JP6823564B2 - Authentication key sharing system and new terminal registration method - Google Patents
Authentication key sharing system and new terminal registration methodDownload PDFInfo
- Publication number
- JP6823564B2 JP6823564B2JP2017149575AJP2017149575AJP6823564B2JP 6823564 B2JP6823564 B2JP 6823564B2JP 2017149575 AJP2017149575 AJP 2017149575AJP 2017149575 AJP2017149575 AJP 2017149575AJP 6823564 B2JP6823564 B2JP 6823564B2
- Authority
- JP
- Japan
- Prior art keywords
- terminal
- key
- public
- registered
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
Translated fromJapanese本発明は、利用者が端末機からWebサービス利用のために必要な認証鍵を利用する認証鍵共有システム及び端末機新規登録方法に関する。 The present invention relates to an authentication key sharing system in which a user uses an authentication key necessary for using a Web service from a terminal, and a method for newly registering a terminal.
インターネットの利用者は、パソコン(パーソナルコンピュータ)やスマートフォン、タブレット等の端末機を使って、オンラインバンキングやネットショッピング等の各種Web(World Wide Web)サービスを利用している。Webサービス(単にサービスともいう)を利用する際には、利用者認証が必要であり、利用者ID(IDentifier)とパスワードを用いるのが一般的である。しかしながら、安易に設定したパスワードが推測されたり、不正アクセスによりWebサービスを行うWebサーバ(サーバともいう)からパスワードが漏洩したりすることによって、パスワードが盗まれてしまう事件が多発している。 Internet users use various Web (World Wide Web) services such as online banking and online shopping by using terminals such as personal computers (personal computers), smartphones, and tablets. When using a Web service (also simply referred to as a service), user authentication is required, and it is common to use a user ID (IDentifier) and a password. However, there are many cases in which a password is stolen because the password set easily is guessed or the password is leaked from a Web server (also called a server) that provides a Web service due to unauthorized access.
パスワード認証に代わる利用者認証技術として、FIDO(Fast IDentity Online)という公開鍵暗号を用いたWebサービスの利用者認証技術がある。FIDOでは、サービス毎に各々が異なる一対の秘密鍵及び公開鍵の認証鍵ペアを端末機で生成し、公開鍵をサーバに登録し、秘密鍵を端末機内のセキュア領域に閉じ込めておく。例えば、図15(a)に示すように、所定のサービスAを提供するWebサーバ10aに公開鍵11aを登録し、所定のサービスBを提供するWebサーバ10bに公開鍵11bを登録する。端末機12aのセキュア領域13a内に、公開鍵11aと対の秘密鍵14aと、公開鍵11bと対の秘密鍵14bとを閉じ込めておく。なお、「と対の」は、「と一対の」ことを表す。以降同様である。 As a user authentication technology that replaces password authentication, there is a user authentication technology for Web services that uses public key cryptography called FIDO (Fast IDentity Online). In FIDO, a pair of private key and public key authentication key pairs, which are different for each service, are generated by the terminal, the public key is registered in the server, and the private key is confined in the secure area in the terminal. For example, as shown in FIG. 15A, the public key 11a is registered in the
サーバ(例えば10a)による利用者認証は、チャレンジ・レスポンス認証(後述)における署名等によって次のように行われる。即ち、サーバ10aが乱数を生成して端末機12aへ送信し、端末機12aが秘密鍵14aを用い乱数に署名してサーバ10aへ返信し、サーバ10aが公開鍵11aで署名を検証するといった手順で行われる。その署名検証が成功すれば、利用者認証が成功したことになり、利用者はWebサービスを利用することができる。なお、チャレンジ・レスポンス認証とは、ユーザ認証に使われるランダム文字列(チャレンジという)に特殊な処理を施すことにより、通信途中にパスワード等が盗聴されるのを防ぐ認証方式である。 User authentication by the server (for example, 10a) is performed as follows by signature in challenge / response authentication (described later). That is, a procedure in which the
上記サーバによる利用者認証の前に、利用者が端末機12aの秘密鍵14a,14bを利用する場合、端末機12a上で生体認証等により行うことが前提となっている。秘密鍵14a,14bの利用は、端末機12aのセキュア領域13a内で行われ、端末機12aの外部に秘密鍵14a,14bが出ることが無いため高いセキュリティが保持されている。 When the user uses the private keys 14a and 14b of the
但し、図15(b)に示す新規の端末機12bを使用する場合、セキュア領域13b内には秘密鍵が無いので、Webサーバ10a,10bのサービスA,B毎に再度、認証鍵ペアを生成して秘密鍵を登録する必要がある。この際、複数の端末機を使用する場合、端末機数×サービス数だけ登録作業が必要となる。このため、端末機やサービスの数が多い程に利便性が低くなる。 However, when the
そこで、非特許文献1では、複数の秘密鍵を端末機外部のキーストア(後述)に集約し、複数の端末機からキーストアを共有して利用可能にする手法が開示されている。この手法ついて図16を参照して説明する。 Therefore,
図16に示すキーストア17は、サーバ等により構成されており、端末鍵保管領域18及び認証鍵保管領域19を有する。端末機12a,12bは、秘密鍵としての端末鍵{以降、端末鍵(秘)という}20a,20bを保持し、キーストア17に第三者が保証する本人確認情報を提示し、端末鍵(秘)20a,20bと対の公開鍵としての端末鍵{以降、端末鍵(公)という}15a,15bを端末鍵保管領域18に登録する。認証鍵保管領域19には、秘密鍵としての認証鍵{以降、認証鍵(秘)という}16a,16bが登録されている。認証鍵(秘)16aは、サーバ10aのサービスAに対応付けられた公開鍵としての認証鍵{以降、認証鍵(公)という}11aに1対1で対応しており、認証鍵(秘)16bは、サーバ10bのサービスBに対応付けられた認証鍵(公)11bに1対1で対応している。 The
端末機(例えば12a)は、端末鍵(秘)20aと端末鍵(公)15aのペアを生成し、端末鍵(秘)20aを自端末機12aに保持し、端末鍵(公)15aをキーストア17に提示し、キーストア17は端末鍵(公)15aを保持する。この保持後、端末機12aは、利用したいサービス(例えばA)に係る乱数をキーストア17に転送し、キーストア17内で、サービスAの認証鍵(公)11aと対の認証鍵(秘)16aで、乱数に署名を行うように要求する。キーストア17は、乱数に認証鍵(秘)16aで署名を行って端末機12aに返す。更に、端末機12aは、キーストア17から受信した署名付きの乱数を、サーバ10aへ返信する。サーバ10aは認証鍵(公)11aで署名を検証し、この検証がOKであれば、端末機12aに対してサービスAを利用可能とする。 The terminal (for example, 12a) generates a pair of the terminal key (secret) 20a and the terminal key (public) 15a, holds the terminal key (secret) 20a in the
このように端末機12a,12bは、端末機自体が保持する端末鍵(秘)20a,20bと対の端末鍵(公)15a,15bをキーストア17に登録すればよい。この登録により端末機12a,12bは、端末鍵(秘)20a,20bによる認証適合後、認証鍵保管領域19に保管された認証鍵(秘)16a,16bで乱数に署名して返信して貰うことで、任意のサービスA,Bを利用可能となっている。また、端末機12a,12bによるキーストア17への端末鍵(公)15a,15bの登録時には、端末機所有者の本人確認処理を行うことで、同一所有者に属する端末機12a,12bにしかキーストア17上の認証鍵(秘)16a,16bを利用できない仕組みになっている。このため、高いセキュリティが保持されている。 In this way, the
上述したキーストア17を用いる手法では、同一所有者の端末機12a,12bに限ってキーストア17上の認証鍵(秘)16a,16bにアクセス可能とするために、キーストア17に端末鍵(公)15a,15bを登録する。この登録を行う場合、第三者が保証する本人確認情報を提示することを前提としているので、端末機12a,12bを新規に追加する度に本人確認情報を提示する必要がある。 In the method using the
本人確認情報の提示手段は様々に考えられるが、キーストア17への不正アクセスによる成り済ましを防ぐためには、第三者による保証に基づいた、あるレベル以上の本人確認が求められると想定されるので、ユーザの負担は少なくない。具体的には、一般的に実施されている次の(1)〜(3)の方法がある。 There are various ways to present identity verification information, but in order to prevent spoofing due to unauthorized access to the
(1)対面での身分証の提示。
(2)事前登録したメールアドレスや電話番号{SMS(ショートメッセージ)番号}へ確認コードを送信し、新規端末機上で確認コードを入力する。
(3)本人確認済みIC(integrated circuit)カード(例:マイナンバーカード等)を端末機へ接触させる。(1) Face-to-face identification.
(2) Send the confirmation code to the pre-registered email address or phone number {SMS (short message) number}, and enter the confirmation code on the new terminal.
(3) Bring an IC (integrated circuit) card whose identity has been confirmed (eg, My Number card, etc.) into contact with the terminal.
利用者が数台程度の端末機を専有してサービスを利用することが一般的な現行の利用環境を想定すれば、端末機の利用開始時に限って本人確認を実施する負担は許容の範囲内と想定される。 Assuming the current usage environment in which users generally use a few terminals exclusively to use the service, the burden of performing identity verification only at the start of using the terminals is within the permissible range. Is assumed.
しかし、将来的にウェアラブル端末機等を含めて所有する端末機数が飛躍的に増加した場合や、様々な場所に存在する共用端末機を一時的に専有してサービスを利用し、利用終了時に解放するような利用スタイルが一般化することが想定される。この場合、新規に端末機が増えたり、共用端末機を利用する都度、本人確認情報を提示して端末鍵(公)をキーストアに登録する必要があるので、ユーザの負担が大きいという問題が生じる。 However, if the number of terminals owned, including wearable terminals, increases dramatically in the future, or if shared terminals existing in various locations are temporarily occupied and the service is used, at the end of use. It is expected that usage styles that release will be generalized. In this case, every time a new terminal is added or a shared terminal is used, it is necessary to present the identity verification information and register the terminal key (public) in the keystore, which causes a problem that the burden on the user is heavy. Occurs.
本発明は、このような事情に鑑みてなされたものであり、同一利用者が所有する端末機数が増加しても、一定のセキュリティを担保しつつ、端末機から利便性良くWebサービス利用のために必要な認証鍵を利用することができる認証鍵共有システム及び端末機新規登録方法を提供することを課題とする。 The present invention has been made in view of such circumstances, and even if the number of terminals owned by the same user increases, the Web service can be conveniently used from the terminals while ensuring a certain level of security. An object of the present invention is to provide an authentication key sharing system and a new terminal registration method that can use the authentication key required for the purpose.
上記課題を解決するための手段として、請求項1に係る発明は、通信による各種のサービスを提供するサーバと、前記サービスを通信で利用する端末機と、前記サービスを認証する公開鍵としての認証鍵(公)及び当該認証鍵(公)と対のサービス認証用の秘密鍵としての認証鍵(秘)、並びに、前記端末機が保持する端末機用の秘密鍵としての端末鍵(秘)と対の公開鍵としての端末鍵(公)が登録されるキーストアとを有する認証鍵共有システムであって、前記端末機は、第三者が保証する本人確認情報を提示し、自登録済端末機が保持する端末鍵(秘)と対の端末鍵(公)を前記キーストアに登録した登録済端末機が存在する場合に、新規で登録する新規端末機に保持された端末鍵(秘)と対の端末鍵(公)を、当該登録済端末機が保持する端末鍵(秘)で署名し、この署名により生成された署名済み端末鍵(公)を前記キーストアへ送信する端末鍵管理部を備え、前記キーストアは、前記署名済み端末鍵(公)の署名が、当該キーストアに保持された登録済端末機の端末鍵(公)で検証された場合に、前記新規端末機の端末鍵(公)を当該キーストアに登録する端末管理部を備え、前記登録済端末機から前記新規端末機に、前記サービスの利用を制限する利用条件を送信し、前記新規端末機の前記キーストアへの端末鍵(公)の登録時に、前記利用条件が当該キーストアへ送信され、前記キーストアは、前記利用条件に従って、前記新規端末機の前記サービスの利用を制限するようにしたことを特徴とする認証鍵共有システムである。As a means for solving the above problems, the invention according to
請求項8に係る発明は、通信による各種のサービスを提供するサーバと、前記サービスを通信で利用する端末機と、前記サービスを認証する公開鍵としての認証鍵(公)及び当該認証鍵(公)と対のサービス認証用の秘密鍵としての認証鍵(秘)、並びに、前記端末機が保持する端末機用の秘密鍵としての端末鍵(秘)と対の公開鍵としての端末鍵(公)が登録されるキーストアとを有する認証鍵共有システムの端末機新規登録方法であって、第三者が保証する本人確認情報を提示し、自登録済端末機が保持する端末鍵(秘)と対の端末鍵(公)を前記キーストアに登録した登録済端末機が存在する場合に、前記登録済端末機は、新規で登録する新規端末機に保持された端末鍵(秘)と対の端末鍵(公)を、当該登録済端末機が保持する端末鍵(秘)で署名し、この署名により生成された署名済み端末鍵(公)を前記キーストアへ送信するステップを実行し、前記キーストアは、前記署名済み端末鍵(公)の署名が、当該キーストアに保持された登録済端末機の端末鍵(公)で検証された場合に、前記新規端末機の端末鍵(公)を当該キーストアに登録するステップを実行し、前記登録済端末機は、前記新規端末機に、前記サービスの利用を制限する利用条件を送信するステップを実行し、前記新規端末機は、前記キーストアへの端末鍵(公)の登録時に、前記利用条件を当該キーストアへ送信するステップを実行し、前記キーストアは、前記利用条件に従って、前記新規端末機の前記サービスの利用を制限するステップを実行することを特徴とする端末機新規登録方法である。The invention according to claim 8 is a server that provides various services by communication, a terminal that uses the service in communication, an authentication key (public) as a public key for authenticating the service, and the authentication key (public). ) And the authentication key (secret) as the private key for service authentication, and the terminal key (public) as the public key paired with the terminal key (secret) as the private key for the terminal held by the terminal. ) is a terminal new registration method of authentication key sharing system and a key store that is registered, the terminal key to presenting a personal identification informationby third parties to guarantee, self-registered terminal is held (secret) When there is a registered terminal in which the terminal key (public) paired with is registered in the key store, the registeredterminal is paired with the terminal key (secret) held in the newly registered new terminal. The terminal key (public) of is signed with the terminal key (secret) held by the registered terminal, and the signed terminal key (public) generated by this signature is transmitted to the key store. In the key store, when the signature of the signed terminal key (public) is verified with the terminal key (public) of the registered terminal held in the key store, the terminal key (public) of the new terminal is used. )Is executedin the key store, the registeredterminal executes a step of transmitting a usage condition for restricting the use of the service to the new terminal, and the new terminal executes the step of transmitting the usage conditions to restrict the use of the service. When the terminal key (public) is registered in the key store, the step of transmitting the usage conditions to the key store is executed, and the key store restricts the use of the service of the new terminal according to the usage conditions. This is a new terminal registration method characterizedby executing steps .
請求項1の構成及び請求項8の方法によれば、新規端末機の端末鍵(公)に登録済端末機の端末鍵(秘)で署名を行い、この署名済み端末鍵(公)をキーストアで認証して新規端末機の端末鍵(公)を登録することができる。このため、新規端末機をキーストアに登録する際に、本人確認情報を提示せずとも、容易に認証して登録することができる。従って同一利用者が所有する端末機数が増加しても、一定のセキュリティを担保しつつ、端末機から利便性良くWebサービス利用のために必要な認証鍵を利用することができる。
また、端末機間の署名に基づく認証で登録された新規端末機では、サービスの利用に制限を設けて、本人確認情報の提示により登録された登録済端末機と差別化を図ることができる。According to the configuration of
In addition, new terminals registered by authentication based on signatures between terminals can be differentiated from registered terminals by presenting identity verification information by setting restrictions on the use of services.
請求項2に係る発明は、通信による各種のサービスを提供するサーバと、前記サービスを通信で利用する端末機と、前記サービスを認証する公開鍵としての認証鍵(公)及び当該認証鍵(公)と対のサービス認証用の秘密鍵としての認証鍵(秘)、並びに、前記端末機が保持する端末機用の秘密鍵としての端末鍵(秘)と対の公開鍵としての端末鍵(公)が登録されるキーストアとを有する認証鍵共有システムであって、前記端末機は、第三者が保証する本人確認情報を提示し、自登録済端末機が保持する端末鍵(秘)と対の端末鍵(公)を前記キーストアに登録した登録済端末機が存在する場合に、新規で登録する新規端末機の接続要求に応じて、前記キーストアから受信した端末機を識別するためのランダム文字列による端末識別チャレンジを、前記新規端末機から取得した前記登録済端末機が、当該登録済端末機が保持する端末鍵(秘)で署名し、この署名により生成された署名付端末識別チャレンジを前記新規端末機を介して前記キーストアへ返信する端末鍵管理部を備え、前記キーストアは、前記署名付端末識別チャレンジの署名が、当該キーストアに保持された登録済端末機の端末鍵(公)で検証された場合に、前記新規端末機の端末鍵(公)を当該キーストアに登録する端末管理部を備え、前記登録済端末機から前記新規端末機に、前記サービスの利用を制限する利用条件を送信し、前記新規端末機の前記キーストアへの端末鍵(公)の登録時に、前記利用条件が当該キーストアへ送信され、前記キーストアは、前記利用条件に従って、前記新規端末機の前記サービスの利用を制限するようにしたことを特徴とする認証鍵共有システムである。The invention according to
この構成によれば、新規端末機からの端末識別チャレンジに登録済端末機の端末鍵(秘)で署名を行い、この署名付端末識別チャレンジをキーストアで認証して新規端末機の端末鍵(公)を登録することができる。このため、新規端末機をキーストアに登録する際に、本人確認情報を提示せずとも、容易に認証して登録することができる。
また、端末機間の署名に基づく認証で登録された新規端末機では、サービスの利用に制限を設けて、本人確認情報の提示により登録された登録済端末機と差別化を図ることができる。According to this configuration, the terminal identification challenge from the new terminal is signed with the terminal key (secret) of the registered terminal, the signed terminal identification challenge is authenticated by the key store, and the terminal key of the new terminal ( Public) can be registered. Therefore, when registering a new terminal in the keystore, it is possible to easily authenticate and register without presenting the identity verification information.
In addition, new terminals registered by authentication based on signatures between terminals can be differentiated from registered terminals by presenting identity verification information by setting restrictions on the use of services.
請求項3に係る発明は、前記登録済端末機から前記新規端末機に前記利用条件を送信する際に、当該登録済端末機が保持する端末鍵(秘)で署名し、この署名により生成された署名済み端末鍵(公)に当該利用条件を付けて送信することを特徴とする請求項1に記載の認証鍵共有システムである。The invention according to claim 3 isgenerated by signing with a terminal key (secret) held by the registered terminal when transmitting the terms of use from the registered terminal to the new terminal.and an authentication key agreement system according to
請求項4に係る発明は、前記登録済端末機から前記新規端末機に前記利用条件を送信する際に、当該登録済端末機が保持する端末鍵(秘)で署名し、この署名により生成された署名付端末識別チャレンジに当該利用条件を付けて送信することを特徴とする請求項2に記載の認証鍵共有システムである。The invention according to claim 4, when transmitting the use condition from the registered terminal to the new terminal, signed with a terminal key (secret) which the registered terminal isheld, generated by the signature ofthis The authentication key sharing system according to
請求項3及び4の構成によれば、次のような作用効果を得ることができる。端末機間の署名に基づく認証で登録された新規端末機では、サービスの利用に制限を設けて、本人確認情報の提示により登録された登録済端末機と差別化を図ることができる。 According to the configurations of claims 3 and 4, the following effects can be obtained. New terminals registered by authentication based on signatures between terminals can be differentiated from registered terminals by presenting identity verification information by setting restrictions on the use of services.
請求項5に係る発明は、前記キーストアに、前記登録済端末機及び前記新規端末機に係る端末機の登録時の情報を、当該端末機の固有情報に対応付けて保管するアクセス管理部を備え、前記サーバは、前記端末機が前記キーストアに登録された前記認証鍵(秘)を使用する際に、当該キーストアから受信した当該端末機の登録時の情報に応じて、当該端末機の認証鍵(秘)の使用を制限する認証鍵利用制御部を備えることを特徴とする請求項1又は2に記載の認証鍵共有システムである。 The invention according to
この構成によれば、サーバにおいて、端末機の登録時の情報に応じて、端末機の認証鍵(秘)の使用を制限することによって、端末機へのサービスの利用を制限することができる。 According to this configuration, in the server, the use of the service to the terminal can be restricted by restricting the use of the authentication key (secret) of the terminal according to the information at the time of registration of the terminal.
請求項6に係る発明は、前記端末機が、前記新規端末機と前記登録済端末機間で前記署名のための通信を行う前に、当該新規端末機と当該登録済端末機との双方が、予め定められた距離で予め定められた操作が同時に行われた際に、双方の通信を確立させる相互確認部を更に備えることを特徴とする請求項1〜5の何れか1項に記載の認証鍵共有システムである。 In the invention according to claim 6, both the new terminal and the registered terminal are used before the terminal communicates for the signature between the new terminal and the registered terminal. The present invention according to any one of
この構成によれば、端末機同士が、予め定められた距離、例えば2m以内位の距離で、予め定められた操作が同時に行われた場合にのみ、端末機間の通信が確立するので、セキュリティを高めながら、端末機を利用するユーザの利便性を向上させることができる。 According to this configuration, communication between terminals is established only when predetermined operations are simultaneously performed within a predetermined distance, for example, within 2 m, so that security is established. It is possible to improve the convenience of the user who uses the terminal while improving the above.
請求項7に係る発明は、前記キーストアが、前記本人確認情報の提示により前記キーストアに登録された登録済端末機に当該本人確認情報を対応付け、当該登録済端末機と前記新規端末機間の前記署名で生成された署名済み端末鍵(公)の署名が検証されて前記キーストアに登録された新規端末機に、信頼情報を対応付けて端末管理テーブルに保存するアクセス管理部を備えることを特徴とする請求項1〜6の何れか1項に記載の認証鍵共有システムである。In the invention according to
この構成によれば、キーストアの端末管理テーブルにおいて、登録済端末機には本人確認情報が対応付けられ、新規端末機には信頼情報が対応付けられる。これによって、キーストアに登録されている端末機が、本人確認情報で認証されたものであるか、端末機間の署名で簡易に認証されたものであるかを、容易に識別することができる。このため、端末機に利用条件を付ける場合等に、正確に識別することができる。 According to this configuration, in the terminal management table of the keystore, the registered terminal is associated with the identity verification information, and the new terminal is associated with the trust information. This makes it possible to easily identify whether the terminal registered in the keystore is authenticated by the identity verification information or simply authenticated by the signature between the terminals. .. Therefore, it can be accurately identified when the usage conditions are attached to the terminal.
本発明によれば、同一利用者が所有する端末機数が増加しても、一定のセキュリティを担保しつつ、端末機から利便性良くWebサービス利用のために必要な認証鍵を利用する認証鍵共有システム及び端末機新規登録方法を提供することができる。 According to the present invention, even if the number of terminals owned by the same user increases, an authentication key that conveniently uses an authentication key necessary for using a Web service from a terminal while ensuring a certain level of security. It is possible to provide a shared system and a new terminal registration method.
以下、本発明の実施形態を、図面を参照して説明する。
最初に本発明の原理を図1を参照して説明する。図1は、本発明に係る認証鍵共有システム30の構成を示すブロック図である。
認証鍵共有システム(システムともいう)30は、オンラインバンキングやネットショッピング等の各種Webサービス(サービスともいう)を提供するWebサーバ(サーバともいう)31a,31bと、ユーザ(利用者)が使用するパソコンやスマートフォン、タブレット等の第1及び第2端末機32a,32bと、サーバ等により構成されるキーストア33とを備えて構成されている。Hereinafter, embodiments of the present invention will be described with reference to the drawings.
First, the principle of the present invention will be described with reference to FIG. FIG. 1 is a block diagram showing a configuration of an authentication key sharing system 30 according to the present invention.
The authentication key sharing system (also referred to as a system) 30 is used by a user (user) and Web servers (also referred to as servers) 31a and 31b that provide various Web services (also referred to as services) such as online banking and online shopping. It is configured to include first and
サーバ31a,31bは、サービスA,Bに対応付けられた認証鍵(公)K1a,K1bを保持している。キーストア33には、サーバ31a,31bの認証鍵(公)K1a,K1bと対の認証鍵(秘)K4a,K4bが登録されている。第1端末機32aは、端末鍵(秘)K2aを保持し、キーストア33に第三者が保証する本人確認情報を提示し、端末鍵(秘)K2aと対の端末鍵(公)K3aをキーストア33に登録する。第2端末機32bは、端末鍵(秘)K2bを保持し、後述のように端末鍵(秘)K2bと対の端末鍵(公)K3bをキーストア33に登録するようになっている。 The
ユーザは、第1及び第2端末機32a,32bを使って、サーバ31a,31bの各種サービスを利用する。この際、端末鍵(秘)K2aを保持する第1端末機32aの端末鍵(公)K3aは、矢印Y1で示すように、ユーザの本人確認情報の提示によって、キーストア33に登録されているとする。この場合に、ユーザが新規端末機(例えば、第2端末機32b)を使用する場合、本発明では、次のようにキーストア33に、新規端末機32bの端末鍵(公)K3bの登録を行う。 The user uses the first and
本発明では、キーストア33への新規の第2端末機32bの登録時に、第三者が保証した本人確認情報を提示しなくても、既に登録済みの第1端末機32aと双方向矢印Y2に示すように、端末機32a,32b同士の通信を確立させる相互確認を行って、所有者が同一であることを簡易的に確認できたと見なす。この確認OKにより第1端末機32aが信頼情報を提示する。そして、矢印Y3で示すように、第1端末機32aの信頼情報の提示の基に、第2端末機32bの端末鍵(公)K3bの登録(端末機の登録ともいう)を許容するようになっている。 In the present invention, when registering a new second terminal 32b in the
上記の相互確認は、第1及び第2端末機32a,32bが予め定められた近距離(2m以内位の短距離)で、予め定められた操作が同時に実行されることが条件となっている。相互確認を行う手段の具体例としては、端末機32a,32b間をUSBケーブル等の所定長さの短いケーブルで接続したり、RFID(Radio Frequency Identification)や、NFC(Near Field Communication)、BLE(Bluetooth(登録商標) Low Energy)等で近距離の無線によって接続し、同一の確認コードを入力して近距離通信を確立する。この近接通信を確立するのは、成り済まし等を防止しセキュリティを、より高めるためである。 The above mutual confirmation is conditional on the first and
また、端末機32a,32b間の相互確認に基づいて登録された第2端末機32bは、第三者が保証した本人確認情報の提示がない。このため、本人確認情報を提示して端末鍵(公)K3aを登録した第1端末機32aに比べ、限定的な利用条件のもとでキーストア33の認証鍵(秘)K4a,K4bを利用可能としてある。 Further, the
利用条件の限定例としては、次の(1)〜(3)等がある。
(1)端末機登録後、一定時間しか認証鍵(秘)K4a,K4bを利用できないようにする。
(2)端末機登録後、一定回数しか認証鍵(秘)K4a,K4bを利用できないようにする。
(3)全ての認証鍵(秘)K4a,K4bではなく、特定の認証鍵(秘)(例えばK4a)しか利用できないようにする。Limited examples of usage conditions include the following (1) to (3).
(1) After registering the terminal, the authentication keys (secret) K4a and K4b can be used only for a certain period of time.
(2) After registering the terminal, the authentication keys (secret) K4a and K4b can be used only a certain number of times.
(3) Only a specific authentication key (secret) (for example, K4a) can be used instead of all authentication keys (secret) K4a and K4b.
このような利用条件は、認証鍵(秘)の存在を根拠にユーザ認証を行うサービス提供者が指定することも、新規端末機の登録処理を実行するユーザ自身が相互確認時に指定することも、キーストアの管理者が指定することも可能である。 Such terms of use can be specified by the service provider who authenticates the user based on the existence of the authentication key (secret), or by the user who executes the registration process of the new terminal at the time of mutual confirmation. It can also be specified by the keystore administrator.
このことから、第1端末機32aは、矢印Y4で示すように、利用条件無しにキーストア33の何れの認証鍵(秘)K4a,K4bを利用できる。これによって、サーバ31a,31bの何れのサービスA,Bも利用できる。 From this, as shown by the arrow Y4, the
一方、第1端末機32aとの相互確認により登録された第2端末機32bは、矢印Y5で示すように、利用条件有りで認証鍵(秘)K4aしか利用できない。このため、サーバ31aのサービスAのみを利用できる。 On the other hand, as shown by the arrow Y5, the
<第1実施形態の構成>
次に、本発明の第1実施形態に係る認証鍵共有システムについて説明する。図2は、本発明の第1実施形態に係る認証鍵共有システム30Aの構成を示すブロック図である。但し、システム30Aにおいて、図1に示した認証鍵共有システム30と同一部分には同一符号を付し、その説明を適宜省略する。<Structure of the first embodiment>
Next, the authentication key sharing system according to the first embodiment of the present invention will be described. FIG. 2 is a block diagram showing a configuration of the authentication key sharing system 30A according to the first embodiment of the present invention. However, in the system 30A, the same parts as those of the authentication key sharing system 30 shown in FIG. 1 are designated by the same reference numerals, and the description thereof will be omitted as appropriate.
図2に示すシステム30Aは、各種サービスを提供するサーバ31a,31bと、ユーザが使用する第1及び第2端末機32a,32bと、キーストア33とを備えて構成されている。 The system 30A shown in FIG. 2 includes
サーバ31aは、サービスAに対応付けられた認証鍵(公)K1aを保持する認証部41aを備える。サーバ31bは、サービスBに対応付けられた認証鍵(公)K1bを保持する認証部41bを備える。認証部41a,41bの認証鍵(公)K1a,K1bの保持は、例えば、鍵管理テーブルT4(図7参照)で行われる。 The
第1端末機32aは、Webクライアント43aと、相互確認部44aと、キーストアアクセス部(アクセス部ともいう)45aと、端末鍵(秘)K2aを保持する端末鍵管理部46aとを備える。第2端末機32bは、Webクライアント43bと、相互確認部44bと、キーストアアクセス部45bと、端末鍵(秘)K2bを保持する端末鍵管理部46bとを備える。 The
Webクライアント43a,43bは、WebブラウザやWeb上のサービスを利用するためのスマートフォンアプリケーション等である。Webクライアント43a,43bは、本発明のベースとなるFIDO技術において、Webサービスを通常利用するためのサーバやクライアント(ブラウザやWebアプリケーション)に加えて、FIDO認証を実現する各ソフトウェアコンポーネントを実装するアーキテクチャとなっている。本発明も、本アーキテクチャを基にしているので、Webクライアントが存在している。 The
キーストア33は、アクセス管理部47と、端末鍵(公)K3a,K3bを保持する端末管理部48と、認証鍵(秘)K4a,K4bを保持する認証鍵管理部49とを備える。アクセス管理部47は、図3に示す端末管理テーブルT1を備える。認証鍵管理部49は、図4に示す鍵管理テーブルT2を備える。 The
<第1実施形態の本人確認情報による端末機の登録処理>
本人確認情報を用いて第1端末機32aをキーストア33へ登録する処理を、図5に示すシーケンス図を参照して説明する。
図5に示すステップS1において、端末機32aのキーストアアクセス部45aが、ユーザ名によって自端末機32aの登録要求を、キーストア33の端末管理部48に行う。端末管理部48は、ステップS2において、本人確認情報の要求を、X社が端末機32aのユーザであることを証明するX社証明書(X社発行の電子証明書)の提示を指示して行う。この要求はアクセス部45aを介して端末鍵管理部46aへ通知される。<Terminal registration process based on the identity verification information of the first embodiment>
The process of registering the
In step S1 shown in FIG. 5, the keystore access unit 45a of the terminal 32a makes a registration request of the
端末鍵管理部46aは、ステップS3において、生体認証を行う。これは、例えば、ユーザが端末機32aの指紋認証手段に自分の指紋を提示することにより行われる。この他、静脈認証等の生体認証もある。この生体認証がOKであれば、端末鍵管理部46aは、ステップS4において、1対の端末鍵(秘)K2aと端末鍵(公)K3aの鍵ペアを生成する。更に、端末鍵管理部46aは、ステップS5において、その生成した端末鍵(秘)K2aを保持(図2)し、ステップS6において、端末鍵(公)K3aをアクセス部45aに出力する。 The terminal
端末鍵(公)K3aを受け取ったアクセス部45aは、ステップS7において、X社証明書を取得する。ここでは、事前に端末機32aを所有するユーザの本人確認がX社で行われ、X社から電子証明書としてのX社証明書が発行されていることを前提条件とする。次に、アクセス部45aは、ステップS8において、自端末機32aの端末ID、端末鍵(公)K3a及びX社証明書をセットにして、キーストア33の端末管理部48へ送信する。 The access unit 45a that has received the terminal key (public) K3a acquires the company X certificate in step S7. Here, it is a precondition that the identity verification of the user who owns the terminal 32a is performed in advance by the company X, and the company X certificate is issued by the company X as an electronic certificate. Next, in step S8, the access unit 45a sets the terminal ID of the
端末管理部48は、ステップS9において、X社証明書の内容を確認して、X社証明書に紐付くユーザであることを検証する。この検証がOKであれば、端末管理部48は、ステップS10において、アクセス管理部47に該当の端末機32aを登録する。この登録は、図3の端末管理テーブルT1のユーザ欄に第1ユーザ、端末ID欄に第1端末機(Dev−1)、公開鍵欄に端末鍵(公)K3aを16進数表記した「D23094F1F…」、登録時の情報欄に本人確認情報、利用条件欄に利用条件無し「−」、のように行われる。以降、上記の端末鍵(公)K3aを16進数表記した「D23094F1F…」を、端末鍵(公)K3a「D23094F1F…」と記載する。他の鍵においても同様とする。ここでは、端末IDの「Dev−1」をキーに、端末鍵(公)K3a「D23094F1F…」が公開鍵として登録される。また、登録時に本人確認情報が確認できているため、利用条件無し(制約無く全ての認証鍵を利用可能)「−」と登録される。 In step S9, the
このように、第1端末機32aはキーストア33に登録済みであるとする。なお、第1端末機32aを、登録済端末機32aとも称す。 In this way, it is assumed that the
<第1実施形態の新規端末機の登録処理>
次に、第2端末機32bを、本人確認情報の提示無しに、新規にキーストア33に登録する場合について説明する。なお、第2端末機32bを、新規端末機32bとも称す。<Registration process of new terminal of the first embodiment>
Next, a case where the
この新規登録の場合、図2に示す新規端末機32bの相互確認部44bが、生体認証後に、端末鍵管理部46bに保持された端末鍵(秘)K2bと対の端末鍵(公)K3bを、矢印Y11で示すように、登録済端末機32aの相互確認部44aへ送信する。相互確認部44aは、その送信されて来た端末鍵(公)K3bに、登録済端末機32aが保持する端末鍵(秘)K2aで署名する。 In the case of this new registration, the
登録済端末機32aは、矢印Y12で示すように、端末鍵(秘)K2aで署名K2a1された端末鍵(公)K3aを、新規端末機32bへ返信する。新規端末機32bは、矢印Y13で示すように、その返信されて来た署名K2a1済みの端末鍵(公)K3bをキーストア33へ送信する。キーストア33は、署名K2a1済みの端末鍵(公)K3bが、キーストア33に保持する登録済端末機32aの端末鍵(公)K3aで署名K2a1されていることを検証し、端末鍵(公)K3bを登録する。このように端末機32a,32b間同士の検証を基に登録される情報を、信頼情報という。この信頼情報は、登録済端末機32aの端末鍵(秘)K2aでの署名による情報であり、図3に示す端末管理テーブルT1の登録時の情報欄に登録される。なお、署名K2a1済みの端末鍵(公)K3bは、請求項記載の署名済み端末鍵(公)を構成する。 As shown by the arrow Y12, the registered terminal 32a returns the terminal key (public) K3a signed with the terminal key (secret) K2a to the
<第1実施形態の信頼情報による端末機の登録処理>
上述した登録済端末機32aの信頼情報を活用して第2端末機32bをキーストア33に登録する処理を、図6に示すシーケンス図を参照して具体的に説明する。<Terminal registration process based on the trust information of the first embodiment>
The process of registering the
図6に示すステップS11において、新規登録を行う第2端末機32bの相互確認部44bが近接通信確立要求を、登録済みの第1端末機32aの相互確認部44aに対して行う。これは、2つの端末機32a,32b同士が、予め定められた所定近距離(2m以内位の短距離)で同時に操作を行って通信を確立するための相互確認を行う要求である。 In step S11 shown in FIG. 6, the
近接通信確立要求を受けた第1端末機32aは、ステップS12において、第1端末機32aのディスプレイ(図示せず)に、ユーザに見せる接続コード(パスコード)を表示する。この接続コードは、互いの端末機32a,32b間を接続するためのコード列である。そのディスプレイに表示された接続コードを見たユーザは、ステップS13において、第2端末機32bの相互確認部44bに接続コードを入力する。 In step S12, the
第2端末機32bの相互確認部44bは、ステップS14において、接続コードを第1端末機32aの相互確認部44aへ送信する。この接続コードを受信した相互確認部44aは、ステップS15において、近接通信確立応答を第2端末機32bの相互確認部44bを介して端末鍵管理部46bに送信する。これによって、端末機32a,32b間の近接通信が確立する。 In step S14, the
端末鍵管理部46bは、ステップS16において生体認証を行う。この生体認証がOKであれば、端末鍵管理部46bは、ステップS17において、1対の端末鍵(秘)K2bと端末鍵(公)K3bの鍵ペアを生成する。更に、端末鍵管理部46bは、ステップS18において、その生成した端末鍵(秘)K2bを保持(図2)し、ステップS19において、端末鍵(公)K3bを第1端末機32aの端末鍵管理部46aに送信する。 The terminal
登録済の第1端末機32aでは、ステップS20において、ユーザが新規登録を行う第2端末機32bの利用条件(サービス利用の回数、時間等)を指定する。この指定後、端末鍵管理部46aは、ステップS21において生体認証を行う。この生体認証がOKであれば、ステップS22において、端末鍵管理部46aは、自端末鍵管理部46aが保持する端末鍵(秘)K2aで、第2端末機32bからの端末鍵(公)K3bに署名を行う。そして、端末鍵管理部46aは、ステップS23において、その署名付きで且つ利用条件が付けられた端末鍵(公)K3bを、第2端末機32bの端末鍵管理部46bを介してアクセス部45bへ返信する。なお、利用条件は、矢印Y16で示すように、回数「5」、時間「01:20」であるとする。 In the registered
アクセス部45bは、ステップS24において、ユーザ名によって自端末機の登録要求を、キーストア33の端末管理部48に行う。この際、アクセス部45bは、ステップS25において、上記返信された署名付きで且つ利用条件が付けられた端末鍵(公)K3bを端末管理部48へ送信する。 In step S24, the
端末管理部48は、ステップS26において、アクセス管理部47に格納された端末管理テーブルT1(図3)を参照し、登録済端末機32aの端末鍵(公)K3aを検索する。端末管理部48は、ステップS27において、その検索された端末鍵(公)K3aで、上記ステップS25で送信されて来た署名付きで且つ利用条件が付けられた端末鍵(公)K3bを検証する。この検証がOKであれば、端末管理部48は、ステップS28において、アクセス管理部47に新規の第2端末機32bを登録する。 In step S26, the
この登録は、図3の端末管理テーブルT1のユーザ欄に第1ユーザ、端末ID欄に第2端末機(Dev−2)、公開鍵欄に端末鍵(公)K3b「62C8F27DD…」、登録時の情報欄に信頼情報(第1端末機)、利用条件欄に残回数「5」、残時間「01:20」のように行われる。残回数「5」は、サービスの利用回数が5回であることを示す。残時間「01:20」は、サービスの利用時間が、1時間20分であることを示す。なお、利用条件は、キーストア事業者が個別の利用条件を設定してもよい。 For this registration, the first user is in the user column of the terminal management table T1 in FIG. 3, the second terminal (Dev-2) is in the terminal ID column, and the terminal key (public) K3b "62C8F27DD ..." is in the public key column. The information column is the trust information (first terminal), the usage condition column is the remaining number of times "5", and the remaining time is "01:20". The remaining number of times "5" indicates that the number of times the service has been used is five. The remaining time "01:20" indicates that the service usage time is 1 hour and 20 minutes. As for the terms of use, the keystore operator may set individual terms of use.
<第1実施形態の認証鍵の登録処理>
次に、キーストア33上に認証鍵(秘)(例えば認証鍵(秘)K4a)を生成し、サーバ(例えばサーバ31a)に認証鍵(公)K1aを新規登録する処理を、図7に示すシーケンス図を参照して具体的に説明する。<Authentication key registration process of the first embodiment>
Next, FIG. 7 shows a process of generating an authentication key (secret) (for example, authentication key (secret) K4a) on the
FIDOに基づく認証鍵(秘)の登録処理を開始すると、端末機は端末鍵を用いたチャレンジ・レスポンス認証に基づいてキーストアにアクセスする。この例では、キーストア33に新規認証鍵を生成できるのは、本人確認情報に基づいて登録した登録済端末機32aのみとしている。 When the registration process of the authentication key (secret) based on FIDO is started, the terminal accesses the keystore based on the challenge-response authentication using the terminal key. In this example, only the registered
ステップS31において、登録済端末機32aがサーバ(例えばサーバ31a)のサービスを使いたいので、ステップS31において、Webクライアント43aから認証鍵を使いたいという登録要求をサーバ31aの認証部41aに行ったとする。認証部41aは、ステップS32において、認証部41aに格納されているポリシ管理テーブルT3から、上記登録要求に係るサービスに応じた利用ポリシ(ポリシともいう)を検索する。なお、ポリシ管理テーブルT3には、サービス毎にポリシが対応付けられて保存されている。 In step S31, since the registered
認証部41aは、ステップS33において、認証鍵の登録要求と上記ステップS32で検索したポリシとを、登録済端末機32aのアクセス部45aへ送信する。アクセス部45aは、ステップS34において、キーストア33の端末管理部48に登録用接続要求を行う。この要求を受信した端末管理部48は、ステップS35において、端末識別用のランダム文字列である端末識別チャレンジを登録済端末機32aのアクセス部45aへ送信する。 In step S33, the
アクセス部45aは、ステップS36において、端末識別チャレンジを受けたことを端末鍵管理部46aへ通知する。この通知を受けた端末鍵管理部46aは、ステップS37において、生体認証を行い、この結果がOKであれば、端末鍵(秘)K2aで端末識別チャレンジに署名を行って、ステップS39において、アクセス部45へ返す。これを受けたアクセス部45aは、ステップS40において、署名付チャレンジをキーストア33の端末管理部48へ送信する。 In step S36, the access unit 45a notifies the terminal
端末管理部48は、ステップS41において、アクセス管理部47に格納された図3に示す端末管理テーブルT1を参照し、ステップS42において、登録要求を行った端末機32aを、本人確認情報で登録した端末機32aの端末鍵(公)K3aで検証する。即ち、公開鍵欄に登録されている端末鍵(公)K3a「D23094F1F…」で、上記の署名付チャレンジを検証する。この検証がOKであれば、端末管理部48は、ステップS43において、サーバ31aへの接続OKを登録済端末機32aのアクセス部45へ送信する。 In step S41, the
アクセス部45aは、ステップS44において、認証鍵の登録要求と上記ポリシとをキーストア33の認証鍵管理部49へ送信する。認証鍵管理部49は、ステップS45において、認証鍵(秘)K4aと認証鍵(公)K1aとの鍵ペアを生成し、認証鍵(秘)K4aを保持する。また、認証鍵管理部49は、ステップS46において、認証鍵(公)K1aを登録済端末機32aのアクセス部45へ送信する。アクセス部45aは、ステップS47において、サーバ31aの認証部41aに、認証鍵(公)K1aの登録要求を行う。 In step S44, the access unit 45a transmits the authentication key registration request and the above policy to the authentication
認証部41aは、ステップS48において、認証鍵(公)K1aを保持する。この保持は、認証部41aに格納された鍵管理テーブルT4において、登録済端末機32aのアカウントである「User1」に、認証鍵として、認証鍵(公)K1a「62C951BA2F…」が登録されて行われる。この登録後、認証部41aは、ステップS49において、登録完了を登録済端末機32aのWebクライアント43へ送信する。 The
<第1実施形態のサービス利用時のユーザ認証処理>
次に、上述したようにキーストア33に登録された認証鍵(秘)K4aを利用して、サーバ31aのサービスを利用するためのユーザ認証を行う処理を、図8に示すシーケンス図を参照して具体的に説明する。<User authentication process when using the service of the first embodiment>
Next, refer to the sequence diagram shown in FIG. 8 for the process of performing user authentication for using the service of the
最初に、上記ユーザ認証処理の要点について説明する。FIDOに基づく認証処理を開始すると、登録済端末機32aは、端末鍵を用いたチャレンジ・レスポンス認証に基づいてキーストアにアクセスする。その後、サーバ31aから受信した利用サービスに係るランダム文字列である認証チャレンジをキーストア33に転送し、指定の鍵ID(サービス固有のID)に紐付いた端末鍵(秘)での署名を要求する。ここで、キーストア33はアクセスしている登録済端末機32aと紐付けて管理されている利用条件と、指定の鍵に紐付けられている利用ポリシとを突き合わせることで、認証鍵の利用可否を判断する。認証鍵を利用してよいと判断された場合に限り、キーストア33は認証チャレンジに署名を行った上で登録済端末機32aにレスポンスとして返信する。登録済端末機32aは、その返信されたレスポンスとしての署名付認証チャレンジを、サーバ31aへ転送することで認証処理を完了する。この認証処理の詳細な説明を図8を参照して行う。 First, the main points of the user authentication process will be described. When the authentication process based on FIDO is started, the registered terminal 32a accesses the keystore based on the challenge-response authentication using the terminal key. After that, the authentication challenge, which is a random character string related to the service used received from the
図8に示すステップS51において、登録済端末機32aのWebクライアント43がサーバ31aのサービスを利用するためのユーザの認証要求を、サーバ31aの認証部41aに行ったとする。認証部41aは、ステップS52において、認証部41aが保持するサービス固有IDテーブルT5から該当サービス固有の鍵ID「service2.jp」を検索する。次に、認証部41aは、ステップS53において、その検索した鍵IDを含む認証チャレンジを、登録済端末機32aのアクセス部45aへ送信する。 In step S51 shown in FIG. 8, it is assumed that the Web client 43 of the registered
アクセス部45aは、ステップS54において、キーストア33の端末管理部48に認証用接続要求を行う。この要求を受信した端末管理部48は、ステップS55において、端末機を識別するための文字列である端末識別チャレンジを登録済端末機32aのアクセス部45aへ送信する。 In step S54, the access unit 45a makes an authentication connection request to the
アクセス部45aは、ステップS56において、端末識別チャレンジを受けたことを端末鍵管理部46aへ通知する。この通知を受けた端末鍵管理部46aは、ステップS57において、生体認証を行い、この結果がOKであれば、端末鍵(秘)K2aで端末識別チャレンジに署名を行って、ステップS59において、アクセス部45へ返す。これを受けたアクセス部45aは、ステップS60において、レスポンスとしての署名付チャレンジをキーストア33の端末管理部48へ送信する。 In step S56, the access unit 45a notifies the terminal
端末管理部48は、ステップS61において、アクセス管理部47に格納された図3に示す端末管理テーブルT1を参照し、ステップS62において、認証要求を行った端末機32aを、本人確認情報で登録した端末機32aの端末鍵(公)K3aで適正か否かを検証する。即ち、公開鍵欄に登録されている端末鍵(公)K3a「D23094F1F…」で、上記の署名付チャレンジを検証する。この検証がOKであれば、端末管理部48は、ステップS63において、サーバ31aへの接続OKを登録済端末機32aのアクセス部45へ送信する。 In step S61, the
アクセス部45aは、ステップS64において、上記ステップS53で受信した鍵IDを含む認証チャレンジをキーストア33の認証鍵管理部49へ送信する。つまり、サーバ31aから受信した利用サービスに係る認証チャレンジで、指定の鍵IDに紐付いた端末鍵(秘)K2aでの署名を認証鍵管理部49に要求する。 In step S64, the access unit 45a transmits an authentication challenge including the key ID received in step S53 to the authentication
この要求に応じて認証鍵管理部49は、ステップS65において、端末管理テーブルT1(図3)及び鍵管理テーブルT2(図4)を参照して認証鍵の利用可否を判断する。この判断について、図3及び図4を参照して説明する。認証鍵管理部49は、図3に示す端末管理テーブルT1において、アクセスしている登録済端末機32a「端末ID=第1端末機32a(Dev−1)」と紐付けて管理されている利用条件「無し」と、図4に示す鍵管理テーブルT2において、指定の鍵ID「service2.jp」に紐付けられている利用ポリシ(登録時確認「信頼情報」、頻度「無制限」)とを突き合わせることで、認証鍵の利用可否を判断する。 In response to this request, the authentication
ここで、認証鍵を利用してよいと判断された場合、認証鍵管理部49は、ステップS66において、認証チャレンジに署名を行い、この署名付認証チャレンジを、ステップS67において、登録済端末機32aのアクセス部45aを介してサーバ31aへ送信する。サーバ31aは、ステップS68において、認証鍵(公)K1aで署名付認証チャレンジを検証し、検証OKであれば、ステップS69において、登録済端末機32aのWebクライアント43に認証完了を通知する。 Here, when it is determined that the authentication key may be used, the authentication
この図8のシーケンス動作では、本人確認情報による登録済端末機32aでの認証動作を説明したが、信頼情報による端末機32bでも同様に行うことができる。但し、信頼情報による端末機32bの場合、上記ステップS62における認証鍵利用の可否判断において、鍵管理テーブルT2の利用ポリシに制限が登録されているので、この利用制限内でサーバ31a,31bのサービスが利用可能となる。また、上記ステップS65における認証鍵利用の可否判断において、認証鍵利用が「否」であれば、端末機32aにユーザが認識可能にエラーが通知される。 In the sequence operation of FIG. 8, the authentication operation on the registered
<第1実施形態の効果>
以上説明したように、第1実施形態の認証鍵共有システム30Aを、次のような特徴構成とした。システム30Aは、通信による各種のサービスを提供するサーバ31a,31bと、サービスを通信で利用する端末機32a,32bを有する。更に、システム30Aは、サービスを認証する公開鍵としての認証鍵(公)K1a,K1b及び当該認証鍵(公)K1a,K1bと対のサービス認証用の秘密鍵としての認証鍵(秘)K4a,K4b、並びに、端末機32a,32bが保持する端末機用の秘密鍵としての端末鍵(秘)K2a,K2bと対の公開鍵としての端末鍵(公)K3a,K3bが登録されるキーストア33と有する。<Effect of the first embodiment>
As described above, the authentication key sharing system 30A of the first embodiment has the following characteristic configuration. The system 30A includes
(1)端末機32a,32bは、第三者が保証する本人確認情報を提示し、自登録済端末機32aが保持する端末鍵(秘)K2aと対の端末鍵(公)K3aをキーストア33に登録した登録済端末機32aが存在する場合に、新規で登録する新規端末機32bに保持された端末鍵(秘)K2bと対の端末鍵(公)K3bを、当該登録済端末機32aが保持する端末鍵(秘)K2aで署名し、この署名により生成された署名済み端末鍵(公)をキーストア33へ送信する端末鍵管理部46a,46bを備える。 (1) The
キーストア33は、署名済み端末鍵(公)の署名が、当該キーストア33に保持された登録済端末機32aの端末鍵(公)K3aで検証された場合に、新規端末機32bの端末鍵(公)K3bを当該キーストア33に登録する端末管理部48を備える構成とした。 The
この構成によれば、新規端末機32bの端末鍵(公)K3bに登録済端末機32aの端末鍵(秘)K2aで署名を行い、この署名済み端末鍵(公)をキーストア33で認証して新規端末機32bの端末鍵(公)K3bを登録することができる。このため、新規端末機32bをキーストア33に登録する際に、本人確認情報を提示せずとも、容易に認証して登録することができる。 According to this configuration, the terminal key (public) K3b of the
従って、将来的にウェアラブル端末機等を含めて所有する端末機数が飛躍的に増加した場合や、様々な場所に存在する共用端末機を一時的に専有してサービスを利用し、利用終了時に解放するような利用スタイルが一般化した場合に、新規の端末機を容易に認証してキーストア33に登録してサーバ31a,31bのサービスを利用することができる。 Therefore, if the number of terminals owned, including wearable terminals, increases dramatically in the future, or if shared terminals existing in various locations are temporarily occupied and the service is used, at the end of use. When the usage style of releasing is generalized, the new terminal can be easily authenticated and registered in the
(2)端末機32a,32bの端末鍵管理部46a,46bは、署名済み端末鍵(公)に、サービスの利用を制限する利用条件を付けてキーストア33へ送信する。キーストア33の端末管理部48は、新規端末機32bの端末鍵(公)K3bの登録時に、利用条件を対応付けて登録し、この登録された利用条件で、当該新規端末機32bのサービスの利用のための認証鍵(秘)K4a,K4bの使用を制限するようにした。言い換えれば、登録済端末機32aから新規端末機32bに、サービスの利用を制限する利用条件を送信し、新規端末機32bのキーストア33への端末鍵(公)K3bの登録時に、利用条件がキーストア33へ送信され、キーストア33は、利用条件に従って、新規端末機32bのサービスの利用を制限するようにした。 (2) The terminal
この構成によれば、次のような作用効果を得ることができる。端末機32a,32b間の署名に基づく認証で登録された新規端末機32bでは、サービスの利用に制限を設けて、本人確認情報の提示により登録された登録済端末機32aと差別化を図ることができる。 According to this configuration, the following effects can be obtained. In the
(3)端末機32a,32bは、新規端末機32bと登録済端末機32a間で署名のための通信を行う前に、新規端末機32bと登録済端末機32aとの双方が、予め定められた距離で予め定められた操作が同時に行われた際に、双方の通信を確立させる相互確認部44a,44bを更に備える構成とした。 (3) In the
この構成によれば、端末機32a,32b同士が、予め定められた距離、例えば2m以内位の距離で、予め定められた操作が同時に行われた場合にのみ、端末機32a,32b間の通信が確立するので、セキュリティを低下させることなく、端末機32a,32bを利用するユーザの利便性を向上させることができる。 According to this configuration, communication between the
(4)端末機32a,32bは、本人確認情報の提示によりキーストア33に登録された登録済端末機32aに本人確認情報を対応付け、登録済端末機32aと新規端末機32b間の署名で生成された署名済み端末鍵(公)の署名が検証されてキーストア33に登録された新規端末機32bに、信頼情報を対応付けて端末管理テーブルT1に保存するアクセス管理部47を備える構成とした。 (4) The
この構成によれば、キーストア33の端末管理テーブルT1において、登録済端末機32aには本人確認情報が対応付けられ、新規端末機32bには信頼情報が対応付けられる。これによって、キーストア33に登録されている端末機32a,32bが、本人確認情報で認証されたものであるか、端末機32a,32b間の署名で簡易に認証されたものであるかを、容易に識別することができる。このため、端末機32a,32bに利用条件を付ける場合等に、正確に識別することができる。 According to this configuration, in the terminal management table T1 of the
<第2実施形態の構成>
次に、第2実施形態に係る認証鍵共有システムについて、図9に示す認証鍵共有システム30Bを参照して説明する。但し、システム30Bにおいて、図2に示した第1実施形態の認証鍵共有システム30Aと同一部分には同一符号を付し、その説明を適宜省略する。<Structure of the second embodiment>
Next, the authentication key sharing system according to the second embodiment will be described with reference to the authentication key sharing system 30B shown in FIG. However, in the system 30B, the same parts as those of the authentication key sharing system 30A of the first embodiment shown in FIG. 2 are designated by the same reference numerals, and the description thereof will be omitted as appropriate.
図9に示すシステム30Bが、システム30Aと異なる点は、端末機32a,32b間の相互確認にチャレンジを用いるようにしたことにある。また、システム30Bは、互いの端末機32a,32bは、所定距離で近接通信が確立した状態となっている。 The difference between the system 30B shown in FIG. 9 and the system 30A is that the challenge is used for mutual confirmation between the
新規端末機32bが、矢印Y21で示すように、キーストア33から受信した端末識別チャレンジ(図9にはchalと記載した)51を、矢印Y22で示すように、近接通信で登録済端末機32aに転送し、端末鍵(秘)K2aによる署名を要求する。この要求に応じて、登録済端末機32aは、端末識別チャレンジ51に端末鍵(秘)K2aで署名を行い、このレスポンスとしての署名付端末識別チャレンジ51Aを、矢印Y23で示すように新規端末機32bへ返信する。 The terminal identification challenge (described as chal in FIG. 9) 51 received from the
新規端末機32bは、返信された署名付端末識別チャレンジ51Aを信頼情報として、端末鍵(秘)K2b及び端末鍵(公)K3bを生成し、端末鍵(秘)K2bを端末鍵管理部46bに保持し、端末鍵(公)K3bを署名付端末識別チャレンジ51Aと共に、矢印Y24で示すようにキーストア33へ送信する。キーストア33は、署名付端末識別チャレンジ51Aの信頼情報を受信すると、端末鍵(公)K3bを端末管理部48に登録する。これによって、新規端末機32bがキーストア33に新規登録される。この新規登録時に、前述したシステム30Aと同様に利用条件を設定してもよい。 The
また、サーバ31a,31bは、矢印Y3Aで示すように、自サーバ31a,31bの認証部41a,41bが保持する認証鍵(公)K1a,K1bと対の認証鍵(秘)K4a,K4bを、キーストア33の認証鍵管理部49に保持することができる。キーストア33は、認証鍵(秘)K4a,K4bで、矢印Y4Aで示すように、サーバ31a,31bの認証鍵(公)K1a,K1bに対応付けられたサービスにアクセスすることができる。 Further, as shown by the arrow Y3A, the
<第2実施形態の信頼情報による端末機の登録処理>
上述した登録済端末機32aの信頼情報を活用して第2端末機32bをキーストア33に新規登録する処理を、図10に示すシーケンス図を参照して具体的に説明する。<Terminal registration process using the trust information of the second embodiment>
The process of newly registering the
図10に示すステップS71において、新規登録を行う第2端末機32bのアクセス部45bが、キーストア33のアクセス管理部47に、端末登録用接続要求を行う。この要求に応じてアクセス管理部47が、ステップS72において、端末識別チャレンジ51(図9参照)を、第2端末機32bのアクセス部45bを介して相互確認部44bに送信する。 In step S71 shown in FIG. 10, the
相互確認部44bは、ステップS73において、近接通信確立要求を、登録済みの第1端末機32aの相互確認部44aに対して行う。近接通信確立要求を受けた相互確認部44aは、ステップS74において、第1端末機32aのディスプレイ(図示せず)に、ユーザに見せる接続コードを表示する。そのディスプレイに表示された接続コードを見たユーザは、ステップS75において、第2端末機32bの相互確認部44bに接続コードを入力する。 In step S73, the
相互確認部44bは、ステップS76において、接続コードを第1端末機32aの相互確認部44aへ送信する。この接続コードを受信した相互確認部44aは、ステップS77において、第2端末機32bの相互確認部44bに近接通信確立応答を行う。この応答後、アクセス部45bが、ステップS78において、キーストア33から受信した端末識別チャレンジ51を、第1端末機32aの端末鍵管理部46aへ送信する。 In step S76, the
登録済の第1端末機32aでは、ステップS79において、ユーザが新規登録を行う第2端末機32bの利用条件(サービス利用の回数、時間等)を指定する。この指定後、端末鍵管理部46aは、ステップS80において生体認証を行う。この生体認証がOKであれば、ステップS81において、端末鍵管理部46aは、自端末鍵管理部46aが保持する端末鍵(秘)K2aで、端末識別チャレンジ51に署名を行う。この署名によりレスポンスとしての署名付端末識別チャレンジ51A(図9参照)が生成され、これに上記ステップS79で指定された利用条件が付けられる。この利用条件は、矢印Y17で示すように、サービス利用の回数「5」、時間「01:20」であるとする。利用条件が付加された署名付端末識別チャレンジ51Aは、ステップS82において、端末鍵管理部46aから第2端末機32bのアクセス部45bへ送信される。 In the registered
アクセス部45bは、ステップS83において、利用条件が付加された署名付端末識別チャレンジ51Aを、キーストア33の端末管理部48へ送信する。端末管理部48は、ステップS84において、アクセス管理部47に格納された端末管理テーブルT1を参照し、登録済端末機32aの端末鍵(公)K3aを検索する。端末管理部48は、ステップS85において、その検索された端末鍵(公)K3aで、上記ステップS85で利用条件が付加された署名付端末識別チャレンジ51Aを検証する。この検証がOKであれば、ステップS86において、接続OKを、第2端末機32bのアクセス部45bを介して端末鍵管理部46bへ送信する。この接続OKを受けた第2端末機32bのユーザは生体認証を操作する。 In step S83, the
この操作を受けて端末鍵管理部46bは、ステップS87において生体認証を行う。この生体認証がOKであれば、端末鍵管理部46bは、ステップS88において、1対の端末鍵(秘)K2bと端末鍵(公)K3bの鍵ペアを生成する。更に、端末鍵管理部46bは、ステップS89において、その生成した端末鍵(秘)K2bを保持(図2)し、ステップS90において、端末鍵(公)K3bをアクセス部45bへ入力する。 In response to this operation, the terminal
アクセス部45は、ステップS91において、ユーザ名によって端末機32bの登録要求を、キーストア33の端末管理部48に行う。この際、アクセス部45bは、ステップS92において、上記ステップS90で入力された端末鍵(公)K3bを、上記ステップS82で受信した利用条件と共に、キーストア33の端末管理部48へ送信する。 In step S91, the access unit 45 makes a registration request for the terminal 32b by the user name to the
端末管理部48は、ステップS93において、端末鍵(公)K3bを利用条件と共に、アクセス管理部47の端末管理テーブルT1に登録することにより、新規の第2端末機32bを登録する。この登録は、図3の端末管理テーブルT1のユーザ欄に第1ユーザ、端末ID欄に第2端末機(Dev−2)、公開鍵欄に端末鍵(公)K3bとしての「62C8F27DD…」、登録時の情報欄に信頼情報(第1端末機)、利用条件欄に残回数「5」、残時間「01:20」、のように行われる。なお、利用条件は、キーストア事業者が個別の利用条件を設定してもよい。 In step S93, the
<第2実施形態の効果>
以上説明したように、第2実施形態の認証鍵共有システム30Bを、次のような特徴構成とした。システム30Bは、通信による各種のサービスを提供するサーバ31a,31bと、サービスを通信で利用する端末機32a,32bを有する。更に、システム30Bは、サービスを認証する公開鍵としての認証鍵(公)K1a,K1b及び当該認証鍵(公)K1a,K1bと対のサービス認証用の秘密鍵としての認証鍵(秘)K4a,K4b、並びに、端末機32a,32bが保持する端末機用の秘密鍵としての端末鍵(秘)K2a,K2bと対の公開鍵としての端末鍵(公)K3a,K3bが登録されるキーストア33と有する。<Effect of the second embodiment>
As described above, the authentication key sharing system 30B of the second embodiment has the following characteristic configuration. The system 30B includes
(1)端末機32a,32bは、第三者が保証する本人確認情報を提示し、登録済端末機32aが保持する端末鍵(秘)K2aと対の端末鍵(公)K3aをキーストア33に登録した登録済端末機32aが存在する場合に、新規で登録する新規端末機32bが、キーストアから受信した端末機を識別するためのランダム文字列による端末識別チャレンジに、当該登録済端末機32aが保持する端末鍵(秘)K2aで署名し、この署名により生成されたレスポンスとしての署名付端末識別チャレンジをキーストア33へ返信する端末鍵管理部46aを備える。 (1) The
キーストア33は、署名付端末識別チャレンジの署名が、当該キーストア33に保持された登録済端末機32aの端末鍵(公)K3aで検証された場合に、新規端末機32bの端末鍵(公)K3bを当該キーストア33に登録する端末管理部48を備える構成とした。 In the
この構成によれば、新規端末機32bからの端末識別チャレンジに登録済端末機32aの端末鍵(秘)K2aで署名を行い、この署名付端末識別チャレンジをキーストア33で認証して新規端末機32bの端末鍵(公)K3bを登録することができる。このため、新規端末機32bをキーストア33に登録する際に、本人確認情報を提示せずとも、容易に認証して登録することができる。 According to this configuration, the terminal identification challenge from the
(2)端末機32a,32bの端末鍵管理部46a,46bは、署名付端末識別チャレンジに、サービスの利用を制限する利用条件を付けてキーストア33へ送信する。キーストア33の端末管理部48は、新規端末機32bの端末鍵(公)K3bの登録時に、利用条件を対応付けて登録し、この登録された利用条件で、当該新規端末機32bのサービスの利用のための認証鍵(秘)K4a,K4bの使用を制限するようにした。言い換えれば、登録済端末機32aから新規端末機32bに、サービスの利用を制限する利用条件を送信し、新規端末機32bのキーストア33への端末鍵(公)K3bの登録時に、利用条件がキーストア33へ送信され、キーストア33は、利用条件に従って、新規端末機32bのサービスの利用を制限するようにした。 (2) The terminal
この構成によれば、次のような作用効果を得ることができる。端末機32a,32b間の署名に基づく認証で登録された新規端末機32bは、第三者が保証した本人確認情報の提示が無く、認証の信頼性が低い。このため、新規端末機32bのサービスの利用に制限を設けて、本人確認情報の提示により登録された登録済端末機32aと差別化を図ることができる。 According to this configuration, the following effects can be obtained. The
<第3実施形態の構成>
図11は、本発明の第3実施形態に係る認証鍵共有システム30Cの構成を示すブロック図である。但し、システム30Cにおいて、図2に示した認証鍵共有システム30Aと同一部分には同一符号を付し、その説明を適宜省略する。<Structure of the third embodiment>
FIG. 11 is a block diagram showing a configuration of the authentication key sharing system 30C according to the third embodiment of the present invention. However, in the system 30C, the same parts as those of the authentication key sharing system 30A shown in FIG. 2 are designated by the same reference numerals, and the description thereof will be omitted as appropriate.
図11に示すシステム30Cが、システム30Aと異なる点は、サーバ51a,51bに認証鍵利用制御部52a,52bを備え、サーバ51a,51bが端末機32a,32bに対する認証鍵の利用可否を判断するようにしたことにある。キーストア33は、本人確認情報及び信頼情報を管理する。更に、キーストア33は、端末機32a,32bが認証鍵(秘)K4a,K4bを使用時に、端末機32a,32bの登録時の情報を、矢印Y32で示すように、サーバ51a,51bへ送信する。サーバ51a,51bの認証鍵利用制御部52a,52bが、その送信されて来た登録時の情報を確認して、端末機32a,32bにサービス使用の可否を決定するようにした。 The system 30C shown in FIG. 11 differs from the system 30A in that the
更に説明すると、キーストア33で端末機32a,32b毎の利用条件を保管しないが、キーストア33が端末機32a,32bと紐付けて登録時の情報を保管しておく。登録時の情報は、図11の端末管理テーブルT1に一例を示すように行われる。第1端末機32a(Dev−1)の行において、確認情報欄に本人確認情報、登録日時欄に2017年1月1日10時42分(2017/1/1/10:42)が登録される。第2端末機32b(Dev−2)の行において、確認情報欄に信頼情報、登録日時欄に2017年4月1日12時12分(2017/4/1/12:12)が登録される。 Further explaining, the
端末機32a,32bが、矢印Y31に示すように、キーストア33にアクセスし、認証鍵(秘)K4a,K4bを利用したユーザ認証(チャレンジ・レスポンス方式)を行う場合、認証先のサーバ51a,51bのサービスに対して、認証チャレンジに対するレスポンスに該当端末機32a,32bの上記登録時の情報を付与して送付する。但し、矢印Y31は、サーバ51a,51bとキーストア33間の認証鍵の登録も示す。 When the
サーバ51a,51b側では、その付与された端末機32a,32bの登録時の情報を参照し、該当の端末機32a,32bからのユーザ認証要求を任意に制限する。この制限の例としては、信頼情報で登録した端末機32bの要求は拒否する。或いは、端末機32bの信頼情報の登録後一定期間しか許容しない、単位時間当たりの利用回数を制限する等である。 On the
但し、利用条件は、第1実施形態のシステム10A(図2)では、新規端末機の登録処理を実行するユーザ自身が相互確認時に指定することが可能であった。しかし、第3実施形態のシステム30Cではユーザ自身による利用条件の指定は不可能となっている。 However, in the system 10A (FIG. 2) of the first embodiment, the usage conditions can be specified by the user who executes the registration process of the new terminal at the time of mutual confirmation. However, in the system 30C of the third embodiment, it is impossible for the user to specify the usage conditions by himself / herself.
<第3実施形態の信頼情報による端末機の登録処理>
第3実施形態のシステム30Cにおいて、登録済端末機32aの信頼情報を活用して第2端末機32bをキーストア33に登録する処理を、図12に示すシーケンス図を参照して具体的に説明する。但し、図12において、第1実施形態の図6に示したシーケンス図と同一ステップには同一符号を付し、その説明を適宜省略する。また、システム30Cでは、システム10Aのように端末管理テーブルT1に端末機32a,32b毎の鍵の利用条件を保管しないが、キーストア33に端末機32a,32bの登録時の情報を保管しておくものとする。<Terminal registration process using the trust information of the third embodiment>
In the system 30C of the third embodiment, the process of registering the
図12に示すステップS11〜S22までの処理は、図6と同様である。それら処理のうち最後のステップS22においては、登録済端末機32aの端末鍵管理部46aが、自端末機32aの端末鍵(秘)K2aで、新規登録対象の第2端末機32bから受信した端末鍵(公)K3bへ署名する。 The processes from steps S11 to S22 shown in FIG. 12 are the same as those in FIG. In the final step S22 of these processes, the terminal
この後、第3実施形態のシステム30Cでは、端末鍵管理部46aが、ステップS23Aにおいて、レスポンスとしての署名付き端末鍵(公)K3bを、第2端末機32bの端末鍵管理部46bを介してアクセス部45bへ返信する。 After that, in the system 30C of the third embodiment, in step S23A, the terminal
アクセス部45bは、ステップS24Aにおいて、ユーザ名によって自端末機の登録要求を、キーストア33の端末管理部48に行う。この際、アクセス部45bは、ステップS25Aにおいて、上記署名付き端末鍵(公)K3bを端末管理部48へ送信する。 In step S24A, the
端末管理部48は、ステップS26において、アクセス管理部47に格納された端末管理テーブルT1を参照し、登録済端末機32aの端末鍵(公)K3aを検索する。端末管理部48は、ステップS27Aにおいて、その検索された端末鍵(公)K3aで、上記ステップS25Aで送信されて来た署名付き端末鍵(公)K3bを検証する。この検証がOKであれば、端末管理部48は、ステップS28Aにおいて、アクセス管理部47に新規の第2端末機32bを登録する。この登録は、図11に示す端末管理テーブルT1の第2端末機32b(Dev−2)の行において、公開鍵欄に端末鍵(公)の「62C8F27DD…」、確認情報欄に信頼情報、登録日時欄に2017年4月1日12時12分(2017/4/1/12:12)が登録される。 In step S26, the
<第3実施形態の認証鍵の登録処理>
次に、キーストア33上に認証鍵(秘)(例えば認証鍵(秘)K4a)を生成し、サーバ(例えばサーバ51a)に認証鍵(公)K1aを新規登録する処理を、図13に示すシーケンス図を参照して具体的に説明する。但し、図13において、第1実施形態の図7に示したシーケンス図と同一ステップには同一符号を付し、その説明を適宜省略する。また、システム30Cは、第1実施形態のシステム30Aのように、サーバ51a,51b側に該当の認証鍵(公)K1a,K1bの利用に関するポリシの情報がなく、キーストア33側でも各認証鍵(秘)K4a,K4bの利用条件を管理しないものとする。<Authentication key registration process of the third embodiment>
Next, FIG. 13 shows a process of generating an authentication key (secret) (for example, authentication key (secret) K4a) on the
図13において、登録済端末機32aがサーバ(例えばサーバ51a)のサービスを使いたいので、ステップS31において、Webクライアント43aから認証鍵を使いたいという登録要求をサーバ51aの認証部41aに行ったとする。認証部41aは、ステップS32において、認証部41aに格納されているサービス固有IDテーブルT5から、上記登録要求に係る認証鍵(公)K1aを検索する。 In FIG. 13, since the registered
認証部41aは、ステップS33Aにおいて、上記検索した認証鍵(公)K1aに基づき、認証鍵の登録要求を登録済端末機32aのアクセス部45aへ送信する。この後のステップS34〜S43までの処理は、図7と同様である。それら処理のうち最後のステップS43においては、キーストア33の端末管理部48が、サーバ51aへの接続OKを登録済端末機32aのアクセス部45aへ送信する。 In step S33A, the
アクセス部45aは、ステップS44Aにおいて、認証鍵の登録要求をキーストア33の認証鍵管理部49へ送信する。認証鍵管理部49は、ステップS45において、認証鍵(秘)K4aと認証鍵(公)K1aとの鍵ペアを生成し、認証鍵(秘)K4aを保持する。また、認証鍵管理部49は、ステップS46において、認証鍵(公)K1aを登録済端末機32aのアクセス部45aへ送信する。アクセス部45aは、ステップS47において、サーバ51aの認証部41aに、認証鍵(公)K1aの登録要求を行う。 In step S44A, the access unit 45a transmits the authentication key registration request to the authentication
認証部41aは、ステップS48において、認証鍵(公)K1aを保持する。この保持は、認証部41aに格納された鍵管理テーブルT4において、登録済端末機32aのアカウントである「User1」に、認証鍵として、認証鍵(公)K1a「62C951BA2F…」が登録されて行われる。この登録後、認証部41aは、ステップS49において、登録完了を登録済端末機32aのWebクライアント43へ送信する。 The
<第3実施形態のサービス利用時のユーザ認証処理>
次に、上述した図13のようにキーストア33に登録された認証鍵(秘)K4aを利用して、サーバ51a,51bのサービスを利用するためのユーザ認証を行う処理を、図14に示すシーケンス図を参照して具体的に説明する。<User authentication process when using the service of the third embodiment>
Next, FIG. 14 shows a process of performing user authentication for using the services of the
第3実施形態のシステム30Cは、第1実施形態のシステム30Aのように、キーストア33が保管する認証鍵(秘)K4a,K4bの利用可否について制御を行わず、どの端末機32a,32bからの要求であっても署名を行うものとする。但し、アクセスしている端末機(例えば端末機32b)の登録時の情報を、レスポンスとしての署名付認証チャレンジに付与してサーバ(例えばサーバ51a)へ返送することで、サーバ51a側では登録時の情報の内容を確認し、署名が正しかったとしても、その端末機32bからの認証要求を受け付けるか否かを判断可能となっている。 Unlike the system 30A of the first embodiment, the system 30C of the third embodiment does not control the availability of the authentication keys (secret) K4a and K4b stored in the
図14に示すステップS51Aにおいて、信頼情報により登録された端末機32bのWebクライアント43bが、サーバのサービスを利用するためのユーザの認証要求を、サーバ51aの認証部41aに行ったとする。認証部41aは、ステップS52において、自認証部41aが保持するサービス固有IDテーブルT5から該当サービス固有の鍵ID「service2.jp」を検索する。次に、認証部41aは、ステップS53Aにおいて、その検索した鍵IDを含む認証チャレンジを、端末機32bのアクセス部45へ送信する。 In step S51A shown in FIG. 14, it is assumed that the
アクセス部45bは、ステップS54Aにおいて、キーストア33の端末管理部48に認証用接続要求を行う。この要求を受信した端末管理部48は、ステップS55Aにおいて、端末識別チャレンジを端末機32bのアクセス部45bへ送信する。 In step S54A, the
アクセス部45bは、ステップS56Aにおいて、端末識別チャレンジを受けたことを端末鍵管理部46bへ通知する。この通知を受けた端末鍵管理部46bは、ステップS57Aにおいて、生体認証を行い、この結果がOKであれば、端末鍵(秘)K2bで端末識別チャレンジに署名を行って、ステップS59Aにおいて、アクセス部45bへ返す。これを受けたアクセス部45bは、ステップS60Aにおいて、レスポンスとしての署名付チャレンジをキーストア33の端末管理部48へ送信する。 In step S56A, the
端末管理部48は、ステップS61Aにおいて、アクセス管理部47に格納された端末管理テーブルT1(図11)を参照し、ステップS62Aにおいて、認証要求を行った端末機32bを、本人確認情報で登録した端末機32bの端末鍵(公)K3bで検証する。即ち、図11の端末管理テーブルT1の端末ID欄のDev−2において、公開鍵欄に登録されている端末鍵(公)K3b「62C8F27DD…」によって上記署名付チャレンジを検証する。この検証がOKであれば、端末管理部48は、ステップS63Aにおいて、サーバ51aへの接続OKを端末機32bのアクセス部45bへ送信する。 In step S61A, the
図14に示すアクセス部45bは、ステップS64Aにおいて、鍵IDを含む認証チャレンジをキーストア33の認証鍵管理部49へ送信する。つまり、サーバ51aから受信した認証チャレンジで、指定の鍵IDに紐付いた認証鍵(秘)K4aでの署名を認証鍵管理部49に要求する。 In step S64A, the
この要求に応じて認証鍵管理部49は、ステップS66Aにおいて、認証チャレンジに署名を行う。なお、図14のステップS64AとS66Aとの間に、図8ではステップS65の認証鍵の利用の可否判断処理があるが、図14はその可否判断処理は実行されないので、未記載となっている。 In response to this request, the authentication
図14のステップS67Aにおいて、上記ステップS66Aの署名で得られたレスポンスとしての署名付認証チャレンジを、登録済端末機32bのアクセス部45aへ送信する。アクセス部45bは、署名付認証チャレンジに登録時の情報を付加して、ステップS67Bにおいて、サーバ51aの認証部41aへ送信する。 In step S67A of FIG. 14, a signed authentication challenge as a response obtained by the signature of step S66A is transmitted to the access unit 45a of the registered
認証部41aは、ステップS101において、その送信されて来た登録時の情報を認証鍵利用制御部52aへ出力する。認証鍵利用制御部52aは、ステップS102において、その登録時の情報から、サービスの利用可否を判断する。この判断が「否」であれば端末機32bに利用者が認識可能にエラーが通知される。一方、その判断がOKであれば、ステップS103において、認証鍵利用制御部52aから認証部41aへサービスの利用OKが出力される。認証部41aは、ステップS104において、鍵管理テーブルT4に登録された認証鍵(公)K1aで、上記ステップS67Bで受信された署名付認証チャレンジを検証する。この検証がOKであれば、ステップS105において、認証部41aは端末機32bのWebクライアント43bへ認証完了を通知する。 In step S101, the
この図14のシーケンス動作は、信頼情報に係る端末機32bが、サーバ51aのサービスを利用するためのユーザ認証を行う処理を説明したが、本人確認情報によるサービス利用に制限が無い端末機32aにおいても同様に行うことができる。 In the sequence operation of FIG. 14, the process in which the terminal 32b related to the trust information performs user authentication for using the service of the
<第3実施形態の効果>
以上説明したように、第3実施形態の認証鍵共有システム30Cを、次のような特徴構成とした。システム30Cは、通信による各種のサービスを提供するサーバ51a,51bと、サービスを通信で利用する端末機32a,32bを有する。更に、システム30Cは、サービスを認証する公開鍵としての認証鍵(公)K1a,K1b及び当該認証鍵(公)K1a,K1bと対のサービス認証用の秘密鍵としての認証鍵(秘)K4a,K4b、並びに、端末機32a,32bが保持する端末機用の秘密鍵としての端末鍵(秘)K2a,K2bと対の公開鍵としての端末鍵(公)K3a,K3bが登録されるキーストア33と有する。<Effect of the third embodiment>
As described above, the authentication key sharing system 30C of the third embodiment has the following characteristic configuration. The system 30C includes
(1)キーストア33に、登録済端末機32a及び新規端末機32bに係る端末機32a,32bの登録時の情報を、当該端末機32a,32bの固有情報に対応付けて保管するアクセス管理部47を備えた。サーバ51a,51bは、端末機32a,32bがキーストア33に登録された認証鍵(秘)K4a,K4bを使用する際に、当該キーストアから受信した端末機32a,32bの登録時の情報に応じて、当該端末機32a,32bの認証鍵(秘)K4a,K4bの使用を制限する認証鍵利用制御部52a,52bを備える構成とした。 (1) An access control unit that stores information at the time of registration of
この構成によれば、サーバ51a,51bにおいて、端末機32a,32bの登録時の情報に応じて、端末機32a,32bの認証鍵(秘)K4a,K4bの使用を制限することによって、端末機32a,32bへのサービスの利用を制限することができる。 According to this configuration, the
その他、具体的な構成について、本発明の主旨を逸脱しない範囲で適宜変更が可能である。 In addition, the specific configuration can be appropriately changed without departing from the gist of the present invention.
30,30A,30B,30C 認証鍵共有システム
31a,31b,51a,51b Webサーバ(サーバ)
32a,32b 端末機
33 キーストア
41a,41b 認証部
43a,43b Webクライアント
45a,45b キーストアアクセス部
46a,46b 端末鍵管理部
43a,43b Webクライアント
44a,44b 相互確認部
47 アクセス管理部
48 端末管理部
49 認証鍵管理部
52a,52b 認証鍵利用制御部
T1 端末管理テーブル
K1a,K1b 認証鍵(公)
K2a,K2b 端末鍵(秘)
K3a,K3b 端末鍵(公)
K4a,K4b 認証鍵(秘)30,30A, 30B, 30C Authentication
32a,
K2a, K2b terminal key (secret)
K3a, K3b terminal key (public)
K4a, K4b authentication key (secret)
Claims (8)
Translated fromJapanese前記端末機は、
第三者が保証する本人確認情報を提示し、自登録済端末機が保持する端末鍵(秘)と対の端末鍵(公)を前記キーストアに登録した登録済端末機が存在する場合に、新規で登録する新規端末機に保持された端末鍵(秘)と対の端末鍵(公)を、当該登録済端末機が保持する端末鍵(秘)で署名し、この署名により生成された署名済み端末鍵(公)を前記キーストアへ送信する端末鍵管理部を備え、
前記キーストアは、前記署名済み端末鍵(公)の署名が、当該キーストアに保持された登録済端末機の端末鍵(公)で検証された場合に、前記新規端末機の端末鍵(公)を当該キーストアに登録する端末管理部を備え、
前記登録済端末機から前記新規端末機に、前記サービスの利用を制限する利用条件を送信し、
前記新規端末機の前記キーストアへの端末鍵(公)の登録時に、前記利用条件が当該キーストアへ送信され、
前記キーストアは、前記利用条件に従って、前記新規端末機の前記サービスの利用を制限するようにした
ことを特徴とする認証鍵共有システム。For service authentication paired with a server that provides various services by communication, a terminal that uses the service for communication, an authentication key (public) as a public key that authenticates the service, and the authentication key (public). An authentication key (secret) as a private key and a key store in which a terminal key (secret) as a private key for a terminal held by the terminal and a terminal key (public) as a pair of public keys are registered. It is an authentication key sharing system that has
The terminal is
When there is a registered terminal that presents identity verification information guaranteed by a third party and registers the terminal key (secret) and the paired terminal key (public) held by the self-registered terminal in the key store. , The terminal key (secret) held in the new terminal to be newly registered and the paired terminal key (public) are signed with the terminal key (secret) held by the registered terminal, and generated by this signature. It is equipped with a terminal key management unit that sends a signed terminal key (public) to the key store.
In the keystore, when the signature of the signed terminal key (public) is verified by the terminal key (public) of the registered terminal held in the keystore, the terminal key (public) of the new terminal is used. ) Is provided in the terminal management department to register in the keystore.
The registered terminal transmits the usage conditions for restricting the use of the service to the new terminal.
When the terminal key (public) of the new terminal is registered in the keystore, the terms of use are transmitted to the keystore.
The key store is an authentication key sharing system characterized in thatthe use of the service of the new terminal is restricted according to the usage conditions .
前記端末機は、
第三者が保証する本人確認情報を提示し、自登録済端末機が保持する端末鍵(秘)と対の端末鍵(公)を前記キーストアに登録した登録済端末機が存在する場合に、新規で登録する新規端末機の接続要求に応じて、前記キーストアから受信した端末機を識別するためのランダム文字列による端末識別チャレンジを、前記新規端末機から取得した前記登録済端末機が、当該登録済端末機が保持する端末鍵(秘)で署名し、この署名により生成された署名付端末識別チャレンジを前記新規端末機を介して前記キーストアへ返信する端末鍵管理部を備え、
前記キーストアは、前記署名付端末識別チャレンジの署名が、当該キーストアに保持された登録済端末機の端末鍵(公)で検証された場合に、前記新規端末機の端末鍵(公)を当該キーストアに登録する端末管理部を備え、
前記登録済端末機から前記新規端末機に、前記サービスの利用を制限する利用条件を送信し、
前記新規端末機の前記キーストアへの端末鍵(公)の登録時に、前記利用条件が当該キーストアへ送信され、
前記キーストアは、前記利用条件に従って、前記新規端末機の前記サービスの利用を制限するようにした
ことを特徴とする認証鍵共有システム。For service authentication paired with a server that provides various services by communication, a terminal that uses the service for communication, an authentication key (public) as a public key that authenticates the service, and the authentication key (public). An authentication key (secret) as a private key and a key store in which a terminal key (secret) as a private key for a terminal held by the terminal and a terminal key (public) as a pair of public keys are registered. It is an authentication key sharing system that has
The terminal is
When there is a registered terminal that presents identity verification information guaranteed by a third party and registers the terminal key (secret) and the paired terminal key (public) held by the self-registered terminal in the key store. Inresponse to a connection request for a new terminal to be newly registered, the registeredterminal obtained from the new terminal takes a terminal identification challenge using a random character string for identifying the terminal received from the key store., signed with a terminal key (secret)which the registered terminal is held, with a terminal key management unit the signed terminal identification challenge generated by the signature returns to the key storethrough the new terminal,
The keystore uses the terminal key (public) of the new terminal when the signature of the signed terminal identification challenge is verified with the terminal key (public) of the registered terminal held in the keystore. includes a terminal management unit for registering to the keystore,
The registered terminal transmits the usage conditions for restricting the use of the service to the new terminal.
When the terminal key (public) of the new terminal is registered in the keystore, the terms of use are transmitted to the keystore.
The key store is an authentication key sharing system characterized in thatthe use of the service of the new terminal is restricted according to the usage conditions .
ことを特徴とする請求項1に記載の認証鍵共有システム。When transmitting the terms of use from the registered terminal to the new terminal, the signature is signed with the terminal key (secret) held by the registered terminal, and the signed terminal key (public) generated by this signature. authentication key sharing system according to claim1, characterized in that transmits with the useconditions.
ことを特徴とする請求項2に記載の認証鍵共有システム。From said registered terminal when transmitting the use condition to the new terminal, signed with a terminal key (secret) which the registered terminal isheld, the signed terminal identification challenge generated by the signature ofthis The authentication key sharing system according to claim2 , wherein the transmission is performed with the terms of use.
前記サーバは、前記端末機が前記キーストアに登録された前記認証鍵(秘)を使用する際に、当該キーストアから受信した当該端末機の登録時の情報に応じて、当該端末機の認証鍵(秘)の使用を制限する認証鍵利用制御部を備える
ことを特徴とする請求項1又は2に記載の認証鍵共有システム。The key store is provided with an access control unit that stores information at the time of registration of the registered terminal and the terminal related to the new terminal in association with the unique information of the terminal.
When the server uses the authentication key (secret) registered in the keystore, the server authenticates the terminal according to the information at the time of registration of the terminal received from the keystore. The authentication key sharing system according to claim 1 or 2, further comprising an authentication key usage control unit that restricts the use of a key (secret).
前記新規端末機と前記登録済端末機間で前記署名のための通信を行う前に、当該新規端末機と当該登録済端末機との双方が、予め定められた距離で予め定められた操作が同時に行われた際に、双方の通信を確立させる相互確認部を更に備える
ことを特徴とする請求項1〜5の何れか1項に記載の認証鍵共有システム。The terminal is
Before the communication for the signature is performed between the new terminal and the registered terminal, both the new terminal and the registered terminal perform a predetermined operation at a predetermined distance. The authentication key sharing system according to any one of claims 1 to 5, further comprising a mutual confirmation unit that establishes communication between the two when performed at the same time.
前記本人確認情報の提示により前記キーストアに登録された登録済端末機に当該本人確認情報を対応付け、当該登録済端末機と前記新規端末機間の前記署名で生成された署名済み端末鍵(公)の署名が検証されて前記キーストアに登録された新規端末機に、信頼情報を対応付けて端末管理テーブルに保存するアクセス管理部を備える
ことを特徴とする請求項1〜6の何れか1項に記載の認証鍵共有システム。Thekeystore is
By presenting the identity verification information, the identity verification information is associated with the registered terminal registered in the key store, and the signed terminal key generated by the signature between the registered terminal and the new terminal ( Any of claims 1 to 6, wherein the new terminal whose signature of (public) is verified and registered in the key store is provided with an access control unit for associating trust information and storing it in a terminal management table. The authentication key sharing system described in item 1.
第三者が保証する本人確認情報を提示し、自登録済端末機が保持する端末鍵(秘)と対の端末鍵(公)を前記キーストアに登録した登録済端末機が存在する場合に、前記登録済端末機は、
新規で登録する新規端末機に保持された端末鍵(秘)と対の端末鍵(公)を、当該登録済端末機が保持する端末鍵(秘)で署名し、この署名により生成された署名済み端末鍵(公)を前記キーストアへ送信するステップを実行し、
前記キーストアは、
前記署名済み端末鍵(公)の署名が、当該キーストアに保持された登録済端末機の端末鍵(公)で検証された場合に、前記新規端末機の端末鍵(公)を当該キーストアに登録するステップを実行し、
前記登録済端末機は、
前記新規端末機に、前記サービスの利用を制限する利用条件を送信するステップを実行し、
前記新規端末機は、
前記キーストアへの端末鍵(公)の登録時に、前記利用条件を当該キーストアへ送信するステップを実行し、
前記キーストアは、
前記利用条件に従って、前記新規端末機の前記サービスの利用を制限するステップを実行する
ことを特徴とする端末機新規登録方法。For service authentication paired with a server that provides various services by communication, a terminal that uses the service for communication, an authentication key (public) as a public key that authenticates the service, and the authentication key (public). An authentication key (secret) as a private key and a key store in which a terminal key (secret) as a private key for a terminal held by the terminal and a terminal key (public) as a pair of public keys are registered. It is a new registration method for the terminal of the authentication key sharing system that has
Ifthe third party is to present the personal identification information to guarantee, its own terminal key to the registered terminal is held (secret) and the registered terminal-to-terminal key (the public) was registered in the key store exists , Theregistered terminal
The terminal key (secret) held in the newly registered new terminal and the paired terminal key (public) are signed with the terminal key (secret) held by the registered terminal, and the signature generated by this signature. Execute the step of sending the completed terminal key (public) to the key store,
The keystore is
When the signature of the signed terminal key (public) is verified with the terminal key (public) of the registered terminal held in the key store, the terminal key (public) of the new terminal is used in the key store.run the step of registeringto,
The registered terminal is
Execute the step of transmitting the usage conditions that restrict the use of the service to the new terminal, and execute the step.
The new terminal is
When registering the terminal key (public) in the keystore, the step of transmitting the terms of use to the keystore is executed.
The keystore is
A terminal new registration method, characterizedin thata step of restricting the use of the service of the new terminal is executed according to the usage conditions .
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017149575AJP6823564B2 (en) | 2017-08-02 | 2017-08-02 | Authentication key sharing system and new terminal registration method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017149575AJP6823564B2 (en) | 2017-08-02 | 2017-08-02 | Authentication key sharing system and new terminal registration method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2019029917A JP2019029917A (en) | 2019-02-21 |
| JP6823564B2true JP6823564B2 (en) | 2021-02-03 |
Family
ID=65476680
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017149575AActiveJP6823564B2 (en) | 2017-08-02 | 2017-08-02 | Authentication key sharing system and new terminal registration method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6823564B2 (en) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US12267675B2 (en)* | 2023-03-20 | 2025-04-01 | Jamf Software, Llc | Secondary device enrollment validation |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH07160198A (en)* | 1993-12-03 | 1995-06-23 | Fujitsu Ltd | Public key registration method in cryptographic communication and public key certificate issuing authority |
| US7552322B2 (en)* | 2004-06-24 | 2009-06-23 | Palo Alto Research Center Incorporated | Using a portable security token to facilitate public key certification for devices in a network |
| JP2007281850A (en)* | 2006-04-06 | 2007-10-25 | Fuji Xerox Co Ltd | Document data distribution method |
| JP5765186B2 (en)* | 2011-10-27 | 2015-08-19 | コニカミノルタ株式会社 | Connection control apparatus, information processing apparatus, image forming apparatus, portable mobile terminal, information processing system, connection control apparatus control method, and connection control apparatus control program |
| JP6134841B1 (en)* | 2016-05-19 | 2017-05-24 | ヤフー株式会社 | Registration device, terminal device, registration method, registration program, and registration system |
- 2017
- 2017-08-02JPJP2017149575Apatent/JP6823564B2/enactiveActive
Also Published As
| Publication number | Publication date |
|---|---|
| JP2019029917A (en) | 2019-02-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6716744B2 (en) | Blockchain-based integrated login method, terminal and server using the same | |
| CN106664208B (en) | System and method for establishing trust using secure transport protocol | |
| US8112787B2 (en) | System and method for securing a credential via user and server verification | |
| US8495720B2 (en) | Method and system for providing multifactor authentication | |
| CN101414909B (en) | Network application user authentication system, method and mobile communication terminal | |
| Dodson et al. | Secure, consumer-friendly web authentication and payments with a phone | |
| CN105516195B (en) | A kind of security certification system and its authentication method based on application platform login | |
| US10050791B2 (en) | Method for verifying the identity of a user of a communicating terminal and associated system | |
| US20110219427A1 (en) | Smart Device User Authentication | |
| JP2019185775A (en) | Authority authentication method for block chain infrastructure, terminal, and server using the same | |
| CN106096947B (en) | The half off-line anonymous method of payment based on NFC | |
| JP4960738B2 (en) | Authentication system, authentication method, and authentication program | |
| JP7124174B1 (en) | Method and apparatus for multi-factor authentication | |
| JP2011204169A (en) | Authentication system, authentication device, authentication method and authentication program | |
| KR101001400B1 (en) | Online mutual authentication method and system | |
| JP5317795B2 (en) | Authentication system and authentication method | |
| EP2916509B1 (en) | Network authentication method for secure user identity verification | |
| JP6714551B2 (en) | Authentication key sharing system and inter-terminal key copying method | |
| JP6823564B2 (en) | Authentication key sharing system and new terminal registration method | |
| CN108886524B (en) | Secure Remote Authentication | |
| JP6454493B2 (en) | Authentication system, authentication method, and authentication program | |
| JP5037238B2 (en) | Mutual authentication system and mutual authentication method | |
| JP2015176167A (en) | Network authentication method for secure user identification information verification | |
| KR101576038B1 (en) | Network authentication method for secure user identity verification | |
| JP2024125515A (en) | Methods and systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination | Free format text:JAPANESE INTERMEDIATE CODE: A621 Effective date:20190826 | |
| A977 | Report on retrieval | Free format text:JAPANESE INTERMEDIATE CODE: A971007 Effective date:20200722 | |
| A131 | Notification of reasons for refusal | Free format text:JAPANESE INTERMEDIATE CODE: A131 Effective date:20201006 | |
| A521 | Request for written amendment filed | Free format text:JAPANESE INTERMEDIATE CODE: A523 Effective date:20201203 | |
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) | Free format text:JAPANESE INTERMEDIATE CODE: A01 Effective date:20210105 | |
| A61 | First payment of annual fees (during grant procedure) | Free format text:JAPANESE INTERMEDIATE CODE: A61 Effective date:20210108 | |
| R150 | Certificate of patent or registration of utility model | Ref document number:6823564 Country of ref document:JP Free format text:JAPANESE INTERMEDIATE CODE: R150 | |
| S533 | Written request for registration of change of name | Free format text:JAPANESE INTERMEDIATE CODE: R313533 |