JP2007293811A - Proxy authentication system, proxy authentication method, and authentication device used therefor - Google Patents
Proxy authentication system, proxy authentication method, and authentication device used therefor Download PDFInfo
- Publication number
- JP2007293811A JP2007293811A JP2007013782A JP2007013782A JP2007293811A JP 2007293811 A JP2007293811 A JP 2007293811A JP 2007013782 A JP2007013782 A JP 2007013782A JP 2007013782 A JP2007013782 A JP 2007013782A JP 2007293811 A JP2007293811 A JP 2007293811A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- authentication information
- network
- user
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
この発明は例えばインターネット上で認証を必要とするサービスを利用する際の認証手続きに関し、特にユーザ端末に代わって認証手続きを行う代理認証システム及びその方法に関する。 The present invention relates to an authentication procedure when using a service requiring authentication on the Internet, for example, and more particularly to a proxy authentication system and method for performing an authentication procedure on behalf of a user terminal.
サーバがユーザ認証を行うにあたり、ユーザIDとパスワードの組み合わせに代わる、ユーザが簡単かつ確実に実施できる認証手段が必要とされ、このような手段の一つとして、認証を行おうとするサーバに対し、ユーザ端末が予め蓄積されていたユーザ認証情報を提示し、サーバがそのユーザ認証情報を参照してユーザ認証(クライアント認証)することが有効とされている。
この場合、例えばユーザが多数のユーザ端末を有している場合にはユーザ認証情報をユーザ端末毎に設定する必要があり、さらにそのユーザ認証情報が更新された場合にはユーザ端末毎に更新する必要があり、これらの点でユーザの負担が大きいといった問題がある。
When the server authenticates the user, an authentication means that can be easily and surely performed by the user instead of the combination of the user ID and the password is required. As one of such means, for the server to be authenticated, It is effective that the user terminal presents user authentication information stored in advance and the server performs user authentication (client authentication) with reference to the user authentication information.
In this case, for example, when the user has a large number of user terminals, the user authentication information needs to be set for each user terminal, and when the user authentication information is updated, the user authentication information is updated for each user terminal. There is a problem that the burden on the user is large in these respects.
一方、ユーザ認証情報をユーザ端末毎に設定する場合、そのユーザ認証情報を各ユーザ端末は蓄積できなければならず、これは例えばデジタルテレビやデジタルビデオレコーダ等の情報家電では製造コストを押し上げる要因となる。また、ユーザ端末がユーザ認証情報の蓄積、設定機能を具備しておらず、ユーザ端末のソフトウェアのアップデートも行えない場合、ユーザ認証情報に基づく認証を実施することができないものとなる。
このような問題に対し、ユーザやユーザ端末の認証手続きの負担を軽減するため、認証手続きを代行するシステムが例えば特許文献1に提案されている。
On the other hand, when setting user authentication information for each user terminal, the user authentication information must be stored in each user terminal, which is a factor that increases manufacturing costs in information home appliances such as digital televisions and digital video recorders. Become. Further, if the user terminal does not have a function for storing and setting user authentication information and the user terminal software cannot be updated, authentication based on the user authentication information cannot be performed.
For such a problem, for example, Patent Document 1 proposes a system that performs an authentication procedure in order to reduce the burden of the authentication procedure of the user or the user terminal.
特許文献1ではエージェント認証部とサーバ毎のエージェントサービス処理部とを有するアクセス制御システムがユーザ端末及びサーバと接続され、エージェント認証部はユーザ端末からのエージェント認証要求を受け、エージェント認証証明書を発行し、各エージェントサービス処理部はユーザ端末からのサービス利用要求を受け、その利用要求に添付されるエージェント認証証明書が正当であれば、サーバからサーバ認証証明書を取得し、あるいは以前に取得済みの場合はサーバ認証証明書を取り出し、そのサーバ認証証明書と共にサーバに対してサービス利用要求を行うものとなっており、ユーザ端末の複数のサーバへの認証手続きを代行するものとなっている。
しかるに、上述した特許文献1に記載されているアクセス制御システムではシステム内に各サーバ毎のエージェントサービス処理部を有するものとなっており、よって例えばサーバが追加された場合にはそのサーバに対応したエージェントサービス処理部を設定しなければならず、またサーバが変更になった場合にはそれに対応してエージェントサービス処理部の設定を変更しなければならず、これらの点でユーザには負担がかかり、煩雑な作業をしいるものとなっていた。
この発明の目的はある閉域ネットワーク内のユーザ端末から例えばインターネット上で認証を必要とするサービスを利用する際のユーザの負担を大幅に軽減できるようにした代理認証システム及び方法を提供することにある。
However, the access control system described in Patent Document 1 described above has an agent service processing unit for each server in the system. For example, when a server is added, the server corresponds to the server. The agent service processing unit must be set, and if the server is changed, the agent service processing unit must be changed accordingly, which places a burden on the user. It was a cumbersome task.
An object of the present invention is to provide a proxy authentication system and method that can greatly reduce the burden on the user when using a service that requires authentication, for example, on the Internet from a user terminal in a closed network. .
この発明の第1の構成によれば、第1のネットワーク内のユーザ端末から第2のネットワーク上のサービス提供サーバが提供する認証を必要とするサービスを利用する際の認証手続きをユーザ端末に代わって行う代理認証システムは、第1のネットワークと第2のネットワークとを接続する認証装置と、第2のネットワーク上の認証サーバとによって構成され、認証装置は認証に必要なユーザ認証情報を記憶し、そのユーザ認証情報をもとに第1の認証情報を生成する機能を有し、認証サーバはサービス提供サーバからの認証要求により認証装置における第1の認証情報の生成を要求し、かつその生成された第1の認証情報を検証して正当であれば第2の認証情報を生成する機能を有するものとされ、サービス提供サーバは第2の認証情報を受けて検証し、正当であればユーザ端末にサービスを提供する構成とされる。 According to the first configuration of the present invention, an authentication procedure when using a service that requires authentication provided by a service providing server on the second network from a user terminal in the first network is substituted for the user terminal. The proxy authentication system is configured by an authentication device that connects the first network and the second network, and an authentication server on the second network, and the authentication device stores user authentication information necessary for authentication. And a function of generating first authentication information based on the user authentication information, wherein the authentication server requests generation of the first authentication information in the authentication device by an authentication request from the service providing server, and generation thereof The first authentication information is verified, and if it is valid, it has a function of generating the second authentication information, and the service providing server obtains the second authentication information. Only to verify, it is configured to provide a service to the user terminal if legitimate.
この発明の第2の構成によれば、第1のネットワーク内のユーザ端末から第2のネットワーク上のサービス提供サーバが提供する認証を必要とするサービスを利用する際の認証手続きをユーザ端末に代わって行う代理認証システムは、第1のネットワークと第2のネットワークとを接続する認証装置と、第2のネットワーク上の認証サーバとによって構成され、認証装置はユーザ端末との接続状態情報をもとに第1の認証情報を生成する機能を有し、認証サーバはサービス提供サーバからの認証要求により認証装置における第1の認証情報の生成を要求し、かつその生成された第1の認証情報を検証して正当であれば第2の認証情報を生成する機能を有するものとされ、サービス提供サーバは第2の認証情報を受けて検証し、正当であればユーザ端末にサービスを提供する構成とされる。 According to the second configuration of the present invention, an authentication procedure when using a service that requires authentication provided by a service providing server on the second network from a user terminal in the first network is substituted for the user terminal. The proxy authentication system is configured by an authentication device that connects the first network and the second network, and an authentication server on the second network, and the authentication device is based on connection state information with the user terminal. The authentication server has a function of generating the first authentication information, and the authentication server requests generation of the first authentication information in the authentication apparatus by an authentication request from the service providing server, and the generated first authentication information is If verified, it is assumed to have a function of generating second authentication information, and the service providing server receives and verifies the second authentication information. It is configured to provide a service to The terminal.
また、この発明による第1の代理認証方法は、第1のネットワークと第2のネットワークとを接続する認証装置と第2のネットワーク上の認証サーバとを備え、第1のネットワーク内のユーザ端末から第2のネットワーク上のサービス提供サーバが提供する認証を必要とするサービスを利用する際の認証手続きをユーザ端末に代わって行う方法であって、サービス提供サーバはユーザ端末からのサービス提供要求を受信すると、認証サーバに認証要求を送信し、認証サーバは認証要求を受信すると、認証装置に第1の認証情報生成要求を送信し、認証装置は第1の認証情報生成要求を受信すると、予め記憶しているユーザ認証情報をもとに第1の認証情報を生成して、その生成した第1の認証情報を認証サーバに送信し、認証サーバは第1の認証情報を受信すると、その第1の認証情報を検証し、正当であれば第2の認証情報を生成して、その生成した第2の認証情報をサービス提供サーバに送信し、サービス提供サーバは第2の認証情報を受信すると、その第2の認証情報を検証し、正当であればユーザ端末にサービスを提供する。 The first proxy authentication method according to the present invention comprises an authentication device for connecting the first network and the second network, and an authentication server on the second network, from a user terminal in the first network. A method for performing, instead of a user terminal, an authentication procedure when using a service requiring authentication provided by a service providing server on a second network, wherein the service providing server receives a service provision request from the user terminal Then, an authentication request is transmitted to the authentication server. When the authentication server receives the authentication request, the authentication server transmits a first authentication information generation request to the authentication device. When the authentication device receives the first authentication information generation request, the authentication server stores in advance The first authentication information is generated based on the user authentication information being transmitted, and the generated first authentication information is transmitted to the authentication server. When the certificate information is received, the first authentication information is verified. If it is valid, the second authentication information is generated, and the generated second authentication information is transmitted to the service providing server. When the second authentication information is received, the second authentication information is verified, and if it is valid, the service is provided to the user terminal.
さらに、この発明による第2の代理認証方法は、第1のネットワークと第2のネットワークとを接続する認証装置と第2のネットワーク上の認証サーバとを備え、第1のネットワーク内のユーザ端末から第2のネットワーク上のサービス提供サーバが提供する認証を必要とするサービスを利用する際の認証手続きをユーザ端末に代わって行う方法であって、サービス提供サーバはユーザ端末からのサービス提供要求を受信すると、認証サーバに認証要求を送信し、認証サーバは認証要求を受信すると、認証装置に第1の認証情報生成要求を送信し、認証装置は第1の認証情報生成要求を受信すると、ユーザ端末との接続状態情報をもとに第1の認証情報を生成して、その生成した第1の認証情報を認証サーバに送信し、認証サーバは第1の認証情報を受信すると、その第1の認証情報を検証し、正当であれば第2の認証情報を生成して、その生成した第2の認証情報をサービス提供サーバに送信し、サービス提供サーバは第2の認証情報を受信すると、その第2の認証情報を検証し、正当であればユーザ端末にサービスを提供する。 Furthermore, the second proxy authentication method according to the present invention comprises an authentication device for connecting the first network and the second network, and an authentication server on the second network, from a user terminal in the first network. A method for performing, instead of a user terminal, an authentication procedure when using a service requiring authentication provided by a service providing server on a second network, wherein the service providing server receives a service provision request from the user terminal Then, an authentication request is transmitted to the authentication server. When the authentication server receives the authentication request, the authentication server transmits a first authentication information generation request to the authentication device. When the authentication device receives the first authentication information generation request, the user terminal The first authentication information is generated on the basis of the connection state information to the server, and the generated first authentication information is transmitted to the authentication server. The authentication server When the information is received, the first authentication information is verified. If it is valid, the second authentication information is generated, and the generated second authentication information is transmitted to the service providing server. When the second authentication information is received, the second authentication information is verified, and if it is valid, the service is provided to the user terminal.
この発明によれば、ユーザ端末のユーザ認証情報を一括して認証装置内に格納するため、ユーザは個々のユーザ端末でユーザ認証情報を管理する必要がなくなり、ユーザの操作性の向上、ユーザ認証情報更新時のメンテナンス性の向上が図れ、ユーザの負担を大幅に軽減することができる。特に、デジタルテレビやデジタルビデオレコーダ等の情報家電では入力インタフェイスが十分でなく、ユーザメリットが大きい。
また、ユーザ認証情報をユーザ端末で管理する必要がなくなることから、各ユーザ端末は高いセキュリティ仕様を必要としないため、その点でユーザ端末のコスト低減に寄与することができる。
さらに、認証装置がユーザ認証情報を記憶し、そのユーザ認証情報をもとに認証サーバに有効な第1の認証情報を生成する構成に代え、ユーザ端末との接続状態情報をもとに第1の認証情報を生成する構成とすれば、ユーザの、ユーザ端末からユーザ名やパスワードといった個人情報の入力作業を不要とすることができる。
According to the present invention, since user authentication information of user terminals is stored in the authentication apparatus in a lump, the user does not need to manage user authentication information at each user terminal, improving user operability, and user authentication. Maintenance at the time of information update can be improved, and the burden on the user can be greatly reduced. In particular, information home appliances such as digital televisions and digital video recorders do not have a sufficient input interface, resulting in great user benefits.
In addition, since it is not necessary to manage user authentication information at the user terminal, each user terminal does not require high security specifications, which can contribute to cost reduction of the user terminal.
Further, instead of a configuration in which the authentication device stores user authentication information and generates first authentication information effective for the authentication server based on the user authentication information, the first authentication device stores first authentication information based on connection state information with the user terminal. If it is set as the structure which produces | generates this authentication information, the input operation | work of personal information, such as a user name and a password, from a user terminal of a user can be made unnecessary.
以下、この発明の実施形態を図面を参照して説明する。
〈実施形態1〉
図1はこの発明による代理認証システムの実施形態1の構成を示したものであり、この形態では第1のネットワークはLAN(図示せず)とされ、第2のネットワークはインターネット40とされ、これら第1のネットワーク(LAN)と第2のネットワーク(インターネット40)とを接続する認証装置としてゲートウェイ(ホームゲートウェイ)10が用いられる。インターネット40上には認証サーバ20とサービス提供サーバ(認証を必要とするサービスを提供するサーバ)30とが存在している。LANは例えば家庭内LANであって、複数のユーザ端末50−1,50−2,50−3,…がLANに接続されている。これらユーザ端末50は例えば情報家電やPC(パーソナルコンピュータ)等とされる。認証サーバ20はシングルサインオンサービスを提供する認証プロバイダが保有するサーバであり、サービス提供サーバ30はユーザ端末50からのサービス提供要求を受けてサービスを提供するサービス事業者のサーバである。この発明におけるシングルサインオンサービスでは、ユーザはサービス提供サーバ30のサービス利用時に常に認証サーバ20からユーザ認証を受ける。サービス提供サーバ30は認証サーバ20から受信したユーザ認証結果に基づいてユーザにサービスを提供する。さらに、サービス提供サーバ30が複数存在する場合(サービス提供サーバ30−1,30−2,30−3,…がインターネット40に接続している場合)であっても、ユーザは常に認証サーバ20にて認証を受けることで各々のサービス提供サーバを利用できる。認証プロバイダは例えばインターネットサービスプロバイダ(ISP)が兼ねるものとされる。なお、図1中、12はゲートウェイ10内の演算部を示し、13は記憶部を示す。
Embodiments of the present invention will be described below with reference to the drawings.
<Embodiment 1>
FIG. 1 shows the configuration of Embodiment 1 of a proxy authentication system according to the present invention. In this embodiment, the first network is a LAN (not shown), and the second network is the Internet 40. A gateway (home gateway) 10 is used as an authentication device for connecting the first network (LAN) and the second network (Internet 40). An
図2は図1に示した代理認証システムによって実行される代理認証手続きの手順を示すシーケンス図であり、以下、図2を参照して手順を説明する。
(1)ユーザはユーザ端末50を用いてサービス提供サーバ30に対し、サービス提供を要求する。サービス提供要求はユーザ端末50からサービス提供サーバ30に送信される(S101)。
(2)サービス提供要求を受信したサービス提供サーバ30はサービス提供を要求したユーザ端末50を特定する識別子51を生成する(S102)。識別子51はユーザ端末50を特定できる付加的な情報(例えばIPアドレス)をもとに生成される。
(3)サービス提供サーバ30はサービス提供に必要なユーザ認証を認証サーバ20にて行うよう、認証要求を認証サーバ20に送信する(S103)。この時、識別子51も送信され、認証サーバ20に通知される。
(4)認証要求を受信した認証サーバ20は認証要求をしたサービス提供サーバ30を特定する識別子31を生成する(S104)。識別子31はサービス提供サーバ30を特定できる付加的な情報(例えばIPアドレス)をもとに生成される。
(5)認証サーバ20はユーザ認証に必要な第1の認証情報をゲートウェイ10にて生成するよう、第1の認証情報生成要求をゲートウェイ10に送信する(S105)。この時、識別子31,51も送信され、ゲートウェイ10に通知される。
FIG. 2 is a sequence diagram showing a procedure of a proxy authentication procedure executed by the proxy authentication system shown in FIG. 1, and the procedure will be described below with reference to FIG.
(1) The user requests the
(2) Upon receiving the service provision request, the
(3) The
(4) Upon receiving the authentication request, the
(5) The
(6)第1の認証情報生成要求を受信したゲートウェイ10は第1の認証情報生成要求をした認証サーバ20を特定する識別子21を生成する(S106)。識別子21は認証サーバ20を特定できる付加的な情報(例えばIPアドレス)をもとに生成される。
(7)ゲートウェイ10は予め記憶部13に記憶しているユーザ認証情報をもとに、認証サーバ20に有効なユーザの第1の認証情報を演算部12において生成し(S107)、その生成した第1の認証情報を識別子21をもとに認証サーバ20に送信する(S108)。この時、識別子31,51も送信される。
(8)第1の認証情報を受信した認証サーバ20は第1の認証情報を検証する(S109)。そして、第1の認証情報の正当性が確認できた場合、認証サーバ20はサービス提供サーバ30に有効な第2の認証情報を生成し(S110)、その生成した第2の認証情報を識別子31をもとにサービス提供サーバ30に送信する(S111)。この時、識別子51も送信される。
(9)第2の認証情報を受信したサービス提供サーバ30は第2の認証情報を検証し(S112)、正当性を確認できた場合、識別子51をもとにユーザ端末50に対し、サービスを提供する(S113)。
(6) The
(7) Based on the user authentication information stored in advance in the
(8) Upon receiving the first authentication information, the
(9) Upon receiving the second authentication information, the
〈実施形態2〉
図3はこの発明による代理認証システムの実施形態2の構成を示したものであり、この形態では実施形態1のゲートウェイ10がユーザ認証情報を記憶するための専用のユーザ認証情報記憶手段14を具備するものとされ、ユーザ認証情報はゲートウェイ10の記憶部13ではなく、この独立した機能のユーザ認証情報記憶手段14に格納される。ユーザ認証情報記憶手段14は例えばICチップ等とされる。
図4はこの実施形態2の代理認証手続きの手順を示したものであり、図2に示した実施形態1の手順に対し、ゲートウェイ10における識別子21生成(S106)の後に、ユーザ認証情報記憶手段14からユーザ認証情報を読出すステップ(S121)が加わる。
<Embodiment 2>
FIG. 3 shows a configuration of a second embodiment of the proxy authentication system according to the present invention. In this embodiment, the
FIG. 4 shows the procedure of the proxy authentication procedure of the second embodiment. Compared with the procedure of the first embodiment shown in FIG. 2, the user authentication information storage means is generated after the identifier 21 is generated in the gateway 10 (S106). A step (S121) of reading user authentication information from 14 is added.
〈実施形態3〉
図5はこの発明による代理認証システムの実施形態3の構成を示したものであり、この形態では図3に示した実施形態2におけるユーザ認証情報記憶手段14が演算部15を有し、つまり演算機能を備えるものとされ、この演算部15で第1の認証情報が生成されるものとされる。このユーザ認証情報記憶手段14は例えばCPUを内蔵したICチップ等とされる。
図6はこの実施形態3の代理認証手続きの手順を示したものであり、この形態ではゲートウェイ10は識別子21生成(S106)の後に、ユーザ認証情報記憶手段14に対し、第1の認証情報を生成するよう要求する(S131)。ユーザ認証情報記憶手段14は予め記憶しているユーザ認証情報をもとに第1の認証情報を演算部15において生成し(S132)、さらにこの例では電子署名を生成して第1の認証情報に付加する(S133)。
<Embodiment 3>
FIG. 5 shows the configuration of a third embodiment of the proxy authentication system according to the present invention. In this embodiment, the user authentication information storage means 14 in the second embodiment shown in FIG. It is assumed that the first authentication information is generated by the calculation unit 15. The user authentication information storage means 14 is, for example, an IC chip with a built-in CPU.
FIG. 6 shows the procedure of the proxy authentication procedure of the third embodiment. In this embodiment, the
ユーザ認証情報記憶手段14は生成した第1の認証情報及び電子署名をゲートウェイ10に送信し(S134)、ゲートウェイ10は受信した第1の認証情報及び電子署名を識別子21をもとに認証サーバ20に送信する。認証サーバ20は電子署名及び第1の認証情報を検証し(S136)、正当性を確認できた場合、第2の認証情報を生成する(S110)。
この形態では以上説明したステップS131〜136が図2に示した実施形態1におけるステップS107〜109に代わって実行される。
The user authentication
In this embodiment, steps S131 to S136 described above are executed in place of steps S107 to 109 in the first embodiment shown in FIG.
〈実施形態4〉
実施形態4は実施形態1の構成において、ユーザ端末50とサービス提供サーバ30、認証サーバ20間の要求、応答の情報流通に、ユーザ端末(クライアント端末)の要求情報とサーバの応答情報とが組になって用いられるリクエスト・レスポンスプロトコルを用いるもので、図7はその代理認証手続きの手順を示したものであり、以下、図7を参照して手順を説明する。
<Embodiment 4>
In the configuration of the first embodiment, the request information of the user terminal (client terminal) and the response information of the server are combined with the information distribution of the request and response between the
(1)ユーザはユーザ端末50を用いてサービス提供サーバ30に対し、サービス提供を要求する。サービス提供要求はユーザ端末50からサービス提供サーバ30に送信される(S101)。
(2)サービス提供要求を受信したサービス提供サーバ30はサービス提供に必要なユーザ認証を認証サーバ20にて行うよう応答する(S141)。この時、サービス提供サーバ30はサービス提供サーバ30を特定する識別子31と、認証サーバ20を特定する識別子21をユーザ端末50に送信する。
(3)ユーザ端末50は識別子21を用いて認証サーバ20にアクセスし、認証要求を送信する。この時、ユーザ端末50は認証サーバ20に識別子31を送信する。
(4)認証要求を受信した認証サーバ20はユーザ認証に必要な第1の認証情報をゲートウェイ10にて生成するよう応答する(S142)。この時、認証サーバ20は識別子21,31とゲートウェイ10を特定する識別子11をユーザ端末50に送信する。
(5)ユーザ端末50は識別子11を用いてゲートウェイ10にアクセスし、第1の認証情報生成要求を送信する。この時、ユーザ端末50はゲートウェイ10に識別子21と31を送信する。
(1) The user requests the
(2) Upon receiving the service provision request, the
(3) The
(4) Upon receiving the authentication request, the
(5) The
(6)第1の認証情報生成要求を受信したゲートウェイ10は予め記憶部13に記憶しているユーザ認証情報をもとに演算部12において第1の認証情報を生成し(S107)、ユーザ端末50に対し、第1の認証情報を認証サーバ20に送信するよう応答する(S143)。この時、ゲートウェイ10は識別子21,31をユーザ端末50に送信する。
(7)ユーザ端末50は識別子21を用いて認証サーバ20にアクセスし、第1の認証情報を送信する。この時、ユーザ端末50は認証サーバ20に識別子31を送信する。
(8)第1の認証情報を受信した認証サーバ20は第1の認証情報を検証し(S109)、その正当性が確認できた場合、第2の認証情報を生成し(S110)、ユーザ端末50に対し、第2の認証情報をサービス提供サーバ30に送信するよう応答する(S144)。この時、認証サーバ20はユーザ端末50に識別子31を送信する。
(9)ユーザ端末50は識別子31を用いてサービス提供サーバ30にアクセスし、第
2の認証情報を送信する。
(10)第2の認証情報を受信したサービス提供サーバ30は第2の認証情報を検証し(S112)、正当性を確認できた場合、ユーザ端末50に対し、サービスを提供する(S113)。
(6) The
(7) The
(8) The
(9) The
(10) Upon receiving the second authentication information, the
なお、この形態では認証サーバ20のアドレス情報はサービス提供サーバ30に事前登録され、またゲートウェイ10のアドレス情報は認証サーバ20に事前登録されており、よってサービス提供サーバ30は認証要求(S141)に際してユーザ端末50に識別子21を与えることができ、認証サーバ20は第1の認証情報生成要求(S142)に際してユーザ端末50に識別子11を与えることができる。
In this embodiment, the address information of the
〈実施形態5〉
実施形態5は実施形態1に対する実施形態4と同様、実施形態2の構成において、リクエスト・レスポンスプロトコルを用いるもので、その代理認証手続きの手順を図8に示す。
図8に示したようにこの形態では図7に示した実施形態4の手順に対し、第1の認証情報生成要求(S142)の後に、ユーザ認証情報記憶手段14からユーザ認証情報を読出すステップ(S121)が加わる。
<
As in the fourth embodiment with respect to the first embodiment, the fifth embodiment uses a request / response protocol in the configuration of the second embodiment, and FIG. 8 shows the procedure of the proxy authentication procedure.
As shown in FIG. 8, in this embodiment, in contrast to the procedure of the embodiment 4 shown in FIG. 7, the step of reading the user authentication information from the user authentication information storage means 14 after the first authentication information generation request (S142). (S121) is added.
〈実施形態6〉
実施形態6は実施形態1に対する実施形態4と同様、実施形態3の構成において、リクエスト・レスポンスプロトコルを用いるもので、その代理認証手続きの手順を図9に示す。
図9に示したようにこの形態では図7に示した実施形態4の手順における第1の認証情報生成(S107)、第1の認証情報送信(S143)及び第1の認証情報検証(S109)に代わり、ステップS131〜134,S145,S136が実行される。即ち、第1の認証情報生成要求(S142)を受信したゲートウェイ10はユーザ認証情報記憶手段14に対し、第1の認証情報を生成するよう要求し(S131)、ユーザ認証情報記憶手段14は予め記憶しているユーザ認証情報をもとに第1の認証情報を演算部15において生成し(S132)、さらに電子署名を生成して第1の認証情報に付加する(S133)。
<Embodiment 6>
As in the fourth embodiment with respect to the first embodiment, the sixth embodiment uses a request / response protocol in the configuration of the third embodiment, and FIG. 9 shows the procedure of the proxy authentication procedure.
As shown in FIG. 9, in this embodiment, first authentication information generation (S107), first authentication information transmission (S143), and first authentication information verification (S109) in the procedure of the fourth embodiment shown in FIG. Instead, steps S131 to S134, S145, and S136 are executed. That is, the
ユーザ認証情報記憶手段14は生成した第1の認証情報及び電子署名をゲートウェイ10に送信し(S134)、ゲートウェイ10はユーザ端末50に対し、第1の認証情報及び電子署名を認証サーバ20に送信するよう応答する(S145)。この時、ゲートウェイ10は識別子21,31をユーザ端末50に送信する。
ユーザ端末50は識別子21を用いて認証サーバ20にアクセスし、第1の認証情報及び電子署名を送信する。この時、ユーザ端末50は認証サーバ20に識別子31を送信する。認証サーバ20は電子署名及び第1の認証情報を検証する(S136)。
The user authentication
The
〈実施形態7〉
実施形態7はゲートウェイ10が第1の認証情報を生成するにあたり、ユーザ端末50を通してユーザに対し、第1の認証情報の生成の可否を尋ねるようにしたものであり、図10はその手順を示したものである。なお、図10は図2に示した実施形態1の手順に適用した場合の要部のみを示したものである。
この形態では認証サーバ20から第1の認証情報生成要求(S105)を受信したゲートウェイ10はユーザ端末50に対し、第1の認証情報生成可否を尋ね(S151)、ユーザ端末50はユーザ60に対し、第1の認証情報生成可否を、即ちゲートウェイ10が持つユーザ認証情報を用いてサービス提供サーバ30に対するユーザ認証の可否を尋ねる(S152)。ユーザ60がユーザ端末50を介し、認証を承認した(S153,S154)場合のみ、ゲートウェイ10は第1の認証情報を生成し(S107)、認証サーバ20に対し、送信する(S108)。
<Embodiment 7>
In the seventh embodiment, when the
In this embodiment, the
〈実施形態8〉
実施形態8はゲートウェイ10がその記憶部13からユーザ認証情報を読出す際に、PIN(Personal Identification Number)の入力をユーザ60に要求するようにしたものであり、図11はその手順を示したものである。なお、図11は図2に示した実施形態1の手順に適用した場合の要部のみを示したものである。
この形態では認証サーバ20から第1の認証情報生成要求(S105)を受信したゲートウェイ10は第1の認証情報生成のためのユーザ認証情報を記憶部13から読出すにあたり、ユーザ端末50に対し、PINの入力を要求する(S161)。ユーザ端末50はユーザ60に対し、ゲートウェイ10が持つユーザ認証情報を用いてサービス提供サーバ30に対するユーザ認証を行うにはPIN入力が必要であることを通知し、ユーザ60にPIN入力を要求する(S162)。ユーザ60がユーザ端末50よりPINを入力し(S163)、そのPINがゲートウェイ10に送信されると(S164)、ゲートウェイ10はそのPINの照合を行い(S165)、照合後、ユーザ認証情報の読出しを実行して第1の認証情報を生成する(S107)。
<Embodiment 8>
In the eighth embodiment, when the
In this embodiment, the
〈実施形態9〉
実施形態9はゲートウェイ10がユーザ認証情報記憶手段14からユーザ認証情報を読出す際に、PINの入力を実施形態8と同様、ユーザ60に要求するようにしたものであり、図12はその手順を示したものである。なお、図12は図4に示した実施形態2の手順に適用した場合の要部のみを示したものである。
この形態ではゲートウェイ10が第1の認証情報を生成するためのユーザ認証情報をユーザ認証情報記憶手段14から読出すにあたり、前述した実施形態8の場合と同様、ステップS161〜165が実行される。
<Embodiment 9>
In the ninth embodiment, when the
In this form, when the
〈実施形態10〉
実施形態10は演算機能を有するユーザ認証情報記憶手段14がゲートウェイ10から第1の認証情報生成要求を受けた際に、PINの入力をユーザ60に要求するようにしたものであり、図13はその手順を示したものである。なお、図13は図6に示した実施形態3の手順に適用した場合の要部のみを示したものである。
この形態ではゲートウェイ10がユーザ認証情報記憶手段14に第1の認証情報生成要求をすると(S131)、ユーザ認証情報記憶手段14はゲートウェイ10に対し、PINの入力を要求する(S171)。これにより、図11に示した実施形態8の場合と同様、ステップS161〜164が実行され、PINを受信したゲートウェイ10はそのPINをユーザ認証情報記憶手段14に送信する(S172)。ユーザ認証情報記憶手段14はPINの照合を行い(S173)、照合後、ユーザ認証情報を読出して第1の認証情報を生成する(S132)。
<
In the tenth embodiment, when the user authentication
In this embodiment, when the
なお、例えばユーザ認証情報記憶手段14を構成するICチップにhttpsサーバが実装されるなどして、ユーザ端末50とセキュアに通信できる状況とされ、つまりユーザ認証情報記憶手段14がサーバ機能を有する場合の手順は以下となる。
この場合、ゲートウェイ10はユーザ認証情報記憶手段14に第1の認証情報生成要求を行うと共にユーザ端末50の識別子51を送信すると(S131’)、ユーザ認証情報記憶手段14はユーザ端末50に対し、PINの入力を要求する(S171’)。これにより、図11に示した実施形態8の場合と同様、ステップS162〜S163が実行され、さらにユーザ端末50からユーザ認証情報記憶手段14へのPINの送信が実行される(S164’)。PINを受信したユーザ認証情報記憶手段14はPINの照合を行い(S173)、照合後、ユーザ認証情報を読出して第1の認証情報を生成する(S132)。
以上、第1のネットワークがLANとされ、第2のネットワークがインターネット40とされ、それら第1のネットワークと第2のネットワークとを接続する認証装置としてゲートウェイ10を用いる各種実施形態について説明したが、この形態ではゲートウェイ10の記憶部13に、あるいはゲートウェイ10が有する専用のユーザ認証情報記憶手段14に認証に必要なユーザ認証情報を格納し、一括して管理させるものとなっており、個々のユーザ端末50にユーザ認証情報を蓄積させることなく、簡単かつ確実なユーザ認証が実現し、よってユーザの負担を大幅に軽減することができる。
For example, when an https server is mounted on the IC chip constituting the user authentication
In this case, when the
In the above, various embodiments have been described in which the first network is a LAN, the second network is the
実施形態2で示したように、ゲートウェイ10にユーザ認証情報を記憶する専用のユーザ認証情報記憶手段14を設け、このユーザ認証情報記憶手段14を耐タンパ性に優れたICチップ等で構成すれば、ユーザ認証情報の、第三者の不用意な閲覧を防止することができる。
同様に、実施形態3で示したように、ゲートウェイ10に演算機能を有するユーザ認証
情報記憶手段14を設け、このユーザ認証情報記憶手段14を耐タンパ性に優れたCPU内蔵ICチップ等で構成すれば、ユーザ認証情報や電子署名用の鍵情報の、第三者の不用意な閲覧や改ざんを防止することができ、また外部から複製されることを防止することができる。
As shown in the second embodiment, a dedicated user authentication
Similarly, as shown in the third embodiment, the
一方、実施形態2や3のユーザ認証情報記憶手段14をゲートウェイ10から取り外し可能とすることもできる。この場合、ゲートウェイ10はユーザ認証情報記憶手段14用のインタフェイスを備え、ユーザ認証情報記憶手段14はそのインタフェイスに対応したインタフェイスを備えるものとされる。
このような取り外し可能のユーザ認証情報記憶手段14は例えばICカードやCPU内蔵ICカードとされ、ユーザはサービス提供サーバ30のサービス利用を開始するにあたって事前にICカードを差し込む、あるいは非接触式ICカードをかざす等して、ユーザ認証情報記憶手段(ICカード)14とゲートウェイ10とをリンクさせる。
なお、ユーザがユーザ認証情報記憶手段14をゲートウェイ10とリンクさせずにサービス提供サーバ30のサービス利用を開始しようとした場合、「ユーザ認証情報記憶手段がリンクされていません」等の警告をゲートウェイ10は直接、あるいはユーザ端末50を通じてユーザに通知するようにしてもよい。この通知のタイミングは例えば図4に示した実施形態2の手順ではユーザ認証情報読出し(S121)時とされ、図6に示した実施形態3の手順では第1の認証情報生成(S132)時とされる。
On the other hand, the user authentication
Such removable user authentication information storage means 14 is, for example, an IC card or a CPU built-in IC card, and the user inserts an IC card in advance or starts a service use of the
When the user tries to start using the service of the
取り外し可能のユーザ認証情報記憶手段14としてはICカードに限らず、例えばICチップ内蔵携帯電話機等を用いることもでき、携帯電話機をゲートウェイ10に接続する、あるいは置く、かざすことによってゲートウェイ10とリンクさせる。
実施形態7で示したように、ゲートウェイ10が第1の認証情報を生成するにあたり、ユーザに対し、生成の可否を尋ねるようにすれば、ゲートウェイ10はユーザの意志を確認した上で第1の認証情報を生成することができる。なお、実施形態7における第1の認証情報の生成の可否を尋ねる手順は実施形態1に限らず、実施形態2〜6の手順にも適用することができる。
The removable user authentication information storage means 14 is not limited to an IC card, and for example, a mobile phone with a built-in IC chip or the like can be used. The mobile phone is linked to the
As illustrated in the seventh embodiment, when the
実施形態8〜10に示したように、ユーザ認証情報を読出す際に、ユーザにPIN入力を要求するようにすれば、ユーザ認証情報の第三者による目的外利用を防止することができる。これら実施形態8〜10のPIN入力を要求する手順はそれぞれ実施形態4〜6の手順にも適用することができ、さらに実施形態7で示したようなユーザに第1の認証情報の生成の可否を尋ねる手順の後に、このPIN入力を要求する手順を実行するようにしてもよい。なお、ユーザに対し、PIN入力を要求する代わりに、ユーザ名とパスワードの入力を要求するようにしてもよい。 As shown in the eighth to tenth embodiments, when user authentication information is read, if the user is requested to enter a PIN, use of the user authentication information by a third party can be prevented. The procedures for requesting the PIN input of the eighth to tenth embodiments can be applied to the procedures of the fourth to sixth embodiments, respectively, and whether or not the user can generate the first authentication information as shown in the seventh embodiment. The procedure for requesting the PIN input may be executed after the procedure for asking. Instead of requesting the user to enter a PIN, the user may be prompted to enter a user name and password.
ところで、ユーザ端末50を複数のユーザが使う場合にはゲートウェイ10の記憶部13に、あるいは専用のユーザ認証情報記憶手段14がある場合にはそのユーザ認証情報記憶手段14に複数の記憶領域を設け、複数のユーザのユーザ認証情報を格納するようにする。ユーザはサービス提供サーバ30のサービス利用を開始するにあたって、事前に利用するユーザ認証情報を選択する。あるいは、以下のようにユーザ認証情報の選択を行うようにしてもよい。
実施形態1と4では、第1の認証情報生成(S107)時に、ゲートウェイ10がユーザ端末50を介して使用するユーザ認証情報をユーザに尋ねる。
実施形態2と5ではユーザ認証情報読出し(S121)時に、ゲートウェイ10がユーザ端末50を介して使用するユーザ認証情報をユーザに尋ねる。
実施形態3と6では第1の認証情報生成(S132)時に、ユーザ認証情報記憶手段14がゲートウェイ10及びユーザ端末50を通じて使用するユーザ認証情報をユーザに尋ねる。この場合、例えばユーザ認証情報記憶手段14がゲートウェイ10を通じてユーザに尋ねる、あるいはユーザ認証情報記憶手段14がユーザに尋ねるといったようにすることもできる。
By the way, when the
In the first and fourth embodiments, at the time of first authentication information generation (S107), the user is asked for user authentication information that the
In the second and fifth embodiments, when user authentication information is read (S121), the
In the third and sixth embodiments, when the first authentication information is generated (S132), the user authentication
なお、ユーザ認証情報の選択は例えば下記のような方法で行われる。
・ユーザを選択する、あるいはユーザ名を入力する。
・PINを入力する。
・ユーザ名とパスワードを入力する。
上述したように、複数のユーザ端末50を複数のユーザで使う場合であっても、認証に必要なユーザ認証情報をゲートウェイ10に集約することで、認証手続きは簡易となり、ユーザの利便性向上が図られる。
The user authentication information is selected by the following method, for example.
-Select a user or enter a user name.
・ Enter your PIN.
・ Enter the user name and password.
As described above, even when a plurality of
ところで、ユーザ端末50がサービス提供サーバ30や認証サーバ20に対し、アクセスする際に各々に示すIPアドレスは、ゲートウェイ10がNAT(Network Address Translation)機能を有しているものとすれば、ゲートウェイ10のIPアドレスである。
このため、例えば実施形態1〜3においては認証サーバ20はユーザ端末50の識別子51を用いて第1の認証情報生成要求(S105)を行うべき、ゲートウェイ10のIPアドレスを得ることができ、実施形態4〜6においては認証サーバ20は認証サーバ20に認証要求(S141)を行ったユーザ端末50のIPアドレスをもとにゲートウェイ10に対する第1の認証情報生成要求(S142)を行うことができる。つまり、ユーザ端末50の提供する情報により認証サーバ20はゲートウェイ10を発見することができるため、ゲートウェイ10のアドレス情報の事前登録は特に必要としない。
なお、実施形態4〜6において、リクエスト・レスポンスプロトコルとしてHTTP(HyperText Transfer Protocol)を用いれば、ユーザ端末50はウェブブラウザを用いてサービス提供サーバ30のユーザ認証が必要なサービスを要求した際に、代理認証手続きを受けることができ、ユーザ端末50に専用のアプリケーションや機能等を実装する必要がなくなる。
By the way, when the
Therefore, for example, in the first to third embodiments, the
In the fourth to sixth embodiments, if HTTP (HyperText Transfer Protocol) is used as a request / response protocol, when the
第1のネットワークと第2のネットワークとを接続し、認証サーバ20に有効な第1の認証情報を生成する認証装置としては上述したゲートウェイ10に限らず、例えば携帯電話機やネットワーク接続サーバ等を用いることもできる。以下、認証装置として携帯電話機やネットワーク接続サーバを用いる形態さらには第1のネットワーク上に認証のみ(第1の認証情報生成のみ)を目的として認証端末を配置する形態について説明する。
The authentication device that connects the first network and the second network and generates the first authentication information effective for the
〈実施形態11〉
図14は認証装置として携帯電話機を用いるこの発明による代理認証システムの実施形態11の構成を示したものであり、この形態では第1のネットワークは閉域網(図示せず)とされ、第2のネットワークは移動通信網70及びインターネット40として定義され、これら第1のネットワークと第2のネットワークとを接続する認証装置として携帯電話機10’が用いられる。なお、移動通信網70とインターネット40とはゲートウェイ75によって接続されており、移動通信網70上もしくはインターネット40上に認証サーバ20とサービス提供サーバ30が存在している。
この形態では携帯電話機10’はユーザ端末50とUSBやBluetoothで接続され、ユーザ端末50が移動通信網70経由でインターネット40上のサービス提供サーバ30のサービスを受ける際に、携帯電話機10’が認証装置として機能する。つまり、この形態では携帯電話機10’はユーザ端末50がインターネット40上もしくは移動通信網70上の各サーバとIP通信するためのルータまたはゲートウェイとして振舞うと共に、認証装置として機能するサーバプログラムが例えばJava(登録商標)2 Micro Edition MIDP2.0を用いて実装され、インストールされているものとされる。図14中、12’は携帯電話機10’内の演算部を示し、13’は記憶部を示す。
この図14に示した代理認証システムによって実行される代理認証手続きの手順は例えばリクエスト・レスポンスプロトコルを用いるものとすれば、図7に示した実施形態4の手順において、ゲートウェイ10を携帯電話機10’に置き換えたものとなる。
<Embodiment 11>
FIG. 14 shows the configuration of an eleventh embodiment of a proxy authentication system according to the present invention using a mobile phone as an authentication device. In this embodiment, the first network is a closed network (not shown), and the second network The network is defined as a mobile communication network 70 and the
In this embodiment, the
Assuming that the proxy authentication procedure executed by the proxy authentication system shown in FIG. 14 uses, for example, a request / response protocol, in the procedure of the fourth embodiment shown in FIG. Will be replaced with.
〈実施形態12〉
図15は認証装置としてネットワーク接続サーバを用いるこの発明による代理認証システムの実施形態12の構成を示したものであり、この形態では図1に示した実施形態1の構成のゲートウェイ10に代わってネットワーク接続サーバ10'’が用いられる。図15中、12'’はネットワーク接続サーバ10'’内の演算部を示し、13'’は記憶部を示す。
ネットワーク接続サーバ10'’はインターネット接続事業者が提供する固定電話回線、移動電話回線、光ケーブルネットワーク、公衆無線LAN回線等のユーザ接続ネットワーク(図示せず)と、インターネット40とを接続するサーバであって例えばRADIUSサーバとされ、ユーザ接続ネットワークを介して各家庭、事業所等の複数のユーザ端末50−1,50−2,50−3,…が接続されている。
この図15に示した代理認証システムによって実行される代理認証手続きの手順は例えばリクエスト・レスポンスプロトコルを用いるものとすれば、上述した実施形態11の場合と同様に、図7に示した実施形態4の手順において、ゲートウェイ10をネットワーク接続サーバ10'’に置き換えたものとなる。
<
FIG. 15 shows the configuration of a twelfth embodiment of a proxy authentication system according to the present invention using a network connection server as an authentication device. In this embodiment, a network is used instead of the
The
If the proxy authentication procedure executed by the proxy authentication system shown in FIG. 15 uses, for example, a request / response protocol, as in the case of the eleventh embodiment, the fourth embodiment shown in FIG. In this procedure, the
なお、実施形態11や12に示したように、認証装置として携帯電話機10’やネットワーク接続サーバ10'’を用いる場合、ユーザ端末50との接続状態情報をもとに第1の認証情報を生成することができ、つまりこれら携帯電話機10’やネットワーク接続サーバ10'’がユーザ端末50との接続状態情報をもとに第1の認証情報を生成する機能を備える場合、第1の認証情報を生成するためのユーザ認証情報の記憶、管理はそれら携帯電話機10’、ネットワーク接続サーバ10'’において不要となる。この場合、ユーザ端末50からユーザ名やパスワードといったユーザによる個人情報の入力作業を不要とすることができる。接続状態情報は例えばIPアドレス(グローバルIPアドレス)、携帯電話機10’やネットワーク接続サーバ10'’がユーザ端末50の認証に際し、必要に応じて発行したセッションIDとされる。
As shown in the eleventh and twelfth embodiments, when the
〈実施形態13〉
図16はこの発明による代理認証システムの実施形態13の構成を示したものであり、この形態ではLAN(第1のネットワーク)上に認証端末90が存在し、認証端末90はブロードバンドルータ80を介してインターネット(第2のネットワーク)40上の認証サーバ20及びサービス提供サーバ30と接続されている。認証端末90は例えば無線LAN接続機能を有した携帯電話機とされる。図16中、91は認証端末90内の演算部を示し、92は記憶部を示す。
この図16に示した代理認証システムによって実行される代理認証手続きの手順は例えばリクエスト・レスポンスプロトコルを用いるものとすれば、図7に示した実施形態4の手順において、ゲートウェイ10を認証端末90に置き換えたものとなる。
認証端末90として無線LAN対応携帯電話機を用いる場合、携帯電話機には無線LAN経由でHTTPアクセス可能な、認証装置として機能するプログラムを、例えばJava(登録商標)2 Micro Edition MIDP2.0を用いて実装し、インストールしておく。
<
FIG. 16 shows the configuration of a thirteenth embodiment of the proxy authentication system according to the present invention. In this embodiment, an authentication terminal 90 exists on the LAN (first network), and the authentication terminal 90 is connected via a
If the proxy authentication procedure executed by the proxy authentication system shown in FIG. 16 uses, for example, a request / response protocol, the
When a wireless LAN-compatible mobile phone is used as the authentication terminal 90, a program that functions as an authentication device capable of HTTP access via the wireless LAN is implemented using, for example, Java (registered trademark) 2 Micro Edition MIDP2.0. And install it.
認証端末90をLANに接続すると、LAN内で各端末を識別するためのプライベートIPアドレスがブロードバンドルータ80から割り当てられる。認証端末90上で認証装置として機能するプログラムを起動すると、まず初めにインターネット40上の認証サーバ20に対し、認証端末90に割り当てられたプライベートIPアドレスを通知する。認証サーバ20のIPアドレスは予め認証端末90に記憶しておく。
認証サーバ20は認証端末90からのアドレス通知をLAN、ブロードバンドルータ80、インターネット40を経由して受け取る。一般的にブロードバンドルータ経由でインターネットに接続されているLAN内の端末機器からインターネット上のサーバ等へアクセスする場合には、ソースIPアドレスはブロードバンドルータに割り当てられたグローバルIPアドレスとなる。そこで、認証サーバ20はソースIPアドレスに用いられているブロードバンドルータ80のグローバルIPアドレスと、認証端末90から通知された認証端末90のプライベートIPアドレスの組を関連付けて記憶する。
When the authentication terminal 90 is connected to the LAN, a private IP address for identifying each terminal in the LAN is assigned from the
The
ここで、この形態では認証サーバ20がステップS142(図7参照)で認証端末90に第1の認証情報生成要求を送信する際、ソースIPアドレス(グローバルIPアドレス)と関連付けて記憶されている認証端末90のプライベートIPアドレスにHTTPアクセスがリダイレクトされるようにする。
Here, in this embodiment, when the
Claims (19)
上記第1のネットワークと第2のネットワークとを接続する認証装置と、上記第2のネットワーク上の認証サーバとによって構成され、
上記認証装置は上記認証に必要なユーザ認証情報を記憶し、そのユーザ認証情報をもとに第1の認証情報を生成する機能を有し、
上記認証サーバは上記サービス提供サーバからの認証要求により上記認証装置における上記第1の認証情報の生成を要求し、かつその生成された第1の認証情報を検証して正当であれば第2の認証情報を生成する機能を有するものとされ、
上記サービス提供サーバは上記第2の認証情報を受けて検証し、正当であれば上記ユーザ端末にサービスを提供する構成とされていることを特徴とする代理認証システム。 A system that performs an authentication procedure on behalf of a user terminal when using a service that requires authentication provided by a service providing server on a second network from a user terminal in a first network,
An authentication device that connects the first network and the second network, and an authentication server on the second network;
The authentication device stores user authentication information necessary for the authentication, and has a function of generating first authentication information based on the user authentication information,
The authentication server requests generation of the first authentication information in the authentication device by an authentication request from the service providing server, and verifies the generated first authentication information, and if it is valid, It has a function to generate authentication information,
The service providing server is configured to receive and verify the second authentication information and to provide a service to the user terminal if it is valid.
上記認証装置は上記ユーザ認証情報を記憶するための専用のユーザ認証情報記憶手段を有することを特徴とする代理認証システム。 In the proxy authentication system according to claim 1,
The proxy authentication system, wherein the authentication device has a dedicated user authentication information storage means for storing the user authentication information.
上記ユーザ認証情報記憶手段は上記第1の認証情報を生成し、かつ電子署名を生成してその第1の認証情報に付加する演算機能を具備することを特徴とする代理認証システム。 In the proxy authentication system according to claim 2,
The proxy authentication system characterized in that the user authentication information storage means has a calculation function for generating the first authentication information, generating an electronic signature, and adding it to the first authentication information.
上記ユーザ認証情報記憶手段が上記認証装置から取り外し可能とされていることを特徴とする代理認証システム。 In the proxy authentication system according to claim 2 or 3,
A proxy authentication system, wherein the user authentication information storage means is removable from the authentication device.
上記第1のネットワークと第2のネットワークとを接続する認証装置と、上記第2のネットワーク上の認証サーバとによって構成され、
上記認証装置は上記ユーザ端末との接続状態情報をもとに第1の認証情報を生成する機能を有し、
上記認証サーバは上記サービス提供サーバからの認証要求により上記認証装置における上記第1の認証情報の生成を要求し、かつその生成された第1の認証情報を検証して正当であれば第2の認証情報を生成する機能を有するものとされ、
上記サービス提供サーバは上記第2の認証情報を受けて検証し、正当であれば上記ユーザ端末にサービスを提供する構成とされていることを特徴とする代理認証システム。 A system that performs an authentication procedure on behalf of a user terminal when using a service that requires authentication provided by a service providing server on a second network from a user terminal in a first network,
An authentication device that connects the first network and the second network, and an authentication server on the second network;
The authentication device has a function of generating first authentication information based on connection state information with the user terminal,
The authentication server requests generation of the first authentication information in the authentication device by an authentication request from the service providing server, and verifies the generated first authentication information, and if it is valid, It has a function to generate authentication information,
The service providing server is configured to receive and verify the second authentication information and to provide a service to the user terminal if it is valid.
上記第1のネットワーク上の認証端末と、上記第2のネットワーク上の認証サーバと、それら第1のネットワークと第2のネットワークとを接続するネットワーク接続装置とによって構成され、
上記認証端末は上記認証に必要なユーザ認証情報を記憶し、そのユーザ認証情報をもとに第1の認証情報を生成する機能を有し、
上記認証サーバは上記サービス提供サーバからの認証要求により上記認証端末における上記第1の認証情報の生成を要求し、かつその生成された第1の認証情報を検証して正当であれば第2の認証情報を生成する機能を有するものとされ、
上記サービス提供サーバは上記第2の認証情報を受けて検証し、正当であれば上記ユーザ端末にサービスを提供する構成とされていることを特徴とする代理認証システム。 A system that performs an authentication procedure on behalf of a user terminal when using a service that requires authentication provided by a service providing server on a second network from a user terminal in a first network,
An authentication terminal on the first network, an authentication server on the second network, and a network connection device that connects the first network and the second network,
The authentication terminal stores user authentication information necessary for the authentication, and has a function of generating first authentication information based on the user authentication information,
The authentication server requests generation of the first authentication information in the authentication terminal by an authentication request from the service providing server, and verifies the generated first authentication information, and if it is valid, It has a function to generate authentication information,
The service providing server is configured to receive and verify the second authentication information and to provide a service to the user terminal if it is valid.
上記サービス提供サーバは上記ユーザ端末からのサービス提供要求を受信すると、上記認証サーバに認証要求を送信し、
上記認証サーバは認証要求を受信すると、上記認証装置に第1の認証情報生成要求を送信し、
上記認証装置は第1の認証情報生成要求を受信すると、予め記憶しているユーザ認証情報をもとに第1の認証情報を生成して、その生成した第1の認証情報を上記認証サーバに送信し、
上記認証サーバは第1の認証情報を受信すると、その第1の認証情報を検証し、正当であれば第2の認証情報を生成して、その生成した第2の認証情報を上記サービス提供サーバに送信し、
上記サービス提供サーバは第2の認証情報を受信すると、その第2の認証情報を検証し、正当であれば上記ユーザ端末にサービスを提供することを特徴とする代理認証方法。 An authentication device comprising an authentication device for connecting the first network and the second network and an authentication server on the second network, provided by a service providing server on the second network from a user terminal in the first network On behalf of the user terminal when using a service that requires a service,
When the service providing server receives the service providing request from the user terminal, the service providing server transmits an authentication request to the authentication server,
Upon receiving the authentication request, the authentication server transmits a first authentication information generation request to the authentication device,
Upon receiving the first authentication information generation request, the authentication device generates first authentication information based on user authentication information stored in advance, and sends the generated first authentication information to the authentication server. Send
Upon receiving the first authentication information, the authentication server verifies the first authentication information, and if valid, generates second authentication information, and uses the generated second authentication information as the service providing server. To
The service providing server, when receiving the second authentication information, verifies the second authentication information and, if valid, provides the service to the user terminal.
上記認証装置はユーザ認証情報記憶手段を備え、そのユーザ認証情報記憶手段から上記ユーザ認証情報を読出して上記第1の認証情報を生成することを特徴とする代理認証方法。 The proxy authentication method according to claim 7,
The authentication apparatus includes a user authentication information storage unit, and reads the user authentication information from the user authentication information storage unit to generate the first authentication information.
上記認証装置は演算機能を具備するユーザ認証情報記憶手段を備え、そのユーザ認証情報記憶手段に上記第1の認証情報の生成を要求することを特徴とする代理認証方法。 The proxy authentication method according to claim 7,
A proxy authentication method, wherein the authentication device includes a user authentication information storage unit having a calculation function, and requests the user authentication information storage unit to generate the first authentication information.
上記サービス提供サーバは上記ユーザ端末からのサービス提供要求を受信すると、上記認証サーバに認証要求を送信し、
上記認証サーバは認証要求を受信すると、上記認証装置に第1の認証情報生成要求を送信し、
上記認証装置は第1の認証情報生成要求を受信すると、上記ユーザ端末との接続状態情報をもとに第1の認証情報を生成して、その生成した第1の認証情報を上記認証サーバに送信し、
上記認証サーバは第1の認証情報を受信すると、その第1の認証情報を検証し、正当であれば第2の認証情報を生成して、その生成した第2の認証情報を上記サービス提供サーバに送信し、
上記サービス提供サーバは第2の認証情報を受信すると、その第2の認証情報を検証し、正当であれば上記ユーザ端末にサービスを提供することを特徴とする代理認証方法。 An authentication device comprising an authentication device for connecting the first network and the second network and an authentication server on the second network, provided by a service providing server on the second network from a user terminal in the first network On behalf of the user terminal when using a service that requires a service,
When the service providing server receives the service providing request from the user terminal, the service providing server transmits an authentication request to the authentication server,
Upon receiving the authentication request, the authentication server transmits a first authentication information generation request to the authentication device,
Upon receiving the first authentication information generation request, the authentication device generates first authentication information based on connection state information with the user terminal, and sends the generated first authentication information to the authentication server. Send
Upon receiving the first authentication information, the authentication server verifies the first authentication information, and if valid, generates second authentication information, and uses the generated second authentication information as the service providing server. To
The service providing server, when receiving the second authentication information, verifies the second authentication information and, if valid, provides the service to the user terminal.
上記認証装置は上記第1の認証情報生成要求を受信すると、その生成可否を上記ユーザ端末を介してユーザに尋ね、ユーザの承認を受けて上記第1の認証情報を生成することを特徴とする代理認証方法。 The proxy authentication method according to claim 7 or 10,
When the authentication device receives the first authentication information generation request, the authentication device asks the user through the user terminal whether the generation is possible or not, and generates the first authentication information upon receiving user approval. Proxy authentication method.
上記認証装置は上記第1の認証情報生成要求を受信すると、PIN入力もしくはユーザ名とパスワードの入力を上記ユーザ端末を介してユーザに要求し、入力されたPINもしくはユーザ名とパスワードを照合して上記第1の認証情報を生成することを特徴とする代理認証方法。 The proxy authentication method according to claim 7 or 10,
Upon receiving the first authentication information generation request, the authentication device requests the user to input a PIN or a user name and password via the user terminal, and collates the input PIN or user name and password. A proxy authentication method for generating the first authentication information.
上記ユーザ認証情報記憶手段は上記第1の認証情報の生成の要求を上記認証装置から受けると、PIN入力もしくはユーザ名とパスワードの入力を上記認証装置及びユーザ端末を介してユーザに要求し、入力されたPINもしくはユーザ名とパスワードを照合して上記第1の認証情報を生成することを特徴とする代理認証方法。 The proxy authentication method according to claim 9, wherein
When the user authentication information storage unit receives a request for generating the first authentication information from the authentication device, the user authentication information storage means requests the user to input a PIN or a user name and password via the authentication device and the user terminal. A proxy authentication method, wherein the first authentication information is generated by collating the entered PIN or user name and password.
上記サービス提供サーバは上記ユーザ端末からのサービス提供要求を受信すると、上記認証サーバに認証要求を送信し、
上記認証サーバは認証要求を受信すると、上記認証端末に第1の認証情報生成要求を送信し、
上記認証端末は第1の認証情報生成要求を受信すると、予め記憶しているユーザ認証情報をもとに第1の認証情報を生成して、その生成した第1の認証情報を上記認証サーバに送信し、
上記認証サーバは第1の認証情報を受信すると、その第1の認証情報を検証し、正当であれば第2の認証情報を生成して、その生成した第2の認証情報を上記サービス提供サーバに送信し、
上記サービス提供サーバは第2の認証情報を受信すると、その第2の認証情報を検証し、正当であれば上記ユーザ端末にサービスを提供することを特徴とする代理認証方法。 A network connection device that connects the first network and the second network, an authentication terminal on the first network, and an authentication server on the second network, and a second terminal from a user terminal in the first network A method for performing an authentication procedure on behalf of a user terminal when using a service requiring authentication provided by a service providing server on a network,
When the service providing server receives the service providing request from the user terminal, the service providing server transmits an authentication request to the authentication server,
Upon receiving the authentication request, the authentication server transmits a first authentication information generation request to the authentication terminal,
Upon receiving the first authentication information generation request, the authentication terminal generates first authentication information based on user authentication information stored in advance, and sends the generated first authentication information to the authentication server. Send
Upon receiving the first authentication information, the authentication server verifies the first authentication information, and if valid, generates second authentication information, and uses the generated second authentication information as the service providing server. To
The service providing server, when receiving the second authentication information, verifies the second authentication information and, if valid, provides the service to the user terminal.
上記第1のネットワーク内のユーザ端末のユーザ認証に必要なユーザ認証情報を記憶する手段と、
上記ユーザ端末が上記第2のネットワーク上の認証サーバでユーザ認証を受けるために必要な認証情報を上記ユーザ認証情報をもとに生成する手段とを具備することを特徴とする認証装置。 An authentication device for connecting a first network and a second network,
Means for storing user authentication information necessary for user authentication of a user terminal in the first network;
An authentication apparatus comprising: means for generating authentication information necessary for the user terminal to receive user authentication at an authentication server on the second network based on the user authentication information.
上記第1のネットワーク内のユーザ端末との接続状態情報をもとに、上記ユーザ端末が上記第2のネットワーク上の認証サーバでユーザ認証を受けるために必要な認証情報を生成する手段を具備することを特徴とする認証装置。 An authentication device for connecting a first network and a second network,
Means for generating authentication information necessary for the user terminal to receive user authentication at an authentication server on the second network based on connection state information with the user terminal in the first network; An authentication apparatus characterized by that.
上記第1のネットワークがLANとされ、上記第2のネットワークがインターネットとされ、上記認証装置がゲートウェイによって構成されていることを特徴とする認証装置。 The authentication device according to claim 15, wherein
An authentication apparatus, wherein the first network is a LAN, the second network is the Internet, and the authentication apparatus is configured by a gateway.
上記第1のネットワークが閉域網とされ、上記第2のネットワークが移動通信網及びインターネットとされ、上記認証装置が携帯電話機によって構成されていることを特徴とする認証装置。 The authentication device according to claim 15 or 16,
An authentication apparatus, wherein the first network is a closed network, the second network is a mobile communication network and the Internet, and the authentication apparatus is constituted by a mobile phone.
上記第1のネットワークがユーザ接続ネットワークとされ、上記第2のネットワークがインターネットとされ、上記認証装置がネットワーク接続サーバによって構成されていることを特徴とする認証装置。 The authentication device according to claim 15 or 16,
An authentication apparatus, wherein the first network is a user connection network, the second network is the Internet, and the authentication apparatus is configured by a network connection server.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007013782A JP2007293811A (en) | 2006-03-31 | 2007-01-24 | Proxy authentication system, proxy authentication method, and authentication device used therefor |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006097294 | 2006-03-31 | ||
| JP2007013782A JP2007293811A (en) | 2006-03-31 | 2007-01-24 | Proxy authentication system, proxy authentication method, and authentication device used therefor |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2007293811A true JP2007293811A (en) | 2007-11-08 |
Family
ID=38764353
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007013782A Pending JP2007293811A (en) | 2006-03-31 | 2007-01-24 | Proxy authentication system, proxy authentication method, and authentication device used therefor |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2007293811A (en) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011048455A (en) * | 2009-08-25 | 2011-03-10 | Nippon Telegr & Teleph Corp <Ntt> | Relay device, relay method, program and access control system |
| JP2012208967A (en) * | 2011-03-29 | 2012-10-25 | Nippon Telegraph & Telephone West Corp | Video system and video management method |
| JP2013008140A (en) * | 2011-06-23 | 2013-01-10 | Hitachi Systems Ltd | Single sign-on system, single sign-on method and authentication server cooperation program |
| US8699482B2 (en) | 2008-04-02 | 2014-04-15 | Nec Corporation | Communication system and communication method |
| JP2014524073A (en) * | 2011-06-16 | 2014-09-18 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | Service access authentication method and system |
| CN107404485A (en) * | 2017-08-02 | 2017-11-28 | 北京天翔睿翼科技有限公司 | A kind of self-validation cloud connection method and its system |
| US10097529B2 (en) | 2015-05-01 | 2018-10-09 | Samsung Electronics Co., Ltd. | Semiconductor device for controlling access right to server of internet of things device and method of operating the same |
| US10178532B2 (en) | 2014-12-24 | 2019-01-08 | Fujitsu Limited | Communication method, communication system, and communication management apparatus |
| US10313217B2 (en) | 2015-03-13 | 2019-06-04 | Samsung Electronics Co., Ltd. | System on chip (SoC) capable of sharing resources with network device and devices having the SoC |
| JP2019521544A (en) * | 2016-07-12 | 2019-07-25 | ヒューレット−パッカード デベロップメント カンパニー エル.ピー.Hewlett‐Packard Development Company, L.P. | Service credentials |
| KR102075514B1 (en) * | 2018-11-23 | 2020-02-10 | (주)티에이치엔 | Network security unit for a vehicle |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002123491A (en) * | 2000-10-13 | 2002-04-26 | Nippon Telegr & Teleph Corp <Ntt> | Authentication proxy method, authentication proxy device, and authentication proxy system |
| JP2002152195A (en) * | 2000-11-10 | 2002-05-24 | Ntt Docomo Inc | Authentication server, authentication method and recording medium |
| JP2003273868A (en) * | 2002-03-15 | 2003-09-26 | Nippon Telegr & Teleph Corp <Ntt> | Authentication access control server device, gateway device, authentication access control method, gateway control method, authentication access control program and recording medium recording the program, gateway control program and recording medium recording the program |
| JP2004133824A (en) * | 2002-10-15 | 2004-04-30 | Nippon Telegr & Teleph Corp <Ntt> | Service providing system based on remote access authentication |
-
2007
- 2007-01-24 JP JP2007013782A patent/JP2007293811A/en active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002123491A (en) * | 2000-10-13 | 2002-04-26 | Nippon Telegr & Teleph Corp <Ntt> | Authentication proxy method, authentication proxy device, and authentication proxy system |
| JP2002152195A (en) * | 2000-11-10 | 2002-05-24 | Ntt Docomo Inc | Authentication server, authentication method and recording medium |
| JP2003273868A (en) * | 2002-03-15 | 2003-09-26 | Nippon Telegr & Teleph Corp <Ntt> | Authentication access control server device, gateway device, authentication access control method, gateway control method, authentication access control program and recording medium recording the program, gateway control program and recording medium recording the program |
| JP2004133824A (en) * | 2002-10-15 | 2004-04-30 | Nippon Telegr & Teleph Corp <Ntt> | Service providing system based on remote access authentication |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8699482B2 (en) | 2008-04-02 | 2014-04-15 | Nec Corporation | Communication system and communication method |
| JP2011048455A (en) * | 2009-08-25 | 2011-03-10 | Nippon Telegr & Teleph Corp <Ntt> | Relay device, relay method, program and access control system |
| JP2012208967A (en) * | 2011-03-29 | 2012-10-25 | Nippon Telegraph & Telephone West Corp | Video system and video management method |
| JP2014524073A (en) * | 2011-06-16 | 2014-09-18 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | Service access authentication method and system |
| JP2013008140A (en) * | 2011-06-23 | 2013-01-10 | Hitachi Systems Ltd | Single sign-on system, single sign-on method and authentication server cooperation program |
| US10178532B2 (en) | 2014-12-24 | 2019-01-08 | Fujitsu Limited | Communication method, communication system, and communication management apparatus |
| US10313217B2 (en) | 2015-03-13 | 2019-06-04 | Samsung Electronics Co., Ltd. | System on chip (SoC) capable of sharing resources with network device and devices having the SoC |
| US10097529B2 (en) | 2015-05-01 | 2018-10-09 | Samsung Electronics Co., Ltd. | Semiconductor device for controlling access right to server of internet of things device and method of operating the same |
| JP2019521544A (en) * | 2016-07-12 | 2019-07-25 | ヒューレット−パッカード デベロップメント カンパニー エル.ピー.Hewlett‐Packard Development Company, L.P. | Service credentials |
| CN107404485A (en) * | 2017-08-02 | 2017-11-28 | 北京天翔睿翼科技有限公司 | A kind of self-validation cloud connection method and its system |
| CN107404485B (en) * | 2017-08-02 | 2023-11-07 | 北京天翔睿翼科技有限公司 | Self-verification cloud connection method and system thereof |
| KR102075514B1 (en) * | 2018-11-23 | 2020-02-10 | (주)티에이치엔 | Network security unit for a vehicle |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2007293811A (en) | Proxy authentication system, proxy authentication method, and authentication device used therefor | |
| US11451555B2 (en) | Resource-driven dynamic authorization framework | |
| US8776203B2 (en) | Access authorizing apparatus | |
| JP6668183B2 (en) | Communication device, communication method, communication system and program | |
| JP4551369B2 (en) | Service system and service system control method | |
| JP5375976B2 (en) | Authentication method, authentication system, and authentication program | |
| TW469714B (en) | Secure wireless electronic-commerce system with wireless network domain | |
| CN106134143B (en) | Method, device and system for dynamic network access management | |
| JP4301997B2 (en) | Authentication method for information appliances using mobile phones | |
| JP6066647B2 (en) | Device apparatus, control method thereof, and program thereof | |
| JP6061633B2 (en) | Device apparatus, control method, and program thereof. | |
| CN112187709B (en) | Authentication method, device and server | |
| CN110138718A (en) | Information processing system and its control method | |
| JP5604176B2 (en) | Authentication cooperation apparatus and program thereof, device authentication apparatus and program thereof, and authentication cooperation system | |
| CN1783052A (en) | Portable computing environment | |
| JP2010056717A (en) | Server certificate issuing system | |
| JP5431040B2 (en) | Authentication request conversion apparatus, authentication request conversion method, and authentication request conversion program | |
| WO2007099608A1 (en) | Authentication system, ce device, mobile terminal, key certificate issuing station, and key certificate acquisition method | |
| JP5090425B2 (en) | Information access control system and method | |
| JP4818664B2 (en) | Device information transmission method, device information transmission device, device information transmission program | |
| JP5278495B2 (en) | Device information transmission method, device information transmission device, device information transmission program | |
| CN112995090A (en) | Authentication method, device and system for terminal application and computer readable storage medium | |
| WO2008026288A1 (en) | Network connected terminal device authenticating method, network connected terminal device authenticating program and network connected terminal device authenticating apparatus | |
| CN114448694B (en) | Service calling method and device based on block chain | |
| JP6833658B2 (en) | Server equipment, equipment, certificate issuing method, certificate requesting method, certificate issuing program and certificate requesting program |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100202 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100401 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20100427 |