JP6753403B2 - 情報処理装置、認証システム、認証方法、並びにコンピュータ・プログラム - Google Patents
情報処理装置、認証システム、認証方法、並びにコンピュータ・プログラム Download PDFInfo
- Publication number
- JP6753403B2 JP6753403B2 JP2017536609A JP2017536609A JP6753403B2 JP 6753403 B2 JP6753403 B2 JP 6753403B2 JP 2017536609 A JP2017536609 A JP 2017536609A JP 2017536609 A JP2017536609 A JP 2017536609A JP 6753403 B2 JP6753403 B2 JP 6753403B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- authentication
- distributed
- information processing
- input
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/085—Secret sharing or secret splitting, e.g. threshold schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3242—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Power Engineering (AREA)
- Storage Device Security (AREA)
Description
利用するサービス毎にパスワードを変えた場合、ユーザのパスワード管理の手間が、増大してしまう。一方、1つのパスワードを複数のサービスで使いまわした場合、あるサービスから漏えいしたパスワードが、他のサービスの不正利用に用いられるという危険性がある。
あらかじめ保存する、認証に際して照合される一方の情報であるマスター認証情報が秘密分散法によって分散された分散マスター認証情報の1つと、
通信を介して接続される第1の情報処理装置から受信した、前記認証に際して照合される他方の情報である認証情報が秘密分散法によって分散された分散認証情報の1つとに基づいて、
他の第2の情報処理装置との間における通信を介する秘密計算を実行することによって、前記認証情報が前記マスター認証情報と一致するかどうかを判定する秘密計算手段と、
前記判定の結果に応じて所定の処理を実行する処理実行手段と
を含む。
入力された第1の入力情報に基づく認証情報を、秘密分散法によって複数の分散認証情報に分散する秘密分散手段と、
前記複数の第2の情報処理装置に対して、前記各分散認証情報を分散するように送信する通信制御手段と
を含む。
第1の情報処理装置に対して入力された第1の入力情報に基づく認証情報を、秘密分散法によって複数の分散認証情報に分散し、
認証に際して照合される情報であるマスター認証情報が秘密分散法によって分散された情報である各分散マスター認証情報を分散してあらかじめ保存する、複数の第2の情報処理装置に対して、前記第1の情報処理装置から、前記各分散認証情報を分散するように送信し、
前記第1の情報処理装置から受信した前記分散認証情報と、前記分散マスター認証情報とに基づいて、前記複数の第2の情報処理装置の少なくとも一部の装置間における通信を介する秘密計算を実行することによって、前記認証情報が前記マスター認証情報と一致するかどうかを判定し、
前記秘密計算を実行した前記複数の第2の情報処理装置の少なくとも1つが、前記判定の結果に応じて所定の処理を実行する。
図1は、本発明の第1の実施形態に係る認証システムの構成を示すブロック図である。
図1を参照すると、本実施形態に係る認証システムは、第1の情報処理装置1、および複数の第2の情報処理装置10を含む。
次に、上述した第1の実施形態を基本とする第2の実施形態について説明する。
すなわち、クライアント100は、分散ソルト情報216から復元したソルト情報を用いることにより、上述したサービスアクセス情報の暗号化および復号の各処理を実行することができる。ユーザは、復号されたサービスアクセス情報を用いて、所望のサービスを利用することができる。このようなオンラインパスワードマネージャの処理によって、ユーザは、1組のユーザID情報とマスターパスワードとを記憶していれば、様々なサービスを利用することが可能となる。
出力部111は、図示しないディスプレイ、またはタッチパネルなどに対してサービスアクセス情報を表示してもよい。出力部111は、図示しない記憶装置、または、通信制御部3などを介して接続される外部装置などに対して、サービスアクセス情報を出力してもよい。出力部111は、入力部110に対して入力を受け付ける際のメッセージ表示などに利用されてもよい。
以下に、図3を参照して、ユーザ登録処理における動作を説明する。図3は、第2の実施形態におけるユーザ登録処理の際に、クライアント100および各分散認証装置200が行う動作を示すフローチャートである。
以下に、図4を参照して、サービス登録処理における動作を説明する。図4は、第2の実施形態におけるサービス登録処理の際に、クライアント100、各分散認証装置200、およびサービスアクセス情報管理装置300が行う動作を示すフローチャートである。
以下に、図5を参照して、サービス利用処理における動作を説明する。図5は、第2の実施形態におけるサービス利用処理の際に、クライアント100、各分散認証装置200、およびサービスアクセス情報管理装置300が行う動作を示すフローチャートである。
また、例えば、サービス利用処理において、秘密復元部104は、分散ソルト情報216の復元(図5のステップA35)を、暗号化サービスアクセス情報304を復号する(ステップA62)までのいずれかのタイミングで実行してもよい。
<第3の実施形態>
次に、上述した第2の実施形態を基本とする第3の実施形態について説明する。以下では、第3の実施形態に係る特徴的な部分を中心に説明し、第2の実施形態と同様な構成を有する第3の実施形態の構成要素には、第2の実施形態で付した参照符号と同一の参照符号を付し、その構成要素について重複する詳細な説明は省略する。
ただし、本実施形態では、各分散認証装置500から受信した複数の預かり情報は、秘密復元部404によってサービスアクセス情報として復元される。そして、秘密復元部404は、復元したサービスアクセス情報を、出力部111を介して出力する。
以下に、図7を参照して、ユーザ登録処理における動作を説明する。図7は、第3の実施形態におけるユーザ登録処理の際に、クライアント400および各分散認証装置500が行う動作を示すフローチャートである。
以下に、図8を参照して、サービス登録処理における動作を説明する。図8は、第3の実施形態におけるサービス登録処理の際に、クライアント400、および各分散認証装置500が行う動作を示すフローチャートである。
この通知は、少なくとも1台の分散認証装置500が実行すればよい。秘密計算部212によって認証失敗と判定された場合(ステップB42のNO)、処理実行部513は、一例として、認証結果(失敗)を送信せずに、単に処理を終了してもよい。
以下に、図9を参照して、サービス利用処理における動作を説明する。図9は、第3の実施形態におけるサービス利用処理の際に、クライアント400、および各分散認証装置500が行う動作を示すフローチャートである。
この場合、サービス利用処理(図9)でも、分散認証装置500による認証結果(成功)の通知を行ってもよい。その後に、クライアント400の通信制御部3が、各分散認証装置500に対して、サービス名情報を送信してもよい。
<HW構成説明例>
なお、上述した各実施形態において図1、図2および図6に示した各部は、それぞれ独立したハードウェア回路で構成されていてもよいし、ソフトウェアプログラムの機能(処理)単位(ソフトウェアモジュール)と捉えることができる。ただし、これらの図面に示した各部の区分けは、説明の便宜上の構成であり、実装に際しては、様々な構成が想定され得る。このような場合のハードウェア環境の一例を、図10を参照して説明する。
なお、上述した実施形態及びその変形例の一部又は全部は、以下の付記のようにも記載されうる。しかしながら、上述した実施形態及びその変形例により例示的に説明した本発明は、以下には限らない。即ち、
(付記1)
あらかじめ保存する、認証に際して照合される一方の情報であるマスター認証情報が秘密分散法によって分散された分散マスター認証情報の1つと、
通信を介して接続される第1の情報処理装置から受信した、前記認証に際して照合される他方の情報である認証情報が秘密分散法によって分散された分散認証情報の1つとに基づいて、
他の第2の情報処理装置との間における通信を介する秘密計算を実行することによって、前記認証情報が前記マスター認証情報と一致するかどうかを判定する秘密計算手段と、
前記判定の結果に応じて所定の処理を実行する処理実行手段と
を含む第2の情報処理装置。
(付記2)
前記第1の情報処理装置から、受信した前記分散マスター認証情報の1つを記憶装置に保存する登録手段を、さらに含み、
前記秘密計算手段は、前記記憶装置から読み出した前記分散マスター認証情報の1つに基づいて、前記秘密計算を実行する
付記1記載の第2の情報処理装置。
(付記3)
前記登録手段は、前記第1の情報処理装置から、あらかじめ預かっておく情報である預かり情報を受信し、受信した前記預かり情報を記憶装置に保存し、
前記処理実行手段は、前記判定の結果が、前記認証情報と前記マスター認証情報とが一致したことを表す認証成功である場合に、前記所定の処理として、前記預かり情報を、前記第1の情報処理装置に対して送信する
付記2記載の第2の情報処理装置。
(付記4)
前記マスター認証情報は、第1の文字列に基づくハッシュ値であり、
前記認証情報は、第2の文字列に基づくハッシュ値であり、
前記秘密計算手段は、ハッシュの計算を行う秘密計算と、一致の判定を行う秘密計算とを組み合わせることにより、前記認証情報が前記マスター認証情報と一致するかどうかを判定する
付記1乃至3のいずれか1つに記載の第2の情報処理装置。
(付記5)
前記マスター認証情報は、文字列を含むマスターパスワードであり、
前記認証情報は前記第1の情報処理装置に対して入力された文字列を含むパスワードである
付記1乃至4のいずれか1つに記載の第2の情報処理装置。
(付記6)
前記預かり情報は、前記第1の情報処理装置における暗号処理に係るソルト情報が秘密分散法によって分散された情報の1つである
付記3乃至5のいずれか1つに記載の第2の情報処理装置。
(付記7)
複数の、付記1乃至6のいずれか1つに記載の第2の情報処理装置を含むシステムに接続される第1の情報処理装置において、
入力された第1の入力情報に基づく認証情報を、秘密分散法によって複数の分散認証情報に分散する秘密分散手段と、
前記複数の第2の情報処理装置に対して、前記各分散認証情報を分散するように送信する通信制御手段と
を含む第1の情報処理装置。
(付記8)
入力された第2の入力情報に基づいて前記マスター認証情報を生成し、前記第1の入力情報に基づいて前記認証情報を生成する認証情報生成手段を、さらに含み、
前記秘密分散手段は、生成された前記マスター認証情報を、秘密分散法によって複数の分散マスター認証情報に分散する処理をさらに行い、
前記通信制御手段は、前記複数の第2の情報処理装置に対して、前記各分散マスター認証情報を分散するように送信する処理をさらに行う
付記7記載の第1の情報処理装置。
(付記9)
前記認証情報生成手段は、前記第2の入力情報に基づくハッシュ値を前記マスター認証情報として生成し、前記第1の入力情報に基づくハッシュ値を前記認証情報として生成する
付記8記載の第1の情報処理装置。
(付記10)
前記秘密分散手段は、入力された第3の入力情報を、秘密分散法によって複数の前記預かり情報として分散する処理をさらに行い、
前記通信制御手段は、さらに、前記複数の第2の情報処理装置に対して、前記各預かり情報を分散するように送信し、前記複数の第2の情報処理装置から前記各預かり情報を受信し、
受信した複数の前記預かり情報を、秘密分散法によって、前記第3の入力情報に復元し、復元した前記第3の入力情報を出力する秘密復元手段を、さらに含む
付記7乃至9のいずれか1つに記載の第1の情報処理装置。
(付記11)
前記復元された第3の入力情報に基づいて暗号鍵を生成し、入力された第4の入力情報を前記暗号鍵を用いて暗号化する暗号化手段を、さらに含み、
前記通信制御手段は、さらに、前記暗号化された第4の入力情報を、第3の情報処理装置に対して送信し、前記複数の第2の情報処理装置から前記預かり情報を受信した場合に、前記第3の情報処理装置から前記暗号化された第4の入力情報を受信し、
前記復元された第3の入力情報に基づいて、復号鍵を生成し、受信した前記暗号化された第4の入力情報を、前記復号鍵によって、前記第4の入力情報に復号し、復号した前記第4の入力情報を出力する復号手段を、さらに含む
付記10記載の第1の情報処理装置。
(付記12)
前記第1の入力情報は、認証に際して入力された文字列を含むパスワードである
付記7乃至11のいずれか1つに記載の第1の情報処理装置。
(付記13)
前記第2の入力情報は、認証より前に入力された文字列を含むマスターパスワードである
付記8乃至12のいずれか1つに記載の第1の情報処理装置。
(付記14)
前記第3の入力情報は、サービスにアクセスする際に使用される情報であるサービスアクセス情報である
付記10、12、または13のいずれか1つに記載の第1の情報処理装置。
(付記15)
前記第3の入力情報は、前記暗号鍵および前記復号鍵の生成に用いられるソルト情報であり、
前記第4の入力情報は、サービスにアクセスする際に使用される情報であるサービスアクセス情報である
付記11乃至13のいずれか1つに記載の第1の情報処理装置。
(付記16)
付記7乃至15のいずれか1つに記載の第1の情報処理装置と、
前記第1の情報処理装置と接続される付記1乃至6のいずれか1つに記載の複数の第2の情報処理装置とを含む認証システム。
(付記17)
前記第1の情報処理装置として、付記11または15記載の第1の情報処理装置を含み、
さらに、前記第3の情報処理装置を含む
付記16記載の認証システム。
(付記18)
第1の情報処理装置に対して入力された第1の入力情報に基づく認証情報を、秘密分散法によって複数の分散認証情報に分散し、
認証に際して照合される情報であるマスター認証情報が秘密分散法によって分散された情報である各分散マスター認証情報を分散してあらかじめ保存する、複数の第2の情報処理装置に対して、前記第1の情報処理装置から、前記各分散認証情報を分散するように送信し、
前記第1の情報処理装置から受信した前記分散認証情報と、前記分散マスター認証情報とに基づいて、前記複数の第2の情報処理装置の少なくとも一部の装置間における通信を介する秘密計算を実行することによって、前記認証情報が前記マスター認証情報と一致するかどうかを判定し、
前記秘密計算を実行した前記複数の第2の情報処理装置の少なくとも1つが、前記判定の結果に応じて所定の処理を実行する
認証方法。
(付記19)
前記第1の情報処理装置に対して入力された第2の入力情報に基づいて前記マスター認証情報を、さらに生成し、
前記マスター認証情報を、秘密分散法によって複数の分散マスター認証情報に、さらに分散し、
前記複数の第2の情報処理装置に対して、前記第1の情報処理装置から、前記各分散マスター認証情報を分散するように、さらに送信し、
前記各第2の情報処理装置において、前記第1の情報処理装置から受信した前記分散マスター認証情報を、さらに保存する
付記18記載の認証方法。
(付記20)
前記第2の入力情報に基づくハッシュ値を前記マスター認証情報として生成し、
前記第1の入力情報に基づくハッシュ値を前記認証情報として生成し、
ハッシュの計算を行う秘密計算と、一致の判定を行う秘密計算とを組み合わせることにより、前記認証情報が前記マスター認証情報と一致するかどうかを判定する
付記19記載の認証方法。
(付記21)
前記第1の情報処理装置に対して入力された第3の入力情報を、秘密分散法によって複数の預かり情報として、さらに分散し、
前記複数の第2の情報処理装置に対して、前記第1の情報処理装置から、前記各預かり情報を分散するように、さらに送信し、
前記各第2の情報処理装置において、前記第1の情報処理装置から受信した前記預かり情報を、さらに保存し、
前記所定の処理として、前記複数の第2の情報処理装置の少なくとも1つから、保存された前記預かり情報を、前記第1の情報処理装置に対して送信し、
受信した複数の前記預かり情報を、秘密分散法によって、前記第3の入力情報に、さらに復元し、
復元した前記第3の入力情報を、さらに出力する
付記18乃至20のいずれか1つに記載の認証方法。
(付記22)
前記復元された第3の入力情報に基づいて暗号鍵を、さらに生成し、
前記第1の情報処理装置に対して入力された第4の入力情報を前記暗号鍵を用いて、さらに暗号化し、
前記暗号化された第4の入力情報を、第3の情報処理装置に対して、さらに送信し、
前記複数の第2の情報処理装置から前記預かり情報を受信した場合に、前記第3の情報処理装置から前記暗号化された第4の入力情報を、さらに受信し、
前記復元された第3の入力情報に基づいて、復号鍵を、さらに生成し、
受信した前記暗号化された第4の入力情報を、前記復号鍵によって、前記第4の入力情報に、さらに復号し、
復号した前記第4の入力情報を、さらに出力する
付記21記載の認証方法。
(付記23)
あらかじめ保存する、認証に際して照合される一方の情報であるマスター認証情報が秘密分散法によって分散された分散マスター認証情報の1つと、
通信を介して接続される第1の情報処理装置から受信した、前記認証に際して照合される他方の情報である認証情報が秘密分散法によって分散された分散認証情報の1つとに基づいて、
他の第2の情報処理装置との間における通信を介する秘密計算を実行することによって、前記認証情報が前記マスター認証情報と一致するかどうかを判定する秘密計算処理と、
前記判定の結果に応じて所定の処理を実行する判定実行処理と
を第2の情報処理装置であるコンピュータに実行させる第1のコンピュータ・プログラムを記録する記録媒体。
(付記24)
前記第1の情報処理装置から、受信した前記分散マスター認証情報の1つを記憶装置に保存する登録処理を、さらに含み、
前記秘密計算処理において、前記記憶装置から読み出した前記分散マスター認証情報の1つに基づいて、前記秘密計算を実行する
付記23記載の第1のコンピュータ・プログラムを記録する記録媒体。
(付記25)
前記第1の情報処理装置から、あらかじめ預かっておく情報である預かり情報を受信し、受信した前記預かり情報を記憶装置に保存する預かり情報登録処理を、さらに含み、
前記判定実行処理において、前記判定の結果が、前記認証情報と前記マスター認証情報とが一致したことを表す認証成功である場合に、前記所定の処理として、前記預かり情報を、前記第1の情報処理装置に対して送信する
付記23または24記載の第1のコンピュータ・プログラムを記録する記録媒体。
(付記26)
前記マスター認証情報は、第1の文字列に基づくハッシュ値であり、
前記認証情報は、第2の文字列に基づくハッシュ値であり、
前記秘密計算処理において、ハッシュの計算を行う秘密計算と、一致の判定を行う秘密計算とを組み合わせることにより、前記認証情報が前記マスター認証情報と一致するかどうかを判定する
付記23乃至25のいずれか1つに記載の第1のコンピュータ・プログラムを記録する記録媒体。
(付記27)
入力された第1の入力情報に基づく認証情報を、秘密分散法によって複数の分散認証情報に分散する秘密分散処理と、
付記23乃至26のいずれか1つに記載の第1のコンピュータ・プログラムが実行される、複数の情報処理装置に対して、前記各分散認証情報を分散するように送信する通信制御処理と
をコンピュータに実行させる第2のコンピュータ・プログラムを記録する記録媒体。
(付記28)
入力された第2の入力情報に基づいて前記マスター認証情報を生成し、前記第1の入力情報に基づいて前記認証情報を生成する認証情報生成処理と、
生成された前記マスター認証情報を、秘密分散法によって複数の分散マスター認証情報に分散する処理と、
前記複数の情報処理装置に対して、前記各分散マスター認証情報を分散するように送信する処理とを、さらにコンピュータに実行させる
付記27記載の第2のコンピュータ・プログラムを記録する記録媒体。
(付記29)
前記認証情報生成処理において、前記第2の入力情報に基づくハッシュ値を前記マスター認証情報として生成し、前記第1の入力情報に基づくハッシュ値を前記認証情報として生成する
付記28記載の第2のコンピュータ・プログラムを記録する記録媒体。
(付記30)
入力された第3の入力情報を、秘密分散法によって複数の前記預かり情報として分散する処理と
前記複数の情報処理装置に対して、前記各預かり情報を分散するように送信する処理とをさらにコンピュータに実行させ、
前記複数の情報処理装置から前記各預かり情報を受信した場合に、
受信した複数の前記預かり情報を、秘密分散法によって、前記第3の入力情報に復元し、復元した前記第3の入力情報を、さらに出力する
付記27乃至29のいずれか1つに記載の第2のコンピュータ・プログラムを記録する記録媒体。
(付記31)
前記復元された第3の入力情報に基づいて暗号鍵を生成し、入力された第4の入力情報を前記暗号鍵を用いて暗号化する暗号化処理と、
前記暗号化された第4の入力情報を、第3の情報処理装置に対して送信する処理と、
前記複数の第2の情報処理装置から前記預かり情報を受信した場合に、前記第3の情報処理装置から前記暗号化された第4の入力情報を受信する処理と、
前記復元された第3の入力情報に基づいて、復号鍵を生成し、受信した前記暗号化された第4の入力情報を、前記復号鍵によって、前記第4の入力情報に復号し、復号した前記第4の入力情報を出力する復号処理とを、さらにコンピュータに実行させる
付記30記載の第2のコンピュータ・プログラムを記録する記録媒体。
2、102、402 秘密分散部
3、11、301 通信制御部
10 第2の情報処理装置
12、212 秘密計算部
13、213、513 処理実行部
14、303 記憶装置
15、215 分散マスター認証情報
20 入力情報
100、400 クライアント(第1の情報処理装置)
101 認証情報生成部
103 暗号化部
104、404 秘密復元部
105 復号部
110、410 入力部
111 出力部
200、500 分散認証装置(第2の情報処理装置)
201、501 登録部
216 分散ソルト情報
300 サービスアクセス情報管理装置
302 管理部
304 暗号化サービスアクセス情報
517 分散サービスアクセス情報
Claims (8)
- 第1の情報処理装置から、預かり情報として、前記第1の情報処理装置における暗号処理に係るソルト情報が秘密分散法によって分散された情報の1つである分散ソルト情報を受信し、あらかじめ記憶装置に保存する登録手段と、
あらかじめ保存する、認証に際して照合される一方の情報であるマスター認証情報が秘密分散法によって分散された分散マスター認証情報の1つと、
通信を介して接続される前記第1の情報処理装置から受信した、前記認証に際して照合される他方の情報である認証情報が秘密分散法によって分散された分散認証情報の1つとに基づいて、
他の第2の情報処理装置との間における通信を介する秘密計算を実行することによって、前記認証情報が前記マスター認証情報と一致するかどうかを判定する秘密計算手段と、
前記判定の結果に応じて所定の処理を実行する処理実行手段と
を含み、
前記処理実行手段は、前記認証情報と前記マスター認証情報とが一致した場合に、前記所定の処理として、前記預かり情報を、前記第1の情報処理装置に対して送信する、第2の情報処理装置。 - 前記登録手段は、前記第1の情報処理装置から受信した前記分散マスター認証情報の1つを記憶装置に保存し、
前記秘密計算手段は、前記記憶装置から読み出した前記分散マスター認証情報の1つに基づいて、前記秘密計算を実行する
請求項1に記載の第2の情報処理装置。 - 請求項1又は2に記載の第2の情報処理装置を複数含むシステムに接続される第1の情報処理装置において、
入力された第1の入力情報に基づく前記認証情報を、秘密分散法によって複数の前記分散認証情報に分散する秘密分散手段と、
前記複数の第2の情報処理装置に対して、前記各分散認証情報を分散するように送信する通信制御手段と
を含み、
前記秘密分散手段は、入力された第3の入力情報を、秘密分散法によって複数の前記預かり情報として分散する処理をさらに行い、
前記通信制御手段は、さらに、前記複数の第2の情報処理装置に対して、前記各預かり情報を分散するように送信する、第1の情報処理装置。 - 前記通信制御手段は、さらに、前記複数の第2の情報処理装置から前記各預かり情報を受信し、
受信した複数の前記預かり情報を、秘密分散法によって、前記第3の入力情報に復元し、復元した前記第3の入力情報を出力する秘密復元手段を、さらに含む
請求項3に記載の第1の情報処理装置。 - 復元された前記第3の入力情報に基づいて暗号鍵を生成し、入力された第4の入力情報を前記暗号鍵を用いて暗号化する暗号化手段を、さらに含み、
前記通信制御手段は、さらに、前記暗号化された第4の入力情報を、第3の情報処理装置に対して送信し、前記複数の第2の情報処理装置から前記預かり情報を受信した場合に、前記第3の情報処理装置から前記暗号化された第4の入力情報を受信し、
前記復元された第3の入力情報に基づいて、復号鍵を生成し、受信した前記暗号化された第4の入力情報を、前記復号鍵によって、前記第4の入力情報に復号し、復号した前記第4の入力情報を出力する復号手段を、さらに含む
請求項4に記載の第1の情報処理装置。 - 請求項3乃至5のいずれか1つに記載の第1の情報処理装置と、
前記第1の情報処理装置と接続される請求項1又は2に記載の複数の第2の情報処理装置とを含む認証システム。 - 第1の情報処理装置に対して入力された第1の入力情報に基づく認証情報を、秘密分散法によって複数の分散認証情報に分散し、
前記第1の情報処理装置から受信した前記第1の情報処理装置における暗号処理に係るソルト情報が秘密分散法によって分散された情報である各分散ソルト情報と、認証に際して照合される情報であるマスター認証情報が秘密分散法によって分散された情報である各分散マスター認証情報とを分散してあらかじめ保存する、複数の第2の情報処理装置に対して、前記第1の情報処理装置から、前記各分散認証情報を分散するように送信し、
前記第1の情報処理装置から受信した前記分散認証情報と、前記分散マスター認証情報とに基づいて、前記複数の第2の情報処理装置の少なくとも一部の装置間における通信を介する秘密計算を実行することによって、前記認証情報が前記マスター認証情報と一致するかどうかを判定し、
前記秘密計算を実行した前記複数の第2の情報処理装置の少なくとも1つが、前記判定の結果に応じて所定の処理を実行し、前記認証情報と前記マスター認証情報とが一致した場合に、前記所定の処理として、前記分散ソルト情報を、前記第1の情報処理装置に対して送信する
認証方法。 - 第1の情報処理装置から、前記第1の情報処理装置における暗号処理に係るソルト情報が秘密分散法によって分散された情報の1つである分散ソルト情報を受信し、あらかじめ記憶装置に保存する登録処理と、
あらかじめ保存する、認証に際して照合される一方の情報であるマスター認証情報が秘密分散法によって分散された分散マスター認証情報の1つと、
通信を介して接続される前記第1の情報処理装置から受信した、前記認証に際して照合される他方の情報である認証情報が秘密分散法によって分散された分散認証情報の1つとに基づいて、
他の第2の情報処理装置との間における通信を介する秘密計算を実行することによって、前記認証情報が前記マスター認証情報と一致するかどうかを判定する秘密計算処理と、
前記判定の結果に応じて所定の処理を実行し、前記認証情報と前記マスター認証情報とが一致した場合に、前記所定の処理として、前記分散ソルト情報を、前記第1の情報処理装置に対して送信する判定実行処理と
を第2の情報処理装置であるコンピュータに実行させる第1のコンピュータ・プログラム。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015166696 | 2015-08-26 | ||
JP2015166696 | 2015-08-26 | ||
PCT/JP2016/003777 WO2017033442A1 (ja) | 2015-08-26 | 2016-08-18 | 情報処理装置、認証システム、認証方法、並びにコンピュータ・プログラムを記録する記録媒体 |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2017033442A1 JPWO2017033442A1 (ja) | 2018-07-05 |
JP6753403B2 true JP6753403B2 (ja) | 2020-09-09 |
Family
ID=58099796
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017536609A Active JP6753403B2 (ja) | 2015-08-26 | 2016-08-18 | 情報処理装置、認証システム、認証方法、並びにコンピュータ・プログラム |
Country Status (3)
Country | Link |
---|---|
US (1) | US11050745B2 (ja) |
JP (1) | JP6753403B2 (ja) |
WO (1) | WO2017033442A1 (ja) |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105205386A (zh) * | 2014-06-25 | 2015-12-30 | 腾讯科技(深圳)有限公司 | 移动终端应用程序密码保护方法和装置 |
GB2564442B (en) | 2017-07-10 | 2022-03-02 | Shayype Global Ltd | Method of registering and authenticating a user of an online system |
CN111133719B (zh) * | 2017-09-29 | 2024-01-26 | 罗伯特·博世有限公司 | 用于利用spdz的更快速的安全多方内积计算的方法 |
US11606203B2 (en) | 2017-12-14 | 2023-03-14 | Robert Bosch Gmbh | Method for faster secure multiparty inner product with SPDZ |
US10084600B1 (en) * | 2018-04-16 | 2018-09-25 | Xage Security, Inc. | Decentralized information protection for confidentiality and tamper-proofing on distributed database |
WO2020033033A1 (en) * | 2018-08-09 | 2020-02-13 | Hrl Laboratories, Llc | Anonymous allocation and majority voting in a compromised environment |
US10862908B2 (en) | 2018-08-09 | 2020-12-08 | Hrl Laboratories, Llc | System and method for consensus ordering of broadcast messages |
KR102146088B1 (ko) * | 2018-09-13 | 2020-08-19 | 삼육대학교산학협력단 | 광학 문자 인식을 이용한 사용자 인증 시스템 |
CN112769742B (zh) * | 2019-11-06 | 2024-06-14 | 电科云(北京)科技有限公司 | Spdz系列协议中的消息验证方法、装置及存储介质 |
KR102569132B1 (ko) * | 2021-09-29 | 2023-08-24 | 한국전자통신연구원 | 분산 아이디 기반 서비스에서의 위임 크리덴셜 발급 장치 및 방법 |
Family Cites Families (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6959394B1 (en) * | 2000-09-29 | 2005-10-25 | Intel Corporation | Splitting knowledge of a password |
CA2922172A1 (en) * | 2004-10-25 | 2006-05-04 | Security First Corp. | Secure data parser method and system |
JP2007312128A (ja) * | 2006-05-18 | 2007-11-29 | Toshiba Corp | 電子データ閲覧システム、装置及びプログラム |
US20070283161A1 (en) * | 2006-06-06 | 2007-12-06 | Kabushiki Kaisha Toshiba | System and method for generating verifiable device user passwords |
US8769637B2 (en) * | 2007-03-23 | 2014-07-01 | Sap Ag | Iterated password hash systems and methods for preserving password entropy |
JP2010011109A (ja) | 2008-06-27 | 2010-01-14 | Kddi Corp | 認証ユニット、認証端末、認証システム、認証方法およびプログラム |
US8638926B2 (en) * | 2009-02-26 | 2014-01-28 | Red Hat, Inc. | Sharing a secret with modular inverses |
JP4860779B1 (ja) | 2011-07-08 | 2012-01-25 | 株式会社野村総合研究所 | データ分散保管システム |
US8731203B2 (en) * | 2012-02-13 | 2014-05-20 | Alephcloud Systems, Inc. | Securing a secret of a user |
US9684898B2 (en) * | 2012-09-25 | 2017-06-20 | Google Inc. | Securing personal identification numbers for mobile payment applications by combining with random components |
JP6321049B2 (ja) | 2014-01-28 | 2018-05-09 | 日本電信電話株式会社 | 秘密計算方法、秘密計算システム |
US9386018B2 (en) * | 2014-04-11 | 2016-07-05 | Hangzhou Dianzi University | Distributed cryptography system |
US9258117B1 (en) * | 2014-06-26 | 2016-02-09 | Amazon Technologies, Inc. | Mutual authentication with symmetric secrets and signatures |
GB2513260B (en) * | 2014-06-27 | 2018-06-13 | PQ Solutions Ltd | System and method for quorum-based data recovery |
EP4325770A3 (en) * | 2017-08-15 | 2024-04-24 | nChain Licensing AG | Threshold ecdsa for securing bitcoin wallet |
US20200213135A1 (en) * | 2018-12-31 | 2020-07-02 | Unbound Tech Ltd | System and method for secure manufacturing of articles |
-
2016
- 2016-08-18 WO PCT/JP2016/003777 patent/WO2017033442A1/ja active Application Filing
- 2016-08-18 US US15/753,053 patent/US11050745B2/en active Active
- 2016-08-18 JP JP2017536609A patent/JP6753403B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JPWO2017033442A1 (ja) | 2018-07-05 |
WO2017033442A1 (ja) | 2017-03-02 |
US20180241747A1 (en) | 2018-08-23 |
US11050745B2 (en) | 2021-06-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6753403B2 (ja) | 情報処理装置、認証システム、認証方法、並びにコンピュータ・プログラム | |
Li et al. | OPoR: Enabling proof of retrievability in cloud computing with resource-constrained devices | |
Barsoum et al. | Enabling dynamic data and indirect mutual trust for cloud computing storage systems | |
CN106789080B (zh) | 数字签名生成方法和装置 | |
WO2021073170A1 (zh) | 数据提供和融合的方法及装置 | |
US20170244687A1 (en) | Techniques for confidential delivery of random data over a network | |
Belguith et al. | Accountable privacy preserving attribute based framework for authenticated encrypted access in clouds | |
CN110800250A (zh) | 受控加密私钥的发布 | |
TW202015378A (zh) | 密碼運算、創建工作密鑰的方法、密碼服務平台及設備 | |
CN110557248B (zh) | 基于无证书密码学的签密的密钥更新方法和*** | |
CN110417547B (zh) | 基于无证书密码学的保密通信的密钥更新方法和*** | |
Jalil et al. | A secure and efficient public auditing system of cloud storage based on BLS signature and automatic blocker protocol | |
Mukundan et al. | Replicated Data Integrity Verification in Cloud. | |
CN110557367A (zh) | 基于证书密码学的抗量子计算保密通信的密钥更新方法和*** | |
Nayak et al. | Privacy preserving provable data possession for cloud based electronic health record system | |
Reedy et al. | A Secure Framework for Ensuring EHR's Integrity Using Fine-Grained Auditing and CP-ABE | |
JP2014022920A (ja) | 電子署名システム、電子署名方法および電子署名プログラム | |
Malarvizhi et al. | Secure file sharing using cryptographic techniques in cloud | |
JP3791169B2 (ja) | 認証装置および方法 | |
KR102400455B1 (ko) | 분산 서비스 환경에서의 사용자 개인키 백업 및 복원 프레임워크 | |
Ganorkar et al. | An information security scheme for cloud based environment using 3DES encryption algorithm | |
CN112673591B (zh) | 用于向经授权的第三方提供对秘密的公开分类账安全密钥托管访问的***和方法 | |
Kamboj et al. | DEDUP: Deduplication system for encrypted data in cloud | |
Akshay et al. | Dynamic list based data integrity verification in cloud environment | |
Gonthireddy et al. | Secure Big Data Deduplication with Dynamic Ownership Management in Cloud Computing |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180208 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190716 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200519 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200708 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200721 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200803 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6753403 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |