JP6714551B2 - 認証鍵共有システム及び端末間鍵コピー方法 - Google Patents

認証鍵共有システム及び端末間鍵コピー方法 Download PDF

Info

Publication number
JP6714551B2
JP6714551B2 JP2017151200A JP2017151200A JP6714551B2 JP 6714551 B2 JP6714551 B2 JP 6714551B2 JP 2017151200 A JP2017151200 A JP 2017151200A JP 2017151200 A JP2017151200 A JP 2017151200A JP 6714551 B2 JP6714551 B2 JP 6714551B2
Authority
JP
Japan
Prior art keywords
copy
key
terminal
authentication
service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017151200A
Other languages
English (en)
Other versions
JP2019029975A (ja
Inventor
豪生 西村
豪生 西村
山下 高生
高生 山下
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2017151200A priority Critical patent/JP6714551B2/ja
Publication of JP2019029975A publication Critical patent/JP2019029975A/ja
Application granted granted Critical
Publication of JP6714551B2 publication Critical patent/JP6714551B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、利用者が端末機からWebサービス利用のために必要な認証鍵を利用する認証鍵共有システム及び端末機間鍵コピー方法に関する。
インターネットの利用者は、パソコン(パーソナルコンピュータ)やスマートフォン、タブレット等の端末機を使って、オンラインバンキングやネットショッピング等の各種Web(World Wide Web)サービスを利用している。Webサービス(単にサービスともいう)を利用する際には、利用者認証が必要であり、利用者ID(IDentifier)とパスワードを用いるのが一般的である。しかしながら、安易に設定したパスワードが推測されたり、不正アクセスによりWebサービスを行うWebサーバ(サーバともいう)からパスワードが漏洩したりすることによって、パスワードが盗まれてしまう事件が多発している。
パスワード認証に代わる利用者認証技術として、FIDO(Fast IDentity Online)という公開鍵暗号を用いたWebサービスの利用者認証技術がある。FIDOでは、サービス毎に各々が異なる一対の秘密鍵及び公開鍵の認証鍵ペアを端末機で生成し、公開鍵をサーバに登録し、秘密鍵を端末機内のセキュア領域に閉じ込めておく。例えば、図17(a)に示すように、所定のサービスAを提供するWebサーバ10aに公開鍵11aを登録し、所定のサービスBを提供するWebサーバ10bに公開鍵11bを登録する。端末機12aのセキュア領域13a内に、公開鍵11aと対の秘密鍵14aと、公開鍵11bと対の秘密鍵14bとを閉じ込めておく。なお、「と対の」は、「と一対の」ことを表す。以降同様である。
サーバ(例えば10a)による利用者認証は、チャレンジ・レスポンス認証(後述)における署名等によって次のように行われる。即ち、サーバ10aが乱数を生成して端末機12aへ送信し、端末機12aが秘密鍵14aを用い乱数に署名してサーバ10aへ返信し、サーバ10aが公開鍵11aで署名を検証するといった手順で行われる。その署名検証が成功すれば、利用者認証が成功したことになり、利用者はWebサービスを利用することができる。なお、チャレンジ・レスポンス認証とは、ユーザ認証に使われるランダム文字列(チャレンジという)に特殊な処理を施すことにより、通信途中にパスワード等が盗聴されるのを防ぐ認証方式である。
上記サーバによる利用者認証の前に、利用者が端末機12aの秘密鍵14a,14bを利用する場合、端末機12a上で生体認証等により行うことが前提となっている。秘密鍵14a,14bの利用は、端末機12aのセキュア領域13a内で行われ、端末機12aの外部に秘密鍵14a,14bが出ることが無いため高いセキュリティが保持されている。
但し、図17(b)に示す新規の端末機12bを使用する場合、セキュア領域13b内には秘密鍵が無いので、Webサーバ10a,10bのサービスA,B毎に再度、認証鍵ペアを生成して秘密鍵を登録する必要がある。この際、複数の端末機を使用する場合、端末機数×サービス数だけ登録作業が必要となる。このため、端末機やサービスの数が多い程に利便性が低くなる。
そこで、非特許文献1では、端末機末間でセキュアな鍵の共有を行う手法が提案されている。第三者が端末機所有者の本人確認を行った上で、所有者証明書を端末機に発行することを前提として、同じ所有者証明書が発行された端末機間に限っては端末機間で秘密鍵の複製を可能とする手法が示されている。この手法ついて図18を参照して説明する。
図18に示す従来の認証鍵共有システム20は、認証鍵としての公開鍵11a,11bを備えるサーバ10a,10bと、端末機12a,12bと、端末管理サーバ14とを備えて構成されている。一方の端末機12aは、セキュア領域13aに、秘密鍵14a,14bと、本人確認により発行された所有者証明書15を保持している。秘密鍵14a,14bは、サーバ10a,10bのサービスA,Bに対応付けられた公開鍵11a,11bと対の認証鍵である。他方の端末機12bは、セキュア領域13bに、上記端末機12aと同じ所有者の本人確認により発行された所有者証明書15を保持している。この初期状態では、秘密鍵14a,14bは保持していない。
このような構成において、所有者が所有者証明書15のみを保持する端末機12bで、新規にサービスA,Bを利用する場合、サービスA,Bに対応付けられた公開鍵11a,11bと対の秘密鍵14a,14bを新規に登録する必要がある。この場合、端末管理サーバ14が、各端末機12a,12bに同じ所有者証明書15が保持されているか否かを判定する。同じ所有者証明書15が保持されていると判定されれば、秘密鍵14a,14bを保持する端末機12aが、もう一方の新規端末機12bに、その保持する秘密鍵14a,14bを矢印Y1で指示するようにコピーする。
緒方祐介、大森芳彦、山下高生、岩田哲弥,"非対称鍵を利用した認証方式の秘密鍵の維持管理に関する考察",電子情報通信学会通信ソサイエティ大会,B−7−9,2016
上述した図18で説明した端末機12a,12b間で認証鍵としての秘密鍵14a,14bをコピーする手法では、認証鍵(秘密鍵)の共有を同一所有者の端末機12a,12b間に限定するため、各端末機12a,12bに所有者証明書15が発行されていることを前提としている。このため、端末機を追加する度に、所有者証明書を端末機に発行するための本人確認を第三者に受けなければならない。
本人確認の手段は様々考えられるが、認証鍵の漏洩による成り済ましを防ぐためには、ある程度の本人を的確に確認するレベルが求められるので、利用者の負担は少なくない。具体的には、市中で実施されている下記の(1)〜(3)の方法等が想定される。
(1)対面での身分証の提示。
(2)事前登録したメールアドレスや電話番号{SMS(ショートメッセージ)番号}へ確認コードを送信し、新規端末機上で確認コードを入力する。
(3)本人確認済みIC(integrated circuit)カード(例:マイナンバーカード等)を端末機へ接触させる。
利用者が数台程度の端末機を専有してサービスを利用することが一般的な現行の利用環境を想定すれば、端末機の利用開始時に限って本人確認を実施する負担は許容の範囲内と想定される。
しかし、将来的にウェアラブル端末機等を含めて所有する端末機数が飛躍的に増加した場合や、様々な場所に存在する共用端末機を一時的に専有してサービスを利用し、利用終了時に解放するような利用スタイルが一般化することが想定される。この場合、新規に端末機が増えたり、共用端末機を利用する都度、本人確認を行って所有者証明書を端末機に登録する必要があるので、ユーザの負担が大きいという問題が生じる。
本発明は、このような事情に鑑みてなされたものであり、同一利用者が所有する端末機数が増加しても、一定のセキュリティを担保しつつ、端末機間で利便性良くWebサービス利用のために必要な認証鍵をコピーすることができる認証鍵共有システム及び端末間鍵コピー方法を提供することを課題とする。
上記課題を解決するための手段として、請求項1に係る発明は、通信による各種のサービスを提供するサーバと、当該サーバに保持されて前記サービスに係る認証を行う公開鍵と対の秘密鍵を保持し、この保持された秘密鍵で前記サービスを通信で利用するコピー元端末機と、当該コピー元端末機で保持する秘密鍵が通信でコピーされるコピー先端末機とを有する認証鍵共有システムであって、前記コピー元端末機及び前記コピー先端末機の双方は、予め定められた距離で予め定められた操作が同時に行われた際に、双方の通信を確立させる相互確認を行う相互確認部を備え、前記コピー元端末機に第三者による本人確認で発行された所有者証明書が登録されており、前記コピー先端末機に前記所有者証明書が未登録の場合に、前記相互確認部により相互確認が適正にできれば、当該コピー元端末機で保持する秘密鍵を当該コピー先端末機へコピーし、前記コピー元端末機は、前記秘密鍵をコピーのために送信する際に、前記サービスの利用を制限する利用条件を当該秘密鍵に追加する認証鍵管理部を備え、前記コピー先端末機は、前記秘密鍵のコピー時に当該秘密鍵に追加された利用条件を保持し、この保持された利用条件に従って前記サービスの利用時の認証処理を実行することを特徴とする認証鍵共有システムである。
請求項に係る発明は、通信による各種のサービスを提供するサーバと、当該サーバに保持されて前記サービスを認証する公開鍵と対の秘密鍵を保持し、この保持された秘密鍵で前記サービスを通信で利用するコピー元端末機と、当該コピー元端末機で保持する秘密鍵が通信でコピーされるコピー先端末機とを有する認証鍵共有システムの端末間鍵コピー方法であって、前記コピー元端末機及び前記コピー先端末機は、予め定められた距離で予め定められた操作が同時に行われた際に、双方の通信を確立させる相互確認を行うステップと、前記コピー元端末機に第三者による本人確認で発行された所有者証明書が登録されており、前記コピー先端末機に前記所有者証明書が未登録の場合に、前記相互確認が適正にできれば、当該コピー元端末機で保持する秘密鍵を当該コピー先端末機へコピーするステップとを実行し前記コピー元端末機は、前記秘密鍵をコピーのために送信する際に、前記サービスの利用を制限する利用条件を当該秘密鍵に追加するステップと、前記コピー先端末機は、前記秘密鍵のコピー時に当該秘密鍵に追加された利用条件を保持し、この保持された利用条件に従って前記サービスの利用時の認証処理を実行するステップとを実行することを特徴とする端末間鍵コピー方法である。
上記請求項1の構成及び請求項の方法によれば、コピー先端末機に所有者証明書が登録されていない場合でも、相互確認がOKであればコピー元端末機が保持する秘密鍵をコピーすることができる。このため、従来のように、端末機を追加する度に所有者証明書を端末機に発行するための本人確認を第三者に受けるといった処理が不要となる。従って、同一利用者が所有する端末機数が増加しても、一定のセキュリティを担保しつつ、端末機間で利便性良くWebサービス利用のために必要な認証鍵をコピーすることができる。
また、端末機間の相互確認OKで秘密鍵が登録されたコピー先端末機では、サービスの利用に制限を設けて、本人確認情報の登録に基づき秘密鍵が登録されたコピー先端末機と差別化を図ることができる。
請求項に係る発明は、通信による各種のサービスを提供するサーバと、当該サーバに保持されて前記サービスに係る認証を行う公開鍵と対の秘密鍵を保持し、この保持された秘密鍵で前記サービスを通信で利用するコピー元端末機と、当該コピー元端末機で保持する秘密鍵が通信でコピーされるコピー先端末機とを有する認証鍵共有システムであって、前記コピー元端末機及び前記コピー先端末機の双方は、予め定められた距離で予め定められた操作が同時に行われた際に、双方の通信を確立させる相互確認を行う相互確認部と、前記相互確認が適正であれば、当該コピー元端末機で保持する全ての秘密鍵の各々を当該コピー先端末機へコピーする端末機間のコピー部とを備え、前記コピー先端末機は、前記全ての秘密鍵の各々をコピーした際の少なくとも確認方法及びコピー時刻を含むコピー情報を保持する認証鍵管理部を備え、前記サーバは、前記コピー先端末機が前記サービスの利用時に送信してきた前記コピー情報に応じて、前記サービスの利用の可否及び制限を定めるコピー鍵利用制御部を備えることを特徴とする認証鍵共有システムである。
請求項に係る発明は、通信による各種のサービスを提供するサーバと、当該サーバに保持されて前記サービスを認証する公開鍵と対の秘密鍵を保持し、この保持された秘密鍵で前記サービスを通信で利用するコピー元端末機と、当該コピー元端末機で保持する秘密鍵が通信でコピーされるコピー先端末機とを有する認証鍵共有システムの端末間鍵コピー方法であって、前記コピー元端末機及び前記コピー先端末機は、予め定められた距離で予め定められた操作が同時に行われた際に、双方の通信を確立させる相互確認を行うステップと、前記相互確認が適正であれば、当該コピー元端末機で保持する全ての秘密鍵の各々を当該コピー先端末機へコピーするステップとを実行し、前記コピー先端末機は、前記全ての秘密鍵の各々をコピーした際の少なくとも確認方法及びコピー時刻を含むコピー情報を保持するステップを実行し、前記サーバは、前記コピー先端末機が前記サービスの利用時に送信してきた前記コピー情報に応じて、前記サービスの利用の可否及び制限を定めるステップを実行することを特徴とする端末間鍵コピー方法である。
上記請求項の構成及び請求項の方法によれば、サーバは、コピー先端末機がサービスの利用時に、秘密鍵をコピーした際の少なくとも確認方法及びコピー時刻を含むコピー情報を受信した際に、コピー情報を確認してサービス利用の可否及び制限を決定できる。従って、サービス利用の可否及び制限の決定機能を端末機から外すことができるので、端末機の機能を少なくして小型化を図ることができる。
本発明によれば、同一利用者が所有する端末機数が増加しても、一定のセキュリティを担保しつつ、端末機間で利便性良くWebサービス利用のために必要な認証鍵をコピーする認証鍵共有システム及び端末間鍵コピー方法を提供することができる。
本発明に係る認証鍵共有システムの構成を示すブロック図である。 本発明の第1実施形態に係る認証鍵共有システムの構成を示すブロック図である。 鍵管理テーブルの第1の構成図である。 鍵管理テーブルの第2の構成図である。 第1実施形態の認証鍵の登録処理を説明するためのシーケンス図である。 第1実施形態の認証鍵のコピー処理を説明するためのシーケンス図である。 鍵管理テーブルの第3の構成図である。 鍵管理テーブルの第4の構成図である。 鍵管理テーブルの第5の構成図である。 第1実施形態の認証鍵の利用処理を説明するためのシーケンス図である。 本発明の第2実施形態に係る認証鍵共有システムの構成を示すブロック図である。 鍵管理テーブルの第6の構成図である。 鍵管理テーブルの第7の構成図である。 第2実施形態の認証鍵の登録処理を説明するためのシーケンス図である。 第2実施形態の認証鍵のコピー処理を説明するためのシーケンス図である。 第2実施形態の認証鍵の利用処理を説明するためのシーケンス図である。 従来の公開鍵暗号を用いたWebサービスの利用者認証技術の構成を示し、(a)は端末機のセキュア領域に認証鍵が有る場合を示すブロック図、(b)は端末機のセキュア領域に認証鍵が無い場合を示すブロック図である。 従来の認証鍵共有システムの構成を示すブロック図である。
以下、本発明の実施形態を、図面を参照して説明する。
最初に本発明の原理を図1を参照して説明する。図1は、本発明に係る認証鍵共有システム30の構成を示すブロック図である。
認証鍵共有システム(システムともいう)30は、オンラインバンキングやネットショッピング等の各種Webサービス(サービスともいう)A,Bを提供するWebサーバ(サーバともいう)31a,31bと、ユーザ(利用者)が使用するパソコンやスマートフォン、タブレット等の第1、第2及び第3端末機32a,32b,32cと、端末管理サーバ33とを備えて構成されている。
サーバ31a,31bは、サービスA,Bに対応付けられた認証鍵としての公開鍵11a,11bを保持する。第1及び第3端末機32a,32cには、サーバ31a,31bの公開鍵11a,11bと対の認証鍵としての秘密鍵14a,14bが登録されている。また、第1及び第3端末機32a,32cには、第三者による本人確認により発行された所有者証明書15が登録されている。第2端末機32bは、秘密鍵14a,14b、所有者証明書15が登録されていない状態である。
端末管理サーバ33は、双方向矢印Y2で示すように、第1及び第3端末機32a,32cに、第三者による本人確認により所有者証明書15を発行して登録すると共に、この登録を確認する。
本発明においては、所有者証明書15が発行されていない第2端末機32bと、所有者証明書15が発行されている第1端末機32aとの間であっても、同一のユーザによってそれら端末機32a,32b間で、双方向矢印Y3で示す相互確認(後述)ができれば、所有者が同一であることを簡易的に確認できたと見なす。この際に、認証鍵である秘密鍵14a,14bの共有を許容する。即ち、第1端末機32aが保持する秘密鍵(例えば秘密鍵14a)を、矢印Y4で示すように第2端末機32bにコピー(認証鍵コピー又は鍵コピーとも称す)する。
上記の相互確認は、各端末機32a,32bが予め定められた近距離(2m以内位の短距離)で、予め定められた操作が同時に実行されることが条件となっている。相互確認を行う手段の具体例としては、端末機32a,32b間をUSBケーブル等の所定長さの短いケーブルで接続したり、RFID(Radio Frequency Identification)や、NFC(Near Field Communication)、BLE(Bluetooth(登録商標) Low Energy)等で近距離の無線によって接続し、同一の確認コードを入力して近距離通信を確立する。この近接通信を確立するのは、成り済まし等を防止しセキュリティを、より高めるためである。
但し、上記の端末機32a,32b間の相互確認に基づいた認証鍵(秘密鍵14a,14b)の共有においては、一方の端末機32bで第三者の本人確認による所有者証明書15の発行が行われていない。このため、所有者証明書15が発行されている第1及び第3端末機32a,32c間の矢印Y5で指示する認証鍵コピーと比べ、後述の限定的な利用条件の元での認証鍵コピーが行えるようにする。
認証鍵コピーにおける利用条件の限定例としては、次の(1)〜(3)等がある。
(1)認証鍵コピー実施後、一定時間しか認証鍵を利用することができないようにする。
(2)認証鍵コピー実施後、一定回数しか認証鍵を利用することができないようにする。
(3)全ての秘密鍵14a,14bではなく、特定の秘密鍵(図1に第2端末機32bに示す秘密鍵14aを参照)しか利用できないようにする。
このような認証鍵(秘密鍵14a,14b)のコピー条件は、認証鍵(秘密鍵14a,14b)の存在を根拠にユーザ認証を行うサービス提供者が指定することも可能であり、コピー処理を実行するユーザ自身がコピー時に指定することも可能である。
<第1実施形態の構成>
次に、本発明の第1実施形態に係る認証鍵共有システムについて説明する。図2は、本発明の第1実施形態に係る認証鍵共有システム30Aの構成を示すブロック図である。但し、システム30Aにおいて、図1に示した認証鍵共有システム30と同一部分には同一符号を付し、その説明を適宜省略する。
図2に示すシステム30Aは、各種サービスを提供するサーバ31a,31b,31cと、ユーザが使用するコピー元端末機32a及びコピー先端末機32bとを備えて構成されている。
サーバ31aは、サービスAに対応付けられた認証鍵としての公開鍵11aを保持する認証部41aを備える。
サーバ31bは、サービスBに対応付けられた認証鍵としての公開鍵11bを保持する認証部41bを備える。
サーバ31cは、サービスCに対応付けられた認証鍵としての公開鍵11cを保持する認証部41bを備える。
コピー元端末機32aは、Webクライアント43aと、相互確認部44aと、セキュア領域42aとを備え、セキュア領域42aに、認証鍵管理部45aと、コピー部46aと、証明書管理部47aとを備える。
コピー先端末機32bは、Webクライアント43bと、相互確認部44bと、セキュア領域42bとを備え、セキュア領域42bに、認証鍵管理部45bと、コピー部46bと、証明書管理部47bとを備える。
なお、セキュア領域42a,42bは、通常領域とは隔離された安全な領域でありTEE(Trusted Execution Environment)等の技術で実現される。
Webクライアント43a,43bは、WebブラウザやWeb上のサービスを利用するためのスマートフォンアプリケーション等である。Webクライアント43a,43bは、本発明のベースとなるFIDO技術において、Webサービスを通常利用するためのサーバやクライアント(ブラウザやWebアプリケーション)に加えて、FIDO認証を実現する各ソフトウェアコンポーネントを実装するアーキテクチャとなっている。本発明も、本アーキテクチャを基にしているので、Webクライアントが存在している。
相互確認部44a,44bは、双方向矢印Y7で示すように、上述した相互確認を行う。
認証鍵管理部45aは、図3に示す鍵管理テーブルT1aを備える。認証鍵管理部45bは、図4に示す鍵管理テーブルT1bを備える。鍵管理テーブルT1aには、サービス固有のIDである鍵ID、秘密鍵及びコピーポリシが登録され、鍵管理テーブルT1bには、上述した利用条件が登録されている。
コピー部46a,46bは、上記相互確認ができれば、コピー元端末機32aが保持する秘密鍵14a,14bを、矢印Y8で示すようにコピー先端末機32bにコピーする。
証明書管理部47a,47bは、所有者証明書15を保管する。
本実施形態では、コピー元端末機32aのセキュア領域42a内で動作する認証鍵コピーを実現するアプリケーションであるコピー部46aが、サービス事業者又はユーザが指定した条件に基づいてコピー対象の認証鍵である秘密鍵(例えば、秘密鍵14a,14b)を決定し、利用条件を付与した上で秘密鍵14a,14bのコピー処理を実行する。
コピー先端末機32bにおいては、コピー部46bが秘密鍵14a,14bを受け取り、同様にセキュア領域42b内で動作する認証鍵管理部45bが、指定された利用条件に従った範囲内で、秘密鍵14a,14bの利用を可能とする。
<第1実施形態の認証鍵の登録処理>
サーバにサービスに対応した認証鍵としての公開鍵を登録する処理(図2の双方矢印Y22参照)を、図5に示すシーケンス図を参照して説明する。
図5に示すステップS1において、コピー元端末機32aのWebクライアント43aが、サーバ(例えばサーバ31a)の認証部41aに、認証鍵としての公開鍵11aの登録要求を行う。認証部41aは、矢印Y11aで示すように、鍵ID(サービス固有のID)にコピーポリシが対応付けられた情報を保持している。
即ち、鍵ID「service3.org」に、コピーポリシが対応付けられている。コピーポリシは、コピーを許容するための所有者一致の確認レベルである確認手段「相互確認」と、コピー後にサービスを利用する回数「1」、コピー先端末機が備えるべき必須のハードウェアとしての必須ハード「TPM(Trusted Platform Module)」等である。
認証部41aは、ステップS2において、認証鍵(公開鍵11a)の登録要求と、認証部41aに保持されたコピーポリシとを、コピー元端末機32aの認証鍵管理部45aへ送信する。
次に、ステップS3において、コピー元端末機32aでユーザの生体認証が行われる。これは、例えば、ユーザが端末機32aの指紋認証手段に自分の指紋を提示することにより行われる。この他、静脈認証等の生体認証もある。
この生体認証がOKであれば、認証鍵管理部45aは、ステップS4において、認証鍵としての一対の秘密鍵14aと公開鍵11aとの鍵ペアを生成する。この生成後、認証鍵管理部45aは、矢印Y10で示すように、鍵管理テーブルT1aの鍵ID「service3.org」に対応付けられた秘密鍵欄に、秘密鍵14aを16進数表記した「FE0085B126…」を保持すると共に、コピーポリシ欄の確認手段欄に「相互確認」、回数欄に「1」、必須ハード欄に「TPM」を保持する。このコピーポリシは、秘密鍵14aと同様に、コピー元端末機32aのセキュア領域42a内に保管され、容易に改竄出来ないようになっている。なお、上記生体認証がNG(No Good)であれば、コピー元端末機32aにユーザが認識可能にエラーが通知される。以降、上記の秘密鍵14aを16進数表記した「FE0085B126…」を、秘密鍵14a「FE0085B126…」と記載する。他の鍵においても同様とする。
更に、認証鍵管理部45aは、ステップS5において、上記ステップS4で生成した公開鍵11aを、サーバ31aの認証部41aへ登録のために送信する。
認証部41aは、ステップS6において、矢印Y11で示すように、鍵管理テーブルT2の公開鍵欄に、公開鍵11a「62C951BA2F…」を登録する。鍵管理テーブルT2は、アカウント名と公開鍵(認証鍵)を紐付けるエントリを、そのサーバ31aを利用するアカウント数分だけ保持しているテーブルである。その登録後、認証部41aは、ステップS7において、登録完了をコピー元端末機32aのWebクライアント43へ送信する。
<第1実施形態の認証鍵のコピー処理>
次に、コピー元端末機32aから所有者証明書が未登録のコピー先端末機32bへ、認証鍵としての秘密鍵をコピーする場合について、図6を参照して説明する。
秘密鍵のコピーを行う場合、2つの端末機32a,32b同士が、予め定められた所定近距離(2m以内位の短距離)で同時に予め定められた操作を行って通信を確立するための相互確認を行う。このために、図6に示すステップS10において、ユーザからのコピー指示が、コピー元端末機32aのコピー部46aに行われ、ステップS11において、コピー部46aから、そのコピー指示に応じた要求が相互確認部44aに行われる。
相互確認部44aは、ステップS12において、コピー先端末機32bの相互確認部44bに、近接通信確立要求を行う。この要求を受けたコピー先端末機32bは、ステップS13において、コピー元端末機32aのディスプレイ(図示せず)に、ユーザに見せる接続コード(パスコード)を表示する。この接続コードは、互いの端末機32a,32b間を接続するためのコード列である。そのディスプレイに表示された接続コードを見たユーザは、ステップS14において、コピー元端末機32aの相互確認部44aに接続コードを入力する。
相互確認部44aは、ステップS15において、接続コードをコピー先端末機32bの相互確認部44bへ送信する。この接続コードを受信した相互確認部44bは、ステップS16において、近接通信確立応答をコピー元端末機32aの相互確認部44aへ行う。この相互確認部44aが、ステップS17において、近接通信確立の完了をコピー部46aに通知する。
一方、コピー先端末機32bのコピー部46bは、上記ステップS16の近接通信確立応答の送信後、ステップS18において、自端末機32bに具備しているハードウェア等の情報をコピー部46aへ送信する。コピー部46aは、そのコピー先端末機32bの情報と、上記ステップS17の近接通信確立の完了を受けた際に、ステップS19において、認証鍵管理部45aに保持された図7に示す鍵管理テーブルT1aを次のように参照する。
即ち、コピー部46aは、鍵管理テーブルT1aにおいて、サーバ31aのサービスA側が指定したコピーポリシを参照し、コピーが許容される例えば秘密鍵「129CC8B6A2…」と「9D2F104C25…」を抽出する。この抽出される秘密鍵「129CC8B6A2…」及び「9D2F104C25…」は、鍵ID「service2.jp」及び「service4.ru」に対応付けられている。
次に、ステップS20において、コピー元端末機32aの認証鍵管理部45aでユーザの生体認証が行われる。この生体認証がOKであれば、ステップS21において、認証鍵管理部45aからコピー部46aへ、生体認証OKが通知される。また、ステップS22において、コピー部46aに、ユーザがコピー条件を追加指定する。これは、ユーザがコピーしたい認証鍵(秘密鍵)の選別や、コピー後の利用条件(期限等)を指定することである。
上記の生体認証OK及び追加指定を受けたコピー部46aは、ステップS23において、認証鍵(秘密鍵)と利用条件をコピー先端末機32bのコピー部46bを介して認証鍵管理部45bへ送信する。その認証鍵(秘密鍵)と利用条件は、図8に示す鍵管理テーブルT1aのように対応付けられて、暗号化により秘諾状態で送信される。
認証鍵管理部45bでは、ステップS24において、ユーザの生体認証が行われる。この生体認証がOKであれば、認証鍵管理部45bは、ステップS25において、秘密鍵及び利用条件を保管する。これは、図9に示す鍵管理テーブルT1bの鍵ID「service2.jp」及び「service4.ru」に、秘密鍵「129CC8B6A2…」及び「9D2F104C25…」と、利用条件とが保管される。利用条件は、秘密鍵「129CC8B6A2…」に、例えば、残時間「2時間」が対応付けられ、秘密鍵「9D2F104C25…」に、残回数「10」、残時間「2時間」が対応付けられて保管される。
<第1実施形態の認証鍵の利用処理>
次に、コピー先端末機32bにコピーされた認証鍵としての秘密鍵を利用して、サーバ31aのサービスAを利用するためのユーザ認証(図2の双方向矢印Y21参照)を行う処理を、図10に示すシーケンス図を参照して説明する。
この際の処理は、FIDOにおける通常のチャレンジ・レスポンス認証に基づいているが、別端末機からコピーされた秘密鍵については、コピー時に指定された利用条件に合致している場合にのみ、その秘密鍵を利用した署名を実施することが可能となっている。
図10に示すステップS31において、コピー先端末機32bのWebクライアント43bがサーバ31aのサービスAを利用するためのユーザの認証要求を、サーバ31aの認証部41aに行ったとする。認証部41aは、ステップS32において、該当サービスA固有の鍵IDを含むランダム文字列であるチャレンジを、コピー先端末機32bの認証鍵管理部45bへ送信する。
次に、ステップS33において、鍵IDを含むチャレンジを受信した認証鍵管理部45bでユーザの生体認証が行われる。この生体認証がOKであれば、認証鍵管理部45bは、ステップS34において、秘密鍵14aでチャレンジに署名を行う。この署名は、認証鍵管理部45bが、矢印Y14で指示する鍵管理テーブルT1bの利用条件を参照し、該当鍵IDの秘密鍵が使用できる状態であることを確認の上で実施する。例えば該当鍵ID「service4.ru」の秘密鍵「9D2F104C25…」が使用できる状態であることを確認の上で署名する。この署名でサービスを利用した後は、最新化が必要であればテーブルを更新する。例えば鍵管理テーブルT1bの残回数を「10→9」に更新する。
認証鍵管理部45bは、ステップS35において、上記署名により発行されたレスポンスとしての署名付認証チャレンジを、サーバ31aの認証部41aへ返送する。認証部41aは、ステップS36において、署名付認証チャレンジを、矢印Y15で指示する鍵管理テーブルT2に保管された公開鍵11a「62C951BA2F…」で検証する。この検証がOKであれば、ステップS37において、認証部41aは、コピー先端末機32bのWebクライアント43に認証完了を通知する。なお、上記ステップS36の検証がNGであれば、コピー先端末機32bにユーザが認識可能にエラーが通知される。
<第1実施形態の効果>
以上説明したように、第1実施形態の認証鍵共有システム30Aを、次のような特徴構成とした。システム30Aは、通信による各種のサービスを提供するサーバ31a〜31cと、当該サーバ31a〜31cに保持されてサービスを認証する公開鍵11a〜11cと対の秘密鍵14a〜14cを保持し、この保持された秘密鍵14a〜14cでサービスを通信で利用するコピー元端末機32aと、当該コピー元端末機32aで保持する秘密鍵14a〜14cが通信でコピーされるコピー先端末機32bとを有する。
(1)コピー元端末機32a及びコピー先端末機32bの双方は、予め定められた距離で予め定められた操作が同時に行われた際に、双方の通信を確立させる相互確認を行う相互確認部44a,44bを備える。コピー元端末機32aに第三者による本人確認で発行された所有者証明書15が登録されており、コピー先端末機32bに所有者証明書15が未登録の場合に、相互確認部44a,44bにより相互確認が適正にできれば、コピー元端末機32aで保持する秘密鍵14a〜14cをコピー先端末機32bへコピーする構成とした。
この構成によれば、コピー先端末機32bに所有者証明書15が登録されていない場合でも、相互確認がOKであればコピー元端末機32aが保持する秘密鍵14a〜14cをコピーすることができる。このため、従来のように、端末機を追加する度に所有者証明書15を端末機に発行するための本人確認を第三者に受けるといった処理が不要となる。従って、同一利用者が所有する端末機数が増加しても、一定のセキュリティを担保しつつ、端末機32a,32b間で利便性良くWebサービス利用のために必要な認証鍵をコピーすることができる。
従って、将来的にウェアラブル端末機等を含めて所有する端末機数が飛躍的に増加した場合や、様々な場所に存在する共用端末機を一時的に専有してサービスを利用し、利用終了時に解放するような利用スタイルが一般化した場合に、新規の端末機に秘密鍵を容易にコピーしてサービスを利用することができる。
(2)コピー元端末機32aは、秘密鍵14a〜14cをコピーのために送信する際に、サービスの利用を制限する利用条件を当該秘密鍵14a〜14cに追加する認証鍵管理部45aを備える。コピー先端末機32bは、秘密鍵14a〜14cのコピー時に当該秘密鍵14a〜14cに追加された利用条件を保持し、この保持された利用条件に従ってサービスを利用するようにした。
これによって、次のような効果を得ることができる。端末機32a,32b間の相互確認OKで秘密鍵14a〜14cが登録されたコピー先端末機32bでは、サービスの利用に制限を設けて、本人確認情報の登録に基づき秘密鍵14a〜14cが登録されたコピー先端末機32bと差別化を図ることができる。
<第2実施形態の構成>
次に、第2実施形態に係る認証鍵共有システムについて、図11に示す認証鍵共有システム30Bを参照して説明する。但し、システム30Bにおいて、図2に示した第1実施形態の認証鍵共有システム30Aと同一部分には同一符号を付し、その説明を適宜省略する。
図11に示すシステム30Bが、システム30Aと異なる点は、次の通りである。まず、サーバ31a〜31cが認証部41a〜41cの他に、コピー鍵利用制御部49a〜49cを備える点にある。次に、コピー元端末機32aがコピー先端末機32bに、矢印Y7で指示する相互確認後に、矢印Y8aで示すように、全ての認証鍵(秘密鍵14a〜14c)をコピーする。コピー先端末機32bは、何年何月何時にコピーをしたか等の客観的なコピー時の情報を保持する。そして、コピー先端末機32bがサービス利用時に、コピー時の情報をサーバ31a〜31cへ送信し、サーバ31a〜31cのコピー鍵利用制御部49a〜49cが、コピー時の情報を確認してサービス利用の可否や制限を決定するといった処理を行う点にある。
但し、コピー元端末機32aの認証鍵管理部45aは、図12に示す鍵管理テーブルT1aを備える。認証鍵管理部45bは、図13に示す鍵管理テーブルT1bを備える。鍵管理テーブルT1aには、サービス固有のIDである鍵ID、秘密鍵が登録され、鍵管理テーブルT1bには、鍵ID、秘密鍵及びコピー時の情報であるコピー情報が登録されている。
<第2実施形態の認証鍵の登録処理>
サーバにサービスに対応した認証鍵としての公開鍵を登録する処理(図11の双方矢印Y22A参照)を、図14に示すシーケンス図を参照して説明する。
図14に示すステップS1Aにおいて、コピー元端末機32aのWebクライアント43aが、サーバ(例えばサーバ31a)の認証部41aに、認証鍵としての公開鍵11aの登録要求を行う。認証部41aは、矢印Y31で示すように、サービスAに対応する鍵IDを取得し、ステップS2Aで示すように、認証鍵(公開鍵11a)の登録要求と鍵IDを、コピー元端末機32aの認証鍵管理部45aへ送信する。
次に、ステップS3Aにおいて、コピー元端末機32aでユーザの生体認証が行われる。この生体認証がOKであれば、認証鍵管理部45aは、ステップS4Aにおいて、認証鍵としての一対の秘密鍵14aと公開鍵11aとの鍵ペアを生成する。この生成後、認証鍵管理部45aは、矢印Y32で指示する鍵管理テーブルT1aの鍵ID「service1.com」に対応付けられた秘密鍵欄に、秘密鍵14a「FE0085B126…」を保持する。
更に、認証鍵管理部45aは、ステップS5Aにおいて、上記ステップS4Aで生成した公開鍵11aを、サーバ31aの認証部41aへ登録のために送信する。
認証部41aは、ステップS6Aにおいて、矢印Y33で指示する鍵管理テーブルT2のアカウント名「User1」に対応付けられた公開鍵欄に、公開鍵11a「62C951BA2F…」を登録する。この登録後、認証部41aは、ステップS7Aにおいて、登録完了をコピー元端末機32aのWebクライアント43へ送信する。
なお、他のサーバ31b,31cにおいても、サービスB,Cに対応した認証鍵としての公開鍵11b,11cを登録する処理が、上記同様に行われる。
<第2実施形態の認証鍵のコピー処理>
次に、コピー元端末機32aから所有者証明書が未登録のコピー先端末機32bへ、認証鍵としての秘密鍵をコピーする場合について、図15を参照して説明する。但し、図15において、第1実施形態の図6に示したシーケンス図と同一ステップには同一符号を付し、その説明を適宜省略する。
図15に示すステップS10〜S17までの処理は、図6と同様である。それら処理のうち最後のステップS17においては、近接通信確立の完了をコピー部46aに通知する。
この通知を受けたコピー部46aは、ステップS41において、矢印Y35で指示する鍵管理テーブルT1aを参照し、保管されている全ての秘密鍵14a,14b,14cを検索する。即ち、サービスA,B,Cに対応する鍵ID「service1.com」、「service2.jp」及び「service3.org」に対応付けられた秘密鍵14a,14b,14c「OA295BE44F…」、「129CC8B6A2…」及び「FE0085B126…」を検索する。
次に、ステップS42において、コピー元端末機32aの認証鍵管理部45aでユーザの生体認証が行われる。この生体認証がOKであれば、ステップS43において、認証鍵管理部45aからコピー部46aへ、生体認証のOKが通知される。この通知を受けたコピー部46aは、ステップS44において、上記ステップS41で検索した秘密鍵14a,14b,14cを、コピー先端末機32bのコピー部46bにコピーする。即ち、矢印Y36で指示する鍵ID「service1.com」、「service2.jp」及び「service3.org」に対応付けられた秘密鍵14a,14b,14c「OA295BE44F…」、「129CC8B6A2…」及び「FE0085B126…」を、コピー先端末機32bのコピー部46bにコピーする。
コピー部46bは、コピーされた秘密鍵14a〜14cをステップS45において、認証鍵管理部45bへ通知する。この通知後、ステップS46において、認証鍵管理部45bでユーザの生体認証が行われる。この生体認証がOKであれば、認証鍵管理部45bは、ステップS47において、秘密鍵を保管する。この際、認証鍵管理部45bは、矢印Y37で指示する鍵管理テーブルT1bにおいて、コピー情報(コピー時の情報)を次のように保管する。即ち、コピー情報として、相互確認か所有者証明書15(図11)の一致確認かを確認方法欄に保管し、コピー実施時刻を実施時刻欄に保管する。この保管は、該当の秘密鍵14a,14b,14c「OA295BE44F…」、「129CC8B6A2…」及び「FE0085B126…」に紐付けられて行われる。
<第2実施形態の認証鍵の利用処理>
次に、コピー先端末機32bにコピーされた認証鍵としての秘密鍵を利用して、サーバ31aのサービスAを利用するためのユーザ認証(図11の双方向矢印Y21A参照)を行う処理を、図16に示すシーケンス図を参照して説明する。
この際の処理は、FIDOにおける通常のチャレンジ・レスポンス認証に基づいているが、コピー先端末機32bがコピー元端末機32aからコピーされた秘密鍵14a〜14cを利用する場合、該当の秘密鍵(例えば14a)に紐付けられたコピー情報及びコピー元端末機32a自体の情報(例えば、具備するハード機能等)から成る追加情報を付与して返送を行う。サーバ31a側は、追加情報を確認してサービス利用の可否や制限を決定するといった処理を行う。このような処理を次に詳細に説明する。
図16に示すステップS51において、コピー先端末機32bのWebクライアント43bがサーバ31aのサービスAを利用するためのユーザの認証要求を、サーバ31aの認証部41aに行ったとする。認証部41aは、ステップS52において、該当サービスA固有の鍵IDを含むランダム文字列であるチャレンジを、コピー先端末機32bの認証鍵管理部45bへ送信する。
次に、ステップS53において、鍵IDを含むチャレンジを受信した認証鍵管理部45bでユーザの生体認証が行われる。この生体認証がOKであれば、認証鍵管理部45bは、ステップS54において、秘密鍵14aでチャレンジに署名を行う。この署名は、認証鍵管理部45bが、矢印Y41で指示する鍵管理テーブルT1bにおいて、該当の秘密鍵14a「OA295BE44F…」に紐付けられたコピー情報を検索して、署名を行う。この署名後、コピー情報欄の署名回数を「0→1」と更新する。この署名によってレスポンスとしての署名付チャレンジが生成される。
更に、認証鍵管理部45bは、矢印Y42で指示するように、コピー元端末機32a自体の端末情報として、具備するハード機能であるTPMの情報(図7参照)をコピー情報に追加し、この追加情報を署名付認証チャレンジに付与して、ステップS55において、サーバ31aの認証部41aへ返送する。
この返送を受けた認証部41aは、ステップS56において、端末情報を含む追加情報をコピー鍵利用制御部49aへ通知する。コピー鍵利用制御部49aは、ステップS57において、追加情報のコピー情報及び端末情報を確認してサービス利用の可否や制限を決定する。例えば、コピー情報の確認方法に相互確認とある場合に、相互確認でコピーされた秘密鍵に係るサービスの利用は拒否する。又は、相互確認でコピーされた秘密鍵に係るサービスの利用は、可能とするが制限を設けることを決定する。
コピー鍵利用制御部49aは、ステップS58において、その可否の結果及び制限の情報を認証部41aに通知する。
認証部41aは、上記ステップS58で通知されたサービス利用が「可能」であれば、ステップS59において、署名付認証チャレンジを、矢印Y43で指示する鍵管理テーブルT2に保管された公開鍵11a「62C951BA2F」で検証する。この検証がOKであれば、ステップS60において、認証部41aは、コピー先端末機32bのWebクライアント43bに認証完了を通知する。なお、上記ステップS58で、サービス利用「否」が通知された場合、サービス利用のための検証処理は行われない。また、上記ステップS59の検証がNGであれば、コピー先端末機32bにユーザが認識可能にエラーが通知される。
<第2実施形態の効果>
以上説明したように、第2実施形態の認証鍵共有システム30Bを、次のような特徴構成とした。システム30Bは、通信による各種のサービスを提供するサーバ31a〜31cと、当該サーバ31a〜31cに保持されてサービスを認証する公開鍵11a〜11cと対の秘密鍵14a〜14cを保持し、この保持された秘密鍵14a〜14cでサービスを通信で利用するコピー元端末機32aと、当該コピー元端末機32aで保持する秘密鍵14a〜14cが通信でコピーされるコピー先端末機32bとを有する。
(1)コピー元端末機32a及びコピー先端末機32bの双方は、予め定められた距離で予め定められた操作が同時に行われた際に、双方の通信を確立させる相互確認を行う相互確認部と、相互確認が適正であれば、当該コピー元端末機32aで保持する全ての秘密鍵14a〜14cを当該コピー先端末機32bへコピーする端末機間のコピー部46a,46bとを備える。コピー先端末機32bは、全ての秘密鍵14a〜14cをコピーした際の少なくとも確認方法やコピー時刻を含むコピー情報を保持する認証鍵管理部45bを備える。サーバ31a〜31cは、コピー先端末機32bがサービスの利用時に送信してきたコピー情報に応じて、サービスの利用の可否及び制限を定めるコピー鍵利用制御部49a〜49cを備える構成とした。
この構成によれば、サーバ31a〜31cは、コピー先端末機32bがサービスの利用時に、秘密鍵14a〜14cをコピーした際の少なくとも確認方法やコピー時刻を含むコピー情報を受信した際に、コピー情報を確認してサービス利用の可否及び制限を決定できる。従って、サービス利用の可否及び制限の決定機能を端末機32a,32bから外すことができるので、端末機32a,32bの機能を少なくして小型化を図ることができる。
その他、具体的な構成について、本発明の主旨を逸脱しない範囲で適宜変更が可能である。
11a,11b,11c 公開鍵
14a,14b,14c 秘密鍵
30,30A,30B 認証鍵共有システム
31a,31b,31c Webサーバ(サーバ)
32a コピー元端末機
32b コピー先端末機
41a,41b,41c 認証部
43a,43b Webクライアント
44a,44b 相互確認部
45a,45b 認証鍵管理部
46a,46b コピー部
47a,47b コピー鍵利用制御部
T1a,T1a,T2 鍵管理テーブル

Claims (4)

  1. 通信による各種のサービスを提供するサーバと、当該サーバに保持されて前記サービスに係る認証を行う公開鍵と対の秘密鍵を保持し、この保持された秘密鍵で前記サービスを通信で利用するコピー元端末機と、当該コピー元端末機で保持する秘密鍵が通信でコピーされるコピー先端末機とを有する認証鍵共有システムであって、
    前記コピー元端末機及び前記コピー先端末機の双方は、予め定められた距離で予め定められた操作が同時に行われた際に、双方の通信を確立させる相互確認を行う相互確認部を備え、
    前記コピー元端末機に第三者による本人確認で発行された所有者証明書が登録されており、前記コピー先端末機に前記所有者証明書が未登録の場合に、前記相互確認部により相互確認が適正にできれば、当該コピー元端末機で保持する秘密鍵を当該コピー先端末機へコピーし、
    前記コピー元端末機は、前記秘密鍵をコピーのために送信する際に、前記サービスの利用を制限する利用条件を当該秘密鍵に追加する認証鍵管理部を備え、
    前記コピー先端末機は、前記秘密鍵のコピー時に当該秘密鍵に追加された利用条件を保持し、この保持された利用条件に従って前記サービスの利用時の認証処理を実行する
    ことを特徴とする認証鍵共有システム。
  2. 通信による各種のサービスを提供するサーバと、当該サーバに保持されて前記サービスに係る認証を行う公開鍵と対の秘密鍵を保持し、この保持された秘密鍵で前記サービスを通信で利用するコピー元端末機と、当該コピー元端末機で保持する秘密鍵が通信でコピーされるコピー先端末機とを有する認証鍵共有システムであって、
    前記コピー元端末機及び前記コピー先端末機の双方は、
    予め定められた距離で予め定められた操作が同時に行われた際に、双方の通信を確立させる相互確認を行う相互確認部と、
    前記相互確認が適正であれば、当該コピー元端末機で保持する全ての秘密鍵の各々を当該コピー先端末機へコピーする端末機間のコピー部とを備え、
    前記コピー先端末機は、前記全ての秘密鍵の各々をコピーした際の少なくとも確認方法及びコピー時刻を含むコピー情報を保持する認証鍵管理部を備え、
    前記サーバは、前記コピー先端末機が前記サービスの利用時に送信してきた前記コピー情報に応じて、前記サービスの利用の可否及び制限を定めるコピー鍵利用制御部を備える
    ことを特徴とする認証鍵共有システム。
  3. 通信による各種のサービスを提供するサーバと、当該サーバに保持されて前記サービスを認証する公開鍵と対の秘密鍵を保持し、この保持された秘密鍵で前記サービスを通信で利用するコピー元端末機と、当該コピー元端末機で保持する秘密鍵が通信でコピーされるコピー先端末機とを有する認証鍵共有システムの端末間鍵コピー方法であって、
    前記コピー元端末機及び前記コピー先端末機は、
    予め定められた距離で予め定められた操作が同時に行われた際に、双方の通信を確立させる相互確認を行うステップと、
    前記コピー元端末機に第三者による本人確認で発行された所有者証明書が登録されており、前記コピー先端末機に前記所有者証明書が未登録の場合に、前記相互確認が適正にできれば、当該コピー元端末機で保持する秘密鍵を当該コピー先端末機へコピーするステップとを実行し
    前記コピー元端末機は、前記秘密鍵をコピーのために送信する際に、前記サービスの利用を制限する利用条件を当該秘密鍵に追加するステップと、
    前記コピー先端末機は、前記秘密鍵のコピー時に当該秘密鍵に追加された利用条件を保持し、この保持された利用条件に従って前記サービスの利用時の認証処理を実行するステップと
    を実行することを特徴とする端末間鍵コピー方法。
  4. 通信による各種のサービスを提供するサーバと、当該サーバに保持されて前記サービスを認証する公開鍵と対の秘密鍵を保持し、この保持された秘密鍵で前記サービスを通信で利用するコピー元端末機と、当該コピー元端末機で保持する秘密鍵が通信でコピーされるコピー先端末機とを有する認証鍵共有システムの端末間鍵コピー方法であって、
    前記コピー元端末機及び前記コピー先端末機は、
    予め定められた距離で予め定められた操作が同時に行われた際に、双方の通信を確立させる相互確認を行うステップと、
    前記相互確認が適正であれば、当該コピー元端末機で保持する全ての秘密鍵の各々を当該コピー先端末機へコピーするステップとを実行し、
    前記コピー先端末機は、
    前記全ての秘密鍵の各々をコピーした際の少なくとも確認方法及びコピー時刻を含むコピー情報を保持するステップを実行し、
    前記サーバは、
    前記コピー先端末機が前記サービスの利用時に送信してきた前記コピー情報に応じて、前記サービスの利用の可否及び制限を定めるステップを実行する
    ことを特徴とする端末間鍵コピー方法。
JP2017151200A 2017-08-04 2017-08-04 認証鍵共有システム及び端末間鍵コピー方法 Active JP6714551B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2017151200A JP6714551B2 (ja) 2017-08-04 2017-08-04 認証鍵共有システム及び端末間鍵コピー方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017151200A JP6714551B2 (ja) 2017-08-04 2017-08-04 認証鍵共有システム及び端末間鍵コピー方法

Publications (2)

Publication Number Publication Date
JP2019029975A JP2019029975A (ja) 2019-02-21
JP6714551B2 true JP6714551B2 (ja) 2020-06-24

Family

ID=65476741

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017151200A Active JP6714551B2 (ja) 2017-08-04 2017-08-04 認証鍵共有システム及び端末間鍵コピー方法

Country Status (1)

Country Link
JP (1) JP6714551B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7379400B2 (ja) * 2021-02-25 2023-11-14 株式会社東芝 情報処理システム、サーバ装置、情報処理方法及びプログラム
WO2023189801A1 (ja) * 2022-03-30 2023-10-05 ソニーグループ株式会社 管理装置、管理方法および管理プログラム

Also Published As

Publication number Publication date
JP2019029975A (ja) 2019-02-21

Similar Documents

Publication Publication Date Title
US10904234B2 (en) Systems and methods of device based customer authentication and authorization
CN109862041B (zh) 一种数字身份认证方法、设备、装置、***及存储介质
JP6586446B2 (ja) 通信端末および関連システムのユーザーの識別情報を確認するための方法
KR102254499B1 (ko) 블록체인 기반의 권한 인증 방법, 단말 및 이를 이용한 서버
JP2019185774A (ja) ブロックチェーン基盤の統合ログイン方法、端末及びこれを利用したサーバ
CN114788226B (zh) 用于建立分散式计算机应用的非托管工具
CN104798083B (zh) 用于验证访问请求的方法和***
US9025769B2 (en) Method of registering smart phone when accessing security authentication device and method of granting access permission to registered smart phone
KR102192370B1 (ko) 블록체인 기반의 권한 인증 방법, 단말 및 이를 이용한 서버
JP2009510644A (ja) 安全な認証のための方法及び構成
KR102252086B1 (ko) 블록체인 기반의 권한 인증 방법, 단말 및 이를 이용한 서버
US20200412554A1 (en) Id as service based on blockchain
JP2012530311A5 (ja)
US20200196143A1 (en) Public key-based service authentication method and system
KR20210095093A (ko) 탈중앙화 아이디 앱을 이용하여 인증 서비스를 제공하는 방법 및 이를 이용한 탈중앙화 아이디 인증 서버
JP4960738B2 (ja) 認証システム、認証方法および認証プログラム
KR102372503B1 (ko) 탈중앙화 아이디 앱을 이용하여 인증 서비스를 제공하는 방법 및 이를 이용한 탈중앙화 아이디 인증 서버
JP6370771B2 (ja) サイバーidを使用してセキュアなトランザクションを提供する方法およびシステム
JP7269486B2 (ja) 情報処理装置、情報処理方法及び情報処理プログラム
JP6714551B2 (ja) 認証鍵共有システム及び端末間鍵コピー方法
JP2018137587A (ja) 認証鍵共有システムおよび認証鍵共有方法
EP4270860A1 (en) Identity authentication method, authentication access controller, request device, storage medium, program, and program product
WO2015151251A1 (ja) ネットワークサービス提供装置、ネットワークサービス提供方法、及びプログラム
KR20200112771A (ko) 블록체인 기반의 권한 인증 방법, 단말 및 이를 이용한 서버
JP6823564B2 (ja) 認証鍵共有システム及び端末機新規登録方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190221

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20200131

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200218

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200417

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200602

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200605

R150 Certificate of patent or registration of utility model

Ref document number: 6714551

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150