JP2019154055A - Authentication method, authentication apparatus, computer program, and system manufacturing method - Google Patents
Authentication method, authentication apparatus, computer program, and system manufacturing method Download PDFInfo
- Publication number
- JP2019154055A JP2019154055A JP2019083133A JP2019083133A JP2019154055A JP 2019154055 A JP2019154055 A JP 2019154055A JP 2019083133 A JP2019083133 A JP 2019083133A JP 2019083133 A JP2019083133 A JP 2019083133A JP 2019154055 A JP2019154055 A JP 2019154055A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- transaction
- address
- token
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 64
- 238000004590 computer program Methods 0.000 title abstract description 5
- 238000004519 manufacturing process Methods 0.000 title abstract description 4
- 238000012545 processing Methods 0.000 claims abstract description 103
- 238000004891 communication Methods 0.000 claims description 45
- 238000003860 storage Methods 0.000 claims description 31
- 230000004044 response Effects 0.000 claims description 4
- 238000010586 diagram Methods 0.000 description 29
- 238000013515 script Methods 0.000 description 16
- 238000012795 verification Methods 0.000 description 12
- 230000005540 biological transmission Effects 0.000 description 9
- 230000006870 function Effects 0.000 description 8
- 238000012790 confirmation Methods 0.000 description 6
- 238000012546 transfer Methods 0.000 description 3
- 238000009826 distribution Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Landscapes
- Storage Device Security (AREA)
Abstract
Description
本発明は、認証方法、認証装置、コンピュータプログラム及びシステムの製造方法に関する。 The present invention relates to an authentication method, an authentication apparatus, a computer program, and a system manufacturing method.
昨今では、通信端末装置を用いて多様なサービスをWebベースで受けることができる。サービスを享受するユーザを特定するために、サインアップ時に登録したユーザ識別情報(ID)と、なりすましを防ぐためのパスワードとを用いる認証が広く行なわれている。ユーザIDとパスワードとを用いる認証では、ユーザ自身もパスワードの漏洩に注意が必要である。パスワードの管理が煩雑であることによって、安易なパスワードの設定の誘因となり得る。特許文献1に開示されているように生体情報などを用いてパスワードの入力を省略するなどの方法も採られているが、精度の高い生体情報の読み取り用デバイスを多数の通信端末装置に導入することは困難である。 Nowadays, various services can be received on a Web basis using a communication terminal device. In order to identify a user who enjoys a service, authentication using user identification information (ID) registered at the time of sign-up and a password for preventing impersonation is widely performed. In the authentication using the user ID and the password, the user himself needs to be careful about the leakage of the password. Complicated password management can be an incentive for easy password setting. As disclosed in Patent Document 1, a method of omitting password input using biometric information or the like is also employed, but a highly accurate biometric information reading device is introduced into many communication terminal apparatuses. It is difficult.
ユーザ自身でユーザID及びパスワードの漏洩を防ぐことのみならず、サービス提供者側でもユーザID及び生体情報を含むパスワードを含む機密情報を安全に管理しなければならない。サービス提供者側でユーザの機密情報を集約して管理する場合、ハッキング、オペレーションミス等のサービス提供者側の責任範囲によって情報漏洩、若しくは資産の流出が発生するリスクが存在する。実際に数百から数千万件規模の機密情報がサービス提供者側から漏洩する事例も数多く報告され、重大な社会問題となっている。 In addition to preventing leakage of the user ID and password by the user himself / herself, the service provider must also securely manage confidential information including the password including the user ID and biometric information. When the user's confidential information is collected and managed on the service provider side, there is a risk of information leakage or asset outflow depending on the responsibility range of the service provider side such as hacking or operation mistake. In fact, hundreds to tens of millions of cases of confidential information leaked from service providers have been reported, which has become a serious social problem.
昨今では、通信端末装置で享受できるサービスは、FinTech関連技術によりネットバンキングのみならずユーザの多様な資産の管理を請け負うものが増加している。機密情報漏えいのリスクはサービス提供者及びそのユーザのみの問題にとどまらず、経済全体への影響が大きい。資産管理に関するオンラインサービスについて、その利便性の高さを阻害することなくこれらのリスクを軽減する技術の提供が重要な課題となっている。 In recent years, services that can be enjoyed by communication terminal devices are increasing not only for Internet banking but also for managing various assets of users by FinTech related technology. The risk of leakage of confidential information is not only a problem for service providers and their users, but has a large impact on the economy as a whole. For online services related to asset management, the provision of technology to reduce these risks without hindering the high convenience is an important issue.
本発明は斯かる事情を鑑みてなされたものであり、簡易に導入でき、パスワード等の入力を不要とする信頼性の高い認証方法、認証装置、コンピュータプログラム及びシステムの製造方法を提供することを目的とする。 The present invention has been made in view of such circumstances, and provides a highly reliable authentication method, authentication device, computer program, and system manufacturing method that can be easily introduced and does not require input of a password or the like. Objective.
本開示の認証方法は、被認証者に係る第1装置と、認証者に係る第2装置との間で認証を行なう認証方法において、相互にネットワークを介して接続された複数の処理ノード及び記憶媒体で構成され、前記複数の処理ノードが秘密鍵情報に基づくアドレスに、アドレス間で移転が可能なデジタル資産である所定の種類のトークンが帰属することを記録するためのトランザクションを帰属元に対応する秘密鍵情報から得られる電子署名に基づき検証及び承認する演算を夫々行ない、前記演算の結果を複数の記憶媒体に分散して情報を保持するように構成された分散型データベースネットワークシステムを用い、前記第2装置は、前記第1装置の秘密鍵情報に基づくアドレスへの前記トークンの帰属を、前記分散型データベースネットワークシステムの前記複数の処理ノードによって確認できるか否かにより前記第1装置を認証する。 An authentication method according to the present disclosure includes an authentication method for performing authentication between a first device associated with a person to be authenticated and a second device associated with an authenticator, a plurality of processing nodes connected to each other via a network, and a storage Consists of a transaction for recording that a plurality of processing nodes record a certain type of token, which is a digital asset that can be transferred between addresses, to an address based on secret key information. Using a distributed database network system configured to perform operations for verifying and approving based on an electronic signature obtained from secret key information, and to distribute the results of the operations to a plurality of storage media and hold the information, The second device determines the attribution of the token to an address based on the secret key information of the first device, the distributed database network system. Authenticating the first device by determining whether or not can be confirmed by the plurality of processing nodes of arm.
本開示の認証方法では、前記トークンの帰属は、前記第1装置の秘密鍵情報に基づくアドレス毎のトークン取引履歴を開示するスマートコントラクトによって確認される。 In the authentication method of the present disclosure, the attribution of the token is confirmed by a smart contract that discloses a token transaction history for each address based on the secret key information of the first device.
本開示の認証方法では、前記第2装置は、前記指定情報により指定されるデータに時間制限を付与してもよい。 In the authentication method of the present disclosure, the second device may give a time limit to data specified by the specification information.
本開示の認証方法では、前記第2装置は、前記第1装置から認証要求に対して任意のデータを指定する指定情報を前記第1装置へ送信し、前記第1装置にて前記指定情報が指定する前記データに対して付与される前記秘密鍵情報に基づく電子署名を受信し、前記認証要求に対応する前記第1装置の秘密鍵情報に基づくアドレスに基づき前記第1装置の公開鍵情報を導出し、導出された公開鍵情報を用い、受信した前記電子署名が正当であり、且つ、前記第1装置の前記アドレスに、前記トークンが帰属していることを確認できるか否かにより前記第1装置を認証する。 In the authentication method of the present disclosure, the second device transmits designation information designating arbitrary data in response to an authentication request from the first device to the first device, and the designation information is transmitted from the first device. An electronic signature based on the secret key information given to the data to be specified is received, and the public key information of the first device is received based on an address based on the secret key information of the first device corresponding to the authentication request. Deriving and using the derived public key information, whether the received electronic signature is valid and whether the token belongs to the address of the first device can be confirmed. Authenticate one device.
本開示の認証装置は、相互にネットワークを介して接続された複数の処理ノード及び記憶媒体で構成され、前記複数の処理ノードが秘密鍵情報に基づくアドレスに、アドレス間で移転が可能なデジタル資産である所定の種類のトークンが帰属することを記録するためのトランザクションを帰属元に対応する秘密鍵情報から得られる電子署名に基づき検証及び承認する演算を夫々行ない、前記演算の結果を複数の記憶媒体に分散して情報を保持するように構成された分散型データベースネットワークシステムとの間で情報を送受信する通信部と、認証要求に対し、要求元の秘密鍵情報に基づくアドレス秘密鍵情報に基づくアドレスへの前記トークンの帰属を、前記分散型データベースネットワークシステムの前記複数の処理ノードによって確認できるか否かにより前記要求元を認証する認証部とを備える。 The authentication device according to the present disclosure includes a plurality of processing nodes and storage media connected to each other via a network, and the plurality of processing nodes can transfer digital addresses to addresses based on secret key information. Each of the operations for verifying and approving a transaction for recording that a given type of token belongs is verified and approved based on an electronic signature obtained from private key information corresponding to the attribution source, and a plurality of results are stored. A communication unit that transmits and receives information to and from a distributed database network system configured to hold information by being distributed on a medium, and based on address private key information based on a request source private key information in response to an authentication request Confirmation of attribution of the token to an address by the plurality of processing nodes of the distributed database network system By whether kills and a authenticating unit for authenticating the requestor.
本開示の一実施形態では、複数の処理ノード及び記憶媒体で構成され、演算結果を複数の記憶媒体に分散して情報を保持する分散型データベースネットワーク、所謂Blockchainと呼ばれるシステムを用いて認証が行なわれる。分散型データベースネットワークでは、各ノードが所定のデジタル情報(例えば仮想通貨など)の帰属を記録するための記録情報、所謂トランザクションを、帰属元に対応する秘密鍵情報から得られる電子署名に基づいて検証及び承認する演算を行なう。 In one embodiment of the present disclosure, authentication is performed using a distributed database network that is configured by a plurality of processing nodes and storage media and that stores information by distributing operation results to a plurality of storage media, a so-called blockchain system. It is. In a distributed database network, each node verifies recording information for recording attribution of predetermined digital information (for example, virtual currency) based on an electronic signature obtained from secret key information corresponding to the attribution source. And the operation to approve.
したがって分散型データベースネットワークにトランザクションを送出でき、デジタル情報の帰属元となり得る「もの」(モノ又は人)は、「もの」自体と、「もの」を識別する識別情報との間の紐付けが立証できれば、正当性が十分に保証されると言える。ここで分散型データベースネットワークでは、デジタル情報の帰属元である「もの」の識別情報、所謂アドレスは数列(英数字)により表されて不特定多数に公開され、識別情報単体で流通可能である。識別情報がその「もの」に帰属していることを証明する多様な方法と併せることで堅牢な認証が実現される。 Therefore, a “thing” (thing or person) that can send a transaction to a distributed database network and can be a source of digital information proves that the “thing” itself and the identification information that identifies “thing” are linked. If possible, it can be said that the legitimacy is sufficiently guaranteed. Here, in the distributed database network, the identification information of “things”, which is the attribution source of digital information, so-called addresses are represented by numerical sequences (alphanumeric characters) and are disclosed to an unspecified number, and the identification information alone can be distributed. Robust authentication is realized by combining various methods to prove that the identification information belongs to the “thing”.
本開示の一実施形態では、識別情報がその「もの」に帰属していることを証明する方法として例えば、同じ識別情報を導出できるか否かで秘密鍵情報を記憶しているか否かを証明でき、これにより帰属を証明してもよい。導出できるか否かは所謂アドレスである識別情報のみならず、電子署名でもよい。秘密鍵情報を記憶している場合にのみ作成できる情報であれば、デジタル/アナログを問わない。秘密鍵情報を記憶している被認証者だけが回答できるキーワードであってもよいし、被認証者だけが作成できる画像であってもよいし、被認証者だけが正答できる課題であってもよい。 In one embodiment of the present disclosure, as a method for proving that the identification information belongs to the “thing”, for example, it is proved whether or not the secret key information is stored based on whether or not the same identification information can be derived. Yes, and you may prove your attribution. Whether or not it can be derived is not limited to identification information, which is a so-called address, but may be an electronic signature. Any information can be used as long as it can be created only when the private key information is stored. It may be a keyword that can be answered only by a person to be authenticated who stores secret key information, an image that can be created only by the person to be authenticated, or a problem that only a person to be authenticated can answer correctly Good.
本開示の一実施形態では例えば具体的には、認証装置側から被認証装置へ指定されたデータについて、被認証装置の秘密鍵情報に基づき作成された電子署名が、被認証装置の公開鍵情報に基づき正当であると確認できるか否かという認証と、被認証装置のアドレス対応付けられているデジタル資産が存在するか否かが確認される。被認証装置がデジタル資産を正当に所有していることが確認できるのであれば、被認証者は正当に手続きを行なうことができるものであると言える。これにより、被認証装置からのユーザID及びパスワードなしに、そして秘密鍵の流通なしに認証が可能である。電子署名の正当性の確認は、認証装置自身が行なわなくとも、分散型データベースネットワークにおける特定の処理ノード、即ちコントラクトで実行するようにしてもよい。 In one embodiment of the present disclosure, specifically, for example, an electronic signature created based on the private key information of the device to be authenticated for the data designated by the device to be authenticated is the public key information of the device to be authenticated. Based on the authentication, whether or not it can be confirmed as valid and whether or not there is a digital asset associated with the address of the device to be authenticated. If it can be confirmed that the device to be authenticated possesses the digital asset properly, it can be said that the person to be authenticated can properly perform the procedure. As a result, authentication can be performed without the user ID and password from the device to be authenticated and without the distribution of the secret key. The validity of the electronic signature may be confirmed by a specific processing node in the distributed database network, that is, a contract, without being performed by the authentication apparatus itself.
本開示の一実施形態では、電子署名に基づく検証及び承認を用い、認証装置側から被認証装置へデジタル資産を移動させ、そのデジタル資産が再度、被認証装置から認証装置へ戻るトランザクションの繋がりを確認できるのであれば、被認証者は正当に手続きを行なうことができるものであると言える。これにより、被認証装置からのユーザID及びパスワードなしに、そして秘密鍵の流通なしに認証が可能である。 In one embodiment of the present disclosure, using digital signature-based verification and approval, a digital asset is transferred from the authentication device side to the authenticated device, and the digital asset is transferred from the authenticated device to the authenticated device again. If it can be confirmed, it can be said that the person to be authenticated can perform the procedure properly. As a result, authentication can be performed without the user ID and password from the device to be authenticated and without the distribution of the secret key.
本開示の一実施形態では、記録情報でデジタル情報の移動を記述するスクリプトにて、デジタル情報の移動を決定する権限に対し期限を設定することが可能である。 In an embodiment of the present disclosure, it is possible to set a time limit for the authority to determine the movement of digital information in a script that describes the movement of digital information with recorded information.
本開示の一実施形態では、記録情報でデジタル情報の移動を記述するスクリプトにて、デジタル情報の移動を決定する権限に対し、電子署名のみならず所定のパスワードを加えることが可能である。 In an embodiment of the present disclosure, it is possible to add a predetermined password as well as an electronic signature to the authority to determine the movement of digital information in a script that describes the movement of digital information using recorded information.
本開示の認証方法によれば、被認証装置は秘密鍵さえ安全に保持しておけば、ユーザIDパスワードの入力を不要となる。秘密鍵に基づく電子署名を用いた記録情報の検証及び承認は、分散型データベースネットワークにて多数で確かめ合いながら実行されるので、信頼性が高い。被認証装置では、記録情報の作成及び電子署名の付与の処理を実行できればよいので、認証が必要なサービスを提供するためのコンピュータプログラムに組み込むことが容易であり、サービスへの導入が簡易である。 According to the authentication method of the present disclosure, it is not necessary to input the user ID password if the device to be authenticated holds only the secret key safely. Since verification and approval of recorded information using an electronic signature based on a secret key is executed while confirming a large number in a distributed database network, reliability is high. The authenticated device only needs to be able to execute the process of creating record information and assigning an electronic signature, so that it can be easily incorporated into a computer program for providing a service that requires authentication and can be easily introduced into the service. .
以下、本開示に係る認証システムについて、実施の形態を示す図面に基づいて説明する。 Hereinafter, an authentication system according to the present disclosure will be described based on the drawings illustrating an embodiment.
図1は、本開示の認証システム100における認証方法の概要を示す説明図である。認証システム100は、端末装置1、認証サーバ装置2、及び分散型DBネットワーク3を含む。端末装置1、認証サーバ装置2及び分散型DBネットワーク3はネットワークNを介して相互に通信接続が可能である。 FIG. 1 is an explanatory diagram illustrating an overview of an authentication method in the authentication system 100 of the present disclosure. The authentication system 100 includes a terminal device 1, an authentication server device 2, and a distributed DB network 3. The terminal device 1, the authentication server device 2, and the distributed DB network 3 can be connected to each other via a network N.
分散型DBネットワーク3は、各々が記憶媒体及びプロセッサを備える複数の処理装置が相互に通信接続し、1又は複数の処理装置でノードを構成し、ノード間で各々が記憶媒体に記憶している情報の検証を行なって構成される。分散型DBネットワーク3は、所謂分散型台帳であって例えばBlockchainと呼ばれるものであってもよい。 In the distributed DB network 3, a plurality of processing devices each having a storage medium and a processor are connected to each other by communication, and a node is formed by one or a plurality of processing devices, and each node is stored in a storage medium. It is constructed by verifying information. The distributed DB network 3 is a so-called distributed ledger and may be called a blockchain, for example.
認証システム100は、ネットワークNを含む。ネットワークNは、所謂インターネットである公衆通信網、キャリア事業者が提供するキャリアネットワーク、無線通信ネットワーク等を含む。分散型DBネットワーク3における各ノード(ノードを構成する処理装置300)は、ネットワークNを介して互いにデータを送受信してもよいし、直接的にデータを送受信しあってもよい。 The authentication system 100 includes a network N. The network N includes a so-called Internet public communication network, a carrier network provided by a carrier, a wireless communication network, and the like. Each node in the distributed DB network 3 (the processing device 300 constituting the node) may transmit / receive data to / from each other via the network N, or may directly transmit / receive data.
本開示の認証システム100では、端末装置1自身、又は端末装置1を使用しているユーザを、分散型DBネットワーク3におけるトークンの存在に基づき認証する。端末装置1は、端末装置1自身が記憶している、又はユーザが記憶している分散型DBネットワーク3における秘密情報に基づき、分散型DBネットワーク3上のトークンを自身に帰属させたり、他者へ帰属させたりすることができる。この帰属はトランザクションに明記され、そのトランザクションはノードにより、端末装置1に係る秘密鍵情報に基づいて検証済みである。分散型DBネットワーク3にトランザクションの記録を実現でき、デジタル情報の帰属元となり得る端末装置1又はそのユーザは、端末装置1自身又はユーザ自身が、分散型DBネットワーク3上のアドレス(ウォレットアドレス)の正当な所有者であることが立証できれば、分散型DBネットワーク3における検証と重ねてその正当性が十分に保証されると言える。 In the authentication system 100 of the present disclosure, the terminal device 1 itself or a user who uses the terminal device 1 is authenticated based on the presence of a token in the distributed DB network 3. The terminal device 1 makes the token on the distributed DB network 3 belong to itself based on the secret information in the distributed DB network 3 stored by the terminal device 1 itself or stored by the user, Can be attributed to. This attribution is specified in the transaction, and the transaction has been verified by the node based on the secret key information related to the terminal device 1. The terminal device 1 or its user who can record a transaction in the distributed DB network 3 and can be a source of digital information is the terminal device 1 itself or the user himself / herself of the address (wallet address) on the distributed DB network 3. If it can be proved that it is a legitimate owner, it can be said that the legitimacy is sufficiently ensured over the verification in the distributed DB network 3.
以下、分散型DBネットワーク3におけるアドレスが端末装置1又は端末装置1のユーザ自身のものであることを立証する多様な方法を用いて、本開示の認証システム100について複数の実施の形態を挙げて説明する。なお以下の実施の形態は全ての点において例示である。 Hereinafter, a plurality of embodiments of the authentication system 100 according to the present disclosure will be described using various methods for verifying that the address in the distributed DB network 3 is the terminal device 1 or the user of the terminal device 1 itself. explain. In addition, the following embodiment is an illustration in all the points.
(実施の形態1)
実施の形態1の認証方法では、認証サーバ装置2が、分散型DBネットワーク3で管理されるトークンの受け渡しに係るトランザクションを利用して、端末装置1からの認証要求に対して認証処理を実行する。このとき端末装置1及び認証サーバ装置2は夫々、秘密鍵に基づき作成される分散型DBネットワーク3におけるアドレス(ウォレットアドレス)を用いて処理を行なう。認証サーバ装置2はアドレスに対応付けて認証用に用いるトークン(例えば最小単位である1satoshi )を保持している。認証サーバ装置2は、この認証用のトークンのトランザクションの送信に必要な電子署名の正当性を分散型DBネットワーク3で検証することを用い、電子署名を付した端末装置1の認証を行なう。
(Embodiment 1)
In the authentication method of the first embodiment, the authentication server device 2 executes an authentication process for an authentication request from the terminal device 1 using a transaction related to token delivery managed by the distributed DB network 3. . At this time, each of the terminal device 1 and the authentication server device 2 performs processing using an address (wallet address) in the distributed DB network 3 created based on the secret key. The authentication server device 2 holds a token (for example, 1 satoshi which is a minimum unit) used for authentication in association with an address. The authentication server device 2 authenticates the terminal device 1 with the electronic signature by using the distributed DB network 3 to verify the validity of the electronic signature necessary for transmitting the authentication token transaction.
図2は、端末装置1の構成を示すブロック図である。端末装置1は、パーソナルコンピュータ、スマートフォン又はタブレット端末などの通信端末装置であり、処理部10、記憶部11、通信部12、表示部13及び操作部14を備える。 FIG. 2 is a block diagram illustrating a configuration of the terminal device 1. The terminal device 1 is a communication terminal device such as a personal computer, a smartphone, or a tablet terminal, and includes a processing unit 10, a storage unit 11, a communication unit 12, a display unit 13, and an operation unit 14.
処理部10は、CPU(Central Processing Unit )、GPU(Graphics Processing Unit)等のプロセッサと、メモリ等を用いる。なお処理部10は、プロセッサ、メモリ、更には記憶部11及び通信部12を集積した1つのハードウェア(SoC:System On a Chip)として構成されていてもよい。処理部10のメモリには、秘密鍵に基づくアドレス、公開鍵等が少なくとも一時的に記憶される。処理部10は、記憶部11に記憶されているアプリプログラム1Pに基づき、認証処理を後述する手順により実行する。なおアプリプログラム1Pは、後述する認証処理部分を組み込んだユーザが利用する他のサービス用のプログラムである。 The processing unit 10 uses a processor such as a CPU (Central Processing Unit) and a GPU (Graphics Processing Unit), a memory, and the like. The processing unit 10 may be configured as a single hardware (SoC: System On a Chip) in which a processor, a memory, and further a storage unit 11 and a communication unit 12 are integrated. In the memory of the processing unit 10, an address based on a secret key, a public key, and the like are stored at least temporarily. Based on the application program 1P stored in the storage unit 11, the processing unit 10 executes authentication processing according to a procedure described later. The application program 1P is a program for other services used by a user in which an authentication processing part described later is incorporated.
記憶部11はフラッシュメモリを用い、アプリプログラム1Pを始めとする処理部10が参照するプログラム、データが記憶される。アプリプログラム1Pは汎用的な端末装置1を、実施の形態1の被認証装置(prover)として機能させる。なお上述の秘密鍵は記憶部11に記憶されてもよいが、別途他の記憶媒体(USBメモリ、二次元バーコード、画像化されて出力可能とされたもの、ユーザ自身の記憶等も含む)に記憶されてあり、処理部10が該記憶媒体から秘密鍵に基づく公開鍵、アドレス、又は秘密鍵自体を一時的に読み取り可能であることが望ましい。 The storage unit 11 uses a flash memory, and stores programs and data referred to by the processing unit 10 including the application program 1P. The application program 1P causes the general-purpose terminal device 1 to function as an authenticated device (prover) according to the first embodiment. The above-mentioned secret key may be stored in the storage unit 11, but other storage media (including a USB memory, a two-dimensional barcode, an image that can be output and a user's own storage, etc.) It is desirable that the processing unit 10 can temporarily read the public key based on the secret key, the address, or the secret key itself from the storage medium.
通信部12は、ネットワークNへの通信接続を実現する通信モジュールである。通信部12は、ネットワークカード、無線通信デバイス又はキャリア通信用モジュールを用いる。 The communication unit 12 is a communication module that realizes communication connection to the network N. The communication unit 12 uses a network card, a wireless communication device, or a carrier communication module.
表示部13は液晶パネル又は有機ELディスプレイ等のディスプレイ装置を用いる。操作部14は、ユーザの操作を受け付けるインタフェースであり、物理ボタン、ディスプレイ内蔵のタッチパネルデバイス、スピーカ及びマイクロフォン等を用いる。操作部14は、物理ボタン又はタッチパネルにて表示部13で表示している画面上で操作を受け付けてもよいし、マイクロフォンにて入力音声から操作内容を認識し、スピーカで出力する音声との対話形式で操作を受け付けてもよい。 The display unit 13 uses a display device such as a liquid crystal panel or an organic EL display. The operation unit 14 is an interface that receives user operations, and uses physical buttons, a touch panel device with a built-in display, a speaker, a microphone, and the like. The operation unit 14 may accept an operation on a screen displayed on the display unit 13 with a physical button or a touch panel, recognizes an operation content from an input sound with a microphone, and interacts with a sound output from a speaker. Operations may be accepted in the form.
図3は、分散型DBネットワーク3のノードに対応する処理装置300の構成を示すブロック図である。処理装置300は、処理部30、記憶部31、及び通信部32を備える。処理装置300は、サーバコンピュータであってもよいし、デスクトップ型又はラップトップ型パーソナルコンピュータであってもよいし、スマートフォン等の通信端末機器であってもよい。また処理装置300は、少なくとも処理部30及び通信部32を備える装置であれば、処理部30の一部によってノードの一部又は全部を構成することができる。 FIG. 3 is a block diagram showing the configuration of the processing apparatus 300 corresponding to the nodes of the distributed DB network 3. The processing device 300 includes a processing unit 30, a storage unit 31, and a communication unit 32. The processing device 300 may be a server computer, a desktop or laptop personal computer, or a communication terminal device such as a smartphone. Further, as long as the processing apparatus 300 is an apparatus including at least the processing unit 30 and the communication unit 32, a part or all of the nodes can be configured by a part of the processing unit 30.
処理部30は、CPU、GPU等のプロセッサと、メモリ等を用いる。処理部30は、プロセッサ、メモリ、更には記憶部31及び通信部32を集積した1つのハードウェアとして構成されていてもよい。処理部30のメモリには、処理装置300夫々独自に所有する秘密鍵が記憶されているとよい。そして処理部30は、記憶部31に記憶されているノードプログラムに基づいた各処理を実行し、汎用コンピュータを分散型DBネットワーク3におけるノードとして機能させる。 The processing unit 30 uses a processor such as a CPU and a GPU, and a memory. The processing unit 30 may be configured as one piece of hardware in which a processor, a memory, and further a storage unit 31 and a communication unit 32 are integrated. The memory of the processing unit 30 may store a secret key that is uniquely owned by each processing device 300. Then, the processing unit 30 executes each process based on the node program stored in the storage unit 31, and causes the general-purpose computer to function as a node in the distributed DB network 3.
記憶部31は、ハードディスク又はフラッシュメモリを用い処理部30が参照するプログラム、データを記憶する。上述の秘密鍵は記憶部31に記憶されてもよい。記憶部31は、秘密鍵に基づく公開鍵及びアドレスを記憶する。 The storage unit 31 stores programs and data referred to by the processing unit 30 using a hard disk or a flash memory. The above-described secret key may be stored in the storage unit 31. The storage unit 31 stores a public key and an address based on the secret key.
通信部32は、処理装置300の相互通信を実現する通信モジュールである。通信部32は、ネットワークカード、光通信用デバイス、又は無線通信デバイス等を用いる。 The communication unit 32 is a communication module that realizes mutual communication between the processing devices 300. The communication unit 32 uses a network card, an optical communication device, a wireless communication device, or the like.
図4は、認証サーバ装置2の構成を示すブロック図である。認証サーバ装置2は、サーバコンピュータを用い、処理部20、記憶部21、及び通信部22を備える。 FIG. 4 is a block diagram showing a configuration of the authentication server device 2. The authentication server device 2 uses a server computer and includes a processing unit 20, a storage unit 21, and a communication unit 22.
処理部20は、CPU、GPU等のプロセッサと、メモリ等を用いる。処理部20は、記憶部21に記憶されている認証プログラム2Pに基づき、端末装置1からの認証要求を受け付けて後述する認証処理を実行する。認証プログラム2Pは汎用的なサーバコンピュータを、実施の形態1の認証装置(verifier)として機能させる。 The processing unit 20 uses a processor such as a CPU and a GPU, and a memory. The processing unit 20 receives an authentication request from the terminal device 1 based on the authentication program 2P stored in the storage unit 21, and executes an authentication process described later. The authentication program 2P causes a general-purpose server computer to function as the authentication device (verifier) of the first embodiment.
記憶部21は、ハードディスク又はフラッシュメモリを用い、認証プログラム2Pを始めとする処理部20が参照するプログラム、データを記憶する。認証サーバ装置2側でも秘密鍵に基づくアドレス、公開鍵を用いるので記憶部21にて秘密鍵を記憶してもよいが、端末装置1同様、別途他の記憶媒体に記憶しておき、処理部20が該記憶媒体から秘密鍵に基づく公開鍵、アドレス、又は秘密鍵自体を一時的に読み取り可能であることが望ましい。 The storage unit 21 uses a hard disk or a flash memory, and stores programs and data referred to by the processing unit 20 including the authentication program 2P. Since the authentication server device 2 uses an address and a public key based on the secret key, the storage unit 21 may store the secret key. However, like the terminal device 1, it is stored separately in another storage medium, and the processing unit It is desirable that 20 can temporarily read a public key based on a secret key, an address, or the secret key itself from the storage medium.
通信部22は、ネットワークNへの通信接続を実現する通信モジュールである。通信部22は、ネットワークカード、無線通信デバイス又はキャリア通信用モジュールを用いる。 The communication unit 22 is a communication module that realizes communication connection to the network N. The communication unit 22 uses a network card, a wireless communication device, or a carrier communication module.
このようなハードウェア構成を有する認証システム100にて、実行される処理について説明する。図5は、実施の形態1における認証の処理手順の一例を示すシーケンス図である。 Processing executed in the authentication system 100 having such a hardware configuration will be described. FIG. 5 is a sequence diagram illustrating an example of an authentication processing procedure according to the first embodiment.
端末装置1の処理部10は予め、分散型DBネットワーク3における秘密鍵を生成しておき(ステップS101)、生成した秘密鍵に1対1で対応するアドレスを生成する(ステップS102)。 The processing unit 10 of the terminal device 1 generates a secret key in the distributed DB network 3 in advance (Step S101), and generates an address corresponding to the generated secret key on a one-to-one basis (Step S102).
認証サーバ装置2側でも予め処理部20にて分散型DBネットワーク3における秘密鍵を生成しておき(ステップS201)、生成した秘密鍵に基づいてアドレスを生成し、記憶しておく(ステップS202)。なおステップS202は、認証要求を受信する都度アドレスを生成してもよい。そして処理部20は、認証用のトークンを分散型DBネットワーク3上における自身のアドレスに対して保持している。 Also on the authentication server device 2 side, a secret key in the distributed DB network 3 is generated in advance by the processing unit 20 (step S201), and an address is generated and stored based on the generated secret key (step S202). . In step S202, an address may be generated every time an authentication request is received. The processing unit 20 holds an authentication token for its own address on the distributed DB network 3.
端末装置1の処理部10は、ステップS102で生成したアドレスを含む認証要求を、通信部12から認証サーバ装置2へ送信する(ステップS103)。 The processing unit 10 of the terminal device 1 transmits an authentication request including the address generated in step S102 from the communication unit 12 to the authentication server device 2 (step S103).
認証サーバ装置2では、通信部22により認証要求を受信する(ステップS203)。これにより、認証処理が開始される。処理部20は、自身のアドレスから、受信した認証要求に含まれるアドレス即ち端末装置1のアドレスへ、認証用トークンを送信するトランザクションを生成する(ステップS204)。処理部20は、生成したトランザクションに、自身の秘密鍵に基づく電子署名を付与し(ステップS205)、生成したトランザクションを分散型DBネットワーク3へ送信し(ステップS206)、これと共に認証用トークンの情報を端末装置1へ送信する(ステップS207)。 In the authentication server device 2, an authentication request is received by the communication unit 22 (step S203). Thereby, an authentication process is started. The processing unit 20 generates a transaction for transmitting an authentication token from its own address to the address included in the received authentication request, that is, the address of the terminal device 1 (step S204). The processing unit 20 attaches an electronic signature based on its own secret key to the generated transaction (step S205), transmits the generated transaction to the distributed DB network 3 (step S206), and information on the authentication token along with this Is transmitted to the terminal device 1 (step S207).
分散型DBネットワーク3では、いずれかのノードで認証サーバ装置2から送信されたトランザクションを受信すると(ステップS301)、受信されたトランザクションを各ノードで検証及び承認する(ステップS302)。ステップS302のトランザクションの検証及び承認は、トランザクションに含まれる署名に基づく正当性と、トランザクションに含まれるハッシュ等による前の取引との整合性とを検証する処理と、複数のノード間でこれらの結果について合意する処理とを含む。これにより、認証用トークンが、認証サーバ装置2の秘密鍵に基づくアドレスから、認証要求元の端末装置1の秘密鍵に基づくアドレスへ移動したこととなる。 In the distributed DB network 3, when a transaction transmitted from the authentication server device 2 is received by any node (step S301), the received transaction is verified and approved by each node (step S302). The verification and approval of the transaction in step S302 is a process of verifying the validity based on the signature included in the transaction and the consistency with the previous transaction by the hash included in the transaction, and the results between the plurality of nodes. Process to agree on. As a result, the authentication token has moved from the address based on the secret key of the authentication server device 2 to the address based on the secret key of the terminal device 1 that is the authentication request source.
端末装置1では、通信部12が認証サーバ装置2から送信された認証用トークンの情報を受信すると(ステップS104)、処理部10が自身のアドレスから認証サーバ装置2の秘密鍵情報に基づくアドレスへ認証用トークンを送信するトランザクションを生成する(ステップS105)。処理部10は、生成したトランザクションに、自身の秘密鍵に基づく電子署名を書き込み(ステップS106)、生成したトランザクションを分散型DBネットワーク3へ送信し(ステップS107)、これと共に認証用トークンの情報を認証サーバ装置2へ送信する(ステップS108)。 In the terminal device 1, when the communication unit 12 receives the authentication token information transmitted from the authentication server device 2 (step S104), the processing unit 10 changes from its own address to an address based on the secret key information of the authentication server device 2. A transaction for transmitting the authentication token is generated (step S105). The processing unit 10 writes an electronic signature based on its own private key in the generated transaction (step S106), transmits the generated transaction to the distributed DB network 3 (step S107), and sends the authentication token information together with this. It transmits to the authentication server device 2 (step S108).
分散型DBネットワーク3では、いずれかのノードで端末装置1から送信されたトランザクションを受信すると(ステップS303)、受信されたトランザクションを各ノードで検証及び承認する(ステップS304)。ステップS304のトランザクションの検証及び承認により、認証用トークンが、認証要求元の端末装置1の秘密鍵に基づくアドレスから、認証サーバ装置2の秘密鍵に基づくアドレスへ移動、即ち戻ったことになる。 In the distributed DB network 3, when a transaction transmitted from the terminal device 1 is received by any node (step S303), the received transaction is verified and approved by each node (step S304). By the verification and approval of the transaction in step S304, the authentication token is moved from the address based on the secret key of the authentication requesting terminal device 1 to the address based on the secret key of the authentication server device 2, that is, returned.
認証サーバ装置2では、通信部22にて端末装置1から送信された認証用トークンの情報を受信すると(ステップS208)、処理部20は、認証用トークンが自身のアドレス宛に送信されたことを分散型DBネットワーク3にて確認する(ステップS209)。処理部20は、確認ができたか否かによる認証結果を通信部22から端末装置1へ送信する(ステップS210)。 When the authentication server device 2 receives the authentication token information transmitted from the terminal device 1 by the communication unit 22 (step S208), the processing unit 20 confirms that the authentication token is transmitted to its own address. Confirmation is made in the distributed DB network 3 (step S209). The processing unit 20 transmits an authentication result based on whether or not confirmation has been made from the communication unit 22 to the terminal device 1 (step S210).
端末装置1にて認証結果を受信し(ステップS109)、認証処理を終了する。 The terminal device 1 receives the authentication result (step S109) and ends the authentication process.
図5のシーケンス図に示した処理手順について、図面を参照して詳細を説明する。図6は、初期状態を示す説明図である。初期状態とは、端末装置1から認証要求が認証サーバ装置2へ送信される前の認証システム100の状態を示す。なお説明を容易にするため、図中では端末装置1を被認証者(Prover)として「A」と呼び、認証サーバ装置2を認証者(Verifier)として「B」と記している。ステップS102及びステップS202の後の初期状態において、端末装置1及び認証サーバ装置2は夫々、分散型DBネットワーク3に対し秘密鍵に基づくアドレス(図中ではAのアドレス:「1KfpsrWCRBSZ8...」、Bのアドレス:「18Wk9BL4NW5vk...」)を生成して記憶している。そして認証サーバ装置2では、図6に示すように自身のアドレスに対応付けて、認証用トークン、即ち認証用のUTXO(未使用のトランザクションアウトプット)を分散型DBネットワーク3に保持している。認証用のUTXOには、出力用のスクリプトとして、自身のアドレスに対応する公開鍵のハッシュ等のロックスクリプト(OP_DUP OP_HASH160 <B's pub key hash> OP_EQUALVERIFY OP_CHECKSIG )を含む。なお図6及び図7以降に示すトランザクションのスクリプトは、ビットコインのプロトコルに基づく。 The processing procedure shown in the sequence diagram of FIG. 5 will be described in detail with reference to the drawings. FIG. 6 is an explanatory diagram showing an initial state. The initial state indicates a state of the authentication system 100 before an authentication request is transmitted from the terminal device 1 to the authentication server device 2. For ease of explanation, in the figure, the terminal device 1 is referred to as “A” as a person to be authenticated (Prover), and the authentication server device 2 is referred to as “B” as a verifier. In the initial state after step S102 and step S202, the terminal device 1 and the authentication server device 2 respectively address the distributed DB network 3 based on a secret key (in the figure, an address A: “1KfpsrWCRBSZ8 ...”, B address: “18Wk9BL4NW5vk ...”) is generated and stored. As shown in FIG. 6, the authentication server device 2 holds an authentication token, that is, an authentication UTXO (unused transaction output) in the distributed DB network 3 in association with its own address. The UTXO for authentication includes a lock script (OP_DUP OP_HASH160 <B's pub key hash> OP_EQUALVERIFY OP_CHECKSIG) such as a hash of a public key corresponding to its own address as an output script. Note that the transaction scripts shown in FIG. 6 and FIG. 7 and subsequent figures are based on the Bitcoin protocol.
図7は、認証サーバ装置2にて生成されるトランザクションの内容例を示す図である。図7に示すように、ステップS204で生成されるトランザクション(図7中、符号txA にて示す)にはまず、出力(ouput)に、端末装置1(A)から通知された端末装置1の秘密鍵情報に基づくアドレスに対応する公開鍵のハッシュが送信先を参照する情報として出力(output)に含まれている。そしてトランザクションtxA には、認証サーバ装置2(B)のアドレスに対応付けられていたUTXOに基づき入力(input)に情報(取引ハッシュ、インデックス等)が含まれる(図示せず)。なおこの時点で、入力用のスクリプトの内の署名部分は他の情報(認証サーバ装置2の公開鍵のハッシュ)で仮置きされる。 FIG. 7 is a diagram illustrating an example of the contents of a transaction generated by the authentication server device 2. As shown in FIG. 7, in the transaction generated in step S204 (indicated by reference numeral txA in FIG. 7), first, the secret of the terminal device 1 notified from the terminal device 1 (A) is output. The hash of the public key corresponding to the address based on the key information is included in the output as information for referring to the transmission destination. The transaction txA includes information (transaction hash, index, etc.) in the input (input) based on the UTXO associated with the address of the authentication server device 2 (B) (not shown). At this point, the signature portion of the input script is temporarily placed with other information (the hash of the public key of the authentication server device 2).
図8は、署名付与後のトランザクションtxA の内容例を示す図である。図8に示すように、ステップS205の署名付与によりトランザクションtxA には、署名前のトランザクションTxA (図7)のハッシュから認証サーバ装置2の秘密鍵に基づき作成される電子署名(B's signature )と、認証サーバ装置2の秘密鍵に基づく公開鍵(B's pub key )とが付与されている。この電子署名により、このトランザクションTxA の作成者が認証サーバ装置2であることが証明される。 FIG. 8 is a diagram illustrating an example of the contents of the transaction txA after the signature is added. As shown in FIG. 8, the transaction txA is given a signature in step S205, and an electronic signature (B's signature) created based on the secret key of the authentication server device 2 from the hash of the transaction TxA (FIG. 7) before the signature, A public key (B's pub key) based on the secret key of the authentication server device 2 is assigned. This electronic signature proves that the creator of this transaction TxA is the authentication server device 2.
図9は、認証サーバ装置2からのトランザクションtxA の送信後の状態を示す図である。認証サーバ装置2から送信されたトランザクションtxA は、分散型DBネットワーク3にてブロードキャストされる。また認証サーバ装置2は、端末装置1へ送付した認証用トークンを特定するための特定情報として、トランザクションID(tx id )及びトランザクションIDで特定されるトランザクションtxA 中の出力を特定するための出力インデックス(output index)を図9に示すように送信する。これにより端末装置1は、自身のアドレスに対応付けられている認証用UTXOを特定できるようになる。 FIG. 9 is a diagram illustrating a state after the transaction txA is transmitted from the authentication server device 2. The transaction txA transmitted from the authentication server device 2 is broadcast on the distributed DB network 3. Further, the authentication server device 2 uses the transaction ID (tx id) and the output index for specifying the output in the transaction txA specified by the transaction ID as the specification information for specifying the authentication token sent to the terminal device 1. (Output index) is transmitted as shown in FIG. As a result, the terminal device 1 can specify the authentication UTXO associated with its own address.
図10は、認証サーバ装置2からのトランザクションtxA の送信後の状態を示す図である。図9に示した認証サーバ装置2からのトランザクションtxA が分散型DBネットワーク3にて検証及び承認される(S302)。これにより端末装置1(A)のアドレスに、認証用トークン、即ち認証用のUTXO(未使用のトランザクションアウトプット)が分散型DBネットワーク3上で対応付けられる(移動する)。認証用のUTXOは、トランザクションtxA の出力に対応する。 FIG. 10 is a diagram illustrating a state after the transaction txA is transmitted from the authentication server device 2. The transaction txA from the authentication server device 2 shown in FIG. 9 is verified and approved in the distributed DB network 3 (S302). As a result, an authentication token, that is, an authentication UTXO (unused transaction output) is associated (moved) on the distributed DB network 3 with the address of the terminal device 1 (A). The UTXO for authentication corresponds to the output of transaction txA.
図11は、端末装置1にて生成されるトランザクションの内容例を示す図である。端末装置1は、認証サーバ装置2から送信された認証用トークンの情報を受信(S104)したことにより、図10に示した認証用UTXOを特定し、これにより送り主の認証サーバ装置2のアドレス(公開鍵)も特定できる。端末装置1の処理部10は、図11に示すようにトランザクション(図11中、符号txB にて示す)を生成する(ステップS105)。ここで生成されるトランザクションtxB にはまず、認証サーバ装置2のアドレスに対応する公開鍵のハッシュが送信先を参照する情報として出力に含まれている。そしてトランザクションtxB の入力には、特定された認証用UTXOからの情報(トランザクションtxA のハッシュ、tx id 等)が含まれる(図示せず)。なおこの時点でも、入力用のスクリプトの内の署名部分は他の情報(端末装置1の公開鍵のハッシュ)で仮置きされる。 FIG. 11 is a diagram illustrating a content example of a transaction generated in the terminal device 1. The terminal device 1 receives the authentication token information transmitted from the authentication server device 2 (S104), thereby identifying the authentication UTXO shown in FIG. 10, and thereby the address of the sender authentication server device 2 ( Public key) can also be specified. The processing unit 10 of the terminal device 1 generates a transaction (indicated by reference sign txB in FIG. 11) as shown in FIG. 11 (step S105). In the transaction txB generated here, first, the hash of the public key corresponding to the address of the authentication server device 2 is included in the output as information for referring to the transmission destination. The input of the transaction txB includes information (hash, tx id, etc. of the transaction txA) from the specified authentication UTXO (not shown). Even at this time, the signature portion of the input script is temporarily placed with other information (the hash of the public key of the terminal device 1).
図12は、署名付与後のトランザクションtxB の内容例を示す図である。図12に示すように、ステップS106の署名付与の処理によりトランザクションtxB には、署名前のトランザクションTxB (図11)のハッシュから端末装置1の秘密鍵に基づき作成される電子署名(A's signature )と、端末装置1の秘密鍵に基づく公開鍵(A's pub key )とが付与されている。この電子署名により、このトランザクションTxB の作成者が端末装置1であることが証明される。 FIG. 12 is a diagram illustrating a content example of the transaction txB after the signature is added. As shown in FIG. 12, the transaction txB by the signature assignment process in step S106 includes an electronic signature (A's signature) created based on the private key of the terminal device 1 from the hash of the transaction TxB (FIG. 11) before the signature. A public key (A's pub key) based on the secret key of the terminal device 1 is given. This electronic signature proves that the creator of this transaction TxB is the terminal device 1.
図13は、端末装置1からのトランザクションtxB の送信後の状態を示す図である。端末装置1から送信されたトランザクションtxB は、分散型DBネットワーク3にてブロードキャストされる。また端末装置1は、認証サーバ装置2へ送付した認証用トークンを特定するための特定情報として、トランザクションID(tx id )及びトランザクションIDで特定されるトランザクションtxB 中の出力を特定するための出力インデックス(output index)を図13に示すように送信する。これにより認証サーバ装置2は、自身のアドレスに対応付けられている認証用UTXOを特定できるようになる。 FIG. 13 is a diagram illustrating a state after the transaction txB is transmitted from the terminal device 1. The transaction txB transmitted from the terminal device 1 is broadcast on the distributed DB network 3. Further, the terminal device 1 uses the transaction ID (tx id) and the output index for specifying the output in the transaction txB specified by the transaction ID as the specification information for specifying the authentication token sent to the authentication server device 2. (Output index) is transmitted as shown in FIG. As a result, the authentication server device 2 can specify the authentication UTXO associated with its own address.
図14は、端末装置1からのトランザクションtxB の送信後の状態を示す図である。図13に示した端末装置1からのトランザクションtxB が分散型DBネットワーク3にて検証及び承認される(S304)。これにより認証サーバ装置2(B)のアドレスに、認証用トークン、即ち認証用のUTXOが分散型DBネットワーク3上で再び対応付けられる(移動する)。認証用のUTXOは、トランザクションtxB の出力に対応する。 FIG. 14 is a diagram illustrating a state after the transaction txB is transmitted from the terminal device 1. The transaction txB from the terminal device 1 shown in FIG. 13 is verified and approved in the distributed DB network 3 (S304). As a result, the authentication token, that is, UTXO for authentication, is again associated (moved) on the distributed DB network 3 with the address of the authentication server device 2 (B). UTXO for authentication corresponds to the output of transaction txB.
図15は、分散型DBネットワーク3における認証用トークンの流れを示す図である。図15に示すように、認証サーバ装置2のアドレスに対応付けられている認証用UTXOのトランザクションでは、いずれの出力を入力として使用したかの情報が含まれるため、トランザクションチェーンを辿ることで、最初に認証サーバ装置2自身が送信した認証用UTXOと繋がったUTXOであるか否かにより、確認処理を行なうことができる。 FIG. 15 is a diagram showing a flow of authentication tokens in the distributed DB network 3. As shown in FIG. 15, the authentication UTXO transaction associated with the address of the authentication server device 2 includes information indicating which output is used as an input. Depending on whether or not the authentication server device 2 itself is a UTXO connected to the authentication UTXO, the confirmation process can be performed.
このように、端末装置1はサービスを利用するために必要な認証を受ける際に、ログイン情報を入力する必要はない。認証サーバ装置2で、1つの端末装置1のアドレスに対して認証に成功した場合、アプリプログラム1Pのサービス提供者側でアドレスとユーザIDとの対応を記憶しておいてもよい。この場合、端末装置1にてアプリプログラム1Pに基づくサービスの利用中に認証が必要な状態となる都度、処理部10がステップS103の認証要求の送信からステップS109までの処理を実行すればよく、ログイン情報(ユーザID及びパスワード)は不要である。サービス提供者にてユーザIDとアドレスとの対応が漏洩したとしても、これらの情報から端末装置1の秘密鍵を算出することは極めて困難であるから、端末装置1及び認証サーバ装置2側で秘密鍵が安全に管理されていればよく、リスクを低減することができる。これによりサービス提供者はユーザの機密情報を管理することなくユーザ認証を行なうことができる。また端末装置1側からトランザクションとして送信される情報は、秘密鍵そのものではなくあくまで電子署名であり、また秘密鍵を入力するような操作は不要であり、秘密鍵が外部に漏えいする可能性を低減できる。 In this way, the terminal device 1 does not need to input login information when receiving authentication necessary for using the service. When the authentication server device 2 successfully authenticates the address of one terminal device 1, the service provider side of the application program 1P may store the correspondence between the address and the user ID. In this case, each time the terminal device 1 enters a state where authentication is required during the use of the service based on the application program 1P, the processing unit 10 only needs to execute the processing from the transmission of the authentication request in step S103 to step S109. Login information (user ID and password) is not required. Even if the correspondence between the user ID and the address is leaked by the service provider, it is extremely difficult to calculate the secret key of the terminal device 1 from these information. As long as the key is managed safely, the risk can be reduced. As a result, the service provider can perform user authentication without managing the confidential information of the user. In addition, the information transmitted as a transaction from the terminal device 1 is not a secret key itself but an electronic signature, and an operation for inputting the secret key is unnecessary, and the possibility of the secret key being leaked to the outside is reduced. it can.
処理部10は、アプリプログラム1Pを起動する都度、端末装置自身の秘密鍵に基づきステップS102にてアドレスを生成し直し、認証を行なうようにしてもよい。この場合も秘密鍵に基づくステップS102からS109を実行すればよく、ユーザが何らかの入力操作を行なう必要がない。なお認証用トークンは認証処理を行なう上では資産として扱われていないので、秘密鍵さえも、認証が必要な状態となる都度に生成してもよい。 Each time the application program 1P is activated, the processing unit 10 may generate an address again in step S102 based on the secret key of the terminal device itself and perform authentication. In this case as well, steps S102 to S109 based on the secret key may be executed, and there is no need for the user to perform any input operation. Since the authentication token is not treated as an asset in performing the authentication process, even the secret key may be generated every time authentication is required.
また実施の形態1で説明したように、サービス提供者はアプリプログラム1Pを、上述した処理(S101からS109)を実行する部分を組み込んで実装すればよく、認証方式の導入が容易である。認証の検証プロセスは、分散型DBネットワーク3にて実行され、認証用トークンの移動も自動的に記録処理がなされる。サービス提供者は低コストでこの認証方式をサービスに取り込むことが可能である。 Further, as described in the first embodiment, the service provider only needs to mount the application program 1P by incorporating the part for executing the above-described processing (S101 to S109), and the introduction of the authentication method is easy. The authentication verification process is executed in the distributed DB network 3, and the movement of the authentication token is automatically recorded. The service provider can incorporate this authentication method into the service at a low cost.
なお、本開示の認証方法では、認証の時間制限を設けることも可能である。図16は、時間制限の設定を含むスクリプトの内容例を示す説明図である。認証サーバ装置2(B)は、ステップS204で端末装置1(A)を相手とするトランザクションtxA を作成するに際し、図16に示すように出力に、一定時間内に端末装置1(A)が認証用トークンを返さない場合に、自身の署名で認証用トークンを回収できるようにしておくことができる。このトランザクションtxA の出力(認証用トークン)は、一定時間内は端末装置1(A)の署名スクリプト(A's signature, A's pub key, OP_TRUE)がなければ動かすことができないが、一定時間が経過した後は、認証サーバ装置2(B)の署名スクリプト(B's signature, B's pub key, OP_FALSE)によって動かすことができる認証用UTXOとなる。なお図16中におけるスクリプト<num> は時間制限の長さであり、[TIMEOUTTOP]はOP_CHECKLOCKTIMEVERIFY又はOP_CHECKSEQUENCEVERIFYに置き換えられる。 Note that in the authentication method of the present disclosure, it is possible to set a time limit for authentication. FIG. 16 is an explanatory diagram showing an example of the contents of a script including a time limit setting. When the authentication server device 2 (B) creates a transaction txA for the terminal device 1 (A) in step S204, the authentication device 2 (B) authenticates the terminal device 1 (A) to the output within a certain time as shown in FIG. If the authentication token is not returned, the authentication token can be collected with its own signature. The output of this transaction txA (authentication token) cannot be moved without a signature script (A's signature, A's pub key, OP_TRUE) of the terminal device 1 (A) within a certain time, but after a certain time has passed. Is an authentication UTXO that can be moved by the signature script (B's signature, B's pub key, OP_FALSE) of the authentication server apparatus 2 (B). Note that the script <num> in FIG. 16 is the time limit length, and [TIMEOUTTOP] is replaced with OP_CHECKLOCKTIMEVERIFY or OP_CHECKSEQUENCEVERIFY.
本開示の認証方法では、ワンタイムパスワードを加えることができる。図17は、ワンタイムパスワードのスクリプトの内容例を示す説明図である。認証サーバ装置2(B)は、ステップS204で端末装置1(A)を相手とするトランザクションtxA を作成するに際し、図17に示すように出力に、予め別の手段で端末装置1(A)と共有しておいたワンタイムパスワードのハッシュを含める。これにより、端末装置1(A)でワンタイムパスワードも正確に署名スクリプトに含めない限り、出力できない認証用UTXOとなる。なお図17中におけるスクリプト[HASHOP]は、OP_HASH160又はOP_HASH256に置き換えられる。 In the authentication method of the present disclosure, a one-time password can be added. FIG. 17 is an explanatory diagram showing an example of the content of a one-time password script. When the authentication server device 2 (B) creates a transaction txA for the terminal device 1 (A) in step S204, the authentication server device 2 (B) outputs it in advance as shown in FIG. Include a hash of the shared one-time password. As a result, an authentication UTXO that cannot be output unless the one-time password is correctly included in the signature script in the terminal device 1 (A). Note that the script [HASHOP] in FIG. 17 is replaced with OP_HASH160 or OP_HASH256.
(実施の形態2)
分散型DBネットワーク3を用いてより簡素化した認証方法が実現できる。実施の形態2における認証システム100の構成は、認証方法の詳細が異なる点以外、即ち端末装置1、認証サーバ装置2、及び分散型DBネットワーク3のハードウェア構成は、実施の形態1と同様であるので、共通する構成について同一の符号を付して詳細な説明を省略する。
(Embodiment 2)
A more simplified authentication method can be realized using the distributed DB network 3. The configuration of the authentication system 100 according to the second embodiment is the same as that of the first embodiment except for the details of the authentication method, that is, the hardware configurations of the terminal device 1, the authentication server device 2, and the distributed DB network 3. Therefore, the same reference numerals are assigned to the common components, and detailed description thereof is omitted.
実施の形態2の認証方法において認証サーバ装置2は、実施の形態1に示したトークンの受け渡しを行なわずとも、端末装置1自身が分散型DBネットワーク3におけるトークンの所有者であることが確認できれば、正当であるとして認証を行なう。トークンの移動を伴わなくとも同様にして、分散型DBネットワーク3におけるトークンの存在を用いた認証が可能である。 In the authentication method of the second embodiment, the authentication server device 2 can confirm that the terminal device 1 itself is the token owner in the distributed DB network 3 without performing the token delivery shown in the first embodiment. Authenticate as legitimate. Similarly, authentication using the presence of a token in the distributed DB network 3 is possible without any token movement.
実施の形態2では、端末装置1が分散型DBネットワーク3におけるトークンの所有者であることが証明できるように、自身のアドレスに対応するトランザクションが分散型DBネットワーク3に記録されていることが前提として、以下の処理が行なわれる。図18は、実施の形態2における認証の処理手順の一例を示すシーケンス図である。なお図18のシーケンス図に示す処理手順の内、図5に示した実施の形態1における処理手順と共通する手順については、同一のステップ番号を付して詳細な説明を省略する。 In the second embodiment, it is assumed that a transaction corresponding to its own address is recorded in the distributed DB network 3 so that the terminal device 1 can prove that it is the owner of the token in the distributed DB network 3. The following processing is performed. FIG. 18 is a sequence diagram illustrating an example of an authentication processing procedure according to the second embodiment. Of the processing procedures shown in the sequence diagram of FIG. 18, the same steps as those in the first embodiment shown in FIG. 5 are assigned the same step numbers, and detailed descriptions thereof are omitted.
認証サーバ装置2にて通信部22により端末装置1のアドレスを含む認証要求が受信されると(S203)、認証処理が開始される。処理部20は、任意のデータ(文字列、文書データ等)を指定する指定情報を端末装置1のアドレスへ送信する(ステップS214)。ステップS214にて処理部20は、任意のデータ自体を送信してもよいが、認証サーバ装置2及び端末装置1が共通にアクセス可能なデータであればよく、これを指定する情報であることが好ましい。 When the authentication request including the address of the terminal device 1 is received by the communication unit 22 in the authentication server device 2 (S203), the authentication process is started. The processing unit 20 transmits designation information for designating arbitrary data (character string, document data, etc.) to the address of the terminal device 1 (step S214). In step S214, the processing unit 20 may transmit arbitrary data itself, but any data that can be accessed in common by the authentication server device 2 and the terminal device 1 may be used. preferable.
端末装置1では、通信部12が認証サーバ装置2から送信された指定情報を受信し、処理部10は指定情報に基づき指定されたデータを特定する(ステップS114)。処理部10は、特定したデータに対し、自身の秘密鍵を用いた電子署名を作成し(ステップS115)、作成した電子署名を認証サーバ装置2へ送信する(ステップS116)。 In the terminal device 1, the communication unit 12 receives the designation information transmitted from the authentication server device 2, and the processing unit 10 identifies the designated data based on the designation information (step S114). The processing unit 10 creates an electronic signature using its own private key for the specified data (step S115), and transmits the created electronic signature to the authentication server device 2 (step S116).
認証サーバ装置2では、通信部22が電子署名を受信すると(S215)、処理部20は、認証の対象である端末装置1のアドレス、即ちステップS203で受信した認証要求に含まれるアドレスに基づいて公開鍵情報を導出する(ステップS216)。処理部20は、導出した公開鍵情報を用いてステップS215にて受信済みの電子署名を復号し、指定データのハッシュ値と照合する等の検証を行なう(ステップS217)。 In the authentication server device 2, when the communication unit 22 receives the electronic signature (S215), the processing unit 20 is based on the address of the terminal device 1 to be authenticated, that is, the address included in the authentication request received in step S203. Public key information is derived (step S216). The processing unit 20 uses the derived public key information to decrypt the digital signature that has been received in step S215, and performs verification such as checking against the hash value of the designated data (step S217).
実施の形態2では、処理部20は更に、端末装置1のアドレスに対応付けたトークンが分散型DBネットワーク3上に存在することを確認する(ステップS218)。分散型DBネットワーク3において、アドレスに対応付けて諸々のデジタル資産であるトークンの帰属が公開されているのでこれを確認すればよい。処理部20は、確認ができたか否かによる認証結果を通信部22から端末装置1へ送信し(S210)、端末装置1にて認証結果を受信し(S109)、認証処理を終了する。 In the second embodiment, the processing unit 20 further confirms that a token associated with the address of the terminal device 1 exists on the distributed DB network 3 (step S218). In the distributed DB network 3, the attribution of various digital assets is disclosed in association with the addresses, so this can be confirmed. The processing unit 20 transmits an authentication result based on whether or not confirmation has been made from the communication unit 22 to the terminal device 1 (S210), receives the authentication result at the terminal device 1 (S109), and ends the authentication process.
このように、分散型DBネットワーク3におけるトークンの帰属を用いた認証方法は、簡素化が可能である。秘密鍵情報に基づくトランザクション処理によって何らかのトークンの帰属が確認できれば、その秘密鍵情報に基づきデータ(実施の形態2では電子署名)を作成できれば正当であるとして認証が可能である。 Thus, the authentication method using token attribution in the distributed DB network 3 can be simplified. If the attribution of any token can be confirmed by transaction processing based on the secret key information, authentication can be made valid if data (electronic signature in the second embodiment) can be created based on the secret key information.
(実施の形態3)
実施の形態3における認証システム100の構成は、認証方法の詳細が異なる点以外、即ち端末装置1、認証サーバ装置2、及び分散型DBネットワーク3のハードウェア構成は、実施の形態1と同様であるので共通する構成について同一の符号を付して詳細な説明を省略する。
(Embodiment 3)
The configuration of the authentication system 100 according to the third embodiment is the same as that of the first embodiment except for the details of the authentication method, that is, the hardware configurations of the terminal device 1, the authentication server device 2, and the distributed DB network 3. Since there is a common configuration, the same reference numerals are given and detailed description is omitted.
実施の形態3の認証方法においては実施の形態2同様に、認証サーバ装置2は、トークンの受け渡しを行なわず、分散型DBネットワーク3におけるトークンの存在を用いて認証する。ただし認証サーバ装置2が直接的に被認証者である端末装置1からの情報について検証を行なわず、分散型DBネットワーク3における処理装置300(ノード)にてこれを実行する。 In the authentication method of the third embodiment, as in the second embodiment, the authentication server device 2 performs authentication using the presence of the token in the distributed DB network 3 without passing the token. However, the authentication server device 2 does not directly verify the information from the terminal device 1 that is the person to be authenticated, but executes this in the processing device 300 (node) in the distributed DB network 3.
実施の形態3における処理装置300の機能を示す機能ブロック図である。実施の形態3において処理装置300の一部又は全部は、分散型DBネットワーク3へ送出されるトークンの移転に関するトランザクションに対し、公開鍵情報及びトランザクション中の電子署名を用いた検証を行なう機能(トークンコントラクト)として機能する。更に処理装置300の一部又は全部は、所謂スマートコントラクトの一種として、認証に係る情報に対する特定の処理を行なう特定のノード(認証コントラクト)として機能する。特定の処理は後述するように(図19参照)、電子署名についての検証である。 10 is a functional block diagram illustrating functions of a processing device 300 according to Embodiment 3. FIG. In the third embodiment, a part or all of the processing apparatus 300 has a function (token) for verifying a transaction related to transfer of a token sent to the distributed DB network 3 using public key information and an electronic signature in the transaction. Function as a contract). Furthermore, part or all of the processing device 300 functions as a specific node (authentication contract) that performs a specific process on information related to authentication as a kind of so-called smart contract. The specific process is verification of the electronic signature, as will be described later (see FIG. 19).
図19は、実施の形態3における認証の処理手順の一例を示すシーケンス図である。図19のシーケンス図に示す処理手順の内、図18に示した実施の形態2における処理手順と共通する手順については同一のステップ番号を付して詳細な説明を省略する。 FIG. 19 is a sequence diagram illustrating an example of an authentication processing procedure according to the third embodiment. Of the processing procedures shown in the sequence diagram of FIG. 19, the same steps as those in the second embodiment shown in FIG. 18 are assigned the same step numbers, and detailed description thereof is omitted.
被認証者である端末装置1に関しては認証要求の送信(S103)に先立ち、自身のアドレスを用いたトークンの取引(単なる記録でもよい)が分散型DBネットワーク3に送出されて記録されている(ステップS131)。トークンは、分散型DBネットワーク3におけるデジタル情報であればよく、認証用のトークンであってもよいし、所謂仮想通貨、暗号通貨と呼ばれる通貨であってもよい。ステップS131の実行主体は、被認証者である端末装置1自身でなくともよく、例えば他の端末装置1が、被認証者である端末装置1へ向けてトークンを帰属させるトランザクションを送出させていてもよい。 Regarding the terminal device 1 that is the person to be authenticated, prior to the transmission of the authentication request (S103), the token transaction using its own address (may be a simple record) is sent to the distributed DB network 3 and recorded ( Step S131). The token may be digital information in the distributed DB network 3, may be an authentication token, or may be a so-called virtual currency or a currency called a crypto currency. The execution subject of step S131 does not have to be the terminal device 1 itself as the person to be authenticated. For example, another terminal device 1 sends a transaction to which the token belongs to the terminal device 1 as the person to be authenticated. Also good.
認証者である認証サーバ装置2は、通信部22により端末装置1のアドレスを含む認証要求を受信し(S203)、これにより認証処理を開始する。処理部20は認証処理が開始されると、任意のデータ(文字列、文書データ等)と被認証者である端末装置1のアドレスを認証コントラクトとして機能する特定ノードへ送信し(ステップS221)、指定情報を端末装置1のアドレスへも送信する(S214)。 The authentication server device 2, which is an authenticator, receives an authentication request including the address of the terminal device 1 through the communication unit 22 (S203), thereby starting authentication processing. When the authentication process is started, the processing unit 20 transmits arbitrary data (character string, document data, etc.) and the address of the terminal device 1 that is the person to be authenticated to a specific node that functions as an authentication contract (step S221). The designation information is also transmitted to the address of the terminal device 1 (S214).
分散型DBネットワーク3において認証コントラクトは、認証サーバ装置2から送信された指定情報及び端末装置1のアドレスを受信し、受信した指定情報により指定されるデータと、端末装置1のアドレスとを対応付けて分散型DBネットワーク3に記録(書き込み)する(ステップS311)。 In the distributed DB network 3, the authentication contract receives the designation information transmitted from the authentication server device 2 and the address of the terminal device 1, and associates the data designated by the received designation information with the address of the terminal device 1. Then, recording (writing) is performed in the distributed DB network 3 (step S311).
被認証者である端末装置1で処理部10は指定情報を受信し、指定されたデータを分散型DBネットワーク3にて特定する(S114)。処理部10は、特定したデータに対し、自身の秘密鍵を用いた電子署名を作成し(S115)、作成した電子署名を分散型DBネットワーク3の認証コントラクトに向けて送信する(ステップS126)。このとき電子署名は、ステップS103の認証要求に含まれている端末装置1のアドレス情報でなく、他のアドレス情報に対応するものであってもよい。ただし同一の秘密鍵情報に基づくアドレス(ハッシュ値)である。 The processing unit 10 receives the specified information in the terminal device 1 that is the person to be authenticated, and specifies the specified data in the distributed DB network 3 (S114). The processing unit 10 creates an electronic signature using its own private key for the identified data (S115), and transmits the created electronic signature to the authentication contract of the distributed DB network 3 (step S126). At this time, the electronic signature may correspond to other address information instead of the address information of the terminal device 1 included in the authentication request in step S103. However, it is an address (hash value) based on the same secret key information.
分散型DBネットワーク3において認証コントラクトは、端末装置1から送信された電子署名を受信する(ステップS312)。認証コントラクトとして処理装置300の処理部30は、事前に分散型DBネットワーク3にて登録されている電子署名送信元の端末装置1のアドレスを取得する(ステップS313)。認証コントラクトとして処理部30は、取得したアドレスに基づいて端末装置1の公開鍵情報を導出する(ステップS314)。処理部30は認証コントラクトとして、導出した公開鍵情報を用いてステップS313にて受信済みの電子署名を復号し、指定データのハッシュ値と照合する等の検証を行なう(ステップS315)。処理部30は、正当である場合には被認証者である端末装置1についての検証結果を分散型DBネットワーク3に記録する(ステップS316)。判断結果は、正当か否かのフラグ等、何らかの数値又は論理値でよい。 In the distributed DB network 3, the authentication contract receives the electronic signature transmitted from the terminal device 1 (step S312). As an authentication contract, the processing unit 30 of the processing device 300 acquires the address of the terminal device 1 of the electronic signature transmission source registered in advance in the distributed DB network 3 (step S313). As an authentication contract, the processing unit 30 derives the public key information of the terminal device 1 based on the acquired address (step S314). The processing unit 30 uses the derived public key information as an authentication contract to decrypt the digital signature received in step S313 and perform verification such as collating with the hash value of the designated data (step S315). If valid, the processing unit 30 records the verification result of the terminal device 1 that is the person to be authenticated in the distributed DB network 3 (step S316). The determination result may be any numerical value or logical value such as a flag indicating whether or not it is valid.
認証サーバ装置2では処理部20が指定情報を送信してから所定のタイミング(例えば一定期間経過後、又は被認証者からの通知)にて、ステップS203で受信した端末装置1のアドレスに対応付けられたトークンが分散型DBネットワーク3上に存在することを確認する(ステップS222)。分散型DBネットワーク3において、アドレスに対応付けて諸々のデジタル資産であるトークンの帰属が公開されているのでこれを確認すればよい。分散型DBネットワーク3のトークンコントラクトにて、アドレス毎のトークン取引履歴をまとめて開示するようにしてもよい。処理部20は更に、分散型DBネットワーク3にて端末装置1の正当性についての検証結果が分散型DBネットワーク3上に記録されているのでこれを確認する(ステップS223)。処理部20は、ステップS222及びステップS223の2つでの確認ができたか否かによる認証結果を通信部22から端末装置1へ送信し(S210)、端末装置1にて認証結果を受信し(S109)、認証処理を終了する。 In the authentication server device 2, the processing unit 20 associates with the address of the terminal device 1 received in step S <b> 203 at a predetermined timing after the designation information is transmitted (for example, after a certain period of time has elapsed or notification from the authentication subject) It is confirmed that the given token exists on the distributed DB network 3 (step S222). In the distributed DB network 3, the attribution of various digital assets is disclosed in association with the addresses, so this can be confirmed. The token transaction history for each address may be disclosed together in the token contract of the distributed DB network 3. The processing unit 20 further confirms the verification result of the validity of the terminal device 1 recorded on the distributed DB network 3 in the distributed DB network 3 (step S223). The processing unit 20 transmits an authentication result based on whether or not the confirmation at step S222 and step S223 has been completed from the communication unit 22 to the terminal device 1 (S210), and the terminal device 1 receives the authentication result ( S109), the authentication process is terminated.
このようにして認証者の認証サーバ装置2自身が被認証者である端末装置1との間で電子署名、指定データ等の情報を直接的にやり取りせずとも、電子署名等の検証をも分散型DBネットワーク3内で行なうようにしてもよい。 In this way, verification of the electronic signature and the like is also distributed without the authenticator's authentication server device 2 itself directly exchanging information such as the electronic signature and designated data with the terminal device 1 as the person to be authenticated. It may be performed in the type DB network 3.
実施の形態1から3では、トークンの移転、電子署名の送受信によってトークンに明確に紐づいている識別情報が端末装置1又はそのユーザと対応していることを証明した。その他多様な方法が考えられ得る。例えば同じハッシュ値を導出できるか否かで秘密鍵情報を記憶しているか否かを証明することも可能である。秘密鍵情報を記憶している場合にのみ作成できる情報であれば、デジタル又はアナログを問わない。秘密鍵情報を記憶している端末装置1又はそのユーザだけが回答できるキーワードであってもよいし、そのものだけが作成できる画像であってもよいし、端末装置1又はそのユーザだけが正答できる課題であってもよい。また、分散型DBネットワーク3におけるトークンのアドレスに対応する帰属についても、認証時点で帰属していることが確認できずとも、過去一定の期間内に帰属していたことが確認できた場合、過去所定回数以上のトークンの移転取引が確認できた場合には、確認できたと判断されるようにしてもよい。 In the first to third embodiments, it is proved that the identification information clearly associated with the token is associated with the terminal device 1 or its user by transferring the token and transmitting / receiving the electronic signature. Various other methods can be considered. For example, it is possible to prove whether or not the secret key information is stored based on whether or not the same hash value can be derived. Any information can be used as long as it can be created only when the private key information is stored. It may be a keyword that can be answered only by the terminal device 1 storing the secret key information or its user, or may be an image that can be created only by itself, or a problem that only the terminal device 1 or its user can answer correctly. It may be. In addition, even if the attribution corresponding to the token address in the distributed DB network 3 can not be confirmed as belonging at the time of authentication, it can be confirmed that it has been attributed within a certain period in the past. If the token transfer transaction is confirmed a predetermined number of times or more, it may be determined that the transaction has been confirmed.
開示された実施の形態は、すべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は上記した説明ではなくて特許請求の範囲によって示され、特許請求の範囲と均等の意味及び範囲内でのすべての変更が含まれることが意図される。 The disclosed embodiments are to be considered in all respects as illustrative and not restrictive. The scope of the present invention is defined by the terms of the claims, rather than the description above, and is intended to include any modifications within the scope and meaning equivalent to the terms of the claims.
1 端末装置(第1装置)
10 処理部
2 認証サーバ装置(第2装置)
20 処理部
3 分散型DBネットワーク(分散型データベースネットワーク)
300 処理装置
30 処理部
1 Terminal device (first device)
10 Processing Unit 2 Authentication Server Device (Second Device)
20 Processing Unit 3 Distributed DB Network (Distributed Database Network)
300 processor 30 processor
Claims (5)
相互にネットワークを介して接続された複数の処理ノード及び記憶媒体で構成され、前記複数の処理ノードが秘密鍵情報に基づくアドレスに、アドレス間で移転が可能なデジタル資産である所定の種類のトークンが帰属することを記録するためのトランザクションを帰属元に対応する秘密鍵情報から得られる電子署名に基づき検証及び承認する演算を夫々行ない、前記演算の結果を複数の記憶媒体に分散して情報を保持するように構成された分散型データベースネットワークシステムを用い、
前記第2装置は、前記第1装置の秘密鍵情報に基づくアドレスへの前記トークンの帰属を、前記分散型データベースネットワークシステムの前記複数の処理ノードによって確認できるか否かにより前記第1装置を認証する認証方法。 In the authentication method for performing authentication between the first device related to the person to be authenticated and the second device related to the authenticator,
A predetermined type of token that is composed of a plurality of processing nodes and storage media connected to each other via a network, and that is a digital asset that can be transferred between addresses by the plurality of processing nodes to an address based on secret key information. Each of the operations for verifying and approving the transaction for recording the attribution of the transaction based on the electronic signature obtained from the secret key information corresponding to the attribution source is performed, and the result of the computation is distributed to a plurality of storage media. Using a distributed database network system configured to hold
The second device authenticates the first device based on whether or not the plurality of processing nodes of the distributed database network system can confirm the attribution of the token to an address based on the secret key information of the first device. Authentication method to use.
請求項1に記載の認証方法。 The authentication method according to claim 1, wherein the attribution of the token is confirmed by a smart contract that discloses a token transaction history for each address based on secret key information of the first device.
前記第1装置から認証要求に対して任意のデータを指定する指定情報を前記第1装置へ送信し、
前記第1装置にて前記指定情報が指定する前記データに対して付与される前記秘密鍵情報に基づく電子署名を受信し、
前記認証要求に対応する前記第1装置の秘密鍵情報に基づくアドレスに基づき前記第1装置の公開鍵情報を導出し、
導出された公開鍵情報を用い、受信した前記電子署名が正当であり、且つ、前記第1装置の前記アドレスに、前記トークンが帰属していることを確認できるか否かにより前記第1装置を認証する
請求項1又は2に記載の認証方法。 The second device includes:
Transmitting designation information for designating arbitrary data in response to an authentication request from the first device to the first device;
Receiving an electronic signature based on the secret key information given to the data designated by the designation information in the first device;
Deriving public key information of the first device based on an address based on the secret key information of the first device corresponding to the authentication request;
Using the derived public key information, the first device can be determined based on whether the received electronic signature is valid and whether the token belongs to the address of the first device. The authentication method according to claim 1 or 2, wherein authentication is performed.
請求項3に記載の認証方法。 The authentication method according to claim 3, wherein the second device gives a time limit to data specified by the specification information.
認証要求に対し、要求元の秘密鍵情報に基づくアドレス秘密鍵情報に基づくアドレスへの前記トークンの帰属を、前記分散型データベースネットワークシステムの前記複数の処理ノードによって確認できるか否かにより前記要求元を認証する認証部と
を備える認証装置。 A predetermined type of token that is composed of a plurality of processing nodes and storage media connected to each other via a network, and that is a digital asset that can be transferred between addresses by the plurality of processing nodes to an address based on secret key information. Each of the operations for verifying and approving the transaction for recording the attribution of the transaction based on the electronic signature obtained from the secret key information corresponding to the attribution source is performed, and the result of the computation is distributed to a plurality of storage media. A communication unit for transmitting and receiving information to and from a distributed database network system configured to hold;
In response to an authentication request, the request source depends on whether or not the plurality of processing nodes of the distributed database network system can confirm the attribution of the token to an address based on the address private key information based on the request source private key information. An authentication device comprising: an authentication unit that authenticates
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019083133A JP7412725B2 (en) | 2017-11-22 | 2019-04-24 | Authentication method and authentication device |
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201762589905P | 2017-11-22 | 2017-11-22 | |
| US62/589,905 | 2017-11-22 | ||
| JP2018099913A JP6566454B2 (en) | 2017-11-22 | 2018-05-24 | Authentication method, authentication apparatus, computer program, and system manufacturing method |
| JP2019083133A JP7412725B2 (en) | 2017-11-22 | 2019-04-24 | Authentication method and authentication device |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018099913A Division JP6566454B2 (en) | 2017-11-22 | 2018-05-24 | Authentication method, authentication apparatus, computer program, and system manufacturing method |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2019154055A true JP2019154055A (en) | 2019-09-12 |
| JP2019154055A5 JP2019154055A5 (en) | 2021-07-26 |
| JP7412725B2 JP7412725B2 (en) | 2024-01-15 |
Family
ID=66972150
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018099913A Active JP6566454B2 (en) | 2017-11-22 | 2018-05-24 | Authentication method, authentication apparatus, computer program, and system manufacturing method |
| JP2019083133A Active JP7412725B2 (en) | 2017-11-22 | 2019-04-24 | Authentication method and authentication device |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018099913A Active JP6566454B2 (en) | 2017-11-22 | 2018-05-24 | Authentication method, authentication apparatus, computer program, and system manufacturing method |
Country Status (1)
| Country | Link |
|---|---|
| JP (2) | JP6566454B2 (en) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110167082B (en) | 2018-02-14 | 2021-11-30 | 中兴通讯股份有限公司 | Network switching method, device and system, and switching determination method and device |
| US11763383B2 (en) | 2019-05-30 | 2023-09-19 | Nec Corporation | Cryptocurrency system, terminal, server, trading method of cryptocurrency, and program |
| CN114080618A (en) * | 2019-07-18 | 2022-02-22 | 住友电气工业株式会社 | Battery information management system, node, management method, recording method, and computer program |
| CN111277577B (en) * | 2020-01-14 | 2022-06-07 | 北京百度网讯科技有限公司 | Digital identity verification method, device, equipment and storage medium |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160127134A1 (en) * | 2013-05-24 | 2016-05-05 | Barclays Bank Plc | User authentication system and method |
| CN106453415A (en) * | 2016-12-01 | 2017-02-22 | 江苏通付盾科技有限公司 | Block chain based equipment certification method, certification server and user equipment |
| JP2017187777A (en) * | 2016-04-06 | 2017-10-12 | アバイア インコーポレーテッド | Smartphone fraud-proof authorization and authentication for secure interactions |
| US20170317997A1 (en) * | 2016-04-30 | 2017-11-02 | Civic Technologies, Inc. | Methods and systems of providing verification of the identity of a digital entity using a centralized or distributed ledger |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6340107B1 (en) * | 2017-04-10 | 2018-06-06 | アイビーシー株式会社 | Electronic certification system |
-
2018
- 2018-05-24 JP JP2018099913A patent/JP6566454B2/en active Active
-
2019
- 2019-04-24 JP JP2019083133A patent/JP7412725B2/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160127134A1 (en) * | 2013-05-24 | 2016-05-05 | Barclays Bank Plc | User authentication system and method |
| JP2017187777A (en) * | 2016-04-06 | 2017-10-12 | アバイア インコーポレーテッド | Smartphone fraud-proof authorization and authentication for secure interactions |
| US20170317997A1 (en) * | 2016-04-30 | 2017-11-02 | Civic Technologies, Inc. | Methods and systems of providing verification of the identity of a digital entity using a centralized or distributed ledger |
| CN106453415A (en) * | 2016-12-01 | 2017-02-22 | 江苏通付盾科技有限公司 | Block chain based equipment certification method, certification server and user equipment |
Non-Patent Citations (5)
| Title |
|---|
| "「AI」と「フィンテック」", 自作派のためのコンピュータ技術情報誌 I/O, vol. 第42巻 第3号, JPN6018031186, 21 February 2017 (2017-02-21), JP, pages 55 - 59, ISSN: 0004823191 * |
| JOSEPH POON, ET AL., PLASMA: SCALABLE AUTONOMOUS SMART CONTRACTS, JPN6018033929, 11 August 2017 (2017-08-11), pages 1 - 47, ISSN: 0004823193 * |
| アンドレアス・M・アントノプロス, ビットコインとブロックチェーン 暗号通貨を支える技術, vol. 第1版, JPN6018021536, 21 July 2016 (2016-07-21), JP, pages 67 - 115, ISSN: 0004823190 * |
| 東角 芳樹 ほか: "コンソーシアムチェーンにおける証明書管理に関する一考察", 2017年 暗号と情報セキュリティシンポジウム(SCIS2017)予稿集 [USB], vol. 1F2−3, JPN6018017174, 24 January 2017 (2017-01-24), JP, pages 1 - 4, ISSN: 0004823189 * |
| 淵田 康之: "特集:イノベーションと金融 ブロックチェーンと金融取引の革新", 野村資本市場クォータリー, vol. 第19巻第2号(通巻74号), JPN6016047552, 1 November 2015 (2015-11-01), JP, pages 11 - 35, ISSN: 0004823192 * |
Also Published As
| Publication number | Publication date |
|---|---|
| JP7412725B2 (en) | 2024-01-15 |
| JP6566454B2 (en) | 2019-08-28 |
| JP2019097148A (en) | 2019-06-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US12015716B2 (en) | System and method for securely processing an electronic identity | |
| US11777726B2 (en) | Methods and systems for recovering data using dynamic passwords | |
| CN109951489B (en) | Digital identity authentication method, equipment, device, system and storage medium | |
| US11621855B2 (en) | Electronic device and method for managing blockchain address using the same | |
| JP7412725B2 (en) | Authentication method and authentication device | |
| KR100786551B1 (en) | Method for registering and certificating user of one time password by a plurality of mode and computer-readable recording medium where program executing the same method is recorded | |
| US20160314462A1 (en) | System and method for authentication using quick response code | |
| CN104052731A (en) | Alias-Based Social Media Identity Verification method and system | |
| TW201121280A (en) | Network security verification method and device and handheld electronic device verification method. | |
| TR201810238T4 (en) | The appropriate authentication method and apparatus for the user using a mobile authentication application. | |
| US20230230066A1 (en) | Crypto Wallet Configuration Data Retrieval | |
| CN114666168B (en) | Decentralized identity certificate verification method and device, and electronic equipment | |
| US10402583B2 (en) | Method of privacy preserving during an access to a restricted service | |
| US20220335414A1 (en) | Blockchain-based private reviews | |
| KR20140011795A (en) | Method of subscription, authentication and payment without resident registration number | |
| US20030061144A1 (en) | Controlled access to identification and status information | |
| KR102160892B1 (en) | Public key infrastructure based service authentication method and system | |
| JP2013020643A (en) | Personal information providing device and personal information providing method | |
| CN112016926A (en) | User identity verification method for secure transaction environment | |
| KR20200088970A (en) | Method of performing user authentication using blockchain | |
| RU2805537C2 (en) | Methods and systems for authenticating a possible user of the first and second electronic services | |
| US10382430B2 (en) | User information management system; user information management method; program, and recording medium on which it is recorded, for management server; program, and recording medium on which it is recorded, for user terminal; and program, and recording medium on which it is recorded, for service server | |
| KR102601098B1 (en) | Method and device for providing voucher approval information | |
| Miras Gil | Universal Cloud Wallet | |
| KR20200143182A (en) | On Time String Modulating/Demodulating Method by means of proper information and Computing Device Performing The Same |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210518 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210518 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220712 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20220908 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220920 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20221213 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230313 |
|
| C60 | Trial request (containing other claim documents, opposition documents) |
Free format text: JAPANESE INTERMEDIATE CODE: C60 Effective date: 20230313 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20230323 |
|
| C21 | Notice of transfer of a case for reconsideration by examiners before appeal proceedings |
Free format text: JAPANESE INTERMEDIATE CODE: C21 Effective date: 20230328 |
|
| A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20230519 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20231010 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20231220 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7412725 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |