WO2007007690A1 - 認証システム、装置及びプログラム - Google Patents

Abstract

　検証装置３０は、第１エンティティ装置１０にチャレンジ情報を送信し、折り返し受信した各認証コンテキスト毎に、予め送信したチャレンジ情報と同一のチャレンジ情報が記述されていることを検証することにより、各認証コンテキストが現在の認証コンテキストであることを確認できるので、過去の認証コンテキストを繰り返し用いる繰り返し攻撃を防ぎ、繰り返し攻撃に対して安全性を向上できる。

Description

明 細 書

認証システム、装置及びプログラム

技術分野

[0001] 本発明は、認証の実行結果を保証する認証コンテキストを検証者側に通知する認 証システム、装置及びプログラムに係り、例えば、過去の認証コンテキストを繰り返し 用いる繰り返し攻撃に対して安全性を向上し得る認証システム、装置及びプログラム に関する。

背景技術

[0002] ネットワークを介した通信やサービスにおいて、通信相手を認証することは必須な 技術要素である。近年、特にオープンなネットワーク環境の普及や、分散されたサー ビス'リソースの連携技術の発達に伴い、認証対象がユーザから機器端末まで拡大し ている。

[0003] これに伴い、多様なレイヤでの認証手段が実現されている。例えば、 OSI7層モデ ノレのセッション層での、 SSL (Secure Sockets Layer) /TLS (Transport Layer Securi ty)が挙げられる。例えば、文献 1 ([SSL3.0] A. Frier, P. Karlton, and P. Kocher, "Th e SSL 3.0 Protocol", Netscape Communications Corp., Nov 18, 1996.リ及び文献 2 ([ TLS1.0] T. Dierks, C. Allen, "The TLS Protocol Version 1.0", RFC2246, Jan 1999, く http：〃 www.ietf.org/rfc/rfc2246.txt > )を参照。 SSLZTLSは、上位層に対して 透過的な秘匿通信を提供可能なため、標準的な秘匿通信プロトコルとして普及して いる。 SSLZTLSでは、認証機構として、公開鍵証明書をベースとしたサーバ認証と クライアント認証をサポートしてレ、る。

[0004] また、 OSI7層モデルのネットワーク層における通信プロトコルである IP (Internet Pr otocol)を対象とした秘匿通信として IPsecがある。例えば、文献 3 ([IPsec] S. Kent, R . Atkinson, "security Architecture for the Internet Protocol , November 1998, < htt p：〃 www.ietf.org/rfc/rfc2401.txt > )を参照。 IPsecは、 IPパケットレベルでの認証及 び暗号化を図り、ホスト単位の秘匿通信を実現し、 VPN (Virtual Private Network)等 に利用される。 IPsecは、既知共有鍵による通信相手の認証をサポートしており、動 的な認証には、上位のセキュリティ合意交渉機構である IKEや IKEv2等の仕組みを 利用可能としている。

[0005] 一方、ユーザ認証に関するセキュリティのステートメントを表明する産業標準仕様と しては、 SAML(Security Assertion Markup Language)が策定されている。例えば、文 献 4 ([SAML」 OASIS security services i C , Security Assertion Markup Language (5 AML) vl . l " , Sept 2003,

< http： 11 www. oasis-open, org/ committees/ tc_home.php?wg_abbrev=security > )を参 照。 SAMLは、クライアントのセキュリティやポリシ決定に関わるステートメントを XML 形式で表現し、電子的に保証するための枠組みである。

[0006] 以上のように、ネットワークを介した認証手段は、様々なレイヤでの適用が進んでお り、前述したように、通信やサービスに必須な技術要素となっている。

[0007] また、認証対象者が個人である場合に、個人が本人か否力を確認する技術も現在 注目されている。通常、認証では、認証対象者を厳密に識別又は照合することが要 件として挙げられる。このとき、認証対象者が個人である場合、個人が本人か否かを 厳密に確認する本人確認技術が必要になる。

[0008] 現在、本人確認を実施する有望な技術として、バイオメトリタス（生体照合/認証技 術）が挙げられる。バイオメトリタスは、個々人が有する固有の身体的特徴又は特性を 事前に登録した生体情報 (以下、参照生体情報）と照合し、本人か否かを確認する 技術である。生体情報には、指紋や虹彩、網膜、顔、音声、キーストローク、サインな どが利用される。

[0009] バイオメトリタスでは、パスワードなどの既存の認証方法と異なり、紛失や忘失の心 配が無い生体情報を利用するため、ユーザの負荷が軽減される。また、生体情報は 複製が困難なものを前提としており、ユーザの成り済ましなどの防止策に有効である

[0010] また、現在インターネットに代表されるオープンネットワークが普及し、電子商取引 などにおいてネットワーク越しに通信相手を認証する方法としてバイオメトリタスを利 用しょうとする動きが高まってきている。また、身分証明などの分野でもバイオメトリク スを利用して、身分証明書の所有者の本人確認を行うことも検討されている。 [0011] ネットワーク経由を想定したバイオメトリタス利用には、照合結果や照合情報のネット ワーク経路上での安全性が問題となるが、公開鍵認証基盤（Public Key Infrastructur e)や ICカードなどのセキュア媒体との組合せにより、通信経路上や機器等で、生体 情報などの重要な情報の盗難や改竄の危険性が減少している。

[0012] さらに前述したような複数のバイオメトリック方式を組み合わせて総合的に本人確認 をする複合型のバイオメトリック 'システムにより、より精度の高い本人確認を実行可能 になってきている。

[0013] し力しながら、現状の多くの認証技術は、認証を構成するプロセスを同一の管理ドメ インが管理することを想定するため、各プロセス自体の保証を考慮していない問題が ある。

[0014] 例えばバイオメトリタスの場合、生体情報の読取機能や照合機能といった認証構成 プロセスが、実装されるデバイスや機器上でどのように配置されるかは、システム固有 に決まる場合が多レ、。具体的には、バイオメトリック 'モデルの一つであるマッチング' オン.カード（Matching on Card : MOC)モデルでは、生体情報の読取機能がスキヤ ナ上に配置され、生体情報の照合機能と参照生体情報 (テンプレート）の管理機能 がカード (スマートカードなど）上に配置される。

[0015] このように認証構成プロセスは、プロセス毎に管理主体が異なる場合が多レ、。この ため、各管理主体毎の認証構成プロセスが妥当か否かを、認証結果を検証する検証 者側が明確に把握することが困難である。

[0016] よって、認証構成プロセスの妥当性を把握できないことから、認証構成プロセスを統 合した認証プロセス全体としては、信頼性を低下させている心配がある。特に、ォー プンなネットワーク環境での認証処理では、同一管理ドメインで運用されるとは限らな いため、この心配が顕著になると考えられる。

[0017] この問題を解決する技術として、バイオメトリタス認証コンテキスト (Biometric Authent ication Context)に代表される認証コンテキストを用いた認証システムが知られている 。 ί列えば、文献 5 (Koji Okada, Tatsuro ikeda, Hidehisa Ί akamizawa, Ί oshiaki saisho , Extensiole Personal Authentication Framework using Biometrics and PKI, Pre-Pro ceedings of The 3rd International Workshop for Applied PKI (IWAP2004), pp.96-10 7.)を参照。認証コンテキストとは、本人確認を構成する各構成プロセスを実行する管 理主体 (エンティティ装置)がその実行結果を保証することにより、検証者側で各構成 プロセスの実行結果の正当性を検証可能とする技術である。

[0018] 具体的な実行手順は以下の通りである。

始めに、各構成プロセスを実行する管理主体は、予め秘密情報 (例えば公開鍵喑 号方式における秘密鍵）を保持する。本人確認を行う場合、各管理主体は、自身の 実行した構成プロセスの実行結果に対して、保持してレ、る秘密情報を用いて認証子 (例えばデジタル署名）を生成し、その実行結果と認証子を認証コンテキストと呼ばれ る特定のフォーマットに従って整形して出力する。続いて、各管理主体は互いに、本 人確認の実行順に認証コンテキストを受け渡す。最後の管理主体は、最終的に出力 された認証コンテキストを検証者に送信する。

[0019] 検証者は、認証コンテキストに記述された認証子の正当性を (例えばデジタル署名 に対応する公開鍵により）検証することによって、本人確認実行結果の正当性を検証 することが可能となる。

発明の開示

[0020] 以上のような文献 5に記載の認証システムは、通常は何の問題も無いが、本発明者 の入念な検討によれば、以下の 4通りの不都合（1)〜（4)が生じる可能性があり、そ れぞれ別々に改良の余地があると考えられる。

[0021] (1)第 1の不都合は、過去の認証コンテキストを繰り返し用いる「繰り返し攻撃」を受 けた場合、過去の認証コンテキスト内の実行結果を現在の正しい実行結果と判断し てしまうことである。

[0022] 補足すると、この場合の「繰り返し攻撃」とは、過去に行われた本人確認にて生成し た認証コンテキストを現在の本人確認における認証コンテキストとして検証者へ送信 する攻撃を意味する。検証者は、このような繰り返し攻撃に対し、本人確認の実行結 果を正しいと判断してしまう。

[0023] 例えば MOCモデルにおいて過去にスキャナが出力した認証コンテキストにより、後 段の本人確認（照合処理等）をした場合、検証者は、認証コンテキスト内の生体情報 が過去にスキャンされた生体情報である旨を検出できず、正しレ、生体情報と判断して しまう。

[0024] 従って、第 1の不都合に関しては、過去の認証コンテキストを繰り返し用レ、る繰り返 し攻撃に対し、安全性を向上させるように改良の余地があると考えられる。

[0025] (2)第 2の不都合は、生体情報の「すり替え」を受けた場合、すり替え後の生体情報 を照合処理に用いてしまうことである。

[0026] 補足すると、認証の際には、プライバシの観点から検証者へ送信したくない情報（ 秘匿情報）がある場合がある。秘匿情報は、例えば指紋等の生体情報である。一方、 構成プロセスを実行する管理主体間では生体情報を受け渡さなければ本人確認を 実行できない状況がある。

[0027] このため、文献 5に記載の技術では、認証コンテキストに生体情報の関連情報 (ハツ シュ値など）を記述し、生体情報と認証コンテキストを別々に受け渡すことにより、検 証者へ送信する認証コンテキスト内に生体情報を含めない方式を提案している。

[0028] 例えば、 MOCモデルにおいて生体情報を検証者へ送信したくない場合、スキャナ 力 カードへは、スキャンした生体情報と、その生体情報の関連情報（ハッシュ値など )を含む認証コンテキストとを別々に送信する。このとき、送信された生体情報のみを すり替えることにより、不正な本人確認が成功する可能性がある。これは、スキャンさ れた生体情報と、すり替え後の生体情報とが異なることを検証できず、すり替え後の 不正な生体情報をカードが照合処理に用いてしまうことによる。

[0029] 文献 5では、この不正を防ぐ方法として、入力された生体情報と認証コンテキスト内 の関連情報 (ハッシュ値など）とが対応することを各管理主体により検証する方式を提 案している。し力 ながら、各管理主体は、比較的計算能力が低レ、スキャナゃスマー トカードなどである。よって、このような各管理主体による検証は現実的でない。

[0030] 従って、第 2の不都合に関しては、生体情報等の秘匿情報のすり替え攻撃に対し、 安全性を向上させるように改良の余地があると考えられる。

[0031] (3)第 3の不都合は、本人確認の実行主体 (要求者）のセキュリティレベルが検証者 のセキュリティポリシを満たす旨を保証するプロトコルにおいて、要求者の様々な実 行環境が検証者に把握されてしまうことである。

[0032] 具体的には、文献 5に記載の技術では、認証を実行する際、検証者は要求者に対 してプロファイルリスト要求情報を送信する。ここで、プロフアイノレとは、本人確認を実 行する管理主体の組み合わせ、各管理主体が実行する構成プロセス、各管理主体 間の情報交換規貝 I」、セキュリティ実施規則（セキュリティレベルを含む）などといった 実行環境を規定した情報である。プロファイルリストとは、複数の上記プロファイルをリ ストとして記述した情報である。

[0033] 要求者はプロファイルリスト要求情報に対し、 自身が保持する管理主体の組み合わ せで実行可能な全てのプロファイルからなるプロファイルリストを生成し、検証者へ送 信する。検証者は、受信したプロファイルリストの中から、自身の設定したセキュリティ ポリシに従い、実行するプロファイルを決定する。ここで、セキュリティポリシとは、検証 者が受け入れ可能なセキュリティレベルを記述した情報である。このセキュリティポリ シ内のセキュリティレベルとプロファイル内のセキュリティレベルとを比較することにより 、プロファイルがセキュリティポリシを満たす旨を保証できる。

[0034] そして、検証者は、決定したプロファイルを要求者へ指定する。要求者は指定され たプロファイルに従って本人確認を実行する。

[0035] 以上の過程は、要求者が送信するプロファイルリストにより、要求者の様々な実行 環境を検証者が把握してしまうので、要求者のプライバシ保護の観点から好ましくな い。

[0036] 従って、第 3の不都合に関しては、要求者の様々な実行環境を検証者から秘匿す るように改良の余地があると考えられる。

[0037] (4)第 4の不都合は、認証コンテキストの通信効率が低いことである。

例えば検証装置 30が認証コンテキストを検証する際に、認証コンテキスト内の静的 情報 (各認証間で同一の情報）を参照する場合がある。ここで、静的情報には、ェン ティティ装置の作成メーカの情報や、バイオメトリタス認証におけるキヤプチャ装置の 精度情報、生体参照情報 (テンプレート）の評価情報などがある。

[0038] いずれにしても静的情報を参照する場合、認証毎に、同一の静的情報を含む認証 コンテキストを検証装置 30に送信するので、通信量の観点から効率が低い。

[0039] 従って、第 4の不都合に関しては、認証コンテキストの通信効率を向上させるように 改良の余地があると考えられる。 [0040] 本発明の第 1の目的は、過去の認証コンテキストを繰り返し用レ、る繰り返し攻撃に 対して安全性を向上し得る認証システム、装置及びプログラムを提供することにある。

[0041] 本発明の第 2の目的は、秘匿情報のすり替え攻撃に対して安全性を向上し得る認 証システム、装置及びプログラムを提供することにある。

[0042] 本発明の第 3の目的は、要求者の様々な実行環境を検証者から秘匿し得る認証シ ステムを提供することにある。

[0043] 本発明の第 4の目的は、認証コンテキストの通信効率を向上し得る認証システム、 装置及びプログラムを提供することにある。

[0044] 本発明の第 1の局面 (aspect)は、認証処理を構成する認証構成プロセスを個別に 実行する複数の認証エンティティ装置と、前記各認証エンティティ装置で実行された 前記認証処理を検証するための検証装置とを備えた認証システムであって、前記各 認証エンティティ装置としては、前記検証装置により生成されたチャレンジ情報を受 信するチャレンジ情報受信手段と、前記検証のための秘密情報が記憶された秘密情 報記憶手段と、前記秘密情報に基づいて、前記認証構成プロセスの実行内容及び 前記チャレンジ情報を対象とした認証子を生成する認証子生成手段と、前記認証子 と前記実行内容及び前記チャレンジ情報とを特定のフォーマットに従って記述した認 証コンテキストを生成する認証コンテキスト生成手段と、前記認証コンテキストを送信 する認証コンテキスト送信手段とを備えており、前記検証装置としては、前記秘密情 報に対応する認証子検証情報が記憶された検証情報記憶手段と、前記チャレンジ 情報を生成するチャレンジ生成手段と、このチャレンジ情報が記憶されるチャレンジ 記憶手段と、前記チャレンジ情報を送信するチャレンジ情報送信手段と、前記各認 証エンティティ装置により生成された各認証コンテキストを受信する認証コンテキスト 受信手段と、前記受信した各認証コンテキスト毎に、前記チャレンジ記憶手段内のチ ャレンジ情報と同一のチャレンジ情報が記述されているか否かを検証するチャレンジ 検証手段と、前記認証子検証情報に基づいて、前記各認証コンテキスト毎に、認証 子を検証する認証子検証手段と、前記各検証手段による検証結果に基づいて、前 記各認証コンテキストの正当性を検証する認証コンテキスト検証手段とを備えた認証 システムである。 [0045] 第 1の発明によれば、検証装置が、受信した各認証コンテキスト毎に、チャレンジ記 憶手段内のチャレンジ情報と同一のチャレンジ情報が記述されていることを検証する ことにより、各認証コンテキストが現在の認証コンテキストであることを確認できるので 、過去の認証コンテキストを繰り返し用いる繰り返し攻撃を防ぎ、繰り返し攻撃に対し て安全性を向上できる。

[0046] 本発明の第 2の局面は、認証処理を構成する認証構成プロセスを個別に実行する 複数の認証エンティティ装置と、前記各認証エンティティ装置で実行された前記認証 処理を検証するための検証装置とを備えた認証システムであって、前記各認証ェン ティティ装置としては、少なくとも 1台の前段側の認証エンティティ装置及び少なくとも 1台の後段側の認証エンティティ装置を備えており、前記前段側の認証エンティティ 装置としては、前記認証構成プロセスの実行内容のうち、後段の認証構成プロセスに 入力され且つ前記検証装置に対して秘匿する秘匿実行内容を対象とした前段側ハ ッシュ値を生成する前段側ハッシュ値生成手段と、前記検証のための秘密情報が記 憶された前段側秘密情報記憶手段と、前記秘密情報に基づレ、て、前記認証構成プ 口セスの実行内容及び前記前段側ハッシュ値を対象とした認証子を生成する前段側 認証子生成手段と、前記認証子と前記前段側ハッシュ値の対象以外の実行内容及 び前記前段側ハッシュ値とを特定のフォーマットに従って記述した認証コンテキストを 生成する前段側認証コンテキスト生成手段と、前記認証コンテキスト及び前記秘匿実 行内容を送信する前段側送信手段とを備えており、前記後段側の認証エンティティ 装置としては、前記送信された秘匿実行内容を受信する秘匿実行内容受信手段と、 前記受信した秘匿実行内容を対象とした後段側ハッシュ値を生成する後段側ハツシ ュ値生成手段と、前記検証のための秘密情報が記憶された後段側秘密情報記憶手 段と、この秘密情報に基づいて、前記認証構成プロセスの実行内容及び前記後段 側ハッシュ値を対象とした認証子を生成する後段側認証子生成手段と、前記認証子

、前記実行内容及び前記後段側ハッシュ値を特定のフォーマットに従って記述した 認証コンテキストを生成する後段側認証コンテキスト生成手段と、この認証コンテキス トを送信する後段側送信手段とを備えており、前記検証装置としては、前記各秘密情 報に対応する認証子検証情報が記憶された検証情報記憶手段と、前記各認証ェン ティティ装置により生成された各認証コンテキストを受信する認証コンテキスト受信手 段と、前記受信した各認証コンテキストに含まれる前段側ハッシュ値と後段側ハツシ ュ値とが互いに同一であることを比較検証するハッシュ値比較検証手段と、前記認証 子検証情報に基づいて、前記各認証コンテキスト毎に、認証子を検証する認証子検 証手段と、前記各検証手段による検証結果に基づいて、前記各認証コンテキストの 正当性を検証する認証コンテキスト検証手段とを備えた認証システムである。

[0047] 第 2の局面によれば、検証装置が、各認証コンテキストに含まれるハッシュ値が互い に同一であることを検証することにより、前段の認証構成プロセスの秘匿実行内容と 後段の認証構成プロセスの秘匿実行内容とが同一であることを確認できるので、秘 匿情報のすり替え攻撃に対して安全性を向上できる。

[0048] 本発明の第 3の局面は、第 1又は第 2の局面において、前記検証装置と前記各認 証エンティティ装置との間で通信を中継する認証要求装置を備え、前記検証装置と しては、前記認証構成プロセスの実行に関し、受け入れ可能な実行環境を規定した プロファイルリストを生成するプロファイルリスト生成手段と、前記プロファイルリストを 認証要求装置へ送信するリスト送信手段とを備えており、前記認証要求装置としては 、前記プロファイルリストを受信するプロファイルリスト受信手段と、認証構成プロセス を実行する機能を規定した機能リストを前記各認証エンティティ装置毎に受信する機 能リスト受信手段と、前記プロファイルリスト及び前記機能リストの両者を満たすように 、実行プロファイルを決定するプロファイル決定手段と、前記実行プロファイルを各認 証エンティティ装置に送信する実行プロファイル送信手段とを備えており、前記各認 証エンティティ装置としては、前記認証要求装置から前記実行プロファイルを受信す る実行プロファイル受信手段と、この実行プロファイルに基づいて、前記認証構成プ 口セスを実行する認証構成プロセス実行手段とを備えた認証システムである。

[0049] 第 3の局面によれば、第 1又は第 2の局面の作用に加え、検証装置の受け入れ可 能な実行環境を示すプロファイルリストと、各認証エンティティ装置の機能リストとの両 者を満たすように、各認証エンティティ装置の実行環境を示す実行プロファイルを認 証要求装置が決定することにより、認証の実行に関係しない各エンティティ装置の様 々な実行環境を検証装置から秘匿できるので、各認証エンティティ装置側の要求者 のプライバシを保つことができる。

[0050] 本発明の第 4の局面は、第 1乃至第 3の局面のいずれかにおいて、前記各認証ェ ンティティ装置としては、認証毎に同一内容を表す静的情報に関し、前記静的情報 のデータ量よりも小さいデータ量からなり前記静的情報を取得するためのリンク先情 報が記憶されるリンク先情報記憶手段を備えており、前記認証コンテキスト生成手段 としては、前記静的情報に代えて前記リンク先情報を含むように前記認証コンテキス トを生成しており、前記検証装置としては、受信した認証コンテキスト内のリンク先情 報に基づいて、静的情報を取得する手段と、この静的情報と当該認証コンテキスト内 の実行内容とに基づレ、て、前記認証処理を検証する検証手段とを備えた認証システ ムである。

[0051] 第 4の局面によれば、第 1〜第 3の各局面の作用に加え、各エンティティ装置が、認 証毎に同一内容を表す静的情報に関し、静的情報に代えて静的情報のデータ量よ りも小さいデータ量力 なり静的情報を取得するリンク先情報を含むように認証コンテ キストを生成するので、認証コンテキストのサイズが小さくなることから、認証要求装置 と検証装置間の通信量を低減でき、認証コンテキストの通信効率を向上できる。

[0052] なお、以上の各局面は、各装置からなる「システム」として表現した力 これに限らず 、各装置からなる又は各装置毎の「装置」、「プログラム」、「コンピュータ読み取り可能 な記憶媒体」又は「方法」として表現してもよレ、。

図面の簡単な説明

[0053] [図 1]図 1は、本発明の第 1の実施形態に係る認証システムの構成を示す模式図であ る。

[図 2]図 2は、同実施形態における認証プロセスを説明するためのフローチャートであ る。

[図 3]図 3は、同実施形態における各エンティティ装置の構成を示す模式図である。

[図 4A]図 4Aは、同実施形態における認証コンテキストの構成を示す模式図である。

[図 4B]図 4Bは、同実施形態における認証コンテキストの構成を示す模式図である。

[図 5]図 5は、同実施形態における検証装置の構成を示す模式図である。

[図 6]図 6は、同実施形態における動作を説明するためのフローチャートである。 園 7]図 7は、本発明の第 2の実施形態に係る認証システムの構成を示す模式図であ る。

[図 8]図 8は、同実施形態における各エンティティ装置の構成を示す模式図である。 園 9]図 9は、同実施形態における検証装置の構成を示す模式図である。

[図 10]図 10は、本発明の第 3の実施形態に係る認証システムの構成を示す模式図 である。

[図 11]図 11は、同実施形態における認証要求装置の構成を示す模式図である。

[図 12]図 12は、同実施形態におけるプロファイルリストを説明するための模式図であ る。

[図 13]図 13は、同実施形態における実行プロファイルを説明するための模式図であ る。

[図 14]図 14は、同実施形態における各エンティティ装置の構成を示す模式図である

[図 15]図 15は、同実施形態における動作を説明するためのシーケンス図である。

[図 16]図 16は、同実施形態における変形例の構成を示す模式図である。

[図 17]図 17は、本発明の第 4の実施形態に係る認証システムの構成を示す模式図 である。

[図 18]図 18は、同実施形態におけるテンプレート証明書の例を示す模式図である。

[図 19]図 19は、同実施形態における各エンティティ装置の構成を示す模式図である

[図 20A]図 20Aは、同実施形態における認証コンテキストの構成を示す模式図である

[図 20B]図 20Bは、同実施形態における認証コンテキストの構成を示す模式図である

[図 21]図 21は、同実施形態における変形例の構成を示す模式図である。

[図 22]図 22は、同実施形態における変形例の構成を示す模式図である。

発明を実施するための最良の形態

以下、本発明の各実施形態について図面を参照して詳細に説明する。 [0055] (第 1の実施形態）

図 1は本発明の第 1の実施形態に係る認証システムの構成を示す模式図である。こ の認証システムにおいては、図 2に示すように、認証プロセスが認証構成プロセス P1 及び認証構成プロセス P2とレ、う 2つのプロセスから構成され、それぞれの構成プロセ ス Pl， P2の実行結果を基に認証結果が得られ、それぞれの構成プロセス PI , P2が 異なるエンティティ装置 10， 20で実行される、すなわち認証構成プロセス P1が第 1 エンティティ装置 10で実行され、認証構成プロセス P2が第 2エンティティ装置 20で 実行される場合の一例である。

[0056] ここで、認証構成プロセス PI , P2とは、認証プロセスの構成要素である各プロセス であり、具体的には、認証プロセス全体を各プロセスに分離したときの当該各プロセ スである。言い換えると、認証プロセスを全体プロセスとした場合、認証構成プロセス PI, P2は、全体プロセスの中の各部分プロセスを意味している。

[0057] 認証プロセスは、 2つの認証構成プロセスに限らず、 3つ以上の認証構成プロセス に分離されていてもよぐそれらがそれぞれ異なるエンティティ装置で実行されてもよ レ、。また、後段の認証構成プロセスは、前段の認証構成プロセスの結果を参照して 実行されてもよぐまた参照しなくてもよい。

[0058] 図 1に示す認証システムは、検証装置 30、第 1エンティティ装置 10及び第 2ェンテ ィティ装置 20からなる。検証装置 30は、第 1エンティティ装置 10と通信可能な通信部 31と、第 1及び第 2エンティティ装置 10, 20が生成した認証コンテキストを検証する 認証コンテキスト検証部 32とを備えている。

[0059] 各エンティティ装置 10, 20は、図 3に示すように、通信部 11 , 21、認証構成プロセ ス P1実行部 12，認証構成プロセス P2実行部 22，秘密情報管理部 13, 23、認証子 生成部 14， 24及び認証コンテキスト生成部 15， 25を備えている。なお、符号が 10 番台の要素は、第 1エンティティ装置 10に属しており、符号が 20番台の要素は、第 2 エンティティ装置に属してレ、る。

[0060] 各通信部 11， 21は、検証装置 30及び他エンティティ装置 20, 10等の外部装置と 、 自装置 10， 20内との間の通信を実行するものである。

[0061] 例えば通信部 11は、検証装置 30から認証実行要求及びチャレンジ情報を受信す る機能と、受信した認証実行要求から認証構成プロセス P2実行要求を生成する機 能と、この認証構成プロセス P2実行要求及びチャレンジ情報を第 2エンティティ装置 20に送信する機能と、第 2エンティティ装置から第 2認証コンテキストを受信する機能 と、前述した認証実行要求を認証構成プロセス P1実行部 12に送出する機能と、前 述したチャレンジ情報を認証コンテキスト生成部 15に送出する機能と、認証コンテキ スト生成部 15から得られた第 1認証コンテキストを前述した第 2認証コンテキストと共 に検証装置 30に送信する機能とをもっている。

[0062] 一方、通信部 21は、第 1認証エンティティ装置 10から認証構成プロセス P2実行要 求及びチャレンジ情報を受信する機能と、受信した認証構成プロセス P2実行要求を 認証構成プロセス P2実行部 22に送出する機能と、受信したチャレンジ情報を認証コ ンテキスト生成部 25に送出する機能と、認証コンテキスト生成部 25から得られた第 2 認証コンテキストを第 1認証エンティティ装置 10に送信する機能とをもっている。

[0063] 認証構成プロセス P1実行部 12は、通信部 11から受けた認証実行要求に基づいて 、前述の認証構成プロセス P1を実行し、その実行結果を認証コンテキスト生成部 15 に出力するものである。

[0064] 認証構成プロセス P2実行部 22は、通信部 21から受けた認証実行要求に基づいて 、前述の認証構成プロセス P2を実行し、その実行結果を認証コンテキスト生成部 25 に出力するものである。

[0065] 秘密情報管理部 13は、予め認証子を生成するための秘密情報 1が格納された記 憶装置であり、認証子生成部 14から読出可能となっている。

[0066] 秘密情報管理部 23は、予め認証子を生成するための秘密情報 2が格納された記 憶装置であり、認証子生成部 24から読出可能となっている。

[0067] 認証子生成部 14， 24は、認証コンテキスト生成部 15， 25から入力されたデータ（ 実行結果、チャレンジ情報等）を対象として、秘密情報管理部 13, 23から読み出した 秘密情報 1， 2を用いて認証子を生成し、得られた認証子を認証コンテキスト生成部 1

5, 25に送出するものである。

[0068] 認証子とは、例えばデジタル署名、メッセージ認証符号（Message Authentication C ode : MAC)である。秘密情報 1 , 2とは、（認証コンテキストを検証するための）認証子 を生成するための鍵情報であり、例えば認証子がデジタル署名の場合は公開鍵喑 号方式における秘密鍵であり、認証子がメッセージ認証符号の場合は予め検証装置 30と共有された共通鍵である。

[0069] 認証コンテキスト生成部 15， 25は、認証構成プロセス PI , P2実行部 12， 22の実 行結果、認証子生成部 14， 24から送出された認証子、通信部 11 , 21から送出され るチャレンジ情報を、特定のフォーマットに従って記述及び整形し、得られた認証コ ンテキストを通信部 11 , 21に送出するものである。

[0070] ここで、図 4Aに示すように、第 1認証コンテキスト Aclのフォーマットは、ヘッダブロ ック hl、データブロック dl、認証子ブロック al力ら構成される。なお、第 1認証コンテ キスト Aclは、ヘッダブロック hi、データブロック dl及び認証子ブロック alからなる情 報である。詳しくは、第 1認証コンテキスト Aclは、ヘッダブロック hi及びデータブロッ ク dlからなるコンテキスト情報と、このコンテキスト情報を対象に生成された認証子ブ ロック alとからなる情報である。

[0071] ヘッダブロック hiは、例えばリクエスタのように、この認証コンテキスト Aclを特定す る情報や、チャレンジ情報のように認証コンテキストの正当性を示す情報などが記述 される。チャレンジ情報は、「繰り返し攻撃」を防ぐ観点から、認証実行要求毎に発行 される変数情報であり、例えば乱数、また予め検証装置と各エンティティ装置間で取 り決められたシリアル番号や時間情報などの一時的な変数が使用可能となっている。

[0072] データブロック dlには、エンティティ情報が記述される。エンティティ情報は、認証 構成プロセス P1の実行結果などの動的な情報 (認証毎に生成される情報)を含み、 これに限らず、例えば実行環境などの静的情報 (各認証を通じて同じ情報)が使用 可能となっている。静的情報は、例えばエンティティ装置の作成メーカの情報、バイ オメトリタス認証におけるキヤプチャ装置の精度情報、生体参照情報 (テンプレート） の評価情報などが使用可能となっている。

[0073] 認証子ブロック alには、ヘッダブロック hi及びデータブロック dlを対象に秘密情報 1に基づレ、て生成された認証子が記述される。

[0074] 第 2認証コンテキスト Ac2のフォーマットは、図 4Bに示すように、第 1認証コンテキス ト Aclのフォーマットと同様である。このため、第 2認証コンテキスト Ac2は、同様に、 ヘッダブロック h2、データブロック d2及び認証子ブロック a2からなる情報である。詳し くは、第 2認証コンテキスト Ac2は、ヘッダブロック h2及びデータブロック d2からなるコ ンテキスト情報と、このコンテキスト情報を対象に生成された認証子ブロック a2とから なる情報である。認証子の生成について補足すると、認証子ブロック a2には、ヘッダ ブロック h2及びデータブロック d2を対象に秘密情報 2に基づいて生成された認証子 が記述される。

[0075] 一方、検証装置 30は、図 5に示すように、通信部 31及び認証コンテキスト検証部 3 2を備えている。

[0076] ここで、通信部 31は、認証実行要求と、チャレンジ保存部 34内のチャレンジ情報と を第 1エンティティ装置 10に送信する機能と、第 1エンティティ装置 10から第 1及び第 2認証コンテキストを受信する機能と、受信した第 1及び第 2認証コンテキストを認証コ ンテキスト検証部 32に送出する機能とをもっている。

[0077] 認証コンテキスト検証部 32は、チャレンジ生成部 33、チャレンジ保存部 34、チヤレ ンジ検証部 35、コンテキスト検証部 36、秘密情報管理部 37及び認証子検証部 38を 備えている。

[0078] チャレンジ生成部 33は、例えば乱数などの変数情報からなるチャレンジ情報を生 成し、得られたチャレンジ情報をチャレンジ保存部 34に保存する機能をもっている。

[0079] チャレンジ保存部 34は、チャレンジ情報が記憶されるメモリであり、例えばチヤレン ジ生成部 33から書込可能で且つ通信部 31及びチャレンジ検証部 35から読出可能 なメモリである。

[0080] チャレンジ検証部 35は、コンテキスト検証部 36から受けた各認証コンテキスト毎に 、チャレンジ保存部 34内のチャレンジ情報と同一のチャレンジ情報が記述されている か否かを検証する機能と、得られたチャレンジ情報検証結果をコンテキスト検証部 36 に返す機能とをもっている。

[0081] コンテキスト検証部 36は、通信部 31から各認証コンテキストを受けると、各認証コン テキストを認証子検証部 38に送出する機能と、認証子検証部 38から認証子検証結 果を受ける機能と、各認証コンテキストをチャレンジ検証部 35に送出する機能と、チ ャレンジ検証部 35からチャレンジ検証結果を受ける機能と、認証子検証結果及びチ ャレンジ検証結果に基づいて、各認証コンテキストの正当性を検証する機能と、各認 証コンテキスト内のデータブロックの情報に基づいて、各認証構成プロセス PI , P2の 内容 (実行環境、実行結果など）を確認する機能とをもっている。

[0082] 秘密情報管理部 37は、秘密情報 1， 2に対応する認証子検証情報が記憶されたメ モリであり、認証子検証部 38から読出可能となっている。ここで、認証子検証情報と は、（秘密情報 1 , 2により生成された)認証子を検証するための鍵情報であり、例え ば認証子がデジタル署名の場合は公開鍵暗号方式における公開鍵であり、認証子 力 Sメッセージ認証符号の場合は予めエンティティ装置 10, 20と共有された共通鍵で ある。なお、認証子検証情報は、秘密情報 1 , 2により生成された認証子を検証するこ とから、秘密情報 1 , 2に対応した鍵情報となっている。ここでレ、う対応とは、例えば秘 密情報 1， 2が暗号化鍵の場合、認証子検証情報が復号鍵であるといった対応関係 を意味している。このため、秘密情報 1 , 2と認証子検証情報とは、対応関係にあれば 、互いに異なる内容（一方が秘密鍵で他方が公開鍵)でもよぐ同一の内容（両者とも 共通鍵)でもよい。

[0083] 認証子検証部 38は、秘密情報管理部 37内の認証子検証情報に基づレ、て、コンテ キスト検証部 36から受けた各認証コンテキスト毎に認証子を検証し、認証子検証結 果をコンテキスト検証部 36に送出する機能をもっている。

[0084] 次に、以上のように構成された認証システムの動作を図 6のフローチャートを用いて 説明する。

[0085] 認証プロセスの実行を開始するとき、検証装置 30においては、チャレンジ生成部 3 3によりチャレンジ情報を生成し、このチャレンジ情報をチャレンジ保存部 34に一時 的に保存する。なお、このチャレンジ情報は、後に認証実行要求と認証コンテキストと の対応付けを検証するために用いられる。

[0086] しかる後、検証装置 30においては、通信部 31により、認証実行要求及びチヤレン ジ情報を第 1エンティティ装置 10に送信する（ST1)。認証実行要求は、実行する認 証プロセスの指定などを含む。

[0087] 第 1エンティティ装置 10は、認証実行要求及びチャレンジ情報を受けると（ST2)、 予め決められた又は認証実行要求で指定された認証プロセスに従う。すなわち、第 1 エンティティ装置 10は、認証構成プロセス P2実行要求及びチャレンジ情報を第 2ェ ンティティ装置 20に送信する（ST3)。この実行要求には、例えば、検証装置 30から の認証実行要求に含まれる認証プロセスの指定、図示しなレ、認証構成プロセス P2の 実行に必要で且つ第 1エンティティ装置 10のみが保持している情報が含まれてもよ レ、。

[0088] 第 2エンティティ装置 20は、第 1エンティティ装置 10から認証構成プロセス P2実行 要求及びチャレンジ情報を受信すると（ST4)、予め決められた又は検証装置 30から の認証実行要求で指定された認証プロセスに従う。すなわち、第 2エンティティ装置 2 0は、認証構成プロセス P2実行部 12にて認証構成プロセス P2を実行し (ST5)、実 行結果を得る。

[0089] 次に、認証コンテキスト生成部 25において、チャレンジ情報と、認証構成プロセス P 2の実行結果とを入力として、図 4Bに示したフォーマットの第 2認証コンテキスト Ac2 を生成する（ST6〜ST9)。

[0090] 具体的には、認証コンテキスト生成部 25は、リクエスタ及びチャレンジ情報を含む ヘッダブロック h2と、実行結果などエンティティ情報を含むデータブロック d2とを記述 し、各ブロック h2, d2からなるコンテキスト情報を生成する（ST6)。なお、チャレンジ 情報は、ステップ ST4で受信したものである。

[0091] 次に、認証子生成部 24は、秘密情報管理部 23から認証子生成のための秘密情報

2を読み出す（ST7)。そして、前述のヘッダブロック h2及びデータブロック d2を対象 に秘密情報 2を用いて認証子を生成する（ST8)。最後に、生成された認証子を認証 子ブロック a2へ記述し、各ブロック h2， d2, a2からなる第 2認証コンテキスト Ac2を生 成する（ST9)。

[0092] 第 2エンティティ装置 20は、この第 2認証コンテキスト Ac2を通信部 21を介して第 1 エンティティ装置 10へ送信する（ST10)。

[0093] 第 1エンティティ装置 10は、第 2認証コンテキスト Ac2を受信すると（ST11)、認証 構成プロセス P1実行部 12により認証構成プロセス P1を実行し (ST12)、実行結果 を得る。

[0094] 次に、認証コンテキスト生成部 15において、認証構成プロセス P1の実行結果とチ ャレンジ情報を入力とし、図 4Aに示したフォーマットの第 1認証コンテキスト Aclを生 成する（ST13〜ST16)。

[0095] 具体的には、認証コンテキスト生成部 15は、リクエスタ及びチャレンジ情報を含む ヘッダブロック hiと、実行結果などエンティティ情報を含むデータブロック dlとを記述 し、各ブロック hi， dlからなるコンテキスト情報を生成する（ST13)。なお、チャレンジ 情報は、ステップ ST2で受信したものである。

[0096] 次に、認証子生成部 14は、秘密情報管理部 13から認証子生成のための秘密情報 1を読み出す（ST14)。そして、前述のヘッダブロック hi及びデータブロック dlを対 象に秘密情報 1を用いて認証子を生成する（ST15)。最後に、生成された認証子を 認証子ブロック alへ記述し、各ブロック hi, dl, alからなる第 1認証コンテキスト Acl を生成する（ST16)。

[0097] 第 2エンティティ装置 20は、これら第 1認証コンテキスト Acl及び第 2認証コンテキス ト Ac2を通信部 11を介して検証装置 30へ送信する（ST17)。

[0098] 検証装置 30は、第 1及び第 2認証コンテキスト Acl , Ac2を受信する（ST18)。認 証コンテキスト検証部 32においては、コンテキスト検証部 36が、第 1及び第 2認証コ ンテキストを認証子検証部 38に送出する。認証子検証部 38では、第 1及び第 2認証 コンテキスト Acl , Ac2の完全性を確認するため、秘密情報管理部 37内の認証子検 証情報に基づいて、各認証コンテキスト Acl , Ac2内の認証子をそれぞれ検証し（S T19)、各認証子検証結果をコンテキスト検証部 36に送出する。

[0099] また、コンテキスト検証部 36では、第 1及び第 2認証コンテキスト Acl , Ac2が認証 要求に対応していることを確認するため、各認証コンテキスト Acl， Ac2をチャレンジ 情報検証部 35に送出する。なお、チャレンジ情報検証部 35への送出は、チャレンジ 情報を含む各ヘッダブロック hi， h2のみとしてもよレ、。

[0100] チャレンジ情報検証部 35は、チャレンジ保存部 34内のチャレンジ情報に基づいて 、各認証コンテキスト Acl , Ac2のチャレンジ情報をそれぞれ検証し（ST20)、各チヤ レンジ情報検証結果をコンテキスト検証部 36に返す。

[0101] さらに、コンテキスト検証部 36は、各認証コンテキスト Acl , Ac2のコンテキスト情報 を検証する（ST21)。具体的には、コンテキスト検証部 36は、コンテキスト情報内の データブロック dl , d2に含まれる各認証構成プロセス PI , P2の実行結果を検証する

[0102] ここで、コンテキスト検証部 36は、ステップ ST19〜ST21の各検証結果 (認証子検 証結果、チャレンジ情報検証結果、コンテキスト情報検証結果）に一つでも異常があ るとき、各認証コンテキスト Acl， Ac2に正当性が無いと判断し、処理を終了する（ST 22)。

[0103] また、コンテキスト検証部 36は、ステップ ST19〜ST21の各検証結果の全てが正 当のとき、各認証コンテキスト Acl , Ac2に正当性があると判断し、処理を終了する（ ST23)。なお、ステップ ST19〜ST21の各検証処理は、互いに他の検証処理の結 果を利用しないため、前述した順序に限らず、任意の順序で実行可能である。

[0104] 上述したように本実施形態によれば、検証装置 30は、第 1エンティティ装置 10にチ ャレンジ情報を送信すると共に、このチャレンジ情報をチャレンジ保存部 34に記憶し 、折り返し受信した各認証コンテキスト Acl , Ac2毎に、チャレンジ保存部 34内のチ ャレンジ情報と同一のチャレンジ情報が記述されていることを検証することにより、各 認証コンテキスト Acl , Ac2が現在の認証コンテキストであることを確認できるので、 過去の認証コンテキストを繰り返し用いる繰り返し攻撃を防ぎ、繰り返し攻撃に対して 安全性を向上できる。

[0105] (第 2の実施形態）

図 7は本発明の第 2の実施形態に係る認証システムの構成を示す模式図であり、図 8は同システムの各エンティティ装置の構成を示す模式図であり、図 9は同システムの 検証装置の構成を示す模式図である。図 7〜図 9については、各装置本体以外で前 述した図面と同一部分には同一符号を付してその詳しい説明を省略し、前述した図 面と異なる部分には異なる符号又はダッシュ符号 (アポストロフィ符号）を付してその 詳しい説明を省略し、ここでは異なる部分について主に述べる。なお、以下の各実施 形態も同様にして重複した説明を省略する。

[0106] すなわち、第 2の実施形態は、第 1の実施形態の変形例であり、検証装置 30には 通知せずに秘匿したい情報である秘匿実行内容を取り扱う認証システムを示してい る。 [0107] 秘匿実行内容としては、例えばバイオメトリタス認証における参照生体情報 (テンプ レート）や、実行時にセンサにより取得した生体情報などがある。参照生体情報は、 生体認証に必須の情報であり、各エンティティ装置 10, 20間では共有する必要があ るが、プライバシ保護の観点から検証装置 30には通知されない方が望ましい情報で ある。

[0108] 第 2エンティティ装置 20は、図 8の左側に示すように、前述した構成にカ卩え、秘匿実 行内容管理部 26及びハッシュ値生成部 27が付加されている。これに伴い、通信部 2 1 '、認証構成プロセス P2実行部 22'及び認証コンテキスト生成部 25 'の処理内容が 若干異なるものとなっている。

[0109] 通信部 21 'は、検証装置 30から認証実行要求を受けると、認証構成プロセス P2実 行部 22'を起動する機能と、秘匿内容管理部 26から受けた秘匿実行内容を第 1ェン ティティ装置 10に送信する機能と、認証コンテキスト生成部 25 'から受けた第 2認証 コンテキストを検証装置 30に送信する機能とをもっている。なお、第 2及び第 1ェンテ ィティ装置 20, 10間の秘匿実行内容の通信は、図示しない別手段により確立された 秘密通信路などを用いて外部から秘匿することが望ましレ、。

[0110] 認証構成プロセス P2実行部 22'は、通信部 21 'に起動され、通信部 21 'から受け る認証実行要求及び秘匿内容管理部 26から受ける秘匿実行内容に基づいて認証 構成プロセス P2を実行し、実行結果を認証コンテキスト生成部 25 'に送出する機能 をもっている。

[0111] 認証コンテキスト生成部 25 'は、認証子生成部 24により生成された認証子と、認証 構成プロセス P2実行部 22'における第 2ハッシュ値の対象（秘匿実行内容）以外の 実行内容と、ハッシュ値生成部 27から受ける第 2ハッシュ値とを特定のフォーマットに 従って記述して第 2認証コンテキストを生成する機能と、この第 2認証コンテキストを通 信部 21 'に送出する機能とをもっている。ここで、認証子生成部 24により生成された 認証子は、秘密情報管理部 23内の秘密情報 2に基づいて、認証構成プロセス P2の 実行内容及び第 2ハッシュ値を対象として生成されたものである。

[0112] 秘匿内容管理部 26は、秘匿実行内容を保持する機能と、認証構成プロセス P2実 行部 22'が起動されると、秘匿実行内容を通信部 21 '、認証構成プロセス P2実行部 22'及びハッシュ値生成部 27に送出する機能をもっている。

[0113] ハッシュ値生成部 27は、秘匿内容管理部 26から秘匿実行内容（後段の認証構成 プロセス P1にも入力され且つ検証装置 30に対して秘匿する秘匿実行内容）を受ける と、この秘匿実行内容を対象としたハッシュ値である第 2ハッシュ値 (前段側ハッシュ 値）を生成する機能と、この第 2ハッシュ値を認証コンテキスト生成部 25'に送出する 機能とをもっている。

[0114] 第 1エンティティ装置 10は、図 8の右側に示すように、前述した構成にカ卩え、ハツシ ュ値生成部 17が付加されている。これに伴い、通信部 11 '、認証構成プロセス P1実 行部 12'及び認証コンテキスト生成部 15'の処理内容が若干異なるものとなっている

[0115] 通信部 11 'は、検証装置 30からの認証実行要求と第 2エンティティ装置 20からの 秘匿実行内容とを受けると、認証構成プロセス P1実行部 12'を起動する機能と、起 動した認証構成プロセス P 1実行部 12 'に認証実行要求及び秘匿実行内容を送出 すると共に、秘匿実行内容をハッシュ値生成部 17に送出する機能と、認証コンテキ スト生成部 15'から受けた第 1認証コンテキストを検証装置 30に送信する機能とをも つている。

[0116] 認証構成プロセス P1実行部 12'は、通信部 11 'に起動され、通信部 11 'から受け る認証実行要求及び秘匿実行内容に基づレ、て認証構成プロセス P1を実行し、実行 結果を認証コンテキスト生成部 15'に送出する機能をもっている。

[0117] 認証コンテキスト生成部 15 'は、認証子生成部 14により生成された認証子と、認証 構成プロセス P1実行部 12'の実行内容と、ハッシュ値生成部 17から受ける第 1ハツ シュ値とを特定のフォーマットに従って記述して第 1認証コンテキストを生成する機能 と、この第 1認証コンテキストを通信部 11 'に送出する機能とをもっている。ここで、認 証子生成部 14により生成された認証子は、秘密情報管理部 13内の秘密情報 1に基 づいて、認証構成プロセス P1の実行内容及び第 1ハッシュ値を対象として生成され たものである。

[0118] ハッシュ値生成部 17は、通信部 11 'から秘匿実行内容を受けると、この秘匿実行 内容を対象としたハッシュ値である第 1ハッシュ値 (後段側ハッシュ値)を生成する機 能と、この第 1ハッシュ値を認証コンテキスト生成部 15 'に送出する機能とをもってい る。

[0119] 検証装置 30は、図 9に示すように、前述したチャレンジ情報に関する各部 33〜35 を省略し、ハッシュ値比較部 39を備えている。これに伴い、コンテキスト検証部 36 'の 処理内容が若干異なるものとなっている。但し、チャレンジ情報に関する各部 33〜3 5は、省略せずに備えていてもよレ、。すなわち、前述したチャレンジ情報の検証と、本 実施形態のハッシュ値の検証とは、別々に備える構成に限らず、同時に備える構成 としてもよレ、。

[0120] 通信部 31は、認証実行要求を第 1及び第 2エンティティ装置 10， 20に送信する機 能と、第 1及び第 2エンティティ装置 10, 20から第 1及び第 2認証コンテキストを個別 に受信する機能と、受信した各認証コンテキストをコンテキスト検証部 36 'に送出する 機能とをもっている。

[0121] コンテキスト検証部 36 'は、認証子検出部 38に各認証コンテキストを送出する機能 と、認証子検証部 38から認証子検証結果を受ける機能と、各認証コンテキストに個 別に含まれる第 1ハッシュ値及び第 2ハッシュ値をハッシュ値比較部 39に送出する機 能と、ハッシュ値比較部 39からハッシュ値比較検証結果を受ける機能と、認証子検 証結果及びハッシュ値比較検証結果に基づいて、各認証コンテキストの正当性を検 証する機能と、各認証コンテキスト内のデータブロックの情報に基づいて、各認証構 成プロセス Pl， P2の内容（実行環境、実行結果など）を確認する機能とをもっている

[0122] ノ、ッシュ値比較部 39は、コンテキスト検証部 36，から受けた第 2ハッシュ値と第 1ハ ッシュ値とが互いに同一であることを比較検証する機能と、得られたハッシュ値比較 検証結果をコンテキスト検証部 36 'に返す機能とをもっている。

[0123] 次に、以上のように構成された認証システムの動作を説明する。

[0124] 始めに、検証装置 30においては、通信部 31が認証実行要求を第 1及び第 2ェンテ ィティ装置 10， 20に送信する。

[0125] 第 2エンティティ装置 20においては、通信部 21 'が認証実行要求を受けると、認証 構成プロセス P2実行部 22'を起動する。また、秘匿内容管理部 26は、認証構成プロ セス P2実行部 22'が起動されると、秘匿実行内容を通信部 21 '、認証構成プロセス

P2実行部 22'及びハッシュ値生成部 27に送出する。通信部 21 'は、受けた秘匿実 行内容を第 1エンティティ装置 10に送信する。

[0126] 一方、認証構成プロセス P2実行部 22'は、起動されると、通信部 21 'から受ける認 証実行要求及び秘匿内容管理部 26から受ける秘匿実行内容に基づいて認証構成 プロセス P2を実行し、実行結果を認証コンテキスト生成部 25 'に送出する。

[0127] ここで、認証構成プロセス P2実行部 22'の実行結果を秘匿実行内容としても良い。

例えば、外部のセンサにより取得された生体情報などを秘匿実行内容とするような場 合である。

[0128] この場合、通信部 21 'から受ける認証実行要求に応じて、認証構成プロセス P2実 行部 22'の実行結果を秘匿内容管理部 22に送出する。秘匿内容管理部 22は、認 証構成プロセス P22実行部 22'より受け取った実行結果を秘匿実行内容として保持 し、通信部 21 '及びハッシュ値生成部 27に対して当該秘匿実行内容を送信する。

[0129] この場合、秘匿内容管理部 26に秘匿実行内容が予め保持されている場合には、 秘匿内容管理部 26は、この予め保持している秘匿実行内容と、認証構成プロセス P 22実行部 22'より受け取った実行内容をあわせた秘匿実行内容を通信部 21 '及び ノ、ッシュ値生成部 27に送出することが望ましい。または、それぞれ別に送信して、ハ ッシュ値生成部 27の側で合わせてもよい。

[0130] また、ノ、ッシュ値生成部 27は、秘匿内容管理部 26から秘匿実行内容を受けると、 この秘匿実行内容を対象としたハッシュ値である第 2ハッシュ値を生成し、この第 2ノヽ ッシュ値を認証コンテキスト生成部 25'に送出する。

[0131] 認証コンテキスト生成部 25 'は、認証子生成部 24により生成された認証子と、認証 構成プロセス P2実行部 22'における秘匿実行内容以外の実行内容と、ハッシュ値生 成部 27から受けた第 2ハッシュ値とを特定のフォーマットに従って記述して第 2認証 コンテキストを生成し、この第 2認証コンテキストを通信部 21 'に送出する。

[0132] 通信部 21 'は、この第 2認証コンテキストを検証装置 30に送信する。

[0133] 一方、第 1エンティティ装置 10においては、通信部 11 'が、検証装置 30からの認証 実行要求と第 2エンティティ装置 20からの秘匿実行内容とを受けると、認証構成プロ セス PI実行部 12'を起動し、この認証構成プロセス P1実行部 12'に認証実行要求 及び秘匿実行内容を送出すると共に、秘匿実行内容をハッシュ値生成部 17に送出 する。

[0134] ここで、検証装置 30は第 1エンティティ装置 10と第 2エンティティ装置の各々に認証 実行要求を送信せずに、図示しなレ、認証実行制御装置に認証実行要求を送信し、 この認証実行制御装置が第 1エンティティ装置 10と第 2エンティティ装置の各々に認 証実行要求を送信しても良レ、。

[0135] この場合、認証実行制御装置におレ、て予めいずれのエンティティ装置に認証実行 要求を送信するかが決まっていれば、検証装置 30はエンティティ装置を指定するこ となく認証実行要求を認証実行制御装置に送っても良い。

[0136] また、第 1エンティティ装置 10及び第 2エンティティ装置 20の各々が生成した第 1認 証コンテキスト及び第 2認証コンテキストは、直接検証装置 30へ送信せずに、認証実 行制御装置へ送信し、認証実行制御装置がそれらをまとめて検証装置 30へ送信し てもよい。

[0137] 認証構成プロセス P1実行部 12'は、通信部 11 'から受ける認証実行要求及び秘 匿実行内容に基づいて認証構成プロセス P1を実行し、実行結果を認証コンテキスト 生成部 15 'に送出する。

[0138] ハッシュ値生成部 17は、通信部 11 'から秘匿実行内容を受けると、この秘匿実行 内容を対象としたハッシュ値である第 1ハッシュ値を生成し、この第 1ハッシュ値を認 証コンテキスト生成部 15'に送出する。

[0139] 認証コンテキスト生成部 15 'は、認証子生成部 14により生成された認証子と、認証 構成プロセス P1実行部 12'の実行内容と、ハッシュ値生成部 17から受ける第 1ハツ シュ値とを特定のフォーマットに従って記述して第 1認証コンテキストを生成し、この第

1認証コンテキストを通信部 11 'に送出する。

[0140] 通信部 11 'は、この第 1認証コンテキストを検証装置 30に送信する。

[0141] 検証装置 30においては、通信部 31が第 1及び第 2認証コンテキストを個別に受信 し、各認証コンテキストをコンテキスト検証部 36 'に送出する。

[0142] コンテキスト検証部 36 'は、認証子検出部 38に各認証コンテキストを送出し、認証 子検証部 38から認証子検証結果を受ける。

[0143] また、コンテキスト検証部 36 'は、各認証コンテキストに個別に含まれる第 1ハッシュ 値及び第 2ハッシュ値をハッシュ値比較部 39に送出する。ハッシュ値比較部 39は、 第 1及び第 2ハッシュ値とが互いに同一であることを比較検証し、得られたハッシュ値 比較検証結果をコンテキスト検証部 36 'に返す。

[0144] これにより、コンテキスト検証部 36 'は、認証子検証結果及びハッシュ値比較検証 結果に基づいて、各認証コンテキストの正当性を検証する。また、コンテキスト検証部 36 'は、各認証コンテキスト内のデータブロックの情報に基づいて、各認証構成プロ セス PI , P2の内容（実行環境、実行結果など）を確認する。

[0145] 上述したように本実施形態によれば、検証装置 30が、各認証コンテキスト Acl, Ac 2に含まれるハッシュ値が互いに同一であることを検証することにより、前段の認証構 成プロセス P1の秘匿実行内容と後段の認証構成プロセス P2の秘匿実行内容とが同 一であることを確認できるので、秘匿情報のすり替え攻撃に対して安全性を向上でき る。これにより、例えばバイオメトリタス本人確認における生体情報の「すり替え」を防 ぎ、安全性を向上できる。

[0146] また、本実施形態は第 1エンティティ装置 10および第 2エンティティ装置 20の 2つの エンティティ装置によって構成されている力 S、さらに多くのエンティティ装置により構成 されていても良い。この場合、各々のエンティティ装置は第 1エンティティ装置 10また は第 2エンティティ装置 20と同じ構成力 、第 1エンティティ装置 10と第 2エンティティ装 置 20両方の機能をあわせ持った構成でも良い。この場合、同じ機能を実行する機能 部は 1つの機能部で実行しても良い。

[0147] (第 3の実施形態）

図 10は本発明の第 3の実施形態に係る認証システムの構成を示す模式図である。 ここでは、特に、バイオメトリタス認証を用いた認証システムの一例を示す。

[0148] 本実施形態は、認証構成プロセス P2の実行結果に基づいて、認証構成プロセス P 1の実行結果が得られる場合の認証システムの一例である。

[0149] この認証システムは、第 1エンティティ装置 10、第 2エンティティ装置 20及び検証装 置 30の三者の間に、認証要求装置 40を備えている。詳しくは、認証を開始する際に 、検証装置 30が認証要求装置 40に対し、チャレンジ情報と、検証装置 30が受入可 能な実行環境を規定したプロファイルを纏めたプロファイルリストを送信する。認証要 求装置 40は、このプロファイルリストと各装置 10， 20の機能リストとの両者を満たすよ うに実行プロファイルを決定し、この実行プロファイルに沿って各装置 10, 20に認証 を実行させる。認証要求装置 40は、得られた第 1及び第 2認証コンテキストと当該実 行プロファイルとを検証装置 40に返信する。すなわち、この認証システムは、認証要 求装置 40を備えた構成により、検証装置 30に対し、各装置 10, 20の機能リストを秘 匿できるものである。

[0150] ここで、認証要求装置 40は、図 11に示すように、通信部 41及び制御部 42を備え ている。制御部 42は、通信制御部 43及びプロファイル決定部 44を備えている。

[0151] 通信部 41は、各装置 10, 20, 30と、通信制御部 43との間の通信インターフェイス である。以下の説明中では、記載の簡略化のため、各装置 10, 20, 30と、通信制御 部 43との間の通信に通信部 41を介在させる旨の記載を省略する。

[0152] 通信制御部 43は、認証要求を検証装置 30に送信する機能と、検証装置 30からチ ャレンジ情報及びプロファイルリストを受信する機能と、このプロファイルリストをプロフ アイル決定部 44に送出する機能と、第 1及び第 2エンティティ装置 10， 20に個別に 機能リスト要求を送信する機能と、各エンティティ装置 10, 20から個別に機能リストを 受信する機能と、この機能リストをプロファイル決定部 44に送出する機能と、プロファ ィル決定部 44から受けた実行プロファイルと共に、認証実行要求及び前述した検証 装置 30からのチャレンジ情報を第 2エンティティ装置 20に送信する機能と、第 2ェン ティティ装置 20から第 2認証コンテキストを受信する機能と、この第 2認証コンテキスト と共に、認証実行要求及び前述したチャレンジ情報及び実行プロファイルを第 1ェン ティティ装置 10に送信する機能と、第 1エンティティ装置 10から第 1認証コンテキスト を受信する機能と、第 1及び第 2認証コンテキスト並びに実行プロファイルを検証装 置 30に送信する機能とをもっている。

[0153] なお、機能リスト要求は、認証処理を行う毎に送信してもよいし、認証要求装置 40 の初期化の際に送信してもよい。初期化の際に送信した場合、得られた機能リストは 認証要求装置 40内に保存される。 [0154] プロファイル決定部 44は、通信制御部 43から受けたプロファイルリスト及び機能リス トの両者を満たすように、認証に使用する実行プロファイルを決定する機能と、この実 行プロファイルを通信制御部 43に送出する機能とをもっている。

[0155] ここで、プロファイルリストは、検証装置 30が受け入れ可能なエンティティ装置 10， 20のプロファイル (実行環境）の情報が記載されたもの（情報）であり、例えば図 12に 示すように、リスト形式でハッシュ値計算アルゴリズムの候補や、認証子計算アルゴリ ズムの候補等が列挙されている。なお、プロファイルリストは、必ずしもリスト形式であ る必要はない。例えば、プロファイルリストは、受け入れ可能なプロファイルの情報が（ 改行無しに)羅列される形式 (文章形式)で記載された情報でもよぐ表形式 (広義の リスト形式）にて記載された情報でもよい。すなわち、プロファイルリストとは、検証装 置 30の受け入れ可能なプロファイルの情報が記載された情報を意味しており、記載 形式には限定されない。

[0156] 機能リストは、各エンティティ装置 10， 20において、認証構成プロセスを実行する 機能（実行環境）を規定したものである。

[0157] 実行プロファイルは、プロファイルリスト及び各機能リストを満たすように決定 (又は 選択）され且つ認証時に実行されるプロファイルであり、例えば図 13に示すように、 ノ、ッシュ値計算アルゴリズムや認証子計算アルゴリズムが記載されている。

[0158] 第 1及び第 2エンティティ装置 10, 20は、図 14に示すように、前述した構成におい て、認証コンテキスト検証部 16が付加され、機能リスト格納部 18, 28が明記されてい る。これに伴い、各通信部 11"， 21"は、認証要求装置 40から受けた機能リスト要求 に対して機能リスト格納部 18, 28内の機能リストを返信し、認証実行要求、チヤレン ジ情報及び実行プロファイルに対しては認証コンテキストを返信する機能を有する。 なお、チャレンジ情報は、機能リストを秘匿する観点からは省略可能であるが、ここで は用いる例を述べる。

[0159] また、認証構成プロセス P2実行部 22"は、生体情報入力処理機能 22 _ 1及び信 号処理機能 22— 2を備えている。認証構成プロセス P1実行部 12"は、参照生体情 報格納部 12 - 1及び照合処理機能 12 - 2を備えてレ、る。

[0160] ここで、認証構成プロセス P2実行部 22"は、通信部 21"から認証実行要求及び実 行プロフアイノレを受けると、実行プロファイルに基づいて、生体情報入力処理機能 22 _ 1及び信号処理機能 22— 2を実行し、実行結果を認証コンテキスト生成部 25に送 出するものである。

[0161] 生体情報入力処理機能 22_ 1は、入力される生体情報に基づいて入力生体情報 を生成し、この入力生体情報を信号処理機能 22— 2に送出する機能である。信号処 理機能 22— 2は、生体情報入力処理機能 22— 1から受けた入力生体情報に基づい てサンプル生体情報を生成し、このサンプル生体情報からなる実行結果を認証コン テキスト生成部 25に送出する機能である。

[0162] 認証構成プロセス P1実行部 12"は、通信部 11 "から認証実行要求、実行プロファ ィルを受け、且つ認証コンテキスト検証部 16から第 2認証コンテキストを受けると、実 行プロファイル及び第 2認証コンテキストに基づいて、参照生体情報格納部 12— 1を 参照しながら照合処理機能 12— 2を実行し、実行結果を認証コンテキスト生成部 15 に送出するものである。

[0163] 参照生体情報格納部 12— 1は、予め参照生体情報が格納されるメモリであり、照合 処理機能 12— 2から参照可能となっている。

[0164] 照合処理機能 12— 2は、参照生体情報格納部 12— 1内の参照生体情報と、第 2認 証コンテキスト内のサンプル生体情報とを照合する照合処理を実行し、照合結果を 示す実行結果を認証コンテキスト生成部 15に送出する機能である。

[0165] 認証コンテキスト検証部 16は、通信部 11 "から受けた第 2認証コンテキストを秘密 情報管理部 10内の秘密情報 1に基づいて検証し、検証結果が正当のとき、この第 2 認証コンテキストを認証構成プロセス P1実行部 12"に送出するものである。

[0166] 次に、以上のように構成された認証システムの動作を図 15のシーケンス図を用いて 説明する。ここでは、第 2エンティティ装置 20の認証構成プロセス P2実行部 22が、生 体データ収集及び信号処理を行い、第 1エンティティ装置 10の認証構成プロセス P1 実行部 12が参照生体情報 (テンプレート)保持と照合処理を行う場合について述べ る。

[0167] 検証装置 30は、第 1及び第 2認証コンテキストの構成データについて、受け入れる プロファイルを予めまとめたプロファイルリストを保存してレ、る (ST30)。 [0168] 認証要求装置は、検証装置 30に生体認証の認証要求を送信する（ST31)。

[0169] 検証装置 30は、認証要求を受けると、チャレンジ情報とプロファイルリストを認証要 求装置 40に送信する（ST32)。

[0170] 認証要求装置 40は、チャレンジ情報及びプロファイルリストを受信し、第 1及び第 2 エンティティ装置 10， 20に個別に機能リストを要求する（ST33)。

[0171] 第 1及び第 2エンティティ装置 10, 20は、それぞれ機能リスト格納部 18, 28から読 み出した機能リストを認証要求装置 40に送信する（ST34)。

[0172] 認証要求装置 40においては、通信制御部 43が、各エンティティ装置 10, 20から 受信した各機能リストと、検証装置 30から受信したプロファイルリストとをプロファイル 決定部 44に送出する。

[0173] プロファイル決定部 44は、各機能リストとプロファイルリストとを比較し、 3つのリストを 満たすように実行プロファイルを決定し（ST35)、実行プロファイルを通信制御部 43 に:^出する。

[0174] 認証要求装置 40は、通信制御部 43により、認証実行要求、チャレンジ情報及び実 行プロファイルを第 2エンティティ装置 20に送信する（ST36)。なお、実行プロフアイ ルが決定できなかった場合には、認証要求装置 40は、認証不可のメッセージを検証 装置に返す（ST36 ' )。

[0175] 第 2エンティティ装置 20は、認証実行要求、チャレンジ情報、実行プロファイルを受 けると、認証構成プロセス P2 (生体情報入力処理と信号処理)を実行する。このとき、 認証構成プロセス P2実行部 12"は、実行プロファイルに従ってサンプル生体情報を 生成し、このサンプル生体情報からなる実行結果を認証コンテキスト生成部 15に送 出する。

[0176] 認証コンテキスト生成部 15は、実行プロファイルに従って認証子生成部 14により認 証子を生成し、この認証子、チャレンジ情報及び実行結果を含む第 2認証コンテキス トを生成する（ST37)。

[0177] 第 2エンティティ装置 20は、得られた第 2認証コンテキストを認証要求装置 40に送 信する（ST38)。

[0178] 認証要求装置 40は、第 2認証コンテキスト、認証実行要求、チャレンジ情報及び実 行プロファイルを第 1エンティティ装置 10に送信する（ST39)。

[0179] 第 1エンティティ装置 10においては、認証コンテキスト検証部 16により、第 2認証コ ンテキストの完全性を検証する。しかる後、認証構成プロセス P1実行部 12"は、実行 プロファイルに従って、第 2認証コンテキスト内のサンプノレ生体情報と、参照情報格 納部 12— 1内の参照生体情報とを照合する照合処理を実行し、その実行結果を認 証コンテキスト生成部 15に送出する。認証コンテキスト生成部 15は、実行プロフアイ ルに従って認証子生成部 14により認証子を生成し、この認証子、チャレンジ情報及 び実行結果を含む第 1認証コンテキストを生成する（ST40)。

[0180] 第 1エンティティ装置 10は、この第 1認証コンテキストを認証要求装置 40に送信す る（ST41)。

[0181] 認証要求装置 40は、第 1及び第 2認証コンテキスト並びに実行プロファイルを検証 装置 30に送信する（ST42)。

[0182] 検証装置 30は、受信した各認証コンテキストを検証する（ST43)。

[0183] 具体的には例えば、検証装置 30は、各認証コンテキスト内の認証子に基づいて、 各認証コンテキストの完全性を検証する。これに加え、検証装置 30は、サンプル生 体情報の認証子、参照生体情報の認証子を確認することにより、それぞれの生体情 報が改竄されずに認証処理が行われたことを確認する構成にしてもょレ、。この場合、 各生体情報及びその認証子は、それぞれのエンティティ装置 10， 20が各認証コンテ キストに含めるようにすればよい。

[0184] また、検証装置 30は、各認証コンテキスト内のチャレンジ情報がステップ ST32で 送信した値と一致することを確認し、繰り返し攻撃がされていないことを確認する。

[0185] 最後に、検証装置 30は、認証コンテキストに含まれている情報、実行プロファイル、 プロファイルリストを比較し、最終的な認証の可否を判断する。これにより、検証装置 3

0は、ステップ ST43の検証処理を終了する。

[0186] このとき、実行プロファイルの内容を比較の対象から外してもよレ、。なぜなら、実行 プロファイルの内容は認証コンテキストにも含まれているので、これを外したとしても、 発明の効果を損なわないからである。

[0187] 上述したように本実施形態によれば、検証装置 30の受け入れ可能な実行環境を示 すプロファイルリストと、各認証エンティティ装置 10, 20の機能リストとの両者を満たす ように、各認証エンティティ装置 10， 20の実行環境を示す実行プロファイルを認証要 求装置 40が決定することにより、認証の実行に関係しない各エンティティ装置 10, 2 0の様々な実行環境を検証装置 30から秘匿できるので、各認証エンティティ装置 10 ， 20側の要求者のプライバシを保つことができる。

[0188] なお、本実施形態は、チャレンジ情報を用いる第 1の実施形態に限らず、図 10及 び図 16に示すように、ハッシュ値を用いる第 2の実施形態に適用しても同様の作用 効果を得ることができる。なお、図 16に示す変形例の場合、秘匿実行内容は、第 2ェ ンティティ装置 20から認証要求装置 40を介して第 1エンティティ装置 10に送信され ている。

[0189] (第 4の実施形態）

図 17は本発明の第 4の実施形態に係る認証システムの構成を示す模式図である。

[0190] 第 1〜第 3の実施形態においては、検証装置 30が認証コンテキストを検証する際、 例えばデータブロック dl , d2内の静的情報 (認証を行う都度、変化しない情報）を参 照する必要がある場合がある。しかし、静的情報を、認証を行う都度、認証コンテキス トに記述して送信するのは通信量の観点から効率が低い。

[0191] 本実施形態では、第 3の実施形態に適用した例を代表例とし、認証コンテキストに 静的情報を記述する代わりに、静的情報のリンク先を表すリンク先情報 (例、 URL(U niform Resource Locator) _Λ URN(Uniform Resource Nameノ乂は uRI(Uniform Resour ce Identifier)等の識別情報）を認証コンテキストに記述することにより、通信量の低減 を図っている。なお、言うまでもないが、リンク先情報は、静的情報のデータ量よりも小 さいデータ量からなるリンク先が記述されている。

[0192] リンク先としては、例えば静的情報が各エンティティ装置 10， 20に関する情報の場 合、各エンティティ装置 10, 20の作成メーカや公正な第三者機関が管理する静的情 報管理サーバ 50などを備えている。

[0193] この静的情報管理サーバ 50は、外部から受信した静的情報の要求に応じて静的 情報記憶部 52内の静的情報を要求元に返信する通信部 51と、この通信部 51から 読出可能に静的情報が記憶された静的情報記憶部 52とを備えている。 [0194] なお、静的情報が参照生体情報 (テンプレート)に関する情報の場合、図示しないが 、生体情報の登録機関のサーバや公的な評価機関のサーバなどをリンク先としても よい。

[0195] また、リンク先としてはサーバに限らない。例えば、静的情報を対象に信頼できる機 関により発行された証明書を特定可能な情報をリンク先情報としてもよい。例えばテ ンプレートに関する評価情報の場合、テンプレートのハッシュ値と評価情報を対象に 登録機関などにより発行されたテンプレート証明書を特定可能な情報、例えば発行 者名とシリアル番号などをリンク先情報としてもよい。この場合のテンプレート証明書 Ctの例を図 18に示す。

[0196] このテンプレート証明書 Ctは、基本領域及び署名領域力 構成されている。

基本領域は、各項目（及びその内容）として、バージョン (証明書形式のバージョン） 、シリアル番号 (証明書のシリアル番号）、署名アルゴリズム（発行者署名の署名アル ゴリズム）、有効期限 (テンプレートの有効期限)、発行者名（証明書の発行者名情報 )、ハッシュアルゴリズム（テンプレートダイジェストのハッシュアルゴリズム）、テンプレ ートダイジェスト（テンプレートのハッシュ値）、テンプレート評価結果（テンプレートの 評価結果）、テンプレート評価基準 (テンプレートの評価基準）、などを備えている。

[0197] 署名領域は、各項目（及びその内容）として、発行者署名（基本領域を対象とした、 発行者のデジタル署名）を備えてレ、る。

[0198] 次に、第 1及び第 2エンティティ装置 10， 20は、図 19に示すように、前述した構成 に加え、静的情報へのリンク先情報を格納した静的情報リンク先管理部 19, 29を備 えている。これに伴レ、、認証コンテキスト生成部 15" '， 25" 'は、認証構成プロセス P1 ， P2実行部 12"， 22"の実行結果の他に、静的情報に代えてリンク先情報を含む第 1又は第 2認証コンテキストを生成する。

[0199] この第 1及び第 2認証コンテキスト Acl , Ac2の例を図 20A及び図 20Bに示す。こ の例では、データブロック dl" ' , d2" '内に、静的情報へのリンク先情報 dLiと、ェンテ ィティ情報 dEnとが格納されている。リンク先情報 dLiには、例えばエンティティの評価 レポートや、エンティティの精度情報、照合処理に用いたテンプレートの証明書など の静的情報へのリンク先が示されている。なお、認証毎に異なる情報は、エンティティ 情報（実行結果等）に格納されている。エンティティ情報 dEnとしては、例えばサンプ ル生体情報の品質、照合の一致度などである。

[0200] 次に、以上のように構成された認証システムの動作を説明する。

[0201] 検証装置 30は、第 3の実施形態と同様にして、認証要求装置 40から第 1及び第 2 認証コンテキスト並びに実行プロファイルを受信したとする。

[0202] 検証装置 30は、前述同様に、各認証コンテキストを検証し、必要に応じて各認証コ ンテキスト内の静的情報リンク先情報に基づき、例えば静的情報管理サーバ 50に静 的情報の要求を送信する。

[0203] 静的情報管理サーバ 50は、静的情報の要求を通信部 51が受信すると、この静的 情報の要求に基づいて、静的情報記憶部 52内の該当する静的情報を通信部 51か ら検証装置 30に返信する。

[0204] 検証装置 30は、受信した静的情報に基づいて各認証コンテキストの検証を継続し

、最終的に認証の可否を判断する。なお、検証装置 30は、リンク先へのアクセス速度 を向上させるために、過去に受信した静的情報をキャッシュメモリ（図示せず）に保存 してもよい。

[0205] 上述したように本実施形態によれば、各エンティティ装置 10, 20が、認証毎に同一 内容を表す静的情報に関し、静的情報に代えて静的情報のデータ量よりも小さいデ ータ量からなり静的情報を取得するリンク先情報を含むように認証コンテキスト Acl , Ac2を生成するので、認証コンテキストのサイズが小さくなることから、認証要求装置 40と検証装置 30間の通信量を低減でき、認証コンテキストの通信効率を向上できる

[0206] なお、本実施形態は、認証要求装置 40を用いる第 3の実施形態に限らず、図 21及 び図 22に示すように、認証要求装置 40の無い第 1又は第 2の実施形態に適用しても 同様の作用効果を得ることができる。なお、この変形例の場合も同様に、各ェンティ ティ装置 10, 20は、それぞれ静的情報リンク先管理部 19， 29を有し、認証コンテキ スト生成部 15, 25が、静的情報に代えてリンク先情報を含めるように各認証コンテキ ストを生成することは言うまでもなレ、。

[0207] なお、上記実施形態に記載した手法は、コンピュータに実行させることのできるプロ グラムとして、磁気ディスク（フロッピー（登録商標）ディスク、ハードディスクなど）、光 ディスク（CD_ROM、 DVDなど）、光磁気ディスク（M〇）、半導体メモリなどの記憶 媒体に格納して頒布することもできる。

[0208] また、この記憶媒体としては、プログラムを記憶でき、かつコンピュータが読み取り可 能な記憶媒体であれば、その記憶形式は何れの形態であっても良レ、。

[0209] また、記憶媒体からコンピュータにインストールされたプログラムの指示に基づきコ ンピュータ上で稼働してレ、る OS (オペレーティングシステム）や、データベース管理ソ フト、ネットワークソフト等の MW (ミドルウェア）等が上記実施形態を実現するための 各処理の一部を実行しても良い。

[0210] さらに、本発明における記憶媒体は、コンピュータと独立した媒体に限らず、 LAN やインターネット等により伝送されたプログラムをダウンロードして記憶または一時記 憶した記憶媒体も含まれる。

[0211] また、記憶媒体は 1つに限らず、複数の媒体力ら上記実施形態における処理が実 行される場合も本発明における記憶媒体に含まれ、媒体構成は何れの構成であって ち民い。

[0212] 尚、本発明におけるコンピュータは、記憶媒体に記憶されたプログラムに基づき、上 記実施形態における各処理を実行するものであって、パソコン等の 1つからなる装置 、複数の装置がネットワーク接続されたシステム等の何れの構成であっても良い。

[0213] また、本発明におけるコンピュータとは、パソコンに限らず、情報処理機器に含まれ る演算処理装置、マイコン等も含み、プログラムによって本発明の機能を実現するこ とが可能な機器、装置を総称している。

[0214] なお、本願発明は、上記実施形態そのままに限定されるものではなぐ実施段階で はその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施 形態に開示されている複数の構成要素の適宜な組合せにより種々の発明を形成で きる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除しても よい。更に、異なる実施形態に亘る構成要素を適宜組合せてもよい。

産業上の利用可能性

[0215] 以上説明したように本発明の認証システム、装置及びプログラムによれば、過去の 認証コンテキストを繰り返し用いる繰り返し攻撃に対して安全性を向上できる。また、 秘匿情報のすり替え攻撃に対して安全性を向上できる。さらに、要求者の様々な実 行環境を検証者から秘匿できる。また、認証コンテキストの通信効率を向上できる。

Claims

請求の範囲

認証処理を構成する認証構成プロセスを個別に実行する複数の認証エンティティ 装置（10， 20)と、前記各認証エンティティ装置で実行された前記認証処理を検証す るための検証装置（30)とを備えた認証システムであって、

前記各認証エンティティ装置は、

前記検証装置により生成されたチャレンジ情報を受信するチャレンジ情報受信手 段（11, 21)と、

前記検証のための秘密情報が記憶された秘密情報記憶手段（13, 23)と、 前記秘密情報に基づレ、て、前記認証構成プロセスの実行内容及び前記チャレンジ 情報を対象とした認証子を生成する認証子生成手段（14, 24)と、

前記認証子と前記実行内容及び前記チャレンジ情報とを特定のフォーマットに従つ て記述した認証コンテキストを生成する認証コンテキスト生成手段（15， 25)と、 前記認証コンテキストを送信する認証コンテキスト送信手段（11 , 21)とを備えてお り、

前記検証装置は、

前記秘密情報に対応する認証子検証情報が記憶された検証情報記憶手段（37)と 前記チャレンジ情報を生成するチャレンジ生成手段（33)と、

このチャレンジ情報が記憶されるチャレンジ記憶手段（34)と、

前記チャレンジ情報を送信するチャレンジ情報送信手段（31)と、

前記各認証エンティティ装置により生成された各認証コンテキストを受信する認証コ ンテキスト受信手段（31)と、

前記受信した各認証コンテキスト毎に、前記チャレンジ記憶手段内のチャレンジ情 報と同一のチャレンジ情報が記述されているか否かを検証するチャレンジ検証手段（

35)と、

前記認証子検証情報に基づいて、前記各認証コンテキスト毎に、認証子を検証す る認証子検証手段（38)と、

前記各検証手段による検証結果に基づいて、前記各認証コンテキストの正当性を 検証する認証コンテキスト検証手段（36)と

を備えたことを特徴とする認証システム。

認証処理を構成する認証構成プロセスを個別に実行する複数の認証エンティティ 装置と、前記各認証エンティティ装置で実行された前記認証処理を検証するための 検証装置（30)とを備えた認証システムであって、

前記各認証エンティティ装置は、少なくとも 1台の前段側の認証エンティティ装置（2 0)及び少なくとも 1台の後段側の認証エンティティ装置（ 10)を備えており、

前記前段側の認証エンティティ装置は、

前記認証構成プロセスの実行内容のうち、後段の認証構成プロセスに入力され且 つ前記検証装置に対して秘匿する秘匿実行内容を対象とした前段側ハッシュ値を生 成する前段側ハッシュ値生成手段（27)と、

前記検証のための秘密情報が記憶された前段側秘密情報記憶手段（23)と、 前記秘密情報に基づレ、て、前記認証構成プロセスの実行内容及び前記前段側ハ ッシュ値を対象とした認証子を生成する前段側認証子生成手段（24)と、

前記認証子と前記前段側ハッシュ値の対象以外の実行内容及び前記前段側ハツ シュ値とを特定のフォーマットに従って記述した認証コンテキストを生成する前段側 認証コンテキスト生成手段（25' )と、

前記認証コンテキスト及び前記秘匿実行内容を送信する前段側送信手段（21 ' )と を備えており、

前記後段側の認証エンティティ装置は、

前記送信された秘匿実行内容を受信する秘匿実行内容受信手段（11， )と、 前記受信した秘匿実行内容を対象とした後段側ハッシュ値を生成する後段側ハツ シュ値生成手段（17)と、

前記検証のための秘密情報が記憶された後段側秘密情報記憶手段（13)と、 この秘密情報に基づレ、て、前記認証構成プロセスの実行内容及び前記後段側ハ ッシュ値を対象とした認証子を生成する後段側認証子生成手段（14)と、

前記認証子、前記実行内容及び前記後段側ハッシュ値を特定のフォーマットに従 つて記述した認証コンテキストを生成する後段側認証コンテキスト生成手段（15' )と、 この認証コンテキストを送信する後段側送信手段（11 ' )とを備えており、 前記検証装置は、

前記各秘密情報に対応する認証子検証情報が記憶された検証情報記憶手段（37 )と、

前記各認証エンティティ装置により生成された各認証コンテキストを受信する認証コ ンテキスト受信手段（31)と、

前記受信した各認証コンテキストに含まれる前段側ハッシュ値と後段側ハッシュ値 とが互いに同一であることを比較検証するハッシュ値比較検証手段（39)と、 前記認証子検証情報に基づいて、前記各認証コンテキスト毎に、認証子を検証す る認証子検証手段（38)と、

前記各検証手段による検証結果に基づいて、前記各認証コンテキストの正当性を 検証する認証コンテキスト検証手段（36 ' )と

を備えたことを特徴とする認証システム。

請求項 1又は請求項 2に記載の認証システムにおいて、

前記検証装置と前記各認証エンティティ装置との間で通信を中継する認証要求装 置 (40)を備え、

前記検証装置は、

前記認証構成プロセスの実行に関し、受け入れ可能な実行環境を規定したプロフ アイルリストを生成するプロファイルリスト生成手段と、

前記プロファイルリストを認証要求装置へ送信するリスト送信手段（31)とを備えて おり、

前記認証要求装置は、

前記プロファイルリストを受信するプロファイルリスト受信手段 (41)と、

認証構成プロセスを実行する機能を規定した機能リストを前記各認証エンティティ 装置毎に受信する機能リスト受信手段 (41)と、

前記プロファイルリスト及び前記機能リストの両者を満たすように、実行プロファイル を決定するプロファイル決定手段（44)と、

前記実行プロファイルを各認証エンティティ装置に送信する実行プロファイル送信 手段 (41)とを備えており、

前記各認証エンティティ装置は、

前記認証要求装置から前記実行プロファイルを受信する実行プロファイル受信手 段（11"， 21")と、

この実行プロファイルに基づレ、て、前記認証構成プロセスを実行する認証構成プロ セス実行手段（12", 22")と

を備えたことを特徴とする認証システム。

[4] 請求項 1乃至請求項 3のいずれ力 1項に記載の認証システムにおいて、

前記各認証エンティティ装置（10, 20)は、

認証毎に同一内容を表す静的情報に関し、前記静的情報のデータ量よりも小さい データ量からなり前記静的情報を取得するためのリンク先情報が記憶されるリンク先 情報記憶手段（19， 29)を備えており、

前記認証コンテキスト生成手段は、前記静的情報に代えて前記リンク先情報を含 むように前記認証コンテキストを生成しており、

前記検証装置（30)は、

受信した認証コンテキスト内のリンク先情報に基づいて、静的情報を取得する手段 と、

この静的情報と当該認証コンテキスト内の実行内容とに基づレ、て、前記認証処理を 検証する検証手段と

を備えたことを特徴とする認証システム。

[5] 認証処理を検証するための検証装置（30)に通信可能であり、前記認証処理を構 成する認証構成プロセスを個別に実行する各認証エンティティ装置（10, 20)であつ て、

前記検証装置により生成されたチャレンジ情報を受信する受信手段（11， 21)と、 前記検証のための秘密情報が記憶された秘密情報記憶手段（13, 23)と、 前記秘密情報に基づレ、て、前記認証構成プロセスの実行内容及び前記チャレンジ 情報を対象とした認証子を生成する認証子生成手段（14, 24)と、

前記認証子と前記実行内容及び前記チャレンジ情報とを特定のフォーマットに従つ て記述した認証コンテキストを生成する認証コンテキスト生成手段（15， 25)と、 前記認証コンテキストを前記検証装置に送信する認証コンテキスト送信手段（11，

21)とを備えており、

前記認、証コンテキストは、

前記検証装置により、当該検証装置が生成したチャレンジ情報と同一のチャレンジ 情報が記述されているか否かが検証され、前記検証装置により、前記秘密情報に対 応する認証子検証情報に基づいて、認証子が検証され、当該各検証結果に基づい て正当性が検証されるものであることを特徴とする認証エンティティ装置。

認証処理を構成する認証構成プロセスを個別に実行する複数の認証エンティティ 装置（10， 20)に通信可能であり、前記各認証エンティティ装置で実行された前記認 証処理を検証するための検証装置（30)であって、

前記各認証エンティティ装置に記憶された秘密情報に対応する認証子検証情報が 記憶された検証情報記憶手段（37)と、

前記チャレンジ情報を生成するチャレンジ生成手段（33)と、

このチャレンジ情報が記憶されるチャレンジ記憶手段（34)と、

前記チャレンジ情報を送信するチャレンジ情報送信手段（31)と、

前記各認証エンティティ装置により、前記秘密情報に基づいて、前記認証構成プロ セスの実行内容及び前記チャレンジ情報を対象とした認証子が生成され、この認証 子と前記実行内容及び前記チャレンジ情報とが特定のフォーマットに従って記述さ れて各認証コンテキストが生成された後、前記各認証エンティティ装置から送信され た各認証コンテキストを受信する認証コンテキスト受信手段（31)と、

前記受信した各認証コンテキスト毎に、前記チャレンジ記憶手段内のチャレンジ情 報と同一のチャレンジ情報が記述されているか否かを検証するチャレンジ検証手段（ 35)と、

前記認証子検証情報に基づいて、前記各認証コンテキスト毎に、認証子を検証す る認証子検証手段（38)と、

前記各検証手段による検証結果に基づいて、前記各認証コンテキストの正当性を 検証する認証コンテキスト検証手段（36)と を備えたことを特徴とする検証装置。

認証処理を検証するための検証装置に通信可能であり、前記認証処理を構成する 認証構成プロセスを個別に実行する複数の認証エンティティ装置のうち、少なくとも 1 台の後段側の認証エンティティ装置（10)にも通信可能な少なくとも 1台の前段側の 認証エンティティ装置（20)であって、

前記認証構成プロセスの実行内容のうち、後段の認証構成プロセスに入力され且 つ前記検証装置に対して秘匿する秘匿実行内容を対象とした前段側ハッシュ値を生 成する前段側ハッシュ値生成手段（27)と、

前記検証のための秘密情報が記憶された前段側秘密情報記憶手段（23)と、 前記秘密情報に基づレ、て、前記認証構成プロセスの実行内容及び前記前段側ハ ッシュ値を対象とした認証子を生成する前段側認証子生成手段（24)と、

前記認証子と前記前段側ハッシュ値の対象以外の実行内容及び前記前段側ハツ シュ値とを特定のフォーマットに従って記述した前段側の認証コンテキストを生成する 前段側認証コンテキスト生成手段（25' )と、

前記認証コンテキスト及び前記秘匿実行内容を送信する前段側送信手段（21 ' )と を備えており、

前記秘匿実行内容は、前記後段側の認証エンティティ装置により受信されて当該 秘匿実行内容を対象とした後段側ハッシュ値に変換されるものであり、

前記後段側ハッシュ値は、前記後段側の認証エンティティ装置により、前記秘密情 報に基づいて、前記認証構成プロセスの実行内容と共に当該後段側ハッシュ値を対 象とした認証子に変換される一方、この認証子及び当該実行内容と共に特定のフォ 一マットに従って後段側の認証コンテキストに記述され、この後段側の認証コンテキ ストと共に送信されるものであり、

前記各認証コンテキストは、

前記検証装置により、それぞれ受信されて当該各認証コンテキストに含まれる前段 側ハッシュ値と後段側ハッシュ値とが互いに同一であることが比較検証され、前記秘 密情報に対応する認証子検証情報に基づいて、前記各認証コンテキスト毎に、認証 子が検証され、当該各検証結果に基づいて、正当性が検証されるものであることを特 徴とする前段側の認証エンティティ装置。

認証処理を検証するための検証装置に通信可能であり、前記認証処理を構成する 認証構成プロセスを個別に実行する複数の認証エンティティ装置のうち、少なくとも 1 台の前段側の認証エンティティ装置（20)にも通信可能な少なくとも 1台の後段側の 認証エンティティ装置（10)であって、

前記認証構成プロセスの実行内容のうち、後段の認証構成プロセスに入力され且 つ前記検証装置に対して秘匿する秘匿実行内容を前記前段側の認証エンティティ 装置から受信する秘匿実行内容受信手段（11 ' )と、

前記受信した秘匿実行内容を対象とした後段側ハッシュ値を生成する後段側ハツ シュ値生成手段（17)と、

前記検証のための秘密情報が記憶された後段側秘密情報記憶手段（13)と、 この秘密情報に基づレ、て、前記認証構成プロセスの実行内容及び前記後段側ハ ッシュ値を対象とした認証子を生成する後段側認証子生成手段（14)と、

前記認証子、前記実行内容及び前記後段側ハッシュ値を特定のフォーマットに従 つて記述した認証コンテキストを生成する後段側認証コンテキスト生成手段（15' )と、 この認証コンテキストを送信する後段側送信手段（11 ' )とを備えており、 前記秘匿実行内容は、前記前段側の認証エンティティ装置から送信される前に、 当該前段側の認証エンティティ装置により当該秘匿実行内容を対象とした前段側ハ ッシュ値に変換されるものでもあり、

前記前段側ハッシュ値は、前記前段側の認証エンティティ装置により、前記秘密情 報に基づいて、前記認証構成プロセスの実行内容と共に当該前段側ハッシュ値を対 象とした認証子に変換される一方、この認証子及び当該実行内容と共に特定のフォ 一マットに従って前段側の認証コンテキストに記述され、この前段側の認証コンテキ ストと共に送信されるものであり、

前記各認証コンテキストは、

前記検証装置により、それぞれ受信されて当該各認証コンテキストに含まれる前段 側ハッシュ値と後段側ハッシュ値とが互いに同一であることが比較検証され、前記秘 密情報に対応する認証子検証情報に基づいて、前記各認証コンテキスト毎に、認証 子が検証され、当該各検証結果に基づいて、正当性が検証されるものであることを特 徴とする後段側の認証エンティティ装置。

認証処理を構成する認証構成プロセスを個別に実行する複数の認証エンティティ 装置に通信可能であり、前記各認証エンティティ装置で実行された前記認証処理を 検証するための検証装置（30)であって、

前記各認証エンティティ装置に記憶された秘密情報に対応する認証子検証情報が 記憶された検証情報記憶手段（37)と、

前記各認証エンティティ装置のうち、少なくとも 1台の前段側の認証エンティティ装 置により、前記認証構成プロセスの実行内容のうち、後段の認証構成プロセスに入 力され且つ前記検証装置に対して秘匿する秘匿実行内容を対象とした前段側ハツ シュ値が生成され、前記秘密情報に基づいて、前記認証構成プロセスの実行内容及 び前記前段側ハッシュ値を対象とした認証子が生成され、前記認証子と前記前段側 ハッシュ値の対象以外の実行内容及び前記前段側ハッシュ値とが特定のフォーマツ トに従って記述されて前段側の認証コンテキストが生成された後、前記前段側の認証 エンティティ装置から送信された前段側の認証コンテキストを受信する第 1の認証コ ンテキスト受信手段（31)と、

前記各認証エンティティ装置のうち、少なくとも 1台の後段側の認証エンティティ装 置により、前記前段側の認証エンティティ装置から送信された秘匿実行内容が受信 され、この秘匿実行内容を対象とした後段側ハッシュ値が生成され、前記秘密情報 に基づレ、て、前記認証構成プロセスの実行内容及び前記後段側ハッシュ値を対象と した認証子が生成され、この認証子、当該実行内容及び前記後段側ハッシュ値が特 定のフォーマットに従って記述されて後段側の認証コンテキストが生成された後、前 記後段側の認証エンティティ装置から送信された後段側の認証コンテキストを受信す る第 2の認証コンテキスト受信手段（31)と、

前記受信した各認証コンテキストに含まれる前段側ハッシュ値と後段側ハッシュ値 とが互いに同一であることを比較検証するハッシュ値比較検証手段（39)と、 前記認証子検証情報に基づいて、前記各認証コンテキスト毎に、認証子を検証す る認証子検証手段（38)と、 前記各検証手段による検証結果に基づいて、前記各認証コンテキストの正当性を 検証する認証コンテキスト検証手段（36 ' )と

を備えたことを特徴とする検証装置。

[10] 請求項 6又は請求項 9に記載の検証装置において、

前記認証構成プロセスの実行に関し、受け入れ可能な実行環境を規定したプロフ アイルリストを生成するプロファイルリスト生成手段と、

前記プロファイルリストを送信するリスト送信手段（31)とを備えており、

前記プロファイルリストは、

前記検証装置と前記各認証エンティティ装置との間で通信を中継する認証要求装 置に受信され、当該認証要求装置により、前記各認証エンティティ装置毎に取得さ れた、認証構成プロセスを実行する機能を規定した機能リストと比較されるものであり この比較は、

前記プロファイルリスト及び前記機能リストの両者を満たすように、実行プロファイル を決定するための処理であり、

前記実行プロファイルは、

前記各認証エンティティ装置に送信され、前記認証構成プロセスを実行する実行 環境を規定したものであることを特徴とする検証装置。

[11] 請求項 10に記載の検証装置と前記各認証エンティティ装置との間で通信を中継す る認証要求装置 (40)におレ、て、

前記検証装置からプロファイルリストを受信するプロファイルリスト受信手段 (41)と、 認証構成プロセスを実行する機能を規定した機能リストを前記各認証エンティティ 装置毎に受信する機能リスト受信手段 (41)と、

前記プロファイルリスト及び前記機能リストの両者を満たすように、実行プロファイル を決定するプロファイル決定手段（44)と、

前記実行プロファイルを各認証エンティティ装置に送信する実行プロファイル送信 手段 (41)と

を備えたことを特徴とする認証要求装置。 [12] 請求項 5、請求項 7又は請求項 8に記載の認証エンティティ装置において、 認証毎に同一内容を表す静的情報に関し、前記静的情報のデータ量よりも小さい データ量からなり前記静的情報を取得するためのリンク先情報が記憶されるリンク先 情報記憶手段（19， 29)を備えており、

前記認証コンテキスト生成手段は、前記静的情報に代えて前記リンク先情報を含 むように前記認証コンテキストを生成しており、

この認、証コンテキストは、

前記検証装置により受信され、当該認証コンテキスト内のリンク先情報に基づいて、 静的情報が取得され、この静的情報と当該認証コンテキスト内の実行内容とに基づ レ、て、前記認証処理が検証されるものであることを特徴とする認証エンティティ装置。

[13] 請求項 6、請求項 9又は請求項 10に記載の検証装置において、

前記各認証コンテキストが、認証毎に同一内容を表す静的情報に関し、前記静的 情報に代えて前記静的情報のデータ量よりも小さいデータ量からなり前記静的情報 を取得するためのリンク先情報を含むとき、前記認証コンテキスト受信手段により受信 した認証コンテキスト内のリンク先情報に基づいて、静的情報を取得する手段と、 この静的情報と当該認証コンテキスト内の実行内容とに基づレ、て、前記認証処理を 検証する検証手段と

を備えたことを特徴とする検証装置。

[14] 認証処理を検証するための検証装置（30)に通信可能であり、前記認証処理を構 成する認証構成プロセスを個別に実行する各認証エンティティ装置（10, 20)に関し 、当該各認証エンティティ装置のコンピュータに用いられるプログラムであって、 前記コンピュータを、

前記検証装置により生成されたチャレンジ情報を受信する受信手段（11， 21)、 前記検証のための秘密情報が記憶された秘密情報記憶装置（13, 23)、 前記秘密情報に基づレ、て、前記認証構成プロセスの実行内容及び前記チャレンジ 情報を対象とした認証子を生成する認証子生成手段（14, 24)、

前記認証子と前記実行内容及び前記チャレンジ情報とを特定のフォーマットに従つ て記述した認証コンテキストを生成する認証コンテキスト生成手段（15, 25)、 前記認証コンテキストを前記検証装置に送信する認証コンテキスト送信手段（11， 21)、として機能させるためのプログラムであり、

前記認、証コンテキストは、

前記検証装置により、当該検証装置が生成したチャレンジ情報と同一のチャレンジ 情報が記述されているか否かが検証され、前記検証装置により、前記秘密情報に対 応する認証子検証情報に基づいて、認証子が検証され、当該各検証結果に基づい て正当性が検証されるものであることを特徴とするプログラム。

認証処理を構成する認証構成プロセスを個別に実行する複数の認証エンティティ 装置（10， 20)に通信可能であり、前記各認証エンティティ装置で実行された前記認 証処理を検証するための検証装置（30)に関し、当該検証装置のコンピュータに用 いられるプログラムであって、

前記コンピュータを、

前記各認証エンティティ装置に記憶された秘密情報に対応する認証子検証情報が 記憶された検証情報記憶装置 (37)、

前記チャレンジ情報を生成するチャレンジ生成手段（33)、

このチャレンジ情報が記憶されるチャレンジ記憶装置（34)、

前記チャレンジ情報を送信するチャレンジ情報送信手段（31)、

前記各認証エンティティ装置により、前記秘密情報に基づいて、前記認証構成プロ セスの実行内容及び前記チャレンジ情報を対象とした認証子が生成され、この認証 子と前記実行内容及び前記チャレンジ情報とが特定のフォーマットに従って記述さ れて各認証コンテキストが生成された後、前記各認証エンティティ装置から送信され た各認証コンテキストを受信する認証コンテキスト受信手段（31)、

前記受信した各認証コンテキスト毎に、前記チャレンジ記憶装置内のチャレンジ情 報と同一のチャレンジ情報が記述されているか否かを検証するチャレンジ検証手段（ 35)、

前記認証子検証情報に基づいて、前記各認証コンテキスト毎に、認証子を検証す る認証子検証手段（38)、

前記各検証手段による検証結果に基づいて、前記各認証コンテキストの正当性を 検証する認証コンテキスト検証手段（36)、

として機能させるためのプログラム。

認証処理を検証するための検証装置に通信可能であり、前記認証処理を構成する 認証構成プロセスを個別に実行する複数の認証エンティティ装置のうち、少なくとも 1 台の後段側の認証エンティティ装置（10)にも通信可能な少なくとも 1台の前段側の 認証エンティティ装置（20)に関し、当該前段側の認証エンティティ装置のコンピュー タに用いられるプログラムであって、

前記コンピュータを、

前記認証構成プロセスの実行内容のうち、後段の認証構成プロセスに入力され且 つ前記検証装置に対して秘匿する秘匿実行内容を対象とした前段側ハッシュ値を生 成する前段側ハッシュ値生成手段（27)、

前記検証のための秘密情報が記憶された前段側秘密情報記憶装置（23)、 前記秘密情報に基づレ、て、前記認証構成プロセスの実行内容及び前記前段側ハ ッシュ値を対象とした認証子を生成する前段側認証子生成手段（24)、

前記認証子と前記前段側ハッシュ値の対象以外の実行内容及び前記前段側ハツ シュ値とを特定のフォーマットに従って記述した前段側の認証コンテキストを生成する 前段側認証コンテキスト生成手段（25' )、

前記認証コンテキスト及び前記秘匿実行内容を送信する前段側送信手段、として 機能させるためのプログラムであり、

前記秘匿実行内容は、前記後段側の認証エンティティ装置により受信されて当該 秘匿実行内容を対象とした後段側ハッシュ値に変換されるものであり、

前記後段側ハッシュ値は、前記後段側の認証エンティティ装置により、前記秘密情 報に基づいて、前記認証構成プロセスの実行内容と共に当該後段側ハッシュ値を対 象とした認証子に変換される一方、この認証子及び当該実行内容と共に特定のフォ 一マットに従って後段側の認証コンテキストに記述され、この後段側の認証コンテキ ストと共に送信されるものであり、

前記各認証コンテキストは、

前記検証装置により、それぞれ受信されて当該各認証コンテキストに含まれる前段 側ハッシュ値と後段側ハッシュ値とが互いに同一であることが比較検証され、前記秘 密情報に対応する認証子検証情報に基づいて、前記各認証コンテキスト毎に、認証 子が検証され、当該各検証結果に基づいて、正当性が検証されるものであることを特 徴とするプログラム。

認証処理を検証するための検証装置に通信可能であり、前記認証処理を構成する 認証構成プロセスを個別に実行する複数の認証エンティティ装置のうち、少なくとも 1 台の前段側の認証エンティティ装置（20)にも通信可能な少なくとも 1台の後段側の 認証エンティティ装置（10)に関し、当該後段側の認証エンティティ装置のコンビユー タに用いられるプログラムであって、

前記コンピュータを、

前記認証構成プロセスの実行内容のうち、後段の認証構成プロセスに入力され且 つ前記検証装置に対して秘匿する秘匿実行内容を前記前段側の認証エンティティ 装置から受信する秘匿実行内容受信手段（11 ' )、

前記受信した秘匿実行内容を対象とした後段側ハッシュ値を生成する後段側ハツ シュ値生成手段（17)、

前記検証のための秘密情報が記憶された後段側秘密情報記憶装置（13)、 この秘密情報に基づレ、て、前記認証構成プロセスの実行内容及び前記後段側ハ ッシュ値を対象とした認証子を生成する後段側認証子生成手段（14)、

前記認証子、前記実行内容及び前記後段側ハッシュ値を特定のフォーマットに従 つて記述した認証コンテキストを生成する後段側認証コンテキスト生成手段（15' )、 この認証コンテキストを送信する後段側送信手段（11 ' )、として機能させるためのプ ログラムであり、

前記秘匿実行内容は、前記前段側の認証エンティティ装置から送信される前に、 当該前段側の認証エンティティ装置により当該秘匿実行内容を対象とした前段側ハ ッシュ値に変換されるものでもあり、

前記前段側ハッシュ値は、前記前段側の認証エンティティ装置により、前記秘密情 報に基づいて、前記認証構成プロセスの実行内容と共に当該前段側ハッシュ値を対 象とした認証子に変換される一方、この認証子及び当該実行内容と共に特定のフォ 一マットに従って前段側の認証コンテキストに記述され、この前段側の認証コンテキ ストと共に送信されるものであり、

前記各認証コンテキストは、

前記検証装置により、それぞれ受信されて当該各認証コンテキストに含まれる前段 側ハッシュ値と後段側ハッシュ値とが互いに同一であることが比較検証され、前記秘 密情報に対応する認証子検証情報に基づいて、前記各認証コンテキスト毎に、認証 子が検証され、当該各検証結果に基づいて、正当性が検証されるものであることを特 徴とするプログラム。

認証処理を構成する認証構成プロセスを個別に実行する複数の認証エンティティ 装置に通信可能であり、前記各認証エンティティ装置で実行された前記認証処理を 検証するための検証装置（30)に関し、当該検証装置のコンピュータに用いられるプ ログラムであって、

前記コンピュータを、

前記各認証エンティティ装置に記憶された秘密情報に対応する認証子検証情報が 記憶された検証情報記憶装置 (37)、

前記各認証エンティティ装置のうち、少なくとも 1台の前段側の認証エンティティ装 置により、前記認証構成プロセスの実行内容のうち、後段の認証構成プロセスに入 力され且つ前記検証装置に対して秘匿する秘匿実行内容を対象とした前段側ハツ シュ値が生成され、前記秘密情報に基づいて、前記認証構成プロセスの実行内容及 び前記前段側ハッシュ値を対象とした認証子が生成され、前記認証子と前記前段側 ハッシュ値の対象以外の実行内容及び前記前段側ハッシュ値とが特定のフォーマツ トに従って記述されて前段側の認証コンテキストが生成された後、前記前段側の認証 エンティティ装置から送信された前段側の認証コンテキストを受信する第 1の認証コ ンテキスト受信手段（31)、

前記各認証エンティティ装置のうち、少なくとも 1台の後段側の認証エンティティ装 置により、前記前段側の認証エンティティ装置から送信された秘匿実行内容が受信 され、この秘匿実行内容を対象とした後段側ハッシュ値が生成され、前記秘密情報 に基づレ、て、前記認証構成プロセスの実行内容及び前記後段側ハッシュ値を対象と した認証子が生成され、この認証子、当該実行内容及び前記後段側ハッシュ値が特 定のフォーマットに従って記述されて後段側の認証コンテキストが生成された後、前 記後段側の認証エンティティ装置から送信された後段側の認証コンテキストを受信す る第 2の認証コンテキスト受信手段（31)、

前記受信した各認証コンテキストに含まれる前段側ハッシュ値と後段側ハッシュ値 とが互いに同一であることを比較検証するハッシュ値比較検証手段（39)、

前記認証子検証情報に基づいて、前記各認証コンテキスト毎に、認証子を検証す る認証子検証手段（38)、

前記各検証手段による検証結果に基づいて、前記各認証コンテキストの正当性を 検証する認証コンテキスト検証手段（36 ' )、

として機能させるためのプログラム。

請求項 15又は請求項 18に記載のプログラムにおいて、

前記コンピュータを、

前記認証構成プロセスの実行に関し、受け入れ可能な実行環境を規定したプロフ アイルリストを生成するプロファイルリスト生成手段、

前記プロファイルリストを送信するリスト送信手段（31)、として機能させるためのプロ グラムであり、

前記プロファイルリストは、

前記検証装置と前記各認証エンティティ装置との間で通信を中継する認証要求装 置に受信され、当該認証要求装置により、前記各認証エンティティ装置毎に取得さ れた、認証構成プロセスを実行する機能を規定した機能リストと比較されるものであり この比較は、

前記プロファイルリスト及び前記機能リストの両者を満たすように、実行プロファイル を決定するための処理であり、

前記実行プロファイルは、

前記各認証エンティティ装置に送信され、前記認証構成プロセスを実行する実行 環境を規定したものであることを特徴とするプログラム。 [20] 請求項 19に記載の検証装置と前記各認証エンティティ装置との間で通信を中継す る認証要求装置（40)のコンピュータに用いられるプログラムにおいて、

前記認証要求装置のコンピュータを、

前記検証装置からプロファイルリストを受信するプロファイルリスト受信手段 (41)、 認証構成プロセスを実行する機能を規定した機能リストを前記各認証エンティティ 装置毎に受信する機能リスト受信手段 (41)、

前記プロファイルリスト及び前記機能リストの両者を満たすように、実行プロファイル を決定するプロファイル決定手段 (44)、

前記実行プロファイルを各認証エンティティ装置に送信する実行プロファイル送信 手段 (41)、として機能させるためのプログラム。

[21] 請求項 14、請求項 16又は請求項 17に記載のプログラムにおいて、

前記コンピュータを、

認証毎に同一内容を表す静的情報に関し、前記静的情報のデータ量よりも小さい データ量からなり前記静的情報を取得するためのリンク先情報が記憶されるリンク先 情報記憶装置（19， 29)、として機能させ、

前記認証コンテキスト生成手段は、前記静的情報に代えて前記リンク先情報を含 むように前記認証コンテキストを生成するように前記コンピュータを機能させ、 この認、証コンテキストは、

前記検証装置により受信され、当該認証コンテキスト内のリンク先情報に基づいて、 静的情報が取得され、この静的情報と当該認証コンテキスト内の実行内容とに基づ レ、て、前記認証処理が検証されるものであることを特徴とするプログラム。

[22] 請求項 15、請求項 18又は請求項 19に記載のプログラムにおいて、

前記コンピュータを、

前記各認証コンテキストが、認証毎に同一内容を表す静的情報に関し、前記静的 情報に代えて前記静的情報のデータ量よりも小さいデータ量からなり前記静的情報 を取得するためのリンク先情報を含むとき、前記認証コンテキスト受信手段により受信 した認証コンテキスト内のリンク先情報に基づいて、静的情報を取得する手段、 この静的情報と当該認証コンテキスト内の実行内容とに基づレ、て、前記認証処理を 検証する検証手段、

として機能させるためのプログラム。