(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2022190213
(43)【公開日】2022-12-26
(54)【発明の名称】多要素認証のための方法および装置
(51)【国際特許分類】
G06F 21/41 20130101AFI20221219BHJP
G06F 21/44 20130101ALI20221219BHJP
【FI】
G06F21/41
G06F21/44
【審査請求】有
【請求項の数】12
【出願形態】OL
(21)【出願番号】P 2021098428
(22)【出願日】2021-06-14
(11)【特許番号】
(45)【特許公報発行日】2022-08-23
(71)【出願人】
【識別番号】397036309
【氏名又は名称】株式会社インターネットイニシアティブ
(74)【代理人】
【識別番号】100118902
【弁理士】
【氏名又は名称】山本 修
(74)【代理人】
【識別番号】100106208
【弁理士】
【氏名又は名称】宮前 徹
(74)【代理人】
【識別番号】100196508
【弁理士】
【氏名又は名称】松尾 淳一
(74)【代理人】
【識別番号】100162846
【弁理士】
【氏名又は名称】大牧 綾子
(72)【発明者】
【氏名】柿島 純
(57)【要約】
【課題】多要素認証において、ユーザ認証の安全性を高める。
【解決手段】 複数のクラウドサービスへシングルサインオンするためのユーザIDとユーザ要素情報とを取得し、第1の認証サーバへ送信するステップと、第1の認証サーバでユーザIDとユーザ要素情報との組み合わせが正しいと判定された場合に、ユーザ端末に固有に割り当てられているユーザ端末の第1の共通暗号鍵を、ユーザの加入者IDと共に第1の認証サーバへ送信するステップであって、ユーザ端末の第1の共通暗号鍵と、ユーザ端末を認証している第2の認証サーバの第2の共通暗号鍵であって、加入者IDに関連付けられている第2の共通暗号鍵が一致する通知を第1の認証サーバから受信すると、複数のクラウドサービスとの通信を開始するステップと、を含むユーザ端末において実行される方法を提供する。
【選択図】図5
【解決手段】 複数のクラウドサービスへシングルサインオンするためのユーザIDとユーザ要素情報とを取得し、第1の認証サーバへ送信するステップと、第1の認証サーバでユーザIDとユーザ要素情報との組み合わせが正しいと判定された場合に、ユーザ端末に固有に割り当てられているユーザ端末の第1の共通暗号鍵を、ユーザの加入者IDと共に第1の認証サーバへ送信するステップであって、ユーザ端末の第1の共通暗号鍵と、ユーザ端末を認証している第2の認証サーバの第2の共通暗号鍵であって、加入者IDに関連付けられている第2の共通暗号鍵が一致する通知を第1の認証サーバから受信すると、複数のクラウドサービスとの通信を開始するステップと、を含むユーザ端末において実行される方法を提供する。
【選択図】図5
【特許請求の範囲】
【請求項1】
ユーザ端末において実行される方法であって、
複数のクラウドサービスへシングルサインオンするためのユーザIDとユーザ要素情報とを取得し、第1の認証サーバへ送信するステップと、
前記第1の認証サーバで前記ユーザIDと前記ユーザ要素情報との組み合わせが正しいと判定された場合に、前記ユーザ端末に固有に割り当てられているユーザ端末の第1の共通暗号鍵を、ユーザの加入者IDと共に前記第1の認証サーバへ送信するステップであって、
前記ユーザ端末の第1の共通暗号鍵と、前記ユーザ端末を認証している第2の認証サーバの第2の共通暗号鍵であって、前記加入者IDに関連付けられている第2の共通暗号鍵とが一致する通知を前記第1の認証サーバから受信すると、前記複数のクラウドサービスとの通信を開始するステップと、
を含む、方法。
複数のクラウドサービスへシングルサインオンするためのユーザIDとユーザ要素情報とを取得し、第1の認証サーバへ送信するステップと、
前記第1の認証サーバで前記ユーザIDと前記ユーザ要素情報との組み合わせが正しいと判定された場合に、前記ユーザ端末に固有に割り当てられているユーザ端末の第1の共通暗号鍵を、ユーザの加入者IDと共に前記第1の認証サーバへ送信するステップであって、
前記ユーザ端末の第1の共通暗号鍵と、前記ユーザ端末を認証している第2の認証サーバの第2の共通暗号鍵であって、前記加入者IDに関連付けられている第2の共通暗号鍵とが一致する通知を前記第1の認証サーバから受信すると、前記複数のクラウドサービスとの通信を開始するステップと、
を含む、方法。
【請求項2】
前記ユーザIDと前記ユーザ要素情報とを前記第1の認証サーバへ送信するステップの前に、前記ユーザ端末は、前記第2の認証サーバとの間でAKA認証を行い、前記ユーザ端末と前記第2の認証サーバとの間で共通暗号鍵を共有するステップと、をさらに含む請求項1に記載の方法。
【請求項3】
前記第1の共通暗号鍵は前記ユーザ端末のSIMに保持されている、請求項1または2に記載の方法。
【請求項4】
前記第1の共通暗号鍵と前記第2の共通暗号鍵とはAKA認証により生成されるCK(Cipher Key)、およびIK(Integrity Key)である、請求項1から3のいずれか1項に記載の方法。
【請求項5】
前記第1の共通暗号鍵は、暗号化して前記第1の認証サーバへ送信される、請求項1から4のいずれか1項に記載の方法。
【請求項6】
前記ユーザ要素情報は、前記ユーザの知識情報と、前記ユーザの生体情報とのうち少なくとも一方を含む、請求項1から5のいずれか1項に記載の方法。
【請求項7】
前記第2の認証サーバは通信キャリア事業者によって提供されるサーバである、請求項1から6のいずれか1項に記載の方法。
【請求項8】
前記第1の認証サーバと前記ユーザ端末とは互いにインターネットを介して接続されており、前記第1の認証サーバと前記第2の認証サーバとは互いに通信キャリア網を介して接続されている、請求項1から7のいずれか1項に記載の方法。
【請求項9】
装置において実行される方法であって、
ユーザ端末から、複数のクラウドサービスへシングルサインオンするためのユーザIDとユーザ要素情報とを取得するステップと、
前記ユーザIDと前記ユーザ要素情報との組み合わせが正しいと判定すると、
前記ユーザIDに関連付けられた加入者IDに基づいて、認証サーバから第1の共通暗号鍵を取得するステップであって、前記認証サーバは前記ユーザ端末を認証している、第1の共通暗号鍵を取得するステップと、
前記ユーザ端末から、前記加入者IDに関連付けられた第2の共通暗号鍵を取得するステップと、
前記認証サーバからの前記第1の共通暗号鍵と、前記ユーザ端末からの前記第2の共通暗号鍵とが一致する場合に、前記ユーザ端末へ両者の一致を通知するステップと
を備える、方法。
ユーザ端末から、複数のクラウドサービスへシングルサインオンするためのユーザIDとユーザ要素情報とを取得するステップと、
前記ユーザIDと前記ユーザ要素情報との組み合わせが正しいと判定すると、
前記ユーザIDに関連付けられた加入者IDに基づいて、認証サーバから第1の共通暗号鍵を取得するステップであって、前記認証サーバは前記ユーザ端末を認証している、第1の共通暗号鍵を取得するステップと、
前記ユーザ端末から、前記加入者IDに関連付けられた第2の共通暗号鍵を取得するステップと、
前記認証サーバからの前記第1の共通暗号鍵と、前記ユーザ端末からの前記第2の共通暗号鍵とが一致する場合に、前記ユーザ端末へ両者の一致を通知するステップと
を備える、方法。
【請求項10】
前記ユーザIDに関連付けられた前記加入者IDを取得するステップをさらに備える、請求項9に記載の方法。
【請求項11】
前記第2の共通暗号鍵は、前記ユーザ端末に格納された共通暗号鍵の取得を行うためのアプリケーションプログラムの実行によって取得されたものである、請求項9に記載の方法。
【請求項12】
装置であって、
少なくとも1つのプロセッサと、
命令を記憶したメモリであって、前記少なくとも1つのプロセッサに実行されたときに、前記装置に
ユーザ端末から、複数のクラウドサービスへシングルサインオンするためのユーザIDとユーザ要素情報とを取得するステップと、
前記ユーザIDと前記ユーザ要素情報との組み合わせが正しい場合に、
前記ユーザIDに関連付けられた加入者IDに基づいて、認証サーバから第1の共通暗号鍵を取得するステップであって、前記認証サーバは前記ユーザ端末を認証している、第1の共通暗号鍵を取得するステップと、
前記ユーザ端末から、前記加入者IDに関連付けられた第2の共通暗号鍵を取得するステップと、
前記認証サーバからの第1の共通暗号鍵と、前記ユーザ端末からの第2の共通暗号鍵とが一致する場合に、前記ユーザ端末へ両者の一致を通知するステップと
を実行させる命令を記憶したメモリと
備える、装置。
少なくとも1つのプロセッサと、
命令を記憶したメモリであって、前記少なくとも1つのプロセッサに実行されたときに、前記装置に
ユーザ端末から、複数のクラウドサービスへシングルサインオンするためのユーザIDとユーザ要素情報とを取得するステップと、
前記ユーザIDと前記ユーザ要素情報との組み合わせが正しい場合に、
前記ユーザIDに関連付けられた加入者IDに基づいて、認証サーバから第1の共通暗号鍵を取得するステップであって、前記認証サーバは前記ユーザ端末を認証している、第1の共通暗号鍵を取得するステップと、
前記ユーザ端末から、前記加入者IDに関連付けられた第2の共通暗号鍵を取得するステップと、
前記認証サーバからの第1の共通暗号鍵と、前記ユーザ端末からの第2の共通暗号鍵とが一致する場合に、前記ユーザ端末へ両者の一致を通知するステップと
を実行させる命令を記憶したメモリと
備える、装置。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、多要素認証のための方法および装置に関する。より詳細には、本開示は、クラウド型のID管理サービスにおける多要素認証のための方法および装置に関する。
【背景技術】
【0002】
様々なアプリケーションソフトを利用できるスマートデバイスの普及に伴い、クラウドサービスを利用する企業や個人が増えている。このため、企業内や個人のデータの一部をローカルで管理する一方、他のデータの一部をクラウドに移行するなど、データが分散管理され、データの一元管理が困難となっている。しかも、クラウドサービスごとにID・パスワード認証を実施すると、クラウドサービスごとにエンドユーザはIDとパスワードの組み合わせを記憶しなければならず、ユーザフレンドリーではなかった。
【0003】
近年は、クラウド型のID管理サービス(IDaaS:Identity as a Service)が登場している。IDaaSは、異なるクラウドサービスの各IDとパスワード認証を一元管理できる仕組みである。IDaaSはシングルサインオン(統一されたひとつのIDとパスワードで認証)を実現できる。
【0004】
しかしながら、パスワードに頼る認証では、一旦パスワードが流出すると、流出したパスワードと同じパスワードを設定した他のサービスまで不正利用されたりするなどの課題があった。さらにパスワードに頼る認証は、セキュリティ意識が低い利用者は単純な文字列を設定しがちであるため、セキュリティの強度を利用者に任せている点も問題である。このパスワードによるセキュリティ上の脆弱性を克服するために、IDaaSは多要素認証方式を採用している。多要素認証方式は、知識情報/所持情報/生体情報の3要素を組み合わせた認証である。「知識情報」による認証はユーザしか知り得ない情報であるパスワードなどによる認証、「所持情報」による認証には、MACアドレスなどによる認証,「生体情報」による認証は指紋などによる認証がある。
【発明の概要】
【発明が解決しようとする課題】
【0005】
本発明の目的の一つは、多要素認証において、ユーザ認証の安全性および信頼性を高めることにある。
【0006】
また、本発明の他の目的の一つは、多要素認証において、ユーザによる認証のための処理を簡便にすることにある。
【課題を解決するための手段】
【0007】
上記目的を達成するための方法の特徴構成は、ユーザ端末において実行される方法であって、複数のクラウドサービスへシングルサインオンするためのユーザIDとユーザ要素情報とを取得し、第1の認証サーバへ送信するステップと、前記第1の認証サーバで前記ユーザIDと前記ユーザ要素情報との組み合わせが正しいと判定された場合に、前記ユーザ端末に固有に割り当てられているユーザ端末の第1の共通暗号鍵を、ユーザの加入者IDと共に前記第1の認証サーバへ送信するステップであって、前記ユーザ端末の第1の共通暗号鍵と、前記ユーザ端末を認証している第2の認証サーバの第2の共通暗号鍵であって、前記加入者IDに関連付けられている第2の共通暗号鍵とが一致する通知を前記第1の認証サーバから受信すると、前記複数のクラウドサービスとの通信を開始するステップと、を含む、点にある。
【0008】
上記目的を達成するための特徴構成は、装置において実行される方法であって、ユーザ端末から、複数のクラウドサービスへシングルサインオンするためのユーザIDとユーザ要素情報とを取得するステップと、前記ユーザIDと前記ユーザ要素情報との組み合わせが正しいと判定すると、前記ユーザIDに関連付けられた加入者IDに基づいて、認証サーバから第1の共通暗号鍵を取得するステップであって、前記認証サーバは前記ユーザ端末を認証している、第1の共通暗号鍵を取得するステップと、前記ユーザ端末から、前記加入者IDに関連付けられた第2の共通暗号鍵を取得するステップと、前記認証サーバからの前記第1の共通暗号鍵と、前記ユーザ端末からの前記第2の共通暗号鍵とが一致する場合に、前記ユーザ端末へ両者の一致を通知するステップとを備える、点にある。
【0009】
上記目的を達成するための装置の特徴構成は、装置であって、少なくとも1つのプロセッサと、命令を記憶したメモリであって、前記少なくとも1つのプロセッサに実行されたときに、前記装置にユーザ端末から、複数のクラウドサービスへシングルサインオンするためのユーザIDとユーザ要素情報とを取得するステップと、前記ユーザIDと前記ユーザ要素情報との組み合わせが正しい場合に、前記ユーザIDに関連付けられた加入者IDに基づいて、認証サーバから第1の共通暗号鍵を取得するステップであって、前記認証サーバは前記ユーザ端末を認証している、第1の共通暗号鍵を取得するステップと、前記ユーザ端末から、前記加入者IDに関連付けられた第2の共通暗号鍵を取得するステップと、前記認証サーバからの第1の共通暗号鍵と、前記ユーザ端末からの第2の共通暗号鍵とが一致する場合に、前記ユーザ端末へ両者の一致を通知するステップとを実行させる命令を記憶したメモリと備える、点にある。
【0010】
本発明は、多要素認証において、ユーザ認証の安全性および信頼性を高める装置および方法を提供するものである。
【図面の簡単な説明】
【0011】
【図1】本開示の一実施形態に係るクラウド型の多要素認証管理サービスを提供するシステムを示す。
【図2】本開示の一実施形態に係るユーザ端末のハードウェア構成図を示す。
【図3】本開示の一実施形態に係る多要素認証サーバのハードウェア構成図を示す。
【図5】本開示の第一実施形態に係るシステムにおいて実行される処理の例を示す。
【図6】本開示の第二実施形態に係るシステムにおいて実行される処理の例を示す。
【図7】本開示の一実施形態に係る加入者ファイルのデータ構造の例である。
【図8】本開示の一実施形態に係るユーザ管理ファイルのデータ構造の例である。
【図9】本開示の一実施形態に係る共通暗号鍵ファイルのデータ構造の例である。
【発明を実施するための形態】
【0012】
[本発明の実施形態の説明]
最初に、本発明の実施形態の内容を列記して説明する。本発明の一実施形態は、以下のような構成を備える。
最初に、本発明の実施形態の内容を列記して説明する。本発明の一実施形態は、以下のような構成を備える。
【0013】
〔構成1〕 本発明に係る方法の特徴構成は、ユーザ端末において実行される方法であって、複数のクラウドサービスへシングルサインオンするためのユーザIDとユーザ要素情報とを取得し、第1の認証サーバ(多要素認証サーバ200)へ送信するステップと、前記第1の認証サーバで前記ユーザIDと前記ユーザ要素情報との組み合わせが正しいと判定された場合に、前記ユーザ端末に固有に割り当てられているユーザ端末の第1の共通暗号鍵を、ユーザの加入者IDと共に前記第1の認証サーバへ送信するステップであって、前記ユーザ端末の第1の共通暗号鍵と、前記ユーザ端末を認証している第2の認証サーバ(認証サーバ300)の第2の共通暗号鍵であって、前記加入者IDに関連付けられている第2の共通暗号鍵とが一致する通知を前記第1の認証サーバから受信すると、前記複数のクラウドサービスとの通信を開始するステップと、を含む、点にある。
【0014】
〔構成2〕 本発明に係る方法の別の特徴構成は、前記ユーザIDと前記ユーザ要素情報とを前記第1の認証サーバへ送信するステップの前に、前記ユーザ端末は、前記第2の認証サーバとの間でAKA認証を行い、前記ユーザ端末と前記第2の認証サーバとの間で共通暗号鍵を共有するステップと、をさらに含む点にある。
【0015】
〔構成3〕 本発明に係る方法の別の特徴構成は、前記第1の共通暗号鍵は前記ユーザ端末のSIMに保持されている、点にある。
【0016】
〔構成4〕 本発明に係る方法の別の特徴構成は、前記第1の共通暗号鍵と前記第2の共通暗号鍵とはAKA認証により生成されるCK(CipherKey)、およびIK(IntegrityKey)である、点にある。
【0017】
〔構成5〕 本発明に係る方法の別の特徴構成は、前記第1の共通暗号鍵は、暗号化して前記第1の認証サーバへ送信される、点にある。
【0018】
〔構成6〕 本発明に係る方法の別の特徴構成は、前記ユーザ要素情報は、前記ユーザの知識情報と、前記ユーザの生体情報とのうち少なくとも一方を含む、点にある。
【0019】
〔構成7〕 本発明に係る方法の別の特徴構成は、前記第2の認証サーバは通信キャリア事業者によって提供されるサーバである、点にある。
【0020】
〔構成8〕 本発明に係る方法の別の特徴構成は、前記第1の認証サーバと前記ユーザ端末とは互いにインターネットを介して接続されており、前記第1の認証サーバと前記第2の認証サーバとは互いに通信キャリア網を介して接続されている、点にある。
【0021】
〔構成9〕本発明に係る方法の特徴構成は、装置において実行される方法であって、ユーザ端末から、複数のクラウドサービスへシングルサインオンするためのユーザIDとユーザ要素情報とを取得するステップと、前記ユーザIDと前記ユーザ要素情報との組み合わせが正しいと判定すると、前記ユーザIDに関連付けられた加入者IDに基づいて、認証サーバから第1の共通暗号鍵を取得するステップであって、前記認証サーバは前記ユーザ端末を認証している、第1の共通暗号鍵を取得するステップと、前記ユーザ端末から、前記加入者IDに関連付けられた第2の共通暗号鍵を取得するステップと、前記認証サーバからの前記第1の共通暗号鍵と、前記ユーザ端末からの前記第2の共通暗号鍵とが一致する場合に、前記ユーザ端末へ両者の一致を通知するステップとを備える、点にある。
【0022】
〔構成10〕 本発明に係る方法の別の特徴構成は、前記ユーザIDに関連付けられた前記加入者IDを取得するステップをさらに備える、点にある。
【0023】
〔構成11〕 本発明に係る方法の別の特徴構成は、前記第2の共通暗号鍵は、前記ユーザ端末に格納された共通暗号鍵の取得を行うためのアプリケーションプログラムの実行によって取得されたものである、点にある。
【0024】
〔構成12〕 本発明に係る装置の特徴構成は、装置であって、少なくとも1つのプロセッサと、命令を記憶したメモリであって、前記少なくとも1つのプロセッサに実行されたときに、前記装置にユーザ端末から、複数のクラウドサービスへシングルサインオンするためのユーザIDとユーザ要素情報とを取得するステップと、前記ユーザIDと前記ユーザ要素情報との組み合わせが正しい場合に、前記ユーザIDに関連付けられた加入者IDに基づいて、認証サーバから第1の共通暗号鍵を取得するステップであって、前記認証サーバは前記ユーザ端末を認証している、第1の共通暗号鍵を取得するステップと、前記ユーザ端末から、前記加入者IDに関連付けられた第2の共通暗号鍵を取得するステップと、前記認証サーバからの第1の共通暗号鍵と、前記ユーザ端末からの第2の共通暗号鍵とが一致する場合に、前記ユーザ端末へ両者の一致を通知するステップとを実行させる命令を記憶したメモリと備える、点にある。
【0025】
[本発明の実施形態の詳細]
以下、本発明の実施形態について図面を参照して説明する。なお、本開示はこれらの例示に限定されるものではなく、特許請求の範囲によって示され、特許請求の範囲と均等の意味および範囲内でのすべての変更が本開示に含まれることが意図される。以下の説明では、図面の説明において同一の要素には同一の符号を付し、重複する説明を繰り返さないものとする。
以下、本発明の実施形態について図面を参照して説明する。なお、本開示はこれらの例示に限定されるものではなく、特許請求の範囲によって示され、特許請求の範囲と均等の意味および範囲内でのすべての変更が本開示に含まれることが意図される。以下の説明では、図面の説明において同一の要素には同一の符号を付し、重複する説明を繰り返さないものとする。
【0026】
図1は本開示の一実施形態によるクラウド型の多要素認証サービスを提供するシステム10を示す。システム10は、ユーザ端末(UE)100と、多要素認証サービスを提供する装置としての多要素認証サーバ200と、認証サーバ300とを備える。システム10は、ユーザにより入力される知識情報等の要素情報に加えて、ユーザ端末100の保持する所持情報としてのユーザ端末100固有の情報を組み合わせて、ユーザを認証するシステムである。本開示においてユーザにより入力される要素情報は、ユーザの知識情報と、ユーザの生体情報とのうち少なくとも一方を含む。本開示によると、ユーザ端末100を操作するユーザは、一旦多要素認証サーバ200で認証をパスすれば、各種クラウドサービス4への認証は不要となり、様々なクラウドサービス4にシングルサインオンできる。ユーザの知識情報は、ユーザしか知り得ない情報であり、パスワード、秘密の質問、PINコード等である。ユーザの生体情報は、ユーザの指紋、虹彩、静脈、声紋、顔の情報等である。
【0027】
図1の例では、ユーザ端末100は、ネットワーク6(1)を介して多要素認証サーバ200と通信可能に接続され、多要素認証サーバ200は、ネットワーク6(2)を介して認証サーバ300と通信可能に接続されている。また、ユーザ端末100と、多要素認証サーバ200とは、それぞれ不図示のネットワークを介して、クラウドサービス4に通信可能に接続することができる。ユーザ端末100は複数台であってもよいが、図1では1台のユーザ端末を示す。
【0028】
ネットワーク6(1)は、インターネットおよび図示しない無線基地局によって構築される各種無線通信システム等で構成される。この無線通信システムとしては、例えば、所謂3G、4G、5G移動体通信網、LTE(Long Term Evolution)、および所定のアクセスポイントによってインターネットに接続可能な無線ネットワーク(例えばWi-Fi(登録商標))等が挙げられる。
【0029】
ネットワーク6(2)は、通信事業者が管理する通信キャリア網である。認証サーバ300は通信キャリア網側のサーバであり、外部から侵入できないよう構成される。なお、通信キャリア網であるネットワーク6(2)は1つに限定されるものではなく、2つ以上であってもよい。通信キャリア網が2つ以上なら、多要素認証サーバ200に接続するキャリア網と、認証サーバ300とは複数あってもよい。
【0030】
(ユーザ端末100)
ユーザ端末100は、本開示のクラウドサービス4へのシングルサインオンサービスを利用するユーザからの要素情報の入力を受け付ける端末である。ユーザ端末100は、例えばブラウザを用いて多要素認証サーバ200にアクセス可能に構成される。本実施形態では、一例として、ユーザ端末100がスマートフォンとして実現される例を説明するが、ユーザ端末100はスマートフォンに限定されない。ユーザ端末100はSIMを備えていればよく、例えば、PDA(Personal Digital Assistant)、タブレット型コンピュータ、ラップトップ型コンピュータ(いわゆる、ノートパソコン)などとして実現されてもよい。
ユーザ端末100は、本開示のクラウドサービス4へのシングルサインオンサービスを利用するユーザからの要素情報の入力を受け付ける端末である。ユーザ端末100は、例えばブラウザを用いて多要素認証サーバ200にアクセス可能に構成される。本実施形態では、一例として、ユーザ端末100がスマートフォンとして実現される例を説明するが、ユーザ端末100はスマートフォンに限定されない。ユーザ端末100はSIMを備えていればよく、例えば、PDA(Personal Digital Assistant)、タブレット型コンピュータ、ラップトップ型コンピュータ(いわゆる、ノートパソコン)などとして実現されてもよい。
【0031】
ユーザ端末100は多要素認証サーバ200により認証されると、複数のクラウドサービス4にアクセスすることができる。クラウドサービス4は、例えば、Webブラウザ上で動作する電子メールサービス、スケジュール管理サービスを含む。
【0032】
また、ユーザ端末100は、ユーザ端末100を認証する際に利用可能な各種情報を格納するSIMカードを保持する。本開示において、この各種情報は、ユーザ端末100に固有の所持情報である共通暗号鍵を含む。共通暗号鍵は、認証が許可されたユーザ端末100と、認証サーバ300との間で共有される暗号鍵である。一ユーザが複数の契約を結べば契約毎に異なる共有暗号鍵が認証サーバ300との間で共有される。また、ユーザ端末100が複数の場合は、ユーザ端末100毎に異なる共通暗号鍵が認証サーバ300との間で共有される。
【0033】
共通暗号鍵は、一例では、ユーザ端末100のSIMカードと、通信キャリア網(認証サーバ300)との間で取り交わされるAKA認証(Authentication and Key Agreement)によって算出されるCK(Cipher Key)とIK(Integrity Key)である。この共通暗号鍵は、ユーザ端末100の製造・出荷時には、ユーザ端末100に割り当てられておらず、またユーザによるユーザ端末100の操作で変更・更新することはできない。CKは暗号解読キーを、IKは完全性キーを表わす。AKA認証による認証が行われると、認証が許可されたユーザ端末100が認証サーバ300に登録される。共通暗号鍵は、AKA’認証によって算出されるCKとIKであってもよい。
【0034】
(多要素認証サーバ200)
多要素認証サーバ200は、クラウド型のサーバ装置として動作し、いわゆるIDaaSサービス提供者に運営される装置である。多要素認証サーバ200は、ユーザ端末100から受け付けた要求に基づいて、シングルサインオンを実現する。IDaaSサービス提供者は、通信キャリア事業者等を含む。
多要素認証サーバ200は、クラウド型のサーバ装置として動作し、いわゆるIDaaSサービス提供者に運営される装置である。多要素認証サーバ200は、ユーザ端末100から受け付けた要求に基づいて、シングルサインオンを実現する。IDaaSサービス提供者は、通信キャリア事業者等を含む。
【0035】
多要素認証サーバ200は、クラウドサービス4へのシングルサインオンサービスを利用するユーザを識別するためのユーザIDと、ユーザIDに対応するパスワードなどの、そのユーザIDのユーザしか有さない要素情報の組み合わせを登録している。多要素認証サーバ200は、ユーザ端末100からユーザIDと要素情報とを取得すると、取得したユーザIDと、要素情報との組み合わせが正しいか判定する。さらに多要素認証サーバ200は、認証サーバ300が保持する共通暗号鍵(暗号鍵1)と、ユーザ端末100が保持する所持情報としての共通暗号鍵(暗号鍵2)とを使用して、ユーザ端末100を認証する。
【0036】
共通暗号鍵が、AKA認証によって算出されたCKと、IKの場合、多要素認証サーバ200は、ユーザの所持情報としてのCK/IKと、パスワードなどの要素情報を合わせてユーザの認証を行う。
【0037】
(認証サーバ300)
認証サーバ300は、通信キャリア事業者によって運営されており、ユーザ端末100との間で共通暗号鍵を共有する。例えば、認証サーバ300は、ユーザ端末100との間でAKA認証を行い、認証が許可されたユーザ端末100を登録するとともに、ユーザ端末100と共通暗号鍵を共有する。認証サーバ300は、RADIUS(Remote Authentication Dial In User Service)サーバとして機能してもよい。
認証サーバ300は、通信キャリア事業者によって運営されており、ユーザ端末100との間で共通暗号鍵を共有する。例えば、認証サーバ300は、ユーザ端末100との間でAKA認証を行い、認証が許可されたユーザ端末100を登録するとともに、ユーザ端末100と共通暗号鍵を共有する。認証サーバ300は、RADIUS(Remote Authentication Dial In User Service)サーバとして機能してもよい。
【0038】
【0039】
(ユーザ端末100)
ユーザ端末100は図2に示すように、プロセッサ102と、メモリ104と、ストレージ106と、通信インターフェイス(IF)108と、入出力インターフェイス(IF)110と、SIM112とを備えるコンピュータ装置として実現することができる。ユーザ端末100が備えるこれらの構成は、バス114によって互いに電気的に接続される。ユーザ端末100は、不図示のディスプレイを備えてもよい。ユーザ端末100のハードウェア構成は、図に示した各装置を1つまたは複数含むように構成されてもよいし、一部の装置を含まずに構成されてもよい。
ユーザ端末100は図2に示すように、プロセッサ102と、メモリ104と、ストレージ106と、通信インターフェイス(IF)108と、入出力インターフェイス(IF)110と、SIM112とを備えるコンピュータ装置として実現することができる。ユーザ端末100が備えるこれらの構成は、バス114によって互いに電気的に接続される。ユーザ端末100は、不図示のディスプレイを備えてもよい。ユーザ端末100のハードウェア構成は、図に示した各装置を1つまたは複数含むように構成されてもよいし、一部の装置を含まずに構成されてもよい。
【0040】
SIM(subscriber identity module)112は、上述したようにユーザ端末100を認証する際に利用可能な各種情報を記録するチップである。なお、SIM112は、通信サービスの変更のために差し替えの必要なカード(いわゆるSIMカード)であってもよいし、オンラインで通信サービスを変更できるeSIM(embedded SIM)でもよい。
【0041】
(多要素認証サーバ200)
多要素認証サーバ200は図3に示すように、プロセッサ202と、メモリ204と、ストレージ206と、通信インターフェイス(IF)208とを備えるコンピュータ装置として実現することができる。多要素認証サーバ200が備えるこれらの構成は、バス214によって互いに電気的に接続される。多要素認証サーバ200のハードウェア構成は、図に示した各装置を1つまたは複数含むように構成されてもよいし、一部の装置を含まずに構成されてもよい。
多要素認証サーバ200は図3に示すように、プロセッサ202と、メモリ204と、ストレージ206と、通信インターフェイス(IF)208とを備えるコンピュータ装置として実現することができる。多要素認証サーバ200が備えるこれらの構成は、バス214によって互いに電気的に接続される。多要素認証サーバ200のハードウェア構成は、図に示した各装置を1つまたは複数含むように構成されてもよいし、一部の装置を含まずに構成されてもよい。
【0042】
(認証サーバ300)
図1に示す認証サーバ300は、多要素認証サーバ200と同様に構成され、ここでは認証サーバ300のハードウェア構成の図示は割愛する。認証サーバ300は、プロセッサ302と、メモリ304と、ストレージ306と、通信インターフェイス(IF)308とを備えるコンピュータ装置として実現することができる。認証サーバ300が備えるこれらの構成は、バス314によって互いに電気的に接続される。
図1に示す認証サーバ300は、多要素認証サーバ200と同様に構成され、ここでは認証サーバ300のハードウェア構成の図示は割愛する。認証サーバ300は、プロセッサ302と、メモリ304と、ストレージ306と、通信インターフェイス(IF)308とを備えるコンピュータ装置として実現することができる。認証サーバ300が備えるこれらの構成は、バス314によって互いに電気的に接続される。
【0043】
次に、ユーザ端末100と、多要素認証サーバ200と、認証サーバ300に共通するハードウェア構成を説明する。
【0044】
プロセッサ102、202、302は、それぞれ、ユーザ端末100と、多要素認証サーバ200と、認証サーバ300との全体の動作を制御する。プロセッサ102、202、302は、CPU(Central Processing Unit)、MPU(Micro Processing Unit)、およびGPU(Graphics Processing Unit)を含むことができる。プロセッサ102、202、302は、それぞれ、後述するストレージ106、206、306からプログラムを読み出す。そして、プロセッサ102、202、302は、それぞれ、読み出したプログラムを、後述するメモリ104、204、304に展開する。プロセッサ102、202、302は、展開したプログラムを実行する。一例として、プロセッサ102は、ユーザ端末100に与えられる信号に基づいて、あるいは、予め定められた条件が成立したことに基づいて、メモリ104に展開したプログラムに含まれる一連の命令を実行する。プロセッサ202、302もプロセッサ102と同様に、メモリに展開したプログラムに含まれる一連の命令を実行する。
【0045】
メモリ104、204、304は主記憶装置である。メモリ104、204、304は、ROM(Read Only Memory)およびRAM(Random Access Memory)等の記憶装置で構成される。一例として、メモリ104は、プロセッサ102が後述するストレージ106から読み出したプログラムおよび各種データを一時的に記憶することにより、プロセッサ102に作業領域を提供する。メモリ204、304もメモリ104と同様に、ストレージ206、306から読み出したプログラムおよび各種データを一時的に記憶することにより、プロセッサに作業領域を提供する。メモリ104、204、304には、少なくともオペレーティングシステムが格納されている。オペレーティングシステムは、ユーザ端末100、多要素認証サーバ200、認証サーバ300の全体的な動作を制御するためのコンピュータプログラムである。
【0046】
ストレージ106、206、306は補助記憶装置である。ストレージ106、206、306は、プログラムおよびデータを永続的に保持する。ストレージ106、206、306は、例えば、不揮発性半導体メモリ、ハードディスク装置、フラッシュメモリ等の不揮発性記憶装置として実現される。ストレージ106、206、306には、例えば、他のコンピュータや端末との通信を実現するためのプログラム等が格納される。
【0047】
通信IF108、208、308は、それぞれ、ユーザ端末100、多要素認証サーバ200、および認証サーバ300における各種データの送受信を制御する。通信IF108、208は、無線LAN、無線WAN、携帯電話回線網を介したインターネット通信等を用いた無線通信を制御する。また、通信IF108は多要素認証サーバ200との間で例えば、LAN(Local Area Network)、WANなどのIP(Internet Protocol)を介する通信等を制御してもよい。通信IF308は、通信キャリア網を介した通信を制御する。通信IF308は、所定の通信プロトコルに従って多要素認証サーバ200と認証サーバ300との間でデータを送受信するように構成される。
【0048】
入出力インターフェイス(IF)110は、ユーザ端末100がデータの入力を受け付けるため、また、データを出力するためのインターフェイスである。入出力IF110は、USB(Universal Serial Bus)等を介してデータの入出力を行ってもよい。入出力IF110と接続される入力装置は、物理ボタン、カメラ、マイク、マウス、キーボード、スティック、レバー、タッチパネル、指紋読み取りセンサ、静脈センサなどを含み得る。入出力IF110と接続される出力装置は、ディスプレイ、スピーカなどを含み得る。
【0049】
【0050】
(ユーザ端末100)
ユーザ端末100は、ユーザによる要素情報の入力を受け付ける機能と、共通暗号鍵を取得する機能と、各種サーバとの間で情報を送受する機能とを備える。ユーザ端末100は、主たる構成要素として、制御部130と、記憶部150とを備える。制御部130は、ユーザ端末100に与えられる信号に基づいて、あるいは、予め定められた条件が成立したことに基づいて、記憶部150に格納されているプログラム(不図示)に含まれる一連の命令を実行する。ユーザ端末100は、プロセッサ102、メモリ104、ストレージ106、通信IF108(図2)等の協働によって、制御部130および記憶部150として機能する。
ユーザ端末100は、ユーザによる要素情報の入力を受け付ける機能と、共通暗号鍵を取得する機能と、各種サーバとの間で情報を送受する機能とを備える。ユーザ端末100は、主たる構成要素として、制御部130と、記憶部150とを備える。制御部130は、ユーザ端末100に与えられる信号に基づいて、あるいは、予め定められた条件が成立したことに基づいて、記憶部150に格納されているプログラム(不図示)に含まれる一連の命令を実行する。ユーザ端末100は、プロセッサ102、メモリ104、ストレージ106、通信IF108(図2)等の協働によって、制御部130および記憶部150として機能する。
【0051】
制御部130は、プログラムの記述に応じて、操作受付部131、取得/送信部132、進行部133として機能する。制御部130は、実行されるアプリケーションの性質に応じて、図示しないその他の機能ブロックとしても機能することができる。
【0052】
操作受付部131は、ディスプレイ(不図示)に表示された各種アプリケーション画面に応じて入力される、ユーザの操作入力を受け付けする。操作受付部131は、ユーザによるシングルサインオンのためのユーザIDと、要素情報の入力を受け付ける。要素情報は、パスワードの場合、ユーザ端末100の物理ボタン、キーボード、あるいはタッチパネルなどにより入力される。要素情報は、指紋情報の場合、ユーザ端末100の指紋読み取りセンサにより入力され、声紋情報の場合、ユーザ端末100のマイクにより入力され、顔情報の場合、ユーザ端末100のカメラにより入力される。
【0053】
取得/送信部132は、多要素認証サーバ200から受信した各種データ(例えば、加入者ID)に基づいて、ユーザ端末100側の共通暗号鍵を取得し、多要素認証サーバ200へ送信する。
【0054】
加入者IDは、加入者に固有のIDであり、通信キャリア事業者のネットワークに接続するために利用される。加入者IDは、例えば、IMSI(International Mobile Subscriber Identity)である。IMSIは通信キャリア事業者のネットワークに接続するための認証に使われる。IMSIの最初の3桁が国番号(MCC)で日本は「440」、続く2~3桁が事業者番号(MNC)、残りの最大10桁が加入者識別コード(MSIN)となる。加入者IDは、MSISDN(Mobile Subscriber Integrated Service Digital Network Number)やICCID(Integrated Circuit Card ID)であってもよい。1つのユーザIDには少なくとも1つの加入者IDが関連付けられる。
【0055】
進行部133は、ユーザ端末100の動作の全体を制御する。進行部133は、ユーザ端末100が認証サーバ300により認証(例えばAKA認証)されると、認証サーバ300と共通する共通暗号鍵を記憶部150にあらかじめ格納しておく。また、進行部133は、多要素認証サーバ200によりクラウドサービス4(図1)へのシングルサインオンの認証が許可されると、各種クラウドサービス4との通信を可能にする。
【0056】
(多要素認証サーバ200)
多要素認証サーバ200は、ユーザ端末100から受信した要素情報と、ユーザのシングルサインオンのためのユーザIDとの組み合わせが正しいかを判定する機能と、ユーザ端末100から受信した共通暗号鍵と、認証サーバ300から受信した共通暗号鍵とを照合する機能とを備える。ユーザ端末100から受信する要素情報は、パスワードなどの知識情報、ユーザの指紋、静脈情報、声紋、顔などの生体情報のうち少なくとも一つを含む。
多要素認証サーバ200は、ユーザ端末100から受信した要素情報と、ユーザのシングルサインオンのためのユーザIDとの組み合わせが正しいかを判定する機能と、ユーザ端末100から受信した共通暗号鍵と、認証サーバ300から受信した共通暗号鍵とを照合する機能とを備える。ユーザ端末100から受信する要素情報は、パスワードなどの知識情報、ユーザの指紋、静脈情報、声紋、顔などの生体情報のうち少なくとも一つを含む。
【0057】
多要素認証サーバ200は、主たる構成要素として、制御部230と、記憶部250とを備える。制御部230は、多要素認証サーバ200に与えられる信号に基づいて、あるいは、予め定められた条件が成立したことに基づいて、記憶部250に格納されているプログラム(不図示)に含まれる一連の命令を実行する。多要素認証サーバ200は、プロセッサ202、メモリ204、ストレージ206、通信IF208、および入出力IF210等の協働によって、制御部230および記憶部250として機能する。
【0058】
制御部230は、プログラムの記述に応じて、判定部231と、要求部232と、紐付部233と、照合部235として機能する。制御部430は、実行されるアプリケーションの性質に応じて、図示しないその他の機能ブロックとしても機能することができる。
【0059】
判定部231は、ユーザ端末100より取得した要素情報と、ユーザIDとの組み合わせが正しいか判定する。また、判定部231は、ユーザ端末100より取得したユーザIDに対応する加入者IDを、ユーザ管理ファイル251から抽出する。ユーザ管理ファイル251の詳細は後述する。
【0060】
要求部232は、抽出した加入者IDに基づいて、ユーザ端末100あるいは、認証サーバ300へ共通暗号鍵の要求を行う。また、要求部232は、ユーザ端末100、あるいは認証サーバ300から取得した共通暗号鍵などの各種情報を取得し、記憶部250に格納する。
【0061】
紐付部233は、認証サーバ300の保持する共通暗号鍵を取得し、加入者IDと関連付ける。あるいは、紐付部233は、ユーザ端末100の保持する共通暗号鍵を取得し、加入者IDと関連付ける。
【0062】
照合部234は、ユーザ端末100の保持する共通暗号鍵と、認証サーバ300の保持する共通暗号鍵とを照合し、両者が同じであれば、ユーザ端末100へ認証済みであることの通知をユーザ端末100へ送信する。
【0063】
(認証サーバ300)
認証サーバ300は、多要素認証サーバ200からの要求に応じて、認証サーバ300の保持する共通暗号鍵を多要素認証サーバ200へ送信する機能を備える。認証サーバ300は、あらかじめ、AKA認証などで認証したユーザ端末100とのあいだで共通暗号鍵を共有しておく。
認証サーバ300は、多要素認証サーバ200からの要求に応じて、認証サーバ300の保持する共通暗号鍵を多要素認証サーバ200へ送信する機能を備える。認証サーバ300は、あらかじめ、AKA認証などで認証したユーザ端末100とのあいだで共通暗号鍵を共有しておく。
【0064】
認証サーバ300は、主たる構成要素として、制御部330と、記憶部350とを備える。制御部330は、認証サーバ300に与えられる信号に基づいて、あるいは、予め定められた条件が成立したことに基づいて、記憶部350に格納されているプログラム(不図示)に含まれる一連の命令を実行する。認証サーバ300は、プロセッサ302、メモリ304、ストレージ306、および通信IF308等の協働によって、制御部330および記憶部350として機能する。
【0065】
制御部330は、プログラムの記述に応じて、取得/送信部331として機能する。制御部330は、実行されるアプリケーションの性質に応じて、図示しないその他の機能ブロックとしても機能することができる。
【0066】
取得/送信部331は、多要素認証サーバ200からの共通暗号鍵の要求に応じて、認証サーバ300の記憶部350に格納される共通暗号鍵ファイル351から、加入者IDに対応する認証サーバ300の共通暗号鍵を抽出し、多要素認証サーバ200へ送信する。共通暗号鍵ファイル351の詳細は後述する。
【0067】
(各装置の記憶部が格納するデータ)
また、図4は、ユーザ端末100と、多要素認証サーバ200と、認証サーバ300との記憶部に格納されるデータファイルの例を示す。
また、図4は、ユーザ端末100と、多要素認証サーバ200と、認証サーバ300との記憶部に格納されるデータファイルの例を示す。
【0068】
(記憶部150)
記憶部150は、共通暗号鍵を取得するための暗号鍵取得アプリケーションプログラム151(以下、「暗号鍵取得アプリ」という)と、ユーザ端末のSIM112に格納されている加入者ファイル152とを格納する。図7は加入者ファイル152のデータ構造の一例である。加入者ファイル152は、シングルサインオンのアカウント識別のためのユーザIDと、これに関連付けられるユーザ情報を含む。ユーザ情報は、少なくとも、加入者IDと、共通暗号鍵とを含む。ユーザ情報は、ユーザ管理情報(ユーザの名前、住所、電話番号など)を含んでもよい。加入者ファイル152は、AKA認証などの認証アルゴリズムを格納してもよい。加入者ファイル152は、暗号鍵取得アプリ151が共通暗号鍵を取得した後は、認証サーバ300と共有する共通暗号鍵を含む。
記憶部150は、共通暗号鍵を取得するための暗号鍵取得アプリケーションプログラム151(以下、「暗号鍵取得アプリ」という)と、ユーザ端末のSIM112に格納されている加入者ファイル152とを格納する。図7は加入者ファイル152のデータ構造の一例である。加入者ファイル152は、シングルサインオンのアカウント識別のためのユーザIDと、これに関連付けられるユーザ情報を含む。ユーザ情報は、少なくとも、加入者IDと、共通暗号鍵とを含む。ユーザ情報は、ユーザ管理情報(ユーザの名前、住所、電話番号など)を含んでもよい。加入者ファイル152は、AKA認証などの認証アルゴリズムを格納してもよい。加入者ファイル152は、暗号鍵取得アプリ151が共通暗号鍵を取得した後は、認証サーバ300と共有する共通暗号鍵を含む。
【0069】
ユーザIDは、多要素認証サーバ200によるユーザ毎のシングルサインオンのアカウントを識別するIDである。ユーザIDは、シングルサインオンを提供するサービス提供者によって付与される。
【0070】
加入者IDは、加入者(SIMカード)ごとに固有のIDであり、通信キャリア事業者のネットワークに接続するために利用される。一のユーザが複数の契約を結ぶと、契約毎に個別の加入者IDが通信キャリア事業者によって付与される。
【0071】
暗号鍵取得アプリ151は、多要素認証サーバ200からのプッシュ通知、あるいはユーザによるユーザIDの入力に応じて起動する。暗号鍵取得アプリ151は、ユーザからの直接の入力を受け付けるインターフェイスを提供しないよう構成することができる。
【0072】
(記憶部250)
記憶部250は、ユーザ管理ファイル251を格納する。図8はユーザ管理ファイル251のデータ構造の一例である。ユーザ管理ファイル251は、IDaaSサービス提供者によって管理されており、シングルサインオンのためのユーザIDと、これに関連付けられたユーザのパスワードなどの要素情報と、加入者IDとを格納する。図示するように、要素情報は、パスワードに限られず、ユーザの声紋情報、指紋情報などであってもよい。多要素認証サーバ200は、ユーザ管理ファイル251により、ユーザが利用するシングルサインオンのアカウントを識別するユーザIDと、加入者IDとを連携する。図8の例では、1つのユーザIDに1つの要素情報が関連付けられているが、複数の要素情報が関連付けられていてもよい。
記憶部250は、ユーザ管理ファイル251を格納する。図8はユーザ管理ファイル251のデータ構造の一例である。ユーザ管理ファイル251は、IDaaSサービス提供者によって管理されており、シングルサインオンのためのユーザIDと、これに関連付けられたユーザのパスワードなどの要素情報と、加入者IDとを格納する。図示するように、要素情報は、パスワードに限られず、ユーザの声紋情報、指紋情報などであってもよい。多要素認証サーバ200は、ユーザ管理ファイル251により、ユーザが利用するシングルサインオンのアカウントを識別するユーザIDと、加入者IDとを連携する。図8の例では、1つのユーザIDに1つの要素情報が関連付けられているが、複数の要素情報が関連付けられていてもよい。
【0073】
(記憶部350)
記憶部350は、共通暗号鍵ファイル351を格納する。図9は共通暗号鍵ファイル351のデータ構造の一例である。共通暗号鍵ファイル351は、通信キャリア事業者によって管理され、認証が許可されたユーザ端末の加入者IDと、加入者IDに対応する固有の共通暗号鍵を格納する。
記憶部350は、共通暗号鍵ファイル351を格納する。図9は共通暗号鍵ファイル351のデータ構造の一例である。共通暗号鍵ファイル351は、通信キャリア事業者によって管理され、認証が許可されたユーザ端末の加入者IDと、加入者IDに対応する固有の共通暗号鍵を格納する。
【0074】
(第一実施形態)
図5は、本開示の一実施形態に従うシステム10において実行される処理の例を示す。処理に先立ち、ユーザ端末100と、認証サーバ300との間で、ユーザ端末100が認証サーバ300で認証(例えばAKA認証)されており、ユーザ端末100は認証サーバ300に登録されているものとする。また、ユーザ端末100と認証サーバ300との間で共通暗号鍵(例えばCK/IK)を共有しているものとする。
図5は、本開示の一実施形態に従うシステム10において実行される処理の例を示す。処理に先立ち、ユーザ端末100と、認証サーバ300との間で、ユーザ端末100が認証サーバ300で認証(例えばAKA認証)されており、ユーザ端末100は認証サーバ300に登録されているものとする。また、ユーザ端末100と認証サーバ300との間で共通暗号鍵(例えばCK/IK)を共有しているものとする。
【0075】
ステップS502において、ユーザ端末100(操作受付部131)は、ユーザのIDと、ユーザの要素情報の入力を受け付ける。ユーザの要素情報は、パスワードや、ユーザの生体認証情報を含む。ユーザ端末100(操作受付部131)は、入力されたユーザのIDと、ユーザ要素情報とを、多要素認証サーバ200に送信する。ユーザ要素情報は、パスワードに限られず、ユーザの指紋や、顔、声紋などの生体情報であってもよい。
【0076】
ステップS504において、多要素認証サーバ200(判定部231)は要素情報とユーザIDを取得し、記憶部250にあらかじめ登録されているユーザ管理ファイル251を参照して、これらの組み合わせが正しいか否か判定する。組み合わせが正しい場合に、ユーザ管理ファイル251を参照し、取得したユーザIDに対応する加入者IDを取得する。
【0077】
ステップS506において、多要素認証サーバ200(要求部232)は、認証サーバ300へ、ステップS504にて取得した加入者IDに基づいて、認証サーバ300へ共通暗号鍵の問い合わせを行う。
【0078】
次に、ステップS508において、認証サーバ300(取得/送信部331)は、取得した加入者IDに対応する共通暗号鍵(暗号鍵1)を、記憶部350に格納されている共通暗号鍵ファイル351から読み出し、多要素認証サーバ200へ送信する。なお、認証サーバ300は、共通暗号鍵をHASH関数などで暗号化して多要素認証サーバ200へ送信するようにしてもよい。
【0079】
次に、ステップS510において、多要素認証サーバ200(紐付部233)は、ステップS504にて取得した加入者IDと、認証サーバ300から取得した共通暗号鍵(暗号鍵1)とを関連付け、記憶部250に格納する。共通暗号鍵が暗号化されている場合は、多要素認証サーバ200(紐付部233)は、共通暗号鍵を復号化した後に、加入者IDと共通暗号鍵とを関連付ける。また、多要素認証サーバ200(紐付部233)は、認証サーバ300の共通暗号鍵を関連付けた加入者IDに対応するユーザ端末100へ、プッシュで共通暗号鍵を要求する通知を送信する。
【0080】
次に、ステップS512において、ユーザ端末100(取得/送信部132)は、多要素認証サーバ200からプッシュ通知を受信すると、記憶部150に格納されている暗号鍵取得アプリ151を起動する。暗号鍵取得アプリ151は実行されると、ユーザ端末100の記憶部150の加入者ファイル152にあらかじめ格納されている共通暗号鍵(暗号鍵2)を取得し、加入者IDと共に多要素認証サーバ200へ送信する。なお、ユーザ端末100は、共通暗号鍵をHASH関数などで暗号化して多要素認証サーバ200へ送信するようにしてもよい。
【0081】
本開示において、多要素認証サーバ200からのプッシュ通知は、ユーザ端末100のディスプレイに表示されなくてよい。ユーザ端末100に対するユーザによる共通暗号鍵取得のための操作がなくとも、ユーザ端末100(暗号鍵取得アプリ151)は、ユーザ端末100の共通暗号鍵を取得し、取得した共通暗号鍵(暗号鍵2)を、多要素認証サーバ200へ送信する。ユーザ端末100が、自動で共通暗号鍵の送信を行うため、ユーザは、暗号鍵の要求を受けていることや、暗号鍵取得アプリ151を起動することや、共通暗号鍵を送信することを意識しなくてもよい。
【0082】
次に、ステップS514において、多要素認証サーバ200(照合部234)は、ユーザ端末から受信した共通暗号鍵(暗号鍵2)と、認証サーバ300から受信した共通暗号鍵(暗号鍵1)とを照合する。ユーザ端末100からの共通暗号鍵(暗号鍵2)が暗号化されている場合は、多要素認証サーバ200(紐付部233)は、この共通暗号鍵(暗号鍵2)を復号化した後に、認証サーバ300からの共通暗号鍵(暗号鍵1)と照合する。両者が一致する場合に、接続してきたユーザ端末100が正しいと判定し、多要素認証サーバ200は、両者が一致する通知をユーザ端末100へ送信する。
【0083】
本開示によると、ユーザの要素情報だけではなく、この認証につかった端末自体も所持情報により認証している。つまり、ユーザ端末100の所持情報である共通暗号鍵による認証とその他の要素情報による認証とを同時に実施する。これにより単体の要素情報の認証よりも、ユーザ認証の安全性を高めることができる。
【0084】
また、本開示によると、所持情報としての共通暗号鍵(例えばCK/IK)は、ユーザ端末100および認証サーバ300から、ユーザによる操作なくともそれぞれ自動で取得され、多要素認証サーバ200において両者が一致するか照合する。このため、ユーザは1つの要素情報(知識情報、生体情報)を入力するだけで、入力された要素情報に加えて所持情報を含めた2要素認証をすることができる。その結果、ユーザにとって認証のための処理を簡便にすることができる。ユーザは、共通暗号鍵の管理、更新を意識しなくてもよい。
【0085】
また、本開示によると、ユーザ端末100の認証にAKA認証により得られるCK/IKを用いることができる。このCK/IKは秘匿性が高く、ユーザ端末側で変更することはできないため、ユーザ認証にCK/IKを利用することで強固なセキュリティを確立することができる。
【0086】
次に、ステップS516において、ユーザ端末100(進行部133)は共通暗号鍵が一致する通知を多要素認証サーバ200から受信する。ユーザ端末100は通知を受信すると、多要素認証サーバ200により認証済みのユーザ端末100として、各種クラウドサービス4にアクセスすることができる。
【0087】
具体的には、ユーザ端末100がクラウドサービス4にアクセスしたことの通知を受信すると、多要素認証サーバ200は、ユーザ端末100が認証済みである旨をクラウドサービス4に通知する。これによりユーザはクラウドサービス毎に異なるIDやパスワードを入力することなく、クラウドサービス4を利用することができる。
【0088】
あるいは、ユーザ端末100がクラウドサービス4にアクセスしたことの通知を受信すると、多要素認証サーバ200は、ユーザ端末100の代わりに、ユーザIDに対応するクラウドサービス4のIDと、クラウドサービス4のパスワードを参照し、これらをクラウドサービス4に入力してもよい。この場合、多要素認証サーバ200は、あらかじめユーザが利用する各種クラウドサービス4のID・パスワードと、ユーザの利用するシングルサインオンのユーザIDとを連携して管理しておく。
【0089】
なお、図5に示す処理は例示的なものにすぎず、その順序が変更されてもよく、処理が追加されてもよい。
【0090】
(第二実施形態)
図6は本開示の第二実施形態に係るシステムにおいて実行される処理の例を示す。図6による処理では、図5と異なり、認証サーバ300による共通暗号鍵を取得する前に、ユーザ端末100からの共通暗号鍵を取得する。以下、図6を用いて、本開示の第二の実施形態に係るシステム10における処理の流れについて説明する。処理に先立ち、ユーザ端末100と、認証サーバ300との間で認証(例えばAKA認証)が行われており、両者の間で共通暗号鍵が共有されているものとする。認証サーバ300により認証が許可されたユーザ端末100は認証サーバ300に登録されている。
図6は本開示の第二実施形態に係るシステムにおいて実行される処理の例を示す。図6による処理では、図5と異なり、認証サーバ300による共通暗号鍵を取得する前に、ユーザ端末100からの共通暗号鍵を取得する。以下、図6を用いて、本開示の第二の実施形態に係るシステム10における処理の流れについて説明する。処理に先立ち、ユーザ端末100と、認証サーバ300との間で認証(例えばAKA認証)が行われており、両者の間で共通暗号鍵が共有されているものとする。認証サーバ300により認証が許可されたユーザ端末100は認証サーバ300に登録されている。
【0091】
ステップS602は、上述のステップS502と同様の処理であり、重複する説明は割愛する。さらに、ステップS602において、ユーザ端末100(操作受付部131)は、ユーザによるユーザIDと、要素情報の入力を受け付けると、記憶部150に格納されている暗号鍵取得アプリ151を起動する。
【0092】
ステップS604において、多要素認証サーバ200(判定部231)は、要素情報とユーザIDを取得し、記憶部250にあらかじめ登録されているユーザ管理ファイル251を参照し、要素情報とユーザIDの組み合わせが正しいと判定した場合に、ユーザ端末100へ判定結果を送信する。
【0093】
ステップS606において、要素情報とユーザIDの組み合わせが正しいとの判定結果を受信すると、暗号鍵取得アプリ151は、ユーザ端末100の記憶部150の加入者ファイル152にあらかじめ格納されている共通暗号鍵(暗号鍵2)を取得する。ユーザ端末100(取得/送信部132)は、加入者ファイル152からユーザIDに対応する加入者IDを取得し、暗号鍵取得アプリ151が取得した共通暗号鍵(暗号鍵2)を、加入者IDと共に多要素認証サーバ200へ送信する。なお、ユーザ端末100は、共通暗号鍵をHASH関数などで暗号化して多要素認証サーバ200へ送信するようにしてもよい。
【0094】
次にステップS608において、多要素認証サーバ200(紐付部233)は、ステップS602にてユーザ端末100から取得した加入者IDと、ユーザ端末100から取得した共通暗号鍵(暗号鍵2)とを関連付け、記憶部250に格納する。
【0095】
次に、ステップS610において、多要素認証サーバ200(要求部232)は、認証サーバ300へ、ステップS608にて取得した加入者IDに基づいて、認証サーバ300へ共通暗号鍵の問い合わせを行う。
【0096】
次に、ステップS612において、認証サーバ300(取得/送信部331)は、取得した加入者IDに対応する共通暗号鍵(暗号鍵1)を、記憶部350に格納されている共通暗号鍵ファイル351から読み出し、多要素認証サーバ200へ送信する。なお、認証サーバ300は、共通暗号鍵をHASH関数などで暗号化して多要素認証サーバ200へ送信するようにしてもよい。
【0097】
次に、ステップS614において、多要素認証サーバ200(照合部234)は、ユーザ端末から受信した共通暗号鍵(暗号鍵2)と、認証サーバ300から受信した共通暗号鍵(暗号鍵1)とを照合する。両者が一致する場合に、接続してきたユーザ端末100が正しいと判定し、多要素認証サーバ200は、両者が一致する通知をユーザ端末100へ送信する。
【0098】
次に、ステップS616において、ユーザ端末100(進行部133)は共通暗号鍵が一致する通知を多要素認証サーバ200から受信すると、多要素認証サーバ200により認証済みのユーザ端末100として、各種クラウドサービス4にアクセスすることができる。
【0099】
また、本開示の別の実施形態では、シングルサインオンのためのサービスにログインする際に、多要素認証サーバ200側ではなく、ユーザ端末100側でユーザIDと、指紋などの要素情報の組み合わせが正しいかを判定してもよい。あらかじめ、ユーザ端末100は、ユーザIDと、指紋などの要素情報の正しい組み合わせとを、加入者ファイル152に格納しておく。ユーザ端末100(操作受付部131)は、ユーザIDと要素情報の入力を受け付けし、ユーザIDと要素情報の組み合わせが正しいかを判定し、組み合わせが正しいと判定したユーザIDを、多要素認証サーバ200へ送信する。次に、多要素認証サーバ200は、記憶部250にあらかじめ登録されているユーザ管理ファイル251から、ユーザIDに対応する加入者IDを取得する。多要素認証サーバ200側で、要素情報とユーザIDの組み合わせが正しいか否か判定することはない。その後のステップは、図5のステップS506に続くステップS516までと同じである。
【0100】
本開示の実施形態を説明したが、これらが例示にすぎず、本開示の範囲を限定するものではないことは理解されるべきである。本開示の趣旨および範囲から逸脱することなく、実施形態の変更、追加、改良等を適宜行うことができることが理解されるべきである。本開示の範囲は、上述した実施形態のいずれによっても限定されるべきではなく、特許請求の範囲およびその均等物によってのみ規定されるべきである。
【符号の説明】
【0101】
4…クラウドサービス
6…ネットワーク
10…システム
100…ユーザ端末
200…多要素認証サーバ
300…認証サーバ
6…ネットワーク
10…システム
100…ユーザ端末
200…多要素認証サーバ
300…認証サーバ
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
