Nothing Special   »   [go: up one dir, main page]

JP2018206369A - ログイン制御方法 - Google Patents

ログイン制御方法 Download PDF

Info

Publication number
JP2018206369A
JP2018206369A JP2018089891A JP2018089891A JP2018206369A JP 2018206369 A JP2018206369 A JP 2018206369A JP 2018089891 A JP2018089891 A JP 2018089891A JP 2018089891 A JP2018089891 A JP 2018089891A JP 2018206369 A JP2018206369 A JP 2018206369A
Authority
JP
Japan
Prior art keywords
communication network
terminal
user
authentication
server terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018089891A
Other languages
English (en)
Other versions
JP6719503B2 (ja
Inventor
宏建 周
Hung-Chien Chou
宏建 周
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Publication of JP2018206369A publication Critical patent/JP2018206369A/ja
Application granted granted Critical
Publication of JP6719503B2 publication Critical patent/JP6719503B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • G06F21/35User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/80Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Power Engineering (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

【課題】許可されたユーザ端末のユーザのみがログイン可能なログイン制御方法を提供する。【解決手段】認証サーバ端末により実行されるログイン制御方法は、ベンダーサーバ端末から接続要求を受信した後、参照サーバ識別子を生成し、記憶し、更にベンダーサーバ端末に転送するステップと、参照サーバ識別子に対して行われた暗号化による暗号化サーバ識別子を受信した後、暗号化サーバ識別子とユーザ端シリアル番号との組み合わせが許可されているか否かを判定するステップと、判定結果が肯定的である場合、ベンダーサーバ端末に許可の確認及びユーザデータのエントリーを転送するステップと、を含む。【選択図】図3

Description

本開示は、アクセス制御に関し、特に、ログイン制御方法に関する。
(関連する出願の相互参照)
本出願は、2017年5月10日に出願された台湾特許出願第106115412号の優先権を主張する。
従来のログイン制御方法、例えば、台湾特許出願公開第201216734A1号公報に開示されているOpenID規格のシングルサインオン(SSO)は、ユーザID(User ID)、ユーザパスワード(User PW)、又は個人情報に関連するステートメントのセットである複数のユーザデータのエントリーを記憶するためにIDプロバイダ(IdP)を利用する。ユーザは、IdPによって発行され、IdPに登録されたユーザIDを含むURI(Uniform Resource Identifier)をウェブサイトに提供することによって、ウェブサイトの自分のアカウントにログインすることができる。その後、ウェブサイトは、ユーザによって提供されたURIに基づいてユーザデータのエントリーの対応する1つをIdPに要求することによってユーザの身元を確認することができる。従って、ユーザは同じURIを使用してOpenIDをサポートするすべてのウェブサイトに簡単にアクセスできる。例えば、URLがhttp://openid-provider.orgであるIdPにユーザIDとして「Alice」を登録したユーザは、http://alice.openid-provider.orgのURIを使用してOpenIDをサポートするすべてのWebサイトにログインできる。
台湾特許出願公開第201216734A1号公報
IdPで現在使用されている認証メカニズムが不十分なため、IdPはデータ盗難に対して脆弱になる可能性があるため、OpenIDをサポートするWebサイトではログイン制御が不十分である可能性がある。
従って、本発明の目的は、従来技術の欠点の少なくとも1つを緩和することができるログイン制御方法を提供することである。
本開示によると、該方法はシステムによって実施される。該システムは、第1の通信ネットワークを介して互いに通信できる認証サーバ端末、ベンダーサーバ端末、及びユーザ端末を含む。該方法は、
前記認証サーバ端末によって、前記ベンダーサーバ端末から、前記第1の通信ネットワークを介して接続要求を受信した後、参照サーバ識別子を生成し、該参照サーバ識別子を前記認証サーバ端末に記憶し、そして前記ベンダーサーバ端末が前記第1の通信ネットワークを介して前記ユーザ端末に該参照サーバ識別子を転送できるようにするため該参照サーバ識別子を前記第1の通信ネットワークを介して前記ベンダーサーバ端末に転送するステップ(a)と、
前記認証サーバ端末によって、前記ユーザ端末により参照サーバ識別子に対して予め記憶された変換鍵に基づいて行われた暗号化によって得られた暗号化サーバ識別子と、前記ユーザ端末に対応するユーザ端シリアル番号と、ユーザデータのエントリーと、を前記第1の通信ネットワーク(14)を介して前記ユーザ端末(13)から受信した後、前記暗号化サーバ識別子と前記ユーザ端シリアル番号との組み合わせが許可されているか否かを判定するステップ(b)と、
前記認証サーバ端末によって、前記暗号化サーバ識別子と前記ユーザ端シリアル番号との組み合わせが許可されていると判定された場合、前記第1の通信ネットワークを介して前記ベンダーサーバ端末に許可の確認及び前記ユーザデータのエントリーを転送するステップ(c)と、を含む。
本開示のその他の特徴及び効果は以下の図面を参照とした詳細な説明により更に明らかとなる。
本開示によるログイン制御方法を実施するために利用されるシステムの実施形態を示すブロック図である。 本開示によるログイン制御方法の登録手順の一実施形態を示すフローチャートである。 本開示によるログイン制御方法のログイン手順の一実施形態を示すフローチャートである。 本開示によるログイン制御方法のログイン手順に含まれるステップ38のサブステップの実施形態を示すフローチャートである。
発明の詳細な説明
図1において、本開示によるログイン制御方法を実施するために利用されるシステム100の実施形態が示されている。システム100は、第1の通信ネットワーク14を介して互いに通信できる認証サーバ端末11、ベンダーサーバ端末12、及びユーザ端末13を含む。本実施形態において、認証サーバ端末11は認証を行うサーバとして実施され、ベンダーサーバ端末12はWebサーバとして実施されるが、これらの端末の実施は、本明細書に開示されたものに限定されず、他の実施形態において変更されてもよい。本実施形態において、第1の通信ネットワーク14は、インターネットであるが、第1の通信ネットワーク14の実施は、本明細書に開示されたものに限定されず、他の実施形態において変更されてもよい。
認証サーバ端末11は複数の参照予備鍵と、参照シリアル番号のセットと、参照シリアル番号にそれぞれ対応する複数の検証鍵と、を記憶する。参照シリアル番号のセットと複数の検証鍵は、認証サーバ端末11に対する旧ユーザの登録行為により生成される。
ユーザ端末13には、ユーザ端予備鍵を記憶する。具体的に、ユーザ端末13は、コンピュータ131と、携帯装置132と、安全装置133とを含む。一実施形態において、ユーザ端末13は、コンピュータ131を含んでいてもいなくてもよい。
コンピュータ131は第1の通信ネットワーク14を介してベンダーサーバ端末12と通信できる。コンピュータ131は、ラップトップコンピュータ、ノートブックコンピュータまたはタブレットコンピュータとして実施することができるが、その実施は本明細書に開示されたものに限定されず、他の実施形態では変更することができる。
携帯装置132は第1の通信ネットワーク14を介して認証サーバ端末11及びベンダーサーバ端末12と通信でき、更に第2の通信ネットワーク15を介して安全装置133と通信できる。携帯装置132は、スマートフォン、スマートウォッチ、又は個人情報端末(PDA)として実施されるが、携帯装置132の実施は本明細書に開示されたものに限定されず、他の実施形態において変更されてもよい。本実施形態において、第2の通信ネットワーク15は第1の通信ネットワーク14と違って、近距離無線通信ネットワーク、例えばブルートゥース(登録商標)又はWi−Fi(登録商標)であるが、第2の通信ネットワーク15の実施は本明細書に開示されたものに限定されず、他の実施形態において変更されてもよい。
安全装置133は、ユーザ端予備鍵、ユーザデータのエントリー、及び安全装置133に対応するユーザ端シリアル番号を記憶する。安全装置133は、以下に説明する登録手順の後に変換鍵を更に記憶する。一実施形態において、ユーザデータのエントリーは、個人情報に関連するステートメントであるように実施することができるが、ユーザデータのエントリーの実施は本明細書に開示されたものに限定されず、他の実施形態において変更されてもよい。一実施形態において、安全装置133は、プロセッサ、メモリ及びトランシーバを含むように実施されてもよく、又は記憶及び計算の機能を提供するシステムオンチップ(SoC)であってもよく、安全装置133の実施は本明細書に開示されたものに限定されず、他の実施形態において変更されてもよい。
ログイン制御方法は、登録手順と、ログイン手順と、を含む。
図1と図2において、該方法の登録手順は、下記したステップ21〜29を含む。
ステップ21において、携帯装置132は第2の通信ネットワーク15を介してデータ要求を安全装置133に転送する。
ステップ22において、携帯装置132からのデータ要求の受信に応じて、安全装置133は、第2の通信ネットワーク15を介してユーザ端予備鍵及びユーザ端シリアル番号を携帯装置132に転送する。
ステップ23において、携帯装置132は第1の通信ネットワーク14を介してユーザ端予備鍵を認証サーバ端末11に転送する。
ステップ24において、ユーザ端末13から第1の通信ネットワーク14を介してユーザ端予備鍵を受信する時、認証サーバ端末11は、受信したユーザ端予備鍵が参照予備鍵の何れか1つと一致するかどうかを判定する。受信したユーザ端予備鍵が参照予備鍵の何れとも一致しないと判定された場合、登録手順のフローを終了する。そうではない場合、登録手順のフローはステップ25に進む。
受信したユーザ端予備鍵が参照予備鍵の何れか1つと一致すると判定された場合、ステップ25において、認証サーバ端末11は、認証コードを生成して、ユーザ端末13の携帯装置132が第1の通信ネットワーク14を介して認証サーバ端末11に登録データのエントリーを転送できるようにさせるために、認証コードをユーザ端末13の携帯装置132に転送する。登録データのエントリーは、ユーザ端予備鍵、ユーザ端シリアル番号、及び認証コードに関する認証データを含む。
ステップ26において、第1の通信ネットワーク14を介して認証コードを受信するとき、携帯装置132は、認証コードに基づいて認証データを生成して、第1の通信ネットワーク14を介して登録データのエントリーを認証サーバ端末11に転送する。一実施形態において、認証データは認証コードを含むデータとして実施されるが、認証データの実施は本明細書に開示されたものに限定されず、他の実施形態において変更されてもよい。例えば、ユーザが自分の電子メールでウェブサイトにアカウントを登録した後、ウェブサイトは、電子メールに関するユーザの身元を認証するため、ユーザによって提供された電子メールを介してユーザに認証コードを転送する。ユーザが電子メールを介して受信した認証コードを含む認証データでウェブサイトに返信する限り、ユーザの身元を認証することができる。
ステップ27において、認証サーバ端末11は、登録データのエントリーに含まれる認証データに基づいて、認証データが認証コードと一致するかどうかを判定する。認証データが認証コードと一致しないと判定された場合、登録手順のフローは終了する。そうではない場合、登録手順のフローはステップ28に進む。
ステップ28において、認証データが認証コードと一致すると判定された場合、認証サーバ端末11は、登録データのエントリーに含まれるユーザ端予備鍵に基づいて、変換鍵を生成して第1の通信ネットワーク14を介して変換鍵をユーザ端末13に転送する。また、認証サーバ端末11は、変換鍵に基づいて、登録データのエントリーに含まれるユーザ端シリアル番号と変換鍵とに対応する検証鍵を生成して、検証鍵を認証サーバ端末11に記憶する。更に、認証サーバ端末11は、登録データのエントリーに含まれるユーザ端シリアル番号を認証サーバ端末11内の参照シリアル番号のセットに記憶して、参照シリアル番号の追加のものとする。なお、このようにして記憶されたユーザ端シリアル番号は、認証サーバ端末11に予め記憶されている参照シリアル番号の他のものとは異なることに留意されたい。本実施形態において、変換鍵は、対称暗号化/復号アルゴリズムで利用されるように、検証鍵と同じであることに留意する価値がある。しかし、変換鍵及び検証鍵の実施は、本明細書に開示されたものに限定されず、他の実施形態において変更されてもよい。例えば、公開鍵暗号などの非対称暗号化/復号化アルゴリズムでは、変換鍵は秘密鍵として実施され、検証鍵は秘密鍵に対応するがそれとは異なる公開鍵として実施される。
ステップ29において、携帯装置132は第1の通信ネットワーク14を介して変換鍵を受信して、第2の通信ネットワーク15を介して変換鍵を安全装置133に転送する。
図1と図3において、該方法のログイン手順は、下記したステップ31〜39を含む。
ステップ31において、コンピュータ131は第1の通信ネットワーク14を介してログイン要求をベンダーサーバ端末12に転送する。なお、コンピュータ131がユーザ端末12に含まれていない一実施形態においては、携帯装置132は、第1の通信ネットワーク14を介してログイン要求を直接ベンダーサーバ端末12に転送する。
ステップ32において、ベンダーサーバ端末12は、コンピュータ131及び携帯装置132のうちの1つから受信したログイン要求に基づいて接続要求を生成して、第1の通信ネットワーク14を介して接続要求を認証サーバ端末11に転送する。
ステップ33において、第1の通信ネットワーク14を介して認証サーバ端末11から接続要求を受信した後、認証サーバ端末11は参照サーバ識別子を生成して、参照サーバ識別子を認証サーバ端末11に記憶して、そしてベンダーサーバ端末12が第1の通信ネットワーク14を介して参照サーバ識別子をユーザ端末13に転送できるようにさせるために、第1の通信ネットワーク14を介して参照サーバ識別子をベンダーサーバ端末12に転送する。本実施形態において、参照サーバ識別子はクイックレスポンスコード(QRコード(登録商標))として構成されるが、参照サーバ識別子の実施は本明細書に開示されたものに限定されず、他の実施形態において変更されてもよい。
ステップ34において、ベンダーサーバ端末12は、第1の通信ネットワーク14を介して参照サーバ識別子をユーザ端末13のコンピュータ131及び携帯装置132のうちの上記1つに転送する。
ステップ35において、コンピュータ131から又は直接にベンダーサーバ端末12から参照サーバ識別子を取得した後、携帯装置132は、安全装置133が参照サーバ識別子に対して暗号化を実行して暗号化されたサーバ識別子を得ることを可能にするために、第2の通信ネットワーク15を介して参照サーバ識別子を安全装置133に転送する。本実施形態において、携帯装置132は、コンピュータ131のディスプレイ上に表示されたQRコード(登録商標)をスキャンすることによって参照サーバ識別子を取得することに留意されたい。なお、コンピュータ131がユーザ端末13に含まれない一実施形態において、携帯装置132は第1の通信ネットワーク14を介してベンダーサーバ端末12から直接に参照サーバ識別子を取得して、第2の通信ネットワーク15を介して参照サーバ識別子を安全装置133に転送する。
ステップ36において、安全装置133は、変換鍵に基づいて参照サーバ識別子に対して暗号化を実行して暗号化サーバ識別子を得る。次に、安全装置133は、暗号化サーバ識別子、ユーザ端シリアル番号及びユーザデータのエントリーを第2の通信ネットワーク15を介して携帯装置132に転送する。なお、一実施形態においては、安全装置133は安全装置133に対するユーザの操作に従って生成されるユーザ入力に更に基づいて、参照サーバ識別子に対する暗号化を実行することに留意されたい。例えば、携帯装置132は、ログイン手順が進むようにするために、ユーザに安全装置133上のハードウェアボタンを操作するように通知するメッセージを表示することができる。安全装置133は、安全装置133がハードウェアボタンが操作されたことを検出した場合にのみ、参照サーバ識別子を暗号化し、暗号化サーバ識別子、ユーザ端シリアル番号及びユーザデータのエントリーを携帯装置132に転送するように構成される。
ステップ37において、携帯装置132は、暗号化サーバ識別子、ユーザ端シリアル番号及びユーザデータのエントリーを第1の通信ネットワーク14を介して認証サーバ端末11に転送する。
ステップ38において、第1の通信ネットワーク14を介してユーザ端末13から暗号化サーバ識別子、ユーザ端末13の安全装置133に対応するユーザ端シリアル番号、及びユーザデータのエントリーを受信した後、認証サーバ端末11は、暗号化サーバ識別子とユーザ端シリアル番号との組み合わせが許可されているかどうかを判定する。暗号化サーバ識別子とユーザ端シリアル番号との組み合わせが許可されていないと判定された場合、ログイン手順のフローは終了する。そうでない場合、ログイン手順のフローはステップ39に進む。
具体的には、図4に示すように、ステップ38は、以下に説明するサブステップ381〜385を更に含む。
サブステップ381において、認証サーバ端末11は第1の通信ネットワーク14を介して暗号化サーバ識別子、ユーザ端シリアル番号及びユーザデータのエントリーを受信する。
サブステップ382において、認証サーバ端末11は第1の通信ネットワーク14を介して暗号化サーバ識別子、ユーザ端シリアル番号及びユーザデータのエントリーを受信した後、認証サーバ端末11は、ユーザ端シリアル番号が参照シリアル番号のうちの何れかと一致するかどうかを判定する。ユーザ端シリアル番号が参照シリアル番号のうちの何れとも一致しないと判定された場合、ログイン手順のフローは終了する。そうでない場合、ログイン手順のフローはサブステップ383に進む。
サブステップ383において、ユーザ端シリアル番号が参照シリアル番号のうちの何れか1つと一致すると判定された場合、認証サーバ端末11は、ユーザ端シリアル番号と一致する該1つの参照シリアル番号に対応する1つの検証鍵が変換鍵に対応することを判定する。なお、特定の変換鍵によって暗号化されたものを復号するためには、特定の変換鍵に対応する特定の検証鍵が必要であることに留意されたい。
サブステップ384において、認証サーバ端末11は、変換鍵に対応する上記1つの検証鍵に基づいて、復号化サーバ識別子を生成するように暗号化サーバ識別子を復号する。
サブステップ385において、認証サーバ端末11は、認証サーバ端末11に記憶された参照サーバ識別子が復号化サーバ識別子と適合するかどうかを判定する。認証サーバ端末11に記憶された参照サーバ識別子が復号化サーバ識別子と適合すると判定された場合、認証サーバ端末11は暗号化サーバ識別子とユーザ端シリアル番号との組み合わせが許可されていると判定し、ログイン手順のフローはステップ39に進む。そうではない場合、ログイン手順のフローは終了となる。
ステップ39において、認証サーバ端末11は暗号化サーバ識別子とユーザ端シリアル番号との組み合わせが許可されていると判定された場合、認証サーバ端末11は、第1の通信ネットワーク14を介してベンダーサーバ端末12に許可の確認とユーザデータのエントリーを転送する。ベンダーサーバ端末12は、許可の確認に基づいてログイン要求を受け付け、認証サーバ端末11から受信したユーザデータのエントリーに従って自動的にログインさせる。
要約すると、本開示によるログイン制御方法は、安全装置133を利用して、変換鍵に基づいて参照サーバ識別子に対する暗号化を実行し、暗号化サーバ識別子を得て、認証サーバ端末11は、暗号化サーバ識別子とユーザ端シリアル番号との組み合わせが許可されているか否かを判定する。判定の結果が肯定的である場合、認証サーバ端末11は、ベンダーサーバ端末12がログイン要求を受け付けることができるように、許可の確認及びユーザデータのエントリーをベンダーサーバ端末12に転送する。従って、認証サーバ端末11に個人ユーザデータが記憶されていない状態において、ユーザは認証サーバ端末11と連携する任意のベンダーサーバ端末にログインすることができ、変換鍵とユーザ端シリアル番号を利用して、本開示によるログイン制御方法を実現することができる。データの機密保護とユーザのプライバシーが保護される。
上記においては、本発明の全体的な理解を促すべく、多くの具体的な詳細が示された。しかしながら、当業者であれば、一またはそれ以上の他の実施形態が具体的な詳細を示さなくとも実施され得ることが明らかである。また、本明細書における「一つの実施形態」「一実施形態」を示す説明において、序数などの表示を伴う説明は全て、特定の態様、構造、特徴を有する本発明の具体的な実施に含まれ得るものであることと理解されたい。更に、本説明において、時には複数の変化例が一つの実施形態、態様に組み込まれているが、これは本説明を合理化させるためのもので、また、本発明の多面性が理解されることを目的としたものである。
以上、本発明を実用的な実施形態と考えられるものに関して記述してきたが、本発明は、開示した実施形態に制限されることなく、同様の修正および等価な配置のすべてを包含するような、最も広い解釈の精神および範囲内に含まれる様々なアレンジをカバーするように意図されることが理解される。

Claims (12)

  1. 第1の通信ネットワーク(14)を介して互いに通信できる、認証サーバ端末(11)、ベンダーサーバ端末(12)及びユーザ端末(13)を含むシステムにより実行されるログイン制御方法であって、
    前記認証サーバ端末(11)によって、前記ベンダーサーバ端末(12)から、前記第1の通信ネットワーク(14)を介して接続要求を受信した後、参照サーバ識別子を生成し、該参照サーバ識別子を前記認証サーバ端末(11)に記憶し、そして前記ベンダーサーバ端末(12)が前記第1の通信ネットワーク(14)を介して前記ユーザ端末(13)に該参照サーバ識別子を転送できるようにするため該参照サーバ識別子を前記第1の通信ネットワーク(14)を介して前記ベンダーサーバ端末(12)に転送するステップ(a)と、
    前記認証サーバ端末(11)によって、前記ユーザ端末(13)により参照サーバ識別子に対して予め記憶された変換鍵に基づいて行われた暗号化によって得られた暗号化サーバ識別子と、前記ユーザ端末(13)に対応するユーザ端シリアル番号と、ユーザデータのエントリーと、を前記第1の通信ネットワーク(14)を介して前記ユーザ端末(13)から受信した後、前記暗号化サーバ識別子と前記ユーザ端シリアル番号との組み合わせが許可されているか否かを判定するステップ(b)と、
    前記認証サーバ端末(11)によって、前記暗号化サーバ識別子と前記ユーザ端シリアル番号との組み合わせが許可されていると判定された場合、前記第1の通信ネットワーク(14)を介して前記ベンダーサーバ端末(12)に許可の確認及び前記ユーザデータのエントリーを転送するステップ(c)と、
    を含む、ログイン制御方法。
  2. 前記ユーザ端末(13)は、前記変換鍵を記憶する安全装置(133)と、前記第1の通信ネットワーク(14)を介して前記ベンダーサーバ端末(12)と通信できると共に第2の通信ネットワーク(15)を介して前記安全装置(133)と通信できる携帯装置(132)と、を含み、
    前記ステップ(a)は、
    前記ベンダーサーバ端末(12)によって、前記携帯装置(132)から受信したログイン要求に基づいて前記接続要求を生成するステップと、
    前記ベンダーサーバ端末(12)によって、前記接続要求を前記認証サーバ端末(11)に転送するステップと、
    前記ベンダーサーバ端末(12)によって、前記第1の通信ネットワーク(14)を介して前記携帯装置(132)に前記参照サーバ識別子を転送するステップと、
    前記携帯装置(132)によって、前記安全装置(133)が前記変換鍵に基づいて前記参照サーバ識別子に対する暗号化を実行して前記暗号化サーバ識別子を得ることを可能にするように、前記第2の通信ネットワーク(15)を介して前記安全装置(133)に前記参照サーバ識別子を転送するステップと、
    を含む、請求項1に記載のログイン制御方法。
  3. 前記携帯装置(132)は、更に前記第1の通信ネットワーク(14)を介して前記認証サーバ端末(11)と通信でき、前記安全装置(133)は、前記ユーザデータのエントリーと、前記安全装置(133)に対応する前記ユーザ端シリアル番号と、を更に記憶し、
    前記ステップ(b)は、
    前記安全装置(133)によって、前記第2の通信ネットワーク(15)を介して、前記暗号化サーバ識別子、前記ユーザ端シリアル番号、及び前記ユーザデータのエントリーとを前記携帯装置(132)に転送するステップと、
    前記携帯装置(132)によって、前記第1の通信ネットワーク(14)を介して、前記暗号化サーバ識別子、前記ユーザ端シリアル番号、及び前記ユーザデータのエントリーを前記認証サーバ端末(11)に転送するステップと、
    を更に含む、請求項2に記載のログイン制御方法。
  4. 前記第1の通信ネットワーク(14)はインターネットであり、前記第2の通信ネットワーク(15)は近距離無線通信ネットワークである、請求項2又は請求項3に記載のログイン制御方法。
  5. 前記ユーザ端末(13)は、前記第1の通信ネットワーク(14)を介して前記ベンダーサーバ端末(12)と通信できるコンピューター(131)と、前記変換鍵を記憶する安全装置(133)と、前記第1の通信ネットワーク(14)を介して前記ベンダーサーバ端末(12)と通信できると共に第2の通信ネットワーク(15)を介して前記安全装置(133)と通信できる携帯装置(132)と、を含み、
    前記ステップ(a)は、
    前記ベンダーサーバ端末(12)によって、前記コンピューター(131)から受信したログイン要求に基づいて、前記接続要求を生成するステップと、
    前記ベンダーサーバ端末(12)によって、前記接続要求を前記認証サーバ端末(11)に転送するステップと、
    前記ベンダーサーバ端末(12)によって、前記第1の通信ネットワーク(14)を介して前記参照サーバ識別子を前記コンピューター(131)に転送するステップと、
    前記携帯装置(132)によって、前記コンピューター(131)から前記参照サーバ識別子を取得した後、前記安全装置(133)が前記参照サーバ識別子に対する暗号化を前記変換鍵に基づいて実行して前記暗号化サーバ識別子を得られるように前記第2の通信ネットワーク(15)を介して前記参照サーバ識別子を前記安全装置(133)に転送するステップと、
    を含む、請求項1〜4の何れか1項に記載のログイン制御方法。
  6. 前記携帯装置(132)は、更に前記第1の通信ネットワーク(14)を介して前記認証サーバ端末(11)と通信でき、前記安全装置(133)は、前記ユーザデータのエントリーと、前記安全装置(133)に対応する前記ユーザ端シリアル番号を更に記憶し、
    前記ステップ(b)は、
    前記安全装置(133)によって、前記第2の通信ネットワーク(15)を介して、前記暗号化サーバ識別子、前記ユーザ端シリアル番号、及び前記ユーザデータのエントリーを前記携帯装置(132)に転送するステップと、
    前記携帯装置(132)によって、前記第1の通信ネットワーク(14)を介して、前記暗号化サーバ識別子、前記ユーザ端シリアル番号、及び前記ユーザデータのエントリーを前記認証サーバ端末(11)に転送するステップと、
    を更に含む、請求項5に記載のログイン制御方法。
  7. 前記第1の通信ネットワーク(14)はインターネットであり、前記第2の通信ネットワーク(15)は近距離無線通信ネットワークである、請求項5又は請求項6に記載のログイン制御方法。
  8. 前記認証サーバ端末(11)は、参照シリアル番号のセットと、該参照シリアル番号にそれぞれ対応する複数の検証鍵と、を記憶し、
    前記ステップ(b)は、
    前記認証サーバ端末(11)によって、前記第1の通信ネットワーク(14)を介して、前記暗号化サーバ識別子、前記ユーザ端シリアル番号、及び前記ユーザデータのエントリーを受信するサブステップ(b−1)と、
    前記認証サーバ端末(11)によって、前記暗号化サーバ識別子、前記ユーザ端シリアル番号、及び前記ユーザデータのエントリーを受信した後、前記ユーザ端シリアル番号が前記参照シリアル番号のうちの何れか1つと一致するか否かを判定するサブステップ(b−2)と、
    前記認証サーバ端末(11)によって、前記ユーザ端シリアル番号が前記参照シリアル番号のうちの何れか1つと一致すると判定された場合、前記ユーザ端シリアル番号と一致する該1つの前記参照シリアル番号に対応する1つの前記検証鍵が前記変換鍵に対応することを判定するサブステップ(b−3)と、
    前記認証サーバ端末(11)によって、前記変換鍵に対応する1つの前記検証鍵に基づいて、復号化サーバ識別子を生成するように前記暗号化サーバ識別子を復号するサブステップ(b−4)と、
    前記認証サーバ端末(11)によって、前記認証サーバ端末(11)に記憶された前記参照サーバ識別子が前記復号化サーバ識別子と適合するか否かを判定するサブステップ(b−5)と、
    前記認証サーバ端末(11)によって、前記認証サーバ端末(11)に記憶された前記参照サーバ識別子が前記復号化サーバ識別子と適合すると判定された場合、前記暗号化サーバ識別子と前記ユーザ端シリアル番号との組み合わせが許可されていると判定するサブステップ(b−6)と、
    を含む、請求項1〜7の何れか1項に記載のログイン制御方法。
  9. 前記認証サーバ端末(11)は複数の参照予備鍵を記憶し、前記ユーザ端末(13)はユーザ端予備鍵を記憶し、
    前記ステップ(a)の前に、
    前記認証サーバ端末(11)によって、前記第1の通信ネットワーク(14)を介して前記ユーザ端末(13)から前記ユーザ端予備鍵を受信した時、受信した前記ユーザ端予備鍵が前記参照予備鍵のうちの何れか1つと一致するか否かを判定するステップ(d)と、
    前記認証サーバ端末(11)によって、受信した前記ユーザ端予備鍵が前記参照予備鍵のうちの何れか1つと一致すると判定された場合、認証コードを生成し、該認証コードを前記ユーザ端末(13)に転送して、前記ユーザ端末(13)が前記第1の通信ネットワーク(14)を介して前記認証サーバ端末(11)に、前記ユーザ端予備鍵、前記ユーザ端シリアル番号、及び前記認証コードに関する認証データを含む登録データのエントリーを転送するようにするステップ(e)と、
    前記認証サーバ端末(11)によって、前記登録データのエントリーに含まれる前記認証データに基づいて、前記認証データが前記認証コードと一致するか否かを判定するステップ(f)と、
    前記認証サーバ端末(11)によって、前記認証データが前記認証コードと一致すると判定された場合、前記登録データのエントリーに含まれる前記ユーザ端予備鍵に基づいて前記変換鍵を生成し、前記第1の通信ネットワーク(14)を介して前記変換鍵を前記ユーザ端末(13)に転送し、前記変換鍵に基づいて、前記変換鍵及び前記登録データのエントリーに含まれる前記ユーザ端シリアル番号に対応する検証鍵を生成し、前記検証鍵を前記認証サーバ端末(11)に記憶し、前記登録データのエントリーに含まれる前記ユーザ端シリアル番号を、前記参照シリアル番号の追加の1つとして前記認証サーバ端末(11)の前記参照シリアル番号の前記セットに記憶するステップ(g)と、
    を更に含む、請求項1〜8の何れか1項に記載のログイン制御方法。
  10. 前記ユーザ端末(13)は、前記ユーザ端予備鍵及びユーザ端シリアル番号を記憶する安全装置(133)と、前記第1の通信ネットワーク(14)を介して前記ベンダーサーバ端末(12)と通信できると共に第2の通信ネットワーク(15)を介して前記安全装置(133)と通信できる携帯装置(132)と、を含み、
    前記ステップ(d)は、前記安全装置(133)によって、前記携帯装置(132)からのデータ要求の受信に応じて、前記第2の通信ネットワーク(15)を介して前記携帯装置(132)に前記ユーザ端予備鍵及び前記ユーザ端シリアル番号を転送するステップと、前記携帯装置(132)によって、前記第1の通信ネットワーク(14)を介して前記認証サーバ端末(11)に前記ユーザ端予備鍵を転送するステップと、を更に含み、
    前記ステップ(e)は、前記携帯装置(132)によって、前記第1の通信ネットワーク(14)を介した前記認証コードの受信に応じて、前記認証コードに基づいて前記認証データを生成して、前記第1の通信ネットワーク(14)を介して前記認証サーバ端末(11)に前記登録データのエントリーを転送するステップと、を更に含み、
    前記ステップ(g)は、前記携帯装置(132)によって、前記第1の通信ネットワーク(14)を介して前記変換鍵を受信して、前記第2の通信ネットワーク(15)を介して前記安全装置(133)に前記変換鍵を転送するステップと、を更に含む、請求項9に記載のログイン制御方法。
  11. 前記第1の通信ネットワーク(14)はインターネットであり、前記第2の通信ネットワーク(15)は近距離無線通信ネットワークである、請求項9又は請求項10に記載のログイン制御方法。
  12. 前記参照サーバ識別子は、クイックレスポンスコード(QRコード(登録商標))として構成される、請求項1〜11の何れか1項に記載のログイン制御方法。
JP2018089891A 2017-05-10 2018-05-08 ログイン制御方法 Active JP6719503B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
TW106115412A TWI652594B (zh) 2017-05-10 2017-05-10 用於登入的認證方法
TW106115412 2017-05-10

Publications (2)

Publication Number Publication Date
JP2018206369A true JP2018206369A (ja) 2018-12-27
JP6719503B2 JP6719503B2 (ja) 2020-07-08

Family

ID=62222397

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018089891A Active JP6719503B2 (ja) 2017-05-10 2018-05-08 ログイン制御方法

Country Status (7)

Country Link
US (1) US20180332040A1 (ja)
EP (1) EP3402156A1 (ja)
JP (1) JP6719503B2 (ja)
KR (1) KR102171377B1 (ja)
CN (1) CN108881153B (ja)
RU (1) RU2698424C1 (ja)
TW (1) TWI652594B (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7435586B2 (ja) 2019-02-25 2024-02-21 ソニーグループ株式会社 情報処理装置と携帯端末および情報処理方法
US11588749B2 (en) * 2020-05-15 2023-02-21 Cisco Technology, Inc. Load balancing communication sessions in a networked computing environment
US12081979B2 (en) * 2020-11-05 2024-09-03 Visa International Service Association One-time wireless authentication of an Internet-of-Things device

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN2912122Y (zh) * 2006-01-18 2007-06-13 周宗和 一种网络安全认证授权系统
CN101064601A (zh) 2006-04-26 2007-10-31 资通电脑股份有限公司 文字图形化的认证方法
WO2012168940A1 (en) * 2011-06-09 2012-12-13 Accells Technologies (2009), Ltd. A transaction system and method for use with a mobile device
KR101383761B1 (ko) * 2011-12-22 2014-04-18 주식회사 스마트시스템즈 사용자 인증 시스템 및 그 방법
US8955065B2 (en) * 2012-02-01 2015-02-10 Amazon Technologies, Inc. Recovery of managed security credentials
US9374369B2 (en) * 2012-12-28 2016-06-21 Lookout, Inc. Multi-factor authentication and comprehensive login system for client-server networks
WO2014141263A1 (en) * 2013-03-13 2014-09-18 Biothent Security Ltd. Asymmetric otp authentication system
US9762590B2 (en) * 2014-04-17 2017-09-12 Duo Security, Inc. System and method for an integrity focused authentication service
US20150304851A1 (en) * 2014-04-22 2015-10-22 Broadcom Corporation Portable authorization device
US9749131B2 (en) * 2014-07-31 2017-08-29 Nok Nok Labs, Inc. System and method for implementing a one-time-password using asymmetric cryptography
CN106330829A (zh) * 2015-06-26 2017-01-11 东方电气集团东方电机有限公司 一种采用中间件实现单点登录的方法和系统
CN105827641A (zh) * 2016-05-13 2016-08-03 沃通电子认证服务有限公司 情景感知型动态统一认证方法及系统
TWI579728B (zh) 2016-10-25 2017-04-21 中華電信股份有限公司 線上認證伺服器以及線上認證方法

Also Published As

Publication number Publication date
RU2698424C1 (ru) 2019-08-26
EP3402156A1 (en) 2018-11-14
TW201901508A (zh) 2019-01-01
US20180332040A1 (en) 2018-11-15
CN108881153B (zh) 2021-06-08
KR20200067987A (ko) 2020-06-15
CN108881153A (zh) 2018-11-23
KR102171377B1 (ko) 2020-10-29
JP6719503B2 (ja) 2020-07-08
TWI652594B (zh) 2019-03-01

Similar Documents

Publication Publication Date Title
US10348715B2 (en) Computer-implemented systems and methods of device based, internet-centric, authentication
US9166777B2 (en) Method and system for user authentication for computing devices utilizing PKI and other user credentials
US10637650B2 (en) Active authentication session transfer
KR20180117715A (ko) 개선된 보안성을 갖는 사용자 인증을 위한 방법 및 시스템
KR20180053701A (ko) 로컬 디바이스 인증
US8397281B2 (en) Service assisted secret provisioning
US9445269B2 (en) Terminal identity verification and service authentication method, system and terminal
JP5380583B1 (ja) デバイス認証方法及びシステム
JP5276940B2 (ja) センタ装置,端末装置,および,認証システム
JP6719503B2 (ja) ログイン制御方法
EP3987419A1 (en) Method and chip for authenticating to a device and corresponding authentication device and system
US11985229B2 (en) Method, first device, first server, second server and system for accessing a private key
KR20130031435A (ko) 휴대용 단말의 암호화 키 생성 및 관리 방법 및 그 장치
JP2016019233A (ja) 通信システム、通信装置、鍵管理装置、及び通信方法
WO2016035466A1 (ja) 通信システム、サーバ装置用プログラム及びこれを記録した記録媒体、通信装置用プログラム及びこれを記録した記録媒体、端末装置用プログラム及びこれを記録した記録媒体
KR102053993B1 (ko) 인증서를 이용한 사용자 인증 방법
CN106330897A (zh) 一种信息存储方法及系统
JP5553914B1 (ja) 認証システム、認証装置、及び認証方法
KR100938391B1 (ko) 서버와 클라이언트 상호인증을 통한 로그인 시스템
JP2018078592A (ja) 通信システム、通信装置、鍵管理装置、及び通信方法
JP6470006B2 (ja) 共有認証情報更新システム
JP2015118451A (ja) 認証装置、認証方法、および認証プログラム
JP2014134879A (ja) データダウンロードシステム、データダウンロード方法、及び情報端末

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180814

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190521

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190611

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20190910

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20191106

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20191210

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200519

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200616

R150 Certificate of patent or registration of utility model

Ref document number: 6719503

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: R3D02

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250