[go: up one dir, main page]

JP2016115162A - 認証システム、認証端末装置、登録端末装置、認証方法、及びプログラム - Google Patents

認証システム、認証端末装置、登録端末装置、認証方法、及びプログラム Download PDF

Info

Publication number
JP2016115162A
JP2016115162A JP2014253656A JP2014253656A JP2016115162A JP 2016115162 A JP2016115162 A JP 2016115162A JP 2014253656 A JP2014253656 A JP 2014253656A JP 2014253656 A JP2014253656 A JP 2014253656A JP 2016115162 A JP2016115162 A JP 2016115162A
Authority
JP
Japan
Prior art keywords
authentication
terminal device
authenticated
information
request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2014253656A
Other languages
English (en)
Inventor
山内 亮
Akira Yamauchi
亮 山内
透 赤地
Toru Akachi
透 赤地
宏一 塚越
Koichi Tsukagoshi
宏一 塚越
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Systems Ltd
Original Assignee
Hitachi Systems Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Systems Ltd filed Critical Hitachi Systems Ltd
Priority to JP2014253656A priority Critical patent/JP2016115162A/ja
Publication of JP2016115162A publication Critical patent/JP2016115162A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

【課題】端末装置に対して効率的に認証を行うシステム及び方法を提供する。【解決手段】認証システム1は、登録端末装置10と認証端末装置30と被認証端末装置20とを有する。登録端末装置10は、予め取得した認証IDを認証端末装置30及び被認証端末装置20に送信する通信部112を備える。被認証端末装置20は、認証IDと被認証端末装置20の固有情報とを特定した認証要求を認証端末装置30に対し行う認証要求部212を備える。認証端末装置30は、予め取得した被認証端末装置20の固有情報と登録端末装置10の通信部112から送信された認証IDとを関連付けた認証情報を記憶する記憶部320と、認証要求を被認証端末装置20から受け付けると認証要求で特定された認証IDと認証要求で特定された被認証端末装置20の固有情報との組み合わせが認証情報に含まれるか否かに基づいて被認証端末装置20を認証する認証部311を備える。【選択図】図1

Description

本発明は、認証システム、認証端末装置、登録端末装置、認証方法、及びプログラムに関する。
システムやアプリケーションを利用する際のユーザー認証の一方式として、二要素認証が用いられている。二要素認証のうち一つの要素は、ユーザーが利用する端末のMACアドレス(Media Access Control address)や端末ID(Identification)等の端末固有情報である。
特許文献1には、「第1の文字列と固有に与えられた機体識別番号とから所定の計算方法によって第1の不可逆な値を算出する算出部と、第1の暗証番号及び前記第1の不可逆な値を含む認証要求を送信する送信部と、を含むクライアント端末と、前記クライアント端末の第2の暗証番号と、前記機体識別番号と前記第1の文字列とから算出された第2の不可逆な値とを記憶する記憶部と、前記認証要求を前記クライアント端末から受信した際に、前記認証要求に含まれる前記第1の暗証番号と前記第1の不可逆な値とが、それぞれ、前記記憶部に記憶される前記クライアント端末の前記第2の暗証番号と前記第2の不可逆な値とに合致する場合に前記クライアント端末を認証する認証部と、を含むサーバと、を備える認証システム」に関する技術が開示されている。
特開2012−113549号公報
端末を認証サーバーで認証する場合、予め認証サーバーに端末固有情報を登録し、認証を要求する度に端末固有情報を認証サーバーに送信する必要がある。認証サーバー等の1つの主体に対し、端末固有情報等の情報の管理や、権限の正当性を保証するための設定処理を行わせることは、管理者のスキルを要することでもあり、非効率的である。
特許文献1に開示された技術は、サーバーが端末固有情報の管理と権限の正当性を保証する処理とを行うものであり、効率性を向上させるものではない。
本発明は、上記の点に鑑みてなされたものであって、端末装置に対して効率的に認証を行うことを目的とする。
そこで上記課題を解決するため、本発明の認証システムは、ネットワークを介して接続された登録端末装置と、認証端末装置と、被認証端末装置とを有する認証システムであって、前記登録端末装置は、予め取得した認証IDを、前記認証端末装置及び前記被認証端末装置に送信する通信部を備え、前記被認証端末装置は、前記認証IDと当該被認証端末装置の固有情報とを特定した認証要求を前記認証端末装置に対し行う認証要求部を備え、前記認証端末装置は、予め取得した前記固有情報と前記登録端末装置の前記通信部から送信された認証IDとを関連付けた認証情報を記憶する認証端末側記憶部と、前記認証要求を前記被認証端末装置から受け付けると、前記認証要求で特定された前記認証IDと前記認証要求で特定された前記固有情報との組み合わせが前記認証情報に含まれるか否かに基づいて前記被認証端末装置を認証する認証部と、を備えることを特徴とする。
また、上記課題を解決するため、本発明の前記登録端末装置の前記通信部は、暗号化した前記認証IDである暗号化認証IDを前記被認証端末装置に送信し、前記被認証端末装置の前記認証要求部は、前記暗号化認証IDを特定した前記認証要求を行い、前記認証端末装置の前記認証部は、前記認証要求で特定された前記暗号化認証IDが復号化された前記認証IDと前記固有情報との組み合わせが前記認証情報に含まれる場合に前記被認証端末装置を認証することを特徴としてもよい。
また、上記課題を解決するため、本発明の前記認証端末装置は、前記登録端末装置の前記通信部により送信された前記認証IDと前記認証要求に含まれる前記認証IDとが対応し、かつ該認証IDについて前記認証情報において前記固有情報が関連付けられていない場合に、前記認証IDと前記認証要求に含まれる前記固有情報とを関連付けて前記認証情報を生成する認証情報生成部を備えることを特徴としてもよい。
また、上記課題を解決するため、本発明の前記登録端末装置は、前記ID発行部が発行した前記認証ID毎に、該登録端末装置のIDと、パスワードと、を関連付けた発行ID管理情報を記憶する登録端末側記憶部を備え、前記被認証端末装置は、前記登録端末装置のIDとパスワードとを特定した認証ID発行要求を前記登録端末装置に対して行うID発行要求部を備え、前記登録端末装置の前記通信部は、前記認証ID発行要求を受け付けると、前記認証ID発行要求において特定された前記登録端末装置のIDと前記パスワードとの組み合わせに対し前記発行ID管理情報で関連付けられた前記認証IDを前記被認証端末装置に送信することを特徴としてもよい。
また、上記課題を解決するため、本発明の前記被認証端末装置は、前記登録端末装置から送信されたデータ取得情報を用いて前記固有情報を取得する固有情報取得部を備え、前記登録端末装置の前記通信部は、前記認証ID発行要求で特定された前記登録端末装置のIDと前記パスワードとの組み合わせが前記発行ID管理情報に含まれる場合に、前記データ取得情報を前記被認証端末装置に送信することを特徴としてもよい。
また、上記課題を解決するため、本発明の前記登録端末装置は、前記認証IDを秘密鍵で暗号化する暗号化部を備え、前記認証端末装置は、前記秘密鍵に対応する公開鍵で暗号化された前記認証IDを復号する復号化部を備えることを特徴としてもよい。
また、上記課題を解決するため、本発明の前記被認証端末装置の前記認証要求部は、ハッシュ化した前記固有情報を特定した前記認証要求を行い、前記認証端末装置の前記認証部は、ハッシュ化した前記固有情報を用いて前記被認証端末装置を認証することを特徴としてもよい。
また、上記課題を解決するため、本発明の認証システムは、ネットワークを介して接続された登録端末装置と、認証端末装置と、被認証端末装置とを有する認証システムであって、前記登録端末装置は、予め取得した認証IDを前記認証端末装置に送信し、前記被認証端末装置から受け付けた固有情報である第1の固有情報と前記認証IDとを前記被認証端末装置に送信する通信部を備え、前記被認証端末装置は、当該被認証端末装置の前記固有情報である第2の固有情報と、前記通信部により送信された前記第1の固有情報及び前記認証IDと、を特定した認証要求を前記認証端末装置に対して行う認証要求部を備え、前記認証端末装置は、前記登録端末装置の前記通信部から送信された前記認証IDを認証情報として記憶する認証端末側記憶部と、前記認証要求を前記被認証端末装置から受け付けると、前記認証要求で特定された前記認証IDが前記認証情報に存在し、かつ認証要求で特定された前記第1の固有情報が前記第2の固有情報と対応する場合に、前記被認証端末装置を認証する認証部と、を備えることを特徴とする。
また、上記課題を解決するため、本発明の前記認証端末装置は、暗号化された前記第1の固有情報と暗号化された前記認証IDとを復号する復号化部を備え、前記登録端末装置の前記通信部は、暗号化された前記第1の固有情報と、暗号化した前記認証IDとを前記被認証端末装置に送信し、前記被認証端末装置の認証要求部は、暗号化された前記第1の固有情報及び暗号化された前記認証IDを特定した前記認証要求を行い、前記認証端末装置の前記認証部は、前記復号化部により復号された前記認証IDが前記認証情報に存在し、かつ前記復号化部により復号された前記第1の固有情報が前記第2の固有情報と対応する場合に、前記被認証端末装置を認証することを特徴としてもよい。
また、上記課題を解決するため、本発明の前記登録端末装置は、前記認証ID毎に、該登録端末装置のIDと、パスワードと、を関連付けた発行ID管理情報を記憶する登録端末側記憶部を備え、前記被認証端末装置は、前記登録端末装置のIDとパスワードとを特定した認証ID発行要求を前記登録端末装置に対して行うID発行要求部を備え、前記登録端末装置の前記通信部は、前記認証ID発行要求を受け付けると、前記認証ID発行要求において特定された前記登録端末装置のIDと前記パスワードとの組み合わせに対し前記発行ID管理情報で関連付けられた前記認証IDと、前記被認証端末装置から受け付けた固有情報とを前記被認証端末装置に送信することを特徴としてもよい。
また、上記課題を解決するため、本発明の前記被認証端末装置は、前記登録端末装置から送信されたデータ取得情報を用いて前記第2の固有情報を取得する固有情報取得部を備え、前記登録端末装置の前記通信部は、前記認証ID発行要求で特定された前記登録端末装置のIDと前記パスワードとの組み合わせが前記発行ID管理情報に含まれる場合に、前記データ取得情報を前記被認証端末装置に送信し、前記固有情報取得部により取得された前記第2の固有情報を受け付けることを特徴としてもよい。
また、上記課題を解決するため、本発明の前記登録端末装置は、前記認証IDと前記第1の固有情報とを秘密鍵で暗号化する暗号化部を備え、
前記認証端末装置の前記認証部は、前記秘密鍵と対応する公開鍵を用いて復号された、暗号化された前記認証IDと前記第1の固有情報とを用いて前記被認証端末装置を認証することを特徴としてもよい。
また、上記課題を解決するため、本発明の認証端末装置は、予め取得した該被認証端末装置の第1の固有情報と、ネットワークを介して接続された登録端末装置から取得した認証IDとを関連付けた認証情報を記憶する認証端末側記憶部と、ネットワークを介して接続された被認証端末装置の第2の固有情報と前記認証IDとを特定した認証要求を前記被認証端末装置から受け付けると、受け付けた前記第2の固有情報と前記認証IDとの組み合わせが前記認証情報に含まれるか否かに基づいて前記被認証端末装置を認証する認証部と、を備えることを特徴とする。
また、上記課題を解決するため、本発明の登録端末装置は、予め取得した認証IDに対し、当該登録端末装置のIDと、パスワードと、を関連付けた発行ID管理情報を記憶する登録端末側記憶部と、ネットワークを介して接続された被認証端末装置から、前記登録端末装置のIDとパスワードとを特定した認証ID発行要求を受け付ける通信部と、前記通信部が前記認証ID発行要求を受け付けると、該認証ID発行要求で特定された前記登録端末装置のIDと前記パスワードとの組み合わせと関連する前記認証IDを暗号化する暗号化部と、を備え、前記通信部は、前記暗号化部により暗号化された暗号化認証IDと、前記被認証端末装置が固有情報を取得するために用いるデータ取得情報と、を前記被認証端末装置に対して送信し、前記ネットワークを介して接続された認証端末装置に対して前記認証IDを送信することを特徴とする。
また、上記課題を解決するため、本発明の登録端末装置は、予め取得した認証IDに対し、当該登録端末装置のIDと、パスワードと、を関連付けた発行ID管理情報を記憶する登録端末側記憶部と、ネットワークを介して接続された被認証端末装置から、前記登録端末装置のIDとパスワードとを特定した認証ID発行要求を受け付け、該認証ID発行要求において特定された前記登録端末装置のIDと前記パスワードとの組み合わせが前記発行ID管理情報にある場合に、前記被認証端末装置が固有情報を取得するために用いるデータ取得情報を前記被認証端末装置に対して送信する通信部と、前記認証ID発行要求で特定された前記登録端末装置のIDとパスワードとの組み合わせと前記発行ID管理情報において関連する前記認証IDと、前記データ取得情報を用いて取得された前記被認証端末装置の前記固有情報と、を暗号化する暗号化部と、を備え、前記通信部は、前記暗号化部により暗号化された暗号化認証IDと暗号化固有情報とを前記被認証端末装置に対して送信し、前記ネットワークを介して接続された認証端末装置に対して前記認証IDを送信することを特徴とする。
また、上記課題を解決するため、本発明の認証方法は、ネットワークを介して接続された登録端末装置と、認証端末装置と、被認証端末装置とを有する認証システムで用いられる認証方法であって、前記登録端末装置は、予め取得した認証IDを、前記認証端末装置及び前記被認証端末装置に送信する通信手順を有し、前記認証端末装置は、前記通信手順において前記登録端末装置から送信された前記認証IDと予め取得した前記固有情報とを関連付けた認証情報を記憶部に記憶させる認証情報記憶手順を有し、前記被認証端末装置は、前記認証IDと当該被認証端末装置の固有情報とを特定した認証要求を前記認証端末装置に対し行う認証要求手順を有し、前記認証端末装置は、前記認証要求を前記被認証端末装置から受け付けると、前記認証要求で特定された前記認証IDと前記認証要求で特定された前記固有情報との組み合わせが前記認証情報に含まれるか否かに基づいて前記被認証端末装置を認証する認証手順を有することを特徴とする。
また、上記課題を解決するため、本発明の認証方法は、ネットワークを介して接続された登録端末装置と、認証端末装置と、被認証端末装置とを有する認証システムで用いられる認証方法であって、前記登録端末装置は、予め取得した認証IDを前記認証端末装置に送信し、前記被認証端末装置から受け付けた固有情報である第1の固有情報と前記認証IDとを前記被認証端末装置に送信する通信手順を有し、前記認証端末装置は、前記登録端末装置の前記通信部から送信された前記認証IDを認証情報として記憶部に記憶させる認証情報記憶手順を有し、前記被認証端末装置は、当該被認証端末装置の前記固有情報である第2の固有情報と、前記通信部により送信された前記第1の固有情報及び前記認証IDと、を特定した認証要求を前記認証端末装置に対して行う認証要求手順を有し、前記認証端末装置は、前記認証要求を前記被認証端末装置から受け付けると、前記認証要求で特定された前記認証IDが前記認証情報に存在し、かつ認証要求で特定された前記第1の固有情報が前記第2の固有情報と対応する場合に、前記被認証端末装置を認証する認証手順を有することを特徴とする。
また、上記課題を解決するため、本発明のプログラムは、コンピュータを登録端末装置として機能させるプログラムであって、ネットワークを介して接続された被認証端末装置から、前記登録端末装置のIDとパスワードとを特定した認証ID発行要求を受け付ける通信手順と、前記通信手順において前記認証ID発行要求を受け付けると、予め取得した認証IDに対し、当該登録端末装置のIDと、パスワードと、を関連付けた発行ID管理情報を参照し、該認証ID発行要求で特定された前記登録端末装置のIDと前記パスワードとの組み合わせと関連する前記認証IDを暗号化する暗号化手順と、をコンピュータに実行させ、前記通信手順では、前記暗号化手順において暗号化された暗号化認証IDと、前記被認証端末装置が固有情報を取得するために用いるデータ取得情報と、を前記被認証端末装置に対して送信し、前記ネットワークを介して接続された認証端末装置に対して前記認証IDを送信することを特徴とする。
また、上記課題を解決するため、本発明のプログラムは、コンピュータを登録端末装置として機能させるプログラムであって、ネットワークを介して接続された被認証端末装置から、当該登録端末装置のIDとパスワードとを特定した認証ID発行要求を受け付けると、予め取得した認証IDに対し、前記登録端末装置のIDと、パスワードと、を関連付けた発行ID管理情報を参照し、該認証ID発行要求において特定された前記登録端末装置のIDと前記パスワードとの組み合わせが前記発行ID管理情報にある場合に、前記被認証端末装置が固有情報を取得するために用いるデータ取得情報を前記被認証端末装置に対して送信する通信手順と、前記認証ID発行要求で特定された前記登録端末装置のIDとパスワードとの組み合わせと前記発行ID管理情報において関連する前記認証IDと、前記データ取得情報を用いて取得された前記被認証端末装置の前記固有情報と、を暗号化する暗号化手順と、をコンピュータに実行させ、前記通信手順では、前記暗号化手順において暗号化された暗号化認証IDと暗号化固有情報とを前記被認証端末装置に対して送信し、前記ネットワークを介して接続された認証端末装置に対して前記認証IDを送信することを特徴とする。
本発明によれば、端末装置に対して効率的に認証を行うことができる。
第1の実施形態における認証システムの機能構成の一例を示すブロック図である。 第1の実施形態における発行ID管理情報の一例を示す図である。 第1の実施形態における認証情報の一例を示す図である。 第1の実施形態における登録端末装置のハードウェア構成例を示す図である。 第1の実施形態におけるエージェントID発行準備処理の一例を示すシーケンス図である。 第1の実施形態におけるエージェントID発行処理の一例を示すシーケンス図である。 第1の実施形態における認証処理の一例を示すシーケンス図(その1)である。 第1の実施形態における認証処理の一例を示すシーケンス図(その2)である。 第2の実施形態における認証情報の一例を示す図である。 第2の実施形態におけるエージェントID発行処理の一例を示すシーケンス図である。 第2の実施形態における認証処理の一例を示すシーケンス図である。
(第1の実施形態)
以下、図面に基づいて本発明の実施の形態を説明する。図1は、第1の実施形態における認証システムの機能構成の一例を示すブロック図である。
本発明に係る認証システム1では、登録端末装置10と、被認証端末装置20と、認証端末装置30とがネットワーク40を介して接続されている。認証端末装置30は、登録端末装置10に対して複数接続されていてもよく、被認証端末装置20は1つの認証端末装置30に対して複数接続されていてもよい。
登録端末装置10は、例えばPC(Personal Computer)等であって、被認証端末装置20の正当性を保証する機能を有する。具体的には、登録端末装置10は、正当な被認証端末装置20に対し、認証IDを発行する。以下、認証IDをエージェントIDとして説明する。エージェントIDに基づいて、被認証端末装置20の認証が行われる。登録端末装置10は、認証端末装置30が被認証端末装置20の認証を行うことができるよう、必要な情報を被認証端末装置20及び認証端末装置30に対して送信する。
被認証端末装置20は、例えばPCやスマートフォン等の電子機器であって、認証を要する操作を行う利用者により操作される。
認証端末装置30は、例えばPCやスマートフォン等の電子機器であって、1又は複数の被認証端末装置20の認証を行う。認証端末装置30は、例えば登録端末装置10と別の運用主体が運用する。なお、認証端末装置30は、被認証端末装置20と同じ運用主体によって運用されてもよいし、別の運用主体によって運用されてもよいが、同じ運用主体によって運用されることにより、オンプレミスで認証に関する機能を享受することができる。
登録端末装置10は、制御部110と、記憶部120とを備える。制御部110は、被認証端末装置20に対する権限の付与に関する制御を行う。記憶部120は、制御部110による制御に用いられる情報を記憶する。
制御部110は、ID(IDentifier)発行部111と、通信部112と、暗号化部113とを備える。ID発行部111は、被認証端末装置20に対して付与する権限を識別する識別子として、エージェントIDを発行する。エージェントIDは、後述する入力装置14を介する入力に基づいて、被認証端末装置20毎に予め生成されている。ID発行部111は、被認証端末装置20からの発行要求に基づいてエージェントIDを発行する。
通信部112は、被認証端末装置20からエージェントID発行要求を受信し、エージェントID発行要求に応じて暗号化エージェントIDを送信する。また、通信部112は、認証端末装置30に対してもエージェントIDを送信する。送信するエージェントIDは、該認証端末装置30が認証を行う対象である被認証端末装置20に対して発行されたエージェントIDである。また、通信部112は、被認証端末装置20に対して、固有情報を取得するためのデータ取得情報であるエージェントソフトを送信するが、詳細は後述する。なお、通信部112は、エージェントソフトに暗号化したエージェントIDを内包させて被認証端末装置20に送信してもよい。暗号化部113は、秘密鍵を用いてエージェントIDを暗号化し、暗号化エージェントIDを生成する。
記憶部120は、発行ID管理情報121を記憶する。発行ID管理情報121は、生成されたエージェントIDについて、被認証端末装置20に対する発行の有無等の管理情報を記録した情報である。
被認証端末装置20は、制御部210と、記憶部220とを備える。制御部210は、登録端末装置10に対する権限の発行要求や、認証端末装置30に対する認証要求等の制御を行う。記憶部220は、制御部210による制御に用いられる情報を記憶する。
制御部210は、ID発行要求部211と、認証要求部212と、固有情報取得部213とを備える。ID発行要求部211は、事前に取得した登録端末装置10のIDとパスワードとを特定したエージェントID発行要求を登録端末装置10に対して行う。認証要求部212は、登録端末装置10から受け付けた暗号化されたエージェントIDと該被認証端末装置20の固有情報とを特定した認証要求を、認証端末装置30に対して行う。
固有情報取得部213は、登録端末装置10から送信されたデータ取得情報を用いて、該被認証端末装置20の固有情報を取得する。固有情報は、例えばMACアドレスである。
記憶部220は、データ取得情報221を記憶する。データ取得情報221は、登録端末装置10から受信したエージェントソフトとしてのプログラムである。エージェントソフトは、被認証端末装置20の固有情報を取得する機能を有する。エージェントソフトを起動することにより、認証要求部212及び固有情報取得部213が構築される。
認証端末装置30は、制御部310と、記憶部320とを備える。制御部310は、被認証端末装置20の認証に関する制御を行う。記憶部320は、制御部310の制御に用いられる情報を記憶する。
制御部310は、認証部311と、認証情報生成部312と、復号化部313とを備える。認証部311は、被認証端末装置20から受け付けた認証要求に対する認証を行う。具体的には、認証要求に含まれるエージェントIDと固有情報との組み合わせが、記憶部320に記憶されている認証情報に含まれる場合に、被認証端末装置20を認証する。
認証情報生成部312は、登録端末装置10から受け付けたエージェントIDと、被認証端末装置20から受け付けた固有情報とを用いて、認証情報を生成する。復号化部313は、暗号化部113により秘密鍵を用いて暗号化された情報を復号化する公開鍵を有しており、被認証端末装置20から送信される暗号化エージェントIDを復号する。公開鍵は、例えば登録端末装置10の通信部113から予め送信される。
記憶部320は、認証情報321を記憶する。認証情報321は、エージェントIDと、被認証端末装置20の固有情報とを関連付けた情報であって、該認証情報321に基づいて被認証端末装置20の認証が行われる。
本実施形態では、登録端末装置10が被認証端末装置20に対して付与する権限を識別するエージェントIDを発行する。また、認証端末装置30が被認証端末装置20の固有情報をエージェントIDと関連付けて管理し、該情報に基づいて被認証端末装置20の認証を行うことにより、被認証端末装置20の正当性が保証される。これにより、権限を付与する主体と、認証を行う認証主体とを用いて、適切に情報の管理や認証を行うことができる。
次に、各記憶部に記憶される情報について説明する。
図2は、第1の実施形態における発行ID管理情報121の一例を示す図である。発行ID管理情報121は、エージェントID121aと、登録局ID121bと、登録局パスワード121cと、発行済みフラグ121dとを関連付けた情報である。
エージェントID121aは、登録端末装置10が被認証端末装置20に対して付与した権限を識別する識別子である。登録局ID121bは、エージェントID121aが登録されている登録端末装置10を識別する識別子である。登録局パスワードは、被認証端末装置20が登録端末装置10に対してエージェントIDの付与を要求する際に必要とされるパスワードである。発行済みフラグ121dは、エージェントIDが被認証端末装置20に対して発行されたか否かを示す情報である。
登録局ID121bと登録局パスワード121cとの組み合わせは、エージェントID121aに対して一意である。被認証端末装置20から送信されるエージェントID発行要求には、登録局ID121b及び登録局パスワード121cが特定されており、エージェントID発行要求に対応するエージェントID121aが一意に決定される。
図2に示す発行ID管理情報121では、エージェントID121aが「AAA0001」に対して発行済みフラグ121dが「未発行」であるため、「AAA0001」であるエージェントID121aに係る権限が未だ被認証端末装置20に対して発行されていないことを示している。
図3は、第1の実施形態における認証情報321の一例を示す図である。認証情報321は、エージェントID321aと、固有情報321bとを関連付けた情報である。
エージェントID321aは、被認証端末装置20に対して付与する権限を識別する識別子であって、発行ID管理情報121のエージェントID121aと対応している。固有情報321bは、被認証端末装置20に固有の情報であって、被認証端末装置20を識別することが可能な情報である。
図4は、第1の実施形態における登録端末装置10のハードウェア構成例を示す図である。登録端末装置10は、演算装置11と、メモリ12と、外部記憶装置13と、入力装置14と、出力装置15と、通信装置16と、記憶媒体駆動装置17とを備え、各構成要素はバスにより接続されている。
演算装置11はCPU(Central Processing Unit)等の中央演算装置であり、メモリ12又は外部記憶装置13に記録されたプログラムに従って処理を実行する。登録端末装置10では、メモリ12又は外部記憶装置13上に読み出されたプログラムに従って動作する演算装置11により処理が行われる。制御部110を構成する各処理部は、演算装置11がプログラムを実行することにより各々の機能を実現する。
メモリ12は、RAM(Random Access Memory)又はフラッシュメモリ等の記憶装置であり、プログラムやデータが一時的に読み出される記憶エリアとして機能する。外部記憶装置13は、例えばHDD(Hard Disk Drive)や、CD-R(Compact Disc- Recordable)、DVD-RAM(Digital Versatile Disk-Random Access Memory)等の書き込み及び読み出し可能な記憶メディア及び記憶メディア駆動装置等である。記憶部120は、メモリ12又は外部記憶装置13によりその機能が実現される。なお、記憶部120は、通信装置16を介して接続される記憶装置によってその機能が実現されてもよい。
入力装置14は、ユーザーからの入力操作を受け付ける装置であり、例えばタッチパネル、キーボード、マウス、マイク等である。出力装置15は、登録端末装置10に格納されたデータの出力処理を行う装置であって、例えばLCD(Liquid Crystal Display)等の表示装置、又はプリンタ等である。
通信装置16は、登録端末装置10をネットワーク40に接続するための装置であって、例えばLAN(Local Area Network)カード等の通信デバイスである。記憶媒体駆動装置17は、CD(Compact Disk)やDVD(Digital Versatile Disk)等の可搬性のメディア38から情報を入出力する装置である。
なお、登録端末装置10の各構成要素の処理は、1つのハードウェアで実行されてもよいし、複数のハードウェアで実行されてもよい。また、登録端末装置10の各構成要素の処理は、1つのプログラムで実現されてもよいし、複数のプログラムで実現されてもよい。
被認証端末装置20、及び認証端末装置30は、登録端末装置10と同様のハードウェア構成を備えるため、被認証端末装置20及び認証端末装置30のハードウェア構成については、説明を省略する。
以下、本実施形態における処理の流れを、シーケンス図を用いて説明する。
図5は、第1の実施形態におけるエージェントID発行準備処理の一例を示すシーケンス図である。本処理は、例えば登録端末装置10が、入力装置14を介して、新たに発行を予定するエージェントIDの個数(例えば3000)の入力を受け付けると、開始される。
まず、ID発行部111は、発行ID管理情報121を生成する(ステップS11)。登録端末装置10の制御部110は、新たに発行を予定する個数分のエージェントIDを生成して、エージェントID121aとして発行ID管理情報121に記録する。上述の例を用いれば、エージェントIDが3000個生成され、エージェントID121aとして発行ID管理情報121に格納される。ID発行部111は、各エージェントID121aに対して、登録局ID121bと登録局パスワード121cとを生成し、発行ID管理情報121に格納する。また、ID発行部111は、生成したエージェントID121aに対して、発行済みフラグ121dとして「未発行」を示す情報を関連付ける。
なお、登録端末装置10の記憶部120の図示しない領域には、エージェントIDを発行する被認証端末装置20の連絡先と、各々の被認証端末装置20を認証する認証端末装置30を特定する情報及び連絡先とが記憶されている。連絡先は、例えばメールアドレスである。
次に、通信部112は、登録局IDと登録局パスワードとを被認証端末装置20に対して送信する(ステップS12)。通信部112は、上述の領域を参照し、エージェントIDを発行する各々の被認証端末装置20の連絡先に対し、該被認証端末装置20に対して発行予定のエージェントID121aに(発行ID管理情報121において)関連する登録局ID121bと登録局パスワード121cとを送信する。上述の例では、3000台の被認証端末装置20の各々に対して、登録局ID121bと登録局パスワード121cとが送信される。
次に、通信部112は、認証端末装置30に対してエージェントIDを送信する(ステップS13)。通信部112は、記憶部120を参照し、ステップS12で登録局ID121b及び登録局パスワード121cを送信した被認証端末装置20を認証する認証端末装置30を特定する。通信部112は、特定した認証端末装置30に対して、ステップS11で生成したエージェントID121aを送信する。
次に、認証端末装置30の認証情報生成部312は、認証情報321を生成する(ステップS14)。認証情報生成部312は、ステップS13で送信されたエージェントIDをエージェントID321aのレコードとして有する認証情報321を生成する。ステップS13で登録端末装置10から送信されたエージェントIDが3000個であれば、認証情報生成部312は認証情報321において3000のレコードを生成し、受信したエージェントIDをエージェントID321aとして格納する。その後、認証情報生成部312は本シーケンスの処理を終了する。
図6は、第1の実施形態におけるエージェントID発行処理の一例を示すシーケンス図である。本処理は、例えば被認証端末装置20が登録局IDと登録局パスワードとの入力を受け付けるステップS21の処理を契機として開始される。本処理の開始前に、図5に示すエージェントID発行準備処理が既に行われているものとする。
まず、被認証端末装置20のID発行要求部211は、登録局IDと登録局パスワードとの入力を受け付ける(ステップS21)。図5に示すステップS13において、登録局ID121bと登録局パスワード121cとが登録端末装置10から被認証端末装置20に対して送信されている。被認証端末装置20のID発行要求部211は、被認証端末装置20の入力装置を介して、登録局ID121bと登録局パスワード121cとの入力を受け付ける。
次に、ID発行要求部211は、エージェントID発行要求を登録端末装置10に対して送信する(ステップS22)。ID発行要求部211は、ステップS21で入力を受け付けた登録局ID121bと登録局パスワード121cとを特定したエージェントID発行要求を生成し、登録端末装置10に対して送信する。
次に、登録端末装置10のID発行部111は、登録局ID及び登録局パスワードに対応するエージェントIDを特定し、発行済みフラグを変更する(ステップS23)。具体的には、ID発行部111は、エージェントID発行要求において特定されている登録局ID121bと登録局パスワード121cとを用いて、記憶部120に記憶されている発行ID管理情報121を参照する。ID発行部111は、登録局ID121bと登録局パスワード121cとの組み合わせと対応するレコードを特定し、該レコードの発行済みフラグ121dについて、「未発行」を示す情報から「発行済み」を示す情報へと変更する。
次に、登録端末装置10の暗号化部113は、エージェントIDを秘密鍵で暗号化する(ステップS24)。暗号化部113は、ステップS23で特定した発行ID管理情報121のレコード内のエージェントID121aを特定し、秘密鍵で暗号化する。
次に、ID発行部111は、暗号化したエージェントIDをエージェントソフトに内包する(ステップS25)。エージェントソフトは、被認証端末装置20の固有情報を取得するためのプログラムである。ID発行部111は、暗号化エージェントIDをエージェントソフトに組み込む。
なお、エージェントソフトに対して暗号化エージェントIDを内包するには、例えばエージェントソフトのインストーラに対してテキストファイルとして同梱するものであってもよいし、エージェントソフトのインストーラに対して、ダイナミックリンクライブラリを用いた文字列リソースとして同梱するものであってもよい。また例えば、インストーラに対して直接文字列を書き込み、コンパイルしたものであってもよい。
次に、通信部112は、ステップS25において暗号化エージェントIDを内包させたエージェントソフトを被認証端末装置20に対して送信する(ステップS26)。
次に、被認証端末装置20のID発行要求部211は、登録端末装置10から送信されたエージェントソフトをインストールする(ステップS27)。ID発行要求部211は、その後本シーケンスの処理を終了する。
次に、認証端末装置30において被認証端末装置20に対して行われる認証処理の一例を説明する。
図7は、第1の実施形態における認証処理の一例を示すシーケンス図(その1)である。本処理は、被認証端末装置20が第1回目の認証要求を行う際に実行される処理である。第2回目以降の認証要求において行われる認証処理は、図8を用いて説明する。本処理は、例えば被認証端末装置20においてエージェントソフトを起動するための入力を受け付けると開始される。なお、本処理開始前に、図6に示すエージェントID発行処理が既に実行されているものとする。
まず、被認証端末装置20の制御部210は、エージェントソフトを起動する(ステップS31)。起動したエージェントソフトには、先述のステップS25のID発行部111の処理により、暗号化エージェントIDが内包されている。エージェントソフトの起動に伴い、認証要求部212と固有情報取得部213とが構築される。
次に、固有情報取得部213は、固有情報を取得する(ステップS32)。固有情報取得部213は、当該被認証端末装置20の固有情報を取得する。
次に、被認証端末装置20の認証要求部212は、固有情報と暗号化エージェントIDとを特定した認証要求を認証端末装置30に送信する(ステップS33)。認証要求部212は、ステップS32において得た固有情報と、エージェントソフトに内包された暗号化エージェントIDとを特定した認証要求を生成し、認証端末装置30に対して送信する。
次に、認証端末装置30の復号化部313は、暗号化エージェントIDを公開鍵で復号する(ステップS34)。復号化部313は、認証要求に含まれる暗号化エージェントIDを特定し、予め有している公開鍵を用いて暗号化エージェントIDを復号し、エージェントIDを得る。
次に、認証部311は、エージェントIDが認証情報321にあるか否かを判定する(ステップS35)。認証部311は、ステップS34で得たエージェントIDが認証情報321にあるか否かを判定する。ここでは、認証情報321には、ステップS11で生成されたエージェントIDが、ステップS14でエージェントID321aとして記録されているため、エージェントIDが認証情報321にあると判定する。
なお、ステップS34において、受け付けたエージェントIDが認証情報321にあると認証部311が判定しない場合、認証部311は本シーケンスの処理を終了する。
次に、認証部311は、エージェントIDと関連する固有情報があるか否かを判定する(ステップS36)。具体的には、認証部311は、認証情報321において、ステップS34で得たエージェントID321aと関連する固有情報321bがあるか否かを判定する。ここでは、エージェントIDは登録端末装置10において生成されているものの、認証情報321の生成は完了していないため、認証部311はエージェントIDと関連する固有情報がないと判定する。なお、固有情報がないと判定された場合、認証要求が第1回目であるものとして取り扱われる。認証要求が2回目以降である場合には、ステップS36以降の処理の代わりにステップS46以降の処理が実行されるが、詳しくは後述する。
次に、認証情報生成部312は、認証情報321のエージェントID321aに固有情報321bを関連付ける(ステップS37)。認証情報生成部312は、ステップS34で得たエージェントID321aに対し、ステップS33で被認証端末装置20から送信された認証要求において特定されている固有情報を固有情報321bとして関連付けた認証情報321を生成する。
次に、認証部311は、被認証端末装置20に対し、該被認証端末装置20を認証したことを示す情報を送信する(ステップS38)。その後、認証情報生成部312は、本フローチャートの処理を終了する。
なお、ステップS38において認証端末装置30より送信された、被認証端末装置20を認証したことを示す情報は、例えば被認証端末装置20の記憶部220の図示しない領域に記憶される。被認証端末装置20において、認証された被認証端末装置20に対して許可された機能を用いる場合に、該領域が参照される。
また、ステップS37において行われる認証情報321の生成後、再度被認証端末装置20から認証端末装置30に対して認証要求を行うよう構成してもよい。その場合、認証情報を生成したことを示す情報をステップS37の後に認証端末装置30から被認証端末装置20に対して送信すると、再度被認証端末装置20の認証要求部212から認証端末装置30に対して認証要求が送信される。
図8は、第1の実施形態における認証処理の一例を示すシーケンス図(その2)である。本処理は、被認証端末装置20が第2回目以降の認証要求を行う際に実行される処理である。換言すれば、本図に示す処理は、図7に示す認証処理が行われた後、さらに被認証端末装置20がエージェントソフトを起動させるための入力を受け付けた場合に実行される。ステップS41からステップS45において行われる処理は、ステップS31からステップS35において行われる処理と同様であるため、説明を省略する。
次に、認証端末装置30の認証部311は、エージェントIDと関連する固有情報があるか否かを判定する(ステップS46)。認証部311は、ステップS43で被認証端末装置20から送信された認証要求に含まれ、ステップS44で復号されたエージェントIDを用いて認証情報321を参照し、該エージェントID321aと関連付けられた固有情報321bがあるか否かを判定する。ここでは、ステップS43において認証要求を送信した被認証端末装置20において、図7のステップS37における処理が既に行われており、認証情報321にはエージェントID321aに対して既に固有情報321bが関連付けられている。そのため、認証部311はエージェントIDと関連する固有情報があると判定する。
次に、認証部311は、エージェントIDと関連する固有情報が、認証要求で特定された固有情報と一致するか否かを判定する(ステップS47)。認証部311は、認証情報321において認証要求で特定されたエージェントID321aと関連する固有情報321bが、認証要求において特定された固有情報と一致するか否かを判定する。ここでは、認証部311が、エージェントIDと関連する固有情報が認証要求に係る固有情報と一致すると判定したものとして説明する。
なお、認証情報321の固有情報321bと、認証要求で特定された固有情報とが一致しない場合、認証要求を送信した被認証端末装置20は、図7に示す処理において認証情報321として登録された被認証端末装置20とは異なるため、認証部311は被認証端末装置20を認証せず、本シーケンスに示す処理を終了する。
次に、認証部311は、被認証端末装置20に対して認証したことを示す情報を送信する(ステップS48)。その後、認証部311は、本シーケンス図の処理を終了する。
認証処理終了後は、被認証端末装置20は正当な権限を有すると判定されたため、権限を有する被認証端末装置20に対して許可された機能を利用することが可能となる。例えば、認証端末装置30が認証された被認証端末装置20に対して許可するブラウザを被認証端末装置20において利用することができる等、正当な権限を有する端末において保障される機能を被認証端末装置20に利用させることができる。
なお、エージェントソフトは、被認証端末装置20において起動されると、ウイルスワクチンソフトやファイアウォールソフト、またはP2P(Peer to Peer)ソフトの稼動状況を取得するものであってもよい。この場合、被認証端末装置20から認証端末装置30に対して送信される認証要求に、該稼動状況を示す情報を含める。認証端末装置30において被認証端末装置20の認証情報321の有無を判定する前に、稼働状況が所定の状況である場合に、被認証端末装置20に対して警告を示す情報を送信したり、認証を行わないことを示す情報を送信し、認証処理を中止するものであってもよい。
また、上述の実施形態において、被認証端末装置20から送信される認証要求には該被認証端末装置20の固有情報が特定されている。しかしながら、固有情報の代わりに、予め被認証端末装置20に設定されたハッシュ関数を用いて、固有情報をキーとして生成されたハッシュ値が認証要求に含まれるものであってもよい。その場合、認証端末装置30の記憶部320に記憶される認証情報321には、エージェントID321aに対して固有情報のハッシュ値が関連付けられる。第2回目以降に認証端末装置30が認証要求を受け付けると、認証要求に含まれるハッシュ値と、認証情報321内のハッシュ値とを比較することにより、被認証端末装置20の認証が行われるものであってもよい。
本実施形態では、被認証端末装置20の認証や固有情報の管理は、被認証端末装置20の正当性を保証する登録端末装置10とは別の主体である認証端末装置30が行う。正当性を保証する登録端末装置10がエージェントIDを認証端末装置30と被認証端末装置20に対して送信することで、登録端末装置10では固有情報の管理を行う必要がない。また、認証端末装置30に対する固有情報の登録は、エージェントソフトを用いることにより簡便に行うことができ、管理者に高いスキルが要求されることもない。これにより、効率的に認証を行うことができる。
また、登録端末装置10をクラウドコンピューティングにおける外部サーバーとして機能させ、認証端末装置30を被認証端末装置20と共通の内部グループに設置することにより、秘匿性の高い情報である固有情報を外部に送信する必要がなく、セキュリティ面においても有用である。
(第2の実施形態)
次に、第2の実施形態について説明する。第1の実施形態では、認証端末装置30が認証情報321として被認証端末装置20の固有情報を管理するが、第2の実施形態では認証端末装置30が否認書端末装置の固有情報を管理しない。以下、上述の実施形態と異なる点について説明し、重複する点については説明を省略する。
図9は、第2の実施形態における認証情報321の一例を示す図である。認証情報321は、エージェントIDを有する。なお、第1の実施形態と異なり、認証情報321には被認証端末装置20の固有情報が含まれない。上述したエージェントID発行準備処理において登録端末装置10から送信されたエージェントIDを用いて、認証端末装置30の認証情報生成部312が認証情報321を生成する。
図10は、第2の実施形態におけるエージェントID発行処理の一例を示すシーケンス図である。なお、本処理に先立って図5を用いて説明したエージェントID発行準備処理が行われている点は、第1の実施形態と同様である。
被認証端末装置20のID発行要求部211は、登録局IDと登録局パスワードとの入力を受け付ける(ステップS51)。ステップS51からステップS53において行われる処理は、ステップS21からステップS23において行われる処理と同様であるため、説明を省略する。
次に、登録端末装置10の通信部112は、被認証端末装置20に対してエージェントソフトを送信する(ステップS54)。エージェントソフトは、被認証端末装置20の固有情報を取得する機能を有するが、暗号化エージェントIDが内包されない点において第1の実施形態と異なる。
次に、被認証端末装置20の制御部210は、登録端末装置10から送信されたエージェントソフトをインストールする(ステップS55)。本処理は、図6に示すステップS27において行われる処理と同様である。エージェントソフトが起動されると、認証要求部212と、固有情報取得部213とが構築される。
次に、固有情報取得部213は、固有情報を取得する(ステップS56)。本処理は、図7に示すステップS32において行われる処理と同様である。
次に、固有情報取得部213は、ステップS55で取得した固有情報を登録端末装置10に対して送信する(ステップS57)。なお、固有情報は必要に応じて暗号化される。
次に、登録端末装置10の暗号化部113は、固有情報と、特定したエージェントIDとを秘密鍵で暗号化する(ステップS58)。暗号化部113は、ステップS57で被認証端末装置20から送信された固有情報と、ステップS53において特定した発行ID管理情報121のレコードに含まれるエージェントID121aとを、秘密鍵を用いて暗号化する。
次に、通信部112は、ステップS58で暗号化した暗号化エージェントIDと、暗号化固有情報とを、被認証端末装置20に対して送信する(ステップS59)。
次に、被認証端末装置20のID発行要求部211は、暗号化エージェントIDと暗号化固有情報とを記憶させる(ステップS60)。具体的には、ID発行要求部211は、ステップS59で登録端末装置10から送信された暗号化エージェントIDと、暗号化固有情報とを、記憶部220の図示しない領域に記憶させる。ID発行要求部211は、その後本シーケンス図の処理を終了する。
図11は、第2の実施形態における認証処理の一例を示すシーケンス図である。本処理が開始される前に、図10に示すエージェントID発行処理が既に実行されている。本処理は、例えば被認証端末装置20においてエージェントソフトを起動するための入力を受け付けると開始される。
被認証端末装置20の制御部210は、エージェントソフトを起動する(ステップS61)。ステップS61からステップS62において行われる処理は、ステップS31からステップS32において行われる処理と同様であるため、説明を省略する。
次に、認証要求部212は、取得した固有情報と、暗号化エージェントIDと、暗号化固有情報とを特定した認証要求を認証端末装置30に対して送信する(ステップS63)。具体的には、認証要求部212は、ステップS62で取得した固有情報と、ステップS60において記憶部220に記憶させた暗号化エージェントID及び暗号化固有情報と、を特定した認証要求を生成し、認証端末装置30に対して送信する。
次に、認証端末装置30の復号化部313は、暗号化エージェントIDと暗号化固有情報とを公開鍵で復号する(ステップS64)。復号化部313は、図10に示すステップS58でエージェントIDを暗号化する際に用いた秘密鍵と対応する公開鍵を予め有している。復号化部313は、該公開鍵を用いて暗号化エージェントIDと暗号化固有情報とを復号する。
次に、認証部311は、エージェントIDが認証情報321にあるか否かを判定する(ステップS65)。認証部311は、ステップS64で復号した暗号化エージェントIDを用いて認証情報321を参照し、復号した暗号化エージェントIDが認証情報321に含まれているか否かを判定する。ここでは、認証部311はエージェントIDが認証情報321に含まれると判定したものとして説明する。なお、復号化した暗号化エージェントIDが認証情報321に含まれていない場合、認証部311は本シーケンス図の処理を終了する。
次に、認証部311は、取得した固有情報と、復号した暗号化固有情報とが一致するか否かを判定する(ステップS66)。具体的には、認証部311は、ステップS62において固有情報取得部213により取得され、認証情報321において特定された固有情報と、ステップS64において復号された暗号化固有情報とが一致するか否かを判定する。ここでは、認証情報321において特定された固有情報と、暗号化固有情報とが一致すると判定されたものとする。なお、認証部311が、取得された固有情報と、復号された暗号化固有情報とが一致すると判定しない場合、図10に示すエージェントID発行処理においてエージェントIDが発行された被認証端末装置20からの認証要求ではないものであるため、本シーケンス図の処理を終了する。
次に、認証部311は、被認証端末装置20に対し、該被認証端末装置20を認証したことを示す情報を送信する(ステップS67)。本ステップにおいて行われる処理は、図7に示すステップS38において行われる処理と同様である。認証部311は、その後本シーケンス図の処理を終了する。
本実施形態では、登録端末装置10及び認証端末装置30は被認証端末装置20の固有情報を管理しない。登録端末装置10が暗号化した暗号化固有情報を、暗号化エージェントIDと共に被認証端末装置20に対して発行する。被認証端末装置20が認証端末装置30に対して認証要求を行う際に、エージェントソフトによって取得した固有情報と、暗号化固有情報及び暗号化エージェントIDとを特定した認証要求を行う。これにより、エージェントIDを発行した対象である被認証端末装置20と、認証要求を行った被認証端末装置20が一致するか否かを判定することができる。換言すれば、登録端末装置10及び認証端末装置30のいずれも被認証端末装置20の固有情報の管理を行うことなく、端末の正当性を保証する登録端末装置10と、認証を行う認証端末装置30とを用いて、効率的に認証処理を行うことができる。
以上、本発明に係る各実施形態及び変形例の説明を行ってきたが、本発明は、上記した実施形態の一例に限定されるものではなく、様々な変形例が含まれる。例えば、上記した実施形態の一例は、本発明を分かり易くするために詳細に説明したものであり、本発明は、ここで説明した全ての構成を備えるものに限定されない。また、ある実施形態の一例の構成の一部を他の一例の構成に置き換えることが可能である。また、ある実施形態の一例の構成に他の一例の構成を加えることも可能である。また、各実施形態の一例の構成の一部について、他の構成の追加・削除・置換をすることもできる。また、上記の各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等によりハードウェアで実現してもよい。また、図中の制御線や情報線は、説明上必要と考えられるものを示しており、全てを示しているとは限らない。ほとんど全ての構成が相互に接続されていると考えてもよい。
1:認証システム、10:登録端末装置、11:演算装置、12:メモリ、13:外部記憶装置、14:入力装置、15:出力装置、16:通信装置、17:記憶媒体駆動装置、18:メディア、20:被認証端末装置、30:認証端末装置、40:ネットワーク、110:制御部、111:ID発行部、112:通信部、113:暗号化部、120:記憶部、121:発行ID管理情報、210:制御部、211:ID発行要求部、212:認証要求部、213:固有情報取得部、220:記憶部、221:データ取得情報、310:制御部、311:認証部、312:認証情報生成部、313:復号化部、320:記憶部、321:認証情報

Claims (19)

  1. ネットワークを介して接続された登録端末装置と、認証端末装置と、被認証端末装置とを有する認証システムであって、
    前記登録端末装置は、
    予め取得した認証IDを、前記認証端末装置及び前記被認証端末装置に送信する通信部を備え、
    前記被認証端末装置は、
    前記認証IDと当該被認証端末装置の固有情報とを特定した認証要求を前記認証端末装置に対し行う認証要求部を備え、
    前記認証端末装置は、
    予め取得した前記固有情報と前記登録端末装置の前記通信部から送信された認証IDとを関連付けた認証情報を記憶する認証端末側記憶部と、
    前記認証要求を前記被認証端末装置から受け付けると、前記認証要求で特定された前記認証IDと前記認証要求で特定された前記固有情報との組み合わせが前記認証情報に含まれるか否かに基づいて前記被認証端末装置を認証する認証部と、
    を備えることを特徴とする認証システム。
  2. 請求項1に記載の認証システムであって、
    前記登録端末装置の前記通信部は、暗号化した前記認証IDである暗号化認証IDを前記被認証端末装置に送信し、
    前記被認証端末装置の前記認証要求部は、前記暗号化認証IDを特定した前記認証要求を行い、
    前記認証端末装置の前記認証部は、前記認証要求で特定された前記暗号化認証IDが復号化された前記認証IDと前記固有情報との組み合わせが前記認証情報に含まれる場合に前記被認証端末装置を認証することを特徴とする認証システム。
  3. 請求項1又は2に記載の認証システムであって、
    前記認証端末装置は、
    前記登録端末装置の前記通信部により送信された前記認証IDと前記認証要求に含まれる前記認証IDとが対応し、かつ該認証IDについて前記認証情報において前記固有情報が関連付けられていない場合に、前記認証IDと前記認証要求に含まれる前記固有情報とを関連付けて前記認証情報を生成する認証情報生成部を備えることを特徴とする認証システム。
  4. 請求項1から3のいずれか一項に記載の認証システムであって、
    前記登録端末装置は、
    前記認証ID毎に、該登録端末装置のIDと、パスワードと、を関連付けた発行ID管理情報を記憶する登録端末側記憶部を備え、
    前記被認証端末装置は、
    前記登録端末装置のIDとパスワードとを特定した認証ID発行要求を前記登録端末装置に対して行うID発行要求部を備え、
    前記登録端末装置の前記通信部は、前記認証ID発行要求を受け付けると、前記認証ID発行要求において特定された前記登録端末装置のIDと前記パスワードとの組み合わせに対し前記発行ID管理情報で関連付けられた前記認証IDを前記被認証端末装置に送信することを特徴とする認証システム。
  5. 請求項4に記載の認証システムであって、
    前記被認証端末装置は、前記登録端末装置から送信されたデータ取得情報を用いて前記固有情報を取得する固有情報取得部を備え、
    前記登録端末装置の前記通信部は、前記認証ID発行要求で特定された前記登録端末装置のIDと前記パスワードとの組み合わせが前記発行ID管理情報に含まれる場合に、前記データ取得情報を前記被認証端末装置に送信することを特徴とする認証システム。
  6. 請求項1から5のいずれか一項に記載の認証システムであって、
    前記登録端末装置は、前記認証IDを秘密鍵で暗号化する暗号化部を備え、
    前記認証端末装置は、前記秘密鍵に対応する公開鍵で暗号化された前記認証IDを復号する復号化部を備えることを特徴とする認証システム。
  7. 請求項1から6のいずれか一項に記載の認証システムであって、
    前記被認証端末装置の前記認証要求部は、ハッシュ化した前記固有情報を特定した前記認証要求を行い、
    前記認証端末装置の前記認証部は、ハッシュ化した前記固有情報を用いて前記被認証端末装置を認証することを特徴とする認証システム。
  8. ネットワークを介して接続された登録端末装置と、認証端末装置と、被認証端末装置とを有する認証システムであって、
    前記登録端末装置は、
    予め取得した認証IDを前記認証端末装置に送信し、前記被認証端末装置から受け付けた固有情報である第1の固有情報と前記認証IDとを前記被認証端末装置に送信する通信部を備え、
    前記被認証端末装置は、
    当該被認証端末装置の固有情報である第2の固有情報と、前記通信部により送信された前記第1の固有情報及び前記認証IDと、を特定した認証要求を前記認証端末装置に対して行う認証要求部を備え、
    前記認証端末装置は、
    前記登録端末装置の前記通信部から送信された前記認証IDを認証情報として記憶する認証端末側記憶部と、
    前記認証要求を前記被認証端末装置から受け付けると、前記認証要求で特定された前記認証IDが前記認証情報に存在し、かつ認証要求で特定された前記第1の固有情報が前記第2の固有情報と対応する場合に、前記被認証端末装置を認証する認証部と、
    を備えることを特徴とする認証システム。
  9. 請求項8に記載の認証システムであって、
    前記認証端末装置は、暗号化された前記第1の固有情報と暗号化された前記認証IDとを復号する復号化部を備え、
    前記登録端末装置の前記通信部は、暗号化された前記第1の固有情報と、暗号化された前記認証IDとを前記被認証端末装置に送信し、
    前記被認証端末装置の認証要求部は、暗号化された前記第1の固有情報及び暗号化された前記認証IDを特定した前記認証要求を行い、
    前記認証端末装置の前記認証部は、前記復号化部により復号された前記認証IDが前記認証情報に存在し、かつ前記復号化部により復号された前記第1の固有情報が前記第2の固有情報と対応する場合に、前記被認証端末装置を認証することを特徴とする認証システム。
  10. 請求項8又は9に記載の認証システムであって、
    前記登録端末装置は、
    前記認証ID毎に、該登録端末装置のIDと、パスワードと、を関連付けた発行ID管理情報を記憶する登録端末側記憶部を備え、
    前記被認証端末装置は、
    前記登録端末装置のIDとパスワードとを特定した認証ID発行要求を前記登録端末装置に対して行うID発行要求部を備え、
    前記登録端末装置の前記通信部は、前記認証ID発行要求を受け付けると、前記認証ID発行要求において特定された前記登録端末装置のIDと前記パスワードとの組み合わせに対し前記発行ID管理情報で関連付けられた前記認証IDと、前記被認証端末装置から受け付けた前記第1の固有情報とを前記被認証端末装置に送信することを特徴とする認証システム。
  11. 請求項10に記載の認証システムであって、
    前記被認証端末装置は、前記登録端末装置から送信されたデータ取得情報を用いて前記第2の固有情報を取得する固有情報取得部を備え、
    前記登録端末装置の前記通信部は、前記認証ID発行要求で特定された前記登録端末装置のIDと前記パスワードとの組み合わせが前記発行ID管理情報に含まれる場合に、前記データ取得情報を前記被認証端末装置に送信し、前記固有情報取得部により取得された前記第2の固有情報を受け付けることを特徴とする認証システム。
  12. 請求項8から11のいずれか一項に記載の認証システムであって、
    前記登録端末装置は、前記認証IDと前記第1の固有情報とを秘密鍵で暗号化する暗号化部を備え、
    前記認証端末装置の前記認証部は、前記秘密鍵と対応する公開鍵を用いて復号された、暗号化された前記認証IDと前記第1の固有情報とを用いて前記被認証端末装置を認証することを特徴とする認証システム。
  13. 予め取得した当該被認証端末装置の第1の固有情報と、ネットワークを介して接続された登録端末装置から取得した認証IDとを関連付けた認証情報を記憶する認証端末側記憶部と、
    ネットワークを介して接続された被認証端末装置の第2の固有情報と前記認証IDとを特定した認証要求を前記被認証端末装置から受け付けると、受け付けた前記第2の固有情報と前記認証IDとの組み合わせが前記認証情報に含まれるか否かに基づいて前記被認証端末装置を認証する認証部と、
    を備えることを特徴とする認証端末装置。
  14. 予め取得した認証IDに対し、当該登録端末装置のIDと、パスワードと、を関連付けた発行ID管理情報を記憶する登録端末側記憶部と、
    ネットワークを介して接続された被認証端末装置から、前記登録端末装置のIDとパスワードとを特定した認証ID発行要求を受け付ける通信部と、
    前記通信部が前記認証ID発行要求を受け付けると、該認証ID発行要求で特定された前記登録端末装置のIDと前記パスワードとの組み合わせと関連する前記認証IDを暗号化する暗号化部と、を備え、
    前記通信部は、前記暗号化部により暗号化された暗号化認証IDと、前記被認証端末装置が固有情報を取得するために用いるデータ取得情報と、を前記被認証端末装置に対して送信し、前記ネットワークを介して接続された認証端末装置に対して前記認証IDを送信することを特徴とする登録端末装置。
  15. 予め取得した認証IDに対し、当該登録端末装置のIDと、パスワードと、を関連付けた発行ID管理情報を記憶する登録端末側記憶部と、
    ネットワークを介して接続された被認証端末装置から、前記登録端末装置のIDとパスワードとを特定した認証ID発行要求を受け付け、該認証ID発行要求において特定された前記登録端末装置のIDと前記パスワードとの組み合わせが前記発行ID管理情報にある場合に、前記被認証端末装置が固有情報を取得するために用いるデータ取得情報を前記被認証端末装置に対して送信する通信部と、
    前記認証ID発行要求で特定された前記登録端末装置のIDと前記パスワードとの組み合わせと前記発行ID管理情報において関連する前記認証IDと、前記データ取得情報を用いて取得された前記被認証端末装置の前記固有情報と、を暗号化する暗号化部と、を備え、
    前記通信部は、前記暗号化部により暗号化された暗号化認証IDと暗号化固有情報とを前記被認証端末装置に対して送信し、前記ネットワークを介して接続された認証端末装置に対して前記認証IDを送信することを特徴とする登録端末装置。
  16. ネットワークを介して接続された登録端末装置と、認証端末装置と、被認証端末装置とを有する認証システムで用いられる認証方法であって、
    前記登録端末装置は、予め取得した認証IDを、前記認証端末装置及び前記被認証端末装置に送信する通信手順を有し、
    前記認証端末装置は、前記通信手順において前記登録端末装置から送信された前記認証IDと、予め取得した前記被認証端末装置の固有情報とを関連付けた認証情報を記憶部に記憶させる認証情報記憶手順を有し、
    前記被認証端末装置は、前記認証IDと当該被認証端末装置の固有情報とを特定した認証要求を前記認証端末装置に対し行う認証要求手順を有し、
    前記認証端末装置は、前記認証要求を前記被認証端末装置から受け付けると、前記認証要求で特定された前記認証IDと前記認証要求で特定された前記固有情報との組み合わせが前記認証情報に含まれるか否かに基づいて前記被認証端末装置を認証する認証手順を有することを特徴とする認証方法。
  17. ネットワークを介して接続された登録端末装置と、認証端末装置と、被認証端末装置とを有する認証システムで用いられる認証方法であって、
    前記登録端末装置は、予め取得した認証IDを前記認証端末装置に送信し、前記被認証端末装置から受け付けた固有情報である第1の固有情報と前記認証IDとを前記被認証端末装置に送信する通信手順を有し、
    前記認証端末装置は、前記登録端末装置の前記通信手順において送信された前記認証IDを認証情報として記憶部に記憶させる認証情報記憶手順を有し、
    前記被認証端末装置は、当該被認証端末装置の前記固有情報である第2の固有情報と、前記通信部により送信された前記第1の固有情報及び前記認証IDと、を特定した認証要求を前記認証端末装置に対して行う認証要求手順を有し、
    前記認証端末装置は、前記認証要求を前記被認証端末装置から受け付けると、前記認証要求で特定された前記認証IDが前記認証情報に存在し、かつ認証要求で特定された前記第1の固有情報が前記第2の固有情報と対応する場合に、前記被認証端末装置を認証する認証手順を有することを特徴とする認証方法。
  18. コンピュータを登録端末装置として機能させるプログラムであって、
    ネットワークを介して接続された被認証端末装置から、前記登録端末装置のIDとパスワードとを特定した認証ID発行要求を受け付ける通信手順と、
    前記通信手順において前記認証ID発行要求を受け付けると、予め取得した認証IDに対し、当該登録端末装置のIDと、パスワードと、を関連付けた発行ID管理情報を参照し、該認証ID発行要求で特定された前記登録端末装置のIDと前記パスワードとの組み合わせと関連する前記認証IDを暗号化する暗号化手順と、をコンピュータに実行させ、
    前記通信手順では、前記暗号化手順において暗号化された暗号化認証IDと、前記被認証端末装置が固有情報を取得するために用いるデータ取得情報と、を前記被認証端末装置に対して送信し、前記ネットワークを介して接続された認証端末装置に対して前記認証IDを送信することを特徴とするプログラム。
  19. コンピュータを登録端末装置として機能させるプログラムであって、
    ネットワークを介して接続された被認証端末装置から、当該登録端末装置のIDとパスワードとを特定した認証ID発行要求を受け付けると、予め取得した認証IDに対し、前記登録端末装置のIDと、パスワードと、を関連付けた発行ID管理情報を参照し、該認証ID発行要求において特定された前記登録端末装置のIDと前記パスワードとの組み合わせが前記発行ID管理情報にある場合に、前記被認証端末装置が固有情報を取得するために用いるデータ取得情報を前記被認証端末装置に対して送信する通信手順と、
    前記認証ID発行要求で特定された前記登録端末装置のIDとパスワードとの組み合わせと前記発行ID管理情報において関連する前記認証IDと、前記データ取得情報を用いて取得された前記被認証端末装置の前記固有情報と、を暗号化する暗号化手順と、をコンピュータに実行させ、
    前記通信手順では、前記暗号化手順において暗号化された暗号化認証IDと暗号化固有情報とを前記被認証端末装置に対して送信し、前記ネットワークを介して接続された認証端末装置に対して前記認証IDを送信することを特徴とするプログラム。
JP2014253656A 2014-12-16 2014-12-16 認証システム、認証端末装置、登録端末装置、認証方法、及びプログラム Pending JP2016115162A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014253656A JP2016115162A (ja) 2014-12-16 2014-12-16 認証システム、認証端末装置、登録端末装置、認証方法、及びプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014253656A JP2016115162A (ja) 2014-12-16 2014-12-16 認証システム、認証端末装置、登録端末装置、認証方法、及びプログラム

Publications (1)

Publication Number Publication Date
JP2016115162A true JP2016115162A (ja) 2016-06-23

Family

ID=56141917

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014253656A Pending JP2016115162A (ja) 2014-12-16 2014-12-16 認証システム、認証端末装置、登録端末装置、認証方法、及びプログラム

Country Status (1)

Country Link
JP (1) JP2016115162A (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106534269A (zh) * 2016-10-20 2017-03-22 广东美的暖通设备有限公司 空调机组的解锁方法、装置及服务器
JP2018205838A (ja) * 2017-05-30 2018-12-27 キヤノン株式会社 情報処理装置、管理システム、制御方法、及びプログラム

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106534269A (zh) * 2016-10-20 2017-03-22 广东美的暖通设备有限公司 空调机组的解锁方法、装置及服务器
WO2018072492A1 (zh) * 2016-10-20 2018-04-26 广东美的暖通设备有限公司 空调机组的解锁方法、装置及服务器
JP2019501544A (ja) * 2016-10-20 2019-01-17 広東美的暖通設備有限公司Gd Midea Heating & Ventilating Equipment Co.,Ltd. 空気調和ユニットのロック解除方法、装置及びサーバ
RU2684017C2 (ru) * 2016-10-20 2019-04-03 ДжиДи МИДЕА ХИТИНГ ЭНД ВЕНТИЛЕЙТИНГ ЭКВИПМЕНТ КО., ЛТД. Способ и устройство для разблокирования установки кондиционирования воздуха и сервер
US10614642B2 (en) 2016-10-20 2020-04-07 Gd Midea Heating & Ventilating Equipment Co., Ltd. Method and device for unlocking air conditioning unit and server
JP2018205838A (ja) * 2017-05-30 2018-12-27 キヤノン株式会社 情報処理装置、管理システム、制御方法、及びプログラム

Similar Documents

Publication Publication Date Title
US12058115B2 (en) Systems and methods for Smartkey information management
US11563567B2 (en) Secure shared key establishment for peer to peer communications
US8196186B2 (en) Security architecture for peer-to-peer storage system
US8627409B2 (en) Framework for automated dissemination of security metadata for distributed trust establishment
US9088557B2 (en) Encryption key management program, data management system
US8839357B2 (en) Method, system, and computer-readable storage medium for authenticating a computing device
JP6609788B1 (ja) 情報通信機器、情報通信機器用認証プログラム及び認証方法
CN116601916A (zh) 作为用于密钥散列消息认证码用户认证和授权的密钥材料的基于属性的加密密钥
CN109510802B (zh) 鉴权方法、装置及系统
JP2012521155A (ja) 証明書および鍵を含む製品を製造する方法
CN112187470A (zh) 物联网证书分发方法及装置、系统、存储介质、电子装置
EP2608477A1 (en) Trusted certificate authority to create certificates based on capabilities of processes
KR101580514B1 (ko) 시드 키를 이용한 패스워드 관리방법, 패스워드 관리장치 및 이를 적용한 컴퓨터로 읽을 수 있는 기록매체
US8732456B2 (en) Enterprise environment disk encryption
JP6240102B2 (ja) 認証システム、認証鍵管理装置、認証鍵管理方法および認証鍵管理プログラム
JP2016115162A (ja) 認証システム、認証端末装置、登録端末装置、認証方法、及びプログラム
JP2021040278A (ja) 鍵管理システム、署名装置、鍵管理方法及びプログラム
TWI698113B (zh) 電子裝置之認證方法及系統
CN115242471A (zh) 信息传输方法、装置、电子设备及计算机可读存储介质
JP2016163198A (ja) ファイル管理装置、ファイル管理システム、ファイル管理方法及びファイル管理プログラム
JP6364957B2 (ja) 情報処理システム、情報処理方法、及びプログラム
Corella et al. An example of a derived credentials architecture
JP5631164B2 (ja) マルチクラスタ分散処理制御システム、代表クライアント端末、マルチクラスタ分散処理制御方法
CN119743252A (zh) 一种移动终端数据加密方法、装置、设备及存储介质
JP2023048659A (ja) ファイルの保護機能を備えるシステム、ファイルを保護する方法およびファイルの保護プログラム