に、本実施形態においても、第3の実施形態と同様に、利用者端末10d内にCA情報データベース109があり、端末証明書生成部103はCA情報公開サーバ20からCA情報を取得することなしに端末証明書CERTCA/Uを生成してもよい。
図30は本発明の第6の実施形態に係る利用者認証システム、ここでは特に第3者機関としてWebサーバが利用者を一意に特定できるURIを発行し、そのURIを基に利用者確認を行う例を示す。利用者を一意に特定できるURIの例としては、http://Webサーバのドメイン名/利用者名/というものがあるが、これに限らない。図中、第2の実施形態と同一構成部分は同一符号をもって表す。10eは利用者端末、20はCA情報公開サーバ、30dは利用者認証装置、NWはネットワーク、80は利用者のURIに対する応答を行うWebサーバ(第3者機関)である。
利用者端末10eは、図31に示すように、端末情報データベース101と、端末鍵ペア生成部102と、端末証明書生成部103と、データベース登録部104と、認証プロトコル処理部107と、データベース参照部108と、利用者確認部105eと、端末証明書通知部106eとを備えている。端末鍵ペア生成部102と、端末証明書生成部103と、データベース登録部104は端末証明書生成手段10Aを構成し、利用者確認部105eと、端末証明書通知部106eは登録要求手段10Bを構成し、認証プロトコル処理部107と、データベース参照部108はサービス要求手段10Cを構成している。
端末証明書通知部106eは、利用者確認部105eから端末証明書送信要求の通知を受けると、端末証明書CERTCA/Uを利用者認証装置30dへ送信する。
利用者認証装置30dは、図32に示すように、CA情報データベース301と、認証情報データベース302と、データベース登録部305と、認証プロトコル処理部306と、データベース参照部307と、サービス提供部308と、利用者確認部303dと、端末証明書・利用者情報結合部304dとを備えている。利用者確認部303dと、端末証明書・利用者情報結合部304dと、データベース登録部305は利用者登録手段30Aを構成し、CA情報データベース301と、認証プロトコル処理部306は利用者認証手段30Bを構成し、データベース参照部307と、サービス提供部308はサービス提供手段30Cを構成している。
図33Aは本発明の第6の実施形態に係る利用者認証システムにおける利用者登録処理の流れを示すものである。
まず、利用者端末10eは事前準備として、利用者確認部105eにより事前にWebサーバ80にURIを要求し(ステップS421)、Webサーバ80が発行したURIを入手する(ステップS422)。なお、この事前準備(ステップS421,S422)は利用者又はWebサーバの都合によりURIを変更しない限り一度だけ実行すればよく、例えば複数の利用者認証装置にアクセスする場合でも、最初のアクセスの前に一度だけ実行すればよい。次に、URIを含む確認用情報とともに証明書登録要求を利用者認証装置30dに送信する(ステップS121)。利用者認証装置30dは入手したURIに基づいてWebサーバ80をアクセスして認証を要求し(ステップS231)、それに応答してWebサーバ80は利用者端末10eの利用者確認部105eとの間で利用者認証を行い(ステップS232)、認証結果を利用者認証装置30dに送信する(ステップS233)。
また、上記以外の利用者端末10e、CA情報公開サーバ20、利用者認証装置30dの構成、並びに利用者登録フェーズにおける[証明書生成処理]、利用フェーズにおける[利用者認証処理]の流れは第2の実施形態の場合と同様である。
更に、本実施形態においても、第3の実施形態と同様に、利用者端末10e内にCA情報データベース109があり、端末証明書生成部103はCA情報公開サーバ20からCA情報を取得することなしに端末証明書CERTCA/Uを生成してもよい。
図34は本発明の第7の実施形態に係る利用者認証システム、ここでは特に第3者機関として使用する回線認証サーバが通知する利用者の回線識別子LIDUを基に利用者確認を行う(NGN回線認証サービスとの連携)システムの概要を示すもので、図中、第2の実施形態と同一構成部分は同一符号をもって表す。即ち、10fは利用者端末、20はCA情報公開サーバ、30eは利用者認証装置、NWはネットワーク、90は回線認証サーバ(第3者機関)である。回線認証サーバ90には各利用者の使用する回線の識別子にその利用者の情報が対応付けて登録されている。
利用者端末10fは、図35に示すように、端末情報データベース101と、端末鍵ペア生成部102と、端末証明書生成部103と、データベース登録部104と、端末証明書通知部106と、認証プロトコル処理部107と、データベース参照部108と、利用者確認部105fとを備えている。端末鍵ペア生成部102と、端末証明書生成部103と、データベース登録部104は端末証明書生成手段10Aを構成し、利用者確認部105fと、端末証明書通知部106は登録要求手段10Bを構成し、認証プロトコル処理部107と、データベース参照部108はサービス要求手段10Cを構成している。
利用者認証装置30eは、図36に示すように、CA情報データベース301と、認証情報データベース302と、端末証明書・利用者情報結合部304と、データベース登録部305と、認証プロトコル処理部306と、データベース参照部307と、サービス提供部308と、利用者確認部303eとを備えている。利用者確認部303eと、端末証明書・利用者情報結合部304と、データベース登録部305は利用者登録手段30Aを構成し、CA情報データベース301と、認証プロトコル処理部306は利用者認証手段30Bを構成し、データベース参照部307と、サービス提供部308はサービス提供手段30Cを構成している。
図37は本発明の第7の実施形態に係る利用者認証システムにおける利用者登録処理の流れを示すものである。
利用者端末10fは、その利用者確認部105fにより、利用者が使用する回線の回線識別子LIDUを含む確認用情報を利用者認証装置30eに送信して証明書登録要求をする(ステップS121)。利用者認証装置30eは利用者確認部303eにより、前記回線識別子LIDUを含む確認用情報を受信すると、これを保存するとともに回線認証サーバ90に対して当該回線識別子LIDUを送信し、回線識別子LIDUの認証を要求する(ステップS241)。
利用者認証装置30eは、その利用者確認部303eにより、回線認証結果を回線認証サーバ90から受信し、認証結果がOKであれば、以降のステップS122,S123,S13,S124,S125,S14を実行するが、これらは図15と同様であり、説明を省略する。
また、本実施形態においても、CA情報公開サーバ20と利用者認証装置30eを、一台に統合することが可能である。
更に、本実施形態においても、第3実施形態と同様に、利用者端末10f内にCA情報データベース109を設け、端末証明書生成部103はCA情報公開サーバ20からCA情報を取得することなしに端末証明書CERTCA/Uを生成してもよい。
図38は本発明の第8の実施形態に係る利用者認証システム、ここでは利用者認証処理時にオンラインで利用者情報を再確認する(NGN回線認証サービスや既存の利用者データベースとの連携)システムの概要を示すもので、図中、第2の実施形態と同一構成部分は同一符号をもって表す。10は利用者端末、20はCA情報公開サーバ、30fは利用者認証装置、NWはネットワーク、40は利用者情報サーバ、3Sはサービス提供サーバである。
この実施形態は、前述の第1〜第7実施形態の何れかにより利用者登録を行った後の利用フェーズにおいて、利用者識別子IDUとパスワードPWU(以下、ID/PWと略記することもある)で認証を行う既存のサービス提供サーバにログインするものである。
利用者認証装置30fは、図39に示すように、CA情報データベース301と、認証情報データベース302と、利用者確認部303と、端末証明書・利用者情報結合部304と、データベース登録部305と、認証プロトコル処理部306と、データベース参照部307と、サービス提供部308fと、利用者状況確認部314とを備えている。利用者確認部303と、端末証明書・利用者情報結合部304と、データベース登録部305は利用者登録手段30Aを構成し、CA情報データベース301と、認証プロトコル処理部306は利用者認証手段30Bを構成し、データベース参照部307と、サービス提供部308fと、利用者状況確認部314はサービス提供手段30Cを構成している。
図41は本発明の第8の実施形態に係る利用者認証システムの利用フェーズにおける利用者認証処理の流れを示す。
利用者端末10はサービス提供サーバ3Sに対しサービスを要求すると(ステップS197)、サービス提供サーバ3Sはそれに応答して利用者識別子とパスワードを要求する(ステップS198)。利用者端末10は利用者認証装置30fにサービス提供サーバ3Sの識別子IDSを送って登録されている利用者識別子IDUとパスワードPWUを要求する(ステップS199)。
上述のステップS200は、例えばTLS通信を使った証明書によるクライアント認証として実行することができる。この場合のシーケンスは図17に示したとおりである。
上記以外の利用者端末10、CA情報公開サーバ20、利用者認証装置30fの構成、並びに[証明書生成処理]、[利用者登録処理]の流れは第2の実施形態の場合と同様である。
更に、本実施形態においても、第3実施形態と同様に、利用者端末10内にCA情報データベース109があり、端末証明書生成部103はCA情報公開サーバ20からCA情報を取得することなしに端末証明書CERTCA/Uを生成してもよい。
また、利用者の識別子IDUとしては、E-mailアドレス、公開鍵以外の任意の識別子を利用することができ、公開鍵のハッシュを利用者の識別子とすることもできる。
Claims (21)
- 認証局秘密鍵と認証局識別子を有する1つ以上の利用者端末と、認証局公開鍵と認証局識別子を有する1つ以上の利用者認証装置とが少なくともネットワークに接続され、利用者認証装置と利用者端末との間で端末証明書を利用した利用者認証を行なう利用者認証システムであって、
利用者端末は、
任意のデータである署名対象情報に対し、上記認証局秘密鍵を利用して端末署名を計算し、上記署名対象情報、上記端末署名及び上記認証局識別子を少なくとも含む自己署名証明書である端末証明書を生成する端末証明書生成手段と、
上記端末証明書を保存する端末情報記憶手段と、
利用者登録要求として少なくとも上記端末証明書を上記利用者認証装置に送信する登録要求手段と、
サービス要求時に利用者認証装置から受信した認証局識別子に対応する端末証明書を上記端末情報記憶手段から取得し、上記利用者認証装置に送信するサービス要求手段、
とを含み、
利用者認証装置は、
認証情報記憶手段と、
利用者端末から受信した端末証明書を上記認証情報記憶手段に登録する利用者登録手段と、
利用者端末からのサービス要求に応じて、利用者端末の認証時に、上記認証局識別子を上記利用者端末に通知し、対応する端末証明書を上記利用者端末から得て、上記端末証明書に含まれる端末署名を上記認証局公開鍵を用いて検証する利用者認証手段、
とを含む。 - 請求項1記載の利用者認証システムにおいて、
利用者端末の上記端末証明書生成手段は、端末秘密鍵と端末公開鍵のペアを生成する端末鍵ペア生成部を含み、上記署名対象情報は上記端末公開鍵を少なくとも含み、利用者端末の上記端末情報記憶手段は、端末証明書とその端末証明書に含まれる上記端末公開鍵とペアの上記端末秘密鍵を対応付けて保存し、
利用者端末の上記サービス要求手段は、利用者認証時に、利用者認証装置へのサービス要求に応答して、認証局識別子と共に乱数を含む証明書要求を上記利用者認証装置から受信すると、当該認証局識別子に対応する端末証明書及びこれに対応する端末秘密鍵を上記端末情報記憶手段から読み出し、該端末秘密鍵で上記乱数を含むデータに対し利用者署名を生成し、この利用者署名を上記端末証明書と共に上記利用者認証装置へ送信する第1認証プロトコル処理部を含み、
利用者認証装置の上記利用者認証手段は、利用者認証時に、利用者端末からのサービス要求に応答して、上記認証局識別子と共に乱数を含む証明書要求を利用者端末へ送信し、その証明書要求に応答して上記利用者端末から受信した前記乱数を含むデータに対する利用者署名を上記端末証明書に含まれる端末公開鍵で検証する第2認証プロトコル処理部を含む。 - 請求項2記載の利用者認証システムにおいて、上記署名対象情報は更に利用者情報を含んでおり、上記端末証明書は上記利用者情報を含んでおり、
上記利用者認証装置の上記利用者登録手段は利用者登録時に上記利用者端末から受信した上記端末証明書に含まれる利用者情報を上記端末証明書または少なくとも当該端末証明書に含まれる端末公開鍵に対応つけて上記認証情報記憶手段に登録する端末証明書・利用者情報結合部を含み、
上記利用者認証装置は更に、
上記利用者端末によるサービス要求に伴って受信し検証に成功した上記端末証明書または当該端末証明書に含まれる端末公開鍵に対応する利用者情報を上記認証情報記憶手段から検索し、得られた利用者情報を用いて利用者端末にサービスを提供するサービス提供手段を含む。 - 請求項1,2又は3の何れかに記載の利用者認証システムにおいて、
上記端末証明書生成手段は、利用者端末の記憶部に予め埋め込まれたデータである、認証局公開鍵、認証局署名及び署名した上位認証局又は自己の認証局識別子を少なくとも含む認証局証明書を、当該認証局証明書に含まれる認証局公開鍵とペアの認証局秘密鍵に対応付けて保存する認証局情報記憶部と、
上記認証局情報記憶部から認証局秘密鍵及び認証局証明書を取得するとともに、上記署名対象情報に対し、上記認証局秘密鍵を用いて上記端末署名を生成し、上記署名対象情報、上記端末署名及び上記認証局識別子を少なくとも含む上記端末証明書を生成する端末証明書生成部とを含む。 - 請求項1乃至4のいずれかに記載の利用者認証システムにおいて、
上記利用者端末の上記登録要求手段は、端末証明書登録時に、利用者認証装置との間で確認情報を使って利用者確認処理を実行する第1の利用者確認部を含み、
上記利用者認証装置の上記利用者登録手段は、端末証明書登録時に利用者端末から受信した上記確認情報を使って利用者端末との間で利用者確認処理を実行する第2の利用者確認部を含む。 - 請求項5に記載の利用者認証システムにおいて、上記ネットワークには少なくとも1つのメールサーバが接続されており、
上記第1の利用者確認部は、利用者のメールアドレスを含む利用者情報を上記利用者認証装置に送信し、上記利用者認証装置から上記メールサーバを介して上記メールアドレス宛に送信されたメールを受信すると、該メールに含まれる確認情報を上記利用者認証装置に送信し、
上記第2の利用者確認部は、上記利用者端末からメールアドレスを含む利用者情報を受信すると、そのメールアドレス宛に上記メールサーバを介して確認情報を含むメールを送信し、上記利用者端末から確認情報を受信すると上記端末証明書を上記認証情報記憶手段に登録する。 - 請求項5に記載の利用者認証システムにおいて、上記ネットワークには利用者の電話番号と利用者情報が対応して登録されているSIPサーバ又は交換局が接続されており、
上記利用者端末における上記第1の利用者確認部は、利用者登録時に利用者の電話番号を含む確認用情報を上記利用者認証装置に送信し、上記SIPサーバ又は交換局を介して利用者認証装置との上記電話番号による接続セッションを確立するように構成されており、
上記利用者認証装置における上記第2の利用者確認部は、利用者登録時に受信した上記確認用情報に含まれる電話番号を使って、上記SIPサーバ又は交換局を介して上記利用者端末と接続セッションを確立し、接続に成功したら上記端末証明書を上記認証情報記憶手段に登録するように構成されている。 - 請求項5に記載の利用者認証システムにおいて、上記ネットワークには利用者に固有のURIを発行するWebサーバが接続されており、
上記利用者端末における上記第1の利用者確認部は、利用者登録時に利用者のURIを含む確認用情報を上記利用者認証装置に送信し、上記Webサーバとの間で利用者認証を行うように構成されており、
上記利用者認証装置における上記第2の利用者確認部は、利用者登録時に受信した上記確認用情報に含まれるURIを使って、上記Webサーバに利用者認証を要求し、利用者認証に成功したら上記端末証明書を上記認証情報記憶手段に登録するように構成されている。 - 請求項5に記載の利用者認証システムにおいて、上記ネットワークには各利用者が使用する回線の識別子に対応して利用者情報が登録されている回線認証サーバが接続されており、
上記利用者端末における上記第1の利用者確認部は、利用者登録時に使用する回線の回線識別子を含む確認用情報を上記利用者認証装置に送信し、上記回線認証サーバとの間で利用者認証を行うように構成されており、
上記利用者認証装置における上記第2の利用者確認部は、利用者登録時に受信した上記確認用情報に含まれる回線識別子に対する認証を上記回線認証サーバに要求し、回線認証に成功したら上記端末証明書を上記認証情報記憶手段に登録するように構成されている。 - 請求項5に記載の利用者認証システムにおいて、上記ネットワークを介して利用者端末及び利用者認証装置と通信可能であり、利用者毎の所定の識別情報を用いて利用者にサービスを提供する少なくとも1つのサービス提供サーバが上記ネットワークに接続されており、
上記利用者端末における上記第1の利用者確認部は、利用者認証時に、上記所定の識別情報及びサービス提供サーバを利用して、利用者認証装置との間で利用者確認処理を実行するように構成されており、
上記第2の利用者確認部は、利用者認証時に、上記所定の識別情報及びサービス提供サーバを利用して、利用者端末との間で利用者確認処理を実行するように構成されている。 - 認証局秘密鍵と認証局識別子を有する1つ以上の利用者端末と、認証局公開鍵と認証局識別子を有する1つ以上の利用者認証装置とが少なくともネットワークに接続され、利用者認証装置と利用者端末との間で端末証明書を利用した利用者認証を行なう利用者認証方法であって、
利用者端末において、
任意のデータである署名対象情報に対し、上記認証局秘密鍵を利用して端末署名を計算し、上記署名対象情報、上記端末署名及び上記認証局識別子を少なくとも含む自己署名証明書である端末証明書を生成する端末証明書生成工程と、
上記端末証明書を保存する端末情報記憶工程と、
利用者登録要求として少なくとも上記端末証明書を上記利用者認証装置に送信する登録要求工程と、
サービス要求時に利用者認証装置から受信した認証局識別子に対応する端末証明書を上記端末情報記憶手段から取得し、上記利用者認証装置に送信するサービス要求工程、
とを含み、
利用者認証装置において、
利用者端末から受信した端末証明書を認証情報記憶手段に登録する利用者登録工程と、
利用者端末からのサービス要求に応じて、利用者端末の認証時に、上記認証局識別子を上記利用者端末に通知し、対応する端末証明書を上記利用者端末から得て、上記端末証明書に含まれる端末署名を上記認証局公開鍵を用いて検証する利用者認証工程、
とを含む。 - 請求項11に記載の利用者認証方法において、
利用者端末の上記端末証明書生成工程は、端末秘密鍵と端末公開鍵のペアを生成する端末鍵ペア生成工程を含み、上記署名対象情報は上記端末公開鍵を少なくとも含み、利用者端末の上記端末情報記憶工程は、端末証明書とその端末証明書に含まれる上記端末公開鍵とペアの上記端末秘密鍵を対応付けて保存する工程であり、
利用者端末の上記サービス要求工程は、利用者認証時に、利用者認証装置へのサービス要求に応答して、認証局識別子と共に乱数を含む証明書要求を上記利用者認証装置から受信すると、当該認証局識別子に対応する端末証明書及びこれに対応する端末秘密鍵を上記端末情報記憶手段から読み出し、該端末秘密鍵で上記乱数を含むデータに対し利用者署名を生成し、この利用者署名を上記端末証明書と共に上記利用者認証装置へ送信する第1認証プロトコル処理工程を含み、
利用者認証装置の上記利用者認証工程は、利用者認証時に、利用者端末からのサービス要求に応答して、上記認証局識別子と共に乱数を含む証明書要求を利用者端末へ送信し、その証明書要求に応答して上記利用者端末から受信した前記乱数を含むデータに対する利用者署名を上記端末証明書に含まれる端末公開鍵で検証する第2認証プロトコル処理工程を含む。 - 請求項12に記載の利用者認証方法において、上記署名対象情報は更に利用者情報を含んでおり、上記端末証明書は上記利用者情報を含んでおり、
上記利用者認証装置における上記利用者登録工程は利用者登録時に上記利用者端末から受信した上記端末証明書に含まれる利用者情報を上記端末証明書または少なくとも当該端末証明書に含まれる端末公開鍵に対応つけて上記認証情報記憶手段に登録する端末証明書・利用者情報結合工程を含み、
上記利用者認証装置において更に、
上記利用者端末によるサービス要求に伴って受信し検証に成功した上記端末証明書または当該端末証明書に含まれる端末公開鍵に対応する利用者情報を上記認証情報記憶手段から検索し、得られた利用者情報を用いて利用者端末にサービスを提供するサービス提供工程を含む。 - 請求項11,12又は13の何れかに記載の利用者認証方法において、利用者端末の記憶部に予め埋め込まれたデータである、認証局公開鍵、認証局署名及び署名した上位認証局又は自己の認証局識別子を少なくとも含む認証局証明書を、当該認証局証明書に含まれる認証局公開鍵とペアの認証局秘密鍵に対応付けて認証局情報記憶部に保存する認証局情報記憶工程を含んでおり、
上記端末証明書生成工程は、上記認証局情報記憶部から認証局秘密鍵及び認証局証明書を取得すると共に、上記署名対象情報に対し、上記認証局秘密鍵を用いて上記端末署名を生成し、上記署名対象情報、上記端末署名及び上記認証局識別子を少なくとも含む上記端末証明書を生成する工程である。 - 請求項11乃至14の何れかに記載の利用者認証方法において、
上記利用者端末の上記登録要求工程は、端末証明書登録時に、利用者認証装置との間で確認情報を使って利用者確認処理を実行する第1の利用者確認工程を含み、
上記利用者認証装置の上記利用者登録工程は、端末証明書登録時に利用者端末から受信した上記確認情報を使って利用者端末との間で利用者確認処理を実行する第2の利用者確認工程を含む。 - 利用者が使用する利用者端末と、認証局情報を公開する認証局情報公開サーバと、利用者を認証してサービスを提供する利用者認証装置と、これらを接続するネットワークとを少なくとも備え、利用者認証装置が利用者端末との間で証明書を利用した認証を行う利用者認証システムであって、
利用者端末は、
公開鍵と秘密鍵の鍵ペアを生成する端末鍵ペア生成部と、
認証局情報公開サーバから認証局秘密鍵および認証局証明書を取得するとともに、少なくとも上記端末鍵ペア生成部で生成された端末公開鍵に対し、認証局秘密鍵を利用して署名を行い、端末公開鍵、署名および認証局証明書の識別子を少なくとも含む自己署名証明書である端末証明書を生成する端末証明書生成部と、
上記端末証明書生成部で生成された端末証明書を、当該端末証明書に含まれる端末公開鍵とペアの端末秘密鍵に対応付けて保存する端末情報データベースとを少なくとも備え、
認証局情報公開サーバは、
認証局公開鍵、署名および署名した上位認証局または自己の認証局の識別子を少なくとも含む認証局証明書を、当該認証局証明書に含まれる認証局公開鍵とペアの認証局秘密鍵に対応付けて保存する第1認証局情報データベースと、
利用者端末からの認証局情報要求に応じて、上記第1認証局情報データベースから認証局秘密鍵および認証局証明書を取得し、これを利用者端末へ送信する認証局情報通知部とを少なくとも備え、
利用者認証装置は、
認証局情報公開サーバが公開する認証局証明書を保存する第2認証局情報データベースを備えている。 - 利用者が使用する利用者端末と、認証局情報を公開する認証局情報公開サーバと、利用者を認証してサービスを提供する利用者認証装置と、これらを接続するネットワークとを少なくとも備え、利用者認証装置が利用者端末との間で証明書を利用した認証を行う利用者認証システムであって、
利用者端末は、
利用者端末の基本ソフトウェアまたはハードウェアメーカーによって予め埋め込まれたデータベースであって、上記メーカーが公開する認証局公開鍵、署名および署名した上位認証局または自己の認証局の識別子を少なくとも含む認証局証明書を、当該認証局証明書に含まれる認証局公開鍵とペアの認証局秘密鍵に対応付けて保存する第1認証局情報データベースと、
公開鍵と秘密鍵の鍵ペアを生成する端末鍵ペア生成部と、
上記第1認証局情報データベースから認証局秘密鍵および認証局証明書を取得すると共に、少なくとも上記端末鍵ペア生成部で生成された公開鍵に対し、認証局秘密鍵を利用して利用者署名を行い、公開鍵、利用者署名および認証局証明書の認証局識別子を少なくとも含む自己署名証明書である端末証明書を生成する端末証明書生成部と、
上記端末証明書生成部で生成された端末証明書を、当該端末証明書に含まれる端末公開鍵とペアの端末秘密鍵に対応付けて保存する端末情報データベースとを少なくとも備え、
利用者認証装置は、
認証局情報公開サーバが公開する認証局証明書を保存する第2認証局情報データベースを備え、
認証局情報公開サーバは、
上記利用者端末の基本ソフトウェアまたはハードウェアメーカーが公開する認証局公開鍵、署名および署名した上位認証局または自己の認証局の識別子を少なくとも含む認証局証明書を保存する第3認証局情報データベースを少なくとも備えている。 - 請求項16又は17に記載の利用者認証システムにおいて、
利用者端末は更に、
端末証明書登録時に、利用者認証装置との間で利用者確認処理を実行する第1利用者確認部と、
上記端末証明書生成部で生成された端末証明書を利用者認証装置に送信する端末証明書通知部と、
利用者認証時に、標準セキュリティプロトコルに従い、利用者認証装置へのサービス要求に応答して、信頼する認証局の識別子と乱数を含む証明書要求を利用者認証装置から受信すると、当該認証局の識別子と一致する端末証明書およびこれに対応する端末秘密鍵を上記端末情報データベースから読み出し、該端末秘密鍵で上記乱数に利用者署名を行い、この利用者署名を端末証明書と共に利用者認証装置へ送信する第1認証プロトコル処理部とを少なくとも備え、
利用者認証装置は更に、
利用者端末から受信した利用者の端末証明書もしくは少なくとも当該端末証明書に含まれる端末公開鍵に対応付けて利用者情報を保存する認証情報データベースと、
端末証明書登録時に、利用者端末との間で利用者確認処理を実行する第2利用者確認部と、
利用者端末から端末証明書を受信するとともに、上記第2利用者確認部による利用者確認処理に成功した場合、その利用者情報を上記端末証明書もしくは少なくとも当該端末証明書に含まれる端末公開鍵に対応づけて上記認証情報データベースに登録する端末証明書・利用者情報結合部と、
利用者認証時に、標準セキュリティプロトコルに従い、利用者端末からのサービス要求に応じて、上記第2認証局情報データベースから信頼する認証局証明書を読み出し、その認証局証明書の認証局識別子と乱数を含む証明書要求を利用者端末へ送信し、その証明書要求に応じて利用者端末から端末証明書と共に受信した上記乱数への利用者署名を利用者端末の端末公開鍵で検証する第2認証プロトコル処理部と、
検証に成功した利用者署名とともに受信した端末証明書もしくは少なくとも当該端末証明書に含まれる端末公開鍵に対応する利用者情報を認証情報データベースから検索するデータベース参照部と、
上記データベース参照部で取得した利用者情報を用いて利用者端末にサービスを提供するサービス提供部とを少なくとも備えている。 - 請求項18に記載の利用者認証システムにおいて、更に、
ネットワークを介して利用者端末および利用者認証装置と通信可能であり、利用者毎の所定の識別情報を用いて利用者にサービスを提供するサービス提供サーバを備え、
利用者端末は、
利用者認証時に、上記所定の識別情報およびサービス提供サーバを利用して、利用者認証装置との間で利用者確認処理を実行する利用者確認部を備え、
利用者認証装置は、
利用者認証時に、上記所定の識別情報およびサービス提供サーバを利用して、利用者端末との間で利用者確認処理を実行する利用者確認部を備えている。 - 利用者が使用する利用者端末と、認証局情報を公開する認証局情報公開サーバと、利用者を認証してサービスを提供する利用者認証装置と、これらを接続するネットワークとを少なくとも備えたシステムにおいて、利用者認証装置が利用者端末との間で証明書を利用した認証を行う利用者認証方法であって、
利用者端末が、端末公開鍵と端末秘密鍵の鍵ペアを生成し、認証局情報公開サーバへ認証局情報を要求する工程と、
認証局情報公開サーバが、上記要求に応じて認証局情報データベースから認証局秘密鍵および認証局識別子を読み出し、利用者端末へ通知する工程と、
利用者端末が、認証局秘密鍵および認証局識別子を認証局情報公開サーバから受信すると、少なくとも上記生成された端末公開鍵に対し、認証局秘密鍵を利用して署名を行い、端末公開鍵、署名および認証局識別子を少なくとも含む自己署名証明書である端末証明書を生成し、当該端末証明書に含まれる端末公開鍵とペアの端末秘密鍵に対応付けて端末情報データベースに登録する工程とを含む。 - 請求項20に記載の利用者認証方法において、更に、
利用者端末と利用者認証装置との間で端末証明書登録のための利用者確認処理を実行する工程と、
利用者端末が、端末証明書を利用者認証装置に送信する工程と、
利用者認証装置が、利用者端末から端末証明書を受信すると、上記利用者確認処理に成功していれば、その利用者情報を上記端末証明書もしくは少なくとも当該端末証明書に含まれる端末公開鍵に対応づけて認証情報データベースに登録する工程と、
利用者認証装置が、標準セキュリティプロトコルに従い、利用者端末からのサービス要求に応じて、認証局情報データベースから信頼する認証局の識別子を読み出し、これと共に乱数を含む証明書要求を利用者端末へ送信する工程と、
利用者端末が、標準セキュリティプロトコルに従い、信頼する認証局の識別子と共に乱数を含む証明書要求を利用者認証装置から受信すると、端末情報データベースから当該認証局の識別子と一致する端末証明書およびこれに対応する端末秘密鍵を読み出し、該端末秘密鍵で上記乱数に利用者署名を行い、この利用者署名を端末証明書と共に利用者認証装置へ送信する工程と、
利用者認証装置が、標準セキュリティプロトコルに従い、利用者端末から受信した上記乱数への利用者署名を利用者端末の端末公開鍵で検証し、その正当性を確認する工程と、
利用者認証装置が、検証に成功した利用者署名と共に受信した端末証明書もしくは少なくとも当該端末証明書に含まれる端末公開鍵に対応する利用者情報を認証情報データベースから検索する工程と、
利用者認証装置が、そのサービス提供部により、上記利用者情報を用いて利用者端末にサービスを提供する工程とを含む。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009537966A JP5016678B2 (ja) | 2007-10-19 | 2008-06-25 | 利用者認証システム及びその方法 |
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007272588 | 2007-10-19 | ||
JP2007272588 | 2007-10-19 | ||
JP2009537966A JP5016678B2 (ja) | 2007-10-19 | 2008-06-25 | 利用者認証システム及びその方法 |
PCT/JP2008/061577 WO2009050924A1 (ja) | 2007-10-19 | 2008-06-25 | 利用者認証システム及びその方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2009050924A1 true JPWO2009050924A1 (ja) | 2011-02-24 |
JP5016678B2 JP5016678B2 (ja) | 2012-09-05 |
Family
ID=40567205
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009537966A Expired - Fee Related JP5016678B2 (ja) | 2007-10-19 | 2008-06-25 | 利用者認証システム及びその方法 |
Country Status (4)
Country | Link |
---|---|
US (1) | US8595816B2 (ja) |
EP (1) | EP2202913B1 (ja) |
JP (1) | JP5016678B2 (ja) |
WO (1) | WO2009050924A1 (ja) |
Families Citing this family (44)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4928416B2 (ja) * | 2007-11-14 | 2012-05-09 | 日本電信電話株式会社 | 公開鍵簿登録方法、公開鍵簿管理装置、プログラム及び記録媒体 |
JP5192439B2 (ja) * | 2009-05-12 | 2013-05-08 | 日本電信電話株式会社 | ユーザ認証システム、プロキシ装置、ユーザ認証方法およびプログラム |
US9075958B2 (en) * | 2009-06-24 | 2015-07-07 | Uniloc Luxembourg S.A. | Use of fingerprint with an on-line or networked auction |
JP5402771B2 (ja) | 2010-03-25 | 2014-01-29 | ソニー株式会社 | 管理サーバ、基地局、通信システム、および通信方法 |
US8856509B2 (en) * | 2010-08-10 | 2014-10-07 | Motorola Mobility Llc | System and method for cognizant transport layer security (CTLS) |
US20120203824A1 (en) | 2011-02-07 | 2012-08-09 | Nokia Corporation | Method and apparatus for on-demand client-initiated provisioning |
US8600061B2 (en) * | 2011-06-24 | 2013-12-03 | Broadcom Corporation | Generating secure device secret key |
AU2011101297B4 (en) | 2011-08-15 | 2012-06-14 | Uniloc Usa, Inc. | Remote recognition of an association between remote devices |
US8819794B2 (en) * | 2012-01-19 | 2014-08-26 | Microsoft Corporation | Integrating server applications with multiple authentication providers |
KR101960062B1 (ko) * | 2012-08-24 | 2019-03-19 | 삼성전자주식회사 | 콘텐트 공유 방법 및 장치 |
JP5456172B1 (ja) * | 2012-09-26 | 2014-03-26 | 株式会社東芝 | 生体参照情報登録システム、装置及びプログラム |
ES2816324T3 (es) * | 2012-12-21 | 2021-04-05 | Nagravision Sa | Método que usa un único dispositivo de autenticación para autenticar a un usuario a un proveedor de servicios entre una pluralidad de proveedores de servicios y dispositivo para realizar dicho método |
US9286466B2 (en) | 2013-03-15 | 2016-03-15 | Uniloc Luxembourg S.A. | Registration and authentication of computing devices using a digital skeleton key |
US9602537B2 (en) * | 2013-03-15 | 2017-03-21 | Vmware, Inc. | Systems and methods for providing secure communication |
JP6248422B2 (ja) * | 2013-06-05 | 2017-12-20 | 富士通株式会社 | 情報開示システム、情報開示プログラム及び情報開示方法 |
JP6182080B2 (ja) * | 2014-01-20 | 2017-08-16 | 日本電信電話株式会社 | 認証システム、プログラム |
JP6122399B2 (ja) * | 2014-05-27 | 2017-04-26 | 日本電信電話株式会社 | クライアント証明書による端末認証方法、端末認証システム及びプログラム |
CN105262605B (zh) * | 2014-07-17 | 2018-09-25 | 阿里巴巴集团控股有限公司 | 一种获取本地信息的方法、装置及系统 |
KR101544722B1 (ko) * | 2014-11-13 | 2015-08-18 | 주식회사 엘지씨엔에스 | 부인 방지 방법, 이를 위한 결제 관리 서버 및 사용자 단말기 |
US10218510B2 (en) | 2015-06-01 | 2019-02-26 | Branch Banking And Trust Company | Network-based device authentication system |
US9787478B2 (en) * | 2015-06-10 | 2017-10-10 | Qualcomm Incorporated | Service provider certificate management |
JP5951094B1 (ja) | 2015-09-07 | 2016-07-13 | ヤフー株式会社 | 生成装置、端末装置、生成方法、生成プログラム及び認証処理システム |
JP6122924B2 (ja) * | 2015-09-11 | 2017-04-26 | ヤフー株式会社 | 提供装置、端末装置、提供方法、提供プログラム及び認証処理システム |
JP6449131B2 (ja) * | 2015-10-23 | 2019-01-09 | Kddi株式会社 | 通信装置、通信方法、およびコンピュータプログラム |
JP6134371B1 (ja) * | 2015-11-27 | 2017-05-24 | ヤフー株式会社 | 利用者情報管理装置、利用者情報管理方法及び利用者情報管理プログラム |
JP2017108239A (ja) * | 2015-12-08 | 2017-06-15 | Kddi株式会社 | 通信システム、端末装置、通信装置、通信方法、及びプログラム |
JP6471112B2 (ja) | 2016-02-29 | 2019-02-13 | Kddi株式会社 | 通信システム、端末装置、通信方法、及びプログラム |
CN107579948B (zh) * | 2016-07-05 | 2022-05-10 | 华为技术有限公司 | 一种网络安全的管理系统、方法及装置 |
US10447683B1 (en) * | 2016-11-17 | 2019-10-15 | Amazon Technologies, Inc. | Zero-touch provisioning of IOT devices with multi-factor authentication |
TWI673621B (zh) * | 2017-01-19 | 2019-10-01 | 香港商阿里巴巴集團服務有限公司 | 資訊註冊、認證方法及裝置 |
GB2561822B (en) * | 2017-04-13 | 2020-02-19 | Arm Ip Ltd | Reduced bandwidth handshake communication |
IT201700087233A1 (it) * | 2017-07-28 | 2019-01-28 | Alessandro Capuzzello | Sistema di autenticazione sicura dell’identità di un utente in un sistema elettronico per transazioni bancarie |
CN107919963B (zh) * | 2017-12-27 | 2020-10-27 | 飞天诚信科技股份有限公司 | 一种认证器及其实现方法 |
US10979232B2 (en) * | 2018-05-31 | 2021-04-13 | Motorola Solutions, Inc. | Method for provisioning device certificates for electronic processors in untrusted environments |
JP6984567B2 (ja) * | 2018-08-24 | 2021-12-22 | 日本電信電話株式会社 | 認可システム及び認可方法 |
JP6937280B2 (ja) * | 2018-09-13 | 2021-09-22 | 株式会社東芝 | 情報処理装置、リソース提供装置、情報処理方法、情報処理プログラム、リソース提供方法、リソース提供プログラム |
EP3850510B1 (en) * | 2018-11-01 | 2023-12-27 | Hewlett-Packard Development Company, L.P. | Infrastructure device enrolment |
WO2020145064A1 (en) * | 2019-01-11 | 2020-07-16 | Nec Corporation | A method and a device for enabling key re-usage in a communication network |
US10873468B2 (en) | 2019-02-22 | 2020-12-22 | Beyond Identity Inc. | Legacy authentication for user authentication with self-signed certificate and identity verification |
US11457010B2 (en) * | 2019-04-05 | 2022-09-27 | Comcast Cable Communications, Llc | Mutual secure communications |
JP7337601B2 (ja) * | 2019-08-28 | 2023-09-04 | キヤノン株式会社 | 印刷装置、制御方法およびプログラム |
CN111193748B (zh) * | 2020-01-06 | 2021-12-03 | 惠州市德赛西威汽车电子股份有限公司 | 一种交互式密钥安全认证方法及系统 |
US11683301B2 (en) * | 2020-07-27 | 2023-06-20 | Red Hat, Inc. | Automatically obtaining a signed digital certificate from a trusted certificate authority |
WO2022085154A1 (ja) * | 2020-10-22 | 2022-04-28 | 富士通株式会社 | 制御方法、情報処理装置、および制御プログラム |
Family Cites Families (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4991635A (en) * | 1988-09-30 | 1991-02-12 | Liqui-Box Corporation | Decap dispensing system for water cooler bottles |
JPH05289957A (ja) * | 1992-04-06 | 1993-11-05 | Nippon Telegr & Teleph Corp <Ntt> | サービス利用者登録方法及びサービス利用方法 |
US5366619A (en) * | 1993-10-13 | 1994-11-22 | Suntory Limited | Germfree drinking water dispenser |
US7159116B2 (en) * | 1999-12-07 | 2007-01-02 | Blue Spike, Inc. | Systems, methods and devices for trusted transactions |
US6553493B1 (en) * | 1998-04-28 | 2003-04-22 | Verisign, Inc. | Secure mapping and aliasing of private keys used in public key cryptography |
US6561382B2 (en) * | 2001-06-15 | 2003-05-13 | S.I.P. Technologies, L.L.C. | Method and apparatus for disinfecting a water cooler reservoir and its dispensing spigot(s) |
US6823454B1 (en) * | 1999-11-08 | 2004-11-23 | International Business Machines Corporation | Using device certificates to authenticate servers before automatic address assignment |
US6826690B1 (en) * | 1999-11-08 | 2004-11-30 | International Business Machines Corporation | Using device certificates for automated authentication of communicating devices |
JP4586250B2 (ja) * | 2000-08-31 | 2010-11-24 | ソニー株式会社 | 個人識別証明書リンクシステム、情報処理装置、および情報処理方法、並びにプログラム提供媒体 |
JP4185363B2 (ja) * | 2001-02-22 | 2008-11-26 | ビーイーエイ システムズ, インコーポレイテッド | トランザクション処理システムにおけるメッセージ暗号化及び署名のためのシステム及び方法 |
US7310821B2 (en) * | 2001-08-27 | 2007-12-18 | Dphi Acquisitions, Inc. | Host certification method and system |
GB2401293B (en) * | 2002-01-17 | 2004-12-22 | Toshiba Res Europ Ltd | Data transmission links |
NO318842B1 (no) | 2002-03-18 | 2005-05-09 | Telenor Asa | Autentisering og tilgangskontroll |
US7600113B2 (en) * | 2004-02-20 | 2009-10-06 | Microsoft Corporation | Secure network channel |
US7258803B2 (en) * | 2004-04-21 | 2007-08-21 | S.I.P. Technologies L.L.C. | Method and apparatus for programably treating water in a water cooler |
US7114637B2 (en) * | 2004-04-21 | 2006-10-03 | Davis Kenneth A | Method and apparatus for programably treating water in a water cooler |
US20060242410A1 (en) | 2005-04-26 | 2006-10-26 | Microsoft Corporation | Mobile device authentication with a data source using self-signed certificates |
JP4879524B2 (ja) * | 2005-06-30 | 2012-02-22 | ブラザー工業株式会社 | 通信装置、通信システム及びプログラム |
US20070056778A1 (en) | 2005-09-15 | 2007-03-15 | Steven Webb | Sintered polycrystalline diamond material with extremely fine microstructures |
EP1816824A1 (en) * | 2006-02-07 | 2007-08-08 | Thomson Licensing | Method for device insertion into a community of network devices |
-
2008
- 2008-06-25 EP EP08777593A patent/EP2202913B1/en not_active Not-in-force
- 2008-06-25 US US12/681,382 patent/US8595816B2/en not_active Expired - Fee Related
- 2008-06-25 JP JP2009537966A patent/JP5016678B2/ja not_active Expired - Fee Related
- 2008-06-25 WO PCT/JP2008/061577 patent/WO2009050924A1/ja active Application Filing
Also Published As
Publication number | Publication date |
---|---|
JP5016678B2 (ja) | 2012-09-05 |
EP2202913B1 (en) | 2012-12-05 |
US8595816B2 (en) | 2013-11-26 |
US20110047373A1 (en) | 2011-02-24 |
EP2202913A4 (en) | 2011-11-23 |
EP2202913A1 (en) | 2010-06-30 |
WO2009050924A1 (ja) | 2009-04-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5016678B2 (ja) | 利用者認証システム及びその方法 | |
AU2021206913B2 (en) | Systems and methods for distributed data sharing with asynchronous third-party attestation | |
JP4892011B2 (ja) | クライアント装置、鍵装置、サービス提供装置、ユーザ認証システム、ユーザ認証方法、プログラム、記録媒体 | |
CN102143134B (zh) | 分布式身份认证方法、装置与系统 | |
CN101828358B (zh) | 服务器认证书发行系统 | |
EP2307982B1 (en) | Method and service integration platform system for providing internet services | |
US20120297187A1 (en) | Trusted Mobile Device Based Security | |
CN110138718A (zh) | 信息处理系统及其控制方法 | |
US11777743B2 (en) | Method for securely providing a personalized electronic identity on a terminal | |
JP6571890B1 (ja) | 電子署名システム、証明書発行システム、証明書発行方法及びプログラム | |
Sabadello et al. | Introduction to did auth | |
JP2006031064A (ja) | セッション管理システム及び管理方法 | |
JP2009118110A (ja) | 認証システムのメタデータプロビジョニング方法、システム、そのプログラムおよび記録媒体 | |
JP2010191801A (ja) | 認証システムおよび認証方法 | |
JP6465426B1 (ja) | 電子署名システム、証明書発行システム、鍵管理システム及び電子証明書発行方法 | |
US20080065776A1 (en) | Method of connecting a first device and a second device | |
JP6833658B2 (ja) | サーバ装置、機器、証明書発行方法、証明書要求方法、証明書発行プログラム及び証明書要求プログラム | |
JP2012181662A (ja) | アカウント情報連携システム | |
US20230403164A1 (en) | Certificate issuance support system, certificate issuance support method and program | |
JP2006319410A (ja) | ユーザ情報管理方法およびシステム | |
JP2015176167A (ja) | ユーザ識別情報を安全に検証するためのネットワーク認証方法 | |
WO2016075467A1 (en) | Network based identity federation | |
JP5749222B2 (ja) | アクセス許可制御システム、アクセス許可制御方法 | |
WO2020017643A1 (ja) | 電子署名システム、証明書発行システム、鍵管理システム、証明書発行方法及びプログラム | |
JP6939310B2 (ja) | 情報処理装置及びプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20110908 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120529 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120608 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150615 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
LAPS | Cancellation because of no payment of annual fees |