本発明は、情報処理装置、情報処理方法及び情報処理プログラムに関する。The present invention relates to an information processing device, an information processing method, and an information processing program.
認証に関する技術であって、認証器を用いる技術が開示されている(特許文献1参照)。Technology related to authentication that uses an authenticator has been disclosed (see Patent Document 1).
しかしながら、上記の従来技術では、認証技術における本人確認のための秘密の質問の作成手法に関してまだまだ改善の余地がある。However, the above-mentioned conventional technology still leaves room for improvement in terms of the methods for creating secret questions for identity verification in authentication technology.
本願は、上記に鑑みてなされたものであって、認証技術において動的に秘密の質問を作成する手法を提供することを目的とする。This application was made in light of the above, and aims to provide a method for dynamically creating secret questions in authentication technology.
本願に係る情報処理装置は、ユーザからのアクセス要求に応じて、前記ユーザの複数種類の行動ログから、質問の対象となるイベントを抽出し、前記イベントから1以上の質問項目を決めた質問テンプレートを作成し、秘密の質問を生成する上での質問項目生成ポリシーを決定し、前記質問項目生成ポリシーに基づいて、本人確認をするための秘密の質問と正解とを動的に生成するとともに、前記秘密の質問を含む認証画面を生成し、前記ユーザに対して、認証要求として、前記秘密の質問を含む認証画面を提供する生成部と、前記ユーザにより前記認証画面に入力された前記秘密の質問に対する回答を受信し、受信した前記ユーザの回答と前記秘密の質問とともに作成された前記正解とを照合し、合致している場合に、成功と判断し、前記ユーザに対して、アクセス応答として、認証結果に関する結果画面を提供する認証処理部と、を備えることを特徴とする。 The information processing device of the present application is characterized by comprising: a generation unit that, in response to an access request from a user, extracts events to be questioned from multipletypes of behavior logs of the user, creates a question template with one or more question items fromthe events , determines a question item generation policy for generating secret questions, dynamically generates secret questions and correct answers for identity verification based on the question item generation policy, generates an authentication screen including the secret questions, and provides the authentication screen including the secret questions to the user as an authentication request; and an authentication processing unit that receives the answers to the secret questions entered by the user on the authentication screen, compares the received answers from the user with the correct answers created together with the secret questions, and determines that the authentication was successful if they match, and provides the user with a result screen regarding the authentication result as an access response.
実施形態の一態様によれば、認証技術において動的に秘密の質問を作成する手法を提供することができる。According to one aspect of the embodiment, a method for dynamically creating secret questions in authentication technology can be provided.
以下に、本願に係る情報処理装置、情報処理方法及び情報処理プログラムを実施するための形態(以下、「実施形態」と記載する)について図面を参照しつつ詳細に説明する。なお、この実施形態により本願に係る情報処理装置、情報処理方法及び情報処理プログラムが限定されるものではない。また、以下の実施形態において同一の部位には同一の符号を付し、重複する説明は省略される。Below, detailed explanations will be given of the information processing device, information processing method, and information processing program (hereinafter referred to as "embodiments") according to the present application, with reference to the drawings. Note that the information processing device, information processing method, and information processing program according to the present application are not limited to these embodiments. Furthermore, identical components in the following embodiments will be designated by the same reference numerals, and duplicate explanations will be omitted.
〔1.情報処理方法の概要〕
まず、図1を参照し、実施形態に係る情報処理装置が行う情報処理方法の概要について説明する。図1は、実施形態に係る情報処理方法の概要を示す説明図である。なお、図1では、認証技術において動的に秘密の質問を作成する手法を提供する場合を例に挙げて説明する。[1. Overview of information processing method]
First, an overview of an information processing method performed by an information processing device according to an embodiment will be described with reference to Fig. 1. Fig. 1 is an explanatory diagram showing an overview of the information processing method according to an embodiment. Note that Fig. 1 will be described by taking as an example a case where a method for dynamically creating secret questions is provided in authentication technology.
図1に示すように、情報処理システム1は、端末装置10とサーバ装置100とを含む。端末装置10とサーバ装置100とは、ネットワークN(図11参照)を介して有線又は無線で互いに通信可能に接続される。本実施形態では、端末装置10は、サーバ装置100と連携する。As shown in FIG. 1, the information processing system 1 includes a terminal device 10 and a server device 100. The terminal device 10 and the server device 100 are connected to each other via a network N (see FIG. 11) so that they can communicate with each other via a wired or wireless connection. In this embodiment, the terminal device 10 works in conjunction with the server device 100.
端末装置10は、利用者U(ユーザ)により使用されるスマートフォンやタブレット端末等のスマートデバイスであり、4G(Generation)やLTE(Long Term Evolution)等の無線通信網を介して任意のサーバ装置と通信を行うことができる携帯端末装置である。また、端末装置10は、液晶ディスプレイ等の画面であって、タッチパネルの機能を有する画面を有し、利用者Uから指やスタイラス等によりタップ操作、スライド操作、スクロール操作等、コンテンツ等の表示データに対する各種の操作を受付ける。なお、画面のうち、コンテンツが表示されている領域上で行われた操作を、コンテンツに対する操作としてもよい。また、端末装置10は、スマートデバイスのみならず、デスクトップPC(Personal Computer)やノートPC等の情報処理装置であってもよい。The terminal device 10 is a smart device such as a smartphone or tablet used by a user U, and is a portable terminal device capable of communicating with any server device via a wireless communication network such as 4G (Generation (4G)) or LTE (Long Term Evolution). The terminal device 10 also has a screen such as an LCD display with touch panel functionality, and accepts various operations on displayed data such as content, such as tapping, sliding, and scrolling, performed by the user U's finger or stylus. Operations performed on the area of the screen where content is displayed may be considered operations on the content. The terminal device 10 may not only be a smart device, but also an information processing device such as a desktop PC (Personal Computer) or laptop PC.
本実施形態では、端末装置10は、FIDO認証(Fast Identity Online)におけるFIDOクライアントとして機能する。FIDOクライアントは、認証器(Authenticator)と連携してユーザの認証を行う。なお、認証器は、FIDOクライアントと同一のデバイスに実装されることがあってもよく(内蔵認証器)、FIDOクライアントとは物理的に異なるデバイスに実装されていてもよい(外部認証器)。In this embodiment, the terminal device 10 functions as a FIDO client in FIDO authentication (Fast Identity Online). The FIDO client authenticates users in cooperation with an authenticator. The authenticator may be implemented in the same device as the FIDO client (built-in authenticator), or may be implemented in a device physically different from the FIDO client (external authenticator).
例えば、FIDO認証では、PIN(Personal Identification Number)、USB(Universal Serial Bus)セキュリティキー、スマートカードなどの記憶や所有物を用いた認証方式や、指紋、顔、虹彩、静脈、声紋などの生体情報や行動情報を用いた認証方式を実装できる。認証方式は、これらに限定されず、あらゆる方式を導入することができる。また、複数の認証方式を組み合わせて、マルチモーダル生体認証や多要素認証を実現することもできる。For example, FIDO authentication can implement authentication methods using stored or possessed items such as PIN (Personal Identification Number), USB (Universal Serial Bus) security keys, and smart cards, as well as authentication methods using biometric or behavioral information such as fingerprints, faces, irises, veins, and voiceprints. Authentication methods are not limited to these, and any method can be implemented. It is also possible to combine multiple authentication methods to achieve multimodal biometric authentication or multi-factor authentication.
以下、説明の簡略化のため、FIDOクライアントと認証器とを区別せず、端末装置10をFIDOクライアントかつ認証器として説明する。すなわち、認証器が内部認証器である場合を例に説明する。なお、実際には、認証器は、端末装置10から物理的に独立し、端末装置10と連携可能な外部認証器であってもよい。For simplicity's sake, the following description will not distinguish between a FIDO client and an authenticator, and will instead refer to the terminal device 10 as both a FIDO client and an authenticator. That is, the description will be given taking as an example a case where the authenticator is an internal authenticator. In reality, however, the authenticator may be an external authenticator that is physically independent from the terminal device 10 and can cooperate with the terminal device 10.
また、FIDOクライアントのWebブラウザに表示されるウェブコンテンツから認証器を呼び出し、認証サーバとのやり取りでFIDO認証を可能にするためのWeb認証API(Application Programming Interface)も実装可能であるが、本実施形態では説明を割愛する。It is also possible to implement a Web authentication API (Application Programming Interface) that calls the authenticator from web content displayed in the FIDO client's web browser and enables FIDO authentication through interaction with the authentication server, but this will not be explained in this embodiment.
サーバ装置100は、FIDO認証における認証サーバ(FIDOサーバ)として機能する情報処理装置であり、コンピュータやクラウドシステム等により実現される。認証サーバは、RP(Relying Party)/IdP(Identity Provider)に相当する。FIDO認証では、認証器(Authenticator)と認証サーバとの間で、パスワードや生体情報のような「秘密」を共有しないので、フィッシングに対する耐性がある。The server device 100 is an information processing device that functions as an authentication server (FIDO server) in FIDO authentication, and is realized by a computer, cloud system, etc. The authentication server corresponds to an RP (Relying Party)/IdP (Identity Provider). FIDO authentication is resistant to phishing because no "secrets" such as passwords or biometric information are shared between the authenticator and the authentication server.
図1に示すように、FIDO認証では、認証サーバは、ユーザからの認証要求を受けると、ユーザ側の認証器にチャレンジ(Challenge)を送る。チャレンジは、一度だけ有効なランダムな文字列であり、乱数を元に決めた毎回異なるデータ列である。ユーザは、認証器を用いてユーザ検証(User verification)を行い、本人性の検証をローカルで実施する。そして、認証器は、検証結果を秘密鍵(Private Key)で署名し、署名付き検証結果(Signed response)として認証サーバに送る。認証サーバは、署名付き検証結果を受け取ると、公開鍵(Public Key)で署名検証する。As shown in Figure 1, in FIDO authentication, when an authentication server receives an authentication request from a user, it sends a challenge to the authenticator on the user's side. The challenge is a random string that is valid only once and is a different data string each time determined based on random numbers. The user performs user verification using the authenticator to verify their identity locally. The authenticator then signs the verification result with its private key and sends it to the authentication server as a signed response. When the authentication server receives the signed response, it verifies the signature with its public key.
このように、FIDO認証では、認証サーバが、公開鍵を用いて、ユーザ側の認証器が適切な秘密鍵を保有することを確認することによって認証を実現する。認証器と認証サーバは「秘密鍵」を共有しない。In this way, with FIDO authentication, authentication is achieved by the authentication server using a public key to verify that the authenticator on the user side possesses the appropriate private key. The authenticator and authentication server do not share a "private key."
また、サーバ装置100は、FIDO認証に対応したRP/IdPとのID連携(フェデレーション)によりアイデンティティサービスを提供する連携RP/SP(Service Provider)としても機能する。FIDO認証とID連携とを組み合わせると、認証コンテキストは認証器からRP/IdPを介して連携RP/SPへと伝搬する。The server device 100 also functions as a federated RP/SP (Service Provider) that provides identity services through ID federation with an RP/IdP that supports FIDO authentication. When FIDO authentication and ID federation are combined, the authentication context is propagated from the authenticator to the federated RP/SP via the RP/IdP.
以下、説明の簡略化のため、RP/IdPと連携RP/SPとを区別せず、サーバ装置100をRP/IdPかつ連携RP/SPとして説明する。なお、実際には、RP/IdPとしてのサーバ装置100と、連携RP/SPとしてのサーバ装置100とは、物理的に独立した異なるサーバ装置100であってもよい。For simplicity of explanation, the following description will not distinguish between RP/IdP and linked RP/SP, and will refer to the server device 100 as both an RP/IdP and a linked RP/SP. Note that in practice, the server device 100 as the RP/IdP and the server device 100 as the linked RP/SP may be physically separate and distinct server devices 100.
例えば、サーバ装置100は、各利用者Uの端末装置10と連携し、各利用者Uの端末装置10に対して、各種アプリケーション(以下、アプリ)等に対するAPI(Application Programming Interface)サービス等と、各種データを提供してもよい。For example, the server device 100 may cooperate with the terminal device 10 of each user U and provide API (Application Programming Interface) services for various applications (hereinafter referred to as apps), etc., and various data to each user U's terminal device 10.
また、サーバ装置100は、各利用者Uの端末装置10に対して、オンラインで何らかのWebサービスを提供する情報処理装置であってもよい。例えば、サーバ装置100は、Webサービスとして、インターネット接続、検索サービス、SNS(Social Networking Service)、電子商取引(EC:Electronic Commerce)、電子決済、オンラインゲーム、オンラインバンキング、オンライントレーディング、宿泊・チケット予約、動画・音楽配信、ニュース、地図、ルート検索、経路案内、路線情報、運行情報、天気予報等のサービスを提供してもよい。実際には、サーバ装置100は、上記のようなWebサービスを提供する各種サーバと連携し、Webサービスを仲介してもよいし、Webサービスの処理を担当してもよい。The server device 100 may also be an information processing device that provides some kind of web service online to the terminal device 10 of each user U. For example, the server device 100 may provide such web services as internet connection, search services, SNS (Social Networking Service), electronic commerce (EC), electronic payments, online games, online banking, online trading, accommodation and ticket reservations, video and music distribution, news, maps, route searches, route guidance, line information, operation information, and weather forecasts. In practice, the server device 100 may work in conjunction with various servers that provide the above-mentioned web services, and may act as an intermediary for the web services or be responsible for processing the web services.
なお、サーバ装置100は、利用者Uに関する利用者情報を取得可能である。例えば、サーバ装置100は、利用者Uの性別、年代、居住地域といった利用者Uの属性に関する情報を取得する。そして、サーバ装置100は、利用者Uを示す識別情報(利用者ID等)とともに利用者Uの属性に関する情報を記憶して管理する。The server device 100 is capable of acquiring user information about the user U. For example, the server device 100 acquires information about the attributes of the user U, such as the user U's gender, age, and residential area. The server device 100 then stores and manages the information about the attributes of the user U along with identification information (such as a user ID) that identifies the user U.
また、サーバ装置100は、利用者Uの端末装置10から、あるいは利用者ID等に基づいて各種サーバ等から、利用者Uの行動を示す各種の履歴情報(ログデータ)を取得する。例えば、サーバ装置100は、利用者Uの位置や日時の履歴である位置履歴を端末装置10から取得する。また、サーバ装置100は、利用者Uが入力した検索クエリの履歴である検索履歴を検索サーバ(検索エンジン)から取得する。また、サーバ装置100は、利用者Uが閲覧したコンテンツの履歴である閲覧履歴をコンテンツサーバから取得する。また、サーバ装置100は、利用者Uの商品購入や決済処理の履歴である購入履歴(決済履歴)を電子商取引サーバや決済処理サーバから取得する。また、サーバ装置100は、利用者Uのマーケットプレイスへの出品の履歴である出品履歴や販売履歴を電子商取引サーバや決済処理サーバから取得してもよい。また、サーバ装置100は、利用者Uの投稿の履歴である投稿履歴を口コミの投稿サービスを提供する投稿サーバやSNSサーバから取得する。なお、上記の各種サーバ等は、サーバ装置100自体であってもよい。すなわち、サーバ装置100が上記の各種サーバ等として機能してもよい。The server device 100 also acquires various historical information (log data) indicating user U's behavior from user U's terminal device 10 or from various servers based on the user ID, etc. For example, the server device 100 acquires user U's location history, which is a history of user U's location and date and time, from the terminal device 10. The server device 100 also acquires user U's search history, which is a history of search queries entered by user U, from a search server (search engine). The server device 100 also acquires user U's browsing history, which is a history of content viewed by user U, from a content server. The server device 100 also acquires user U's purchase history (payment history), which is a history of product purchases and payment processes, from an e-commerce server or a payment processing server. The server device 100 may also acquire user U's listing history and sales history, which are a history of user U's listings on the marketplace, from the e-commerce server or the payment processing server. The server device 100 also acquires user U's posting history, which is a history of user U's posts, from a posting server or SNS server that provides a word-of-mouth posting service. Note that the various servers described above may be the server device 100 itself. In other words, the server device 100 may function as the various servers described above.
〔1-1.本人強度管理〕
図2に示すように、一般的な認証システムでは、本人確認(Identity proofing)により、ユーザが本人かどうかを確認する。図2は、本人確認の事例を示す図である。本人確認では、本人があらかじめ登録した属性情報と、提示された属性情報が一致することの確認することによって、ユーザ本人とみなす。サーバ装置100は、本人確認が適切に行われていることが前提で、本人に特化したパーソナルなアイデンティティサービスを提供することができる。例えば、ユーザの自己申告の属性情報では本人強度は低いため、高い本人確度が要求されるサービスではサービスを提供できない。[1-1. Personal strength management〕
As shown in FIG. 2, a typical authentication system verifies whether a user is the real person through identity proofing. FIG. 2 is a diagram showing an example of identity proofing. In identity proofing, the user is deemed to be the real person by confirming that the attribute information previously registered by the user matches the presented attribute information. The server device 100 can provide a personalized identity service specific to the user, assuming that identity proofing has been properly performed. For example, the user's self-reported attribute information has low identity verification strength, and therefore cannot provide services that require high identity accuracy.
また、ユーザの個人属性情報は、本人確認の方法によって様々で信頼度にばらつきがあったり、時間の経過によって情報が陳腐化したり、実際の個人属性情報に対応して管理情報が更新されないなどの理由で信頼度が低下したりするため、従来技術では、情報の信頼性を適切に維持することが困難である。Furthermore, the reliability of a user's personal attribute information varies depending on the identity verification method, and the information can become outdated over time, or the management information may not be updated to correspond to the actual personal attribute information, making it difficult to properly maintain the reliability of the information using conventional technology.
また、技術進歩や脆弱性の発見、社会的要請や企業方針等により、セキュリティポリシーは頻繁に変更されることがある。In addition, security policies are subject to frequent changes due to technological advances, the discovery of vulnerabilities, societal demands, corporate policies, etc.
図3に示すように、本実施形態では、サーバ装置100は、本人確認(身元確認)する際の個人属性情報を、セキュリティポリシーを満たすように継続的に管理する。図3は、アイデンティティサービスの概要を示す説明図である。As shown in Figure 3, in this embodiment, the server device 100 continuously manages personal attribute information used during identity verification (personal identity verification) so that it satisfies security policies. Figure 3 is an explanatory diagram showing an overview of the identity service.
例えば、サーバ装置100は、個人属性情報の信頼度を適切に継続的に管理し、アイデンティティサービスを提供するアクセス制御時に、セキュリティポリシーに満たしてなければ満たすように、新たな認証や本人確認処理を発動する。For example, the server device 100 appropriately and continuously manages the reliability of personal attribute information, and when controlling access to provide identity services, if the information does not meet the security policy, it will initiate new authentication or identity verification processing to ensure that it does.
サーバ装置100は、アイデンティティサービスを提供するアクセス制御時に、認証中のオンラインユーザに対する属性の確度を、認証確度と本人確度との掛け合わせにより求める。認証確度:p1、本人確度:p2とした場合、認証中のオンラインユーザに対する属性の確度は、下記の式(1)で表される。ここでは、一例として、両方の確率を掛け算する。When controlling access to provide identity services, the server device 100 calculates the attribute certainty for the online user currently being authenticated by multiplying the authentication certainty by the identity certainty. If the authentication certainty is p1 and the identity certainty is p2, the attribute certainty for the online user currently being authenticated is expressed by the following formula (1). Here, as an example, both probabilities are multiplied.
元々の本人確度が低ければ、IDと紐づけられた属性の信憑性がない。認証確度が弱ければ、そもそもユーザに紐づいたIDが適切ではない(なりすまし)の可能性がある。ID:id、ユーザ:u、属性:A、認証確度:p1、本人確度:p2とした場合、評価関数は、下記の式(2)で表される。ここで「*」は掛け合わせを意味し、どのような演算を定義してもよい。If the original identity accuracy is low, the attributes linked to the ID are not reliable. If the authentication accuracy is weak, there is a possibility that the ID linked to the user is not appropriate (impersonation) in the first place. If ID: id, user: u, attribute: A, authentication accuracy: p1, identity accuracy: p2, the evaluation function is expressed by the following formula (2). Here, "*" means multiplication, and any calculation can be defined.
図3に示すように、ユーザ:uとID:idとのリンクL1は、各認証試行の成功後に確立する(認証セッション)。認証セッションの有効時間をこえると、強度は0になる。このリンクL1の強度が、認証確度:p1を示す。As shown in Figure 3, a link L1 between user u and ID id is established after each successful authentication attempt (authentication session). Once the validity period of the authentication session has expired, the strength becomes 0. The strength of this link L1 indicates the authentication accuracy p1.
属性:Aは、認証サーバが管理する。属性:Aは、属性集合(a1, a2, …an)としての強度を持つ。属性:Aは、個々の属性ごとの強度を持っていてもよいが、本人確認文書(本人確認書類)の形態に依存する。 Attribute: A is managed by the authentication server. Attribute: A has strength as a set of attributes (a1 , a2 , ...an ). Attribute: A may have strength for each individual attribute, but this depends on the form of the identity verification document (personal identification document).
また、ID:idと属性:AとのリンクL2は本人確認時に確立する。強度は属性のタイプによって変化(減衰、あるいは、増加など)する。このリンクL2の強度が、本人確度:p2を示す。In addition, a link L2 between ID: id and attribute: A is established during identity verification. The strength changes (attenuates, increases, etc.) depending on the type of attribute. The strength of this link L2 indicates identity accuracy: p2.
また、ID:idと認証情報:パスワードとのリンクL3も本人強度の1つと考えうるが、IDを開設した人が(あるいは管理者が)設定するので、確度は1と考えて良い。In addition, the link L3 between the ID:id and the authentication information:password can also be considered one of the strengths of identity, but since it is set by the person who created the ID (or the administrator), the accuracy can be considered to be 1.
このように、サーバ装置100は、認証中のオンラインユーザに対する個人属性情報の確度を、認証確度と本人確度の掛け合わせにより求める。認証確度は、各認証試行の成功後に確立する認証セッションの有効時間を超えると0になる。本人確度は、個人属性情報のタイプによって変化する。In this way, the server device 100 calculates the accuracy of personal attribute information for an online user currently being authenticated by multiplying the authentication accuracy by the identity accuracy. The authentication accuracy becomes 0 once the validity period of the authentication session established after each successful authentication attempt has expired. The identity accuracy varies depending on the type of personal attribute information.
〔1-1-1.アイデンティティ管理機能〕
(1)ユーザの属性の管理
認証サーバであるサーバ装置100は、ユーザの属性を管理する。例えば、サーバ装置100は、登録、更新、削除などのライフサイクル処理を実施する。[1-1-1. Identity management function]
(1) Management of User Attributes The server device 100, which is an authentication server, manages user attributes. For example, the server device 100 performs life cycle processes such as registration, update, and deletion.
(2)属性のメタ情報の管理
また、サーバ装置100は、ユーザの属性と紐づけて、属性のメタ情報を管理する。例えば、サーバ装置100は、ユーザの属性を入手する際の本人確認方法、本人確認書類、本人確認書類のメタ情報(発行者など)、本人確認日時等を管理する。(2) Management of Meta Information of Attributes The server device 100 also manages meta information of attributes in association with user attributes. For example, the server device 100 manages the identity verification method, identity verification document, meta information of the identity verification document (such as issuer), identity verification date and time, etc., used when obtaining user attributes.
(3)本人確度の管理
また、サーバ装置100は、本人確度を管理する。例えば、サーバ装置100は、上記属性とメタ情報を使って、所定の評価関数より算出し、継続的に管理する。また、サーバ装置100は、アクセス制御などの必要時をトリガーとする、あるいは、定期的に更新する。このとき、サーバ装置100は、減衰を考慮に入れた評価を実施する。また、サーバ装置100は、セキュリティポリシーを使って確度情報の管理方法を記載し、制御してもよい。例えば、サーバ装置100は、1日ごとに更新する。あるいは、サーバ装置100は、人確認書類の有効期限が期限切れしていたらアラートを投げる、あるいは、認証時に本人確認の実施要求(お願い)をする。あるいは、サーバ装置100は、1日ごとに本人確度を(本人確認書類発行日から)0.01ずつ減らす。(3) Identity Accuracy Management The server device 100 also manages identity accuracy. For example, the server device 100 uses the attributes and meta information to calculate and continuously manage identity accuracy using a predetermined evaluation function. The server device 100 updates the accuracy periodically, or triggers it when necessary, such as when access control is required. At this time, the server device 100 performs evaluation that takes decay into account. The server device 100 may also use a security policy to describe and control how the accuracy information is managed. For example, the server device 100 updates the accuracy daily. Alternatively, the server device 100 may issue an alert if the validity period of the identity verification document has expired, or may request identity verification at the time of authentication. Alternatively, the server device 100 may decrement the identity accuracy by 0.01 every day (from the date of issuance of the identity verification document).
〔1-1-2.認証時に本人確認要求〕
図4を参照して、認証時に本人確認を要求する実施例について説明する。図4は、認証時に本人確認を要求する実施例の概要を示す説明図である。[1-1-2. Identity verification required during authentication]
An embodiment in which personal identification is requested at the time of authentication will be described with reference to Fig. 4. Fig. 4 is an explanatory diagram showing an overview of an embodiment in which personal identification is requested at the time of authentication.
図4に示すように、ユーザである利用者Uは、端末装置10を用いて、ネットワークN(図11参照)を介して、認証サーバであるサーバ装置100との間でIDとパスワードによる認証を行う(ステップS1)。なお、当該認証は、事前に行われていてもよい。例えば、ユーザである利用者Uは、最初に認証を受けた後、サーバ装置100へのログイン状態を維持し続けていてもよい。As shown in FIG. 4, a user U uses a terminal device 10 to authenticate with a server device 100, which is an authentication server, via a network N (see FIG. 11) using an ID and password (step S1). Note that this authentication may have been performed in advance. For example, after the initial authentication, the user U may remain logged in to the server device 100.
続いて、ユーザである利用者Uは、端末装置10を用いて、ネットワークN(図11参照)を介して、認証サーバであるサーバ装置100に対してサービス要求を送信する(ステップS2)。Next, the user U uses the terminal device 10 to send a service request to the server device 100, which is the authentication server, via the network N (see Figure 11) (step S2).
続いて、認証サーバであるサーバ装置100は、ユーザである利用者Uからのサービス要求に応じて、認証確度、本人確度、及び評価関数を算出する(ステップS3)。Next, the server device 100, which is the authentication server, calculates the authentication accuracy, identity accuracy, and evaluation function in response to a service request from the user U (step S3).
続いて、認証サーバであるサーバ装置100は、アイデンティティ管理機能を有し、セキュリティポリシーを参照し、制御判断を行い、セキュリティポリシー及び制御判断に基づき、ユーザである利用者Uの本人確認要求の実施を決定する(ステップS4)。例えば、サーバ装置100は、本人確認文書:運転免許証(紙コピー)、有効期限: 2021年12月である場合、セキュリティポリシーに基づき、属性情報が有効期限切れなら本人確認を要求する。Next, the authentication server, server device 100, has an identity management function, references the security policy, makes a control decision, and decides to implement a request for identity verification for user U based on the security policy and the control decision (step S4). For example, if the identity verification document is a driver's license (paper copy) with an expiration date of December 2021, server device 100 will request identity verification based on the security policy if the attribute information has expired.
続いて、認証サーバであるサーバ装置100は、ネットワークN(図11参照)を介して、認証器としての端末装置10に対して、属性情報がセキュリティポリシーを満たしていないことを示すエラーや新たな本人確認処理の要求を含むサービス応答を送信する(ステップS5)。本実施形態では、認証器としての端末装置10は、ユーザである利用者Uの端末装置10である。このとき、認証サーバであるサーバ装置100は、認証器としての端末装置10に対して、チャレンジを送信する。Next, the server device 100, which is the authentication server, transmits a service response including an error indicating that the attribute information does not satisfy the security policy and a request for new identity verification processing to the terminal device 10, which is the authenticator, via the network N (see FIG. 11) (step S5). In this embodiment, the terminal device 10, which is the authenticator, is the terminal device 10 of the user U, who is the user. At this time, the server device 100, which is the authentication server, transmits a challenge to the terminal device 10, which is the authenticator.
続いて、認証器としての端末装置10は、認証サーバであるサーバ装置100からのサービス応答に応じて、ユーザである利用者Uの身分証明書(運転免許証、マイナンバーカード等)に含まれる属性情報を取得する(ステップS6)。このとき、端末装置10は、ユーザである利用者Uに対して身分証明書に含まれる属性情報の入力を要求し、属性情報の入力を受け付けてもよい。属性情報の入力方法は、手入力に限らず、データのアップロード、画像データスキャン及び画像解析、音声入力等であってもよい。あるいは、端末装置10は、自身が内部に保有している属性情報を抽出してもよい。Next, the terminal device 10, acting as an authenticator, acquires attribute information contained in the identification card (driver's license, My Number card, etc.) of the user U in response to the service response from the server device 100, acting as the authentication server (step S6). At this time, the terminal device 10 may request the user U to input the attribute information contained in the identification card and accept the input of the attribute information. The method of inputting the attribute information is not limited to manual input, but may also include data uploading, image data scanning and image analysis, voice input, etc. Alternatively, the terminal device 10 may extract attribute information stored internally.
続いて、認証器としての端末装置10は、ネットワークN(図11参照)を介して、認証サーバであるサーバ装置100に対して、IDと属性情報との組(セット)を含むサービス要求を送信する(ステップS7)。このとき、認証器としての端末装置10は、認証用秘密鍵を用いてサーバ装置100からのチャレンジに署名して送信する。Next, the terminal device 10 acting as the authenticator transmits a service request including a set of ID and attribute information to the server device 100 acting as the authentication server via the network N (see FIG. 11) (step S7). At this time, the terminal device 10 acting as the authenticator signs and transmits the challenge from the server device 100 using the authentication private key.
続いて、認証サーバであるサーバ装置100は、認証器としての端末装置10からのサービス要求に応じて、ユーザである利用者UのIDと属性情報に基づいて、ユーザである利用者Uの本人確認文書を確認し、変更点があればデータを更新し、セキュリティポリシーとの合致を検証する(ステップS8)。このとき、認証サーバであるサーバ装置100は、認証器としての端末装置10からの署名付きチャレンジに対して、認証用公開鍵を用いて署名を検証する。Next, in response to a service request from the terminal device 10 acting as an authenticator, the server device 100, which is the authentication server, checks the user U's identification document based on the user U's ID and attribute information, updates the data if there are any changes, and verifies compliance with the security policy (step S8). At this time, the server device 100, which is the authentication server, verifies the signature of the signed challenge from the terminal device 10 acting as an authenticator using the authentication public key.
続いて、認証サーバであるサーバ装置100は、ネットワークN(図11参照)を介して、認証器としての端末装置10に対して、OKを示すサービス応答を送信する(ステップS9)。Next, the server device 100, which is the authentication server, sends a service response indicating OK to the terminal device 10, which is the authenticator, via the network N (see Figure 11) (step S9).
なお、本人確認の確度関数に、データの確度を時間の経過とともに減衰することを考慮にいれたものにしてもよい。In addition, the accuracy function for identity verification may take into account the decay of data accuracy over time.
また、リスクベース認証の考え方を導入してもよい。例えば、利用環境が普段と異なる場合には、閾値を高く設定する(そのようなセキュリティポリシーにする)。You can also introduce the concept of risk-based authentication. For example, if the usage environment is different from usual, you could set a higher threshold (or create a security policy that reflects this).
また、セキュリティポリシーを以下のものにしてもよい。
(1)評価関数が所定の閾値よりも低ければ、本人確認必要とする。
(2)ユーザの属性の自己申告の入力(初めての記載か更新)があれば、該当する本人確認書類を要求する。
(3)ユーザの属性の自己申告があれば、本人確認書類なしとして登録する。 The security policy may also be as follows:
(1) If the evaluation function is lower than a predetermined threshold, identity verification is required.
(2) If the user's attributes are self-declared (first entry or update), the relevant identification documents are requested.
(3) If the user self-declares their attributes, they are registered as not having identification documents.
このように、本実施形態では、サーバ装置100は、ユーザ本人があらかじめ登録した個人属性情報と、ユーザにより提示された個人属性情報が一致することを確認することによって、本人確認する。そして、サーバ装置100は、本人確認する際の登録済みの個人属性情報を、セキュリティポリシーを満たすように継続的に管理する。In this way, in this embodiment, the server device 100 verifies the identity of the user by confirming that the personal attribute information previously registered by the user matches the personal attribute information presented by the user. The server device 100 then continuously manages the registered personal attribute information used for identity verification so that it complies with the security policy.
このとき、サーバ装置100は、ユーザにアイデンティティサービスを提供するアクセス制御時に、個人属性情報がセキュリティポリシーを満たしていなければ、セキュリティポリシーを満たすように新たな認証及び本人確認処理を発動する。At this time, when controlling access to provide identity services to a user, if the personal attribute information does not satisfy the security policy, the server device 100 will initiate new authentication and identity verification processing to satisfy the security policy.
これにより、サーバ装置100は、セキュリティポリシーに基づき、本人確認の方法の違いによる個人属性情報の信頼度のばらつきを抑制し、個人属性情報の信頼度を継続的に管理する。また、サーバ装置100は、セキュリティポリシーに基づき、時間の経過による個人属性情報の信頼度の低下を抑制し、個人属性情報の信頼度を継続的に管理する。As a result, the server device 100, based on the security policy, suppresses variations in the reliability of personal attribute information due to differences in identity verification methods and continuously manages the reliability of personal attribute information. Furthermore, based on the security policy, the server device 100 suppresses a decrease in the reliability of personal attribute information over time and continuously manages the reliability of personal attribute information.
また、サーバ装置100は、セキュリティポリシーが変更された場合、個人属性情報が変更後のセキュリティポリシーを満たすように継続的に管理する。In addition, if the security policy is changed, the server device 100 continuously manages the personal attribute information so that it complies with the changed security policy.
また、サーバ装置100は、登録済みの個人属性情報の根拠となる本人確認書類の有効期限が過ぎている場合、又は本人確認書類が失効している場合、個人属性情報がセキュリティポリシーを満たしていないと判断し、セキュリティポリシーを満たすように新たな認証及び本人確認処理を発動する。In addition, if the identity verification document that forms the basis of the registered personal attribute information has expired or has become invalid, the server device 100 determines that the personal attribute information does not satisfy the security policy and initiates new authentication and identity verification processing to satisfy the security policy.
〔1-2.認証器管理〕
本実施形態では、認証器出生証明文書(アテステーション:Attestation)を管理し、認証の方法を変えることができる認証システムを実現する。[1-2. Authenticator Management]
In this embodiment, an authentication system is realized that can manage authenticator birth certificate documents (attestation) and change the authentication method.
図5を参照して、通常(従来)のFIDO認証において、認証器出生証明文書(アテステーション)を使って、認証サーバが認証器の信頼性を判断する仕組みについて説明する。図5は、アテステーションの仕組みの概要を示す説明図である。Referring to Figure 5, we will explain how, in normal (conventional) FIDO authentication, the authentication server determines the trustworthiness of the authenticator using an authenticator birth certificate document (attestation). Figure 5 is an explanatory diagram showing an overview of the attestation mechanism.
図5に示すように、アテステーション用の鍵ペア(秘密鍵、公開鍵)を認証器ベンダーが出荷時に生成・配布する。本実施形態では、認証器ベンダー等が、アテステーション用秘密鍵を出荷時に認証器に格納する。認証サーバであるサーバ装置100は、アテステーション用公開鍵を認証器ベンダー等から事前に入手する。As shown in Figure 5, an attestation key pair (private key, public key) is generated and distributed by the authenticator vendor at the time of shipment. In this embodiment, the authenticator vendor or the like stores the attestation private key in the authenticator at the time of shipment. The server device 100, which is the authentication server, obtains the attestation public key in advance from the authenticator vendor or the like.
また、ユーザは、認証器の登録時に、アテステーション用の鍵ペアを使って、認証用の鍵ペアを配置する。本実施形態では、認証器としての端末装置10は、認証器の登録時に認証用の鍵ペアを生成する。そして、認証器としての端末装置10は、認証用秘密鍵を登録して格納する。また、認証器としての端末装置10は、アテステーション用秘密鍵で署名したデータ(署名付きデータ)とともに/に含めて、認証用公開鍵を認証サーバであるサーバ装置100に送付する。認証サーバであるサーバ装置100は、認証器としての端末装置10から受け取った署名付きデータに対してアテステーション用公開鍵で署名検証し、成功した場合、認証器としての端末装置10から受け取った認証用公開鍵を登録して格納する。Furthermore, when registering the authenticator, the user assigns an authentication key pair using an attestation key pair. In this embodiment, the terminal device 10 as the authenticator generates an authentication key pair when registering the authenticator. Then, the terminal device 10 as the authenticator registers and stores the authentication private key. The terminal device 10 as the authenticator also sends the authentication public key to the server device 100 as the authentication server, together with/included in data signed with the attestation private key (signed data). The server device 100 as the authentication server verifies the signature of the signed data received from the terminal device 10 as the authenticator using the attestation public key, and if successful, registers and stores the authentication public key received from the terminal device 10 as the authenticator.
しかし、通常のFIDO認証において、ユーザが、アテステーションの仕組みを使ってFIDO認証器を登録する場合、その後、認証サーバのセキュリティポリシーが変わっても、認証方法を変えることができない。その理由は、ユーザの認証確度の拠り所がアテステーション文書であるからである。However, in normal FIDO authentication, if a user registers a FIDO authenticator using the attestation mechanism, the authentication method cannot be changed even if the authentication server's security policy changes. This is because the basis for the user's authentication accuracy is the attestation document.
そこで、本実施形態では、認証サーバであるサーバ装置100は、FIDO登録時に受け取ったユーザのアテステーション文書を保管し、管理する。Therefore, in this embodiment, the server device 100, which is the authentication server, stores and manages the user's attestation document received during FIDO registration.
〔1-2-1.認証強度の管理〕
図6を参照して、認証強度の管理の概要について説明する。図6は、認証強度の管理の概要の概要を示す説明図である。[1-2-1. Authentication strength management]
An overview of authentication strength management will be described with reference to Fig. 6. Fig. 6 is an explanatory diagram showing an overview of authentication strength management.
図6に示すように、ユーザ:uとID:idとのリンクL1は、各認証試行が成功後に確立する(認証セッション)。認証セッションの有効時間をこえると、強度は0になる。このリンクL1の強度が、認証確度:p1を示す。As shown in Figure 6, a link L1 between user u and ID id is established after each successful authentication attempt (authentication session). Once the validity period of the authentication session has expired, the strength becomes 0. The strength of this link L1 indicates the authentication accuracy p1.
認証確度:p1は、公開鍵信頼性強度に基づく。すなわち、信頼性の低いアテステーションで公開鍵を作成したら、毎回の認証試行における認証強度は低くなる。Authentication accuracy: p1 is based on the public key reliability strength. In other words, if a public key is created with a low-reliability attestation, the authentication strength will be low for each authentication attempt.
なお、認証強度の管理では、ID:idと属性:AとのリンクL2は関係ない。すなわち、本人確度:p2は考慮しない。ただし、実際には、認証確度:p1と本人確度:p2を組み合わせて認証強度の管理を行うオプションはあり得る。Note that the link L2 between ID: id and attribute: A is not relevant when managing authentication strength. In other words, identity certainty: p2 is not taken into consideration. However, in reality, there may be an option to manage authentication strength by combining identity certainty: p1 and identity certainty: p2.
また、ID:idと認証情報:公開鍵とのリンクL3’は、公開鍵信頼性強度を示す。
認証情報:公開鍵は、FIDO登録時に設定される。この信頼性を計る尺度として認証器出生証明文書(アテステーション文書)が使用される。 Furthermore, the link L3' between the ID: id and the authentication information: public key indicates the reliability strength of the public key.
Authentication information: The public key is set during FIDO registration. The authenticator birth certificate document (attestation document) is used as a measure of this reliability.
認証器出生証明文書(アテステーション文書)は、公開鍵を作成した認証器・デバイスの信頼性を証明する。この内容によって公開鍵信頼性強度が決まる。The authenticator birth certificate document (attestation document) certifies the authenticity of the authenticator/device that created the public key. The contents of this document determine the strength of the public key's authenticity.
本実施形態では、認証サーバであるサーバ装置100は、FIDO登録機能と、FIDO認証機能とに加え、認証器出生証明管理機能と、認証強度管理機能とを有する。In this embodiment, the server device 100, which is the authentication server, has an FIDO registration function, an FIDO authentication function, an authenticator birth certificate management function, and an authentication strength management function.
〔1-2-2.FIDO登録の実施〕
図7を参照して、認証強度の管理におけるFIDO登録の実施例について説明する。図7は、認証強度の管理におけるFIDO登録の実施例の概要を示す説明図である。[1-2-2. FIDO Registration Implementation]
An example of FIDO registration in authentication strength management will be described with reference to Fig. 7. Fig. 7 is an explanatory diagram showing an overview of an example of FIDO registration in authentication strength management.
図7に示すように、認証サーバであるサーバ装置100は、認証器としての端末装置10に対して、認証要求として、ランダム文字列であるチャレンジを送信する(ステップS11)。As shown in FIG. 7, the server device 100, which is the authentication server, sends a challenge, which is a random character string, as an authentication request to the terminal device 10, which is the authenticator (step S11).
続いて、認証器としての端末装置10は、認証サーバからの認証要求に応じて、ユーザである利用者Uに対して、生体認証など所定の認証手段でユーザ検証を行う(ステップS12)。Next, in response to an authentication request from the authentication server, the terminal device 10, acting as the authenticator, performs user verification of the user U using a predetermined authentication method such as biometric authentication (step S12).
続いて、認証器としての端末装置10は、ユーザ検証に成功した場合、保有しているアテステーション用秘密鍵1で認証サーバからのチャレンジに署名するとともに、認証用鍵ペア(認証用秘密鍵1、認証用公開鍵1)を生成し、認証用秘密鍵1を保管する(ステップS13)。Next, if the user verification is successful, the terminal device 10 acting as the authenticator signs the challenge from the authentication server with the attestation private key 1 it holds, generates an authentication key pair (authentication private key 1, authentication public key 1), and stores the authentication private key 1 (step S13).
続いて、認証器としての端末装置10は、認証サーバであるサーバ装置100に対して、認証要求に対する認証応答として、署名付きチャレンジと、認証用公開鍵1と、アテステーション文書1とを送信する(ステップS14)。Next, the terminal device 10, acting as the authenticator, sends a signed challenge, authentication public key 1, and attestation document 1 to the server device 100, acting as the authentication server, as an authentication response to the authentication request (step S14).
続いて、認証サーバであるサーバ装置100は、認証器からの認証応答に応じて、保有しているアテステーション用公開鍵1で署名付きチャレンジの署名検証を行うとともに、認証用公開鍵1を保管する(ステップS15)。Next, in response to the authentication response from the authenticator, the authentication server, server device 100, verifies the signature of the signed challenge using attestation public key 1 that it holds, and stores authentication public key 1 (step S15).
なお、実際には、認証サーバであるサーバ装置100は、署名検証に成功した場合にのみ、認証用公開鍵1を保管するようにしてもよい。In practice, the server device 100, which is the authentication server, may store the authentication public key 1 only if signature verification is successful.
続いて、認証サーバであるサーバ装置100は、署名検証に成功した場合、ユーザである利用者Uを示すユーザIDを抽出する(ステップS16)。Next, if the signature verification is successful, the authentication server, server device 100, extracts the user ID indicating the user U (step S16).
続いて、認証サーバであるサーバ装置100は、抽出されたユーザIDと紐づけてアテステーション文書1を保管する(ステップS17)。なお、アテステーション文書は、認証強度を評価するものの一例である。Next, the server device 100, which is the authentication server, stores attestation document 1 in association with the extracted user ID (step S17). Note that the attestation document is an example of something used to evaluate authentication strength.
〔1-2-3.アテステーションの再実施〕
認証サーバであるサーバ装置100は、セキュリティ強化を決定した際に、既に保管しているユーザのアテステーション文書1では認証強度(レベル)を満たさない場合、設定した強度を満たすアテステーションを再実施する。[1-2-3. Re-attestation]
When the server device 100, which is an authentication server, decides to strengthen security and finds that the attestation document 1 of the user that is already stored does not satisfy the authentication strength (level), it re-performs attestation that satisfies the set strength.
例えば、現在使用している認証器Aの脆弱性が見つかったとする。そして、バグのある認証器Aからの認証要求は許可しないセキュリティポリシーに更新したとする。この場合、ユーザから認証器Aを使った認証要求を受けると、認証器Aのファームウェア更新を促すと同時に、更新した認証器Aでの再登録を促し、アテステーション文書を更新する。あるいは、新たな認証器Bでの再登録を促し、アテステーション文書を更新する。For example, suppose a vulnerability is discovered in the currently used authenticator A. Then, suppose the security policy is updated to not allow authentication requests from the buggy authenticator A. In this case, when a user requests authentication using authenticator A, the system prompts the user to update the firmware for authenticator A, and at the same time prompts the user to re-register with the updated authenticator A and update the attestation document. Alternatively, the system prompts the user to re-register with a new authenticator B and update the attestation document.
図8を参照して、アテステーションの再実施の実施例について説明する。図8は、アテステーションの再実施の実施例の概要を示す説明図である。An example of attestation re-execution will be described with reference to Figure 8. Figure 8 is an explanatory diagram showing an overview of an example of attestation re-execution.
図8に示すように、認証サーバであるサーバ装置100は、事前に、ユーザの認証器出生証明文書(アテステーション文書)を参照し、強度不足を確認した場合、次回以降の認証の機会に再登録を促すように設定する(ステップS20)。As shown in Figure 8, the authentication server, server device 100, refers to the user's authenticator birth certificate document (attestation document) in advance, and if it determines that the document is not strong enough, it is configured to prompt the user to re-register at the next authentication opportunity (step S20).
そして、認証サーバであるサーバ装置100は、認証の機会に、認証器としての端末装置10に対して、認証要求として、ランダム文字列であるチャレンジを送信するとともに、ユーザの認証器出生証明文書の再登録を促す(ステップS21)。Then, at the opportunity for authentication, the server device 100, which serves as the authentication server, sends a challenge, which is a random string, to the terminal device 10, which serves as the authenticator, as an authentication request, and prompts the user to re-register the authenticator birth certificate document (step S21).
続いて、認証器としての端末装置10は、認証サーバからの認証要求に応じて、ユーザである利用者Uに対して、生体認証など所定の認証手段でユーザ検証を行う(ステップS22)。Next, in response to an authentication request from the authentication server, the terminal device 10, acting as the authenticator, performs user verification of the user U using a predetermined authentication method such as biometric authentication (step S22).
続いて、認証器としての端末装置10は、ユーザ検証に成功した場合、保有しているアテステーション用秘密鍵2で認証サーバからのチャレンジに署名する(ステップS23)。Next, if the user verification is successful, the terminal device 10 acting as the authenticator signs the challenge from the authentication server using the attestation private key 2 it holds (step S23).
例えば、現在使用している認証器Aのファームウェア更新(又は認証用アプリ更新)や、新たな認証器Bの使用開始により、認証器としての端末装置10は、アテステーション用秘密鍵1とは異なるアテステーション用秘密鍵2を保管した状態となる。すなわち、認証器ベンダー等が、新たなアテステーション用の鍵ペア(秘密鍵、公開鍵)を生成・配布した状態となる。For example, when the firmware of currently used authenticator A is updated (or the authentication app is updated), or when a new authenticator B begins to be used, the terminal device 10 serving as the authenticator will be in a state where it stores attestation private key 2, which is different from attestation private key 1. In other words, the authenticator vendor or the like will have generated and distributed a new attestation key pair (private key, public key).
このとき、認証器としての端末装置10は、保有している認証用秘密鍵1を削除してもよい。これにより、上記のFIDO登録の再実施(図8参照)が必要となる。すなわち、認証器としての端末装置10は、今回のアテステーションの再実施の後、FIDO登録を再度実施し、新たな認証用鍵ペアの生成・配布を行う。また、認証器としての端末装置10は、認証強度(レベル)を満たさないアテステーション用秘密鍵1が内部に残っている場合、アテステーション用秘密鍵1を削除してもよい。At this time, the terminal device 10 as an authenticator may delete the authentication private key 1 it holds. This requires the above-mentioned FIDO registration to be performed again (see Figure 8). In other words, after re-performing this attestation, the terminal device 10 as an authenticator will perform FIDO registration again and generate and distribute a new authentication key pair. Furthermore, if the terminal device 10 as an authenticator has an attestation private key 1 remaining internally that does not satisfy the authentication strength (level), it may delete the attestation private key 1.
続いて、認証器としての端末装置10は、認証サーバであるサーバ装置100に対して、認証要求に対する認証応答として、署名付きチャレンジと、アテステーション文書2とを送信する(ステップS24)。Next, the terminal device 10, acting as the authenticator, sends a signed challenge and attestation document 2 to the server device 100, acting as the authentication server, as an authentication response to the authentication request (step S24).
続いて、認証サーバであるサーバ装置100は、認証器からの認証応答に応じて、保有しているアテステーション用公開鍵2で署名付きチャレンジの署名検証を行う(ステップS25)。Next, in response to the authentication response from the authenticator, the authentication server, server device 100, verifies the signature of the signed challenge using attestation public key 2 that it holds (step S25).
なお、認証サーバであるサーバ装置100は、認証器としての端末装置10がアテステーション用秘密鍵2を保管した(又は取得可能となった)タイミングで、ペアとなるアテステーション用公開鍵2を取得し保管しているものとする。例えば、認証サーバであるサーバ装置100は、アテステーション用公開鍵2を認証器ベンダー等から入手して保管する。Note that the server device 100, which is the authentication server, acquires and stores the paired attestation public key 2 when the terminal device 10, which is the authenticator, stores (or becomes able to acquire) the attestation private key 2. For example, the server device 100, which is the authentication server, acquires and stores the attestation public key 2 from an authenticator vendor, etc.
続いて、認証サーバであるサーバ装置100は、署名検証に成功した場合、ユーザである利用者Uを示すユーザIDを抽出する(ステップS26)。Next, if the signature verification is successful, the authentication server, server device 100, extracts the user ID indicating the user U (step S26).
続いて、認証サーバであるサーバ装置100は、抽出されたユーザIDと紐づけてアテステーション文書2を保管し、認証器出生証明文書を更新する(ステップS27)。Next, the authentication server, server device 100, stores attestation document 2 in association with the extracted user ID and updates the authenticator birth certificate document (step S27).
このとき、認証サーバであるサーバ装置100は、ユーザIDと紐づけられていたアテステーション文書1を破棄(削除)してもよい。例えば、認証サーバであるサーバ装置100は、ユーザIDと紐づけられていたアテステーション文書1を、アテステーション文書2で上書きしてもよい。At this time, the server device 100, which is the authentication server, may discard (delete) attestation document 1, which was linked to the user ID. For example, the server device 100, which is the authentication server, may overwrite attestation document 1, which was linked to the user ID, with attestation document 2.
これにより、セキュリティポリシーを変わっても、本人確認強度(レベル)を、セキュリティポリシーを満たすように柔軟に変えることができる。また、ユーザの認証処理(手順)を変えることなく、セキュリティポリシーに合わせた本人確認強度にすることができる。This means that even if the security policy changes, the identity verification strength (level) can be flexibly changed to meet the security policy. Furthermore, identity verification strength can be adjusted to match the security policy without changing the user authentication process (procedure).
このように、本実施形態では、認証サーバであるサーバ装置100は、アテステーション文書に基づいて認証器の信頼性を判断し、信頼できる認証器との間でFIDO認証を実施する。そのために、サーバ装置100は、アテステーション文書を保管し、アテステーション文書の認証強度を継続的に管理する。In this way, in this embodiment, the server device 100, which is the authentication server, determines the reliability of the authenticator based on the attestation document and performs FIDO authentication with the trusted authenticator. To do this, the server device 100 stores the attestation document and continuously manages the authentication strength of the attestation document.
例えば、サーバ装置100は、セキュリティ強化を決定した際に、既に保管しているアテステーション文書が認証強度を満たさない場合、認証強度を満たすアテステーションを再実施する。あるいは、サーバ装置100は、時間経過又は問題の発見により、認証器がセキュリティポリシーを満たさなくなった場合、アテステーションを再実施する。あるいは、サーバ装置100は、セキュリティポリシーの変更により、認証器がセキュリティポリシーを満たさなくなった場合、アテステーションを再実施する。For example, when the server device 100 decides to strengthen security and finds that the attestation document already stored does not meet the authentication strength, it will re-perform attestation to meet the authentication strength. Alternatively, the server device 100 will re-perform attestation if the authenticator no longer meets the security policy due to the passage of time or the discovery of a problem. Alternatively, the server device 100 will re-perform attestation if the authenticator no longer meets the security policy due to a change in the security policy.
また、サーバ装置100は、アテステーション文書の内容に基づいて、公開鍵の信頼性強度を決定する。サーバ装置100は、認証器の秘密鍵を用いた署名を、秘密鍵に対応する公開鍵で検証する。このとき、サーバ装置100は、公開鍵の信頼性強度を管理し、公開鍵の信頼性強度が低下した場合、公開鍵の変更を要求する。The server device 100 also determines the reliability of the public key based on the contents of the attestation document. The server device 100 verifies the signature created using the authenticator's private key with the public key corresponding to the private key. At this time, the server device 100 manages the reliability of the public key, and requests a change of the public key if the reliability of the public key decreases.
例えば、サーバ装置100は、時間経過により、公開鍵の信頼性強度が低下したと判断し、公開鍵の変更を要求する。あるいは、サーバ装置100は、公開鍵の有効期限が切れた場合、公開鍵の信頼性強度が低下したと判断し、公開鍵の変更を要求する。さらに、サーバ装置100は、公開鍵の信頼性強度がセキュリティポリシーを満たしていない場合、公開鍵の信頼性強度が低下したと判断し、公開鍵の変更を要求する。For example, the server device 100 may determine that the reliability of the public key has decreased over time and request that the public key be changed. Alternatively, if the public key has expired, the server device 100 may determine that the reliability of the public key has decreased and request that the public key be changed. Furthermore, if the reliability of the public key does not satisfy the security policy, the server device 100 may determine that the reliability of the public key has decreased and request that the public key be changed.
〔1-3.動的な秘密の質問作成〕
本人確認をする際の判断となる情報は事前に登録が必要で手間がかかる。また、登録がされてない限り、本人であると確認できない。[1-3. Creating dynamic secret questions]
The information used to verify identity must be registered in advance, which is time-consuming, and unless it is registered, it is not possible to verify the identity of the person.
そこで、本実施形態では、本人確認をするための「秘密の質問」(ユーザ本人固有の質問)を動的に生成する。例えば、ユーザの行動ログをもとにして、ユーザの「秘密の質問」を動的に作成する。Therefore, in this embodiment, "secret questions" (questions unique to the user) for identity verification are dynamically generated. For example, a user's "secret questions" are dynamically created based on the user's behavior log.
図9を参照して、動的な秘密の質問作成の実施例について説明する。図9は、動的な秘密の質問作成の実施例の概要を示す説明図である。An example of dynamic secret question creation will be described with reference to Figure 9. Figure 9 is an explanatory diagram showing an overview of an example of dynamic secret question creation.
図9に示すように、認証サーバであるサーバ装置100は、事前に、ユーザである利用者Uのログを分析し、質問の雛形を生成する(ステップS30)。As shown in Figure 9, the server device 100, which is the authentication server, analyzes the log of the user U in advance and generates a question template (step S30).
ユーザである利用者Uの端末装置10は、認証サーバであるサーバ装置100に対し、ユーザである利用者Uを示すユーザIDを含むアクセス要求を行う(ステップS31)。The terminal device 10 of the user U sends an access request including a user ID identifying the user U to the server device 100, which is the authentication server (step S31).
続いて、認証サーバであるサーバ装置100は、ユーザである利用者Uの端末装置10からのアクセス要求に応じて、ユーザである利用者Uに対する質問・回答を生成するとともに、認証画面(質問を含む)を生成する(ステップS32)。Next, the server device 100, which is the authentication server, generates questions and answers for the user U in response to an access request from the user U's terminal device 10, and also generates an authentication screen (including the questions) (step S32).
続いて、認証サーバであるサーバ装置100は、認証器としての端末装置10に対して、認証要求として、質問を含む認証画面を提供(表示)する(ステップS33)。Next, the server device 100, which is the authentication server, provides (displays) an authentication screen including a question as an authentication request to the terminal device 10, which is the authenticator (step S33).
続いて、ユーザである利用者Uは、認証器としての端末装置10に表示された認証画面に対して、認証画面に含まれる質問への回答を入力する(ステップS34)。Next, the user U enters answers to the questions included on the authentication screen displayed on the terminal device 10 acting as the authentication device (step S34).
続いて、認証器としての端末装置10は、認証サーバであるサーバ装置100からの認証要求に対する認証応答として、ユーザである利用者Uにより入力された回答を送信する(ステップS35)。Next, the terminal device 10, acting as the authenticator, transmits the answer entered by the user U as an authentication response to the authentication request from the server device 100, acting as the authentication server (step S35).
続いて、認証サーバであるサーバ装置100は、認証器としての端末装置10からの回答を検証し、認証結果に関する結果画面を生成する(ステップS36)。Next, the server device 100, which is the authentication server, verifies the response from the terminal device 10, which is the authenticator, and generates a results screen regarding the authentication result (step S36).
例えば、認証サーバであるサーバ装置100は、質問とともに作成した回答と、認証器としての端末装置10からの回答とを照合し、合致している場合に、成功と判断する。なお、完全一致に限らず、部分一致も可としてもよい。For example, the server device 100, which is the authentication server, compares the answer created along with the question with the answer from the terminal device 10, which is the authenticator, and determines the authentication successful if they match. Note that a perfect match is not required, and partial matches are also acceptable.
続いて、認証サーバであるサーバ装置100は、認証器としての端末装置10に対して、アクセス応答として、認証結果に関する結果画面や、要求画面を送信する(ステップS37)。Next, the server device 100, which is the authentication server, sends a result screen regarding the authentication result and a request screen as an access response to the terminal device 10, which is the authenticator (step S37).
〔1-3-1.ログ分析〕
本実施形態では、認証サーバであるサーバ装置100は、ユーザである利用者Uの行動ログの形式を特定する。[1-3-1. Log analysis]
In this embodiment, the server device 100, which is an authentication server, identifies the format of the action log of the user U, who is a user.
例えば、サーバ装置100は、利用者Uの商品購入やサービス利用の履歴である購入履歴を特定する。また、サーバ装置100は、SNSへの利用者Uの投稿の履歴である投稿履歴を特定する。また、サーバ装置100は、端末装置10の決済アプリを用いた電子決済の履歴である決済履歴を特定する。For example, the server device 100 identifies the purchase history, which is the history of product purchases and service usage by the user U. The server device 100 also identifies the posting history, which is the history of posts by the user U on SNS. The server device 100 also identifies the payment history, which is the history of electronic payments made using the payment app on the terminal device 10.
そして、認証サーバであるサーバ装置100は、形式が特定された行動ログの中から、質問項目の特定・抽出を行う。Then, the server device 100, which serves as the authentication server, identifies and extracts question items from the behavior log whose format has been identified.
例えば、サーバ装置100は、利用者Uの購入履歴から、日時、商品、価格、商品モデル/ブランド、商品の種類、購買店、複数の購買履歴からの頻度、パターン、よく買う店舗、周期等を、質問項目として特定・抽出する。For example, the server device 100 identifies and extracts, from user U's purchase history, the date and time, product, price, product model/brand, product type, purchase store, frequency, pattern, frequently purchased stores, and cycles from multiple purchase histories as question items.
また、サーバ装置100は、利用者UのSNSの投稿履歴から、日時、交信相手、投稿先、会話の内容等、複数の投稿からの頻度、パターン、よく会話する相手等を、質問項目として特定・抽出する。In addition, the server device 100 identifies and extracts question items from the user U's SNS posting history, such as the date and time, the person with whom they communicated, the posting destination, the content of the conversation, the frequency and patterns from multiple posts, and the people with whom they frequently converse.
また、サーバ装置100は、利用者Uの決済履歴から、日時、店舗、金額、複数の取引からの頻度、パターン、よく行く店舗等を、質問項目として特定・抽出する。In addition, the server device 100 identifies and extracts questions from user U's payment history, such as date and time, store, amount, frequency and pattern of multiple transactions, and frequently visited stores.
あるいは、認証サーバであるサーバ装置100は、所定のログ形式の検索ではなく、機械学習など統計的な分析手法によりデータ質問項目を特定してもよい。Alternatively, the server device 100, which is the authentication server, may identify data question items using statistical analysis methods such as machine learning, rather than searching in a predetermined log format.
また、認証サーバであるサーバ装置100は、上記事前に選ばれた質問項目に、統計的な分析手法により特定した質問項目を追加して、次回以降に利用してもよい。Furthermore, the server device 100, which is the authentication server, may add questions identified using statistical analysis techniques to the pre-selected questions and use them from the next time onwards.
〔1-3-2.質問作成〕
(1)質問対象ログの抽出
認証サーバであるサーバ装置100は、ユーザである利用者Uの行動ログのデータセットから、質問の対象となる1つのイベントを取り出す。例えば、サーバ装置100は、利用者Uの購入履歴から、「2022年1月14日午後3時15分、YショッピングのAAAストアから、商品BBBを1つ(価格5000円)を購入した。」というイベントを取り出す。[1-3-2. Creating questions]
(1) Extraction of Question Target Log The server device 100, which is an authentication server, extracts one event that is the subject of a question from the data set of the behavior log of the user U. For example, the server device 100 extracts an event from the purchase history of the user U, such as "At 3:15 PM on January 14, 2022, one item of product BBB (priced at 5,000 yen) was purchased from the AAA store of Y Shopping."
(2)質問テンプレートの作成
認証サーバであるサーバ装置100は、質問対象ログから質問項目(1つ以上)を決めた質問テンプレートを作成する。例えば、サーバ装置100は、購入日時(時刻)を質問項目として決定した場合、「時刻xxxx、YショッピングのAAAストアから、パソコンBBBを1つ(価格5000円)を購入した。」という質問テンプレートを作成する。(2) Creation of Question Template The server device 100, which is the authentication server, creates a question template in which one or more question items are determined from the question target log. For example, if the server device 100 determines the purchase date and time (time) as a question item, it creates a question template such as "At time xxxx, one PC BBB (priced at 5,000 yen) was purchased from the AAA store of Y Shopping."
(3)質問項目生成ポリシーの決定
認証サーバであるサーバ装置100は、質問項目を生成する上でのポリシー(質問項目生成ポリシー)を決定する。例えば、サーバ装置100は、質問項目生成ポリシーとして、フリーテキスト、あるいは、曖昧化した時間帯にした選択式にする等のポリシーを決定する。(3) Determination of Question Item Generation Policy The server device 100, which is the authentication server, determines a policy for generating questions (question item generation policy). For example, the server device 100 determines a policy for generating questions, such as free text or multiple-choice with vague time periods.
(4)質問と正解の生成
認証サーバであるサーバ装置100は、質問項目生成ポリシーに従って、質問と、その回答(正解)とを生成する。例えば、サーバ装置100は、「何時ごろ、Yショッピングで電化製品を書いましたか?」という質問と、回答の選択肢として「(a)1~4時、(b)4~7時、(c)7~10時」、正解として「(a)1~4時」を生成する。(4) Generation of Questions and Correct Answers The server device 100, which is an authentication server, generates questions and their answers (correct answers) in accordance with the question item generation policy. For example, the server device 100 generates the question "Around what time did you buy electrical appliances at Y Shopping?" with answer options "(a) 1:00 to 4:00, (b) 4:00 to 7:00, (c) 7:00 to 10:00" and the correct answer "(a) 1:00 to 4:00."
(5)その他
なお、認証サーバであるサーバ装置100は、質問にダミーのもの(ダミー質問)を入れてもよい。例えば、サーバ装置100は、ユーザである利用者Uの行動ログに基づいておらず、利用者Uが回答できない質問(無回答が正解)を生成してもよい。この場合、全ての質問の回答の選択肢に、「正解なし」や「スキップ」を設定してもよい。また、フリーテキストでの回答入力の場合、未入力(空欄)の回答を受け付けるようにしてもよい。ダミーの作成にも様々な方法が考えられる。(5) Others The server device 100, which is the authentication server, may include dummy questions (dummy questions). For example, the server device 100 may generate questions that are not based on the behavior log of the user U and that the user U cannot answer (no answer is the correct answer). In this case, the answer options for all questions may be set to "no correct answer" or "skip." Furthermore, when answers are entered as free text, an answer that is not entered (left blank) may be accepted. Various methods are conceivable for creating dummies.
また、認証サーバであるサーバ装置100は、サービスごとではなく、複数のサービスをまたぐログを活用して質問を作成するようにしてもよい。これにより、単体の質問で攻撃されないようにセキュリティを強化できる。Furthermore, the server device 100, which is the authentication server, may create questions using logs spanning multiple services, rather than for each service. This strengthens security to prevent attacks using a single question.
また、認証サーバであるサーバ装置100は、プライバシー対策として、匿名性(K-匿名性などの評価尺度)を加味した質問を生成してもよい。例えば、位置情報を曖昧化してもよい。Furthermore, the authentication server, server device 100, may generate questions that take into account anonymity (using an evaluation scale such as K-anonymity) as a privacy measure. For example, location information may be obscured.
また、認証サーバであるサーバ装置100は、質問項目を1つに限らず、2つ以上にすると好ましい。すなわち、質問項目が限定的でなければよい。Furthermore, it is preferable that the server device 100, which is the authentication server, does not limit the number of questions to one, but two or more. In other words, it is sufficient that the number of questions is not limited.
このように、本実施形態では、サーバ装置100は、ユーザの行動ログに基づいて、本人確認をするための秘密の質問と正解とを動的に生成する。そして、サーバ装置100は、秘密の質問に対するユーザの回答と正解とを照合し、本人確認する。In this way, in this embodiment, the server device 100 dynamically generates secret questions and correct answers for identity verification based on the user's behavior log. The server device 100 then verifies the user's identity by comparing the user's answers to the secret questions with the correct answers.
例えば、サーバ装置100は、行動ログの形式を特定し、行動ログから質問項目の特定及び抽出を行う。あるいは、サーバ装置100は、機械学習を用いた統計的な分析手法により質問項目を特定する。For example, the server device 100 identifies the format of the behavior log and identifies and extracts questions from the behavior log. Alternatively, the server device 100 identifies questions using a statistical analysis method using machine learning.
また、サーバ装置100は、ユーザの複数の行動ログのうち質問対象ログを抽出し、質問対象ログから1以上の質問項目を決めた質問テンプレートを作成し、質問項目生成ポリシーを決定し、質問項目生成ポリシーに基づいて質問と正解を生成する。The server device 100 also extracts question target logs from the user's multiple behavior logs, creates a question template that determines one or more question items from the question target log, determines a question item generation policy, and generates questions and correct answers based on the question item generation policy.
このとき、サーバ装置100は、秘密の質問とともに、ダミーの質問を生成し、秘密の質問とともに、ダミーの質問をユーザに提示するようにしてもよい。また、サーバ装置100は、正解とともに、ダミーの回答を生成し、正解とともにダミーの回答を選択肢としてユーザに提示し、ユーザに選択させるようにしてもよい。At this time, the server device 100 may generate a dummy question along with the secret question and present the dummy question to the user along with the secret question. Alternatively, the server device 100 may generate a dummy answer along with the correct answer and present the dummy answer along with the correct answer as a choice to the user, allowing the user to select one.
なお、サーバ装置100は、ユーザの複数の行動ログに基づいて1つの質問を生成するようにしてもよい。The server device 100 may also generate a single question based on multiple user behavior logs.
また、サーバ装置100は、秘密の質問に対するユーザの回答として、ユーザの行動に関連してユーザが入手した文書又は画像のデータを入力させるようにしてもよい。The server device 100 may also require the user to enter document or image data obtained by the user in connection with their actions as the user's answer to the secret question.
例えば、サーバ装置100は、入力された文書又は画像のデータに基づくハッシュ値と、正解としてあらかじめ保管しているハッシュ値とを照合し、本人確認する。このとき、サーバ装置100は、秘密の質問に対するユーザの回答として、ユーザの複数の行動のそれぞれに関連してユーザが入手した複数の文書又は画像のデータを入力させ、複数の文書又は画像のデータに基づくハッシュ値と、正解としてあらかじめ保管しているハッシュ値とを照合し、本人確認する。For example, the server device 100 verifies the identity of the user by comparing a hash value based on the input document or image data with a hash value previously stored as the correct answer. At this time, the server device 100 has the user input multiple documents or image data obtained by the user in connection with each of the user's multiple actions as the user's answer to a secret question, and then verifies the identity of the user by comparing a hash value based on the multiple documents or image data with a hash value previously stored as the correct answer.
あるいは、サーバ装置100は、入力された文書又は画像のデータと、正解としてあらかじめ保管している文書又は画像のデータとを照合し、本人確認する。あるいは、サーバ装置100は、入力された文書又は画像のデータの特徴と、正解としてあらかじめ保管している特徴とを照合し、本人確認する。Alternatively, the server device 100 verifies the identity of the person by comparing the input document or image data with document or image data that has been previously stored as the correct answer.Alternatively, the server device 100 verifies the identity of the person by comparing the characteristics of the input document or image data with characteristics that have been previously stored as the correct answer.
このとき、サーバ装置100は、秘密の質問に対するユーザの回答として、ユーザの購買行動に関連してユーザが入手したメール(注文内容確認メール、商品発送の連絡メール)のデータを入力させるようにしてもよい。例えば、サーバ装置100は、ユーザが行った複数の購買行動に関連する各メールの内容(文面)の組合せと、あらかじめ登録された正解データとを照合することで、本人確認することが可能になる。照合は、データ自体であってもよいし、ハッシュ値であってもよい。さらに、複数の購買行動に関連する各メールの内容(文面)と、それぞれの購入日時(又はメール受信日時)とを組み合わせてもよい。 At this time, the server device 100 may require the user to input data from emails (order confirmation emails, product shipping notification emails) received by the user in connection with the user's purchasing behavior as the user's answer to the secret question. For example, the server device 100 may verify the user's identity by comparing a combination of the content (text) of each email related to the user's multiple purchasing behaviors with pre-registered correct answer data.The comparison may be performed using the data itself or a hash value. Furthermore, the content (text) of each email related to the multiple purchasing behaviors may be combined with the respective purchase dates and times (or email reception dates and times).
〔1-4.本人確認判定〕
認証サーバであるサーバ装置100は、本人確認(Identity proofing)において、ユーザが本人かどうかを確認する場合、本人があらかじめ登録した属性情報と、入力された属性情報が一致することの確認することによって、ユーザ本人とみなす。なお、(当人)認証に失敗してアカウントにアクセスできなくなった時には、アカウントリカバリーを行う。[1-4. Identity Verification Judgment]
When verifying whether a user is the real person during identity proofing, the server device 100, which is an authentication server, determines that the user is the real person by verifying that the attribute information entered matches the attribute information previously registered by the user. If the user fails to authenticate and is unable to access their account, the server device 100 performs account recovery.
現状のアカウントリカバリーでは、リカバリー画面において本人確認を受ける際に、本人の属性情報を始め、いくつかの質問項目を回答する形式となっている場合がある。質問項目には、住所など一般的な質問がある一方で、決済アプリ連携やメンバーカード(自社発行のクレジットカード)の保有に関する質問など特別な質問もある。また、「秘密の質問」などの本人確認方法を採用していることもある。Current account recovery methods may require users to answer a number of questions, including personal attribute information, when verifying their identity on the recovery screen. These questions include general questions such as address, but also specific questions such as those regarding payment app integration and ownership of a member card (a company-issued credit card). Identity verification methods such as "secret questions" may also be used.
しかし、従来の「秘密の質問」などの本人確認方法は、質問が固定的であるため、質問に対する正解を予想したり調べたりするなどして攻撃対象となる可能性がある。However, traditional identity verification methods such as "secret questions" use fixed questions, which means they can be vulnerable to attacks where thieves predict or look up the correct answers to the questions.
そこで、本実施形態では、非固定的でプライバシー保護を考慮にいれた「秘密の質問」を動的に作成し、安全に本人確認を実現する。例えば、「秘密の質問」の入力を促す画面を動的に作成する。In this embodiment, therefore, non-fixed "secret questions" that take privacy protection into consideration are dynamically created to enable secure identity verification. For example, a screen prompting the user to enter a "secret question" is dynamically created.
本実施形態では、認証サーバであるサーバ装置100は、認証機能と、本人確認判定機能と、本人確認画面生成機能とを有する。サーバ装置100は、確認属性を一通り表示するが、毎回違うものが出たり、ダミー質問を入れたりする。In this embodiment, the server device 100, which is the authentication server, has an authentication function, an identity verification determination function, and an identity verification screen generation function. The server device 100 displays a set of verification attributes, but different ones may be displayed each time, and dummy questions may be inserted.
〔1-4-1.本人確認判定ロジック〕
本実施形態では、認証サーバであるサーバ装置100は、本人確認判定ロジックとして、下記の式(3)、式(4)を用いる。[1-4-1. Identity verification judgment logic]
In this embodiment, the server device 100, which is an authentication server, uses the following formulas (3) and (4) as identity verification determination logic.
ここで、重みWについて、W={w1,w2,…,wn}とし、w1+w2+…+wn=1とする。また、f_An(x)は、属性Anの判定関数であり、xの確度を返す。判定関数f(A)の値が、所定の閾値よりも大きければ本人とみなす。なお、a1,a2,…が空であってもよい。また、a1とa2が独立ではなければf(a1,a2)としてよい。また、ダミーの質問に含まれるAnに該当する重みはwn=0とする。 Here, the weight W is set as W = {w1 ,w2 , ...,wn }, wherew1 +w2 + ... +wn = 1. Furthermore,f_An (x) is a judgment function for attributeAn , and returns the accuracy of x. If the value of the judgment function f(A) is greater than a predetermined threshold, the person is deemed to be the correct person. Note thata1 ,a2 , ... may be null. Furthermore, ifa1 anda2 are not independent, f(a1 ,a2 ) may be used. Furthermore, the weight corresponding toAn included in the dummy question is set aswn = 0.
本人確認のための属性入力画面が変わっても、対応する上記の判定関数を調整するだけで本人確認判定が可能、柔軟に対応できる。Even if the attribute input screen for identity verification changes, identity verification can be performed simply by adjusting the corresponding judgment function above, allowing for flexible response.
〔1-4-2.画面作成ロジック〕
本実施形態では、認証サーバであるサーバ装置100は、C:「動的な秘密の質問作成」のログ生成ロジックを使って、所定のログ形式(ショッピング、オークション等)から複数の質問テンプレートを作成する。例えば、サーバ装置100は、「Yショッピングで、何時ごろ、電化製品を書いましたか?」等の質問テンプレートを作成する。[1-4-2. Screen creation logic]
In this embodiment, the server device 100, which is an authentication server, uses the log generation logic C: "Dynamic secret question generation" to create multiple question templates from a predetermined log format (shopping, auction, etc.). For example, the server device 100 creates a question template such as "At what time did you purchase electrical appliances at Y Shopping?"
これにより、統一的な共通画面で、多様な属性情報を質問項目に入れ、本人確認を実現できる。また、共通の画面なので、人によって異なる属性情報が現れることにより、登録属性を推測されるなどのプライバシー漏洩を防止できる。This allows users to enter a variety of attribute information into questions on a unified, common screen, enabling identity verification. Furthermore, because it is a common screen, different attribute information appears for each person, preventing privacy leaks such as people guessing registered attributes.
なお、認証サーバであるサーバ装置100は、必ず含める静的な質問に加えて実施する付加的な質問については、積極的に質問する属性情報を変化させる。この場合も、判定関数を調整すればよい。ただし、本人確認試行(セッション)ごとに判定関数を登録する。例えば、ID、時間帯、コンテキストによって変える。あるいは、ランダムにする。また、ダミー質問を適度に入れる。The authentication server, server device 100, actively changes the attribute information asked for additional questions in addition to the static questions that are always included. In this case, the judgment function can be adjusted. However, a judgment function is registered for each identity verification attempt (session). For example, it can be changed depending on the ID, time of day, or context. Alternatively, it can be random. Dummy questions can also be included appropriately.
また、認証サーバであるサーバ装置100は、画面をステップにしてもよい(multi-step proofing)。例えば、ある質問に答えられて、初めて次の所定の質問が見れるようにする。Furthermore, the server device 100, which is the authentication server, may display the screen in steps (multi-step proofing). For example, once a certain question has been answered, the next predetermined question can only be viewed.
〔1-4-3.秘密の質問の回答としての行動ログ自体の利用〕
本実施形態では、認証サーバであるサーバ装置100は、事前に秘密の「行動履歴(文書)」を登録し、本人確認の質問に使用する。このとき、サーバ装置100は、IDと紐づけて種類と行動履歴(文書)を登録する。[1-4-3. Using the behavior log itself as the answer to the secret question]
In this embodiment, the server device 100, which is an authentication server, registers a secret "behavioral history (document)" in advance and uses it for identity verification questions. At this time, the server device 100 registers the type and behavioral history (document) in association with the ID.
(1)登録時
サーバ装置100は、本人確認の質問に使う行動履歴(文書)を分類して種類を特定し、登録する。例えば、サーバ装置100は、行動履歴(文書)の種類を「Yショッピングでのかばんの購買」と分類して登録する。(1) At the time of registration: The server device 100 classifies the behavioral history (document) used for the identity verification question, identifies the type, and registers it. For example, the server device 100 classifies the type of behavioral history (document) as "purchase of a bag at Y Shopping" and registers it.
また、サーバ装置100は、行動履歴(文書)として、例えば「Yショッピングでの購買結果(メール)」を登録する。これ自体(購買結果のメール内容)をユーザにフリーテキストで作らせてもよい。The server device 100 also registers, for example, "Purchase results (email) from Y Shopping" as a behavioral history (document). The user may be allowed to create this (the content of the email containing the purchase results) using free text.
(2)本人確認時
サーバ装置100は、本人確認時に、IDに紐づけられた種類とダミー種類とを入れた選択肢を作成し、リストで表示し、ユーザに選択させる。例えば、サーバ装置100は、ユーザに上記選択した「種類」に対応した「行動履歴(文書)」の入力を求める。(2) When verifying identity: When verifying identity, the server device 100 creates a list of options including the type associated with the ID and a dummy type, displays the list, and allows the user to select. For example, the server device 100 requests the user to input a "behavioral history (document)" corresponding to the selected "type."
なお、種類だけではなく、行動履歴(文書)についても、サーバ装置100は、本人確認時に、IDに紐づけられた行動履歴(文書)とダミー行動履歴(文書)とを入れた選択肢を作成し、リストで表示し、ユーザに選択させるようにしてもよい。In addition to the type, the server device 100 may also create options for the behavioral history (document) as well, including the behavioral history (document) linked to the ID and a dummy behavioral history (document), display them in a list, and allow the user to select from them when verifying the user's identity.
そして、サーバ装置100は、行動履歴(文書)のハッシュ値を照合するなどして、行動履歴(文書)の真正性を確認する。例えば、サーバ装置100は、ユーザに入力(又は選択)された複数の行動履歴(文書)の内容から1つのハッシュ値を求め、あらかじめ登録されたハッシュ値(正解データ)と照合して、これらの行動履歴(文書)の真正性を確認するとともに、ユーザの本人性を確認する。The server device 100 then verifies the authenticity of the behavioral history (documents) by, for example, comparing the hash values of the behavioral history (documents). For example, the server device 100 calculates a single hash value from the contents of multiple behavioral histories (documents) entered (or selected) by the user, and compares it with a pre-registered hash value (correct data) to verify the authenticity of these behavioral histories (documents) and confirm the user's identity.
また、サーバ装置100は、アカウントリカバリー等で本人確認をする際に、事業者が提供するPIM(Product Information Management(商品情報管理))系、メディア系、生活ツール系、金融系なども対象に質問を生成してもよい。特に、コマース、決済のユーザがARPU(Average Revenue Per User)が高いユーザであるため、アカウントリカバリーをさせる優先度が高い。In addition, when verifying identity for account recovery, etc., the server device 100 may generate questions targeting PIM (Product Information Management), media, lifestyle tools, finance, and other systems provided by businesses. In particular, commerce and payment users have a high ARPU (Average Revenue Per User), so account recovery is given a high priority.
また、サーバ装置100は、ニュースのコメントやQAサービスを利用するユーザの優先度を高めてもよい。The server device 100 may also give higher priority to users who use news comments or Q&A services.
また、メッセージアプリなども含め一般的なSNSのユーザは、日常生活の行動や写真などパーソナルデータを預けているので、リカバリーの優先度がやはり高い。また、メールサービス等、通信の秘密という個人情報も絡む部分でライフラインになっている各種サービスのユーザについてもリカバリーの必要性は高い。サーバ装置100は、これらのユーザの優先度を高めてもよい。In addition, users of general SNS, including messaging apps, store personal data such as their daily activities and photos, so recovery is also a high priority. Recovery is also highly necessary for users of various services that are lifelines, such as email services, which involve personal information such as confidentiality of communications. The server device 100 may assign higher priority to these users.
例えば、メールやカレンダーなどのPIMサービスにおいては、メールアドレスを登録して送受信している他社サービス名や、よく受信する旅行やコマースなどのカテゴリ名、そのサービスの予約や購買など、メールチームが件名や文面の解析結果を本願実施形態で説明した技術に適用することができる。For example, in PIM services such as email and calendars, the email team can apply the results of analysis of subject lines and text to the technology described in the embodiments of this application, such as the names of other companies' services for which email addresses are registered and used to send and receive emails, the names of categories such as travel and commerce that are frequently received, and reservations and purchases for those services.
また、ユーザがフォローしているニュースのテーマやよく閲覧するコンテンツのカテゴリ等の解析結果を、本願実施形態で説明した技術に適用することができる。また、これら以外にも、天気、自宅の位置情報、最寄り駅、経路・乗車履歴、ナビゲーションサービスの目的地等、各種サービスの履歴の解析結果を、本願実施形態で説明した技術に適用することができる。また、証券口座情報や取り扱っている株式や投資信託、銀行口座やカード請求関連情報なども質問に活用できる。In addition, analysis results such as the news topics a user follows and the categories of frequently viewed content can be applied to the technology described in the embodiments of the present application. In addition to these, analysis results of various service histories such as weather, home location information, nearest stations, route and ride history, and navigation service destinations can also be applied to the technology described in the embodiments of the present application. Furthermore, securities account information, stocks and investment trusts handled, bank account and card billing-related information, etc. can also be used in questions.
〔1-5.アカウントリカバリーの権限委譲〕
本実施形態では、認証サーバであるサーバ装置100は、ユーザから、そのユーザの行動に対して責任ある立場の者へアカウントリカバリーの権限委譲(権限委任)を許容してもよい。例えば、子供(認証対象者、権限委譲者)の端末装置のアカウントリカバリーを実施する際に、アカウントリカバリーの権限をその子供の親(被権限委譲者)に委譲することを許可してもよい。[1-5. Delegation of Account Recovery Authority]
In this embodiment, the server device 100, which is an authentication server, may allow a user to transfer authority for account recovery to a person who is responsible for the user's actions. For example, when performing account recovery for a terminal device of a child (authentication target, authority delegator), the authority for account recovery may be allowed to be delegated to the child's parent (authority delegatee).
図10を参照して、子供から親へのアカウントリカバリーの権限委譲の実施例について説明する。図10は、子供から親へのアカウントリカバリーの権限委譲の実施例の概要を示す説明図である。Referring to Figure 10, an example of delegating account recovery authority from a child to a parent will be described. Figure 10 is an explanatory diagram showing an overview of an example of delegating account recovery authority from a child to a parent.
図10に示すように、子供である利用者U(U1)は、認証サーバであるサーバ装置100に対して、リカバリー協力者として、親である他の利用者U(U2)のアカウントを登録する(ステップS40)。As shown in FIG. 10, a child user U (U1) registers the account of another parent user U (U2) as a recovery collaborator with the authentication server, server device 100 (step S40).
例えば、子供である利用者U(U1)の端末装置10(10A)は、認証サーバであるサーバ装置100に対して、リカバリー協力者として、子供である利用者U(U1)を示す子IDとともに、親である他の利用者U(U2)を示す親IDを送信する。認証サーバであるサーバ装置100は、子供を示す子IDと、親を示す親IDとを紐づけて登録する。これにより、認証サーバであるサーバ装置100は、親である他の利用者U(U2)のFIDO認証が可能となる。For example, the terminal device 10 (10A) of a child user U (U1) sends a child ID indicating the child user U (U1) and a parent ID indicating another parent user U (U2) as a recovery collaborator to the authentication server, server device 100. The authentication server, server device 100, links and registers the child ID indicating the child and the parent ID indicating the parent. This enables the authentication server, server device 100, to perform FIDO authentication of the other parent user U (U2).
このとき、認証サーバであるサーバ装置100は、子供である利用者U(U1)が親である他の利用者U(U2)から許可を受けたことを証明できた場合にのみ、リカバリー協力者として、親である他の利用者U(U2)のアカウントを登録できるようにしてもよい。例えば、サーバ装置100は、親である他の利用者U(U2)の端末装置10(10B)と通信し、親である他の利用者U(U2)の同意を求めてもよい。あるいは、子供である利用者U(U1)が端末装置10同士の近距離無線通信で、親である他の利用者U(U2)から許可を受けてから登録を要求するようにしてもよい。In this case, the server device 100, which is an authentication server, may register the account of the other parent user U (U2) as a recovery collaborator only if the child user U (U1) can prove that he or she has received permission from the other parent user U (U2). For example, the server device 100 may communicate with the terminal device 10 (10B) of the other parent user U (U2) to request the consent of the other parent user U (U2). Alternatively, the child user U (U1) may request registration only after receiving permission from the other parent user U (U2) via short-range wireless communication between the terminal devices 10.
また、認証サーバであるサーバ装置100は、親である他の利用者U(U2)が既知のユーザ(登録済みのユーザ)である場合には、子供を示す子IDと、親を示す親IDとを紐づけて登録するだけでよいが、親である他の利用者U(U2)が未知のユーザ(未登録のユーザ)である場合には、親である他の利用者U(U2)の端末装置10(10B)に対して、登録(ユーザ登録、認証器の登録)を要求してもよい。Furthermore, if the other parent user U (U2) is a known user (a registered user), the server device 100, which is the authentication server, only needs to link and register the child ID indicating the child with the parent ID indicating the parent. However, if the other parent user U (U2) is an unknown user (an unregistered user), the server device 100 may request registration (user registration, authenticator registration) from the terminal device 10 (10B) of the other parent user U (U2).
続いて、子供である利用者U(U1)の端末装置10(10A)は、アカウントリカバリーが必要になった場合、認証サーバであるサーバ装置100に対して、リカバリー要求(子ID、親ID)を送信する(ステップS41)。Next, when account recovery becomes necessary, the terminal device 10 (10A) of the child user U (U1) sends a recovery request (child ID, parent ID) to the server device 100, which is the authentication server (step S41).
例えば、子供である利用者U(U1)の端末装置10(10A)は、アカウントリカバリーが必要になった場合、子供である利用者U(U1)の操作に応じて、あるいは自動的に、認証サーバであるサーバ装置100に対して、リカバリー要求(子ID、親ID)を送信する。親IDは、アカウントリカバリーの権限の委譲先を示す。なお、認証サーバであるサーバ装置100側で、子IDと親IDとが1対1で対応付けられて保管されている場合、リカバリー要求として、子IDのみ送信するようにしてもよい。For example, when account recovery becomes necessary, the terminal device 10 (10A) of the child user U (U1) sends a recovery request (child ID, parent ID) to the server device 100, which is the authentication server, either automatically or in response to an operation by the child user U (U1). The parent ID indicates the party to whom the authority for account recovery will be delegated. Note that if the child ID and parent ID are stored in one-to-one correspondence on the server device 100, which is the authentication server, only the child ID may be sent as the recovery request.
続いて、認証サーバであるサーバ装置100は、子供である利用者U(U1)の端末装置10からのリカバリー要求に応じて、チャレンジを生成する(ステップS42)。Next, the server device 100, which is the authentication server, generates a challenge in response to a recovery request from the terminal device 10 of the child user U (U1) (step S42).
続いて、認証サーバであるサーバ装置100は、子供である利用者U(U1)の端末装置10(10A)に対して、チャレンジと親IDとを含むリカバリー許可要求を送信する(ステップS43)。Next, the server device 100, which is the authentication server, sends a recovery permission request including the challenge and parent ID to the terminal device 10 (10A) of the child user U (U1) (step S43).
続いて、子供である利用者U(U1)の端末装置10(10A)は、親である他の利用者U(U2)の端末装置10(10B)に対して、サーバ装置100からのリカバリー許可要求を送信(転送)する(ステップS44)。Next, the terminal device 10 (10A) of the child user U (U1) transmits (transfers) a recovery permission request from the server device 100 to the terminal device 10 (10B) of another parent user U (U2) (step S44).
本実施形態では、親は子供の近くにいるものとする。例えば、子供である利用者U(U1)がBLE(Bluetooth(登録商標) Low Energy)など端末装置10同士の近距離無線通信で、親である他の利用者U(U2)に対して、サーバ装置100からのリカバリー許可要求を送信してもよい。In this embodiment, the parent is assumed to be near the child. For example, a child user U (U1) may send a recovery permission request from the server device 100 to another parent user U (U2) using short-range wireless communication between terminal devices 10, such as BLE (Bluetooth (registered trademark) Low Energy).
続いて、親である他の利用者U(U2)の端末装置10(10B)は、FIDO認証(認証器を用いてユーザ検証)を行い、サーバ装置100からのリカバリー許可要求に対する承認として、秘密鍵を用いてチャレンジに署名する(ステップS45)。Next, the terminal device 10 (10B) of the other parent user U (U2) performs FIDO authentication (user verification using an authenticator) and signs the challenge using its private key as approval for the recovery permission request from the server device 100 (step S45).
続いて、親である他の利用者U(U2)の端末装置10(10B)は、子供である利用者U(U1)の端末装置10(10A)に対して、リカバリー許可要求に対する応答として、署名付きチャレンジを含むリカバリー許可応答を送信する(ステップS46)。Next, the terminal device 10 (10B) of the other parent user U (U2) sends a recovery permission response including a signed challenge to the terminal device 10 (10A) of the child user U (U1) in response to the recovery permission request (step S46).
続いて、子供である利用者U(U1)の端末装置10(10A)は、認証サーバであるサーバ装置100に対して、親である他の利用者U(U2)の端末装置10(10B)からのリカバリー許可応答(署名付きチャレンジ)を送信(転送)する(ステップS47)。Next, the terminal device 10 (10A) of the child user U (U1) transmits (transfers) the recovery permission response (signed challenge) from the terminal device 10 (10B) of another parent user U (U2) to the server device 100, which is the authentication server (step S47).
続いて、認証サーバであるサーバ装置100は、子供である利用者U(U1)の端末装置10(10A)からのリカバリー許可応答(署名付きチャレンジ)に応じて、公開鍵を用いて署名を検証し、リカバリー協力者を確認する(ステップS48)。Next, the authentication server, server device 100, verifies the signature using the public key in response to the recovery permission response (signed challenge) from the terminal device 10 (10A) of child user U (U1) and confirms the recovery collaborator (step S48).
続いて、認証サーバであるサーバ装置100は、署名の検証に成功し、親である他の利用者U(U2)がリカバリー協力者であることを確認できた場合、リカバリー制御を行う(ステップS49)。Next, if the authentication server device 100 successfully verifies the signature and confirms that the other parent user U (U2) is a recovery collaborator, it performs recovery control (step S49).
続いて、認証サーバであるサーバ装置100は、リカバリー要求をした子供である利用者U(U1)の端末装置10(10A)に対して、リカバリー制御に基づくリカバリー応答を送信する(ステップS50)。これにより、サーバ装置100は、子供である利用者U(U1)の端末装置10(10A)のアカウントリカバリーを実施する。Next, the server device 100, which is the authentication server, sends a recovery response based on recovery control to the terminal device 10 (10A) of the child user U (U1) who made the recovery request (step S50). This causes the server device 100 to perform account recovery for the terminal device 10 (10A) of the child user U (U1).
なお、子供から親へのアカウントリカバリーの権限委譲は一例に過ぎない。実際には、企業等の従業員からその上司又はシステム管理者等へのアカウントリカバリーの権限委譲であってもよい。また、利用者Uに対して端末装置10を貸与している者へのアカウントリカバリーの権限委譲であってもよい。すなわち、認証対象者である権限委譲者から被権限委譲者へのアカウントリカバリーの権限委譲であればよい。Note that delegation of account recovery authority from a child to a parent is merely one example. In reality, account recovery authority may be delegated from an employee of a company to their superior or a system administrator. Account recovery authority may also be delegated to a person who loans the terminal device 10 to user U. In other words, it is sufficient that account recovery authority be delegated from an authority delegator, who is the person to be authenticated, to an authority delegatee.
また、子供である利用者U(U1)の端末装置10(10A)をFIDOクライアントとし、親である他の利用者U(U2)の端末装置10(10B)を認証器としてもよい。すなわち、FIDOクライアントを使用するユーザと、認証器によりユーザ検証されるユーザとは別人であってもよい。Also, the terminal device 10 (10A) of a child user U (U1) may be the FIDO client, and the terminal device 10 (10B) of another parent user U (U2) may be the authenticator. In other words, the user who uses the FIDO client and the user who is verified by the authenticator may be different people.
このように、本実施形態では、サーバ装置100は、認証対象者と、認証対象者が指定した被権限委譲者との情報を管理する。そして、サーバ装置100は、認証対象者からのアカウントリカバリーの要求に対して、被権限委譲者の承認で認証対象者のアカウントリカバリーを実施する。このとき、サーバ装置100は、認証対象者からリカバリー協力者として被権限委譲者のアカウントの登録を受け付け、認証対象者のアカウントと被権限委譲者のアカウントとを紐づけて管理する。In this manner, in this embodiment, the server device 100 manages information about the person to be authenticated and the person designated by the person to be authenticated as a delegatee. In response to a request for account recovery from the person to be authenticated, the server device 100 recovers the account of the person to be authenticated with the authorization transferee's approval. At this time, the server device 100 accepts registration of the account of the person to be authenticated as a recovery collaborator from the person to be authenticated, and manages the account of the person to be authenticated and the account of the person to be authenticated as linked.
例えば、サーバ装置100は、認証対象者の端末装置からのリカバリー要求に応じて、認証対象者の端末装置を介して被権限委譲者の端末装置にチャレンジを含むリカバリー許可要求を送信する。なお、認証対象者の端末装置と被権限委譲者の端末装置との間では近距離無線通信でデータの送受信が行われる。その結果、サーバ装置100は、リカバリー許可要求に対する応答として、認証対象者の端末装置を介して被権限委譲者の端末装置から署名付きチャレンジを含むリカバリー許可応答を受信する。そして、サーバ装置100は、署名の検証に成功した場合、認証対象者のアカウントリカバリーを実施する。For example, in response to a recovery request from the terminal device of the person to be authenticated, the server device 100 transmits a recovery authorization request including a challenge to the terminal device of the grantee via the terminal device of the person to be authenticated. Note that data is exchanged between the terminal device of the person to be authenticated and the terminal device of the grantee via short-range wireless communication. As a result, the server device 100 receives a recovery authorization response including a signed challenge from the terminal device of the grantee via the terminal device of the person to be authenticated in response to the recovery authorization request. Then, if the signature verification is successful, the server device 100 performs account recovery for the person to be authenticated.
このとき、サーバ装置100は、被権限委譲者がリカバリー許可要求に対する承認としてチャレンジに署名して生成した署名付きチャレンジを含むリカバリー許可応答を受信する。そして、サーバ装置100は、署名の検証に成功した場合、被権限委譲者がリカバリー協力者であることを確認し、認証対象者のアカウントリカバリーを実施する。At this time, the server device 100 receives a recovery authorization response including a signed challenge generated by the grantee signing the challenge as approval for the recovery authorization request. If the server device 100 successfully verifies the signature, it confirms that the grantee is a recovery collaborator and performs account recovery for the person to be authenticated.
例えば、サーバ装置100は、認証対象者である子供と、被権限委譲者である親との情報を管理する。そして、サーバ装置100は、子供からのアカウントリカバリーの要求に対して、親の承認で子供のアカウントリカバリーを実施する。このとき、サーバ装置100は、親に対してFIDO認証を実施する。For example, the server device 100 manages information on children who are the subject of authentication and parents who are the recipients of authority. In response to a request for account recovery from a child, the server device 100 recovers the child's account with the parent's approval. At this time, the server device 100 performs FIDO authentication on the parent.
〔2.情報処理システムの構成例〕
次に、図11を用いて、実施形態に係るサーバ装置100が含まれる情報処理システム1の構成について説明する。図11は、実施形態に係る情報処理システム1の構成例を示す図である。図11に示すように、実施形態に係る情報処理システム1は、端末装置10とサーバ装置100とを含む。これらの各種装置は、ネットワークNを介して、有線又は無線により通信可能に接続される。ネットワークNは、例えば、LAN(Local Area Network)や、インターネット等のWAN(Wide Area Network)である。[2. Example of information processing system configuration]
Next, the configuration of an information processing system 1 including a server device 100 according to an embodiment will be described with reference to Fig. 11 . Fig. 11 is a diagram showing an example of the configuration of the information processing system 1 according to an embodiment. As shown in Fig. 11 , the information processing system 1 according to an embodiment includes a terminal device 10 and a server device 100. These various devices are connected to each other via a network N so as to be able to communicate with each other via a wired or wireless connection. The network N is, for example, a local area network (LAN) or a wide area network (WAN) such as the Internet.
また、図11に示す情報処理システム1に含まれる各装置の数は図示したものに限られない。例えば、図11では、図示の簡略化のため、端末装置10を1台のみ示したが、これはあくまでも例示であって限定されるものではなく、2台以上であってもよい。Furthermore, the number of devices included in the information processing system 1 shown in Figure 11 is not limited to that shown. For example, in Figure 11, only one terminal device 10 is shown to simplify the illustration, but this is merely an example and is not limiting; two or more devices may be included.
端末装置10は、利用者Uによって使用される情報処理装置である。例えば、端末装置10は、スマートフォンやタブレット端末等のスマートデバイス、フィーチャーフォン、PC(Personal Computer)、PDA(Personal Digital Assistant)、通信機能を備えたゲーム機やAV機器、カーナビゲーションシステム、スマートウォッチやヘッドマウントディスプレイ等のウェアラブルデバイス(Wearable Device)、スマートグラス等である。The terminal device 10 is an information processing device used by the user U. For example, the terminal device 10 may be a smart device such as a smartphone or tablet, a feature phone, a PC (Personal Computer), a PDA (Personal Digital Assistant), a game console or AV equipment with communication functions, a car navigation system, a wearable device such as a smart watch or a head-mounted display, or smart glasses.
また、かかる端末装置10は、LTE(Long Term Evolution)、4G(4th Generation)、5G(5th Generation:第5世代移動通信システム)等の無線通信網や、Bluetooth(登録商標)、無線LAN(Local Area Network)等の近距離無線通信を介してネットワークNに接続し、サーバ装置100と通信することができる。Furthermore, such terminal device 10 can connect to network N via a wireless communication network such as LTE (Long Term Evolution), 4G (4th Generation), or 5G (5th Generation: fifth generation mobile communication system), or via short-range wireless communication such as Bluetooth (registered trademark) or wireless LAN (Local Area Network), and communicate with server device 100.
サーバ装置100は、例えばPCやブレードサーバ(blade server)等のコンピュータ、あるいはメインフレーム又はワークステーション等である。なお、サーバ装置100は、クラウドコンピューティングにより実現されてもよい。The server device 100 is, for example, a computer such as a PC or a blade server, or a mainframe or workstation. The server device 100 may also be implemented using cloud computing.
〔3.端末装置の構成例〕
次に、図12を用いて、端末装置10の構成について説明する。図12は、端末装置10の構成例を示す図である。図12に示すように、端末装置10は、通信部11と、表示部12と、入力部13と、測位部14と、センサ部20と、制御部30(コントローラ)と、記憶部40とを備える。3. Example of terminal device configuration
Next, the configuration of the terminal device 10 will be described with reference to Fig. 12. Fig. 12 is a diagram showing an example configuration of the terminal device 10. As shown in Fig. 12, the terminal device 10 includes a communication unit 11, a display unit 12, an input unit 13, a positioning unit 14, a sensor unit 20, a control unit 30 (controller), and a storage unit 40.
(通信部11)
通信部11は、ネットワークN(図11参照)と有線又は無線で接続され、ネットワークNを介して、サーバ装置100との間で情報の送受信を行う。例えば、通信部11は、NIC(Network Interface Card)やアンテナ等によって実現される。(Communication unit 11)
The communication unit 11 is connected to a network N (see FIG. 11 ) by wire or wirelessly, and transmits and receives information to and from the server device 100 via the network N. For example, the communication unit 11 is realized by a network interface card (NIC), an antenna, or the like.
(表示部12)
表示部12は、位置情報等の各種情報を表示する表示デバイスである。例えば、表示部12は、液晶ディスプレイ(LCD:Liquid Crystal Display)や有機ELディスプレイ(Organic Electro-Luminescent Display)である。また、表示部12は、タッチパネル式のディスプレイであるが、これに限定されるものではない。(Display section 12)
The display unit 12 is a display device that displays various information such as position information. For example, the display unit 12 is a liquid crystal display (LCD) or an organic electroluminescent display (OLED). The display unit 12 is also a touch panel display, but is not limited to this.
(入力部13)
入力部13は、利用者Uから各種操作を受け付ける入力デバイスである。例えば、入力部13は、文字や数字等を入力するためのボタン等を有する。なお、入力部13は、入出力ポート(I/O port)やUSB(Universal Serial Bus)ポート等であってもよい。また、表示部12がタッチパネル式のディスプレイである場合、表示部12の一部が入力部13として機能する。また、入力部13は、利用者Uから音声入力を受け付けるマイク等であってもよい。マイクはワイヤレスであってもよい。(Input unit 13)
The input unit 13 is an input device that accepts various operations from the user U. For example, the input unit 13 has buttons for inputting letters, numbers, etc. The input unit 13 may be an input/output port (I/O port), a USB (Universal Serial Bus) port, etc. In addition, when the display unit 12 is a touch panel display, a part of the display unit 12 functions as the input unit 13. In addition, the input unit 13 may be a microphone that accepts voice input from the user U. The microphone may be wireless.
(測位部14)
測位部14は、GPS(Global Positioning System)の衛星から送出される信号(電波)を受信し、受信した信号に基づいて、自装置である端末装置10の現在位置を示す位置情報(例えば、緯度及び経度)を取得する。すなわち、測位部14は、端末装置10の位置を測位する。なお、GPSは、GNSS(Global Navigation Satellite System)の一例に過ぎない。(Positioning unit 14)
The positioning unit 14 receives signals (radio waves) transmitted from satellites of the GPS (Global Positioning System), and acquires, based on the received signals, location information (e.g., latitude and longitude) indicating the current location of the terminal device 10. That is, the positioning unit 14 measures the location of the terminal device 10. Note that the GPS is merely an example of a GNSS (Global Navigation Satellite System).
また、測位部14は、GPS以外にも、種々の手法により位置を測位することができる。例えば、測位部14は、位置補正等のための補助的な測位手段として、下記のように、端末装置10の様々な通信機能を利用して位置を測位してもよい。In addition, the positioning unit 14 can determine the position using various methods other than GPS. For example, the positioning unit 14 may determine the position using various communication functions of the terminal device 10 as an auxiliary positioning means for position correction, etc., as described below.
(Wi-Fi測位)
例えば、測位部14は、端末装置10のWi-Fi(登録商標)通信機能や、各通信会社が備える通信網を利用して、端末装置10の位置を測位する。具体的には、測位部14は、Wi-Fi通信等を行い、付近の基地局やアクセスポイントとの距離を測位することにより、端末装置10の位置を測位する。(Wi-Fi positioning)
For example, the positioning unit 14 uses the Wi-Fi (registered trademark) communication function of the terminal device 10 or the communication networks of each communication company to determine the position of the terminal device 10. Specifically, the positioning unit 14 performs Wi-Fi communication or the like to determine the distance to a nearby base station or access point, thereby determining the position of the terminal device 10.
(ビーコン測位)
また、測位部14は、端末装置10のBluetooth(登録商標)機能を利用して位置を測位してもよい。例えば、測位部14は、Bluetooth(登録商標)機能によって接続されるビーコン(beacon)発信機と接続することにより、端末装置10の位置を測位する。(Beacon positioning)
Furthermore, the positioning unit 14 may measure the position by using a Bluetooth (registered trademark) function of the terminal device 10. For example, the positioning unit 14 measures the position of the terminal device 10 by connecting to a beacon transmitter connected by the Bluetooth (registered trademark) function.
(地磁気測位)
また、測位部14は、予め測定された構造物の地磁気のパターンと、端末装置10が備える地磁気センサとに基づいて、端末装置10の位置を測位する。(geomagnetic positioning)
The positioning unit 14 also measures the position of the terminal device 10 based on the geomagnetic pattern of the structure measured in advance and a geomagnetic sensor included in the terminal device 10 .
(RFID測位)
また、例えば、端末装置10が駅改札や店舗等で使用される非接触型ICカードと同等のRFID(Radio Frequency Identification)タグの機能を備えている場合、もしくはRFIDタグを読み取る機能を備えている場合、端末装置10によって決済等が行われた情報とともに、使用された位置が記録される。測位部14は、かかる情報を取得することで、端末装置10の位置を測位してもよい。また、位置は、端末装置10が備える光学式センサや、赤外線センサ等によって測位されてもよい。(RFID positioning)
Furthermore, for example, if the terminal device 10 has the functionality of an RFID (Radio Frequency Identification) tag equivalent to a contactless IC card used at station ticket gates, in stores, etc., or has the functionality to read an RFID tag, the location of use is recorded together with information on payments, etc., made by the terminal device 10. The positioning unit 14 may obtain such information to determine the location of the terminal device 10. Alternatively, the location may be determined by an optical sensor, an infrared sensor, or the like provided in the terminal device 10.
測位部14は、必要に応じて、上述した測位手段の一つ又は組合せを用いて、端末装置10の位置を測位してもよい。If necessary, the positioning unit 14 may use one or a combination of the positioning methods described above to determine the position of the terminal device 10.
(センサ部20)
センサ部20は、端末装置10に搭載又は接続される各種のセンサを含む。なお、接続は、有線接続、無線接続を問わない。例えば、センサ類は、ウェアラブルデバイスやワイヤレスデバイス等、端末装置10以外の検知装置であってもよい。図12に示す例では、センサ部20は、加速度センサ21と、ジャイロセンサ22と、気圧センサ23と、気温センサ24と、音センサ25と、光センサ26と、磁気センサ27と、画像センサ(カメラ)28とを備える。(Sensor unit 20)
The sensor unit 20 includes various sensors mounted on or connected to the terminal device 10. The connection may be wired or wireless. For example, the sensors may be detection devices other than the terminal device 10, such as wearable devices or wireless devices. In the example shown in FIG. 12 , the sensor unit 20 includes an acceleration sensor 21, a gyro sensor 22, a barometric pressure sensor 23, a temperature sensor 24, a sound sensor 25, a light sensor 26, a magnetic sensor 27, and an image sensor (camera) 28.
なお、上記した各センサ21~28は、あくまでも例示であって限定されるものではない。すなわち、センサ部20は、各センサ21~28のうちの一部を備える構成であってもよいし、各センサ21~28に加えてあるいは代えて、湿度センサ等その他のセンサを備えてもよい。Note that the sensors 21-28 described above are merely examples and are not intended to be limiting. That is, the sensor unit 20 may be configured to include some of the sensors 21-28, or may include other sensors, such as a humidity sensor, in addition to or instead of the sensors 21-28.
加速度センサ21は、例えば、3軸加速度センサであり、端末装置10の移動方向、速度、及び、加速度等の端末装置10の物理的な動きを検知する。ジャイロセンサ22は、端末装置10の角速度等に基づいて3軸方向の傾き等の端末装置10の物理的な動きを検知する。気圧センサ23は、例えば端末装置10の周囲の気圧を検知する。The acceleration sensor 21 is, for example, a three-axis acceleration sensor that detects the physical movement of the terminal device 10, such as the direction of movement, speed, and acceleration of the terminal device 10. The gyro sensor 22 detects the physical movement of the terminal device 10, such as tilt in three axial directions, based on the angular velocity of the terminal device 10. The air pressure sensor 23 detects, for example, the air pressure around the terminal device 10.
端末装置10は、上記した加速度センサ21やジャイロセンサ22、気圧センサ23等を備えることから、これらの各センサ21~23等を利用した歩行者自律航法(PDR:Pedestrian Dead-Reckoning)等の技術を用いて端末装置10の位置を測位することが可能になる。これにより、GPS等の測位システムでは取得することが困難な屋内での位置情報を取得することが可能になる。The terminal device 10 is equipped with the acceleration sensor 21, gyro sensor 22, barometric pressure sensor 23, etc. described above, and is therefore able to determine the position of the terminal device 10 using techniques such as pedestrian dead-reckoning (PDR) that utilize these sensors 21-23. This makes it possible to obtain indoor position information that is difficult to obtain using positioning systems such as GPS.
例えば、加速度センサ21を利用した歩数計により、歩数や歩くスピード、歩いた距離を算出することができる。また、ジャイロセンサ22を利用して、利用者Uの進行方向や視線の方向、体の傾きを知ることができる。また、気圧センサ23で検知した気圧から、利用者Uの端末装置10が存在する高度Yロアの階数を知ることもできる。For example, a pedometer using the acceleration sensor 21 can calculate the number of steps, walking speed, and distance walked. Furthermore, the gyro sensor 22 can be used to determine the user U's direction of travel, line of sight, and body tilt. Furthermore, the air pressure detected by the air pressure sensor 23 can be used to determine the floor number of altitude Y lower where the user U's terminal device 10 is located.
気温センサ24は、例えば端末装置10の周囲の気温を検知する。音センサ25は、例えば端末装置10の周囲の音を検知する。光センサ26は、端末装置10の周囲の照度を検知する。磁気センサ27は、例えば端末装置10の周囲の地磁気を検知する。画像センサ28は、端末装置10の周囲の画像を撮像する。The temperature sensor 24 detects, for example, the temperature around the terminal device 10. The sound sensor 25 detects, for example, sound around the terminal device 10. The light sensor 26 detects the illuminance around the terminal device 10. The magnetic sensor 27 detects, for example, the geomagnetism around the terminal device 10. The image sensor 28 captures images of the area around the terminal device 10.
上記した気圧センサ23、気温センサ24、音センサ25、光センサ26及び画像センサ28は、それぞれ気圧、気温、音、照度を検知したり、周囲の画像を撮像したりすることで、端末装置10の周囲の環境や状況等を検知することができる。また、端末装置10の周囲の環境や状況等から、端末装置10の位置情報の精度を向上させることが可能になる。The above-mentioned air pressure sensor 23, temperature sensor 24, sound sensor 25, light sensor 26, and image sensor 28 can detect the environment and situation surrounding the terminal device 10 by detecting air pressure, temperature, sound, and illuminance, and capturing images of the surroundings. Furthermore, the accuracy of the location information of the terminal device 10 can be improved based on the environment and situation surrounding the terminal device 10.
(制御部30)
制御部30は、例えば、CPU(Central Processing Unit)、ROM(Read Only Memory)、RAM、入出力ポート等を有するマイクロコンピュータや各種の回路を含む。また、制御部30は、例えば、ASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)等の集積回路等のハードウェアで構成されてもよい。制御部30は、送信部31と、受信部32と、処理部33とを有する。(Control unit 30)
The control unit 30 includes, for example, a microcomputer having a CPU (Central Processing Unit), ROM (Read Only Memory), RAM, input/output ports, and various other circuits. The control unit 30 may also be configured with hardware such as an integrated circuit, for example, an ASIC (Application Specific Integrated Circuit) or an FPGA (Field Programmable Gate Array). The control unit 30 includes a transmitting unit 31, a receiving unit 32, and a processing unit 33.
(送信部31)
送信部31は、例えば入力部13を用いて利用者Uにより入力された各種情報や、端末装置10に搭載又は接続された各センサ21~28によって検知された各種情報、測位部14によって測位された端末装置10の位置情報等を、通信部11を介してサーバ装置100へ送信することができる。(Transmitter 31)
The transmission unit 31 can transmit, for example, various information input by the user U using the input unit 13, various information detected by each sensor 21 to 28 mounted on or connected to the terminal device 10, and location information of the terminal device 10 measured by the positioning unit 14 to the server device 100 via the communication unit 11.
(受信部32)
受信部32は、通信部11を介して、サーバ装置100から提供される各種情報や、サーバ装置100からの各種情報の要求を受信することができる。(Receiving unit 32)
The receiving unit 32 can receive various information provided by the server device 100 and requests for various information from the server device 100 via the communication unit 11 .
(処理部33)
処理部33は、表示部12等を含め、端末装置10全体を制御する。例えば、処理部33は、送信部31によって送信される各種情報や、受信部32によって受信されたサーバ装置100からの各種情報を表示部12へ出力して表示させることができる。(Processing unit 33)
The processing unit 33 controls the entire terminal device 10, including the display unit 12. For example, the processing unit 33 can output various information transmitted by the transmission unit 31 and various information received from the server device 100 by the reception unit 32 to the display unit 12 for display.
(記憶部40)
記憶部40は、例えば、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、又は、HDD(Hard Disk Drive)、SSD(Solid State Drive)、光ディスク等の記憶装置によって実現される。かかる記憶部40には、各種プログラムや各種データ等が記憶される。(Storage unit 40)
The storage unit 40 is realized by, for example, a semiconductor memory element such as a random access memory (RAM) or a flash memory, or a storage device such as a hard disk drive (HDD), a solid state drive (SSD), an optical disk, etc. The storage unit 40 stores various programs, various data, etc.
〔4.サーバ装置の構成例〕
次に、図13を用いて、実施形態に係るサーバ装置100の構成について説明する。図13は、実施形態に係るサーバ装置100の構成例を示す図である。図13に示すように、サーバ装置100は、通信部110と、記憶部120と、制御部130とを備える。4. Example of Server Device Configuration
Next, the configuration of the server device 100 according to the embodiment will be described with reference to Fig. 13. Fig. 13 is a diagram showing an example of the configuration of the server device 100 according to the embodiment. As shown in Fig. 13, the server device 100 includes a communication unit 110, a storage unit 120, and a control unit 130.
(通信部110)
通信部110は、例えば、NIC(Network Interface Card)等によって実現される。また、通信部110は、ネットワークN(図11参照)と有線又は無線で接続される。(Communication unit 110)
The communication unit 110 is realized by, for example, a network interface card (NIC), etc. The communication unit 110 is also connected to a network N (see FIG. 11) by wire or wirelessly.
(記憶部120)
記憶部120は、例えば、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、又は、HDD、SSD、光ディスク等の記憶装置によって実現される。図13に示すように、記憶部120は、利用者情報データベース121と、履歴情報データベース122と、認証情報データベース123と、ポリシー情報データベース124とを有する。(Storage unit 120)
The storage unit 120 is realized by, for example, a semiconductor memory element such as a random access memory (RAM) or a flash memory, or a storage device such as an HDD, an SSD, an optical disk, etc. As shown in Fig. 13, the storage unit 120 has a user information database 121, a history information database 122, an authentication information database 123, and a policy information database 124.
(利用者情報データベース121)
利用者情報データベース121は、利用者Uに関する利用者情報を記憶する。例えば、利用者情報データベース121は、利用者Uの属性等の種々の情報を記憶する。図14は、利用者情報データベース121の一例を示す図である。図14に示した例では、利用者情報データベース121は、「利用者ID(Identifier)」、「年齢」、「性別」、「自宅」、「勤務地」、「興味」といった項目を有する。(User information database 121)
The user information database 121 stores user information about the user U. For example, the user information database 121 stores various information such as the attributes of the user U. FIG. 14 is a diagram showing an example of the user information database 121. In the example shown in FIG. 14, the user information database 121 has items such as "User ID (Identifier),""Age,""Gender,""Home,""Workplace," and "Interests."
「利用者ID」は、利用者Uを識別するための識別情報を示す。なお、「利用者ID」は、利用者Uの連絡先(電話番号、メールアドレス等)であってもよいし、利用者Uの端末装置10を識別するための識別情報であってもよい。"User ID" refers to identification information for identifying user U. Note that "user ID" may be user U's contact information (telephone number, email address, etc.), or may be identification information for identifying user U's terminal device 10.
また、「年齢」は、利用者IDにより識別される利用者Uの年齢を示す。なお、「年齢」は、利用者Uの具体的な年齢(例えば35歳など)を示す情報であってもよいし、利用者Uの年代(例えば30代など)を示す情報であってもよい。あるいは、「年齢」は、利用者Uの生年月日を示す情報であってもよいし、利用者Uの世代(例えば80年代生まれなど)を示す情報であってもよい。また、「性別」は、利用者IDにより識別される利用者Uの性別を示す。Furthermore, "age" indicates the age of user U identified by the user ID. Note that "age" may be information indicating user U's specific age (e.g., 35 years old), or may be information indicating user U's generation (e.g., 30s). Alternatively, "age" may be information indicating user U's date of birth, or may be information indicating user U's generation (e.g., born in the 1980s). Furthermore, "gender" indicates the gender of user U identified by the user ID.
また、「自宅」は、利用者IDにより識別される利用者Uの自宅の位置情報を示す。なお、図14に示す例では、「自宅」は、「LC11」といった抽象的な符号を図示するが、緯度経度情報等であってもよい。また、例えば、「自宅」は、地域名や住所であってもよい。"Home" indicates the location information of the home of user U, who is identified by the user ID. In the example shown in Figure 14, "Home" is illustrated as an abstract code such as "LC11," but it may also be latitude and longitude information, etc. Also, for example, "Home" may be the name of an area or an address.
また、「勤務地」は、利用者IDにより識別される利用者Uの勤務地(学生の場合は学校)の位置情報を示す。なお、図14に示す例では、「勤務地」は、「LC12」といった抽象的な符号を図示するが、緯度経度情報等であってもよい。また、例えば、「勤務地」は、地域名や住所であってもよい。"Workplace" indicates the location information of the workplace (school in the case of a student) of user U, who is identified by the user ID. In the example shown in Figure 14, "workplace" is illustrated as an abstract code such as "LC12," but it may also be latitude and longitude information, etc. Also, for example, "workplace" may be the name of a region or an address.
また、「興味」は、利用者IDにより識別される利用者Uの興味を示す。すなわち、「興味」は、利用者IDにより識別される利用者Uが関心の高い対象を示す。例えば、「興味」は、利用者Uが検索エンジンに入力して検索した検索クエリ(キーワード)等であってもよい。なお、図14に示す例では、「興味」は、各利用者Uに1つずつ図示するが、複数であってもよい。Furthermore, "Interests" indicate the interests of user U, who is identified by the user ID. In other words, "Interests" indicate subjects in which user U, who is identified by the user ID, is highly interested. For example, "Interests" may be search queries (keywords) that user U enters into a search engine. Note that in the example shown in Figure 14, each user U is shown with one "Interest," but there may be multiple "Interests."
例えば、図14に示す例において、利用者ID「U1」により識別される利用者Uの年齢は、「20代」であり、性別は、「男性」であることを示す。また、例えば、利用者ID「U1」により識別される利用者Uは、自宅が「LC11」であることを示す。また、例えば、利用者ID「U1」により識別される利用者Uは、勤務地が「LC12」であることを示す。また、例えば、利用者ID「U1」により識別される利用者Uは、「スポーツ」に興味があることを示す。For example, in the example shown in FIG. 14, the age of user U identified by user ID "U1" is "20s" and the gender is "male." Furthermore, for example, the user U identified by user ID "U1" indicates that his home address is "LC11." Furthermore, for example, the user U identified by user ID "U1" indicates that his workplace is "LC12." Furthermore, for example, the user U identified by user ID "U1" indicates that he is interested in "sports."
ここで、図14に示す例では、「U1」、「LC11」及び「LC12」といった抽象的な値を用いて図示するが、「U1」、「LC11」及び「LC12」には、具体的な文字列や数値等の情報が記憶されるものとする。以下、他の情報に関する図においても、抽象的な値を図示する場合がある。In the example shown in Figure 14, abstract values such as "U1", "LC11", and "LC12" are used to illustrate the data, but "U1", "LC11", and "LC12" are assumed to store specific information such as character strings and numerical values. Below, abstract values may also be illustrated in diagrams relating to other information.
なお、利用者情報データベース121は、上記に限らず、目的に応じて種々の情報を記憶してもよい。例えば、利用者情報データベース121は、利用者Uの端末装置10に関する各種情報を記憶してもよい。また、利用者情報データベース121は、利用者Uのデモグラフィック(人口統計学的属性)、サイコグラフィック(心理学的属性)、ジオグラフィック(地理学的属性)、ベヘイビオラル(行動学的属性)等の属性に関する情報を記憶してもよい。例えば、利用者情報データベース121は、氏名、家族構成、出身地(地元)、職業、職位、収入、資格、居住形態(戸建、マンション等)、車の有無、通学・通勤時間、通学・通勤経路、定期券区間(駅、路線等)、利用頻度の高い駅(自宅・勤務地の最寄駅以外)、習い事(場所、時間帯等)、趣味、興味、ライフスタイル等の情報を記憶してもよい。The user information database 121 is not limited to the above and may store various types of information depending on the purpose. For example, the user information database 121 may store various types of information related to the terminal device 10 of user U. The user information database 121 may also store information related to user U's demographic attributes, psychographic attributes, geographic attributes, behavioral attributes, and other attributes. For example, the user information database 121 may store information such as name, family composition, hometown (local area), occupation, job position, income, qualifications, type of residence (detached house, apartment, etc.), whether or not the user has a car, commuting time, commuting route, commuter pass area (station, line, etc.), frequently used stations (other than the station nearest to home or workplace), extracurricular activities (location, time of day, etc.), hobbies, interests, lifestyle, and the like.
(履歴情報データベース122)
履歴情報データベース122は、利用者Uの行動を示す履歴情報(ログデータ)に関する各種情報を記憶する。図15は、履歴情報データベース122の一例を示す図である。図15に示した例では、履歴情報データベース122は、「利用者ID」、「位置履歴」、「検索履歴」、「閲覧履歴」、「購入履歴」、「投稿履歴」といった項目を有する。(History information database 122)
The history information database 122 stores various information related to history information (log data) that indicates the behavior of the user U. Fig. 15 is a diagram showing an example of the history information database 122. In the example shown in Fig. 15, the history information database 122 has items such as "user ID,""locationhistory,""searchhistory,""browsinghistory,""purchasehistory," and "posting history."
「利用者ID」は、利用者Uを識別するための識別情報を示す。また、「位置履歴」は、利用者Uの位置や移動の履歴である位置履歴を示す。また、「検索履歴」は、利用者Uが入力した検索クエリの履歴である検索履歴を示す。また、「閲覧履歴」は、利用者Uが閲覧したコンテンツの履歴である閲覧履歴を示す。また、「購入履歴」は、利用者Uによる購入の履歴である購入履歴を示す。また、「投稿履歴」は、利用者Uによる投稿の履歴である投稿履歴を示す。なお、「投稿履歴」は、利用者Uの所有物に関する質問を含んでいてもよい。"User ID" indicates identification information for identifying user U. "Location history" indicates the location history, which is the history of user U's locations and movements. "Search history" indicates the search history, which is the history of search queries entered by user U. "Browsing history" indicates the browsing history, which is the history of content viewed by user U. "Purchase history" indicates the purchase history, which is the history of purchases made by user U. "Posting history" indicates the posting history, which is the history of posts made by user U. "Posting history" may also include questions about user U's possessions.
例えば、図15に示す例において、利用者ID「U1」により識別される利用者Uは、「位置履歴#1」の通りに移動し、「検索履歴#1」の通りに検索し、「閲覧履歴#1」の通りにコンテンツを閲覧し、「購入履歴#1」の通りに所定の店舗等で所定の商品等を購入し、「投稿履歴#1」の通りに投稿したことを示す。For example, in the example shown in Figure 15, user U, identified by user ID "U1," moved as shown in "Location History #1," searched as shown in "Search History #1," viewed content as shown in "Browse History #1," purchased specific products at specific stores as shown in "Purchase History #1," and posted as shown in "Post History #1."
ここで、図15に示す例では、「U1」、「位置履歴#1」、「検索履歴#1」、「閲覧履歴#1」、「購入履歴#1」及び「投稿履歴#1」といった抽象的な値を用いて図示するが、「U1」、「位置履歴#1」、「検索履歴#1」、「閲覧履歴#1」、「購入履歴#1」及び「投稿履歴#1」には、具体的な文字列や数値等の情報が記憶されるものとする。Here, in the example shown in Figure 15, abstract values such as "U1", "Location History #1", "Search History #1", "Browse History #1", "Purchase History #1", and "Post History #1" are used for the illustration, but it is assumed that specific information such as character strings and numbers is stored in "U1", "Location History #1", "Search History #1", "Browse History #1", "Purchase History #1", and "Post History #1".
なお、履歴情報データベース122は、上記に限らず、目的に応じて種々の情報を記憶してもよい。例えば、履歴情報データベース122は、利用者Uの所定のサービスの利用履歴等を記憶してもよい。また、履歴情報データベース122は、利用者Uの実店舗の来店履歴又は施設の訪問履歴等を記憶してもよい。また、履歴情報データベース122は、利用者Uの端末装置10を用いた決済(電子決済)での決済履歴等を記憶してもよい。The history information database 122 is not limited to the above and may store various types of information depending on the purpose. For example, the history information database 122 may store user U's usage history of a specific service. The history information database 122 may also store user U's store visit history or facility visit history. The history information database 122 may also store user U's payment history (electronic payment) using the terminal device 10.
(認証情報データベース123)
認証情報データベース123は、利用者UのFIDO認証に関する各種情報を記憶する。図16は、認証情報データベース123の一例を示す図である。図16に示した例では、認証情報データベース123は、「利用者ID」、「認証器」、「アテステーション用公開鍵」、「認証用公開鍵」、「本人確認文書」、「有効期限」、「質問事項」、「正解」、「被権限委譲者」といった項目を有する。(Authentication Information Database 123)
The authentication information database 123 stores various information related to the FIDO authentication of the user U. Fig. 16 is a diagram showing an example of the authentication information database 123. In the example shown in Fig. 16, the authentication information database 123 has items such as "user ID,""authenticationdevice,""attestation public key,""authentication public key,""identificationdocument,""expirationdate,""question,""correctanswer," and "authority delegatee."
「利用者ID」は、利用者Uを識別するための識別情報を示す。また、「認証器」は、利用者Uが使用する認証器を示す。なお、「認証器」は、認証器出生証明文書(アテステーション文書)を記憶してもよい。"User ID" indicates identification information for identifying user U. "Authentication device" indicates the authentication device used by user U. The "Authentication device" may also store the authentication device birth certificate document (attestation document).
また、「アテステーション用公開鍵」は、利用者Uが使用する認証器のアテステーション用公開鍵を示す。また、「認証用公開鍵」は、利用者Uが使用する認証器の認証用公開鍵を示す。Furthermore, "attestation public key" refers to the attestation public key of the authenticator used by user U. Further, "authentication public key" refers to the authentication public key of the authenticator used by user U.
また、「本人確認文書」は、利用者Uから提出された本人確認文書を示す。また、「有効期限」は、本人確認文書(又はその記載事項)の有効期限を示す。"Personal identification document" refers to the personal identification document submitted by user U. "Expiration date" refers to the expiration date of the personal identification document (or the information contained therein).
また、「質問事項」は、利用者Uの本人確認のため、動的に作成される秘密の質問を示す。なお、「質問事項」は、質問に対する回答としての選択肢を記憶してもよい。また、「正解」は、質問事項に対する正解を示す。なお、「正解」は、利用者Uに入力を要求し照合する文書又は画像データ(の組)を記憶してもよいし、その文書又は画像データ(の組)に基づくハッシュ値やデータの特徴等を記憶してもよい。"Question" refers to a secret question that is dynamically created to verify the identity of user U. "Question" may store options for answers to the question. "Correct answer" refers to the correct answer to the question. "Correct answer" may store a document or image data (set of image data) that user U is requested to input and checked, or may store a hash value or data characteristics based on the document or image data (set of image data).
また、「被権限委譲者」は、アカウントリカバリーの権限委譲の際に、利用者Uから権限を委譲される他のユーザを識別するための識別情報を示す。すなわち、「被権限委譲者」は、利用者Uがアカウントリカバリーの権限委譲の対象として指定・登録した他のユーザを示す。例えば、被権限委譲者は、利用者Uが子供である場合、その子供の親等である。Furthermore, "authority delegatee" refers to identification information used to identify other users to whom authority is delegated from user U when delegating account recovery authority. In other words, "authority delegatee" refers to other users designated and registered by user U as targets for account recovery authority delegation. For example, if user U is a child, the authority delegatee would be the child's parent or guardian.
例えば、図16に示す例において、利用者ID「U1」により識別される利用者Uの認証器である「認証器#1」からの署名を検証するための公開鍵として、「アテステーション用公開鍵#1」と、「認証用公開鍵#1」とが登録されており、利用者Uの「本人確認文書#1」は「有効期限#1」を経過すると失効し、利用者Uの本人確認のための「質問事項#1」に対して「正解#1」が回答された場合にユーザ本人と認証し、利用者Uからアカウントリカバリーの要求を受けた時には、「被権限委譲者#1」に承認を求めることを示す。For example, in the example shown in Figure 16, "Atestation Public Key #1" and "Authentication Public Key #1" are registered as public keys for verifying the signature from "Authenticator #1," which is the authenticator of user U identified by user ID "U1." User U's "Personal Identification Document #1" will expire after "Expiration Date #1." If "Correct Answer #1" is answered to "Question #1" for user U's identity verification, the user is authenticated as the identity of the user. When an account recovery request is received from user U, approval is sought from "Authority Delegee #1."
ここで、図16に示す例では、「U1」、「認証器#1」、「アテステーション用公開鍵#1」、「認証用公開鍵#1」、「本人確認文書#1」、「有効期限#1」、「質問事項#1」、「正解#1」及び「被権限委譲者#1」といった抽象的な値を用いて図示するが、「U1」、「認証器#1」、「アテステーション用公開鍵#1」、「認証用公開鍵#1」、「本人確認文書#1」、「有効期限#1」、「質問事項#1」、「正解#1」及び「被権限委譲者#1」には、具体的な文字列や数値等の情報が記憶されるものとする。Here, in the example shown in Figure 16, abstract values such as "U1", "Authenticator #1", "Atestation Public Key #1", "Authentication Public Key #1", "Personal Identification Document #1", "Expiration Date #1", "Question #1", "Correct Answer #1", and "Authority Delegee #1" are used for the illustration; however, specific information such as character strings and numbers is stored in "U1", "Authenticator #1", "Atestation Public Key #1", "Authentication Public Key #1", "Personal Identification Document #1", "Expiration Date #1", "Question #1", "Correct Answer #1", and "Authority Delegee #1".
なお、認証情報データベース123は、上記に限らず、目的に応じて種々の情報を記憶してもよい。例えば、認証情報データベース123は、利用者Uの認証確度及び本人確度に関する情報等を記憶してもよい。また、認証情報データベース123は、本人確度の評価関数や属性の判定関数に関する情報等を記憶してもよい。また、認証情報データベース123は、利用者Uのパスワード等を記憶してもよい。The authentication information database 123 may store various types of information depending on the purpose, not limited to the above. For example, the authentication information database 123 may store information regarding the authentication accuracy and identity accuracy of user U. The authentication information database 123 may also store information regarding an identity accuracy evaluation function and an attribute judgment function. The authentication information database 123 may also store user U's password, etc.
(ポリシー情報データベース124)
ポリシー情報データベース124は、認証サーバであるサーバ装置100のセキュリティポリシーに関する各種情報を記憶する。セキュリティポリシーは変更可能である。(Policy Information Database 124)
The policy information database 124 stores various information related to the security policy of the authentication server 100. The security policy is changeable.
なお、セキュリティポリシーは、アイデンティティサービスごとに設定されていてもよいし、サービスの対象となるユーザのセグメントごとに設定されていてもよい。Note that security policies may be set for each identity service or for each segment of users targeted by the service.
(制御部130)
図13に戻り、説明を続ける。制御部130は、コントローラ(Controller)であり、例えば、CPU(Central Processing Unit)、MPU(Micro Processing Unit)、ASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)等によって、サーバ装置100の内部の記憶装置に記憶されている各種プログラム(情報処理プログラムの一例に相当)がRAM等の記憶領域を作業領域として実行されることにより実現される。図13に示す例では、制御部130は、取得部131と、生成部132と、認証処理部133と、管理部134と、提供部135とを有する。(Control unit 130)
Returning to Fig. 13 , the explanation will be continued. The control unit 130 is a controller, and is realized by, for example, a central processing unit (CPU), a micro processing unit (MPU), an application specific integrated circuit (ASIC), a field programmable gate array (FPGA), or the like, by executing various programs (corresponding to an example of an information processing program) stored in a storage device inside the server device 100 using a storage area such as a RAM as a working area. In the example shown in Fig. 13 , the control unit 130 has an acquisition unit 131, a generation unit 132, an authentication processing unit 133, a management unit 134, and a provision unit 135.
(取得部131)
取得部131は、通信部110を介して、ユーザである利用者Uの端末装置10から、利用者Uにより入力されたデータを取得する。例えば、取得部131は、利用者Uの端末装置10から、利用者Uによる各種の登録情報を取得する。(Acquisition unit 131)
The acquisition unit 131 acquires data input by a user U from the terminal device 10 of the user U via the communication unit 110. For example, the acquisition unit 131 acquires various registration information by the user U from the terminal device 10 of the user U.
また、取得部131は、利用者Uにより入力された検索クエリを取得する。例えば、取得部131は、利用者Uが検索エンジン等に検索クエリを入力してキーワード検索を行った際に、通信部110を介して、当該検索クエリを取得する。すなわち、取得部131は、通信部110を介して、利用者Uにより検索エンジンやサイト又はアプリの検索窓に入力されたキーワードを取得する。The acquisition unit 131 also acquires a search query entered by the user U. For example, when the user U enters a search query into a search engine or the like to perform a keyword search, the acquisition unit 131 acquires the search query via the communication unit 110. In other words, the acquisition unit 131 acquires the keywords entered by the user U into the search box of a search engine, website, or app via the communication unit 110.
また、取得部131は、通信部110を介して、利用者Uに関する利用者情報を取得する。例えば、取得部131は、利用者Uの端末装置10から、利用者Uを示す識別情報(利用者ID等)や、利用者Uの位置情報、利用者Uの属性情報等を取得する。また、取得部131は、利用者Uのユーザ登録時に、利用者Uを示す識別情報や、利用者Uの属性情報等を取得してもよい。そして、取得部131は、利用者情報を、記憶部120の利用者情報データベース121に登録する。The acquisition unit 131 also acquires user information about user U via the communication unit 110. For example, the acquisition unit 131 acquires identification information (such as a user ID) identifying user U, location information about user U, attribute information about user U, etc. from user U's terminal device 10. The acquisition unit 131 may also acquire identification information identifying user U, attribute information about user U, etc. when registering user U. The acquisition unit 131 then registers the user information in the user information database 121 of the storage unit 120.
また、取得部131は、通信部110を介して、利用者Uの行動を示す各種の履歴情報(ログデータ)を取得する。例えば、取得部131は、利用者Uの端末装置10から、あるいは利用者ID等に基づいて各種サーバ等から、利用者Uの行動を示す各種の履歴情報を取得する。そして、取得部131は、各種の履歴情報を、記憶部120の履歴情報データベース122に登録する。The acquisition unit 131 also acquires various types of history information (log data) indicating the behavior of user U via the communication unit 110. For example, the acquisition unit 131 acquires various types of history information indicating the behavior of user U from user U's terminal device 10 or from various servers based on the user ID, etc. Then, the acquisition unit 131 registers the various types of history information in the history information database 122 of the storage unit 120.
(生成部132)
生成部132は、ユーザの行動ログに基づいて、本人確認をするための秘密の質問と正解とを動的に生成する。例えば、生成部132は、行動ログの形式を特定し、行動ログから質問項目の特定及び抽出を行う。あるいは、生成部132は、機械学習を用いた統計的な分析手法により質問項目を特定する。(Generation unit 132)
The generation unit 132 dynamically generates secret questions and correct answers for identity verification based on the user's behavior log. For example, the generation unit 132 identifies the format of the behavior log and identifies and extracts questions from the behavior log. Alternatively, the generation unit 132 identifies the questions using a statistical analysis method using machine learning.
また、生成部132は、ユーザの複数の行動ログのうち質問対象ログを抽出し、質問対象ログから1以上の質問項目を決めた質問テンプレートを作成し、質問項目生成ポリシーを決定し、質問項目生成ポリシーに基づいて質問と正解を生成する。The generation unit 132 also extracts question target logs from the user's multiple behavior logs, creates a question template that determines one or more question items from the question target log, determines a question item generation policy, and generates questions and correct answers based on the question item generation policy.
このとき、生成部132は、秘密の質問とともに、ダミーの質問を生成してもよい。また、生成部132は、正解とともに、ダミーの回答を生成してもよい。また、生成部132は、ユーザの複数の行動ログに基づいて1つの質問を生成してもよい。At this time, the generation unit 132 may generate a dummy question along with the secret question. The generation unit 132 may also generate a dummy answer along with the correct answer. The generation unit 132 may also generate one question based on multiple behavioral logs of the user.
(認証処理部133)
認証処理部133は、秘密の質問に対するユーザの回答と正解とを照合し、本人確認する。このとき、認証処理部133は、秘密の質問とともに、ダミーの質問をユーザに提示してもよい。また、認証処理部133は、正解とともにダミーの回答を選択肢としてユーザに提示し、ユーザに選択させる。(Authentication processing unit 133)
The authentication processing unit 133 verifies the user's identity by comparing the user's answer to the secret question with the correct answer. At this time, the authentication processing unit 133 may present a dummy question to the user along with the secret question. The authentication processing unit 133 may also present the dummy answer along with the correct answer to the user as options to allow the user to select one.
なお、認証処理部133は、秘密の質問に対するユーザの回答として、ユーザの行動に関連してユーザが入手した文書又は画像のデータを入力させてもよい。このとき、認証処理部133は、秘密の質問に対するユーザの回答として、ユーザの購買行動に関連してユーザが入手したメールのデータを入力させてもよい。The authentication processing unit 133 may also require the user to input document or image data obtained by the user in connection with their behavior as the user's answer to the secret question. In this case, the authentication processing unit 133 may also require the user to input email data obtained by the user in connection with their purchasing behavior as the user's answer to the secret question.
例えば、認証処理部133は、入力された文書又は画像のデータに基づくハッシュ値と、正解としてあらかじめ保管しているハッシュ値とを照合し、本人確認する。このとき、認証処理部133は、秘密の質問に対するユーザの回答として、ユーザの複数の行動のそれぞれに関連してユーザが入手した複数の文書又は画像のデータを入力させ、複数の文書又は画像のデータに基づくハッシュ値と、正解としてあらかじめ保管しているハッシュ値とを照合し、本人確認する。For example, the authentication processing unit 133 verifies the identity of the user by comparing a hash value based on the input document or image data with a hash value previously stored as the correct answer. At this time, the authentication processing unit 133 has the user input multiple documents or image data obtained by the user in connection with each of the user's multiple actions as the user's answer to a secret question, and then verifies the identity of the user by comparing a hash value based on the multiple documents or image data with a hash value previously stored as the correct answer.
あるいは、認証処理部133は、入力された文書又は画像のデータと、正解としてあらかじめ保管している文書又は画像のデータとを照合し、本人確認する。あるいは、認証処理部133は、入力された文書又は画像のデータの特徴と、正解としてあらかじめ保管している特徴とを照合し、本人確認する。Alternatively, the authentication processing unit 133 compares the input document or image data with document or image data that has been stored in advance as the correct answer to verify the identity of the person. Alternatively, the authentication processing unit 133 compares the characteristics of the input document or image data with characteristics that have been stored in advance as the correct answer to verify the identity of the person.
また、認証処理部133は、ユーザ(利用者U)本人があらかじめ登録した個人属性情報と、ユーザにより提示された個人属性情報が一致することを確認することによって、本人確認する。The authentication processing unit 133 also verifies the identity of the user (user U) by confirming that the personal attribute information previously registered by the user matches the personal attribute information presented by the user.
また、認証処理部133は、アテステーション文書に基づいて認証器の信頼性を判断し、信頼できる認証器との間でFIDO認証を実施する。例えば、認証処理部133は、信頼できる認証器の秘密鍵を用いた署名を、秘密鍵に対応する公開鍵で検証する。The authentication processing unit 133 also determines the trustworthiness of the authenticator based on the attestation document and performs FIDO authentication with the trusted authenticator. For example, the authentication processing unit 133 verifies a signature made using the private key of the trusted authenticator with the public key corresponding to the private key.
また、認証処理部133は、認証対象者(権限委譲者)からのアカウントリカバリーの要求に対して、認証対象者が指定した被権限委譲者の承認で認証対象者のアカウントリカバリーを実施する。In addition, in response to a request for account recovery from the person to be authenticated (authority delegate), the authentication processing unit 133 performs account recovery for the person to be authenticated with the approval of the authority delegate designated by the person to be authenticated.
例えば、認証処理部133は、認証対象者の端末装置からのリカバリー要求に応じて、認証対象者の端末装置を介して被権限委譲者の端末装置にチャレンジを含むリカバリー許可要求を送信する。なお、認証対象者の端末装置と被権限委譲者の端末装置との間では近距離無線通信でデータの送受信が行われる。For example, in response to a recovery request from the terminal device of the person to be authenticated, the authentication processing unit 133 transmits a recovery permission request including a challenge to the terminal device of the person to be authenticated via the terminal device of the person to be authenticated. Note that data is exchanged between the terminal device of the person to be authenticated and the terminal device of the person to be authorized via short-range wireless communication.
そして、認証処理部133は、リカバリー許可要求に対する応答として、認証対象者の端末装置を介して被権限委譲者の端末装置から署名付きチャレンジを含むリカバリー許可応答を受信する。このとき、認証処理部133は、被権限委譲者がリカバリー許可要求に対する承認としてチャレンジに署名して生成した署名付きチャレンジを含むリカバリー許可応答を受信する。Then, as a response to the recovery authorization request, the authentication processing unit 133 receives a recovery authorization response including a signed challenge from the terminal device of the grantee via the terminal device of the person to be authenticated. At this time, the authentication processing unit 133 receives the recovery authorization response including a signed challenge generated by the grantee by signing the challenge as approval of the recovery authorization request.
そして、認証処理部133は、署名の検証に成功した場合、認証対象者のアカウントリカバリーを実施する。このとき、認証処理部133は、署名の検証に成功した場合、被権限委譲者がリカバリー協力者であることを確認し、認証対象者のアカウントリカバリーを実施する。If the signature verification is successful, the authentication processing unit 133 performs account recovery for the person to be authenticated. At this time, if the signature verification is successful, the authentication processing unit 133 confirms that the authority delegatee is a recovery collaborator and performs account recovery for the person to be authenticated.
例えば、認証処理部133は、認証対象者である子供からのアカウントリカバリーの要求に対して、被権限委譲者である親の承認で子供のアカウントリカバリーを実施する。このとき、認証処理部133は、親に対してFIDO認証を実施する。For example, in response to a request for account recovery from a child, who is the person to be authenticated, the authentication processing unit 133 recovers the child's account with the approval of the parent, who is the person to whom authority is delegated. At this time, the authentication processing unit 133 performs FIDO authentication on the parent.
(管理部134)
管理部134は、本人確認する際の登録済みの個人属性情報を、セキュリティポリシーを満たすように継続的に管理する。また、管理部134は、ユーザにアイデンティティサービスを提供するアクセス制御時に、個人属性情報がセキュリティポリシーを満たしていなければ、セキュリティポリシーを満たすように新たな認証及び本人確認処理を発動する。(Management Department 134)
The management unit 134 continuously manages the registered personal attribute information used for identity verification so that it satisfies the security policy. Furthermore, when controlling access to provide an identity service to a user, if the personal attribute information does not satisfy the security policy, the management unit 134 initiates new authentication and identity verification processing so that it satisfies the security policy.
例えば、管理部134は、セキュリティポリシーに基づき、本人確認の方法の違いによる個人属性情報の信頼度のばらつきを抑制し、個人属性情報の信頼度を継続的に管理する。あるいは、管理部134は、セキュリティポリシーに基づき、時間の経過による個人属性情報の信頼度の低下を抑制し、個人属性情報の信頼度を継続的に管理する。For example, the management unit 134 suppresses variations in the reliability of personal attribute information due to differences in identity verification methods based on the security policy, and continuously manages the reliability of the personal attribute information. Alternatively, the management unit 134 suppresses a decrease in the reliability of personal attribute information over time based on the security policy, and continuously manages the reliability of the personal attribute information.
また、管理部134は、セキュリティポリシーが変更された場合、個人属性情報が変更後のセキュリティポリシーを満たすように継続的に管理する。In addition, if the security policy is changed, the management unit 134 continuously manages the personal attribute information so that it complies with the changed security policy.
また、管理部134は、登録済みの個人属性情報の根拠となる本人確認書類の有効期限が過ぎている場合、又は本人確認書類が失効している場合、個人属性情報がセキュリティポリシーを満たしていないと判断し、セキュリティポリシーを満たすように新たな認証及び本人確認処理を発動する。In addition, if the identity verification document that forms the basis of the registered personal attribute information has expired or has become invalid, the management unit 134 determines that the personal attribute information does not satisfy the security policy and initiates new authentication and identity verification processing to satisfy the security policy.
また、管理部134は、認証中のオンラインユーザに対する個人属性情報の確度を、認証確度と本人確度の掛け合わせにより求める。認証確度は、各認証試行の成功後に確立する認証セッションの有効時間を超えると0になる。本人確度は、個人属性情報のタイプによって変化する。In addition, the management unit 134 calculates the accuracy of personal attribute information for an online user currently being authenticated by multiplying the authentication accuracy by the identity accuracy. The authentication accuracy becomes 0 once the validity period of the authentication session established after each successful authentication attempt has expired. The identity accuracy varies depending on the type of personal attribute information.
また、管理部134は、アテステーション文書を保管し、アテステーション文書の認証強度を継続的に管理する。また、管理部134は、セキュリティ強化を決定した際に、既に保管しているアテステーション文書が認証強度を満たさない場合、認証強度を満たすアテステーションを再実施する。The management unit 134 also stores attestation documents and continuously manages the authentication strength of the attestation documents. Furthermore, when a decision is made to strengthen security, if the attestation documents already stored do not meet the authentication strength requirements, the management unit 134 re-performs attestation that satisfies the authentication strength requirements.
例えば、管理部134は、時間経過又は問題の発見により、認証器がセキュリティポリシーを満たさなくなった場合、アテステーションを再実施する。あるいは、管理部134は、セキュリティポリシーの変更により、認証器がセキュリティポリシーを満たさなくなった場合、アテステーションを再実施する。For example, the management unit 134 re-performs attestation if the authenticator no longer satisfies the security policy due to the passage of time or the discovery of a problem. Alternatively, the management unit 134 re-performs attestation if the authenticator no longer satisfies the security policy due to a change in the security policy.
また、管理部134は、アテステーション文書の内容に基づいて、公開鍵の信頼性強度を決定する。また、管理部134は、公開鍵の信頼性強度を管理し、公開鍵の信頼性強度が低下した場合、公開鍵の変更を要求する。The management unit 134 also determines the reliability strength of the public key based on the contents of the attestation document. The management unit 134 also manages the reliability strength of the public key and requests a change of the public key if the reliability strength of the public key decreases.
例えば、管理部134は、時間経過により、公開鍵の信頼性強度が低下したと判断し、公開鍵の変更を要求する。また、管理部134は、公開鍵の有効期限が切れた場合、公開鍵の信頼性強度が低下したと判断し、公開鍵の変更を要求する。また、管理部134は、公開鍵の信頼性強度がセキュリティポリシーを満たしていない場合、公開鍵の信頼性強度が低下したと判断し、公開鍵の変更を要求する。For example, the management unit 134 determines that the reliability of the public key has decreased over time and requests that the public key be changed. Furthermore, if the public key has expired, the management unit 134 determines that the reliability of the public key has decreased and requests that the public key be changed. Furthermore, if the reliability of the public key does not satisfy the security policy, the management unit 134 determines that the reliability of the public key has decreased and requests that the public key be changed.
また、管理部134は、他人へのアカウントリカバリーの権限委譲(例えば、子供から親へのアカウントリカバリーの権限委譲)に関して、認証対象者(権限委譲者)と、認証対象者が指定した被権限委譲者との情報を管理する。例えば、管理部134は、認証対象者である子供と、被権限委譲者である親との情報を管理する。このとき、管理部134は、認証対象者からリカバリー協力者として被権限委譲者のアカウントの登録を受け付け、認証対象者のアカウントと被権限委譲者のアカウントとを紐づけて管理する。In addition, the management unit 134 manages information about the person to be authenticated (authority delegator) and the person to whom the authority is delegated designated by the person to be authenticated regarding the delegation of account recovery authority to another person (for example, delegation of account recovery authority from a child to a parent). For example, the management unit 134 manages information about the child who is the person to be authenticated and the parent who is the person to whom the authority is delegated. In this case, the management unit 134 accepts registration of the account of the person to be authenticated as a recovery collaborator from the person to be authenticated, and manages the account of the person to be authenticated and the account of the person to whom the authority is delegated in association with each other.
(提供部135)
提供部135は、通信部110を介して、FIDO認証に成功したユーザにアイデンティティサービスを提供する。すなわち、提供部135は、ユーザである利用者Uの端末装置10に対して、ユーザである利用者Uへのアイデンティティサービスを提供する。(Providing unit 135)
The providing unit 135 provides an identity service to a user who has successfully passed the FIDO authentication via the communication unit 110. That is, the providing unit 135 provides the identity service to the user U, who is the user, to the terminal device 10 of the user U.
また、提供部135は、通信部110を介して、ユーザである利用者Uの端末装置10に対して、画面情報(入力画面等)を提供してもよい。このとき、利用者Uの端末装置10は、提供された画面情報に基づいて、入力画面等を表示する。The providing unit 135 may also provide screen information (such as an input screen) to the terminal device 10 of the user U via the communication unit 110. At this time, the terminal device 10 of the user U displays the input screen, etc. based on the provided screen information.
また、提供部135は、通信部110を介して、ユーザである利用者Uの端末装置10に対して、FIDO認証の成否に関する情報を提供してもよい。また、提供部135は、通信部110を介して、ユーザである利用者Uの端末装置10に対して、FIDO認証に関連した各種情報を提供してもよい。The providing unit 135 may also provide information regarding the success or failure of FIDO authentication to the terminal device 10 of the user U via the communication unit 110. The providing unit 135 may also provide various information related to FIDO authentication to the terminal device 10 of the user U via the communication unit 110.
〔5.処理手順〕
次に、図17を用いて実施形態に係るサーバ装置100による処理手順について説明する。図17は、実施形態に係る処理手順を示すフローチャートである。なお、以下に示す処理手順は、サーバ装置100の制御部130によって繰り返し実行される。5. Processing Procedure
Next, a processing procedure performed by the server device 100 according to the embodiment will be described with reference to Fig. 17. Fig. 17 is a flowchart showing the processing procedure according to the embodiment. Note that the processing procedure shown below is repeatedly executed by the control unit 130 of the server device 100.
図17に示すように、サーバ装置100の認証処理部133は、アテステーション文書に基づいて認証器の信頼性を判断し、信頼できる認証器との間でFIDO認証を実施する(ステップS101)。As shown in FIG. 17, the authentication processing unit 133 of the server device 100 determines the trustworthiness of the authenticator based on the attestation document and performs FIDO authentication with the trusted authenticator (step S101).
続いて、サーバ装置100の管理部134は、本人確認する際の登録済みの個人属性情報を、セキュリティポリシーを満たすように継続的に管理する(ステップS102)。Next, the management unit 134 of the server device 100 continuously manages the registered personal attribute information used when verifying identity so that it complies with the security policy (step S102).
続いて、サーバ装置100の管理部134は、ユーザにアイデンティティサービスを提供するアクセス制御時に、個人属性情報がセキュリティポリシーを満たしていなければ、セキュリティポリシーを満たすように新たな認証及び本人確認処理を発動する(ステップS103)。Next, when controlling access to provide identity services to a user, if the personal attribute information does not satisfy the security policy, the management unit 134 of the server device 100 initiates new authentication and identity verification processing to satisfy the security policy (step S103).
続いて、サーバ装置100の管理部134は、アテステーション文書を保管し、アテステーション文書の認証強度を継続的に管理する(ステップS104)。Next, the management unit 134 of the server device 100 stores the attestation document and continuously manages the authentication strength of the attestation document (step S104).
続いて、サーバ装置100の管理部134は、セキュリティ強化を決定した際に、既に保管しているアテステーション文書が認証強度を満たさない場合、認証強度を満たすアテステーションを再実施する(ステップS105)。Next, when the management unit 134 of the server device 100 decides to strengthen security, if the attestation document already stored does not meet the authentication strength, it re-performs attestation that meets the authentication strength (step S105).
続いて、サーバ装置100の生成部132は、認証に失敗してアカウントにアクセスできなくなった時には、ユーザのアカウントリカバリーを実施する前に、ユーザの行動ログに基づいて、本人確認をするための秘密の質問と正解とを動的に生成する(ステップS106)。Next, when authentication fails and the account cannot be accessed, the generation unit 132 of the server device 100 dynamically generates a secret question and answer for identity verification based on the user's behavior log before performing account recovery for the user (step S106).
続いて、サーバ装置100の認証処理部133は、秘密の質問に対するユーザの回答と正解とを照合し、本人確認する(ステップS107)。例えば、認証処理部133は、入力された文書又は画像のデータに基づくハッシュ値と、正解としてあらかじめ保管しているハッシュ値とを照合し、本人確認する。The authentication processing unit 133 of the server device 100 then verifies the user's identity by comparing the user's answer to the secret question with the correct answer (step S107). For example, the authentication processing unit 133 verifies the user's identity by comparing a hash value based on the input document or image data with a hash value previously stored as the correct answer.
続いて、サーバ装置100の管理部134は、他人へのアカウントリカバリーの権限委譲(例えば、子供から親へのアカウントリカバリーの権限委譲)に関して、認証対象者(権限委譲者)と、認証対象者が指定した被権限委譲者との情報を管理する(ステップS108)。Next, the management unit 134 of the server device 100 manages information regarding the person to be authenticated (authority delegator) and the person to whom the authority is delegated designated by the person to be authenticated regarding the delegation of account recovery authority to another person (for example, delegation of account recovery authority from a child to a parent) (step S108).
続いて、サーバ装置100の認証処理部133は、認証対象者(権限委譲者)からのアカウントリカバリーの要求に対して、認証対象者が指定した被権限委譲者の承認で認証対象者のアカウントリカバリーを実施する(ステップS109)。Next, in response to a request for account recovery from the person to be authenticated (authority delegate), the authentication processing unit 133 of the server device 100 performs account recovery for the person to be authenticated with the approval of the authority delegate designated by the person to be authenticated (step S109).
〔6.変形例〕
上述した端末装置10及びサーバ装置100は、上記実施形態以外にも種々の異なる形態にて実施されてよい。そこで、以下では、実施形態の変形例について説明する。6. Modifications
The terminal device 10 and the server device 100 described above may be implemented in various different forms other than the above-described embodiment. Therefore, modifications of the embodiment will be described below.
上記の実施形態において、サーバ装置100が実行している処理の一部又は全部は、実際には、端末装置10が実行してもよい。例えば、スタンドアローン(Stand-alone)で(端末装置10単体で)処理が完結してもよい。この場合、端末装置10に、上記の実施形態におけるサーバ装置100の機能が備わっているものとする。また、上記の実施形態では、端末装置10はサーバ装置100と連携しているため、利用者Uから見れば、サーバ装置100の処理も端末装置10が実行しているように見える。すなわち、他の観点では、端末装置10は、サーバ装置100を備えているともいえる。In the above embodiment, some or all of the processing performed by the server device 100 may actually be performed by the terminal device 10. For example, processing may be completed in a stand-alone manner (by the terminal device 10 alone). In this case, the terminal device 10 is assumed to have the functions of the server device 100 in the above embodiment. Furthermore, in the above embodiment, the terminal device 10 is linked to the server device 100, so from the perspective of the user U, it appears that the processing of the server device 100 is also being performed by the terminal device 10. In other words, from another perspective, the terminal device 10 can also be said to be equipped with the server device 100.
また、上記の実施形態において、サーバ装置100は、FIDO認証と他の認証とを組み合わせて多段階認証としてもよい。例えば、サーバ装置100は、FIDO認証とパスワード認証とを組み合わせて2段階認証としてもよい。あるいは、サーバ装置100は、FIDO認証と秘密の質問とを組み合わせて2段階認証としてもよい。Furthermore, in the above embodiment, the server device 100 may combine FIDO authentication with other authentication methods to provide multi-step authentication. For example, the server device 100 may combine FIDO authentication with password authentication to provide two-step authentication. Alternatively, the server device 100 may combine FIDO authentication with a secret question to provide two-step authentication.
また、上記の実施形態において、サーバ装置100は、FIDO認証において、認証の3要素である「知識情報」、「所持情報」、「生体情報」のうち、2つ以上を組み合わせて認証するようにしてもよい。すなわち、サーバ装置100は、多要素認証(MFA:Multi-Factor Authentication)を採用してもよい。Furthermore, in the above embodiment, the server device 100 may perform FIDO authentication by combining two or more of the three authentication elements: "knowledge information," "possession information," and "biometric information." In other words, the server device 100 may employ multi-factor authentication (MFA).
また、上記の実施形態において、サーバ装置100は、ユーザの行動に関連してユーザが入手した文書のデータを入力させ、入力された文書のデータを自然言語処理(文章解析)してベクトル化した値と、正解としてあらかじめ保管している値とを照合し、本人確認してもよい。すなわち、サーバ装置100は、ハッシュ値に限らず、文書のベクトル値を照合して本人確認してもよい。Furthermore, in the above embodiment, the server device 100 may have the user input data on documents obtained in connection with the user's actions, and may compare the vectorized values obtained by natural language processing (text analysis) of the input document data with values previously stored as correct answers to verify the identity of the user. In other words, the server device 100 may verify the identity of the user by comparing the vector values of the documents, rather than being limited to hash values.
また、上記の実施形態において、サーバ装置100は、動的に秘密の質問を作成する際に、検索履歴を用いてもよい。例えば、サーバ装置100は、ユーザが入力(又は選択)した複数の検索クエリの組合せのハッシュ値と、あらかじめ登録された正解データとを照合して、本人確認してもよい。なお、ハッシュ値に限らず、検索クエリの組合せを自然言語処理(文章解析)してベクトル化した値であってもよい。Furthermore, in the above embodiment, the server device 100 may use search history when dynamically creating secret questions. For example, the server device 100 may verify the identity of the user by comparing a hash value of a combination of multiple search queries entered (or selected) by the user with pre-registered correct answer data. Note that the hash value is not limited to a hash value, and may also be a vectorized value obtained by subjecting the combination of search queries to natural language processing (text analysis).
また、上記の実施形態において、サーバ装置100は、アテステーション用公開鍵や認証用公開鍵、及び認証器出生証明文書(アテステーション文書)をブロックチェーン(BC)で管理してもよい。例えば、FIDO公開鍵を分散台帳装置が管理する。分散台帳装置は、ネットワークを構成する各ノードが同じ台帳を管理/共有することができる分散型台帳技術(DLT:Distributed Ledger Technology)に対応したサーバ装置である。分散台帳装置は、このネットワークを構成するノードの1つであってもよい。ブロックチェーンのブロックにハッシュが入るので、公開鍵が改ざんされていないかを認証できる。また、公開鍵の適切性を検証してから、認証を行うことができる。In addition, in the above embodiment, the server device 100 may manage the attestation public key, authentication public key, and authenticator birth certificate document (attestation document) using a blockchain (BC). For example, the FIDO public key is managed by a distributed ledger device. The distributed ledger device is a server device that supports distributed ledger technology (DLT), which allows each node that makes up a network to manage and share the same ledger. The distributed ledger device may be one of the nodes that make up this network. Since a hash is included in the blockchain block, it is possible to verify that the public key has not been tampered with. Furthermore, authentication can be performed after verifying the appropriateness of the public key.
〔7.効果〕
上述してきたように、本願に係る情報処理装置(端末装置10及びサーバ装置100)は、ユーザ本人があらかじめ登録した個人属性情報と、ユーザにより提示された個人属性情報が一致することを確認することによって、本人確認する認証処理部133と、本人確認する際の登録済みの個人属性情報を、セキュリティポリシーを満たすように継続的に管理する管理部134と、を備える。7. Effects
As described above, the information processing device (terminal device 10 and server device 100) according to the present application includes an authentication processing unit 133 that verifies the identity of a user by confirming that the personal attribute information previously registered by the user matches the personal attribute information presented by the user, and a management unit 134 that continuously manages the registered personal attribute information used for identity verification so as to satisfy a security policy.
管理部134は、ユーザにアイデンティティサービスを提供するアクセス制御時に、個人属性情報がセキュリティポリシーを満たしていなければ、セキュリティポリシーを満たすように新たな認証及び本人確認処理を発動する。When controlling access to provide identity services to a user, if the personal attribute information does not satisfy the security policy, the management unit 134 initiates new authentication and identity verification processing to satisfy the security policy.
管理部134は、セキュリティポリシーに基づき、本人確認の方法の違いによる個人属性情報の信頼度のばらつきを抑制し、個人属性情報の信頼度を継続的に管理する。Based on the security policy, the management unit 134 suppresses variations in the reliability of personal attribute information due to differences in identity verification methods and continuously manages the reliability of personal attribute information.
管理部134は、セキュリティポリシーに基づき、時間の経過による個人属性情報の信頼度の低下を抑制し、個人属性情報の信頼度を継続的に管理する。The management unit 134 prevents the reliability of personal attribute information from decreasing over time based on the security policy, and continuously manages the reliability of personal attribute information.
管理部134は、セキュリティポリシーが変更された場合、個人属性情報が変更後のセキュリティポリシーを満たすように継続的に管理する。When the security policy is changed, the management unit 134 continuously manages the personal attribute information so that it complies with the changed security policy.
管理部134は、登録済みの個人属性情報の根拠となる本人確認書類の有効期限が過ぎている場合、又は本人確認書類が失効している場合、個人属性情報がセキュリティポリシーを満たしていないと判断し、セキュリティポリシーを満たすように新たな認証及び本人確認処理を発動する。If the identity verification document that forms the basis of the registered personal attribute information has expired or has become invalid, the management unit 134 determines that the personal attribute information does not comply with the security policy and initiates new authentication and identity verification processing to comply with the security policy.
管理部134は、認証中のオンラインユーザに対する個人属性情報の確度を、認証確度と本人確度の掛け合わせにより求める。認証確度は、各認証試行の成功後に確立する認証セッションの有効時間を超えると0になる。本人確度は、個人属性情報のタイプによって変化する。The management unit 134 calculates the accuracy of personal attribute information for an online user currently being authenticated by multiplying the authentication accuracy by the identity accuracy. The authentication accuracy becomes 0 once the validity period of the authentication session established after each successful authentication attempt has expired. The identity accuracy varies depending on the type of personal attribute information.
また、他の観点では、本願に係る情報処理装置(端末装置10及びサーバ装置100)は、アテステーション文書に基づいて認証器の信頼性を判断し、信頼できる認証器との間でFIDO認証を実施する認証処理部133と、アテステーション文書を保管し、アテステーション文書の認証強度を継続的に管理する管理部134と、を備える。In another aspect, the information processing device (terminal device 10 and server device 100) according to the present application includes an authentication processing unit 133 that determines the reliability of the authenticator based on the attestation document and performs FIDO authentication with the trusted authenticator, and a management unit 134 that stores the attestation document and continuously manages the authentication strength of the attestation document.
管理部134は、セキュリティ強化を決定した際に、既に保管しているアテステーション文書が認証強度を満たさない場合、認証強度を満たすアテステーションを再実施する。When the management unit 134 decides to strengthen security, if the attestation documents already stored do not meet the authentication strength requirements, it will re-perform attestation that meets the authentication strength requirements.
管理部134は、時間経過又は問題の発見により、認証器がセキュリティポリシーを満たさなくなった場合、アテステーションを再実施する。If the authenticator no longer meets the security policy due to the passage of time or the discovery of a problem, the management unit 134 will re-perform the attestation.
管理部134は、セキュリティポリシーの変更により、認証器がセキュリティポリシーを満たさなくなった場合、アテステーションを再実施する。If a change in the security policy causes the authenticator to no longer satisfy the security policy, the management unit 134 will re-perform attestation.
管理部134は、アテステーション文書の内容に基づいて、公開鍵の信頼性強度を決定する。The management unit 134 determines the reliability strength of the public key based on the contents of the attestation document.
認証処理部133は、認証器の秘密鍵を用いた署名を、秘密鍵に対応する公開鍵で検証する。管理部134は、公開鍵の信頼性強度を管理し、公開鍵の信頼性強度が低下した場合、公開鍵の変更を要求する。The authentication processing unit 133 verifies a signature created using the authenticator's private key with the public key corresponding to the private key. The management unit 134 manages the reliability of the public key and requests a change of the public key if the reliability of the public key decreases.
例えば、管理部134は、時間経過により、公開鍵の信頼性強度が低下したと判断し、公開鍵の変更を要求する。For example, the management unit 134 determines that the reliability of the public key has decreased over time and requests that the public key be changed.
また、管理部134は、公開鍵の有効期限が切れた場合、公開鍵の信頼性強度が低下したと判断し、公開鍵の変更を要求する。In addition, if the public key has expired, the management unit 134 determines that the reliability of the public key has decreased and requests that the public key be changed.
また、管理部134は、公開鍵の信頼性強度がセキュリティポリシーを満たしていない場合、公開鍵の信頼性強度が低下したと判断し、公開鍵の変更を要求する。In addition, if the reliability strength of the public key does not meet the security policy, the management unit 134 determines that the reliability strength of the public key has decreased and requests that the public key be changed.
また、他の観点では、本願に係る情報処理装置(端末装置10及びサーバ装置100)は、ユーザの行動ログに基づいて、本人確認をするための秘密の質問と正解とを動的に生成する生成部132と、秘密の質問に対するユーザの回答と正解とを照合し、本人確認する認証処理部133と、を備える。In another aspect, the information processing device (terminal device 10 and server device 100) according to the present application includes a generation unit 132 that dynamically generates secret questions and correct answers for identity verification based on the user's behavior log, and an authentication processing unit 133 that verifies the user's identity by comparing the user's answers to the secret questions with the correct answers.
例えば、生成部132は、行動ログの形式を特定し、行動ログから質問項目の特定及び抽出を行う。For example, the generation unit 132 identifies the format of the behavior log and identifies and extracts question items from the behavior log.
あるいは、生成部132は、機械学習を用いた統計的な分析手法により質問項目を特定する。Alternatively, the generation unit 132 identifies question items using a statistical analysis method using machine learning.
生成部132は、ユーザの複数の行動ログのうち質問対象ログを抽出し、質問対象ログから1以上の質問項目を決めた質問テンプレートを作成し、質問項目生成ポリシーを決定し、質問項目生成ポリシーに基づいて質問と正解を生成する。The generation unit 132 extracts question target logs from the user's multiple behavior logs, creates a question template that determines one or more question items from the question target log, determines a question item generation policy, and generates questions and correct answers based on the question item generation policy.
生成部132は、秘密の質問とともに、ダミーの質問を生成する。認証処理部133は、秘密の質問とともに、ダミーの質問をユーザに提示する。The generation unit 132 generates a dummy question along with the secret question. The authentication processing unit 133 presents the dummy question to the user along with the secret question.
生成部132は、正解とともに、ダミーの回答を生成する。認証処理部133は、正解とともにダミーの回答を選択肢としてユーザに提示し、ユーザに選択させる。The generation unit 132 generates a dummy answer along with the correct answer. The authentication processing unit 133 presents the dummy answer along with the correct answer to the user as options, allowing the user to select one.
生成部132は、ユーザの複数の行動ログに基づいて1つの質問を生成する。The generation unit 132 generates a question based on multiple behavioral logs of the user.
認証処理部133は、秘密の質問に対するユーザの回答として、ユーザの行動に関連してユーザが入手した文書又は画像のデータを入力させる。The authentication processing unit 133 prompts the user to enter document or image data obtained by the user in connection with their actions as the user's answer to the secret question.
認証処理部133は、入力された文書又は画像のデータと、正解としてあらかじめ保管している文書又は画像のデータとを照合し、本人確認する。The authentication processing unit 133 compares the input document or image data with document or image data that has been stored in advance as the correct answer to verify the identity of the person.
認証処理部133は、入力された文書又は画像のデータに基づくハッシュ値と、正解としてあらかじめ保管しているハッシュ値とを照合し、本人確認する。The authentication processing unit 133 compares the hash value based on the input document or image data with a hash value previously stored as the correct answer to verify the identity of the person.
認証処理部133は、秘密の質問に対するユーザの回答として、ユーザの複数の行動のそれぞれに関連してユーザが入手した複数の文書又は画像のデータを入力させ、複数の文書又は画像のデータに基づくハッシュ値と、正解としてあらかじめ保管しているハッシュ値とを照合し、本人確認する。The authentication processing unit 133 prompts the user to enter multiple documents or image data obtained by the user in connection with each of the user's actions as answers to the secret question, and then compares a hash value based on the multiple documents or image data with a hash value previously stored as the correct answer to verify the user's identity.
認証処理部133は、入力された文書又は画像のデータの特徴と、正解としてあらかじめ保管している特徴とを照合し、本人確認する。The authentication processing unit 133 compares the characteristics of the input document or image data with characteristics previously stored as correct answers to verify the identity of the person.
認証処理部133は、秘密の質問に対するユーザの回答として、ユーザの購買行動に関連してユーザが入手したメールのデータを入力させる。The authentication processing unit 133 prompts the user to enter email data obtained by the user in connection with their purchasing behavior as their answer to the secret question.
また、他の観点では、本願に係る情報処理装置(端末装置10及びサーバ装置100)は、認証対象者と、認証対象者が指定した被権限委譲者との情報を管理する管理部134と、認証対象者からのアカウントリカバリーの要求に対して、被権限委譲者の承認で認証対象者のアカウントリカバリーを実施する認証処理部133と、を備える。In another aspect, the information processing device (terminal device 10 and server device 100) according to the present application includes a management unit 134 that manages information about the person to be authenticated and the person to whom the authority is delegated designated by the person to be authenticated, and an authentication processing unit 133 that, in response to a request for account recovery from the person to be authenticated, performs account recovery for the person to be authenticated with the approval of the person to whom the authority is delegated.
管理部134は、認証対象者からリカバリー協力者として被権限委譲者のアカウントの登録を受け付け、認証対象者のアカウントと被権限委譲者のアカウントとを紐づけて管理する。The management unit 134 accepts registration of the account of the authority transferee as a recovery collaborator from the person to be authenticated, and manages the account of the person to be authenticated and the account of the authority transferee in association with each other.
認証処理部133は、認証対象者の端末装置からのリカバリー要求に応じて、認証対象者の端末装置を介して被権限委譲者の端末装置にチャレンジを含むリカバリー許可要求を送信し、リカバリー許可要求に対する応答として、認証対象者の端末装置を介して被権限委譲者の端末装置から署名付きチャレンジを含むリカバリー許可応答を受信し、署名の検証に成功した場合、認証対象者のアカウントリカバリーを実施する。In response to a recovery request from the terminal device of the person to be authenticated, the authentication processing unit 133 sends a recovery authorization request including a challenge to the terminal device of the person to be authenticated via the terminal device of the person to be authenticated, receives a recovery authorization response including a signed challenge from the terminal device of the person to be authenticated in response to the recovery authorization request, and if the signature verification is successful, performs account recovery for the person to be authenticated.
認証処理部133は、被権限委譲者がリカバリー許可要求に対する承認としてチャレンジに署名して生成した署名付きチャレンジを含むリカバリー許可応答を受信する。The authentication processing unit 133 receives a recovery authorization response including a signed challenge generated by the grantee signing the challenge as approval for the recovery authorization request.
認証処理部133は、署名の検証に成功した場合、被権限委譲者がリカバリー協力者であることを確認し、認証対象者のアカウントリカバリーを実施する。If the signature verification is successful, the authentication processing unit 133 confirms that the authority delegatee is a recovery collaborator and performs account recovery for the person to be authenticated.
認証対象者の端末装置と被権限委譲者の端末装置との間では近距離無線通信でデータの送受信が行われる。Data is sent and received via short-range wireless communication between the terminal device of the person being authenticated and the terminal device of the person being delegated authority.
管理部134は、認証対象者である子供と、被権限委譲者である親との情報を管理する。認証処理部133は、子供からのアカウントリカバリーの要求に対して、親の承認で子供のアカウントリカバリーを実施する。このとき、認証処理部133は、親に対してFIDO認証を実施する。The management unit 134 manages information on the child, who is the person to be authenticated, and the parent, who is the person to whom authority is delegated. In response to a request for account recovery from a child, the authentication processing unit 133 recovers the child's account with the parent's approval. At this time, the authentication processing unit 133 performs FIDO authentication on the parent.
上述した各処理のいずれかもしくは組合せにより、本願に係る情報処理装置は、認証技術において動的に秘密の質問を作成する手法を提供することができる。By using any one or a combination of the above processes, the information processing device according to the present application can provide a method for dynamically creating secret questions in authentication technology.
〔8.ハードウェア構成〕
また、上述した実施形態に係る端末装置10やサーバ装置100は、例えば図18に示すような構成のコンピュータ1000によって実現される。以下、サーバ装置100を例に挙げて説明する。図18は、ハードウェア構成の一例を示す図である。コンピュータ1000は、出力装置1010、入力装置1020と接続され、演算装置1030、一次記憶装置1040、二次記憶装置1050、出力I/F(Interface)1060、入力I/F1070、ネットワークI/F1080がバス1090により接続された形態を有する。8. Hardware Configuration
The terminal device 10 and the server device 100 according to the above-described embodiments are realized by a computer 1000 having a configuration as shown in Fig. 18, for example. The following description will be given taking the server device 100 as an example. Fig. 18 is a diagram showing an example of a hardware configuration. The computer 1000 is connected to an output device 1010 and an input device 1020, and has a configuration in which a calculation device 1030, a primary storage device 1040, a secondary storage device 1050, an output I/F (Interface) 1060, an input I/F 1070, and a network I/F 1080 are connected via a bus 1090.
演算装置1030は、一次記憶装置1040や二次記憶装置1050に格納されたプログラムや入力装置1020から読み出したプログラム等に基づいて動作し、各種の処理を実行する。演算装置1030は、例えばCPU(Central Processing Unit)、MPU(Micro Processing Unit)、ASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)等により実現される。The arithmetic unit 1030 operates based on programs stored in the primary storage device 1040 and secondary storage device 1050, programs read from the input device 1020, and the like, and executes various processes. The arithmetic unit 1030 is realized, for example, by a CPU (Central Processing Unit), MPU (Micro Processing Unit), ASIC (Application Specific Integrated Circuit), FPGA (Field Programmable Gate Array), etc.
一次記憶装置1040は、RAM(Random Access Memory)等、演算装置1030が各種の演算に用いるデータを一次的に記憶するメモリ装置である。また、二次記憶装置1050は、演算装置1030が各種の演算に用いるデータや、各種のデータベースが登録される記憶装置であり、ROM(Read Only Memory)、HDD(Hard Disk Drive)、SSD(Solid State Drive)、フラッシュメモリ等により実現される。二次記憶装置1050は、内蔵ストレージであってもよいし、外付けストレージであってもよい。また、二次記憶装置1050は、USB(Universal Serial Bus)メモリやSD(Secure Digital)メモリカード等の取り外し可能な記憶媒体であってもよい。また、二次記憶装置1050は、クラウドストレージ(オンラインストレージ)やNAS(Network Attached Storage)、ファイルサーバ等であってもよい。The primary storage device 1040 is a memory device, such as RAM (Random Access Memory), that primarily stores data used by the arithmetic device 1030 for various calculations. The secondary storage device 1050 is a storage device in which data used by the arithmetic device 1030 for various calculations and various databases are registered, and is realized by a ROM (Read Only Memory), HDD (Hard Disk Drive), SSD (Solid State Drive), flash memory, etc. The secondary storage device 1050 may be internal storage or external storage. The secondary storage device 1050 may also be a removable storage medium such as a USB (Universal Serial Bus) memory or an SD (Secure Digital) memory card. The secondary storage device 1050 may also be cloud storage (online storage), NAS (Network Attached Storage), a file server, etc.
出力I/F1060は、ディスプレイ、プロジェクタ、及びプリンタ等といった各種の情報を出力する出力装置1010に対し、出力対象となる情報を送信するためのインターフェースであり、例えば、USB(Universal Serial Bus)やDVI(Digital Visual Interface)、HDMI(登録商標)(High Definition Multimedia Interface)といった規格のコネクタにより実現される。また、入力I/F1070は、マウス、キーボード、キーパッド、ボタン、及びスキャナ等といった各種の入力装置1020から情報を受信するためのインターフェースであり、例えば、USB等により実現される。The output I/F 1060 is an interface for transmitting information to be output to an output device 1010 that outputs various types of information, such as a display, projector, printer, etc., and is realized by a connector conforming to a standard such as USB (Universal Serial Bus), DVI (Digital Visual Interface), or HDMI (High Definition Multimedia Interface, registered trademark). The input I/F 1070 is an interface for receiving information from various input devices 1020, such as a mouse, keyboard, keypad, buttons, scanner, etc., and is realized by USB, for example.
また、出力I/F1060及び入力I/F1070はそれぞれ出力装置1010及び入力装置1020と無線で接続してもよい。すなわち、出力装置1010及び入力装置1020は、ワイヤレス機器であってもよい。Furthermore, the output I/F 1060 and the input I/F 1070 may be wirelessly connected to the output device 1010 and the input device 1020, respectively. In other words, the output device 1010 and the input device 1020 may be wireless devices.
また、出力装置1010及び入力装置1020は、タッチパネルのように一体化していてもよい。この場合、出力I/F1060及び入力I/F1070も、入出力I/Fとして一体化していてもよい。Furthermore, the output device 1010 and the input device 1020 may be integrated, such as a touch panel. In this case, the output I/F 1060 and the input I/F 1070 may also be integrated as an input/output I/F.
なお、入力装置1020は、例えば、CD(Compact Disc)、DVD(Digital Versatile Disc)、PD(Phase change rewritable Disk)等の光学記録媒体、MO(Magneto-Optical disk)等の光磁気記録媒体、テープ媒体、磁気記録媒体、又は半導体メモリ等から情報を読み出す装置であってもよい。The input device 1020 may be a device that reads information from, for example, optical recording media such as CDs (Compact Discs), DVDs (Digital Versatile Discs), and PDs (Phase Change Rewritable Disks), magneto-optical recording media such as MOs (Magneto-Optical Disks), tape media, magnetic recording media, or semiconductor memories.
ネットワークI/F1080は、ネットワークNを介して他の機器からデータを受信して演算装置1030へ送り、また、ネットワークNを介して演算装置1030が生成したデータを他の機器へ送信する。The network I/F 1080 receives data from other devices via the network N and sends it to the computing device 1030, and also transmits data generated by the computing device 1030 to other devices via the network N.
演算装置1030は、出力I/F1060や入力I/F1070を介して、出力装置1010や入力装置1020の制御を行う。例えば、演算装置1030は、入力装置1020や二次記憶装置1050からプログラムを一次記憶装置1040上にロードし、ロードしたプログラムを実行する。The arithmetic unit 1030 controls the output device 1010 and the input device 1020 via the output I/F 1060 and the input I/F 1070. For example, the arithmetic unit 1030 loads a program from the input device 1020 or the secondary storage device 1050 onto the primary storage device 1040 and executes the loaded program.
例えば、コンピュータ1000がサーバ装置100として機能する場合、コンピュータ1000の演算装置1030は、一次記憶装置1040上にロードされたプログラムを実行することにより、制御部130の機能を実現する。また、コンピュータ1000の演算装置1030は、ネットワークI/F1080を介して他の機器から取得したプログラムを一次記憶装置1040上にロードし、ロードしたプログラムを実行してもよい。また、コンピュータ1000の演算装置1030は、ネットワークI/F1080を介して他の機器と連携し、プログラムの機能やデータ等を他の機器の他のプログラムから呼び出して利用してもよい。For example, when the computer 1000 functions as the server device 100, the arithmetic unit 1030 of the computer 1000 realizes the functions of the control unit 130 by executing a program loaded onto the primary storage device 1040. The arithmetic unit 1030 of the computer 1000 may also load a program acquired from another device via the network I/F 1080 onto the primary storage device 1040 and execute the loaded program. The arithmetic unit 1030 of the computer 1000 may also cooperate with other devices via the network I/F 1080 and call and use program functions, data, etc. from other programs on the other devices.
〔9.その他〕
以上、本願の実施形態を説明したが、これら実施形態の内容により本発明が限定されるものではない。また、前述した構成要素には、当業者が容易に想定できるもの、実質的に同一のもの、いわゆる均等の範囲のものが含まれる。さらに、前述した構成要素は適宜組み合わせることが可能である。さらに、前述した実施形態の要旨を逸脱しない範囲で構成要素の種々の省略、置換又は変更を行うことができる。[9. Other]
Although the embodiments of the present application have been described above, the present invention is not limited to the contents of these embodiments. Furthermore, the above-described components include those that can be easily imagined by a person skilled in the art, those that are substantially the same, and those that are within the scope of so-called equivalents. Furthermore, the above-described components can be combined as appropriate. Furthermore, various omissions, substitutions, or modifications of the components can be made without departing from the spirit of the above-described embodiments.
また、上記実施形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部又は一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。例えば、各図に示した各種情報は、図示した情報に限られない。Furthermore, among the processes described in the above embodiments, all or part of the processes described as being performed automatically can be performed manually, or all or part of the processes described as being performed manually can be performed automatically using known methods. In addition, the information including the processing procedures, specific names, various data, and parameters shown in the above documents and drawings can be changed as desired unless otherwise specified. For example, the various information shown in each drawing is not limited to the information shown.
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。Furthermore, the components of each device shown in the figure are functional concepts and do not necessarily have to be physically configured as shown. In other words, the specific form of distribution and integration of each device is not limited to that shown, and all or part of them can be functionally or physically distributed and integrated in any unit depending on various loads, usage conditions, etc.
例えば、上述したサーバ装置100は、複数のサーバコンピュータで実現してもよく、また、機能によっては外部のプラットフォーム等をAPI(Application Programming Interface)やネットワークコンピューティング等で呼び出して実現するなど、構成は柔軟に変更できる。For example, the above-mentioned server device 100 may be implemented using multiple server computers, and depending on the function, the configuration can be flexibly changed, such as by calling an external platform using an API (Application Programming Interface) or network computing.
また、上述してきた実施形態及び変形例は、処理内容を矛盾させない範囲で適宜組み合わせることが可能である。Furthermore, the above-described embodiments and variations can be combined as appropriate to the extent that the processing content is not contradictory.
また、上述してきた「部(section、module、unit)」は、「手段」や「回路」などに読み替えることができる。例えば、取得部は、取得手段や取得回路に読み替えることができる。Furthermore, the "section, module, unit" mentioned above can be read as "means" or "circuit." For example, an acquisition unit can be read as an acquisition means or an acquisition circuit.
1 情報処理システム
10 端末装置
100 サーバ装置
110 通信部
120 記憶部
121 利用者情報データベース
122 履歴情報データベース
123 認証情報データベース
124 ポリシー情報データベース
130 制御部
131 取得部
132 生成部
133 認証処理部
134 管理部
135 提供部 REFERENCE SIGNS LIST 1 Information processing system 10 Terminal device 100 Server device 110 Communication unit 120 Storage unit 121 User information database 122 History information database 123 Authentication information database 124 Policy information database 130 Control unit 131 Acquisition unit 132 Generation unit 133 Authentication processing unit 134 Management unit 135 Provision unit
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2022069691AJP7742333B2 (en) | 2022-04-20 | 2022-04-20 | Information processing device, information processing method, and information processing program |
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2022069691AJP7742333B2 (en) | 2022-04-20 | 2022-04-20 | Information processing device, information processing method, and information processing program |
| Publication Number | Publication Date |
|---|---|
| JP2023159772A JP2023159772A (en) | 2023-11-01 |
| JP7742333B2true JP7742333B2 (en) | 2025-09-19 |
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2022069691AActiveJP7742333B2 (en) | 2022-04-20 | 2022-04-20 | Information processing device, information processing method, and information processing program |
| Country | Link |
|---|---|
| JP (1) | JP7742333B2 (en) |
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2025121878A1 (en)* | 2023-12-04 | 2025-06-12 | 삼성전자 주식회사 | Electronic device and user authentication method using same |
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005190452A (en) | 2003-12-01 | 2005-07-14 | Ihc:Kk | Authentication system |
| US20050216768A1 (en) | 2004-03-16 | 2005-09-29 | Queue Global Information Systems Corp. | System and method for authenticating a user of an account |
| JP2008269054A (en) | 2007-04-17 | 2008-11-06 | Ffc Ltd | Transaction management program and transaction management method |
| JP2014153859A (en) | 2013-02-07 | 2014-08-25 | Japan Research Institute Ltd | Personal authentication system using image corresponding to action history, authentication method, and authentication program |
| JP2015213743A (en) | 2015-03-12 | 2015-12-03 | 株式会社 ディー・エヌ・エー | Server device, program, and system |
| JP2017076380A (en) | 2015-10-15 | 2017-04-20 | Line株式会社 | System and method for authenticating user by using history of user |
| JP2017134750A (en) | 2016-01-29 | 2017-08-03 | ヤフー株式会社 | Authentication apparatus, authentication method, and authentication program |
| JP2018147327A (en) | 2017-03-07 | 2018-09-20 | ヤフー株式会社 | Generating device, generating method, and generating program |
| JP2018147053A (en) | 2017-03-01 | 2018-09-20 | 株式会社Mcデータプラス | Server, authentication method and computer program |
| JP2020064541A (en) | 2018-10-19 | 2020-04-23 | 富士通株式会社 | Identity verification program, identity verification method and information processing apparatus |
| JP2021012640A (en) | 2019-07-09 | 2021-02-04 | 大日本印刷株式会社 | Financial transaction system, mobile terminal, authentication module and financial transaction method |
| WO2021192711A1 (en) | 2020-03-26 | 2021-09-30 | 日本電気株式会社 | Information processing device, information processing system, information processing method, and recording medium |
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005190452A (en) | 2003-12-01 | 2005-07-14 | Ihc:Kk | Authentication system |
| US20050216768A1 (en) | 2004-03-16 | 2005-09-29 | Queue Global Information Systems Corp. | System and method for authenticating a user of an account |
| JP2008269054A (en) | 2007-04-17 | 2008-11-06 | Ffc Ltd | Transaction management program and transaction management method |
| JP2014153859A (en) | 2013-02-07 | 2014-08-25 | Japan Research Institute Ltd | Personal authentication system using image corresponding to action history, authentication method, and authentication program |
| JP2015213743A (en) | 2015-03-12 | 2015-12-03 | 株式会社 ディー・エヌ・エー | Server device, program, and system |
| JP2017076380A (en) | 2015-10-15 | 2017-04-20 | Line株式会社 | System and method for authenticating user by using history of user |
| JP2017134750A (en) | 2016-01-29 | 2017-08-03 | ヤフー株式会社 | Authentication apparatus, authentication method, and authentication program |
| JP2018147053A (en) | 2017-03-01 | 2018-09-20 | 株式会社Mcデータプラス | Server, authentication method and computer program |
| JP2018147327A (en) | 2017-03-07 | 2018-09-20 | ヤフー株式会社 | Generating device, generating method, and generating program |
| JP2020064541A (en) | 2018-10-19 | 2020-04-23 | 富士通株式会社 | Identity verification program, identity verification method and information processing apparatus |
| JP2021012640A (en) | 2019-07-09 | 2021-02-04 | 大日本印刷株式会社 | Financial transaction system, mobile terminal, authentication module and financial transaction method |
| WO2021192711A1 (en) | 2020-03-26 | 2021-09-30 | 日本電気株式会社 | Information processing device, information processing system, information processing method, and recording medium |
| Publication number | Publication date |
|---|---|
| JP2023159772A (en) | 2023-11-01 |
| Publication | Publication Date | Title |
|---|---|---|
| US20250036807A1 (en) | Controlling access to a secure computing resource | |
| BR112018007449B1 (en) | COMPUTING DEVICE, COMPUTER IMPLEMENTED METHOD AND COMPUTER READABLE MEMORY DEVICE | |
| JP7197630B2 (en) | Terminal device, authentication server, authentication method and authentication program | |
| US11356243B2 (en) | Information management system with blockchain authentication | |
| JP7742333B2 (en) | Information processing device, information processing method, and information processing program | |
| JP2023124201A (en) | Information processing device, information processing method, and information processing program | |
| JP7492545B2 (en) | Information processing device, information processing method, and information processing program | |
| JP7525534B2 (en) | Information processing device, information processing method, and information processing program | |
| JP7343545B2 (en) | Terminal device, information processing method, and information processing program | |
| JP7568673B2 (en) | Information processing device, information processing method, and information processing program | |
| JP7525539B2 (en) | Information processing device, information processing method, and information processing program | |
| JP7685464B2 (en) | Information processing device, information processing method, and information processing program | |
| JP2024060389A (en) | Information processing device, information processing method, and information processing program | |
| JP7305703B2 (en) | Authentication server, terminal device, key management method and key management program | |
| KR102653558B1 (en) | Method and apparatus for delivering entitlement information | |
| JP2023124455A (en) | Information processing device, information processing method, and information processing program | |
| JP7490008B2 (en) | Information processing device, information processing method, and information processing program | |
| KR20140103593A (en) | System and method for user authentication | |
| JP2024044013A (en) | Information processing device, information processing method, and information processing program | |
| JP7326382B2 (en) | Information processing device, information processing method and information processing program | |
| KR102358708B1 (en) | Method for substitute authentication using membership server and substitute authentication system using the same | |
| JP7685463B2 (en) | Information processing device, information processing method, and information processing program | |
| JP7654700B2 (en) | Information processing device, information processing method, and information processing program | |
| JP7674403B2 (en) | Information processing device, information processing method, and information processing program | |
| JP7653387B2 (en) | Information processing device, information processing method, and information processing program |
| Date | Code | Title | Description |
|---|---|---|---|
| A711 | Notification of change in applicant | Free format text:JAPANESE INTERMEDIATE CODE: A712 Effective date:20231026 | |
| A621 | Written request for application examination | Free format text:JAPANESE INTERMEDIATE CODE: A621 Effective date:20240419 | |
| A977 | Report on retrieval | Free format text:JAPANESE INTERMEDIATE CODE: A971007 Effective date:20241227 | |
| A131 | Notification of reasons for refusal | Free format text:JAPANESE INTERMEDIATE CODE: A131 Effective date:20250107 | |
| A521 | Request for written amendment filed | Free format text:JAPANESE INTERMEDIATE CODE: A523 Effective date:20250213 | |
| A02 | Decision of refusal | Free format text:JAPANESE INTERMEDIATE CODE: A02 Effective date:20250318 | |
| A521 | Request for written amendment filed | Free format text:JAPANESE INTERMEDIATE CODE: A523 Effective date:20250519 | |
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) | Free format text:JAPANESE INTERMEDIATE CODE: A01 Effective date:20250826 | |
| A61 | First payment of annual fees (during grant procedure) | Free format text:JAPANESE INTERMEDIATE CODE: A61 Effective date:20250908 | |
| R150 | Certificate of patent or registration of utility model | Ref document number:7742333 Country of ref document:JP Free format text:JAPANESE INTERMEDIATE CODE: R150 |