特許ウォッチ

公開番号2025140333
公報種別公開特許公報(A)
公開日2025-09-29
出願番号2024039673
出願日2024-03-14
発明の名称認証システム、認証装置、方法及びプログラム
出願人日本電気株式会社
代理人個人
主分類G06F 21/44 20130101AFI20250919BHJP(計算;計数)
要約【課題】認証対象の装置の真正の認証情報を取得可能な認証システム、認証装置、方法及びプログラムを提供すること。
【解決手段】認証対象の装置は、認証対象の装置の認証情報を生成する認証情報生成部と、認証対象の装置の製造時に生成された認証情報を含むプラットフォーム証明書が保存された記憶装置と、認証対象の装置の使用場所において、記憶装置に保存されたプラットフォーム証明書を認証装置に送信する証明書送信部とを備える。認証装置は、認証対象の装置が送信したプラットフォーム証明書を受信する受信部と、受信したプラットフォーム証明書に対応する電子証明書を用いて、プラットフォーム証明書の有効性を判定する証明書判定部と、プラットフォーム証明書が有効であると判定された場合、プラットフォーム証明書に含まれる認証情報を、認証装置がアクセス可能な記憶装置に保存する認証情報保存部とを備える。
【選択図】図6
特許請求の範囲【請求項１】
認証対象の装置と、
前記認証対象の装置を認証する認証装置とを含み、
前記認証対象の装置は、
前記認証対象の装置の認証情報を生成する認証情報生成部と、
前記認証対象の装置の製造時に前記認証情報生成部が生成した認証情報である製造時認証情報を含むプラットフォーム証明書が保存された記憶装置と、
前記認証対象の装置の使用場所において、前記記憶装置に保存された前記プラットフォーム証明書を認証装置に送信する証明書送信部とを備え、
前記認証装置は、
前記認証対象の装置が送信した前記プラットフォーム証明書を受信する受信部と、
前記受信部が受信した前記プラットフォーム証明書に対応する電子証明書を用いて、前記プラットフォーム証明書の有効性を判定する証明書判定部と、
前記証明書判定部によって前記プラットフォーム証明書が有効であると判定された場合、前記プラットフォーム証明書に含まれる前記製造時認証情報を、前記認証装置がアクセス可能な記憶装置に保存する認証情報保存部とを備える、
認証システム。
続きを表示（約 1,300 文字）【請求項２】
前記認証情報は、前記認証対象の装置の起動時における前記認証対象の装置が備えたプログラムの検証結果のハッシュ値である、請求項１に記載の認証システム。
【請求項３】
前記認証対象の装置が備えたプログラムには、前記認証対象の装置が備えたファームウェア、バイオス、ユニファイド・エクステンシブル・ファームウェア・インタフェース、ブートローダ及びＯＳ（Operating System）の少なくとも１つが含まれる、請求項２に記載の認証システム。
【請求項４】
前記認証情報は、前記認証対象の装置が製造時に有する初期情報である、請求項１に記載の認証システム。
【請求項５】
前記認証対象の装置は、前記認証対象の装置の使用場所において前記認証情報生成部が生成した認証情報である使用時認証情報を認証装置に送信する認証情報送信部を備え、
前記認証装置は、前記証明書判定部によって前記プラットフォーム証明書が有効であると判定されたプラットフォーム証明書に含まれる前記製造時認証情報と、前記認証情報送信部が送信した前記使用時認証情報を用いて、前記認証対象の装置を認証する認証部とを備える、請求項１～４のいずれか１項に記載の認証システム。
【請求項６】
認証対象の装置の記憶装置に保存されている前記認証対象の装置の製造時に生成された前記認証対象の装置の認証情報である製造時認証情報を含むプラットフォーム証明書を受信する受信部と、
前記受信部が受信した前記プラットフォーム証明書に対応する電子証明書を用いて、前記プラットフォーム証明書の有効性を判定する証明書判定部と、
前記証明書判定部によって前記プラットフォーム証明書が有効であると判定された場合、前記プラットフォーム証明書に含まれる前記製造時認証情報を、自装置がアクセス可能な記憶装置に保存する認証情報保存部と
を備える認証装置。
【請求項７】
前記認証情報は、前記認証対象の装置の起動時における前記認証対象の装置が備えたプログラムの検証結果のハッシュ値である、請求項６に記載の認証装置。
【請求項８】
前記認証対象の装置が備えたプログラムには、前記認証対象の装置が備えたファームウェア、バイオス、ユニファイド・エクステンシブル・ファームウェア・インタフェース、ブートローダ及びＯＳの少なくとも１つが含まれる、請求項７に記載の認証装置。
【請求項９】
前記認証情報は、前記認証対象の装置の処理情報である、請求項６に記載の認証装置。
【請求項１０】
前記受信部は、前記認証対象の装置が使用場所において生成した認証情報である使用時認証情報を受信し、
前記認証装置は、前記証明書判定部によって前記プラットフォーム証明書が有効であると判定された前記プラットフォーム証明書に含まれる前記製造時認証情報と、前記受信部が受信した前記使用時認証情報を用いて、前記認証対象の装置を認証する認証部とを備える、請求項６～９のいずれか１項に記載の認証装置。
（【請求項１１】以降は省略されています）
発明の詳細な説明【技術分野】
【０００１】
本開示は、認証情報を取得する認証システム、認証装置、方法及びプログラムに関する。
続きを表示（約 1,800 文字）【背景技術】
【０００２】
従来、ＰＣ等の情報処理装置を認証するために、情報処理装置の認証情報を可搬型の記憶装置に保存し、認証装置が可搬型の記憶装置から認証情報を取得することが行われている。しかしながら、認証装置が、可搬型の記憶装置の持ち込みの制限されている施設に設置されている場合、このような施設において認証情報を取得することができない。
【０００３】
この点に関し、特許文献１は、装置の製造工程に係る情報である製造時情報、装置の起動工程に係る情報である起動時情報、及び装置の更新工程に係る情報である更新時情報を分散型台帳に記帳し、分散型台帳に記帳された情報を読み出すデバイス管理システムを開示している。
【先行技術文献】
【特許文献】
【０００４】
特開２０２０－１５４９５４号公報
【非特許文献】
【０００５】
“TCG EFI Platform Specification”、［online］、［令和６年２月６日］、インターネット（https://trustedcomputinggroup.org/wp-content/uploads/TCG-EFI-Platform-Specification.pdf）
【発明の概要】
【発明が解決しようとする課題】
【０００６】
しかしながら、特許文献１が開示するデバイス管理システムにおいて、製造時情報や起動時情報等を認証情報として使用する場合、これらの情報を分散型台帳に保存する過程や分散型台帳から取得する過程において、これらの情報が改竄される可能性がある。そのため、改竄された情報を認証情報として取得してしまう虞がある。
【０００７】
本開示の目的の１つは、上述した課題を鑑み、認証対象の装置の真正の認証情報を取得可能な認証システム、認証装置、方法及びプログラムを提供することにある。
【課題を解決するための手段】
【０００８】
本開示に係る認証システムは、
認証対象の装置と、
認証対象の装置を認証する認証装置とを含み、
認証対象の装置は、
認証対象の装置の認証情報を生成する認証情報生成部と、
認証対象の装置の製造時に認証情報生成部が生成した認証情報である製造時認証情報を含むプラットフォーム証明書が保存された記憶装置と、
認証対象の装置の使用場所において、記憶装置に保存されたプラットフォーム証明書を認証装置に送信する証明書送信部とを備え、
認証装置は、
認証対象の装置が送信したプラットフォーム証明書を受信する受信部と、
受信部が受信したプラットフォーム証明書に対応する電子証明書を用いて、プラットフォーム証明書の有効性を判定する証明書判定部と、
証明書判定部によってプラットフォーム証明書が有効であると判定された場合、プラットフォーム証明書に含まれる製造時認証情報を、認証装置がアクセス可能な記憶装置に保存する認証情報保存部とを備える。
【０００９】
本開示に係る認証装置は、
認証対象の装置の記憶装置に保存されている認証対象の装置の製造時に生成された認証対象の装置の認証情報である製造時認証情報を含むプラットフォーム証明書を受信する受信部と、
受信部が受信したプラットフォーム証明書に対応する電子証明書を用いて、プラットフォーム証明書の有効性を判定する証明書判定部と、
証明書判定部によってプラットフォーム証明書が有効であると判定された場合、プラットフォーム証明書に含まれる製造時認証情報を、自装置がアクセス可能な記憶装置に保存する認証情報保存部とを備える。
【００１０】
本開示に係る方法は、コンピュータが、
認証対象の装置が送信した、認証対象の装置の記憶装置に保存されている認証対象の装置の製造時に生成された認証対象の装置の認証情報である製造時認証情報を含むプラットフォーム証明書を受信し、
受信したプラットフォーム証明書に対応する電子証明書を用いて、プラットフォーム証明書の有効性を判定し、
プラットフォーム証明書が有効であると判定された場合、プラットフォーム証明書に含まれる製造時認証情報を記憶装置に保存する。
（【００１１】以降は省略されています）

関連特許