認証システムのメタデータプロビジョニング方法、システム、そのプログラムおよび記録媒体
【課題】ユーザ利用端末からサービス提供サーバへのログイン認証に際し、ユーザが所有しているデバイスを認証デバイスとして利用可能とする。
【解決手段】サービス提供サーバ21が利用端末10からのメタデータ登録の要求を受け付け、サービス提供サーバ21は認証デバイス31との間でセッションを確立する。認証デバイス31は自身の公開鍵証明書を含むメタデータをサービス提供サーバ21に送信する。サービス提供サーバ21は認証局40の公開鍵証明書により認証デバイス31の公開鍵証明書の署名を検証して、真正であることが確認されるとメタデータを登録する。
【解決手段】サービス提供サーバ21が利用端末10からのメタデータ登録の要求を受け付け、サービス提供サーバ21は認証デバイス31との間でセッションを確立する。認証デバイス31は自身の公開鍵証明書を含むメタデータをサービス提供サーバ21に送信する。サービス提供サーバ21は認証局40の公開鍵証明書により認証デバイス31の公開鍵証明書の署名を検証して、真正であることが確認されるとメタデータを登録する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、サービス提供サーバへログインする際の認証処理を認証デバイスを用いて行う場合に、認証デバイスが生成する認証情報の検証に必要な情報をサービス提供サーバにプロビジョニングする方法、システム、そのプログラムおよび記録媒体に関する。
【背景技術】
【0002】
ネットバンキングなど、様々なサービスが次々とオンライン化されるにつれ、フィッシングやID盗難などのセキュリティ被害も増加傾向にある。現状、PCなどの利用端末からオンラインサービスを利用する場合、例えば図10に示すように、ユーザの利用端末110からサービス提供者のサービス提供サーバ120にログインする際にユーザアカウント/パスワードにより認証を行うという形でセキュリティ対策を行うことが一般的である。しかし、ユーザアカウント/パスワード認証は低コストで容易に導入できるものの、なりすましや盗聴などの脅威が多いというデメリットがある。そこで、より高いセキュリティが求められるオンラインサービスの提供者は、例えば図11に示すように、ユーザごとにワンタイムパスワードトークンやUSBトークンを配布し、これらのトークンに格納された認証情報を専用の認証サーバ130を用いて認証するなどの方法によりセキュリティを高めている。
【0003】
一方、携帯電話が普及し、ライフスタイルへの浸透が進んでいることを背景に、携帯電話を認証デバイスとして利用する方式が提案されている(例えば、特許文献1参照)。この方式のように、サービス提供サーバに付属して認証機能を提供する認証サーバではなく別の認証デバイスを利用して認証を行う場合には、サービス提供サーバが、認証情報を提供する当該認証デバイスを信頼することが前提となる。
また、携帯電話サービスにおいては、携帯電話の耐タンパな領域に格納された秘密鍵を利用して電子証明書ベースの強固な認証を行う方式も提案されている(例えば、非特許文献1参照)。このような方式の場合、当該携帯電話の認証情報を検証するためサービス提供サーバが、予め当該携帯電話の公開鍵証明書を保持している必要がある。
【特許文献1】特開2006−174320号公報
【非特許文献1】NTTドコモ、“電子認証サービスFirstPass”、[online]、平成19年、NTTドコモ、[平成19年9月25日検索]、インターネット〈URL:http://www.nttdocomo.co.jp/ service/other/firstpass/〉
【発明の開示】
【発明が解決しようとする課題】
【0004】
ユーザごとにワンタイムパスワードトークンやUSBトークンを配布するなどの独自の認証デバイスを用いる場合、サービス提供者はユーザへの認証デバイスの配布や専用の認証サーバの導入が必要になり、非常にコストがかかる。また、ユーザもサービス提供サーバごとに独自の認証デバイスを所有しなければならず、デバイスの管理などに手間がかかる。このような課題に対し、もし専用の認証サーバの代わりにユーザが既に持っているデバイス(例えば携帯電話等)を認証デバイスとして利用することができれば、サービス提供者のコスト削減、並びにユーザの管理の手間の軽減及び利便性の向上を図ることができる。
【0005】
ユーザが既に持っているデバイスを認証デバイスとして利用するには、ユーザのデバイスとサービス提供サーバとの間で認証連携を実現する必要があり、その前提として信頼モデルを構築する必要がある。サービス提供サーバは認証デバイスが生成した認証情報を信頼してサービスを提供することになるためである。しかし、信頼モデルの構築は認証サーバを利用する方法の場合はシステム構築段階で行えばそれで足りるが、ユーザのデバイスを利用する方法の場合はユーザごとにデバイスが異なるためユーザを追加するごとに信頼モデルを構築する必要がある。そこで、このような場合にいかに信頼モデルを構築するかが問題となる。
【0006】
また、認証サーバを利用する従来の認証方法の場合、サービス提供サーバは認証サーバの認証情報だけを検証すればよく、検証に必要なのは認証サーバの情報(メタデータ)だけである。これに対し、ユーザのデバイスを利用する認証方法の場合、ユーザごとにデバイスが異なるため、サービス提供サーバはユーザごとにそれぞれの認証情報を検証する必要があり、検証に必要なメタデータも各ユーザのものを入手する必要がある。そのため、メタデータのプロビジョニング処理は、認証サーバを利用する認証方法の場合はシステム構築段階で行えばそれで足りるのに対し、ユーザのデバイスを利用する認証方法の場合は運用段階でユーザの追加登録ごとに行う必要がある。しかし、メタデータのプロビジョニング(メンテナンス)の方式は認証サーバを利用する認証方法の場合は単純なHTTPリクエスト/レスポンスでよいのに対し、ユーザのデバイスを利用する認証方法の場合は、ユーザのデバイスは基本的にHTTPリクエストを受け取ることができないため、このような場合にいかにメタデータのプロビジョニングを行うかが問題となる。
【0007】
本発明の目的は、上記の問題点の解決により携帯電話等のユーザが所有しているデバイスを認証デバイスとして利用可能とし、よって、サービス提供者が強固な認証手段を独自の認証デバイスを配布することなく低コストで導入可能とするとともに、ユーザがサービス提供者から配布された独自の認証デバイスを管理する手間を削減可能とする認証システムのメタデータプロビジョニング方法、システムの実現にある。
【課題を解決するための手段】
【0008】
本発明の認証システムのメタデータプロビジョニング方法においては、利用端末とサービス提供サーバと認証デバイスと認証局とが以下のようなシーケンスにより認証処理を行う。
サービス提供サーバは認証局の公開鍵証明書を予め保持し、認証デバイスは認証局から発行を受けた自身の秘密鍵と、認証局から発行を受けた公開鍵証明書を含む、メタデータとを予め保持する。
まず、サービス提供サーバが、利用端末で入力されたユーザID及びパスワードによりユーザを認証し、利用端末で入力されたメタデータ登録要求を受け付け、利用端末で入力された認証デバイスのURLを受信し、セッションIDを生成してユーザIDと関連付けて記憶すると共に、セッションIDをサービス提供サーバのURLとともに認証デバイスに送信する。
【0009】
次に、認証デバイスが、サービス提供サーバから送信された情報を受信し、ユーザ認証を行い、セッションIDと認証デバイスの公開鍵証明書を含むメタデータとをサービス提供サーバに送信する。
次に、サービス提供サーバが、認証デバイスから送信された情報を受信し、受信したセッションIDを確認し、認証デバイスの公開鍵証明書を認証局の公開鍵証明書により検証し、認証デバイスから受信したメタデータを登録し、利用端末にメタデータ登録完了通知を行う。
【発明の効果】
【0010】
本発明によれば、携帯電話等のユーザが所有しているデバイスを認証デバイスとして利用可能とし、よって、サービス提供者が強固な認証手段を独自の認証デバイスを配布することなく低コストで導入可能とするとともに、ユーザがサービス提供者から配布された独自の認証デバイスを管理する手間を削減可能とする認証システムのメタデータプロビジョニング方法、システムを実現することができる。
【発明を実施するための最良の形態】
【0011】
図1は本発明に係る認証システムの初期状態の例である。ユーザはサービス提供サーバ20にユーザIDを所持しており、利用端末10を通じてサービスを利用する。この状態では携帯電話等を認証デバイスとして利用することはできず、ユーザは利用端末からユーザID/パスワードを入力するなどの認証処理を行ってサービスを利用することになる。
【0012】
一方、図2は本発明に係る認証システムが携帯電話等を認証デバイス30として利用可能となった状態の例である。携帯電話等にはSIM(Subscriber Identity Module)カード等の記録媒体が装着されており、当該カードのチップの耐タンパな領域には認証局から発行された当該携帯電話等の秘密鍵と公開鍵証明書が格納されている。サービス提供サーバ20は、当該認証デバイス30が生成した認証情報の検証に必要な当該認証デバイス30の公開鍵証明書を入手し保持している。また、当該認証デバイス30と認証連携をするために必要な情報を記述したメタデータも入手し保持している。メタデータの具体的内容はID連携の標準技術であるSAMLv2.0において定義されており、当該認証デバイス30を識別するための認証デバイス識別子やメタデータそのものを指すID等の情報が含まれる。なお、上記公開鍵証明書はメタデータ内に記述してメタデータと一体化することも可能である。ID連携情報は、ID連携を行うために認証デバイス30ごとに付与される識別子で、サービス提供サーバ20と認証デバイス30の双方において、ユーザID及び連携先サーバ・デバイスのURL(メタデータの公開先)のそれぞれと関連付けて管理される。なお、ID連携情報にはデバイスの実名(認証デバイス識別子)を用いる他に、仮名を用いることも可能である。仮名の識別子を用いた連携方法は名寄せ問題の解決に有効であり、またセキュリティ向上にも資する。
【0013】
図2に示すようにプロビジョニングされた以後は、利用端末10からサービスを利用する際には、従来の認証処理(利用端末10からのユーザID/パスワードの入力による認証)の代わりに、認証デバイス30が生成する認証情報を利用してサービス提供サーバ20にログイン(シングルサインオン)することが可能となる。
つまり、図1に示す初期状態を図2に示す状態に移行することができれば携帯電話等を認証デバイスとして利用できることから、本発明は図1に示すような初期状態を図2に示すような状態にプロビジョニングする方法、システムについて明らかにするものである。
【0014】
〔第1実施形態〕
メタデータの管理は認証デバイスで行う方法やメタデータ公開サーバで行う方法等が考えられるが、本実施形態は認証デバイスで行う方法であり、この場合サービス提供サーバによるメタデータの入手は、認証デバイスからサービス提供サーバへのPUSHにより実現される。
【0015】
図3は本実施形態のメタデータプロビジョニング方法のシーケンスの例である。図4はそのシステム構成の例であり、当該メタデータプロビジョニングシステム1は、利用端末10とサービス提供サーバ21と認証デバイス31と認証局40とから構成される。サービス提供サーバ21と認証デバイス31はそれぞれ図2におけるサービス提供サーバ20と認証デバイス30に対応するものである。
【0016】
以下、図3に示すシーケンス及び図4に示すシステムの各構成要素の機能を説明する。なお、サービス提供サーバ21は認証局40の公開鍵証明書を予め保持し、認証デバイス31は認証局40から発行を受けた自身の秘密鍵を耐タンパな領域に予め格納するとともに認証局40から発行を受けた自身の公開鍵証明書を含む、自身のメタデータを予め保持していることとする。ユーザは利用端末10からサービス提供サーバ21にログインする(S1)。ユーザは続いて、メタデータの登録を要求し(S2)、認証デバイス31のURLを送信する(S3)。要求を受けたサービス提供サーバ21は、セッションIDを生成してユーザIDと関連付けて記憶し(S4)、認証デバイス31のURLに当該セッションIDとサービス提供サーバ21のURLとを含むリクエスト情報を送信する(S5)。認証デバイス31はリクエスト情報を受信し(S6)、ユーザ認証(S7)を行った後、セッションID及びメタデータを含むレスポンス情報をサービス提供サーバ21に送信する(S8)。サービス提供サーバ21はレスポンス情報を受信し(S9)、セッションIDを確認(S10)した後、受信したメタデータに含まれる認証デバイス31の公開鍵証明書の真正性を認証局40の公開鍵証明書により検証する(S11)。なお、認証デバイス31の公開鍵証明書の検証の際には、必要に応じ認証局40に対しCRL(無効証明書リスト)の確認を行う。これらの検証により公開鍵証明書の真正性が確認されることで、認証端末が信頼できることを確認できる。そして、メタデータを登録し(S12)、最後に利用端末に登録の完了を通知する(S13)。
【0017】
以上の処理を認証デバイスごとに行うことにより、サービス提供サーバに各認証デバイスのメタデータを登録することができるため、その後、SAMLv2.0において定義されたID連携方法に従ってサービス提供サーバと認証デバイスとの間の信頼関係を確立することで、図2に示すような携帯電話等を認証デバイスとして利用可能な状態に容易にプロビジョニングすることができる。
【0018】
なお、認証デバイスがHTTPリクエストを受け取れない場合には、例えばサービス提供サーバ21と認証デバイス31との間のリクエスト送受信(S5、S6)を電子メールで行うことができる。この場合、S3ではURLとして認証デバイス31のメールアドレスを送信する。また、その他QRコード(登録商標)などを用いた通信手段も考えられ、その場合には認証デバイスにそれ相当の通信機能(コード読み取り機能など)が必要になる。
【0019】
〔第2実施形態〕
本実施形態はメタデータの管理をメタデータ公開サーバで行う方法であり、サービス提供サーバによるメタデータの入手はサービス提供サーバがメタデータ公開サーバから参照することにより実現される。
【0020】
図5は本発明のメタデータプロビジョニング方法のシーケンスの例である。図6はそのシステム構成の例であり、当該メタデータプロビジョニングシステム2は、利用端末10とサービス提供サーバ22と認証デバイス32と認証局40とメタデータ公開サーバ50とから構成される。サービス提供サーバ22と認証デバイス32はそれぞれ図2におけるサービス提供サーバ20と認証デバイス30に対応するものである。
以下、図5に示すシーケンス及び図6に示すシステムの各構成要素の機能を説明する。なお、第1実施形態と共通の処理ステップについては以下の説明及び図5において同一符号を付与し、ここでの説明は省略する。
【0021】
サービス提供サーバ22は認証局40の公開鍵証明書を予め保持し、認証デバイス32は認証局40から発行を受けた自身の秘密鍵を耐タンパな領域に予め格納し、メタデータ公開サーバ50は認証局40から発行を受けた認証デバイス32の公開鍵証明書を含む、メタデータを予め保持していることとする。S1〜S7の処理の後、認証デバイス32は、セッションID、メタデータID、及びメタデータ公開サーバ50のURLを含むレスポンス情報をサービス提供サーバ22に送信する(S14)。S9、S10の処理の後、サービス提供サーバ22は、メタデータ公開サーバ50のURLにメタデータIDに該当するメタデータを要求し(S15)、メタデータ公開サーバ50は、サービス提供サーバ22からの要求に応じてメタデータIDに該当するメタデータを抽出し、これをサービス提供サーバ22に返信する(S16)。続いて、S11〜S13の処理を行う。
【0022】
以上の処理を認証デバイスごとに行うことにより、サービス提供サーバに各認証デバイスのメタデータを登録することができるため、その後、SAMLv2.0で定義されたID連携方法に従ってサービス提供サーバと認証デバイスとの間の信頼関係を確立することで、図2に示すような携帯電話等を認証デバイスとして利用可能な状態に容易にプロビジョニングすることができる。
【0023】
なお、認証デバイスがHTTPリクエストを受け取れない場合には、例えばサービス提供サーバ22と認証デバイス32との間のリクエスト送受信(S5、S6)を電子メールで行うことができる。この場合、S3ではURLとして認証デバイス32のメールアドレスを送信する。また、その他QRコード(登録商標)などを用いた通信手段も考えられ、その場合には認証デバイスにそれ相当の通信機能(コード読み取り機能など)が必要になる。
【0024】
〔第3実施形態〕
第1実施形態は、認証デバイスのメタデータをサービス提供サーバに登録するところまでを行い、両者の信頼関係の確立処理はその後別途行う構成である。第3実施形態は、この信頼関係の確立処理についてもメタデータの登録処理と一体的に行う構成である。
【0025】
図7は本実施形態のメタデータプロビジョニング方法のシーケンスの例である。図4はそのシステム構成の例であり、当該メタデータプロビジョニングシステム3は、利用端末10とサービス提供サーバ23と認証デバイス33と認証局40とから構成される。サービス提供サーバ23と認証デバイス33はそれぞれ図2におけるサービス提供サーバ20と認証デバイス30に対応するものである。なお、第1実施形態と共通の処理ステップについては以下の説明及び図7において同一符号を付与し、ここでの説明は省略する。
【0026】
サービス提供サーバ23は認証局40の公開鍵証明書を予め保持し、認証デバイス33は認証局40から発行を受けた自身の秘密鍵を耐タンパな領域に予め格納するとともに認証局40から発行を受けた自身の公開鍵証明書を含む、メタデータを予め保持していることとする。ユーザは利用端末10からサービス提供サーバ23にログインし(S1)、ID連携を要求する(S17)。S3〜S7の処理の後、認証デバイス33はID連携情報を含む認証情報を生成する。この時、当該認証情報にユーザ認証に基づいてアクセスが許可される耐タンパな領域に格納された秘密鍵で署名する(S18)。そして、署名された認証情報、セッションID、及びメタデータを含むレスポンス情報をサービス提供サーバ23に送信する(S19)。続いて、S9、S10の処理の後、サービス提供サーバ23は、認証デバイス33から受信したメタデータに含まれる公開鍵証明書の真正性を認証局40の公開鍵証明書により検証するとともに、受信した認証情報の真正性を、真正性が検証された当該認証デバイス33の公開鍵証明書により検証する(S20)。なお、認証デバイス33の公開鍵証明書の検証の際には、必要に応じ認証局40に対しCRL(無効証明書リスト)の確認を行う。これらの検証により公開鍵証明書の真正性が確認されることで、認証端末が信頼できることを確認できる。そして、メタデータを登録するとともに、ID連携情報をユーザIDと関連付けて登録し(S21)、最後に利用端末に連携完了を通知する(S22)。
【0027】
以上の処理を認証デバイスごとに行うことにより、サービス提供サーバにメタデータを登録できるとともに、サービス提供サーバと認証デバイスとの間の信頼関係を確立でき、図2に示すような携帯電話等を認証デバイスとして利用可能な状態に容易にプロビジョニングすることができる。
【0028】
なお、認証デバイスがHTTPリクエストを受け取れない場合には、例えばサービス提供サーバ23と認証デバイス33との間のリクエスト送受信(S5、S6)を電子メールで行うことができる。この場合、S3ではURLとして認証デバイス33のメールアドレスを送信する。また、その他QRコード(登録商標)などを用いた通信手段も考えられ、その場合には認証デバイスにそれ相当の通信機能(コード読み取り機能など)が必要になる。
【0029】
〔第4実施形態〕
第1実施形態は、認証デバイスのメタデータをサービス提供サーバに登録するところまでを行い、両者の信頼関係の確立処理はその後別途行う構成である。第3実施形態は、この信頼関係の確立処理についてもメタデータの登録処理と一体的に行う構成である。
【0030】
図8は本発明のメタデータプロビジョニング方法のシーケンスの例である。図6はそのシステム構成の例であり、当該メタデータプロビジョニングシステム4は、利用端末10とサービス提供サーバ24と認証デバイス34と認証局40とメタデータ公開サーバ50とから構成される。サービス提供サーバ24と認証デバイス34はそれぞれ図2におけるサービス提供サーバ20と認証デバイス30に対応するものである。なお、第2実施形態と共通の処理ステップについては以下の説明及び図8において同一符号を付与し、ここでの説明は省略する。
【0031】
サービス提供サーバ24は認証局40の公開鍵証明書を予め保持し、認証デバイス34は認証局40から発行を受けた自身の秘密鍵を耐タンパな領域に予め格納し、メタデータ公開サーバ50は認証局40から発行を受けた認証デバイス34の公開鍵証明書を含む、メタデータを予め保持していることとする。ユーザは利用端末10からサービス提供サーバ24にログインし(S1)、ID連携を要求する(S17)。S3〜S7の処理の後、認証デバイス34は、ID連携情報を含む認証情報を生成する。この時、当該認証情報はユーザ認証に基づいてアクセスが許可される耐タンパな領域に格納された秘密鍵で署名される(S18)。続いて、署名された認証情報、セッションID、メタデータID、及びメタデータ公開サーバ50のURLを含むレスポンス情報をサービス提供サーバ24に送信する(S23)。S9、S10、S15、S16の処理の後、サービス提供サーバ24は、認証デバイス34から受信したメタデータに含まれる公開鍵証明書の真正性を認証局40の公開鍵証明書により検証するとともに、受信した認証情報の真正性を、真正性が検証された当該認証デバイス34の公開鍵証明書により検証する(S20)。なお、認証デバイス34の公開鍵証明書の検証の際には、必要に応じ認証局40に対しCRL(無効証明書リスト)の確認を行う。これらの検証により公開鍵証明書の真正性が確認されることで、認証端末が信頼できることを確認できる。そして、メタデータを登録するとともに、ID連携情報をユーザIDと関連付けて登録し(S21)、最後に利用端末に連携完了を通知する(S22)。
【0032】
以上の処理を認証デバイスごとに行うことにより、サービス提供サーバにメタデータを登録できるとともに、サービス提供サーバと認証デバイスとの間の信頼関係を確立でき、図2に示すような携帯電話等を認証デバイスとして利用可能な状態に容易にプロビジョニングすることができる。
なお、認証デバイスがHTTPリクエストを受け取れない場合には、例えばサービス提供サーバ24と認証デバイス34との間のリクエスト送受信(S5、S6)を電子メールで行うことができる。この場合、S3ではURLとして認証デバイス34のメールアドレスを送信する。また、その他QRコード(登録商標)などを用いた通信手段も考えられ、その場合には認証デバイスにそれ相当の通信機能(コード読み取り機能など)が必要になる。
【0033】
〔プロビジョニング後に実現される認証デバイスを用いた認証処理〕
先に説明したように、上記各実施形態の処理により図2に示すようにプロビジョニングされた以後は利用端末10からサービスを利用する際には、従来の認証処理(利用端末からのユーザID/パスワードの入力による認証)の代わりに、認証デバイス30が生成する認証情報を利用してサービス提供サーバ20にログイン(シングルサインオン)することが可能となる。図9はプロビジョニング後に実現される認証処理シーケンスの例である。なお、この例は認証デバイス30がHTTPリクエストを受け付けられない場合でも認証デバイス30の認証処理を利用可能なように認証デバイス30とサービス提供サーバ20との間に中継サーバ60を挿入し、中継サーバ60を介して認証デバイス30との認証待ち受け通信セッションとサービス提供サーバ20とのHTTPセッションとをつなぐ構成としたものである。以下、当該シーケンスを説明する。
【0034】
ユーザは利用端末10を用いてサービス提供サーバ20にアクセスし、サービスを要求する(S103)。サービス提供サーバ20は、利用端末10に対し認証に必要な情報の提供を要求し(S104)、ユーザは利用端末10から認証デバイス30に割り当てられたURL(中継サーバ60のURL+認証デバイス識別子)を返信する(S105)。サービス提供サーバ20は、利用端末10との間でセッションBを確立してセッションBのセッションIDを生成し、このセッションIDと認証デバイス識別子とサービス提供サーバ20のURLとを含めた認証要求を中継サーバ60のURLに送信する(S106)。また、ここまでの間に、認証デバイス30から中継サーバ60に認証デバイス識別子を送信し(S101)、中継サーバ60は、認証端末10との間にセッションAを確立するとともに認証デバイス識別子をセッションAと関連付けて保持しておく(S102)。中継サーバ60は、サービス提供サーバ20からの認証要求を受け、認証デバイス識別子をキーにセッションAを検索し、サービス提供サーバ20のURLとセッションBのセッションIDとを認証デバイス30に転送する(S107)。認証デバイス30では、ユーザ認証処理を行い(S108)、認証情報を生成する(S109)。ここで、安全性向上のため、当該認証情報に認証デバイス30の秘密鍵で署名を付与することができる。そして、認証情報とサービス提供サーバのURLとセッションBのセッションIDとを含む認証結果を中継サーバ60に返信し(S110)、中継サーバ60は認証情報とセッションBのセッションIDと含む認証結果をS106の認証要求に対する返答としてサービス提供サーバのURLに中継転送する(S111)。サービス提供サーバ20は、上記各実施形態の処理によりプロビジョニングされたメタデータをS105で返信された認証デバイス識別子をキーとして検索し、このメタデータを用いて中継サーバ60から受信した認証情報を検証する(S112)。ここで、S109にて認証情報に署名をした場合は、メタデータに含まれる認証デバイス30の公開鍵証明書により署名の検証をすることができる。認証されていることが確認できれば、セッションBに係るユーザのログインを受け付け、サービスを提供する(S113)。
【0035】
なお、図9の例ではS105で認証デバイス30に割り当てられたURLを返信しているが、この代わりに認証デバイス30のメタデータIDを返信する方法もある。その場合には、サービス提供サーバ20で保持しているメタデータに認証デバイス30に割り当てられたURLを記述しておき、メタデータIDにより当該メタデータを検索可能とすることで認証をリクエストする先を解決できるようにしておけばよい。
【産業上の利用可能性】
【0036】
本発明は、サービス提供サーバへログインする際の認証処理を、認証サーバの代わりに携帯電話等ユーザが所有しているデバイスを認証デバイスとして用いて実現したい場合に有用である。
【図面の簡単な説明】
【0037】
【図1】本発明の認証システムのプロビジョニング前の状態を示す図。
【図2】本発明の認証システムのプロビジョニング後の状態を示す図。
【図3】本発明の第1実施形態のプロビジョニングシーケンスの例を示す図。
【図4】本発明の第1、第3実施形態のシステム構成の例を示す図。
【図5】本発明の第2実施形態のプロビジョニングシーケンスの例を示す図。
【図6】本発明の第2、第4実施形態のシステム構成の例を示す図。
【図7】本発明の第3実施形態のプロビジョニングシーケンスの例を示す図。
【図8】本発明の第4実施形態のプロビジョニングシーケンスの例を示す図。
【図9】本発明によるプロビジョニング後の認証シーケンスの例を示す図。
【図10】従来の認証システムの構成の例を示す図。
【図11】従来の認証システムの別の構成の例を示す図。
【技術分野】
【0001】
本発明は、サービス提供サーバへログインする際の認証処理を認証デバイスを用いて行う場合に、認証デバイスが生成する認証情報の検証に必要な情報をサービス提供サーバにプロビジョニングする方法、システム、そのプログラムおよび記録媒体に関する。
【背景技術】
【0002】
ネットバンキングなど、様々なサービスが次々とオンライン化されるにつれ、フィッシングやID盗難などのセキュリティ被害も増加傾向にある。現状、PCなどの利用端末からオンラインサービスを利用する場合、例えば図10に示すように、ユーザの利用端末110からサービス提供者のサービス提供サーバ120にログインする際にユーザアカウント/パスワードにより認証を行うという形でセキュリティ対策を行うことが一般的である。しかし、ユーザアカウント/パスワード認証は低コストで容易に導入できるものの、なりすましや盗聴などの脅威が多いというデメリットがある。そこで、より高いセキュリティが求められるオンラインサービスの提供者は、例えば図11に示すように、ユーザごとにワンタイムパスワードトークンやUSBトークンを配布し、これらのトークンに格納された認証情報を専用の認証サーバ130を用いて認証するなどの方法によりセキュリティを高めている。
【0003】
一方、携帯電話が普及し、ライフスタイルへの浸透が進んでいることを背景に、携帯電話を認証デバイスとして利用する方式が提案されている(例えば、特許文献1参照)。この方式のように、サービス提供サーバに付属して認証機能を提供する認証サーバではなく別の認証デバイスを利用して認証を行う場合には、サービス提供サーバが、認証情報を提供する当該認証デバイスを信頼することが前提となる。
また、携帯電話サービスにおいては、携帯電話の耐タンパな領域に格納された秘密鍵を利用して電子証明書ベースの強固な認証を行う方式も提案されている(例えば、非特許文献1参照)。このような方式の場合、当該携帯電話の認証情報を検証するためサービス提供サーバが、予め当該携帯電話の公開鍵証明書を保持している必要がある。
【特許文献1】特開2006−174320号公報
【非特許文献1】NTTドコモ、“電子認証サービスFirstPass”、[online]、平成19年、NTTドコモ、[平成19年9月25日検索]、インターネット〈URL:http://www.nttdocomo.co.jp/ service/other/firstpass/〉
【発明の開示】
【発明が解決しようとする課題】
【0004】
ユーザごとにワンタイムパスワードトークンやUSBトークンを配布するなどの独自の認証デバイスを用いる場合、サービス提供者はユーザへの認証デバイスの配布や専用の認証サーバの導入が必要になり、非常にコストがかかる。また、ユーザもサービス提供サーバごとに独自の認証デバイスを所有しなければならず、デバイスの管理などに手間がかかる。このような課題に対し、もし専用の認証サーバの代わりにユーザが既に持っているデバイス(例えば携帯電話等)を認証デバイスとして利用することができれば、サービス提供者のコスト削減、並びにユーザの管理の手間の軽減及び利便性の向上を図ることができる。
【0005】
ユーザが既に持っているデバイスを認証デバイスとして利用するには、ユーザのデバイスとサービス提供サーバとの間で認証連携を実現する必要があり、その前提として信頼モデルを構築する必要がある。サービス提供サーバは認証デバイスが生成した認証情報を信頼してサービスを提供することになるためである。しかし、信頼モデルの構築は認証サーバを利用する方法の場合はシステム構築段階で行えばそれで足りるが、ユーザのデバイスを利用する方法の場合はユーザごとにデバイスが異なるためユーザを追加するごとに信頼モデルを構築する必要がある。そこで、このような場合にいかに信頼モデルを構築するかが問題となる。
【0006】
また、認証サーバを利用する従来の認証方法の場合、サービス提供サーバは認証サーバの認証情報だけを検証すればよく、検証に必要なのは認証サーバの情報(メタデータ)だけである。これに対し、ユーザのデバイスを利用する認証方法の場合、ユーザごとにデバイスが異なるため、サービス提供サーバはユーザごとにそれぞれの認証情報を検証する必要があり、検証に必要なメタデータも各ユーザのものを入手する必要がある。そのため、メタデータのプロビジョニング処理は、認証サーバを利用する認証方法の場合はシステム構築段階で行えばそれで足りるのに対し、ユーザのデバイスを利用する認証方法の場合は運用段階でユーザの追加登録ごとに行う必要がある。しかし、メタデータのプロビジョニング(メンテナンス)の方式は認証サーバを利用する認証方法の場合は単純なHTTPリクエスト/レスポンスでよいのに対し、ユーザのデバイスを利用する認証方法の場合は、ユーザのデバイスは基本的にHTTPリクエストを受け取ることができないため、このような場合にいかにメタデータのプロビジョニングを行うかが問題となる。
【0007】
本発明の目的は、上記の問題点の解決により携帯電話等のユーザが所有しているデバイスを認証デバイスとして利用可能とし、よって、サービス提供者が強固な認証手段を独自の認証デバイスを配布することなく低コストで導入可能とするとともに、ユーザがサービス提供者から配布された独自の認証デバイスを管理する手間を削減可能とする認証システムのメタデータプロビジョニング方法、システムの実現にある。
【課題を解決するための手段】
【0008】
本発明の認証システムのメタデータプロビジョニング方法においては、利用端末とサービス提供サーバと認証デバイスと認証局とが以下のようなシーケンスにより認証処理を行う。
サービス提供サーバは認証局の公開鍵証明書を予め保持し、認証デバイスは認証局から発行を受けた自身の秘密鍵と、認証局から発行を受けた公開鍵証明書を含む、メタデータとを予め保持する。
まず、サービス提供サーバが、利用端末で入力されたユーザID及びパスワードによりユーザを認証し、利用端末で入力されたメタデータ登録要求を受け付け、利用端末で入力された認証デバイスのURLを受信し、セッションIDを生成してユーザIDと関連付けて記憶すると共に、セッションIDをサービス提供サーバのURLとともに認証デバイスに送信する。
【0009】
次に、認証デバイスが、サービス提供サーバから送信された情報を受信し、ユーザ認証を行い、セッションIDと認証デバイスの公開鍵証明書を含むメタデータとをサービス提供サーバに送信する。
次に、サービス提供サーバが、認証デバイスから送信された情報を受信し、受信したセッションIDを確認し、認証デバイスの公開鍵証明書を認証局の公開鍵証明書により検証し、認証デバイスから受信したメタデータを登録し、利用端末にメタデータ登録完了通知を行う。
【発明の効果】
【0010】
本発明によれば、携帯電話等のユーザが所有しているデバイスを認証デバイスとして利用可能とし、よって、サービス提供者が強固な認証手段を独自の認証デバイスを配布することなく低コストで導入可能とするとともに、ユーザがサービス提供者から配布された独自の認証デバイスを管理する手間を削減可能とする認証システムのメタデータプロビジョニング方法、システムを実現することができる。
【発明を実施するための最良の形態】
【0011】
図1は本発明に係る認証システムの初期状態の例である。ユーザはサービス提供サーバ20にユーザIDを所持しており、利用端末10を通じてサービスを利用する。この状態では携帯電話等を認証デバイスとして利用することはできず、ユーザは利用端末からユーザID/パスワードを入力するなどの認証処理を行ってサービスを利用することになる。
【0012】
一方、図2は本発明に係る認証システムが携帯電話等を認証デバイス30として利用可能となった状態の例である。携帯電話等にはSIM(Subscriber Identity Module)カード等の記録媒体が装着されており、当該カードのチップの耐タンパな領域には認証局から発行された当該携帯電話等の秘密鍵と公開鍵証明書が格納されている。サービス提供サーバ20は、当該認証デバイス30が生成した認証情報の検証に必要な当該認証デバイス30の公開鍵証明書を入手し保持している。また、当該認証デバイス30と認証連携をするために必要な情報を記述したメタデータも入手し保持している。メタデータの具体的内容はID連携の標準技術であるSAMLv2.0において定義されており、当該認証デバイス30を識別するための認証デバイス識別子やメタデータそのものを指すID等の情報が含まれる。なお、上記公開鍵証明書はメタデータ内に記述してメタデータと一体化することも可能である。ID連携情報は、ID連携を行うために認証デバイス30ごとに付与される識別子で、サービス提供サーバ20と認証デバイス30の双方において、ユーザID及び連携先サーバ・デバイスのURL(メタデータの公開先)のそれぞれと関連付けて管理される。なお、ID連携情報にはデバイスの実名(認証デバイス識別子)を用いる他に、仮名を用いることも可能である。仮名の識別子を用いた連携方法は名寄せ問題の解決に有効であり、またセキュリティ向上にも資する。
【0013】
図2に示すようにプロビジョニングされた以後は、利用端末10からサービスを利用する際には、従来の認証処理(利用端末10からのユーザID/パスワードの入力による認証)の代わりに、認証デバイス30が生成する認証情報を利用してサービス提供サーバ20にログイン(シングルサインオン)することが可能となる。
つまり、図1に示す初期状態を図2に示す状態に移行することができれば携帯電話等を認証デバイスとして利用できることから、本発明は図1に示すような初期状態を図2に示すような状態にプロビジョニングする方法、システムについて明らかにするものである。
【0014】
〔第1実施形態〕
メタデータの管理は認証デバイスで行う方法やメタデータ公開サーバで行う方法等が考えられるが、本実施形態は認証デバイスで行う方法であり、この場合サービス提供サーバによるメタデータの入手は、認証デバイスからサービス提供サーバへのPUSHにより実現される。
【0015】
図3は本実施形態のメタデータプロビジョニング方法のシーケンスの例である。図4はそのシステム構成の例であり、当該メタデータプロビジョニングシステム1は、利用端末10とサービス提供サーバ21と認証デバイス31と認証局40とから構成される。サービス提供サーバ21と認証デバイス31はそれぞれ図2におけるサービス提供サーバ20と認証デバイス30に対応するものである。
【0016】
以下、図3に示すシーケンス及び図4に示すシステムの各構成要素の機能を説明する。なお、サービス提供サーバ21は認証局40の公開鍵証明書を予め保持し、認証デバイス31は認証局40から発行を受けた自身の秘密鍵を耐タンパな領域に予め格納するとともに認証局40から発行を受けた自身の公開鍵証明書を含む、自身のメタデータを予め保持していることとする。ユーザは利用端末10からサービス提供サーバ21にログインする(S1)。ユーザは続いて、メタデータの登録を要求し(S2)、認証デバイス31のURLを送信する(S3)。要求を受けたサービス提供サーバ21は、セッションIDを生成してユーザIDと関連付けて記憶し(S4)、認証デバイス31のURLに当該セッションIDとサービス提供サーバ21のURLとを含むリクエスト情報を送信する(S5)。認証デバイス31はリクエスト情報を受信し(S6)、ユーザ認証(S7)を行った後、セッションID及びメタデータを含むレスポンス情報をサービス提供サーバ21に送信する(S8)。サービス提供サーバ21はレスポンス情報を受信し(S9)、セッションIDを確認(S10)した後、受信したメタデータに含まれる認証デバイス31の公開鍵証明書の真正性を認証局40の公開鍵証明書により検証する(S11)。なお、認証デバイス31の公開鍵証明書の検証の際には、必要に応じ認証局40に対しCRL(無効証明書リスト)の確認を行う。これらの検証により公開鍵証明書の真正性が確認されることで、認証端末が信頼できることを確認できる。そして、メタデータを登録し(S12)、最後に利用端末に登録の完了を通知する(S13)。
【0017】
以上の処理を認証デバイスごとに行うことにより、サービス提供サーバに各認証デバイスのメタデータを登録することができるため、その後、SAMLv2.0において定義されたID連携方法に従ってサービス提供サーバと認証デバイスとの間の信頼関係を確立することで、図2に示すような携帯電話等を認証デバイスとして利用可能な状態に容易にプロビジョニングすることができる。
【0018】
なお、認証デバイスがHTTPリクエストを受け取れない場合には、例えばサービス提供サーバ21と認証デバイス31との間のリクエスト送受信(S5、S6)を電子メールで行うことができる。この場合、S3ではURLとして認証デバイス31のメールアドレスを送信する。また、その他QRコード(登録商標)などを用いた通信手段も考えられ、その場合には認証デバイスにそれ相当の通信機能(コード読み取り機能など)が必要になる。
【0019】
〔第2実施形態〕
本実施形態はメタデータの管理をメタデータ公開サーバで行う方法であり、サービス提供サーバによるメタデータの入手はサービス提供サーバがメタデータ公開サーバから参照することにより実現される。
【0020】
図5は本発明のメタデータプロビジョニング方法のシーケンスの例である。図6はそのシステム構成の例であり、当該メタデータプロビジョニングシステム2は、利用端末10とサービス提供サーバ22と認証デバイス32と認証局40とメタデータ公開サーバ50とから構成される。サービス提供サーバ22と認証デバイス32はそれぞれ図2におけるサービス提供サーバ20と認証デバイス30に対応するものである。
以下、図5に示すシーケンス及び図6に示すシステムの各構成要素の機能を説明する。なお、第1実施形態と共通の処理ステップについては以下の説明及び図5において同一符号を付与し、ここでの説明は省略する。
【0021】
サービス提供サーバ22は認証局40の公開鍵証明書を予め保持し、認証デバイス32は認証局40から発行を受けた自身の秘密鍵を耐タンパな領域に予め格納し、メタデータ公開サーバ50は認証局40から発行を受けた認証デバイス32の公開鍵証明書を含む、メタデータを予め保持していることとする。S1〜S7の処理の後、認証デバイス32は、セッションID、メタデータID、及びメタデータ公開サーバ50のURLを含むレスポンス情報をサービス提供サーバ22に送信する(S14)。S9、S10の処理の後、サービス提供サーバ22は、メタデータ公開サーバ50のURLにメタデータIDに該当するメタデータを要求し(S15)、メタデータ公開サーバ50は、サービス提供サーバ22からの要求に応じてメタデータIDに該当するメタデータを抽出し、これをサービス提供サーバ22に返信する(S16)。続いて、S11〜S13の処理を行う。
【0022】
以上の処理を認証デバイスごとに行うことにより、サービス提供サーバに各認証デバイスのメタデータを登録することができるため、その後、SAMLv2.0で定義されたID連携方法に従ってサービス提供サーバと認証デバイスとの間の信頼関係を確立することで、図2に示すような携帯電話等を認証デバイスとして利用可能な状態に容易にプロビジョニングすることができる。
【0023】
なお、認証デバイスがHTTPリクエストを受け取れない場合には、例えばサービス提供サーバ22と認証デバイス32との間のリクエスト送受信(S5、S6)を電子メールで行うことができる。この場合、S3ではURLとして認証デバイス32のメールアドレスを送信する。また、その他QRコード(登録商標)などを用いた通信手段も考えられ、その場合には認証デバイスにそれ相当の通信機能(コード読み取り機能など)が必要になる。
【0024】
〔第3実施形態〕
第1実施形態は、認証デバイスのメタデータをサービス提供サーバに登録するところまでを行い、両者の信頼関係の確立処理はその後別途行う構成である。第3実施形態は、この信頼関係の確立処理についてもメタデータの登録処理と一体的に行う構成である。
【0025】
図7は本実施形態のメタデータプロビジョニング方法のシーケンスの例である。図4はそのシステム構成の例であり、当該メタデータプロビジョニングシステム3は、利用端末10とサービス提供サーバ23と認証デバイス33と認証局40とから構成される。サービス提供サーバ23と認証デバイス33はそれぞれ図2におけるサービス提供サーバ20と認証デバイス30に対応するものである。なお、第1実施形態と共通の処理ステップについては以下の説明及び図7において同一符号を付与し、ここでの説明は省略する。
【0026】
サービス提供サーバ23は認証局40の公開鍵証明書を予め保持し、認証デバイス33は認証局40から発行を受けた自身の秘密鍵を耐タンパな領域に予め格納するとともに認証局40から発行を受けた自身の公開鍵証明書を含む、メタデータを予め保持していることとする。ユーザは利用端末10からサービス提供サーバ23にログインし(S1)、ID連携を要求する(S17)。S3〜S7の処理の後、認証デバイス33はID連携情報を含む認証情報を生成する。この時、当該認証情報にユーザ認証に基づいてアクセスが許可される耐タンパな領域に格納された秘密鍵で署名する(S18)。そして、署名された認証情報、セッションID、及びメタデータを含むレスポンス情報をサービス提供サーバ23に送信する(S19)。続いて、S9、S10の処理の後、サービス提供サーバ23は、認証デバイス33から受信したメタデータに含まれる公開鍵証明書の真正性を認証局40の公開鍵証明書により検証するとともに、受信した認証情報の真正性を、真正性が検証された当該認証デバイス33の公開鍵証明書により検証する(S20)。なお、認証デバイス33の公開鍵証明書の検証の際には、必要に応じ認証局40に対しCRL(無効証明書リスト)の確認を行う。これらの検証により公開鍵証明書の真正性が確認されることで、認証端末が信頼できることを確認できる。そして、メタデータを登録するとともに、ID連携情報をユーザIDと関連付けて登録し(S21)、最後に利用端末に連携完了を通知する(S22)。
【0027】
以上の処理を認証デバイスごとに行うことにより、サービス提供サーバにメタデータを登録できるとともに、サービス提供サーバと認証デバイスとの間の信頼関係を確立でき、図2に示すような携帯電話等を認証デバイスとして利用可能な状態に容易にプロビジョニングすることができる。
【0028】
なお、認証デバイスがHTTPリクエストを受け取れない場合には、例えばサービス提供サーバ23と認証デバイス33との間のリクエスト送受信(S5、S6)を電子メールで行うことができる。この場合、S3ではURLとして認証デバイス33のメールアドレスを送信する。また、その他QRコード(登録商標)などを用いた通信手段も考えられ、その場合には認証デバイスにそれ相当の通信機能(コード読み取り機能など)が必要になる。
【0029】
〔第4実施形態〕
第1実施形態は、認証デバイスのメタデータをサービス提供サーバに登録するところまでを行い、両者の信頼関係の確立処理はその後別途行う構成である。第3実施形態は、この信頼関係の確立処理についてもメタデータの登録処理と一体的に行う構成である。
【0030】
図8は本発明のメタデータプロビジョニング方法のシーケンスの例である。図6はそのシステム構成の例であり、当該メタデータプロビジョニングシステム4は、利用端末10とサービス提供サーバ24と認証デバイス34と認証局40とメタデータ公開サーバ50とから構成される。サービス提供サーバ24と認証デバイス34はそれぞれ図2におけるサービス提供サーバ20と認証デバイス30に対応するものである。なお、第2実施形態と共通の処理ステップについては以下の説明及び図8において同一符号を付与し、ここでの説明は省略する。
【0031】
サービス提供サーバ24は認証局40の公開鍵証明書を予め保持し、認証デバイス34は認証局40から発行を受けた自身の秘密鍵を耐タンパな領域に予め格納し、メタデータ公開サーバ50は認証局40から発行を受けた認証デバイス34の公開鍵証明書を含む、メタデータを予め保持していることとする。ユーザは利用端末10からサービス提供サーバ24にログインし(S1)、ID連携を要求する(S17)。S3〜S7の処理の後、認証デバイス34は、ID連携情報を含む認証情報を生成する。この時、当該認証情報はユーザ認証に基づいてアクセスが許可される耐タンパな領域に格納された秘密鍵で署名される(S18)。続いて、署名された認証情報、セッションID、メタデータID、及びメタデータ公開サーバ50のURLを含むレスポンス情報をサービス提供サーバ24に送信する(S23)。S9、S10、S15、S16の処理の後、サービス提供サーバ24は、認証デバイス34から受信したメタデータに含まれる公開鍵証明書の真正性を認証局40の公開鍵証明書により検証するとともに、受信した認証情報の真正性を、真正性が検証された当該認証デバイス34の公開鍵証明書により検証する(S20)。なお、認証デバイス34の公開鍵証明書の検証の際には、必要に応じ認証局40に対しCRL(無効証明書リスト)の確認を行う。これらの検証により公開鍵証明書の真正性が確認されることで、認証端末が信頼できることを確認できる。そして、メタデータを登録するとともに、ID連携情報をユーザIDと関連付けて登録し(S21)、最後に利用端末に連携完了を通知する(S22)。
【0032】
以上の処理を認証デバイスごとに行うことにより、サービス提供サーバにメタデータを登録できるとともに、サービス提供サーバと認証デバイスとの間の信頼関係を確立でき、図2に示すような携帯電話等を認証デバイスとして利用可能な状態に容易にプロビジョニングすることができる。
なお、認証デバイスがHTTPリクエストを受け取れない場合には、例えばサービス提供サーバ24と認証デバイス34との間のリクエスト送受信(S5、S6)を電子メールで行うことができる。この場合、S3ではURLとして認証デバイス34のメールアドレスを送信する。また、その他QRコード(登録商標)などを用いた通信手段も考えられ、その場合には認証デバイスにそれ相当の通信機能(コード読み取り機能など)が必要になる。
【0033】
〔プロビジョニング後に実現される認証デバイスを用いた認証処理〕
先に説明したように、上記各実施形態の処理により図2に示すようにプロビジョニングされた以後は利用端末10からサービスを利用する際には、従来の認証処理(利用端末からのユーザID/パスワードの入力による認証)の代わりに、認証デバイス30が生成する認証情報を利用してサービス提供サーバ20にログイン(シングルサインオン)することが可能となる。図9はプロビジョニング後に実現される認証処理シーケンスの例である。なお、この例は認証デバイス30がHTTPリクエストを受け付けられない場合でも認証デバイス30の認証処理を利用可能なように認証デバイス30とサービス提供サーバ20との間に中継サーバ60を挿入し、中継サーバ60を介して認証デバイス30との認証待ち受け通信セッションとサービス提供サーバ20とのHTTPセッションとをつなぐ構成としたものである。以下、当該シーケンスを説明する。
【0034】
ユーザは利用端末10を用いてサービス提供サーバ20にアクセスし、サービスを要求する(S103)。サービス提供サーバ20は、利用端末10に対し認証に必要な情報の提供を要求し(S104)、ユーザは利用端末10から認証デバイス30に割り当てられたURL(中継サーバ60のURL+認証デバイス識別子)を返信する(S105)。サービス提供サーバ20は、利用端末10との間でセッションBを確立してセッションBのセッションIDを生成し、このセッションIDと認証デバイス識別子とサービス提供サーバ20のURLとを含めた認証要求を中継サーバ60のURLに送信する(S106)。また、ここまでの間に、認証デバイス30から中継サーバ60に認証デバイス識別子を送信し(S101)、中継サーバ60は、認証端末10との間にセッションAを確立するとともに認証デバイス識別子をセッションAと関連付けて保持しておく(S102)。中継サーバ60は、サービス提供サーバ20からの認証要求を受け、認証デバイス識別子をキーにセッションAを検索し、サービス提供サーバ20のURLとセッションBのセッションIDとを認証デバイス30に転送する(S107)。認証デバイス30では、ユーザ認証処理を行い(S108)、認証情報を生成する(S109)。ここで、安全性向上のため、当該認証情報に認証デバイス30の秘密鍵で署名を付与することができる。そして、認証情報とサービス提供サーバのURLとセッションBのセッションIDとを含む認証結果を中継サーバ60に返信し(S110)、中継サーバ60は認証情報とセッションBのセッションIDと含む認証結果をS106の認証要求に対する返答としてサービス提供サーバのURLに中継転送する(S111)。サービス提供サーバ20は、上記各実施形態の処理によりプロビジョニングされたメタデータをS105で返信された認証デバイス識別子をキーとして検索し、このメタデータを用いて中継サーバ60から受信した認証情報を検証する(S112)。ここで、S109にて認証情報に署名をした場合は、メタデータに含まれる認証デバイス30の公開鍵証明書により署名の検証をすることができる。認証されていることが確認できれば、セッションBに係るユーザのログインを受け付け、サービスを提供する(S113)。
【0035】
なお、図9の例ではS105で認証デバイス30に割り当てられたURLを返信しているが、この代わりに認証デバイス30のメタデータIDを返信する方法もある。その場合には、サービス提供サーバ20で保持しているメタデータに認証デバイス30に割り当てられたURLを記述しておき、メタデータIDにより当該メタデータを検索可能とすることで認証をリクエストする先を解決できるようにしておけばよい。
【産業上の利用可能性】
【0036】
本発明は、サービス提供サーバへログインする際の認証処理を、認証サーバの代わりに携帯電話等ユーザが所有しているデバイスを認証デバイスとして用いて実現したい場合に有用である。
【図面の簡単な説明】
【0037】
【図1】本発明の認証システムのプロビジョニング前の状態を示す図。
【図2】本発明の認証システムのプロビジョニング後の状態を示す図。
【図3】本発明の第1実施形態のプロビジョニングシーケンスの例を示す図。
【図4】本発明の第1、第3実施形態のシステム構成の例を示す図。
【図5】本発明の第2実施形態のプロビジョニングシーケンスの例を示す図。
【図6】本発明の第2、第4実施形態のシステム構成の例を示す図。
【図7】本発明の第3実施形態のプロビジョニングシーケンスの例を示す図。
【図8】本発明の第4実施形態のプロビジョニングシーケンスの例を示す図。
【図9】本発明によるプロビジョニング後の認証シーケンスの例を示す図。
【図10】従来の認証システムの構成の例を示す図。
【図11】従来の認証システムの別の構成の例を示す図。
【特許請求の範囲】
【請求項1】
利用端末とサービス提供サーバと認証デバイスと認証局とを用いて認証処理を行う認証システムのメタデータプロビジョニング方法であって、
上記サービス提供サーバは、上記認証局の公開鍵証明書を予め保持し、
上記認証デバイスは、上記認証局から発行を受けた自身の秘密鍵と、上記認証局から発行を受けた自身の公開鍵証明書を含む、メタデータとを予め保持し、
上記サービス提供サーバが、上記利用端末で入力されたユーザIDとパスワードによりユーザを認証する第1ユーザ認証ステップと、
上記サービス提供サーバが、上記利用端末で入力されたメタデータ登録要求を受け付けるメタデータ登録要求ステップと、
上記サービス提供サーバが、上記利用端末で入力された上記認証デバイスのURLを受信するURL通知ステップと、
上記サービス提供サーバが、セッションIDを生成し上記ユーザIDと関連付けて記憶するセッションID生成ステップと、
上記サービス提供サーバが、当該セッションIDを当該サービス提供サーバのURLとともに上記認証デバイスに送信するリクエスト送信ステップと、
上記認証デバイスが、上記リクエスト送信ステップで送信された情報を受信するリクエスト受信ステップと、
上記認証デバイスが、ユーザ認証を行う第2ユーザ認証ステップと、
上記認証デバイスが、上記セッションIDと上記メタデータとを上記サービス提供サーバに送信するレスポンス送信ステップと、
上記サービス提供サーバが、上記レスポンス送信ステップで送信された情報を受信するレスポンス受信ステップと、
上記サービス提供サーバが、上記レスポンス受信ステップで受信したセッションIDを確認するセッションID確認ステップと、
上記サービス提供サーバが、上記認証デバイスの公開鍵証明書を上記認証局の公開鍵証明書により検証する検証ステップと、
上記サービス提供サーバが、上記認証デバイスから受信したメタデータを登録するメタデータ登録ステップと、
上記サービス提供サーバが、上記利用端末にメタデータ登録完了通知をするメタデータ登録完了通知ステップと、
を実行する認証システムのメタデータプロビジョニング方法。
【請求項2】
利用端末とサービス提供サーバと認証デバイスと認証局とメタデータ公開サーバとを用いて認証処理を行う認証システムのメタデータプロビジョニング方法であって、
上記サービス提供サーバは、上記認証局の公開鍵証明書を予め保持し、
上記認証デバイスは、上記認証局から発行を受けた自身の秘密鍵を予め保持し、
上記メタデータ公開サーバは、上記認証局から発行を受けた上記認証デバイスの公開鍵証明書を含む、メタデータを予め保持し、
上記サービス提供サーバが、上記利用端末で入力されたユーザIDとパスワードによりユーザを認証する第1ユーザ認証ステップと、
上記サービス提供サーバが、上記利用端末で入力されたメタデータ登録要求を受け付けるメタデータ登録要求ステップと、
上記サービス提供サーバが、上記利用端末で入力された上記認証デバイスのURLを受信するURL通知ステップと、
上記サービス提供サーバが、セッションIDを生成し上記ユーザIDと関連付けて記憶するセッションID生成ステップと、
上記サービス提供サーバが、当該セッションIDを当該サービス提供サーバのURLとともに上記認証デバイスに通知するリクエスト送信ステップと、
上記認証デバイスが、上記リクエスト送信ステップで送信された情報を受信するリクエスト受信ステップと、
上記認証デバイスが、ユーザ認証を行う第2ユーザ認証ステップと、
上記認証デバイスが、上記セッションIDとメタデータ公開サーバのURLとメタデータIDとを上記サービス提供サーバに送信するレスポンス送信ステップと、
上記サービス提供サーバが、上記レスポンス送信ステップで送信された情報を受信するレスポンス受信ステップと、
上記サービス提供サーバが、上記レスポンス受信ステップで受信したセッションIDを確認するセッションID確認ステップと、
上記サービス提供サーバが、上記メタデータ公開サーバに上記メタデータIDの上記メタデータを要求するメタデータリクエストステップと、
上記メタデータ公開サーバが、上記サービス提供サーバからの要求に応じ、上記メタデータIDに該当する上記メタデータを抽出し、これを上記サービス提供サーバに返答するメタデータレスポンスステップと、
上記サービス提供サーバが、上記認証デバイスの公開鍵証明書を上記認証局の公開鍵証明書により検証する検証ステップと、
上記サービス提供サーバが、上記認証デバイスから受信したメタデータを登録するメタデータ登録ステップと、
上記サービス提供サーバが、上記利用端末にメタデータ登録完了通知をするメタデータ登録完了通知ステップと、
を実行する認証システムのメタデータプロビジョニング方法。
【請求項3】
利用端末とサービス提供サーバと認証デバイスと認証局とを用いて認証処理を行う認証システムのメタデータプロビジョニング方法であって、
上記サービス提供サーバは、上記認証局の公開鍵証明書を予め保持し、
上記認証デバイスは、上記認証局から発行を受けた自身の秘密鍵と、上記認証局から発行を受けた自身の公開鍵証明書を含む、メタデータとを予め保持し、
上記サービス提供サーバが、上記利用端末で入力されたユーザIDとパスワードによりユーザを認証する第1ユーザ認証ステップと、
上記サービス提供サーバが、上記利用端末で入力されたID連携要求を受け付ける連携要求ステップと、
上記サービス提供サーバが、上記利用端末で入力された上記認証デバイスのURLを受信するURL通知ステップと、
上記サービス提供サーバが、セッションIDを生成し上記ユーザIDと関連付けて記憶するセッションID生成ステップと、
上記サービス提供サーバが、当該セッションIDを当該サービス提供サーバのURLとともに上記認証デバイスに送信するリクエスト送信ステップと、
上記認証デバイスが、上記リクエスト送信ステップで送信された情報を受信するリクエスト受信ステップと、
上記認証デバイスが、ユーザ認証を行う第2ユーザ認証ステップと、
上記認証デバイスが、ID連携情報を含む認証情報を生成し、当該認証デバイスの秘密鍵で署名する認証情報生成ステップと、
上記認証デバイスが、署名された上記認証情報と上記セッションIDと上記メタデータとを上記サービス提供サーバに送信するレスポンス送信ステップと、
上記サービス提供サーバが、上記レスポンス送信ステップで送信された情報を受信するレスポンス受信ステップと、
上記サービス提供サーバが、上記レスポンス受信ステップで受信したセッションIDを確認するセッションID確認ステップと、
上記サービス提供サーバが、上記認証デバイスの公開鍵証明書を上記認証局の公開鍵証明書により検証するとともに、上記認証デバイスの公開鍵証明書により上記認証情報を検証する検証ステップと、
上記サービス提供サーバが、検証済の上記認証情報に含まれるID連携情報と上記ユーザIDとを関連付けて登録するとともに、上記認証デバイスから受信したメタデータを登録するメタデータ登録ステップと、
上記サービス提供サーバが、上記利用端末に連携完了通知をする連携完了通知ステップと、
を実行する認証システムのメタデータプロビジョニング方法。
【請求項4】
利用端末とサービス提供サーバと認証デバイスと認証局とメタデータ公開サーバとを用いて認証処理を行う認証システムのメタデータプロビジョニング方法であって、
上記サービス提供サーバは、上記認証局の公開鍵証明書を予め保持し、
上記認証デバイスは、上記認証局から発行を受けた自身の秘密鍵を予め保持し、
上記メタデータ公開サーバは、上記認証局から発行を受けた上記認証デバイスの公開鍵証明書を含む、メタデータを予め保持し、
上記サービス提供サーバが、上記利用端末で入力されたユーザIDとパスワードによりユーザを認証する第1ユーザ認証ステップと、
上記サービス提供サーバが、上記利用端末で入力されたID連携要求を受け付ける連携要求ステップと、
上記サービス提供サーバが、上記利用端末で入力された上記認証デバイスのURLを受信するURL通知ステップと、
上記サービス提供サーバが、セッションIDを生成し上記ユーザIDと関連付けて記憶するセッションID生成ステップと、
上記サービス提供サーバが、当該セッションIDを当該サービス提供サーバのURLとともに上記認証デバイスに通知するリクエスト送信ステップと、
上記認証デバイスが、上記リクエスト送信ステップで送信された情報を受信するリクエスト受信ステップと、
上記認証デバイスが、ユーザ認証を行う第2ユーザ認証ステップと、
上記認証デバイスが、ID連携情報を含む認証情報を生成し当該認証デバイスの秘密鍵で署名する認証情報生成ステップと、
上記認証デバイスが、署名された上記認証情報と上記セッションIDとメタデータ公開サーバのURLとメタデータIDとを上記サービス提供サーバに送信するレスポンス送信ステップと、
上記サービス提供サーバが、上記レスポンス送信ステップで送信された情報を受信するレスポンス受信ステップと、
上記サービス提供サーバが、上記レスポンス受信ステップで受信したセッションIDを確認するセッションID確認ステップと、
上記サービス提供サーバが、上記メタデータ公開サーバに上記メタデータIDの上記メタデータを要求するメタデータリクエストステップと、
上記メタデータ公開サーバが、上記サービス提供サーバからの要求に応じ、上記メタデータIDに該当する上記メタデータを抽出し、これを上記サービス提供サーバに返答するメタデータレスポンスステップと、
上記サービス提供サーバが、上記認証デバイスの公開鍵証明書を上記認証局の公開鍵証明書により検証するとともに、上記認証デバイスの公開鍵証明書により上記認証情報を検証する検証ステップと、
上記サービス提供サーバが、検証済の上記認証情報に含まれるID連携情報と上記ユーザIDとを関連付けて登録するとともに、上記認証デバイスから受信したメタデータを登録するメタデータ登録ステップと、
上記サービス提供サーバが、上記利用端末に連携完了通知をする連携完了通知ステップと、
を実行する認証システムのメタデータプロビジョニング方法。
【請求項5】
請求項3又は4のいずれかに記載の認証システムのメタデータプロビジョニング方法において、上記ID連携情報は、仮名であることを特徴とする認証システムのメタデータプロビジョニング方法。
【請求項6】
請求項1〜5のいずれかに記載の認証システムのメタデータプロビジョニング方法において、
上記URL通知ステップにおいて上記利用端末で入力される上記認証デバイスのURLは当該認証デバイスのメールアドレスであり、
上記リクエスト送信ステップと上記リクエスト受信ステップは電子メールの送受信により実行する
ことを特徴とする認証システムのメタデータプロビジョニング方法。
【請求項7】
利用端末とサービス提供サーバと認証デバイスと認証局とを用いて認証処理を行う認証システムのメタデータプロビジョニングシステムであって、
上記利用端末は、メタデータの登録処理に必要な情報の入力・送信機能と、当該サービス提供サーバから送信された情報の受信機能とを有し、
上記サービス提供サーバは、上記認証局の公開鍵証明書を予め保持し、上記利用端末から入力されたユーザIDとパスワードによりユーザを認証するユーザ認証機能と、上記認証デバイスとの連携に必要な情報を当該認証デバイスに送信するリクエスト送信機能と、上記認証デバイスから返信された当該認証デバイスの公開鍵証明書を含むメタデータ等の情報を受信するレスポンス受信機能と、上記利用端末とのセッションと上記認証デバイスとのセッションとを関連付けるセッションIDを生成・管理するセッションID生成・管理機能と、上記認証局の公開鍵証明書により上記認証デバイスの公開鍵証明書の検証を行う検証機能と、上記メタデータを登録するメタデータ登録機能とを有し、
上記認証デバイスは、上記認証局から発行を受けた自身の秘密鍵と、上記認証局から発行を受けた自身の公開鍵証明書を含む、メタデータとを予め保持し、上記サービス提供サーバとの連携に必要な情報を当該サービス提供サーバから受信するリクエスト受信機能と、ユーザ認証を行うユーザ認証機能と、上記メタデータその他連携に必要な情報を送信するレスポンス送信機能とを有する
ことを特徴とする認証システムのメタデータプロビジョニングシステム。
【請求項8】
利用端末とサービス提供サーバと認証デバイスと認証局とメタデータ公開サーバとを用いて認証処理を行う認証システムのメタデータプロビジョニングシステムであって、
上記利用端末は、メタデータの登録処理に必要な情報の入力・送信機能と、当該サービス提供サーバから送信された情報の受信機能とを有し、
上記サービス提供サーバは、上記認証局の公開鍵証明書を予め保持し、上記利用端末から入力されたユーザIDとパスワードによりユーザを認証するユーザ認証機能と、上記認証デバイスとの連携に必要な情報を当該認証デバイスに送信するリクエスト送信機能と、上記認証デバイスから返信された当該認証デバイスのメタデータID等の情報を受信するレスポンス受信機能と、上記利用端末とのセッションと上記認証デバイスとのセッションとを関連付けるセッションIDを生成・管理するセッションID生成・管理機能と、上記メタデータ公開サーバに対し、上記認証局が発行した上記認証デバイスの公開鍵証明書を含む、上記メタデータIDのメタデータを要求し、当該メタデータを受信するメタデータ解決機能と、上記認証局の公開鍵証明書により上記認証デバイスの公開鍵証明書の検証を行う検証機能と、上記メタデータを登録するメタデータ登録機能とを有し、
上記認証デバイスは、上記認証局から発行を受けた秘密鍵を予め保持し、上記サービス提供サーバとの連携に必要な情報を当該サービス提供サーバから受信するリクエスト受信機能と、ユーザ認証を行うユーザ認証機能と、上記メタデータIDその他連携に必要な情報を送信するレスポンス送信機能とを有し、
上記メタデータ公開サーバは、上記メタデータを予め保持し、上記サービス提供サーバからの要求に応じ上記メタデータIDに該当する上記メタデータを返信するメタデータ管理機能を有する
ことを特徴とする認証システムのメタデータプロビジョニングシステム。
【請求項9】
認証局の公開鍵証明書を予め保持し、利用端末から入力されたユーザIDとパスワードによりユーザを認証するユーザ認証機能と、認証デバイスとの連携に必要な情報を当該認証デバイスに送信するリクエスト送信機能と、上記認証デバイスから返信された当該認証デバイスの公開鍵証明書を含むメタデータ等の情報を受信するレスポンス受信機能と、上記利用端末とのセッションと上記認証デバイスとのセッションとを関連付けるセッションIDを生成・管理するセッションID生成・管理機能と、上記認証局の公開鍵証明書により上記認証デバイスの公開鍵証明書の検証を行う検証機能と、上記メタデータを登録するメタデータ登録機能と、を有するサービス提供サーバ。
【請求項10】
認証局の公開鍵証明書を予め保持し、利用端末から入力されたユーザIDとパスワードによりユーザを認証するユーザ認証機能と、認証デバイスとの連携に必要な情報を当該認証デバイスに送信するリクエスト送信機能と、上記認証デバイスから返信された当該認証デバイスのメタデータID等の情報を受信するレスポンス受信機能と、上記利用端末とのセッションと上記認証デバイスとのセッションとを関連付けるセッションIDを生成・管理するセッションID生成・管理機能と、メタデータ公開サーバに対し、上記認証局が発行した上記認証デバイスの公開鍵証明書を含む、上記メタデータIDのメタデータを要求し、当該メタデータを受信するメタデータ解決機能と、上記認証局の公開鍵証明書により上記認証デバイスの公開鍵証明書の検証を行う検証機能と、上記メタデータを登録するメタデータ登録機能と、
を有するサービス提供サーバ。
【請求項11】
請求項7〜10のいずれかに記載したシステムとしてコンピュータを機能させるためのプログラム。
【請求項12】
請求項11に記載したプログラムを記録したコンピュータが読み取り可能な記録媒体。
【請求項1】
利用端末とサービス提供サーバと認証デバイスと認証局とを用いて認証処理を行う認証システムのメタデータプロビジョニング方法であって、
上記サービス提供サーバは、上記認証局の公開鍵証明書を予め保持し、
上記認証デバイスは、上記認証局から発行を受けた自身の秘密鍵と、上記認証局から発行を受けた自身の公開鍵証明書を含む、メタデータとを予め保持し、
上記サービス提供サーバが、上記利用端末で入力されたユーザIDとパスワードによりユーザを認証する第1ユーザ認証ステップと、
上記サービス提供サーバが、上記利用端末で入力されたメタデータ登録要求を受け付けるメタデータ登録要求ステップと、
上記サービス提供サーバが、上記利用端末で入力された上記認証デバイスのURLを受信するURL通知ステップと、
上記サービス提供サーバが、セッションIDを生成し上記ユーザIDと関連付けて記憶するセッションID生成ステップと、
上記サービス提供サーバが、当該セッションIDを当該サービス提供サーバのURLとともに上記認証デバイスに送信するリクエスト送信ステップと、
上記認証デバイスが、上記リクエスト送信ステップで送信された情報を受信するリクエスト受信ステップと、
上記認証デバイスが、ユーザ認証を行う第2ユーザ認証ステップと、
上記認証デバイスが、上記セッションIDと上記メタデータとを上記サービス提供サーバに送信するレスポンス送信ステップと、
上記サービス提供サーバが、上記レスポンス送信ステップで送信された情報を受信するレスポンス受信ステップと、
上記サービス提供サーバが、上記レスポンス受信ステップで受信したセッションIDを確認するセッションID確認ステップと、
上記サービス提供サーバが、上記認証デバイスの公開鍵証明書を上記認証局の公開鍵証明書により検証する検証ステップと、
上記サービス提供サーバが、上記認証デバイスから受信したメタデータを登録するメタデータ登録ステップと、
上記サービス提供サーバが、上記利用端末にメタデータ登録完了通知をするメタデータ登録完了通知ステップと、
を実行する認証システムのメタデータプロビジョニング方法。
【請求項2】
利用端末とサービス提供サーバと認証デバイスと認証局とメタデータ公開サーバとを用いて認証処理を行う認証システムのメタデータプロビジョニング方法であって、
上記サービス提供サーバは、上記認証局の公開鍵証明書を予め保持し、
上記認証デバイスは、上記認証局から発行を受けた自身の秘密鍵を予め保持し、
上記メタデータ公開サーバは、上記認証局から発行を受けた上記認証デバイスの公開鍵証明書を含む、メタデータを予め保持し、
上記サービス提供サーバが、上記利用端末で入力されたユーザIDとパスワードによりユーザを認証する第1ユーザ認証ステップと、
上記サービス提供サーバが、上記利用端末で入力されたメタデータ登録要求を受け付けるメタデータ登録要求ステップと、
上記サービス提供サーバが、上記利用端末で入力された上記認証デバイスのURLを受信するURL通知ステップと、
上記サービス提供サーバが、セッションIDを生成し上記ユーザIDと関連付けて記憶するセッションID生成ステップと、
上記サービス提供サーバが、当該セッションIDを当該サービス提供サーバのURLとともに上記認証デバイスに通知するリクエスト送信ステップと、
上記認証デバイスが、上記リクエスト送信ステップで送信された情報を受信するリクエスト受信ステップと、
上記認証デバイスが、ユーザ認証を行う第2ユーザ認証ステップと、
上記認証デバイスが、上記セッションIDとメタデータ公開サーバのURLとメタデータIDとを上記サービス提供サーバに送信するレスポンス送信ステップと、
上記サービス提供サーバが、上記レスポンス送信ステップで送信された情報を受信するレスポンス受信ステップと、
上記サービス提供サーバが、上記レスポンス受信ステップで受信したセッションIDを確認するセッションID確認ステップと、
上記サービス提供サーバが、上記メタデータ公開サーバに上記メタデータIDの上記メタデータを要求するメタデータリクエストステップと、
上記メタデータ公開サーバが、上記サービス提供サーバからの要求に応じ、上記メタデータIDに該当する上記メタデータを抽出し、これを上記サービス提供サーバに返答するメタデータレスポンスステップと、
上記サービス提供サーバが、上記認証デバイスの公開鍵証明書を上記認証局の公開鍵証明書により検証する検証ステップと、
上記サービス提供サーバが、上記認証デバイスから受信したメタデータを登録するメタデータ登録ステップと、
上記サービス提供サーバが、上記利用端末にメタデータ登録完了通知をするメタデータ登録完了通知ステップと、
を実行する認証システムのメタデータプロビジョニング方法。
【請求項3】
利用端末とサービス提供サーバと認証デバイスと認証局とを用いて認証処理を行う認証システムのメタデータプロビジョニング方法であって、
上記サービス提供サーバは、上記認証局の公開鍵証明書を予め保持し、
上記認証デバイスは、上記認証局から発行を受けた自身の秘密鍵と、上記認証局から発行を受けた自身の公開鍵証明書を含む、メタデータとを予め保持し、
上記サービス提供サーバが、上記利用端末で入力されたユーザIDとパスワードによりユーザを認証する第1ユーザ認証ステップと、
上記サービス提供サーバが、上記利用端末で入力されたID連携要求を受け付ける連携要求ステップと、
上記サービス提供サーバが、上記利用端末で入力された上記認証デバイスのURLを受信するURL通知ステップと、
上記サービス提供サーバが、セッションIDを生成し上記ユーザIDと関連付けて記憶するセッションID生成ステップと、
上記サービス提供サーバが、当該セッションIDを当該サービス提供サーバのURLとともに上記認証デバイスに送信するリクエスト送信ステップと、
上記認証デバイスが、上記リクエスト送信ステップで送信された情報を受信するリクエスト受信ステップと、
上記認証デバイスが、ユーザ認証を行う第2ユーザ認証ステップと、
上記認証デバイスが、ID連携情報を含む認証情報を生成し、当該認証デバイスの秘密鍵で署名する認証情報生成ステップと、
上記認証デバイスが、署名された上記認証情報と上記セッションIDと上記メタデータとを上記サービス提供サーバに送信するレスポンス送信ステップと、
上記サービス提供サーバが、上記レスポンス送信ステップで送信された情報を受信するレスポンス受信ステップと、
上記サービス提供サーバが、上記レスポンス受信ステップで受信したセッションIDを確認するセッションID確認ステップと、
上記サービス提供サーバが、上記認証デバイスの公開鍵証明書を上記認証局の公開鍵証明書により検証するとともに、上記認証デバイスの公開鍵証明書により上記認証情報を検証する検証ステップと、
上記サービス提供サーバが、検証済の上記認証情報に含まれるID連携情報と上記ユーザIDとを関連付けて登録するとともに、上記認証デバイスから受信したメタデータを登録するメタデータ登録ステップと、
上記サービス提供サーバが、上記利用端末に連携完了通知をする連携完了通知ステップと、
を実行する認証システムのメタデータプロビジョニング方法。
【請求項4】
利用端末とサービス提供サーバと認証デバイスと認証局とメタデータ公開サーバとを用いて認証処理を行う認証システムのメタデータプロビジョニング方法であって、
上記サービス提供サーバは、上記認証局の公開鍵証明書を予め保持し、
上記認証デバイスは、上記認証局から発行を受けた自身の秘密鍵を予め保持し、
上記メタデータ公開サーバは、上記認証局から発行を受けた上記認証デバイスの公開鍵証明書を含む、メタデータを予め保持し、
上記サービス提供サーバが、上記利用端末で入力されたユーザIDとパスワードによりユーザを認証する第1ユーザ認証ステップと、
上記サービス提供サーバが、上記利用端末で入力されたID連携要求を受け付ける連携要求ステップと、
上記サービス提供サーバが、上記利用端末で入力された上記認証デバイスのURLを受信するURL通知ステップと、
上記サービス提供サーバが、セッションIDを生成し上記ユーザIDと関連付けて記憶するセッションID生成ステップと、
上記サービス提供サーバが、当該セッションIDを当該サービス提供サーバのURLとともに上記認証デバイスに通知するリクエスト送信ステップと、
上記認証デバイスが、上記リクエスト送信ステップで送信された情報を受信するリクエスト受信ステップと、
上記認証デバイスが、ユーザ認証を行う第2ユーザ認証ステップと、
上記認証デバイスが、ID連携情報を含む認証情報を生成し当該認証デバイスの秘密鍵で署名する認証情報生成ステップと、
上記認証デバイスが、署名された上記認証情報と上記セッションIDとメタデータ公開サーバのURLとメタデータIDとを上記サービス提供サーバに送信するレスポンス送信ステップと、
上記サービス提供サーバが、上記レスポンス送信ステップで送信された情報を受信するレスポンス受信ステップと、
上記サービス提供サーバが、上記レスポンス受信ステップで受信したセッションIDを確認するセッションID確認ステップと、
上記サービス提供サーバが、上記メタデータ公開サーバに上記メタデータIDの上記メタデータを要求するメタデータリクエストステップと、
上記メタデータ公開サーバが、上記サービス提供サーバからの要求に応じ、上記メタデータIDに該当する上記メタデータを抽出し、これを上記サービス提供サーバに返答するメタデータレスポンスステップと、
上記サービス提供サーバが、上記認証デバイスの公開鍵証明書を上記認証局の公開鍵証明書により検証するとともに、上記認証デバイスの公開鍵証明書により上記認証情報を検証する検証ステップと、
上記サービス提供サーバが、検証済の上記認証情報に含まれるID連携情報と上記ユーザIDとを関連付けて登録するとともに、上記認証デバイスから受信したメタデータを登録するメタデータ登録ステップと、
上記サービス提供サーバが、上記利用端末に連携完了通知をする連携完了通知ステップと、
を実行する認証システムのメタデータプロビジョニング方法。
【請求項5】
請求項3又は4のいずれかに記載の認証システムのメタデータプロビジョニング方法において、上記ID連携情報は、仮名であることを特徴とする認証システムのメタデータプロビジョニング方法。
【請求項6】
請求項1〜5のいずれかに記載の認証システムのメタデータプロビジョニング方法において、
上記URL通知ステップにおいて上記利用端末で入力される上記認証デバイスのURLは当該認証デバイスのメールアドレスであり、
上記リクエスト送信ステップと上記リクエスト受信ステップは電子メールの送受信により実行する
ことを特徴とする認証システムのメタデータプロビジョニング方法。
【請求項7】
利用端末とサービス提供サーバと認証デバイスと認証局とを用いて認証処理を行う認証システムのメタデータプロビジョニングシステムであって、
上記利用端末は、メタデータの登録処理に必要な情報の入力・送信機能と、当該サービス提供サーバから送信された情報の受信機能とを有し、
上記サービス提供サーバは、上記認証局の公開鍵証明書を予め保持し、上記利用端末から入力されたユーザIDとパスワードによりユーザを認証するユーザ認証機能と、上記認証デバイスとの連携に必要な情報を当該認証デバイスに送信するリクエスト送信機能と、上記認証デバイスから返信された当該認証デバイスの公開鍵証明書を含むメタデータ等の情報を受信するレスポンス受信機能と、上記利用端末とのセッションと上記認証デバイスとのセッションとを関連付けるセッションIDを生成・管理するセッションID生成・管理機能と、上記認証局の公開鍵証明書により上記認証デバイスの公開鍵証明書の検証を行う検証機能と、上記メタデータを登録するメタデータ登録機能とを有し、
上記認証デバイスは、上記認証局から発行を受けた自身の秘密鍵と、上記認証局から発行を受けた自身の公開鍵証明書を含む、メタデータとを予め保持し、上記サービス提供サーバとの連携に必要な情報を当該サービス提供サーバから受信するリクエスト受信機能と、ユーザ認証を行うユーザ認証機能と、上記メタデータその他連携に必要な情報を送信するレスポンス送信機能とを有する
ことを特徴とする認証システムのメタデータプロビジョニングシステム。
【請求項8】
利用端末とサービス提供サーバと認証デバイスと認証局とメタデータ公開サーバとを用いて認証処理を行う認証システムのメタデータプロビジョニングシステムであって、
上記利用端末は、メタデータの登録処理に必要な情報の入力・送信機能と、当該サービス提供サーバから送信された情報の受信機能とを有し、
上記サービス提供サーバは、上記認証局の公開鍵証明書を予め保持し、上記利用端末から入力されたユーザIDとパスワードによりユーザを認証するユーザ認証機能と、上記認証デバイスとの連携に必要な情報を当該認証デバイスに送信するリクエスト送信機能と、上記認証デバイスから返信された当該認証デバイスのメタデータID等の情報を受信するレスポンス受信機能と、上記利用端末とのセッションと上記認証デバイスとのセッションとを関連付けるセッションIDを生成・管理するセッションID生成・管理機能と、上記メタデータ公開サーバに対し、上記認証局が発行した上記認証デバイスの公開鍵証明書を含む、上記メタデータIDのメタデータを要求し、当該メタデータを受信するメタデータ解決機能と、上記認証局の公開鍵証明書により上記認証デバイスの公開鍵証明書の検証を行う検証機能と、上記メタデータを登録するメタデータ登録機能とを有し、
上記認証デバイスは、上記認証局から発行を受けた秘密鍵を予め保持し、上記サービス提供サーバとの連携に必要な情報を当該サービス提供サーバから受信するリクエスト受信機能と、ユーザ認証を行うユーザ認証機能と、上記メタデータIDその他連携に必要な情報を送信するレスポンス送信機能とを有し、
上記メタデータ公開サーバは、上記メタデータを予め保持し、上記サービス提供サーバからの要求に応じ上記メタデータIDに該当する上記メタデータを返信するメタデータ管理機能を有する
ことを特徴とする認証システムのメタデータプロビジョニングシステム。
【請求項9】
認証局の公開鍵証明書を予め保持し、利用端末から入力されたユーザIDとパスワードによりユーザを認証するユーザ認証機能と、認証デバイスとの連携に必要な情報を当該認証デバイスに送信するリクエスト送信機能と、上記認証デバイスから返信された当該認証デバイスの公開鍵証明書を含むメタデータ等の情報を受信するレスポンス受信機能と、上記利用端末とのセッションと上記認証デバイスとのセッションとを関連付けるセッションIDを生成・管理するセッションID生成・管理機能と、上記認証局の公開鍵証明書により上記認証デバイスの公開鍵証明書の検証を行う検証機能と、上記メタデータを登録するメタデータ登録機能と、を有するサービス提供サーバ。
【請求項10】
認証局の公開鍵証明書を予め保持し、利用端末から入力されたユーザIDとパスワードによりユーザを認証するユーザ認証機能と、認証デバイスとの連携に必要な情報を当該認証デバイスに送信するリクエスト送信機能と、上記認証デバイスから返信された当該認証デバイスのメタデータID等の情報を受信するレスポンス受信機能と、上記利用端末とのセッションと上記認証デバイスとのセッションとを関連付けるセッションIDを生成・管理するセッションID生成・管理機能と、メタデータ公開サーバに対し、上記認証局が発行した上記認証デバイスの公開鍵証明書を含む、上記メタデータIDのメタデータを要求し、当該メタデータを受信するメタデータ解決機能と、上記認証局の公開鍵証明書により上記認証デバイスの公開鍵証明書の検証を行う検証機能と、上記メタデータを登録するメタデータ登録機能と、
を有するサービス提供サーバ。
【請求項11】
請求項7〜10のいずれかに記載したシステムとしてコンピュータを機能させるためのプログラム。
【請求項12】
請求項11に記載したプログラムを記録したコンピュータが読み取り可能な記録媒体。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【公開番号】特開2009−118110(P2009−118110A)
【公開日】平成21年5月28日(2009.5.28)
【国際特許分類】
【出願番号】特願2007−288085(P2007−288085)
【出願日】平成19年11月6日(2007.11.6)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
【公開日】平成21年5月28日(2009.5.28)
【国際特許分類】
【出願日】平成19年11月6日(2007.11.6)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
[ Back to top ]