説明

認証システム及び認証方法

【課題】クラウドコンピューティングを利用した場合であっても、セキュリティが強固、かつ、認証に係る処理が遅延しにくい認証システム及び認証方法を提供すること。
【解決手段】認証システム1のユーザ端末4は、ユーザからユーザIDとパスワードとを受け付けた場合に、パスワードに基づいて秘密鍵及び公開鍵を生成する端末側鍵生成部444と、生成された秘密鍵により認証用データを暗号化する暗号化部445と、ユーザIDと暗号化された認証用データとをコンテンツサーバ3に送信する認証情報送信部446と、を有する。認証システム1の複数のコンテンツサーバ3それぞれは、ユーザ端末4から受信したユーザIDに対応する公開鍵によって、受信した認証用データの復号を試行する復号試行部343と、復号試行部343によって、受信した暗号化された認証用データを復号できた場合に、ユーザ端末4が認証に成功したものとする認証部344と、を有する。

【発明の詳細な説明】
【技術分野】
【0001】
本発明は、認証システム及び認証方法に関する。
【背景技術】
【0002】
近年、サービスの増加に伴い、複数のサーバにおいて認証に用いられるパスワードを一元管理することが行われている。
【0003】
例えば、特許文献1には、複数のサーバと、当該複数のサーバそれぞれに対応する複数のパスワードを一元管理する管理サーバとを備えるシステムが提案されている。このシステムでは、ユーザが複数のサーバのいずれかの利用を所望する場合に、管理サーバが当該ユーザの本人性を確認すると、当該ユーザが利用を所望するサーバに対して管理サーバが認証を行い、当該ユーザに対して、利用を所望するサーバを利用可能とする。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2000−259566号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
ところで、近年、クラウドコンピューティングが急速に普及している。しかしながら、クラウドコンピューティングを構成するサーバは、汎用性をもたせるため、個別の機能を実現することを目的としてチューニングされたサーバに比べて処理が遅いといった問題点がある。
【0006】
また、クラウドコンピューティングは、際限なく増加する大容量データを扱うため、新たなサーバが逐次接続されている。このような点から、クラウドコンピューティングにおいて複数のサーバを利用する場合に、結果として、物理的に離れた位置に配置されている複数のサーバを利用し、複数のサーバ間のアクセスに遅延が生じてしまうおそれがある。また、物理的に離れた位置にサーバが配置されている場合、アクセス時に他のサーバを経由する可能性が高まるため、セキュリティが低下する可能性がある。
【0007】
このように、クラウドコンピューティングを利用して複数サーバに対応する認証システムを構築する場合、遅延することなく処理を実行することができることが求められている。
【0008】
本発明は、クラウドコンピューティングを利用した場合であっても、セキュリティが強固、かつ、認証に係る処理が遅延しにくい認証システム及び認証方法を提供することを目的とする。
【課題を解決するための手段】
【0009】
(1)ユーザ端末と、前記ユーザ端末と通信可能に接続された複数サーバとを備える認証システムであって、前記ユーザ端末は、ユーザから、前記複数サーバのいずれかに対する認証要求を受け付ける認証要求受付手段と、前記認証要求受付手段により前記認証要求を受け付けた場合に、認証用データを秘密鍵によって暗号化する暗号化手段と、前記ユーザのユーザIDと暗号化された前記認証用データとを前記認証要求に対応するサーバに送信する認証情報送信手段と、を有し、前記複数サーバそれぞれは、前記ユーザIDと、当該ユーザIDに対応する公開鍵とを記憶する認証情報記憶手段と、前記ユーザ端末から、前記ユーザIDと暗号化された前記認証用データとを受信する認証情報受信手段と、前記認証情報受信手段により受信した前記ユーザIDに対応し、前記認証情報記憶手段に記憶されている前記公開鍵によって、受信した認証用データの復号を試行する復号試行手段と、前記復号試行手段によって、受信した暗号化された前記認証用データを復号できた場合に、前記ユーザ端末が認証に成功したものとする認証手段と、を有する認証システム。
【0010】
(1)の認証システムでは、ユーザ端末は、認証要求受付手段により認証要求を受け付けた場合に、暗号化手段により秘密鍵を用いて認証用データを暗号化し、認証情報送信手段により、ユーザIDと暗号化された認証用データとを認証要求に対応するサーバに送信する。また、サーバは、復号試行手段により、認証情報受信手段により受信したユーザIDに対応し、認証情報記憶手段に記憶されている公開鍵によって、受信した認証用データの復号を試行し、認証手段により、復号試行手段により暗号化された認証用データを復号できた場合に、ユーザ端末が認証に成功したものとする。
【0011】
このように、サーバは、サーバに記憶されている公開鍵に基づいて、ユーザ端末から受信した暗号化された認証用データを復号できたことに応じて、ユーザ端末が認証に成功したものとするので、認証時に他のサーバにアクセスすることなく認証を行うことができる。また、サーバでは、パスワードの照合を行うことなく、公開鍵によって認証を行う。ここで、公開鍵に基づいてパスワードを推定されることは困難であるため、認証システムは、サーバから第三者に対して公開鍵が漏えいした場合であっても、セキュリティを維持することができる。したがって、(1)の認証システムは、クラウドコンピューティングを利用した場合であっても、セキュリティが強固、かつ、認証に係る処理が遅延しにくいものとすることができる。
【0012】
(2)前記認証要求受付手段は、前記ユーザから前記サーバのアドレスとユーザIDとパスワードとを認証情報として受け付けることにより、前記認証要求を受け付け、前記認証要求受付手段により受け付けた前記パスワードに基づいて前記秘密鍵を生成する端末側鍵生成手段を更に備え、前記暗号化手段は、前記端末側鍵生成手段により生成された前記秘密鍵によって、認証用データを暗号化し、前記認証情報送信手段は、前記ユーザのユーザIDと暗号化された前記認証用データとを前記アドレスに対応するサーバに送信する、(1)記載の認証システム。
【0013】
(2)の認証システムでは、認証要求受付手段により受け付けたパスワードに基づいて前記秘密鍵を生成し、暗号化手段により、当該秘密鍵により認証用データを暗号化する。よって、ユーザ端末において、秘密鍵を記憶する必要がないので、ユーザ端末の紛失等による秘密鍵の漏洩を防止することができる。
【0014】
(3)前記認証システムは、前記ユーザ端末及び前記複数サーバに対して通信可能に接続されたパスワード管理サーバを更に備え、前記パスワード管理サーバは、前記ユーザ端末から、前記ユーザIDと前記パスワードとを登録情報として受信する登録情報受信手段と、前記登録情報受信手段により前記登録情報を受信したことに応じて、前記登録情報に含まれるパスワードに基づいて秘密鍵及び公開鍵を生成するサーバ側鍵生成手段と、前記サーバ側鍵生成手段により生成された公開鍵と、前記登録情報受信手段により受信した前記登録情報に含まれるユーザIDとを前記複数サーバそれぞれに配信する公開鍵配信手段と、を有する、(2)記載の認証システム。
【0015】
(3)の認証システムでは、パスワード管理サーバは、登録情報受信手段により、ユーザ端末から、ユーザIDとパスワードとを登録情報として受信し、サーバ側鍵生成手段により、登録情報受信手段により登録情報を受信したことに応じて、登録情報に含まれるパスワードに基づいて秘密鍵及び公開鍵を生成し、公開鍵配信手段により、サーバ側鍵生成手段により生成された公開鍵と、登録情報受信手段により受信した登録情報に含まれるユーザIDとを複数サーバそれぞれに配信する。
【0016】
このように、(3)の認証システムは、パスワード管理サーバがユーザ端末から受信したパスワードをサーバに送信することがないため、パスワードの受け渡し時における盗聴等のリスクを排除して、セキュリティを強固なものとすることができる。
【0017】
(4)前記パスワード管理サーバは、前記ユーザ端末から、前記ユーザIDと前記パスワードとを変更情報として受信する変更情報受信手段と、前記サーバ側鍵生成手段は、前記変更情報受信手段により変更情報を受信したことに応じて、前記変更情報に含まれるパスワードに基づいて前記秘密鍵及び前記公開鍵を生成する、(3)記載の認証システム。
【0018】
(4)の認証システムでは、パスワード管理サーバは、変更情報受信手段により、ユーザ端末から、ユーザIDとパスワードとを変更情報として受信し、サーバ側鍵生成手段により、変更情報受信手段により変更情報を受信したことに応じて、変更情報に含まれるパスワードに基づいて秘密鍵及び公開鍵を生成する。
【0019】
このように、(4)の認証システムは、ユーザ端末におけるパスワードの更新においてもパスワード管理サーバからサーバにパスワードが送信されないため、パスワードの更新時においても、パスワードの受け渡し時における盗聴等のリスクを排除して、セキュリティを強固なものとすることができる。
【0020】
(5)ユーザ端末と、前記ユーザ端末と通信可能に接続された複数サーバとを備える認証システムにおいて実行される認証方法であって、前記ユーザ端末が、ユーザから、前記複数サーバのいずれかに対する認証要求を受け付ける認証要求受付ステップと、前記認証要求受付ステップにおいて前記認証要求を受け付けた場合に、認証用データを秘密鍵によって暗号化する暗号化ステップと、前記ユーザのユーザIDと暗号化された前記認証用データとを前記認証要求に対応するサーバに送信する認証情報送信ステップと、を実行し、前記複数サーバそれぞれは、前記ユーザIDと、当該ユーザIDに対応する公開鍵とを記憶する認証情報記憶手段とを備え、前記ユーザ端末から、前記ユーザIDと暗号化された前記認証用データとを受信する認証情報受信ステップと、前記認証情報受信ステップにおいて受信した前記ユーザIDに対応し、前記認証情報記憶手段に記憶されている前記公開鍵によって、受信した認証用データの復号を試行する復号試行ステップと、前記復号試行ステップにおいて、受信した暗号化された前記認証用データを復号できた場合に、前記ユーザ端末が認証に成功したものとする認証ステップと、を実行する認証方法。
【0021】
このような方法によれば、当該方法を実施することにより、(1)と同様の効果が期待できる。
【発明の効果】
【0022】
本発明によれば、クラウドコンピューティングを利用した場合であっても、セキュリティが強固、かつ、認証に係る処理が遅延しにくい認証システム及び認証方法を提供することができる。
【図面の簡単な説明】
【0023】
【図1】本実施形態に係る認証システムの機能概要を示す図である。
【図2】本実施形態に係る認証システムにおいてユーザ情報を登録する処理の流れを示すフローチャートである。
【図3】本実施形態に係る認証システムにおいてユーザ情報を変更する処理の流れを示すフローチャートである。
【図4】本実施形態に係る認証システムにおいて認証を行う処理の流れを示すフローチャートである。
【発明を実施するための形態】
【0024】
以下、本発明の実施形態について図を参照しながら説明する。
【0025】
[機能構成]
図1は、本実施形態に係る認証システム1の機能概要を示す図である。認証システム1は、パスワード管理サーバ2と、複数のコンテンツサーバ3と、ユーザ端末4とを備える。
認証システム1では、パスワード管理サーバ2は、複数のコンテンツサーバ3とユーザ端末4とに通信ネットワークNによって通信可能に接続されている。また、ユーザ端末4は、複数のコンテンツサーバ3に通信ネットワークNによって通信可能に接続されている。なお、図1では、コンテンツサーバ3は1つのみ示されているが、実際には複数のコンテンツサーバ3が通信ネットワークNに接続されているものとする。
【0026】
本実施形態は、コンピュータ(パスワード管理サーバ2、複数のコンテンツサーバ3及びユーザ端末4)及びその周辺装置に適用される。本実施形態における各部は、コンピュータ及びその周辺装置が備えるハードウェア並びに当該ハードウェアを制御するソフトウェアによって構成される。
【0027】
上記ハードウェアには、制御部としてのCPU(Central Processing Unit)の他、記憶部、通信装置、表示装置及び入力装置が含まれる。記憶部としては、例えば、メモリ(RAM:Random Access Memory、ROM:Read Only Memory等)、ハードディスクドライブ(HDD:Hard Disk Drive)及び光ディスク(CD:Compact Disk、DVD:Digital Versatile Disk等)ドライブが挙げられる。通信装置としては、例えば、各種有線及び無線インターフェース装置が挙げられる。表示装置としては、例えば、液晶ディスプレイやプラズマディスプレイ等の各種ディスプレイが挙げられる。入力装置としては、例えば、キーボード及びポインティング・デバイス(マウス、トラッキングボール等)が挙げられる。
【0028】
上記ソフトウェアには、上記ハードウェアを制御するコンピュータ・プログラムやデータが含まれる。コンピュータ・プログラムやデータは、記憶部により記憶され、制御部により適宜実行、参照される。また、コンピュータ・プログラムやデータは、通信回線を介して配布されることも可能であり、CD−ROM等のコンピュータ可読媒体に記録して配布されることも可能である。
【0029】
パスワード管理サーバ2は、本発明の機能を実行するプログラム(図示省略)等を記憶する第1記憶部23と、パスワード管理サーバ2に係る各機能を統括的に制御する第1制御部24と、を備える。
【0030】
第1記憶部23は、上述の各種プログラムの他に、第1認証情報DB231を備える。
第1認証情報DB231は、ユーザIDと当該ユーザIDに対応するパスワードとを関連付けて記憶する。
【0031】
第1制御部24は、登録情報受信手段としての登録情報受信部241と、変更情報受信手段としての変更情報受信部242と、サーバ側鍵生成手段としてのサーバ側鍵生成部243と、公開鍵配信手段としての公開鍵配信部244と、を備える。
【0032】
登録情報受信部241は、ユーザ端末4から、ユーザIDとパスワードとを登録情報として受信する。
【0033】
変更情報受信部242は、ユーザ端末4から、ユーザIDとパスワードとを変更情報として受信する。
【0034】
サーバ側鍵生成部243は、登録情報受信部241により登録情報を受信したことに応じて、登録情報に含まれるパスワードに基づいて秘密鍵及び公開鍵を生成する。また、変更情報受信部242により変更情報を受信したことに応じて、変更情報に含まれるパスワードに基づいて秘密鍵及び公開鍵を生成する。
例えば、サーバ側鍵生成部243は、公知技術である鍵生成アルゴリズムを用いて秘密鍵及び公開鍵を生成する。ここで、サーバ側鍵生成部243は、鍵生成アルゴリズムに対して、登録情報に含まれるパスワードを入力することによって、鍵生成アルゴリズムから秘密鍵及び公開鍵を得る。
【0035】
公開鍵配信部244は、サーバ側鍵生成部243により生成された公開鍵と、登録情報受信部241により受信した登録情報又は変更情報受信部242により受信した変更情報に含まれるユーザIDとを複数のコンテンツサーバ3それぞれに配信する。
【0036】
複数のコンテンツサーバ3それぞれは、本発明の機能を実行するプログラム(図示省略)等を記憶する第2記憶部33と、複数のコンテンツサーバ3に係る各機能を統括的に制御する第2制御部34と、を備える。
【0037】
第2記憶部33は、上述の各種プログラムの他に、第2認証情報DB331を備える。
第2認証情報DB331は、ユーザIDと、当該ユーザIDに対応する公開鍵とを関連付けて記憶する。
【0038】
第2制御部34は、記憶制御部341と、認証情報受信手段としての認証情報受信部342と、復号試行手段としての復号試行部343と、認証手段としての認証部344とを備える。
【0039】
記憶制御部341は、パスワード管理サーバ2から配信されたユーザIDと当該ユーザIDに対応する公開鍵とを受信し、これらを関連付けて第2認証情報DB331に記憶させる。
【0040】
認証情報受信部342は、ユーザ端末4から、ユーザIDと暗号化された認証用データとを受信する。
【0041】
復号試行部343は、認証情報受信部342により受信したユーザIDに対応する公開鍵を第2認証情報DB331から抽出する。そして、抽出した公開鍵によって、受信した認証用データの復号を試行する。
【0042】
認証部344は、復号試行部343によって、受信した暗号化された認証用データを復号できた場合に、ユーザ端末4が認証に成功したものとする。
【0043】
ユーザ端末4は、操作部41と、表示部42と、第3制御部44とを備える。
操作部41は、例えば、キーボード及びポインティング・デバイス(マウス、トラッキングボール等)により実装される。
表示部42は、例えば、液晶ディスプレイやプラズマディスプレイ等の各種ディスプレイにより実装される。
【0044】
第3制御部44は、ユーザ端末4に係る各機能を統括的に制御する。第3制御部44は、登録情報送信部441と、変更情報送信部442と、認証要求受付手段としての認証要求受付部443と、端末側鍵生成手段としての端末側鍵生成部444と、暗号化手段としての暗号化部445と、認証情報送信手段としての認証情報送信部446とを備える。
【0045】
登録情報送信部441は、操作部41を介して、ユーザからパスワード管理サーバ2のユーザ情報登録用ページのアドレスを受け付ける。そして、登録情報送信部441は、受け付けたアドレスに対応するパスワード管理サーバ2からユーザ情報登録用ページを受信する。そして、登録情報送信部441は、ユーザ情報登録用ページを表示部42に表示させて、ユーザIDとパスワードとの入力を受け付ける。そして、登録情報送信部441は、操作部41を介して、ユーザからユーザIDとパスワードとのパスワード管理サーバ2への登録を受け付ける。そして、登録情報送信部441は、ユーザから受け付けたユーザIDとパスワードとをパスワード管理サーバ2に送信する。
【0046】
変更情報送信部442は、ユーザからパスワード管理サーバ2のユーザ情報変更用ページのアドレスを受け付けて、当該アドレスに対応するパスワード管理サーバ2からユーザ情報変更用ページを受信する。そして、変更情報送信部442は、操作部41を介して、ユーザからユーザIDとパスワードとを受け付ける。そして、変更情報送信部442は、ユーザから受け付けたユーザIDとパスワードとをパスワード管理サーバ2に送信する。
【0047】
認証要求受付部443は、ユーザから認証要求を受け付ける。具体的には、認証要求受付部443は、ユーザからコンテンツサーバ3の認証用ページのアドレスを受け付けて、当該アドレスに対応するコンテンツサーバ3から認証用ページを受信する。そして、認証要求受付部443は、認証用ページを表示部42に表示させて、ユーザIDとパスワードとの入力を受け付ける。そして、認証要求受付部443は、操作部41を介して、ユーザからコンテンツサーバ3のアドレスとユーザIDとパスワードとを受け付けることにより、認証要求を受け付ける。
【0048】
端末側鍵生成部444は、認証要求受付部443によりユーザIDとパスワードとを受け付けたことに応じて、パスワードに基づいて秘密鍵及び公開鍵を生成する。秘密鍵及び公開鍵の生成は、パスワード管理サーバ2における秘密鍵及び公開鍵の生成と同様の方法で行われる。
【0049】
暗号化部445は、認証要求受付部443により、認証要求を受け付けたことに応じて、端末側鍵生成部444により生成された秘密鍵によって、認証用データを暗号化する。
【0050】
認証情報送信部446は、ユーザIDと暗号化された認証用データとをアドレスに対応するコンテンツサーバ3に送信する。
【0051】
[フローチャート]
続いて、認証システム1における処理の流れについて説明する。
図2は、本実施形態に係る認証システム1においてユーザ情報を登録する処理の流れを示すフローチャートである。
【0052】
ステップS1において、ユーザ端末4の第3制御部44(登録情報送信部441)は、操作部41を介して、ユーザからパスワード管理サーバ2のユーザ情報登録用ページの取得を要求する。
【0053】
ステップS2において、パスワード管理サーバ2の第1制御部24(登録情報受信部241)は、ユーザ端末4からユーザ情報登録用ページの取得要求を受け付ける。
ステップS3において、パスワード管理サーバ2の第1制御部24(登録情報受信部241)は、ステップS2において受け付けたユーザ情報登録用ページをユーザ端末4に送信する。
【0054】
ステップS4において、ユーザ端末4の第3制御部44(登録情報送信部441)は、ステップS3においてパスワード管理サーバ2から送信されたユーザ情報登録用ページを受信し、表示部42に表示させる。
【0055】
ステップS5において、ユーザ端末4の第3制御部44(登録情報送信部441)は、操作部41を介して、ユーザからユーザIDとパスワードとの入力を受け付ける。
ステップS6において、ユーザ端末4の第3制御部44(登録情報送信部441)は、ユーザから受け付けたユーザIDとパスワードとをパスワード管理サーバ2に登録情報として送信する。
【0056】
ステップS7において、パスワード管理サーバ2の第1制御部24(登録情報受信部241)は、ステップS6において送信された登録情報を受信する。
ステップS8において、パスワード管理サーバ2の第1制御部24(登録情報受信部241)は、ステップS7において受信した登録情報に含まれるユーザIDと当該ユーザIDに対応するパスワードとを関連付けて第1認証情報DB231に記憶させる。
【0057】
ステップS9において、パスワード管理サーバ2の第1制御部24(サーバ側鍵生成部243)は、ステップS7において登録情報を受信したことに応じて、登録情報に含まれるパスワードに基づいて秘密鍵及び公開鍵を生成する。
ステップS10において、パスワード管理サーバ2の第1制御部24(公開鍵配信部244)は、ステップS9において生成された公開鍵と、ステップS7において受信した登録情報に含まれるユーザIDとを複数のコンテンツサーバ3それぞれに配信する。
【0058】
ステップS11において、コンテンツサーバ3の第2制御部34(記憶制御部341)は、ステップS10において配信されたユーザIDと当該ユーザIDに対応する公開鍵とを受信し、当該ユーザIDと当該公開鍵とを関連付けて第2認証情報DB331に記憶させる。
【0059】
図3は、本実施形態に係る認証システム1においてユーザ情報を変更する処理の流れを示すフローチャートである。
【0060】
ステップS21において、ユーザ端末4の第3制御部44(変更情報送信部442)は、操作部41を介して、ユーザからパスワード管理サーバ2のユーザ情報変更用ページの取得を要求する。
【0061】
ステップS22において、パスワード管理サーバ2の第1制御部24(変更情報受信部242)は、ユーザ端末4からユーザ情報変更用ページの取得要求を受け付ける。
ステップS23において、パスワード管理サーバ2の第1制御部24(変更情報受信部242)は、ステップS22において受け付けたユーザ情報変更用ページをユーザ端末4に送信する。
【0062】
ステップS24において、ユーザ端末4の第3制御部44(変更情報送信部442)は、ステップS21においてパスワード管理サーバ2から送信されたユーザ情報変更用ページを受信し、表示部42に表示させる。
【0063】
ステップS25において、ユーザ端末4の第3制御部44(変更情報送信部442)は、操作部41を介して、ユーザからユーザIDとパスワードとの入力を受け付ける。
ステップS26において、ユーザ端末4の第3制御部44(変更情報送信部442)は、ユーザから受け付けたユーザIDとパスワードとをパスワード管理サーバ2に変更情報として送信する。
【0064】
ステップS27において、パスワード管理サーバ2の第1制御部24(変更情報受信部242)は、ステップS26において送信された変更情報を受信する。
ステップS28において、パスワード管理サーバ2の第1制御部24(変更情報受信部242)は、ステップS27において受信した変更情報に含まれるユーザIDと当該ユーザIDに対応するパスワードとを関連付けて第1認証情報DB231に記憶させる。
【0065】
ステップS29において、パスワード管理サーバ2の第1制御部24(サーバ側鍵生成部243)は、ステップS27において変更情報を受信したことに応じて、変更情報に含まれるパスワードに基づいて秘密鍵及び公開鍵を生成する。
ステップS30において、パスワード管理サーバ2の第1制御部24(公開鍵配信部244)は、ステップS29において生成された公開鍵と、ステップS27において受信した変更情報に含まれるユーザIDとを複数のコンテンツサーバ3それぞれに配信する。
【0066】
ステップS31において、コンテンツサーバ3の第2制御部34(記憶制御部341)は、ステップS30において配信されたユーザIDと当該ユーザIDに対応する公開鍵とを受信し、当該ユーザIDと当該公開鍵とを関連付けて第2認証情報DB331に記憶させる。
【0067】
図4は、本実施形態に係る認証システム1において認証を行う処理の流れを示すフローチャートである。
【0068】
ステップS41において、ユーザ端末4の第3制御部44(認証要求受付部443)は、操作部41を介して、ユーザからコンテンツサーバ3の認証用ページの取得を要求する。
【0069】
ステップS42において、コンテンツサーバ3の第2制御部34(認証情報受信部342)は、ユーザ端末4から認証用ページの取得要求を受け付ける。
ステップS43において、コンテンツサーバ3の第2制御部34(認証情報受信部342)は、ステップS42において受け付けた認証用ページをユーザ端末4に送信する。
【0070】
ステップS44において、ユーザ端末4の第3制御部44(認証要求受付部443)は、ユーザから受け付けた当該アドレスに対応するコンテンツサーバ3の認証用ページを、コンテンツサーバ3から受信し、表示部42に表示させる。
ステップS45において、ユーザ端末4の第3制御部44(認証要求受付部443)は、操作部41を介して、ユーザからユーザIDとパスワードとの入力を受け付ける。
【0071】
ステップS46において、ユーザ端末4の第3制御部44(端末側鍵生成部444)は、ステップS45においてユーザからユーザIDとパスワードとを受け付けたことに応じて、パスワードに基づいて秘密鍵及び公開鍵を生成する。
ステップS47において、ユーザ端末4の第3制御部44(暗号化部445)は、ステップS46において生成された秘密鍵によって、認証用データを暗号化する。
【0072】
ステップS48において、ユーザ端末4の第3制御部44(認証情報送信部446)は、ステップS45において受け付けたユーザIDとステップS47において暗号化した認証用データとをステップS41において認証用ページの取得を要求したコンテンツサーバ3に送信する。
【0073】
ステップS49において、コンテンツサーバ3の第2制御部34(認証情報受信部342)は、ユーザ端末4から、ユーザIDと暗号化された認証用データとを受信する。
【0074】
ステップS50において、コンテンツサーバ3の第2制御部34(復号試行部343)は、ステップS49において受信したユーザIDに対応する公開鍵を第2認証情報DB331から取得し、当該公開鍵によってステップS49において受信した暗号化された認証用データの復号を試行する。コンテンツサーバ3の第2制御部34(復号試行部343)は、復号が成功した場合(ステップS50:YES)、ステップS51に処理を移す。コンテンツサーバ3の第2制御部34(復号試行部343)は、復号が成功しなかった場合(ステップS50:NO)、ステップS52に処理を移す。
【0075】
ステップS51において、コンテンツサーバ3の第2制御部34(認証部344)は、ユーザ端末4が認証に成功したものとし、認証に成功した旨を示すページをユーザ端末4に送信する。その後、コンテンツサーバ3からユーザ端末4にコンテンツが送信される。
ステップS52において、コンテンツサーバ3の第2制御部34(認証部344)は、ユーザ端末4が認証に失敗したものとし、認証に失敗した旨を示すページをユーザ端末4に送信する。
【0076】
ステップS53において、ユーザ端末4の第3制御部44は、ステップS51又はステップS52においてコンテンツサーバ3から送信された認証結果に係るページを受信する。
ステップS54において、ユーザ端末4の第3制御部44は、ステップS53において受信した認証結果に係るページを表示部42に表示させる。
【0077】
以上、本実施形態によれば、認証システム1では、ユーザ端末4は、端末側鍵生成部444により、認証要求受付部443によりユーザIDとパスワードとを受け付けた場合に、パスワードに基づいて秘密鍵及び公開鍵を生成し、暗号化部445により、端末側鍵生成部444により生成された秘密鍵によって、認証用データを暗号化し、認証情報送信部446により、ユーザIDと暗号化された認証用データとを対応するコンテンツサーバ3に送信する。また、コンテンツサーバ3は、復号試行部343により、認証情報受信部342により受信したユーザIDに対応し、第2認証情報DB331に記憶されている公開鍵によって、受信した認証用データの復号を試行し、認証部344により、復号試行部343により暗号化された認証用データを復号できた場合に、ユーザ端末4が認証に成功したものとする。
【0078】
このように、コンテンツサーバ3は、コンテンツサーバ3に記憶されている公開鍵に基づいて、ユーザ端末4から受信した暗号化された認証用データを復号できたことに応じて、ユーザ端末4が認証に成功したものとするので、認証時にパスワード管理サーバ2にアクセスすることなく認証を行うことができる。また、コンテンツサーバ3では、パスワードの照合を行うことなく、公開鍵によって認証を行う。ここで、公開鍵に基づいてパスワードを推定することは困難であることから、認証システム1は、コンテンツサーバ3から第三者に対して公開鍵が漏えいした場合であっても、セキュリティを維持することができる。したがって、認証システム1は、クラウドコンピューティングを利用した場合であっても、セキュリティが強固、かつ、認証に係る処理が遅延しにくいものとすることができる。
【0079】
また、認証システム1では、パスワード管理サーバ2は、登録情報受信部241により、ユーザ端末4から、ユーザIDとパスワードとを登録情報として受信し、サーバ側鍵生成部243により、登録情報受信部241により登録情報を受信したことに応じて、登録情報に含まれるパスワードに基づいて秘密鍵及び公開鍵を生成し、公開鍵配信部244により、サーバ側鍵生成部243により生成された公開鍵と、登録情報受信部241により受信した登録情報に含まれるユーザIDとを複数のコンテンツサーバ3それぞれに配信する。
【0080】
このように、認証システム1は、パスワード管理サーバ2がユーザ端末4から受信したパスワードをコンテンツサーバ3に送信することがないため、パスワードの受け渡し時における盗聴等のリスクを排除して、セキュリティを強固なものとすることができる。
【0081】
また、認証システム1では、パスワード管理サーバ2は、変更情報受信部242により、ユーザ端末4から、ユーザIDとパスワードとを変更情報として受信し、サーバ側鍵生成部243により、変更情報受信部242により変更情報を受信したことに応じて、変更情報に含まれるパスワードに基づいて秘密鍵及び公開鍵を生成する。
【0082】
このように、認証システム1は、ユーザ端末4におけるパスワードの更新においてもパスワード管理サーバ2からコンテンツサーバ3にパスワードが送信されない。よって、認証システム1は、パスワードの更新時においても、パスワードの受け渡し時における盗聴等のリスクを排除して、セキュリティを強固なものとすることができる。
【0083】
以上、本発明の実施形態について説明したが、本発明は前述した実施形態に限るものではない。また、本発明の実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、本発明の実施形態に記載されたものに限定されるものではない。
【0084】
本実施形態では、パスワード管理サーバ2、コンテンツサーバ3、及びユーザ端末4というコンピュータを含む認証システム1を例にとって説明したが、本発明は当該システムに限られるものではなく、それぞれのコンピュータが各種機能を実行する方法、コンピュータに各種機能を実行させるためのプログラム、及びこのプログラムを記憶した記憶媒体にも適用可能である。
【符号の説明】
【0085】
1 認証システム
2 パスワード管理サーバ
3 コンテンツサーバ
4 ユーザ端末
23 第1記憶部
24 第1制御部
33 第2記憶部
34 第2制御部
41 操作部
42 表示部
43 第3制御部
231 第1認証情報DB
241 登録情報受信部
242 変更情報受信部
243 サーバ側鍵生成部
244 公開鍵配信部
331 第2認証情報DB
341 記憶制御部
342 認証情報受信部
343 復号試行部
344 認証部
441 登録情報送信部
442 変更情報送信部
443 認証要求受付部
444 端末側鍵生成部
445 暗号化部
446 認証情報送信部

【特許請求の範囲】
【請求項1】
ユーザ端末と、前記ユーザ端末と通信可能に接続された複数サーバとを備える認証システムであって、
前記ユーザ端末は、
ユーザから、前記複数サーバのいずれかに対する認証要求を受け付ける認証要求受付手段と、
前記認証要求受付手段により前記認証要求を受け付けた場合に、認証用データを秘密鍵によって暗号化する暗号化手段と、
前記ユーザのユーザIDと暗号化された前記認証用データとを前記認証要求に対応するサーバに送信する認証情報送信手段と、を有し、
前記複数サーバそれぞれは、
前記ユーザIDと、当該ユーザIDに対応する公開鍵とを記憶する認証情報記憶手段と、
前記ユーザ端末から、前記ユーザIDと暗号化された前記認証用データとを受信する認証情報受信手段と、
前記認証情報受信手段により受信した前記ユーザIDに対応し、前記認証情報記憶手段に記憶されている前記公開鍵によって、受信した認証用データの復号を試行する復号試行手段と、
前記復号試行手段によって、受信した暗号化された前記認証用データを復号できた場合に、前記ユーザ端末が認証に成功したものとする認証手段と、を有する認証システム。
【請求項2】
前記認証要求受付手段は、前記ユーザから前記サーバのアドレスとユーザIDとパスワードとを認証情報として受け付けることにより、前記認証要求を受け付け、
前記認証要求受付手段により受け付けた前記パスワードに基づいて前記秘密鍵を生成する端末側鍵生成手段を更に備え、
前記暗号化手段は、前記端末側鍵生成手段により生成された前記秘密鍵によって、認証用データを暗号化し、
前記認証情報送信手段は、前記ユーザのユーザIDと暗号化された前記認証用データとを前記アドレスに対応するサーバに送信する、
請求項1記載の認証システム。
【請求項3】
前記認証システムは、前記ユーザ端末及び前記複数サーバに対して通信可能に接続されたパスワード管理サーバを更に備え、
前記パスワード管理サーバは、
前記ユーザ端末から、前記ユーザIDと前記パスワードとを登録情報として受信する登録情報受信手段と、
前記登録情報受信手段により前記登録情報を受信したことに応じて、前記登録情報に含まれるパスワードに基づいて秘密鍵及び公開鍵を生成するサーバ側鍵生成手段と、
前記サーバ側鍵生成手段により生成された公開鍵と、前記登録情報受信手段により受信した前記登録情報に含まれるユーザIDとを前記複数サーバそれぞれに配信する公開鍵配信手段と、を有する、
請求項2記載の認証システム。
【請求項4】
前記パスワード管理サーバは、
前記ユーザ端末から、前記ユーザIDと前記パスワードとを変更情報として受信する変更情報受信手段と、
前記サーバ側鍵生成手段は、前記変更情報受信手段により変更情報を受信したことに応じて、前記変更情報に含まれるパスワードに基づいて前記秘密鍵及び前記公開鍵を生成する、
請求項3記載の認証システム。
【請求項5】
ユーザ端末と、前記ユーザ端末と通信可能に接続された複数サーバとを備える認証システムにおいて実行される認証方法であって、
前記ユーザ端末が、
ユーザから、前記複数サーバのいずれかに対する認証要求を受け付ける認証要求受付ステップと、
前記認証要求受付ステップにおいて前記認証要求を受け付けた場合に、認証用データを秘密鍵によって暗号化する暗号化ステップと、
前記ユーザのユーザIDと暗号化された前記認証用データとを前記認証要求に対応するサーバに送信する認証情報送信ステップと、を実行し、
前記複数サーバそれぞれは、
前記ユーザIDと、当該ユーザIDに対応する公開鍵とを記憶する認証情報記憶手段とを備え、
前記ユーザ端末から、前記ユーザIDと暗号化された前記認証用データとを受信する認証情報受信ステップと、
前記認証情報受信ステップにおいて受信した前記ユーザIDに対応し、前記認証情報記憶手段に記憶されている前記公開鍵によって、受信した認証用データの復号を試行する復号試行ステップと、
前記復号試行ステップにおいて、受信した暗号化された前記認証用データを復号できた場合に、前記ユーザ端末が認証に成功したものとする認証ステップと、を実行する認証方法。

【図1】
image rotate

【図2】
image rotate

【図3】
image rotate

【図4】
image rotate


【公開番号】特開2012−247858(P2012−247858A)
【公開日】平成24年12月13日(2012.12.13)
【国際特許分類】
【出願番号】特願2011−117207(P2011−117207)
【出願日】平成23年5月25日(2011.5.25)
【出願人】(500257300)ヤフー株式会社 (1,128)
【Fターム(参考)】