能够以低成本且安全地保持生成用于用户认证的认证信息所需的秘密信息。由网络(10)上的秘密信息服务器(300)和客户机装置(100)构成认证信息生成系统。秘密信息服务器(300)具有基于从客户机装置(100)接收到的用户识别信息来确认用户的正当性的功能、以及保持各用户的秘密信息DB并对正当性被确认的用户的客户机装置(100)发送该用户的秘密信息DB的功能。客户机装置(100)在其主存储部(120)中包括执行应用或主OS的域A、以及与该域A相互独立的执行环境的域B,在域B中展开从秘密信息服务器(300)接收到的秘密信息DB,并使用该秘密信息DB来生成认证信息。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及生成认证信息的系统以及其方法,在客户机装置和服务提供装置经由 网络连接的系统中,用户从服务提供装置接受需要认证的服务的提供时,为了用户认证而 对服务提供装置发送该认证信息。
技术介绍
在线购物和内容服务等的在线服务因网络的普及而正在增加。在通常的在线服务 中,对用户提供服务的服务提供装置和对服务提供装置进行用户认证的客户机装置分别与 网络连接,用户经由客户机装置对服务提供装置进行用户认证,服务提供装置基于用户认 证的结果对用户提供服务。作为用户认证的方式,有基于口令(password)和加密(cryptography)的方式。在 基于口令的认证中用户记住口令是基本,但在利用的服务增加的情况下,用户难以记住所 有的口令。因此,在浏览器等的客户机装置上的应用程序中具有事先存储口令并在认证时 代替用户发送口令的功能。另一方面,基于加密的认证方式从对于冒充的安全性高度考虑,适合价格高的服 务中的认证。基于加密的认证方式的情况下,需要安全地保持用于加密操作的密钥等的秘 fn 息。如上所述,在基于口令或者加密方式的认证的任一个中,一般都要在客户机装置 中事先保持用于认证的某种秘密信息,作为保持这些秘密信息的手段,大致区分为基于软 件的手段和基于硬件的手段。基于软件的秘密信息保持手段中有OS (操作系统)具备的密钥库(store)(例如, 参照非专利文献1)等,此外,基于硬件的秘密信息保持手段中有密码令牌(token)和IC卡 等的客户机装置上外挂的外部设备。非专利文献1 “証明書7卜7 ”、、“^ 4夕口乂 7卜、、<〉夕一才、夕卜 <URL :http://technet2. microsoft. com/ffindowsServer/ja/li brary/lc4d3c02-e996-450a-bf4f-9al2d245a7ebl041.mspx ? mfr = true)
技术实现思路
专利技术要解决的课题另外,在基于软件的秘密信息保持手段中,可能会通过恶意的程序来读出秘密信 息。恶意的程序例如是利用OS的脆弱性而不正当地取得了特权的病毒或僵尸卜 bot)等。另一方面,在基于硬件的秘密信息保持手段中,不会通过恶意的程序例如读出密 钥,但会花费外部设备的制造成本和对用户的分发成本,因此存在只能利用于高额/高附 加值的服务的问题。这样,在OS的密钥库和外部设备等以往的秘密信息保持手段中存在无法使安全 性和低成本并存的问题。本专利技术的目的在于解决上述的问题,提供一种以低成本安全保持生成用于用户认 证的认证信息所需的用户的秘密信息的认证信息生成系统、认证信息生成方法以及客户机直ο用于解决课题的方案根据本专利技术的第1观点,生成用于用户认证而对网络上的服务提供装置发送的认 证信息的认证信息生成系统或者方法,用户使用的客户机装置对网络上的秘密信息服务器发送用户识别信息,秘密信息服务器基于接收到的用户识别信息,确认用户的正当性,并对正当性被 确认的用户的客户机装置,发送该用户的秘密信息DB (数据库),客户机装置在与主存储部的域A相互独立的执行环境的主存储部的域B中,展开 接收到的秘密信息DB,并使用该秘密信息DB来生成认证信息,其中主存储部的域A执行应 用或主OS。根据本专利技术的第2观点,生成用于用户认证而对网络上的服务提供装置发送的认 证信息的认证信息生成系统或者方法,用户使用的客户机装置对网络上的秘密信息服务器发送用户识别信息,秘密信息服务器基于接收到的用户识别信息,确认用户的正当性,并对正当性被 确认的用户的客户机装置,发送该用户的秘密信息DB解密密钥,客户机装置通过接收到的秘密信息DB解密密钥对2次存储部中存储的秘密信息 DB进行解密,从而将其结果在与主存储部的域A相互独立的执行环境的主存储部的域B中 展开,并消除秘密信息DB解密密钥,其中主存储部的域A执行应用或主0S,客户机装置使用在域B中展开的秘密信息DB来生成认证信息。根据本专利技术的第3观点,生成用于用户认证而对网络上的服务提供装置发送的认 证信息的认证信息生成系统或者方法,用户使用的客户机装置对网络上的秘密信息服务器发送用户识别信息,秘密信息服务器基于接收到的用户识别信息,确认用户的正当性,并对正当性被 确认的用户的客户机装置,发送该用户的加密了的秘密信息DB以及该客户机装置的加密 了的秘密信息DB解密密钥的步骤;客户机装置使用在与主存储部相互独立的执行环境的秘密信息管理部中存储的 客户机装置固有的密钥,对从秘密信息服务器接收到的加密了的秘密信息DB解密密钥进 行解密,并使用该解密了的秘密信息DB解密密钥对从所述秘密信息服务器接收到的所述 加密了的秘密信息DB进行解密,从而将其结果在与主存储部的执行应用或主OS的域A相 互独立的执行环境的域B中展开,并消除秘密信息DB解密密钥以及加密了的秘密信息DB 解密密钥,客户机装置使用在域B中展开的秘密信息DB来生成认证信息。根据本专利技术的第4观点,生成用于用户认证而对网络上的服务提供装置发送的认 证信息的客户机装置或者该客户机装置中的认证信息生成方法,主存储部对与该主存储部相互独立的执行环境的秘密信息管理部发送用户识别fn息,秘密信息管理部基于接收到的用户识别信息确认用户的正当性,并在正当性被确 认时将用户的秘密信息DB发送到主存储部,主存储部在与执行应用或主OS的域A相互独立的执行环境的域B中,展开接收到 的秘密信息DB,并使用该秘密信息DB来生成认证信息。专利技术效果根据本专利技术,由于在客户机装置中与应用或主OS独立的环境下执行认证处理部 而生成认证信息,因此能够防止生成认证信息所需的秘密信息因经由应用而感染的恶意的 程序而被读出,并且作为秘密信息的保持手段,区别于以往那样使用外部设备的情况,由于 不需要外部设备,因此从这些方面能够兼顾秘密信息保持的安全性和低成本。附图说明图1是用于说明本专利技术第1实施方式的认证信息生成系统的结构的图。图2是表示图1中的客户机装置的结构的图。图3是表示图1中的秘密信息服务器的结构的图。图4是用于说明本专利技术第1实施方式的认证信息生成系统的动作步骤的时序图。图5是表示本专利技术第2实施方式的认证信息生成系统中的客户机装置的结构的 图。图6是表示本专利技术第2实施方式的认证信息生成系统中的秘密信息服务器的结构 的图。图7是用于说明本专利技术第2实施方式的认证信息生成系统的动作步骤的时序图。图8是用于说明本专利技术第3实施方式的结构的图。图9是表示图8中的客户机装置的结构的图。图10是用于说明图9所示的客户机装置的动作步骤的时序图。图11是用于说明本专利技术第4实施方式的认证信息生成系统的动作步骤的时序图。具体实施例方式下面说明本专利技术的实施方式。<第1实施方式>图1是用于说明本专利技术第1实施方式的认证信息生成系统的图,客户机装置100 和服务提供装置200经由网络10相互连接,进而在网络10上存在秘密信息服务器300。在 该第1实施方式中由秘密信息服务器300和用户使用的客户机装置100构成认证信息生成 系统。图2是表示客户机装置100的结构的图,参照图2,首先说明客户机装置100的结 构。客户机装置100包括执行程序的CPU110、加载所执行的程序的主存储部120、存储 在主本文档来自技高网...
【技术保护点】
一种认证信息生成系统,生成用于用户认证而对网络上的服务提供装置发送的认证信息,其中,所述认证信息生成系统由网络上的秘密信息服务器和用户使用的客户机装置构成,所述秘密信息服务器具有基于从所述客户机装置接收到的用户识别信息而确认用户的正当性的功能、以及保持各用户的秘密信息数据库并对正当性被确认的用户的客户机装置发送该用户的秘密信息数据库的功能,所述客户机装置在其主存储部中包括执行应用或主操作系统的域A、以及与该域A相互独立的执行环境的域B,在所述域B中展开从所述秘密信息服务器接收到的秘密信息数据库,并使用该秘密信息数据库来生成所述认证信息。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:鹤冈行雄,菊地能直,深泽友雄,
申请(专利权)人:日本电信电话株式会社,
类型:发明
国别省市:JP[日本]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。