JP7801951B2 - User authentication system, user authentication service system, user authentication method, and computer program - Google Patents
User authentication system, user authentication service system, user authentication method, and computer programInfo
- Publication number
- JP7801951B2 JP7801951B2 JP2022090816A JP2022090816A JP7801951B2 JP 7801951 B2 JP7801951 B2 JP 7801951B2 JP 2022090816 A JP2022090816 A JP 2022090816A JP 2022090816 A JP2022090816 A JP 2022090816A JP 7801951 B2 JP7801951 B2 JP 7801951B2
- Authority
- JP
- Japan
- Prior art keywords
- service
- user
- electronic certificate
- user authentication
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Description
本発明は、利用者認証システム、利用者認証サービスシステム、利用者認証方法及びコンピュータプログラムに関する。 The present invention relates to a user authentication system, a user authentication service system, a user authentication method, and a computer program.
特許文献1には、施設に入場する利用者を、マイナンバーカードを利用して認証する入退場管理システムが記載されている。特許文献1に記載された入退場管理システムは、入場者がマイナンバーカードを提示した際に利用者証明用電子証明書用の暗証番号(4桁)を入力し、当該マイナンバーカードから読み取られた利用者証明用電子証明書の有効性の確認を、J-LIS(地方公共団体情報システム機構)のサーバ(公的個人認証サービスシステム)を利用して行う。 Patent Document 1 describes an entrance/exit management system that uses My Number cards to authenticate users entering a facility. The entrance/exit management system described in Patent Document 1 requires users to enter a four-digit PIN for a user authentication electronic certificate when they present their My Number card, and then verifies the validity of the user authentication electronic certificate read from the My Number card using a server (public personal authentication service system) run by the Japan-LIS (Japan Agency for Local Authority Information Systems).
近年、様々なサービスの提供システムにおいて、利用者を認証するためにマイナンバーカードを利用することが普及してきている。しかしながら、上述した特許文献1に記載された技術では、個々のサービスの提供システムが自ら公的個人認証サービスシステムを利用して利用者証明用電子証明書の有効性の確認を行うので、公的個人認証サービスシステムに与える負荷が大きいという課題があった。 In recent years, the use of My Number cards to authenticate users has become widespread in a variety of service provision systems. However, with the technology described in Patent Document 1 above, each service provision system uses the public personal authentication service system itself to verify the validity of the user's electronic certificate, which poses an issue of placing a heavy load on the public personal authentication service system.
本発明は、このような事情を考慮してなされたものであり、その目的は、複数のサービスのそれぞれの提供システムが利用者の認証にマイナンバーカードを利用する場合の公的個人認証サービスシステムに与える負荷を低減させることにある。 The present invention was made in consideration of these circumstances, and its purpose is to reduce the load on the public personal authentication service system when the systems providing multiple services each use My Number cards to authenticate users.
本発明の一態様は、二要素認証サービスと認証印刷サービスと入退室管理サービスと出退勤管理サービスとのうち少なくとも二以上のサービスのそれぞれに対応する提供システム毎に設けられた通信部と、二要素認証サービスと認証印刷サービスと入退室管理サービスと出退勤管理サービスとのうち少なくとも二以上のサービス毎の利用者識別情報と、マイナンバーカードから読み取られた利用者証明用電子証明書のシリアル番号と、利用者証明用電子証明書の有効又は失効を示す効力情報とを関連付けて格納する管理データベースと、前記サービス毎の利用者識別情報とマイナンバーカードから読み取られた利用者証明用電子証明書のシリアル番号とを含むマイナンバーカード登録申請情報をマイナンバーカード登録端末から受付け、受付けたマイナンバーカード登録申請情報に含まれる利用者証明用電子証明書のシリアル番号に関する有効又は失効の確認を公的個人認証サービスシステムを利用して行い、確認の結果が有効である利用者証明用電子証明書のシリアル番号を含むマイナンバーカード登録申請情報を、有効を示す効力情報に関連付けて前記管理データベースに登録するマイナンバーカード登録部と、前記管理データベースに格納された利用者証明用電子証明書のシリアル番号に関する有効又は失効の確認を公的個人認証サービスシステムを利用して行い、確認の結果が失効である利用者証明用電子証明書のシリアル番号に関連付けて前記管理データベースに格納された効力情報を、失効を示す効力情報にする利用者証明用電子証明書失効確認部と、二要素認証サービスと認証印刷サービスと入退室管理サービスと出退勤管理サービスとのうちのいずれかのサービスの提供システムから当該サービスの提供システムに対応する前記通信部により受信された利用者認証申請情報に含まれる当該サービスの利用時にマイナンバーカードから読み取られた利用者証明用電子証明書のシリアル番号に関連付けられた効力情報及び当該サービスの利用者識別情報を前記管理データベースから取得し、取得した効力情報及び当該サービスの利用者識別情報に基づいて利用者認証結果を当該サービスの提供システムに対応する前記通信部により当該サービスの提供システムへ回答する利用者認証部と、を備える利用者認証システムである。 One aspect of the present invention is a system including: a communication unit provided for each provider system corresponding to at least two or more services selected from a two-factor authentication service, an authenticated printing service, an entry/exit management service, and a time attendance management service; a management database that stores, in association with each other, user identification information for at least two or more services selected from a two-factor authentication service, an authenticated printing service, an entry/exit management service, and a time attendance management service; a serial number of a user-certification electronic certificate read from an Individual Number Card; and validity information indicating whether the user-certification electronic certificate is valid or invalid; and a system that receives, from an Individual Number Card registration terminal, Individual Number Card registration application information including the user identification information for each service and the serial number of the user-certification electronic certificate read from the Individual Number Card, and uses a public personal authentication service system to confirm the validity or invalidity of the serial number of the user-certification electronic certificate included in the received Individual Number Card registration application information; and stores, in association with each other, validity information indicating the validity of the user-certification electronic certificate, the serial number of the user-certification electronic certificate in the management database. a user authentication electronic certificate revocation confirmation unit that uses a public personal authentication service system to confirm the validity or revocation of the serial number of the user authentication electronic certificate stored in the management database and changes the validity information stored in the management database in association with the serial number of the user authentication electronic certificate that is found to be revoked to validity information indicating revocation; and a user authentication unit that obtains from the management database the validity information associated with the serial number of the user authentication electronic certificate read from the My Number card when using one of the two-factor authentication service, authenticated printing service, entry/exit management service, and time attendance management service, and the user identification information for the service, which is included in user authentication application information received from the service providing system by the communication unit corresponding to the service providing system, and returns a user authentication result to the service providing system based on the obtained validity information and the user identification information for the service via the communication unit corresponding to the service providing system.
本発明の一態様は、上記の利用者認証システムにおいて、前記利用者証明用電子証明書失効確認部は、日次且つ二要素認証サービスと認証印刷サービスと入退室管理サービスと出退勤管理サービスとの全てのサービスの提供開始時刻までに、前記管理データベースに格納された全ての利用者証明用電子証明書のシリアル番号に関する有効又は失効の確認及び効力情報の更新を行う。 In one aspect of the present invention, in the above-mentioned user authentication system, the user-certificate electronic certificate revocation confirmation unit confirms the validity or revocation of the serial numbers of all user-certificates stored in the management database and updates the validity information daily and by the start time of all services, including the two-factor authentication service, authenticated printing service, entry/exit management service, and time attendance management service.
本発明の一態様は、上記の利用者認証システムにおいて、前記利用者証明用電子証明書失効確認部は、日次で、公的個人認証サービスシステムから利用者証明用電子証明書失効リストを取得し、取得した利用者証明用電子証明書失効リストに基づいて前記管理データベースに格納された利用者証明用電子証明書のシリアル番号に関する有効又は失効の確認を行う。 In one aspect of the present invention, in the above-mentioned user authentication system, the user-certificate electronic certificate revocation confirmation unit obtains a user-certificate electronic certificate revocation list from a public personal authentication service system on a daily basis, and confirms the validity or revocation of the serial numbers of the user-certificates stored in the management database based on the obtained user-certificate electronic certificate revocation list.
本発明の一態様は、上記の利用者認証システムにおいて、前記管理データベースは、日次でリセットされる失効確認実施済フラグをさらに関連付けて格納し、前記利用者証明用電子証明書失効確認部は、前記失効確認実施済フラグが未実施である利用者証明用電子証明書のシリアル番号に対して、二要素認証サービスと認証印刷サービスと入退室管理サービスと出退勤管理サービスとのうちのいずれかのサービスの提供システムから当該サービスの提供システムに対応する前記通信部により受信された利用者認証申請情報に含まれる当該サービスの利用時にマイナンバーカードから読み取られた利用者証明用電子証明書のシリアル番号に関する有効又は失効の確認及び効力情報の更新を行うと共に当該利用者証明用電子証明書のシリアル番号に関連付けられた前記失効確認実施済フラグを実施済にセットする。 In one aspect of the present invention, in the above-mentioned user authentication system, the management database further associates and stores a revocation check completion flag that is reset daily, and the user-certificate electronic certificate revocation confirmation unit confirms the validity or revocation of the serial number of the user-certificate electronic certificate read from the My Number card when using the service included in the user authentication application information received from the service providing system of one of the two-factor authentication service, authenticated printing service, entry/exit management service, or time attendance management service by the communication unit corresponding to that service providing system, for the serial number of the user-certificate electronic certificate for which the revocation check completion flag has not been performed, and updates the validity information, and sets the revocation check completion flag associated with the serial number of the user-certificate electronic certificate to "confirmed."
本発明の一態様は、上記の利用者認証システムにおいて、前記利用者証明用電子証明書失効確認部は、公的個人認証サービスシステムに対して利用者証明用電子証明書のシリアル番号を送信し、公的個人認証サービスシステムから当該利用者証明用電子証明書の失効状況の照会結果を受信する。 In one aspect of the present invention, in the above-mentioned user authentication system, the user-certificate electronic certificate revocation confirmation unit transmits the serial number of the user-certificate electronic certificate to the public personal authentication service system and receives the result of an inquiry regarding the revocation status of the user-certificate electronic certificate from the public personal authentication service system.
本発明の一態様は、上記のいずれかの利用者認証システムと、二要素認証サービスと認証印刷サービスと入退室管理サービスと出退勤管理サービスとのうち少なくとも二以上のサービスのそれぞれに対応する提供システムと、を備える利用者認証サービスシステムである。 One aspect of the present invention is a user authentication service system that includes any of the above user authentication systems and a provision system that supports at least two or more services from among a two-factor authentication service, an authenticated printing service, an entry/exit management service, and a time and attendance management service.
本発明の一態様は、二要素認証サービスと認証印刷サービスと入退室管理サービスと出退勤管理サービスとのうち少なくとも二以上のサービスのそれぞれに対応する提供システム毎に設けられた通信部と、二要素認証サービスと認証印刷サービスと入退室管理サービスと出退勤管理サービスとのうち少なくとも二以上のサービス毎の利用者識別情報と、マイナンバーカードから読み取られた利用者証明用電子証明書のシリアル番号と、利用者証明用電子証明書の有効又は失効を示す効力情報とを関連付けて格納する管理データベースと、を備える利用者認証システムが実行する利用者認証方法であって、前記サービス毎の利用者識別情報とマイナンバーカードから読み取られた利用者証明用電子証明書のシリアル番号とを含むマイナンバーカード登録申請情報をマイナンバーカード登録端末から受付け、受付けたマイナンバーカード登録申請情報に含まれる利用者証明用電子証明書のシリアル番号に関する有効又は失効の確認を公的個人認証サービスシステムを利用して行い、確認の結果が有効である利用者証明用電子証明書のシリアル番号を含むマイナンバーカード登録申請情報を、有効を示す効力情報に関連付けて前記管理データベースに登録するマイナンバーカード登録ステップと、前記管理データベースに格納された利用者証明用電子証明書のシリアル番号に関する有効又は失効の確認を公的個人認証サービスシステムを利用して行い、確認の結果が失効である利用者証明用電子証明書のシリアル番号に関連付けて前記管理データベースに格納された効力情報を、失効を示す効力情報にする利用者証明用電子証明書失効確認ステップと、二要素認証サービスと認証印刷サービスと入退室管理サービスと出退勤管理サービスとのうちのいずれかのサービスの提供システムから当該サービスの提供システムに対応する前記通信部により受信された利用者認証申請情報に含まれる当該サービスの利用時にマイナンバーカードから読み取られた利用者証明用電子証明書のシリアル番号に関連付けられた効力情報及び当該サービスの利用者識別情報を前記管理データベースから取得し、取得した効力情報及び当該サービスの利用者識別情報に基づいて利用者認証結果を当該サービスの提供システムに対応する前記通信部により当該サービスの提供システムへ回答する利用者認証ステップと、を含む利用者認証方法である。 One aspect of the present invention is a user authentication method executed by a user authentication system that includes a communication unit provided for each provider system corresponding to at least two or more services selected from a two-factor authentication service, an authenticated printing service, an entry/exit management service, and a time attendance management service, and a management database that stores, in association with each other, user identification information for at least two or more services selected from a two-factor authentication service, an authenticated printing service, an entry/exit management service, and a time attendance management service, the serial number of a user-certification electronic certificate read from a My Number card, and validity information indicating the validity or revocation of the user-certification electronic certificate. The method includes receiving, from a My Number card registration terminal, My Number card registration application information including the user identification information for each service and the serial number of the user-certification electronic certificate read from the My Number card, using a public personal authentication service system to confirm the validity or revocation of the serial number of the user-certification electronic certificate included in the received My Number card registration application information, and registering the My Number card registration application information including the serial number of the user-certification electronic certificate that is found to be valid as a result of the confirmation, in association with the validity information indicating the validity. a user authentication electronic certificate revocation confirmation step of using a public personal authentication service system to confirm whether the serial number of the user authentication electronic certificate stored in the management database is valid or invalid, and changing the validity information stored in the management database in association with the serial number of the user authentication electronic certificate for which the confirmation result is invalid to validity information indicating invalidity; and a user authentication step of obtaining from the management database, from a system providing one of a two-factor authentication service, an authenticated printing service, an entry/exit management service, or a time attendance management service, validity information associated with the serial number of the user authentication electronic certificate read from the My Number card when using the service and user identification information for the service, which is included in user authentication application information received by the communication unit corresponding to the system providing the service, and returning a user authentication result to the system providing the service via the communication unit corresponding to the system providing the service, based on the obtained validity information and user identification information for the service.
本発明の一態様は、二要素認証サービスと認証印刷サービスと入退室管理サービスと出退勤管理サービスとのうち少なくとも二以上のサービスのそれぞれに対応する提供システム毎に設けられた通信部と、二要素認証サービスと認証印刷サービスと入退室管理サービスと出退勤管理サービスとのうち少なくとも二以上のサービス毎の利用者識別情報と、マイナンバーカードから読み取られた利用者証明用電子証明書のシリアル番号と、利用者証明用電子証明書の有効又は失効を示す効力情報とを関連付けて格納する管理データベースと、を備える利用者認証システムのコンピュータに、前記サービス毎の利用者識別情報とマイナンバーカードから読み取られた利用者証明用電子証明書のシリアル番号とを含むマイナンバーカード登録申請情報をマイナンバーカード登録端末から受付け、受付けたマイナンバーカード登録申請情報に含まれる利用者証明用電子証明書のシリアル番号に関する有効又は失効の確認を公的個人認証サービスシステムを利用して行い、確認の結果が有効である利用者証明用電子証明書のシリアル番号を含むマイナンバーカード登録申請情報を、有効を示す効力情報に関連付けて前記管理データベースに登録するマイナンバーカード登録ステップと、前記管理データベースに格納された利用者証明用電子証明書のシリアル番号に関する有効又は失効の確認を公的個人認証サービスシステムを利用して行い、確認の結果が失効である利用者証明用電子証明書のシリアル番号に関連付けて前記管理データベースに格納された効力情報を、失効を示す効力情報にする利用者証明用電子証明書失効確認ステップと、二要素認証サービスと認証印刷サービスと入退室管理サービスと出退勤管理サービスとのうちのいずれかのサービスの提供システムから当該サービスの提供システムに対応する前記通信部により受信された利用者認証申請情報に含まれる当該サービスの利用時にマイナンバーカードから読み取られた利用者証明用電子証明書のシリアル番号に関連付けられた効力情報及び当該サービスの利用者識別情報を前記管理データベースから取得し、取得した効力情報及び当該サービスの利用者識別情報に基づいて利用者認証結果を当該サービスの提供システムに対応する前記通信部により当該サービスの提供システムへ回答する利用者認証ステップと、を実行させるためのコンピュータプログラムである。 One aspect of the present invention is a user authentication system comprising a computer that receives, from a My Number card registration terminal, My Number card registration application information including the user identification information for each of the at least two or more services among the two-factor authentication service, the authenticated printing service, the entry/exit management service, and the time and attendance management service, the serial number of a user-certification electronic certificate read from a My Number card, and validity information indicating the validity or revocation of the user-certification electronic certificate, the computer comprising a communication unit provided for each provision system corresponding to at least two or more services among the two-factor authentication service, the authenticated printing service, the entry/exit management service, and the time and attendance management service, the serial number of a user-certification electronic certificate read from a My Number card, and validity information indicating the validity or revocation of the user-certification electronic certificate; a user-certification electronic certificate revocation confirmation step of using a public personal authentication service system to confirm whether the serial number of the user-certification electronic certificate stored in the management database is valid or invalid, and changing the validity information stored in the management database in association with the serial number of the user-certification electronic certificate that is invalid as validity information; and a user authentication step of obtaining from the management database, from a service providing system of one of a two-factor authentication service, an authenticated printing service, an entry/exit management service, or a time attendance management service, validity information associated with the serial number of the user-certification electronic certificate read from the My Number card when using the service and user identification information for the service, which are included in user authentication application information received by the communication unit corresponding to the service providing system, and returning a user authentication result to the service providing system via the communication unit corresponding to the service providing system based on the obtained validity information and user identification information for the service.
本発明によれば、複数のサービスのそれぞれの提供システムが利用者の認証にマイナンバーカードを利用する場合の公的個人認証サービスシステムに与える負荷を低減させることができるという効果が得られる。 The present invention has the effect of reducing the load on the public personal authentication service system when each of the systems providing multiple services uses My Number cards to authenticate users.
以下、図面を参照し、本発明の実施形態について説明する。 Embodiments of the present invention will be described below with reference to the drawings.
[第1実施形態]
図1は、第1実施形態に係る利用者認証システムの構成例を示すブロック図である。図1に示される利用者認証システム10は、様々なサービスをそれぞれに提供する提供システム40(40-1,40-2,40-3,40-4,・・・)に対して、マイナンバーカードを利用して利用者を認証する利用者認証サービスを提供する。図1には、提供システム40の例として、二要素認証サービスを提供する二要素認証サービス提供システム40-1と、認証印刷サービスを提供する認証印刷サービス提供システム40-2と、入退室管理サービスを提供する入退室管理サービス提供システム40-3と、出退勤管理サービスを提供する出退勤管理サービス提供システム40-4と、が示される。
[First embodiment]
Fig. 1 is a block diagram showing an example of the configuration of a user authentication system according to a first embodiment. The user authentication system 10 shown in Fig. 1 provides a user authentication service that authenticates users using My Number cards to provision systems 40 (40-1, 40-2, 40-3, 40-4, ...), each of which provides a variety of services. Fig. 1 shows, as examples of the provision systems 40, a two-factor authentication service provision system 40-1 that provides two-factor authentication services, an authentication printing service provision system 40-2 that provides authenticated printing services, an entry/exit management service provision system 40-3 that provides entry/exit management services, and a time attendance management service provision system 40-4 that provides time attendance management services.
二要素認証サービスは、2つの要素を用いて利用者を認証するサービスである。二要素認証サービスとして、例えば、利用者識別情報及びパスワードの組み合わせによる第1要素認証と、マイナンバーカードによる第2要素認証とを用いて利用者を認証することが挙げられる。 A two-factor authentication service is a service that authenticates a user using two factors. For example, a two-factor authentication service authenticates a user using a first factor, which is a combination of user identification information and a password, and a second factor, which is an Individual Number card.
認証印刷サービスは、印刷時に利用者を認証するサービスである。認証印刷サービスとして、例えば、印刷時にマイナンバーカードを用いて利用者を認証することが挙げられる。 An authenticated printing service is a service that authenticates users when printing. For example, an authenticated printing service would use a My Number card to authenticate users when printing.
入退室管理サービスは、執務室等の入室及び退室の際に利用者を認証するサービスである。入退室管理サービスとして、例えば、執務室等の入室及び退室の際にマイナンバーカードを用いて利用者を認証することが挙げられる。 An entry/exit management service is a service that authenticates users when they enter and exit an office or other room. For example, an entry/exit management service could use a My Number card to authenticate users when they enter and exit an office or other room.
出退勤管理サービスは、職場の出勤及び退勤の際に利用者を認証するサービスである。出退勤管理サービスとして、例えば、職場の出勤及び退勤の際にマイナンバーカードを用いて利用者を認証することが挙げられる。 The attendance management service is a service that authenticates users when they clock in and out of the workplace. For example, an attendance management service could use a My Number card to authenticate users when they clock in and out of the workplace.
各サービスの提供システム40-1,40-2,40-3,40-4,・・・を特に区別しないときは単に「提供システム40」と称する。 When no distinction is made between the service provision systems 40-1, 40-2, 40-3, 40-4, etc., they will simply be referred to as "provision systems 40."
利用者認証システム10が利用者認証サービスを提供する提供システム40は、追加や削減が可能である。 The provision systems 40 to which the user authentication system 10 provides user authentication services can be added or removed.
図1に例示される二要素認証サービス提供システム40-1や認証印刷サービス提供システム40-2や入退室管理サービス提供システム40-3や出退勤管理サービス提供システム40-4等の提供システム40は、例えば自治体の職員がサービスの利用者である。利用者認証システム10は、一つの自治体の提供システム40のみを利用者認証サービスの提供対象にしてもよく、又は複数の自治体の提供システム40を利用者認証サービスの提供対象にしてもよい。 The service users of the provision systems 40, such as the two-factor authentication service provision system 40-1, authenticated printing service provision system 40-2, entry/exit management service provision system 40-3, and attendance management service provision system 40-4 illustrated in FIG. 1, are, for example, local government employees. The user authentication system 10 may provide user authentication services to only one local government's provision system 40, or may provide user authentication services to multiple local government's provision systems 40.
以下、一つ又は複数の自治体の提供システム40が利用者認証システム10による利用者認証サービスの提供対象である場合を例に挙げて説明する。また、提供システム40のサービスの利用者が自治体の職員である場合を例に挙げて説明する。 The following describes an example in which one or more local government provision systems 40 are the target of user authentication services provided by the user authentication system 10. Also, the following describes an example in which the users of the provision system 40's services are local government employees.
利用者認証システム10は、通信回線を介して、自治体に設けられたマイナンバーカード登録端末30との間でデータを送受する。マイナンバーカード登録端末30は、自治体の職員(以下、単に職員と称する)が自分のマイナンバーカードを利用者認証システム10に登録するための端末である。マイナンバーカード登録端末30は、マイナンバーカードから情報を読み取ることができるカードリーダを備える。 The user authentication system 10 sends and receives data via a communication line to and from a My Number card registration terminal 30 installed at the local government. The My Number card registration terminal 30 is a terminal used by local government employees (hereinafter simply referred to as employees) to register their own My Number cards in the user authentication system 10. The My Number card registration terminal 30 is equipped with a card reader that can read information from My Number cards.
利用者認証システム10は、提供システム40毎の通信回線を介して、提供システム40との間でデータを送受する。 The user authentication system 10 sends and receives data between the provision systems 40 via the communication lines for each provision system 40.
利用者認証システム10は、通信回線を介して、公的個人認証サービスシステム50との間でデータを送受する。公的個人認証サービスシステム50は、J-LIS(地方公共団体情報システム機構)が運用するシステムである。 The user authentication system 10 sends and receives data via communication lines with the public personal authentication service system 50. The public personal authentication service system 50 is a system operated by J-LIS (Japan Agency for Local Authority Information Systems).
[利用者認証システムの詳細]
利用者認証システム10は、通信部11(11-1,11-2,11-3,11-4,・・・)と、管理データベース12と、マイナンバーカード登録部13と、利用者証明用電子証明書失効確認部14と、利用者認証部15と、を備える。
[User authentication system details]
The user authentication system 10 comprises a communication unit 11 (11-1, 11-2, 11-3, 11-4, ...), a management database 12, a My Number card registration unit 13, a user authentication electronic certificate revocation confirmation unit 14, and a user authentication unit 15.
利用者認証システム10の各機能は、利用者認証システム10がCPU(Central Processing Unit:中央演算処理装置)及びメモリ等のコンピュータハードウェアを備え、CPUがメモリに格納されたコンピュータプログラムを実行することにより実現される。なお、利用者認証システム10として、汎用のコンピュータ装置を使用して構成してもよく、又は、専用のハードウェア装置として構成してもよい。例えば、利用者認証システム10は、インターネット等の通信ネットワークに接続されるサーバコンピュータを使用して構成されてもよい。また、利用者認証システム10の各機能はクラウドコンピューティングにより実現されてもよい。また、利用者認証システム10は、単独のコンピュータにより実現するものであってもよく、又は利用者認証システム10の機能を複数のコンピュータに分散させて実現するものであってもよい。 The functions of the user authentication system 10 are realized by the user authentication system 10 being equipped with computer hardware such as a CPU (Central Processing Unit) and memory, and the CPU executing computer programs stored in the memory. The user authentication system 10 may be configured using a general-purpose computer device, or may be configured as a dedicated hardware device. For example, the user authentication system 10 may be configured using a server computer connected to a communications network such as the Internet. The functions of the user authentication system 10 may also be realized by cloud computing. The user authentication system 10 may also be realized by a single computer, or by distributing the functions of the user authentication system 10 across multiple computers.
通信部11(11-1,11-2,11-3,11-4,・・・)は、提供システム40(40-1,40-2,40-3,40-4,・・・)のそれぞれ対応して設けられている。通信部11は、自己が対応する提供システム40との間の通信回線を介して、当該提供システム40との間でデータを送受する。通信部11-1は、二要素認証サービス提供システム40-1との間の通信回線を介して、二要素認証サービス提供システム40-1との間でデータを送受する。通信部11-2は、認証印刷サービス提供システム40-2との間の通信回線を介して、認証印刷サービス提供システム40-2との間でデータを送受する。通信部11-3は、入退室管理サービス提供システム40-3との間の通信回線を介して、入退室管理サービス提供システム40-3との間でデータを送受する。通信部11-4は、出退勤管理サービス提供システム40-4との間の通信回線を介して、出退勤管理サービス提供システム40-4との間でデータを送受する。 The communication units 11 (11-1, 11-2, 11-3, 11-4, ...) are provided corresponding to each of the provision systems 40 (40-1, 40-2, 40-3, 40-4, ...). The communication units 11 send and receive data to and from their corresponding provision systems 40 via a communication line between them. The communication unit 11-1 sends and receives data to and from the two-factor authentication service providing system 40-1 via a communication line between them. The communication unit 11-2 sends and receives data to and from the authentication printing service providing system 40-2 via a communication line between them. The communication unit 11-3 sends and receives data to and from the entry/exit management service providing system 40-3 via a communication line between them. The communication unit 11-4 sends and receives data to and from the attendance management service providing system 40-4 via a communication line between the system and the attendance management service providing system 40-4.
管理データベース12は、マイナンバーカード登録端末30によって登録された職員のマイナンバーカードの登録情報を格納する。 The management database 12 stores the registration information of the My Number cards of employees registered by the My Number card registration terminal 30.
図2は、本実施形態に係る管理データベース12の構成例を示す図である。図2において、管理データベース12は、マイナンバーカード毎に、管理番号、利用者証明用電子証明書のシリアル番号、効力情報、有効期限、及び提供システム40のサービス毎の利用者識別情報を関連付けて格納する。 Figure 2 is a diagram showing an example of the configuration of the management database 12 according to this embodiment. In Figure 2, the management database 12 associates and stores, for each My Number card, the management number, the serial number of the user authentication electronic certificate, validity information, expiration date, and user identification information for each service of the provision system 40.
管理番号は、マイナンバーカードの登録時に付与される。利用者証明用電子証明書のシリアル番号は、マイナンバーカードの登録時にマイナンバーカードから読み取られたものである。効力情報は、利用者証明用電子証明書の有効又は失効を示す情報である。有効期限は、利用者証明用電子証明書の有効期限であって、マイナンバーカードの登録時にマイナンバーカードから読み取られたものである。 The management number is assigned when the My Number Card is registered. The serial number of the user-certified electronic certificate is read from the My Number Card when the My Number Card is registered. The validity information is information indicating whether the user-certified electronic certificate is valid or expired. The expiration date is the expiration date of the user-certified electronic certificate, and is read from the My Number Card when the My Number Card is registered.
図2には提供システム40のサービス毎の利用者識別情報の例として、二要素認証サービスで使用されるアカウント名や、入退室管理サービス及び出退勤管理サービスで共通に使用される職員番号や、認証印刷サービスで使用される拡張識別子(拡張ID)などが示される。 Figure 2 shows examples of user identification information for each service provided by the provision system 40, such as the account name used in the two-factor authentication service, the staff number used in common in the entry/exit management service and the time attendance management service, and the extended identifier (extended ID) used in the authenticated printing service.
マイナンバーカード登録部13は、職員のマイナンバーカードを管理データベース12に登録するためのマイナンバーカード登録処理を実行する。マイナンバーカード登録部13は、通信回線を介して、自治体に設けられたマイナンバーカード登録端末30との間でデータを送受する。また、マイナンバーカード登録部13は、通信回線を介して、公的個人認証サービスシステム50との間でデータを送受する。 The My Number card registration unit 13 executes My Number card registration processing to register the My Number cards of employees in the management database 12. The My Number card registration unit 13 sends and receives data via a communication line with the My Number card registration terminal 30 installed in the local government. The My Number card registration unit 13 also sends and receives data via a communication line with the public personal authentication service system 50.
本実施形態に係るマイナンバーカード登録処理について説明する。マイナンバーカード登録部13は、マイナンバーカード登録端末30からマイナンバーカード登録申請情報を受付ける。マイナンバーカード登録申請情報は、マイナンバーカードの登録を申請するための情報である。マイナンバーカード登録申請情報は、マイナンバーカードを登録する職員についての提供システム40のサービス毎の利用者識別情報と、当該職員のマイナンバーカードからマイナンバーカード登録端末30により読み取られた利用者証明用電子証明書のシリアル番号とを含む情報である。マイナンバーカード登録申請情報は、さらに利用者証明用電子証明書の有効期限を含む情報であってもよい。 The My Number Card registration process according to this embodiment will now be described. The My Number Card registration unit 13 accepts My Number Card registration application information from the My Number Card registration terminal 30. The My Number Card registration application information is information for applying to register a My Number Card. The My Number Card registration application information includes user identification information for each service of the provision system 40 for the employee registering the My Number Card, and the serial number of the user authentication electronic certificate read by the My Number Card registration terminal 30 from the employee's My Number Card. The My Number Card registration application information may also include information including the expiration date of the user authentication electronic certificate.
提供システム40のサービス毎の利用者識別情報は、二要素認証サービスで使用されるアカウント名、入退室管理サービス及び出退勤管理サービスで共通に使用される職員番号、及び認証印刷サービスで使用される拡張IDなどである。 User identification information for each service provided by the provision system 40 includes the account name used in the two-factor authentication service, the staff number used in common in the entry/exit management service and the time attendance management service, and the extended ID used in the authenticated printing service.
マイナンバーカードが有する利用者証明用電子証明書には、基本4情報(氏名、住所、性別及び生年月日)は登録されていないが、シリアル番号及び有効期限等が記録されている。利用者証明用電子証明書のシリアル番号及び有効期限は、職員が自分のマイナンバーカードをマイナンバーカード登録端末30のカードリーダにかざすと共に利用者証明用電子証明書用の暗証番号(4桁)をマイナンバーカード登録端末30に入力することによって、当該マイナンバーカードからマイナンバーカード登録端末30により読み取られる。 The user authentication electronic certificate attached to the My Number Card does not register the four basic pieces of information (name, address, gender, and date of birth), but does record the serial number, expiration date, etc. The serial number and expiration date of the user authentication electronic certificate are read from the My Number Card by the My Number Card registration terminal 30 when the employee holds their My Number Card over the card reader of the My Number Card registration terminal 30 and enters the PIN (4 digits) for the user authentication electronic certificate into the My Number Card registration terminal 30.
マイナンバーカード登録部13は、マイナンバーカード登録端末30から受付けたマイナンバーカード登録申請情報に含まれる利用者証明用電子証明書のシリアル番号に関する有効又は失効の確認(利用者証明用電子証明書の有効性の確認)を公的個人認証サービスシステム50を利用して行う。 The My Number Card registration unit 13 uses the public personal authentication service system 50 to confirm the validity or revocation of the serial number of the user authentication electronic certificate included in the My Number Card registration application information received from the My Number Card registration terminal 30 (confirming the validity of the user authentication electronic certificate).
マイナンバーカード登録部13は、利用者証明用電子証明書の有効性の確認において、OCSP(Online Certificate Status Protocol)レスポンダ照会方法を用いる。OCSPレスポンダ照会方法において、マイナンバーカード登録部13は、公的個人認証サービスシステム50のOCSPレスポンダに対して利用者証明用電子証明書のシリアル番号を送信し、公的個人認証サービスシステム50から当該利用者証明用電子証明書の失効状況の照会結果を受信する。 The My Number Card registration unit 13 uses the OCSP (Online Certificate Status Protocol) responder query method to confirm the validity of the user-certificate electronic certificate. In the OCSP responder query method, the My Number Card registration unit 13 sends the serial number of the user-certificate electronic certificate to the OCSP responder of the public personal authentication service system 50, and receives the query result regarding the revocation status of the user-certificate electronic certificate from the public personal authentication service system 50.
マイナンバーカード登録部13は、利用者証明用電子証明書の有効性の確認の結果が有効である利用者証明用電子証明書のシリアル番号を含むマイナンバーカード登録申請情報を、有効を示す効力情報に関連付けて管理データベース12に登録する。利用者証明用電子証明書の有効性の確認の結果が失効である利用者証明用電子証明書のシリアル番号を含むマイナンバーカード登録申請情報は、管理データベース12に登録されない。 The My Number Card registration unit 13 registers My Number Card registration application information, including the serial number of a user-certificate electronic certificate for which the result of the validity check is valid, in the management database 12 in association with validity information indicating validity. My Number Card registration application information, including the serial number of a user-certificate electronic certificate for which the result of the validity check is invalid, is not registered in the management database 12.
利用者証明用電子証明書失効確認部14は、管理データベース12に格納された利用者証明用電子証明書のシリアル番号に関する有効又は失効を確認するための利用者証明用電子証明書失効確認処理を実行する。利用者証明用電子証明書失効確認部14は、通信回線を介して、公的個人認証サービスシステム50との間でデータを送受する。 The user-certificate electronic certificate revocation confirmation unit 14 executes a user-certificate electronic certificate revocation confirmation process to confirm the validity or revocation of the serial number of the user-certificate electronic certificate stored in the management database 12. The user-certificate electronic certificate revocation confirmation unit 14 sends and receives data to and from the public personal authentication service system 50 via a communication line.
本実施形態に係る利用者証明用電子証明書失効確認処理について説明する。利用者証明用電子証明書失効確認部14は、管理データベース12に格納された利用者証明用電子証明書のシリアル番号に関する有効又は失効の確認(利用者証明用電子証明書の有効性の確認)を公的個人認証サービスシステム50を利用して行う。 The following describes the process for confirming the revocation of a user-certificate electronic certificate according to this embodiment. The user-certificate electronic certificate revocation confirmation unit 14 uses the public personal authentication service system 50 to confirm the validity or revocation of the serial number of the user-certificate electronic certificate stored in the management database 12 (confirming the validity of the user-certificate electronic certificate).
本実施形態では、利用者証明用電子証明書失効確認部14は、利用者証明用電子証明書の有効性の確認において、失効記録提供方法を用いる。失効記録提供方法において、利用者証明用電子証明書失効確認部14は、公的個人認証サービスシステム50に対して日次で利用者証明用電子証明書失効リスト(CRL:Certificate Revocation List)を要求し、公的個人認証サービスシステム50から日次で利用者証明用電子証明書失効リストを受信する。利用者証明用電子証明書失効リストは、公的個人認証サービスシステム50によって、利用者証明用電子証明書の最新の失効情報を基に日次で作成される。 In this embodiment, the user-certificate electronic certificate revocation checking unit 14 uses a revocation record providing method to check the validity of the user-certificate electronic certificate. In this revocation record providing method, the user-certificate electronic certificate revocation checking unit 14 requests a user-certificate electronic certificate revocation list (CRL: Certificate Revocation List) from the public personal authentication service system 50 on a daily basis, and receives the user-certificate electronic certificate revocation list from the public personal authentication service system 50 on a daily basis. The user-certificate electronic certificate revocation list is created daily by the public personal authentication service system 50 based on the latest revocation information of the user-certificate electronic certificate.
利用者証明用電子証明書失効確認部14は、公的個人認証サービスシステム50から受信した利用者証明用電子証明書失効リストを参照し、管理データベース12に格納された全ての利用者証明用電子証明書のシリアル番号に関する有効又は失効の確認を行う。利用者証明用電子証明書失効確認部14は、当該確認の結果が失効である利用者証明用電子証明書のシリアル番号に関連付けて管理データベース12に格納された効力情報を、失効を示す効力情報にする。 The user-certificate electronic certificate revocation confirmation unit 14 references the user-certificate electronic certificate revocation list received from the public personal authentication service system 50 and confirms whether the serial numbers of all user-certificate electronic certificates stored in the management database 12 are valid or revoked. The user-certificate electronic certificate revocation confirmation unit 14 changes the validity information stored in the management database 12 in association with the serial number of a user-certificate electronic certificate that has been revoked as a result of the confirmation to validity information indicating revocation.
利用者証明用電子証明書失効確認部14は、管理データベース12に格納された全ての利用者証明用電子証明書のシリアル番号に関する有効又は失効の確認及び効力情報の更新を、日次で、提供システム40の全サービスの提供開始時刻までに完了させる。例えばバッチ処理により、失効記録提供方法による利用者証明用電子証明書失効リストの要求及び受信から、管理データベース12に格納された全ての利用者証明用電子証明書のシリアル番号に関する有効又は失効の確認及び効力情報の更新までを、日次で、提供システム40の全サービスの提供開始時刻までに完了させるようにしてもよい。 The user-certificate electronic certificate revocation confirmation unit 14 completes daily confirmation of the validity or revocation of the serial numbers of all user-certificate electronic certificates stored in the management database 12 and updates the validity information by the time all services in the provision system 40 begin to be provided. For example, batch processing may be used to complete the process from requesting and receiving the user-certificate electronic certificate revocation list using the revocation record provision method to confirming the validity or revocation of the serial numbers of all user-certificate electronic certificates stored in the management database 12 and updating the validity information by the time all services in the provision system 40 begin to be provided.
利用者認証部15は、提供システム40のサービスを利用する利用者の認証を行うための利用者認証処理を実行する。利用者認証部15は、提供システム40(40-1,40-2,40-3,40-4,・・・)のそれぞれ対応して設けられた通信部11(11-1,11-2,11-3,11-4,・・・)を介して、それぞれの提供システム40との間でデータを送受する。 The user authentication unit 15 executes user authentication processing to authenticate users who use the services of the provision systems 40. The user authentication unit 15 sends and receives data to and from each provision system 40 via the communication units 11 (11-1, 11-2, 11-3, 11-4, ...) provided corresponding to each provision system 40 (40-1, 40-2, 40-3, 40-4, ...).
本実施形態に係る利用者認証処理について説明する。利用者認証部15は、それぞれの提供システム40のサービスの提供日において提供開始時刻から提供終了時刻までの期間に、それぞれの提供システム40から、それぞれの提供システム40に対応する通信部11を介して、利用者認証申請情報を受信する。 The user authentication process according to this embodiment will now be described. The user authentication unit 15 receives user authentication application information from each provision system 40 via the communication unit 11 corresponding to each provision system 40 during the period from the provision start time to the provision end time on the day on which the service of each provision system 40 is provided.
利用者認証部15は、二要素認証サービスの提供日において提供開始時刻から提供終了時刻までの期間に、二要素認証サービス提供システム40-1から通信部11-1を介して利用者認証申請情報を受信する。利用者認証部15は、認証印刷サービスの提供日において提供開始時刻から提供終了時刻までの期間に、認証印刷サービス提供システム40-2から通信部11-2を介して利用者認証申請情報を受信する。利用者認証部15は、入退室管理サービスの提供日において提供開始時刻から提供終了時刻までの期間に、入退室管理サービス提供システム40-3から通信部11-3を介して利用者認証申請情報を受信する。利用者認証部15は、出退勤管理サービスの提供日において提供開始時刻から提供終了時刻までの期間に、出退勤管理サービス提供システム40-4から通信部11-4を介して利用者認証申請情報を受信する。 The user authentication unit 15 receives user authentication application information from the two-factor authentication service providing system 40-1 via the communication unit 11-1 during the period from the start time to the end time of the two-factor authentication service on the day the service is provided. The user authentication unit 15 receives user authentication application information from the authenticated printing service providing system 40-2 via the communication unit 11-2 during the period from the start time to the end time of the authenticated printing service on the day the service is provided. The user authentication unit 15 receives user authentication application information from the entry/exit management service providing system 40-3 via the communication unit 11-3 during the period from the start time to the end time of the access management service on the day the service is provided. The user authentication unit 15 receives user authentication application information from the entry/exit management service providing system 40-4 via the communication unit 11-4 during the period from the start time to the end time of the access management service on the day the service is provided.
利用者認証申請情報は、提供システム40のサービスの利用者(職員)の認証を申請するための情報である。利用者認証申請情報は、職員が提供システム40のサービスを利用する時に当該職員のマイナンバーカードから読み取られた利用者証明用電子証明書のシリアル番号を含む情報である。 The user authentication application information is information used to apply for authentication of users (staff members) of the services provided by the provision system 40. The user authentication application information includes the serial number of the user authentication electronic certificate read from the staff member's My Number card when the staff member uses the services provided by the provision system 40.
二要素認証サービス提供システム40-1の利用者認証申請情報は、職員が二要素認証サービスを利用する時に当該職員のマイナンバーカードから読み取られた利用者証明用電子証明書のシリアル番号を含む情報である。二要素認証サービス提供システム40-1の端末は、マイナンバーカードから情報を読み取ることができるカードリーダを備える。二要素認証サービス提供システム40-1は、当該端末のカードリーダにかざされたマイナンバーカードから当該カードリーダにより読み取られた利用者証明用電子証明書のシリアル番号を取得する。 The user authentication application information of the two-factor authentication service providing system 40-1 is information that includes the serial number of the user authentication electronic certificate read from the employee's My Number card when the employee uses the two-factor authentication service. The terminal of the two-factor authentication service providing system 40-1 is equipped with a card reader that can read information from the My Number card. The two-factor authentication service providing system 40-1 obtains the serial number of the user authentication electronic certificate read by the card reader from the My Number card held over the card reader of the terminal.
認証印刷サービス提供システム40-2の利用者認証申請情報は、職員が認証印刷サービスを利用する時に当該職員のマイナンバーカードから読み取られた利用者証明用電子証明書のシリアル番号を含む情報である。認証印刷サービス提供システム40-2の印刷機は、マイナンバーカードから情報を読み取ることができるカードリーダを備える。認証印刷サービス提供システム40-2は、当該印刷機のカードリーダにかざされたマイナンバーカードから当該カードリーダにより読み取られた利用者証明用電子証明書のシリアル番号を取得する。 The user authentication application information of the authentication printing service providing system 40-2 includes the serial number of the user authentication electronic certificate read from the employee's My Number card when the employee uses the authentication printing service. The printing machine of the authentication printing service providing system 40-2 is equipped with a card reader that can read information from My Number cards. The authentication printing service providing system 40-2 obtains the serial number of the user authentication electronic certificate read by the card reader from the My Number card held over the card reader of the printing machine.
入退室管理サービス提供システム40-3の利用者認証申請情報は、職員が入退室管理サービスを利用する時に当該職員のマイナンバーカードから読み取られた利用者証明用電子証明書のシリアル番号を含む情報である。入退室管理サービス提供システム40-3の端末は、マイナンバーカードから情報を読み取ることができるカードリーダを備える。入退室管理サービス提供システム40-3は、当該端末のカードリーダにかざされたマイナンバーカードから当該カードリーダにより読み取られた利用者証明用電子証明書のシリアル番号を取得する。 The user authentication application information of the entry/exit management service providing system 40-3 includes the serial number of the user authentication electronic certificate read from the employee's My Number card when the employee uses the entry/exit management service. The terminal of the entry/exit management service providing system 40-3 is equipped with a card reader capable of reading information from My Number cards. The entry/exit management service providing system 40-3 obtains the serial number of the user authentication electronic certificate read by the card reader from the My Number card held over the card reader of the terminal.
出退勤管理サービス提供システム40-4の利用者認証申請情報は、職員が出退勤管理サービスを利用する時に当該職員のマイナンバーカードから読み取られた利用者証明用電子証明書のシリアル番号を含む情報である。出退勤管理サービス提供システム40-4の端末は、マイナンバーカードから情報を読み取ることができるカードリーダを備える。出退勤管理サービス提供システム40-4は、当該端末のカードリーダにかざされたマイナンバーカードから当該カードリーダにより読み取られた利用者証明用電子証明書のシリアル番号を取得する。 The user authentication application information of the attendance management service providing system 40-4 includes the serial number of the user authentication electronic certificate read from the employee's My Number card when the employee uses the attendance management service. The terminal of the attendance management service providing system 40-4 is equipped with a card reader that can read information from My Number cards. The attendance management service providing system 40-4 obtains the serial number of the user authentication electronic certificate read by the card reader from the My Number card held over the card reader of the terminal.
利用者認証部15は、提供システム40から当該提供システム40に対応する通信部11を介して受信した利用者認証申請情報に含まれる利用者証明用電子証明書のシリアル番号に関連付けられた効力情報及び当該提供システム40のサービスの利用者識別情報を管理データベース12から取得する。 The user authentication unit 15 obtains from the management database 12 the validation information associated with the serial number of the user authentication electronic certificate included in the user authentication application information received from the provision system 40 via the communication unit 11 corresponding to that provision system 40, and the user identification information for the service of that provision system 40.
当該利用者認証申請情報に含まれる利用者証明用電子証明書のシリアル番号は、当該利用者認証申請情報の送信元の提供システム40のサービスの利用時にマイナンバーカードから読み取られた利用者証明用電子証明書のシリアル番号である。 The serial number of the user authentication electronic certificate included in the user authentication application information is the serial number of the user authentication electronic certificate read from the My Number card when using the services of the provider system 40 that sent the user authentication application information.
当該利用者認証申請情報の送信元の提供システム40のサービスが二要素認証サービスである場合、管理データベース12から取得される利用者識別情報は、二要素認証サービスで使用されるアカウント名である。当該利用者認証申請情報の送信元の提供システム40のサービスが認証印刷サービスである場合、管理データベース12から取得される利用者識別情報は、認証印刷サービスで使用される拡張IDである。当該利用者認証申請情報の送信元の提供システム40のサービスが入退室管理サービスである場合、管理データベース12から取得される利用者識別情報は、入退室管理サービスで使用される職員番号である。当該利用者認証申請情報の送信元の提供システム40のサービスが出退勤管理サービスである場合、管理データベース12から取得される利用者識別情報は、出退勤管理サービスで使用される職員番号である。 If the service provided by the providing system 40 that sent the user authentication application information is a two-factor authentication service, the user identification information obtained from the management database 12 is the account name used in the two-factor authentication service. If the service provided by the providing system 40 that sent the user authentication application information is an authenticated printing service, the user identification information obtained from the management database 12 is the extended ID used in the authenticated printing service. If the service provided by the providing system 40 that sent the user authentication application information is an entry/exit management service, the user identification information obtained from the management database 12 is the employee number used in the entry/exit management service. If the service provided by the providing system 40 that sent the user authentication application information is a time attendance management service, the user identification information obtained from the management database 12 is the employee number used in the time attendance management service.
管理データベース12から取得された効力情報は、上記した利用者証明用電子証明書失効確認部14によって、日次で、利用者認証申請情報の送信元の提供システム40のサービスの提供開始時刻までに、利用者証明用電子証明書のシリアル番号に関する有効又は失効の確認及び効力情報の更新が完了している。したがって、利用者認証部15が管理データベース12から取得した効力情報は、最新化された情報である。 The validity information obtained from the management database 12 is checked daily by the user-certificate electronic certificate revocation checking unit 14 to see if the serial number of the user-certificate electronic certificate is valid or revoked, and the validity information is updated by the time the service provision of the provision system 40 that sent the user authentication application information begins. Therefore, the validity information obtained by the user authentication unit 15 from the management database 12 is the latest information.
利用者認証部15は、管理データベース12から取得した効力情報及び利用者識別情報に基づいて利用者認証結果を利用者認証申請情報の送信元の提供システム40へ当該提供システム40に対応する通信部11により回答する。利用者認証部15は、当該効力情報が有効を示す場合に、利用者認証結果として当該利用者識別情報と利用者の認証が合格であることを示す認証合格情報とを回答する。一方、利用者認証部15は、当該効力情報が失効を示す場合に、利用者認証結果として当該利用者識別情報と利用者の認証が不合格であることを示す認証不合格情報とを回答する。 The user authentication unit 15 responds to the provision system 40 that sent the user authentication application information with the user authentication result based on the validity information and user identification information obtained from the management database 12, via the communication unit 11 corresponding to that provision system 40. If the validity information indicates validity, the user authentication unit 15 responds as the user authentication result with the user identification information and authentication pass information indicating that the user authentication has passed. On the other hand, if the validity information indicates expiration, the user authentication unit 15 responds as the user authentication result with the user identification information and authentication fail information indicating that the user authentication has failed.
次に図3-図5を参照して本実施形態に係る利用者認証方法を説明する。図3-図5は、本実施形態に係る利用者認証方法の手順の例を示すフローチャートである。 Next, the user authentication method according to this embodiment will be described with reference to Figures 3 to 5. Figures 3 to 5 are flowcharts showing an example of the steps of the user authentication method according to this embodiment.
[マイナンバーカード登録段階]
図3を参照して本実施形態に係る利用者認証方法のマイナンバーカード登録段階を説明する。
[My Number Card registration stage]
The My Number card registration stage of the user authentication method according to this embodiment will be described with reference to FIG.
(ステップS101) 職員は、マイナンバーカード登録端末30に対して例えばログイン用のユーザ識別子及びパスワードを入力することにより、利用者認証を行う。 (Step S101) The staff member performs user authentication by, for example, entering a login user identifier and password into the My Number card registration terminal 30.
(ステップS102) ステップS101の利用者認証が合格である場合はステップS103に進む。一方、ステップS101の利用者認証が不合格である場合は図3の処理を終了する。 (Step S102) If the user authentication in step S101 is successful, proceed to step S103. On the other hand, if the user authentication in step S101 is unsuccessful, end the processing in Figure 3.
(ステップS103) 職員は、自分のマイナンバーカードをマイナンバーカード登録端末30のカードリーダにかざすと共に利用者証明用電子証明書用の暗証番号(4桁)をマイナンバーカード登録端末30に入力することにより、マイナンバーカード認証を行う。 (Step S103) The staff member authenticates their My Number card by holding their My Number card over the card reader of the My Number card registration terminal 30 and entering the PIN (4 digits) for the user authentication electronic certificate into the My Number card registration terminal 30.
(ステップS104) ステップS103のマイナンバーカード認証が合格である場合はステップS105に進む。一方、ステップS103のマイナンバーカード認証が不合格である場合は図3の処理を終了する。 (Step S104) If the My Number card authentication in step S103 is successful, proceed to step S105. On the other hand, if the My Number card authentication in step S103 is unsuccessful, end the processing in Figure 3.
(ステップS105) マイナンバーカード登録端末30は、カードリーダによりマイナンバーカードから読み取った利用者証明用電子証明書のシリアル番号及び有効期限を含むマイナンバーカード登録申請情報を、通信回線を介して、利用者認証システム10のマイナンバーカード登録部13へ送信する。マイナンバーカード登録部13は、マイナンバーカード登録端末30から通信回線を介して受信したマイナンバーカード登録申請情報を受付ける。 (Step S105) The My Number card registration terminal 30 transmits the My Number card registration application information, including the serial number and expiration date of the user authentication electronic certificate read from the My Number card by the card reader, to the My Number card registration unit 13 of the user authentication system 10 via a communication line. The My Number card registration unit 13 accepts the My Number card registration application information received from the My Number card registration terminal 30 via the communication line.
(ステップS106) マイナンバーカード登録部13は、マイナンバーカード登録端末30から受付けたマイナンバーカード登録申請情報に含まれる利用者証明用電子証明書のシリアル番号に関する有効又は失効の確認(利用者証明用電子証明書の有効性の確認)を公的個人認証サービスシステム50を利用して行う。具体的には、マイナンバーカード登録部13は、公的個人認証サービスシステム50のOCSPレスポンダに対して利用者証明用電子証明書のシリアル番号を送信し、公的個人認証サービスシステム50から当該利用者証明用電子証明書の失効状況の照会結果を受信する。 (Step S106) The My Number card registration unit 13 uses the public personal authentication service system 50 to confirm the validity or revocation of the serial number of the user-certificate electronic certificate included in the My Number card registration application information received from the My Number card registration terminal 30 (confirming the validity of the user-certificate electronic certificate). Specifically, the My Number card registration unit 13 sends the serial number of the user-certificate electronic certificate to the OCSP responder of the public personal authentication service system 50, and receives the inquiry result regarding the revocation status of the user-certificate electronic certificate from the public personal authentication service system 50.
(ステップS107) マイナンバーカード登録部13が公的個人認証サービスシステム50から受信した利用者証明用電子証明書の失効状況の照会結果が「有効」である場合はステップS108へ進む。一方、マイナンバーカード登録部13が公的個人認証サービスシステム50から受信した利用者証明用電子証明書の失効状況の照会結果が「失効」である場合は図3の処理を終了する。 (Step S107) If the result of the inquiry about the revocation status of the user-certificate electronic certificate received by the My Number card registration unit 13 from the public personal authentication service system 50 is "valid," proceed to step S108. On the other hand, if the result of the inquiry about the revocation status of the user-certificate electronic certificate received by the My Number card registration unit 13 from the public personal authentication service system 50 is "revoked," terminate the processing of Figure 3.
(ステップS108) マイナンバーカード登録部13は、利用者証明用電子証明書の有効性の確認の結果が有効である利用者証明用電子証明書のシリアル番号を含むマイナンバーカード登録申請情報を、有効を示す効力情報に関連付けて管理データベース12に登録する。この登録時に管理番号が付与される。これにより、利用者証明用電子証明書の有効性の確認の結果が有効である利用者証明用電子証明書のシリアル番号及び有効期限が、管理番号及び有効を示す効力情報に関連付けて管理データベース12に格納される。 (Step S108) The My Number Card registration unit 13 registers the My Number Card registration application information, including the serial number of the user-certificate electronic certificate for which the result of the validity check of the user-certificate electronic certificate is valid, in the management database 12 in association with validity information indicating validity. A management number is assigned during this registration. As a result, the serial number and expiration date of the user-certificate electronic certificate for which the result of the validity check of the user-certificate electronic certificate is valid are stored in the management database 12 in association with the management number and validity information indicating validity.
[利用者証明用電子証明書失効確認段階]
図4を参照して本実施形態に係る利用者認証方法の利用者証明用電子証明書失効確認段階を説明する。
[User authentication digital certificate revocation check stage]
The step of checking the revocation of the digital certificate for user authentication in the user authentication method according to this embodiment will be described with reference to FIG.
(ステップS201) 利用者証明用電子証明書失効確認部14は、利用者証明用電子証明書の失効確認タイミングを判定する。利用者証明用電子証明書の失効確認タイミングは、日次で所定の時刻に予め設定される。また、利用者証明用電子証明書の失効確認タイミングは、管理データベース12に格納された全ての利用者証明用電子証明書のシリアル番号に関する有効又は失効の確認及び効力情報の更新が提供システム40の全サービスの提供開始時刻までに完了するように、予め設定される。 (Step S201) The user-certificate electronic certificate revocation checking unit 14 determines the timing for checking the revocation of the user-certificate electronic certificate. The timing for checking the revocation of the user-certificate electronic certificate is preset to a specific time each day. The timing for checking the revocation of the user-certificate electronic certificate is also preset so that the confirmation of validity or revocation of the serial numbers of all user-certificate electronic certificates stored in the management database 12 and the update of validity information are completed by the time when all services of the provision system 40 start to be provided.
(ステップS202) ステップS201の判定の結果、利用者証明用電子証明書の失効確認タイミングである場合はステップS203に進み、そうではない場合はステップS201に戻る。 (Step S202) If the result of the determination in step S201 is that it is time to check the revocation of the user-authentication electronic certificate, proceed to step S203; if not, return to step S201.
(ステップS203) 利用者証明用電子証明書失効確認部14は、公的個人認証サービスシステム50に対して利用者証明用電子証明書失効リスト(CRL)を要求し、公的個人認証サービスシステム50から利用者証明用電子証明書失効リストを受信する。 (Step S203) The user-certificate electronic certificate revocation checking unit 14 requests a user-certificate electronic certificate revocation list (CRL) from the public personal authentication service system 50 and receives the user-certificate electronic certificate revocation list from the public personal authentication service system 50.
(ステップS204) 利用者証明用電子証明書失効確認部14は、公的個人認証サービスシステム50から受信した利用者証明用電子証明書失効リストを参照し、管理データベース12に格納された全ての利用者証明用電子証明書のシリアル番号に関する有効又は失効の確認を行う。利用者証明用電子証明書失効確認部14は、当該確認の結果が失効である利用者証明用電子証明書のシリアル番号に関連付けて管理データベース12に格納された効力情報を、失効を示す効力情報にする。 (Step S204) The user-certificate electronic certificate revocation confirmation unit 14 refers to the user-certificate electronic certificate revocation list received from the public personal authentication service system 50 and confirms whether the serial numbers of all user-certificate electronic certificates stored in the management database 12 are valid or revoked. The user-certificate electronic certificate revocation confirmation unit 14 changes the validity information stored in the management database 12 in association with the serial number of the user-certificate electronic certificate whose confirmation result indicates revocation to validity information indicating revocation.
[利用者認証段階]
図5を参照して本実施形態に係る利用者認証方法の利用者認証段階を説明する。ここでは、説明の便宜上、提供システム40のサービスとして認証印刷サービスを例に挙げて説明するが、認証印刷サービス以外の二要素認証サービスや入退室管理サービスや出退勤管理サービス等のサービスについても同様である。
[User authentication stage]
The user authentication stage of the user authentication method according to this embodiment will be described with reference to Fig. 5. For ease of explanation, the authentication printing service will be described as an example of a service provided by the provider system 40. However, the same applies to services other than the authentication printing service, such as a two-factor authentication service, an entry/exit management service, or a time and attendance management service.
(ステップS301) 職員は、認証印刷サービスを利用する時に、自分のマイナンバーカードを印刷機に備わるカードリーダにかざす。認証印刷サービス提供システム40-2は、印刷機のカードリーダがマイナンバーカードから読み取った利用者証明用電子証明書のシリアル番号を取得する。認証印刷サービス提供システム40-2は、取得した利用者証明用電子証明書のシリアル番号を含む利用者認証申請情報を、利用者認証システム10の通信部11-2との間の通信回線を介して、通信部11-2へ送信する。利用者認証システム10の通信部11-2は、認証印刷サービス提供システム40-2から、認証印刷サービス提供システム40-2との間の通信回線を介して、利用者認証申請情報を受信する。利用者認証部15は、認証印刷サービス提供システム40-2から通信部11-2により受信された利用者認証申請情報を通信部11-2から取得する。 (Step S301) When using the authentication printing service, an employee holds their My Number card over the card reader installed on the printing machine. The authentication printing service providing system 40-2 obtains the serial number of the user authentication electronic certificate read from the My Number card by the printing machine's card reader. The authentication printing service providing system 40-2 transmits user authentication application information, including the obtained serial number of the user authentication electronic certificate, to the communication unit 11-2 of the user authentication system 10 via a communication line between them. The communication unit 11-2 of the user authentication system 10 receives the user authentication application information from the authentication printing service providing system 40-2 via the communication line between them. The user authentication unit 15 obtains the user authentication application information received by the communication unit 11-2 from the authentication printing service providing system 40-2 from the communication unit 11-2.
(ステップS302) 利用者認証部15は、通信部11-2から取得した認証印刷サービス提供システム40-2の利用者認証申請情報に含まれる利用者証明用電子証明書のシリアル番号に関連付けられた効力情報及び認証印刷サービスの利用者識別情報である拡張IDを管理データベース12から取得する。利用者認証部15は、管理データベース12から取得した効力情報が「有効」又は「失効」のいずれを示すのかを確認する。 (Step S302) The user authentication unit 15 obtains from the management database 12 the validity information associated with the serial number of the user certificate included in the user authentication application information for the authenticated printing service providing system 40-2 obtained from the communication unit 11-2, and an extended ID, which is user identification information for the authenticated printing service. The user authentication unit 15 confirms whether the validity information obtained from the management database 12 indicates "valid" or "invalidated."
(ステップS303) ステップS302の確認の結果、効力情報が「有効」を示す場合はステップS304へ進む。一方、効力情報が「失効」を示す場合はステップS305へ進む。 (Step S303) If the result of the check in step S302 indicates that the validity information is "valid," proceed to step S304. On the other hand, if the validity information indicates "invalid," proceed to step S305.
(ステップS304) 利用者認証部15は、管理データベース12から取得した効力情報が「有効」を示す場合、認証印刷サービス提供システム40-2に対して、利用者認証結果として管理データベース12から取得した拡張IDと利用者である職員の認証が合格であることを示す認証合格情報とを通信部11-2により回答する。 (Step S304) If the validity information obtained from the management database 12 indicates "valid," the user authentication unit 15 responds to the authenticated printing service providing system 40-2 via the communication unit 11-2 with the extended ID obtained from the management database 12 as the user authentication result, and authentication pass information indicating that the employee user has passed authentication.
(ステップS305) 利用者認証部15は、管理データベース12から取得した効力情報が「失効」を示す場合、認証印刷サービス提供システム40-2に対して、利用者認証結果として管理データベース12から取得した拡張IDと利用者である職員の認証が不合格であることを示す認証不合格情報とを通信部11-2により回答する。 (Step S305) If the validity information obtained from the management database 12 indicates "invalidated," the user authentication unit 15 responds to the authenticated printing service providing system 40-2 via the communication unit 11-2 with the extended ID obtained from the management database 12 as the user authentication result and authentication failure information indicating that the employee user authentication has failed.
認証印刷サービス提供システム40-2は、利用者認証システム10の利用者認証部15からの回答である利用者認証結果として認証合格情報を受信した場合に、当該利用者認証結果に含まれる拡張IDに対して印刷を許可する。印刷が許可された拡張IDの印刷ジョブは印刷機で実行され、当該印刷ジョブの印刷が当該印刷機により行われる。 When the authenticated printing service providing system 40-2 receives authentication success information as a user authentication result, which is a response from the user authentication unit 15 of the user authentication system 10, it authorizes printing for the extended ID included in the user authentication result. The print job for the extended ID that has been authorized for printing is executed on the printer, and the print job is printed by the printer.
一方、認証印刷サービス提供システム40-2は、利用者認証システム10の利用者認証部15からの回答である利用者認証結果として認証不合格情報を受信した場合に、当該利用者認証結果に含まれる拡張IDに対して印刷を許可しない。印刷が許可されない拡張IDの印刷ジョブは印刷機で実行されない。したがって、当該印刷ジョブの印刷は当該印刷機により行われない。認証印刷サービス提供システム40-2は、当該印刷機において当該拡張IDの利用者認証が不合格である旨のメッセージを表示する。職員は、当該メッセージにより、自分の利用者認証が不合格である旨を認識する。 On the other hand, when the authenticated printing service providing system 40-2 receives authentication failure information as the user authentication result, which is a response from the user authentication unit 15 of the user authentication system 10, it does not permit printing for the extended ID included in the user authentication result. A print job for an extended ID that is not permitted to print will not be executed on the printing press. Therefore, the print job will not be printed by the printing press. The authenticated printing service providing system 40-2 displays a message on the printing press indicating that user authentication for the extended ID has failed. The staff member recognizes from this message that their user authentication has failed.
本実施形態によれば、複数のサービスのそれぞれの提供システム40に共通の管理データベース12を備え、管理データベース12に登録された全てのマイナンバーカードの利用者証明用電子証明書のシリアル番号に対して、日次で、複数のサービスのそれぞれの提供システム40に共通に、公的個人認証サービスシステム50を利用してマイナンバーカードの利用者証明用電子証明書の有効性の確認を行うことができる。したがって、本実施形態では、複数のサービスのそれぞれの提供システム40が個個に公的個人認証サービスシステム50を利用してマイナンバーカードの利用者証明用電子証明書の有効性の確認を行う必要がない。これにより、複数のサービスのそれぞれの提供システム40が利用者の認証にマイナンバーカードを利用する場合の公的個人認証サービスシステム50に与える負荷を低減させる効果が得られる。 According to this embodiment, a common management database 12 is provided for each of the provision systems 40 of multiple services, and the validity of the My Number Card's user-certificate electronic certificate can be confirmed daily for the serial numbers of all My Number Card's user-certificate electronic certificates registered in the management database 12 using the public personal authentication service system 50, common to each of the provision systems 40 of multiple services. Therefore, in this embodiment, each of the provision systems 40 of multiple services does not need to individually use the public personal authentication service system 50 to confirm the validity of the My Number Card's user-certificate electronic certificate. This has the effect of reducing the load on the public personal authentication service system 50 when each of the provision systems 40 of multiple services uses My Number cards to authenticate users.
なお、図1において、利用者認証システム10と、複数のサービスの提供システム40とを備える利用者認証サービスシステムが構成されてもよい。また、利用者認証システム10と、二要素認証サービス提供システム40-1、認証印刷サービス提供システム40-2、入退室管理サービス提供システム40-3及び出退勤管理サービス提供システム40-4のうち少なくとも二以上の提供システム40とを備える利用者認証サービスシステムが構成されてもよい。 In FIG. 1, a user authentication service system may be configured that includes a user authentication system 10 and multiple service provision systems 40. Also, a user authentication service system may be configured that includes a user authentication system 10 and at least two or more provision systems 40 selected from a two-factor authentication service provision system 40-1, an authenticated printing service provision system 40-2, an entry/exit management service provision system 40-3, and a time attendance management service provision system 40-4.
[第2実施形態]
図6は、第2実施形態に係る利用者認証システム10aの構成例を示すブロック図である。図6において図1の各部に対応する部分には同一の符号を付け、その説明を省略する。
Second Embodiment
Fig. 6 is a block diagram showing an example of the configuration of a user authentication system 10a according to the second embodiment. In Fig. 6, parts corresponding to those in Fig. 1 are given the same reference numerals, and their description will be omitted.
第2実施形態は、上記した第1実施形態とは利用者証明用電子証明書失効確認処理が異なる。上記した第1実施形態では、管理データベースに格納された全ての利用者証明用電子証明書のシリアル番号に関する有効又は失効の確認及び効力情報の更新を日次で一括して行う。一方、第2実施形態では、管理データベースに格納された利用者証明用電子証明書のシリアル番号の個別に、利用者証明用電子証明書のシリアル番号に関する有効又は失効の確認及び効力情報の更新を日次で行う。 The second embodiment differs from the first embodiment in the process of checking the revocation of user-certificate electronic certificates. In the first embodiment, the serial numbers of all user-certificate electronic certificates stored in the management database are checked for validity or revocation and their validity information is updated daily in a lump sum. In contrast, in the second embodiment, the serial numbers of all user-certificate electronic certificates stored in the management database are checked for validity or revocation and their validity information is updated daily for each individual serial number of the user-certificate electronic certificate.
図7は、第2実施形態に係る管理データベース12aの構成例を示す図である。図2において、管理データベース12aは、マイナンバーカード毎に、管理番号、利用者証明用電子証明書のシリアル番号、効力情報、有効期限、及び提供システム40のサービス毎の利用者識別情報に加えてさらに失効確認実施済フラグを関連付けて格納する。 Figure 7 is a diagram showing an example of the configuration of the management database 12a according to the second embodiment. In Figure 2, the management database 12a stores, for each My Number card, the management number, the serial number of the user-certification electronic certificate, validity information, expiration date, and user identification information for each service of the provision system 40, as well as a revocation check completion flag in association with the card.
失効確認実施済フラグは、利用者証明用電子証明書のシリアル番号に関する有効又は失効の確認及び効力情報の更新が「実施済:ON」又は「未実施:OFF」であることを示す情報である。管理データベース12aは、全ての失効確認実施済フラグを、日次で所定の時刻にリセット(「未実施:OFF」にセット)する。失効確認実施済フラグがリセットされる時刻は、提供システム40の全サービスの提供終了時刻から次の日の提供システム40の全サービスの提供開始時刻までの期間で予め設定される。 The revocation check completion flag is information indicating whether the validity or revocation check and validity information update for the serial number of the user authentication electronic certificate has been performed (ON) or not (OFF). The management database 12a resets all revocation check completion flags (sets them to not performed (OFF)) at a specified time each day. The time at which the revocation check completion flag is reset is preset to the period from the time when provision of all services by the provision system 40 ends to the time when provision of all services by the provision system 40 begins the following day.
利用者認証部15aは、それぞれの提供システム40から、それぞれの提供システム40に対応する通信部11を介して受信した利用者認証申請情報を、利用者証明用電子証明書失効確認部14aへ送信する。 The user authentication unit 15a transmits the user authentication application information received from each provision system 40 via the communication unit 11 corresponding to each provision system 40 to the user-certificate electronic certificate revocation confirmation unit 14a.
利用者認証部15aが行う利用者認証処理は、上記した第1実施形態の利用者認証部15と同様である。但し、利用者認証部15aは、管理データベース12aにおいて、失効確認実施済フラグを参照し、失効確認実施済フラグが「実施済:ON」である効力情報を用いる、一方、失効確認実施済フラグが「未実施:OFF」である効力情報を用いない。 The user authentication process performed by the user authentication unit 15a is the same as that performed by the user authentication unit 15 in the first embodiment described above. However, the user authentication unit 15a references the revocation check completion flag in the management database 12a and uses validity information where the revocation check completion flag is "Completed: ON", but does not use validity information where the revocation check completion flag is "Not yet performed: OFF".
利用者証明用電子証明書失効確認部14aは、管理データベース12aに格納された利用者証明用電子証明書のシリアル番号に関する有効又は失効を確認するための利用者証明用電子証明書失効確認処理を実行する。利用者証明用電子証明書失効確認部14aは、通信回線を介して、公的個人認証サービスシステム50との間でデータを送受する。 The user-certificate electronic certificate revocation confirmation unit 14a executes a user-certificate electronic certificate revocation confirmation process to confirm the validity or revocation of the serial number of the user-certificate electronic certificate stored in the management database 12a. The user-certificate electronic certificate revocation confirmation unit 14a sends and receives data to and from the public personal authentication service system 50 via a communication line.
第2実施形態に係る利用者証明用電子証明書失効確認処理について説明する。利用者証明用電子証明書失効確認部14aは、管理データベース12aに格納された利用者証明用電子証明書のシリアル番号に関する有効又は失効の確認(利用者証明用電子証明書の有効性の確認)を公的個人認証サービスシステム50を利用して行う。 The following describes the user-certificate electronic certificate revocation confirmation process according to the second embodiment. The user-certificate electronic certificate revocation confirmation unit 14a uses the public personal authentication service system 50 to confirm whether the serial number of the user-certificate electronic certificate stored in the management database 12a is valid or revoked (confirming the validity of the user-certificate electronic certificate).
第2実施形態では、利用者証明用電子証明書失効確認部14aは、利用者証明用電子証明書の有効性の確認において、OCSPレスポンダ照会方法を用いる。OCSPレスポンダ照会方法において、利用者証明用電子証明書失効確認部14aは、公的個人認証サービスシステム50のOCSPレスポンダに対して利用者証明用電子証明書のシリアル番号を送信し、公的個人認証サービスシステム50から当該利用者証明用電子証明書の失効状況の照会結果を受信する。利用者証明用電子証明書失効確認部14aが公的個人認証サービスシステム50に利用者証明用電子証明書の失効状況の照会を行う対象は、管理データベース12aにおいて失効確認実施済フラグが「未実施:OFF」である利用者証明用電子証明書のシリアル番号である。 In the second embodiment, the user-certification electronic certificate revocation checking unit 14a uses the OCSP responder query method to check the validity of the user-certification electronic certificate. In the OCSP responder query method, the user-certification electronic certificate revocation checking unit 14a transmits the serial number of the user-certification electronic certificate to the OCSP responder of the public personal authentication service system 50 and receives the query result on the revocation status of the user-certification electronic certificate from the public personal authentication service system 50. The target for which the user-certification electronic certificate revocation checking unit 14a queries the public personal authentication service system 50 about the revocation status of the user-certification electronic certificate is the serial number of the user-certification electronic certificate for which the revocation check execution flag in the management database 12a is "not executed: OFF."
利用者証明用電子証明書失効確認部14aは、利用者認証部15aから受信した利用者認証申請情報に含まれる利用者証明用電子証明書のシリアル番号に管理データベース12aにおいて関連付けられた失効確認実施済フラグを確認する。利用者証明用電子証明書失効確認部14aは、当該確認の結果、失効確認実施済フラグが「未実施:OFF」である利用者証明用電子証明書のシリアル番号を公的個人認証サービスシステム50のOCSPレスポンダへ送信し、公的個人認証サービスシステム50から当該利用者証明用電子証明書の失効状況の照会結果を受信する。 The user-certificate electronic certificate revocation checking unit 14a checks the revocation check completion flag associated in the management database 12a with the serial number of the user-certificate electronic certificate included in the user authentication application information received from the user authentication unit 15a. As a result of this check, the user-certificate electronic certificate revocation checking unit 14a sends the serial number of the user-certificate electronic certificate for which the revocation check completion flag is "Not performed: OFF" to the OCSP responder of the public personal authentication service system 50, and receives the inquiry result regarding the revocation status of the user-certificate electronic certificate from the public personal authentication service system 50.
一方、利用者証明用電子証明書失効確認部14aは、当該確認の結果、失効確認実施済フラグが「実施済:ON」である利用者証明用電子証明書のシリアル番号を公的個人認証サービスシステム50のOCSPレスポンダへ送信しない。したがって、失効確認実施済フラグが「実施済:ON」である利用者証明用電子証明書のシリアル番号については、公的個人認証サービスシステム50に対して、利用者証明用電子証明書の有効性の確認が行われない。 On the other hand, the user-certificate electronic certificate revocation checking unit 14a does not send the serial number of a user-certificate electronic certificate whose revocation check completion flag is "Completed: ON" to the OCSP responder of the public personal authentication service system 50. Therefore, for the serial number of a user-certificate electronic certificate whose revocation check completion flag is "Completed: ON", the validity of the user-certificate electronic certificate is not checked by the public personal authentication service system 50.
利用者証明用電子証明書失効確認部14aは、公的個人認証サービスシステム50から受信した利用者証明用電子証明書の失効状況の照会結果「有効又は失効」を用いて、当該利用者証明用電子証明書のシリアル番号に管理データベース12aにおいて関連付けられた効力情報を更新する。 The user-certificate electronic certificate revocation confirmation unit 14a uses the inquiry result ("valid or revoked") regarding the revocation status of the user-certificate electronic certificate received from the public personal authentication service system 50 to update the validity information associated with the serial number of the user-certificate electronic certificate in the management database 12a.
利用者証明用電子証明書失効確認部14は、利用者証明用電子証明書のシリアル番号に関する有効又は失効の確認及び効力情報の更新を行うと共に当該利用者証明用電子証明書のシリアル番号に管理データベース12aにおいて関連付けられた失効確認実施済フラグを「実施済:ON」にセットする。 The user-certification electronic certificate revocation confirmation unit 14 confirms whether the serial number of the user-certification electronic certificate is valid or revoked, updates the validity information, and sets the revocation confirmation completion flag associated with the serial number of the user-certification electronic certificate in the management database 12a to "Completed: ON."
失効確認実施済フラグが「実施済:ON」にセットされた利用者証明用電子証明書のシリアル番号については、それ以降、その当日は利用者証明用電子証明書のシリアル番号に関する有効又は失効の確認及び効力情報の更新が行われなくなる。したがって、同じ利用者証明用電子証明書のシリアル番号に対しては、多くて1日1回のみ、利用者証明用電子証明書のシリアル番号に関する有効又は失効の確認及び効力情報の更新が行われる。 For user-certificate electronic certificate serial numbers for which the revocation check completion flag has been set to "Completed: ON," the validity or revocation check and validity information update for the user-certificate electronic certificate serial number will no longer be performed on that day. Therefore, for the same user-certificate electronic certificate serial number, the validity or revocation check and validity information update for the user-certificate electronic certificate serial number will be performed at most once a day.
図8を参照して第2実施形態に係る利用者認証方法の利用者証明用電子証明書失効確認段階を説明する。図8は、第2実施形態に係る利用者認証方法の利用者証明用電子証明書失効確認段階の手順の例を示すフローチャートである。ここでは、説明の便宜上、提供システム40のサービスとして認証印刷サービスを例に挙げて説明するが、認証印刷サービス以外の二要素認証サービスや入退室管理サービスや出退勤管理サービス等のサービスについても同様である。 The step of checking the revocation of an electronic certificate for user authentication in the user authentication method according to the second embodiment will be described with reference to Figure 8. Figure 8 is a flowchart showing an example of the procedure for checking the revocation of an electronic certificate for user authentication in the user authentication method according to the second embodiment. For ease of explanation, an authenticated printing service will be used as an example of a service provided by the provision system 40, but the same applies to services other than authenticated printing, such as two-factor authentication services, entry/exit management services, and time and attendance management services.
(ステップS401) 職員は、認証印刷サービスを利用する時に、自分のマイナンバーカードを印刷機に備わるカードリーダにかざす。認証印刷サービス提供システム40-2は、印刷機のカードリーダがマイナンバーカードから読み取った利用者証明用電子証明書のシリアル番号を取得する。認証印刷サービス提供システム40-2は、取得した利用者証明用電子証明書のシリアル番号を含む利用者認証申請情報を、利用者認証システム10aの通信部11-2との間の通信回線を介して、通信部11-2へ送信する。利用者認証システム10aの通信部11-2は、認証印刷サービス提供システム40-2から、認証印刷サービス提供システム40-2との間の通信回線を介して、利用者認証申請情報を受信する。利用者認証部15aは、認証印刷サービス提供システム40-2から通信部11-2により受信された利用者認証申請情報を通信部11-2から取得する。 (Step S401) When using the authentication printing service, an employee holds their My Number card over the card reader installed on the printing machine. The authentication printing service providing system 40-2 obtains the serial number of the user authentication electronic certificate read from the My Number card by the printing machine's card reader. The authentication printing service providing system 40-2 transmits user authentication application information, including the obtained serial number of the user authentication electronic certificate, to the communication unit 11-2 of the user authentication system 10a via the communication line between them. The communication unit 11-2 of the user authentication system 10a receives the user authentication application information from the authentication printing service providing system 40-2 via the communication line between them. The user authentication unit 15a obtains the user authentication application information received by the communication unit 11-2 from the authentication printing service providing system 40-2 from the communication unit 11-2.
利用者認証部15aは、通信部11-2から取得した認証印刷サービス提供システム40-2の利用者認証申請情報を、利用者証明用電子証明書失効確認部14aへ送信する。 The user authentication unit 15a sends the user authentication application information for the authenticated printing service providing system 40-2 obtained from the communication unit 11-2 to the user authentication electronic certificate revocation confirmation unit 14a.
(ステップS402) 利用者証明用電子証明書失効確認部14aは、利用者認証部15aから受信した認証印刷サービス提供システム40-2の利用者認証申請情報に含まれる利用者証明用電子証明書のシリアル番号に管理データベース12aにおいて関連付けられた失効確認実施済フラグを確認する。 (Step S402) The user-certificate electronic certificate revocation checking unit 14a checks the revocation check completion flag associated in the management database 12a with the serial number of the user-certificate electronic certificate included in the user authentication application information for the authenticated printing service providing system 40-2 received from the user authentication unit 15a.
(ステップS403) ステップS402の確認の結果、失効確認実施済フラグが「未実施:OFF」である場合は(ステップS403、NO)、ステップS404に進む。一方、失効確認実施済フラグが「実施済:ON」である場合は(ステップS403、YES)、図8の処理を終了する。 (Step S403) If the result of checking in Step S402 is that the revocation check completion flag is "Not performed: OFF" (Step S403, NO), proceed to Step S404. On the other hand, if the revocation check completion flag is "Performed: ON" (Step S403, YES), end the processing in Figure 8.
(ステップS404) 利用者証明用電子証明書失効確認部14aは、利用者認証部15aから受信した認証印刷サービス提供システム40-2の利用者認証申請情報に含まれる利用者証明用電子証明書のシリアル番号を公的個人認証サービスシステム50のOCSPレスポンダへ送信し、公的個人認証サービスシステム50から当該利用者証明用電子証明書の失効状況の照会結果を受信する。 (Step S404) The user-certificate electronic certificate revocation confirmation unit 14a sends the serial number of the user-certificate electronic certificate included in the user authentication application information for the authenticated printing service providing system 40-2 received from the user authentication unit 15a to the OCSP responder of the public personal authentication service system 50, and receives the inquiry result regarding the revocation status of the user-certificate electronic certificate from the public personal authentication service system 50.
(ステップS405) 利用者証明用電子証明書失効確認部14aは、公的個人認証サービスシステム50から受信した利用者証明用電子証明書の失効状況の照会結果「有効又は失効」を用いて、当該利用者証明用電子証明書のシリアル番号に管理データベース12aにおいて関連付けられた効力情報を更新する。利用者証明用電子証明書失効確認部14は、当該利用者証明用電子証明書のシリアル番号に管理データベース12aにおいて関連付けられた失効確認実施済フラグを「実施済:ON」にセットする。 (Step S405) The user-certificate electronic certificate revocation checking unit 14a uses the inquiry result for the revocation status of the user-certificate electronic certificate received from the public personal authentication service system 50, "valid or revoked," to update the validity information associated with the serial number of the user-certificate electronic certificate in the management database 12a. The user-certificate electronic certificate revocation checking unit 14 sets the revocation check completion flag associated with the serial number of the user-certificate electronic certificate in the management database 12a to "Completed: ON."
本実施形態によれば、複数のサービスのそれぞれの提供システム40に共通の管理データベース12aを備え、管理データベース12aに登録されたマイナンバーカードの利用者証明用電子証明書のシリアル番号の個別に、日次で、複数のサービスのそれぞれの提供システム40に共通に、公的個人認証サービスシステム50を利用してマイナンバーカードの利用者証明用電子証明書の有効性の確認を行うことができる。したがって、本実施形態では、複数のサービスのそれぞれの提供システム40が個個に公的個人認証サービスシステム50を利用してマイナンバーカードの利用者証明用電子証明書の有効性の確認を行う必要がない。これにより、複数のサービスのそれぞれの提供システム40が利用者の認証にマイナンバーカードを利用する場合の公的個人認証サービスシステム50に与える負荷を低減させる効果が得られる。 According to this embodiment, a common management database 12a is provided for each of the provision systems 40 of multiple services, and the validity of the My Number Card's user-certification electronic certificate can be confirmed daily for each serial number of the My Number Card's user-certification electronic certificate registered in the management database 12a, using the public personal authentication service system 50, common to each of the provision systems 40 of multiple services. Therefore, in this embodiment, each of the provision systems 40 of multiple services does not need to individually use the public personal authentication service system 50 to confirm the validity of the My Number Card's user-certification electronic certificate. This has the effect of reducing the load on the public personal authentication service system 50 when each of the provision systems 40 of multiple services uses My Number cards to authenticate users.
なお、図6において、利用者認証システム10aと、複数のサービスの提供システム40とを備える利用者認証サービスシステムが構成されてもよい。また、利用者認証システム10aと、二要素認証サービス提供システム40-1、認証印刷サービス提供システム40-2、入退室管理サービス提供システム40-3及び出退勤管理サービス提供システム40-4のうち少なくとも二以上の提供システム40とを備える利用者認証サービスシステムが構成されてもよい。 In FIG. 6, a user authentication service system may be configured that includes a user authentication system 10a and multiple service provision systems 40. Also, a user authentication service system may be configured that includes a user authentication system 10a and at least two or more provision systems 40 selected from a two-factor authentication service provision system 40-1, an authenticated printing service provision system 40-2, an entry/exit management service provision system 40-3, and a time attendance management service provision system 40-4.
上述した各実施形態に係る利用者認証システム及び利用者認証サービスシステムの開発には姫路市が関与した。 Himeji City was involved in the development of the user authentication system and user authentication service system according to each of the above-mentioned embodiments.
以上、本発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。 The above describes in detail an embodiment of the present invention with reference to the drawings, but the specific configuration is not limited to this embodiment and includes design modifications and the like that do not deviate from the gist of the present invention.
また、上述した各装置の機能を実現するためのコンピュータプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行するようにしてもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものであってもよい。また、「コンピュータシステム」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、フラッシュメモリ等の書き込み可能な不揮発性メモリ、DVD(Digital Versatile Disc)等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。
Furthermore, a computer program for implementing the functions of each of the above-described devices may be recorded on a computer-readable recording medium, and the program recorded on the recording medium may be loaded into a computer system and executed. Note that the term "computer system" here may also include hardware such as an OS and peripheral devices. Furthermore, if a WWW system is used, the term "computer system" also includes the homepage provision environment (or display environment).
In addition, "computer-readable recording medium" refers to writable non-volatile memory such as a flexible disk, optical magnetic disk, ROM, or flash memory, portable media such as a DVD (Digital Versatile Disc), or storage devices such as a hard disk built into a computer system.
さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(例えばDRAM(Dynamic Random Access Memory))のように、一定時間プログラムを保持しているものも含むものとする。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであってもよい。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。
Furthermore, "computer-readable recording medium" also includes a device that stores a program for a certain period of time, such as volatile memory (e.g., DRAM (Dynamic Random Access Memory)) within a computer system that serves as a server or client when a program is transmitted via a network such as the Internet or a communication line such as a telephone line.
The program may be transmitted from a computer system storing the program in a storage device or the like to another computer system via a transmission medium or by transmission waves in the transmission medium. Here, the "transmission medium" that transmits the program refers to a medium that has the function of transmitting information, such as a network (communication network) such as the Internet or a communication line (communication line) such as a telephone line.
The program may also be a program for implementing some of the functions described above, or may be a so-called differential file (differential program) that can implement the functions described above in combination with a program already stored in the computer system.
10,10a…利用者認証システム、11…通信部、12,12a…管理データベース、13…マイナンバーカード登録部、14,14a…利用者証明用電子証明書失効確認部、15,15a…利用者認証部、30…マイナンバーカード登録端末、40…提供システム、50…公的個人認証サービスシステム 10, 10a... User authentication system, 11... Communication unit, 12, 12a... Management database, 13... My Number card registration unit, 14, 14a... User authentication electronic certificate revocation verification unit, 15, 15a... User authentication unit, 30... My Number card registration terminal, 40... Provision system, 50... Public personal authentication service system
Claims (8)
二要素認証サービスと認証印刷サービスと入退室管理サービスと出退勤管理サービスとのうち少なくとも二以上のサービス毎の利用者識別情報と、マイナンバーカードから読み取られた利用者証明用電子証明書のシリアル番号と、利用者証明用電子証明書の有効又は失効を示す効力情報とを関連付けて格納する管理データベースと、
前記サービス毎の利用者識別情報とマイナンバーカードから読み取られた利用者証明用電子証明書のシリアル番号とを含むマイナンバーカード登録申請情報をマイナンバーカード登録端末から受付け、受付けたマイナンバーカード登録申請情報に含まれる利用者証明用電子証明書のシリアル番号に関する有効又は失効の確認を公的個人認証サービスシステムを利用して行い、確認の結果が有効である利用者証明用電子証明書のシリアル番号を含むマイナンバーカード登録申請情報を、有効を示す効力情報に関連付けて前記管理データベースに登録するマイナンバーカード登録部と、
前記管理データベースに格納された利用者証明用電子証明書のシリアル番号に関する有効又は失効の確認を公的個人認証サービスシステムを利用して行い、確認の結果が失効である利用者証明用電子証明書のシリアル番号に関連付けて前記管理データベースに格納された効力情報を、失効を示す効力情報にする利用者証明用電子証明書失効確認部と、
二要素認証サービスと認証印刷サービスと入退室管理サービスと出退勤管理サービスとのうちのいずれかのサービスの提供システムから当該サービスの提供システムに対応する前記通信部により受信された利用者認証申請情報に含まれる当該サービスの利用時にマイナンバーカードから読み取られた利用者証明用電子証明書のシリアル番号に関連付けられた効力情報及び当該サービスの利用者識別情報を前記管理データベースから取得し、取得した効力情報及び当該サービスの利用者識別情報に基づいて利用者認証結果を当該サービスの提供システムに対応する前記通信部により当該サービスの提供システムへ回答する利用者認証部と、
を備える利用者認証システム。 a communication unit provided for each provision system corresponding to at least two or more services among the two-factor authentication service, the authenticated printing service, the entry/exit management service, and the time attendance management service;
a management database that stores user identification information for at least two or more services among the two-factor authentication service, the authenticated printing service, the entry/exit management service, and the attendance management service, the serial number of the user authentication electronic certificate read from the My Number card, and validity information indicating whether the user authentication electronic certificate is valid or invalid, in association with each other;
a My Number Card registration unit that receives My Number Card registration application information from a My Number Card registration terminal, the My Number Card registration application information including the user identification information for each service and the serial number of the user authentication electronic certificate read from the My Number Card, confirms the validity or invalidity of the serial number of the user authentication electronic certificate included in the received My Number Card registration application information using a public personal authentication service system, and registers My Number Card registration application information including the serial number of the user authentication electronic certificate that is found to be valid as a result of the confirmation in the management database in association with validity information indicating the validity;
a user-certification electronic certificate revocation confirmation unit that confirms the validity or revocation of the serial number of the user-certification electronic certificate stored in the management database by using a public personal authentication service system, and changes the validity information stored in the management database in association with the serial number of the user-certification electronic certificate that is found to be revoked as a result of the confirmation to validity information indicating revocation;
a user authentication unit that acquires from the management database validity information associated with the serial number of the user authentication electronic certificate read from the Individual Number Card when using the service, and user identification information for the service, which are included in user authentication application information received from a system providing one of a two-factor authentication service, an authenticated printing service, an entry/exit management service, and a time attendance management service by the communication unit corresponding to the system providing the service, and that responds to the system providing the service with a user authentication result based on the acquired validity information and the user identification information for the service by the communication unit corresponding to the system providing the service;
A user authentication system comprising:
請求項1に記載の利用者認証システム。 The user-certificate electronic certificate revocation confirmation unit confirms the validity or revocation of the serial numbers of all user-certificates stored in the management database and updates the validity information daily and by the start time of all services, namely, the two-factor authentication service, the authenticated printing service, the entry/exit management service, and the time attendance management service.
2. The user authentication system according to claim 1.
請求項2に記載の利用者認証システム。 the user-certification electronic certificate revocation confirmation unit daily acquires a user-certification electronic certificate revocation list from a public personal authentication service system, and confirms the validity or revocation of the serial number of the user-certification electronic certificate stored in the management database based on the acquired user-certification electronic certificate revocation list;
3. The user authentication system according to claim 2.
前記利用者証明用電子証明書失効確認部は、前記失効確認実施済フラグが未実施である利用者証明用電子証明書のシリアル番号に対して、二要素認証サービスと認証印刷サービスと入退室管理サービスと出退勤管理サービスとのうちのいずれかのサービスの提供システムから当該サービスの提供システムに対応する前記通信部により受信された利用者認証申請情報に含まれる当該サービスの利用時にマイナンバーカードから読み取られた利用者証明用電子証明書のシリアル番号に関する有効又は失効の確認及び効力情報の更新を行うと共に当該利用者証明用電子証明書のシリアル番号に関連付けられた前記失効確認実施済フラグを実施済にセットする、
請求項1に記載の利用者認証システム。 The management database further associates and stores a revocation check execution flag that is reset daily,
The user-certification electronic certificate revocation confirmation unit confirms whether the serial number of the user-certification electronic certificate for which the revocation confirmation completion flag has not been performed is valid or revoked, and updates the validity information regarding the serial number of the user-certification electronic certificate read from the My Number card when using the service, which is included in the user authentication application information received from the service providing system of one of the two-factor authentication service, the authenticated printing service, the entry/exit management service, and the time and attendance management service by the communication unit corresponding to the service providing system, and sets the revocation confirmation completion flag associated with the serial number of the user-certification electronic certificate to performed.
2. The user authentication system according to claim 1.
請求項4に記載の利用者認証システム。 the user-certification electronic certificate revocation confirmation unit transmits the serial number of the user-certification electronic certificate to the public personal authentication service system, and receives a query result on the revocation status of the user-certification electronic certificate from the public personal authentication service system;
5. The user authentication system according to claim 4.
二要素認証サービスと認証印刷サービスと入退室管理サービスと出退勤管理サービスとのうち少なくとも二以上のサービスのそれぞれに対応する提供システムと、
を備える利用者認証サービスシステム。 A user authentication system according to any one of claims 1 to 5;
a provision system corresponding to at least two or more services among a two-factor authentication service, an authenticated printing service, an entry/exit management service, and a time attendance management service;
A user authentication service system comprising:
二要素認証サービスと認証印刷サービスと入退室管理サービスと出退勤管理サービスとのうち少なくとも二以上のサービス毎の利用者識別情報と、マイナンバーカードから読み取られた利用者証明用電子証明書のシリアル番号と、利用者証明用電子証明書の有効又は失効を示す効力情報とを関連付けて格納する管理データベースと、
を備える利用者認証システムが実行する利用者認証方法であって、
前記サービス毎の利用者識別情報とマイナンバーカードから読み取られた利用者証明用電子証明書のシリアル番号とを含むマイナンバーカード登録申請情報をマイナンバーカード登録端末から受付け、受付けたマイナンバーカード登録申請情報に含まれる利用者証明用電子証明書のシリアル番号に関する有効又は失効の確認を公的個人認証サービスシステムを利用して行い、確認の結果が有効である利用者証明用電子証明書のシリアル番号を含むマイナンバーカード登録申請情報を、有効を示す効力情報に関連付けて前記管理データベースに登録するマイナンバーカード登録ステップと、
前記管理データベースに格納された利用者証明用電子証明書のシリアル番号に関する有効又は失効の確認を公的個人認証サービスシステムを利用して行い、確認の結果が失効である利用者証明用電子証明書のシリアル番号に関連付けて前記管理データベースに格納された効力情報を、失効を示す効力情報にする利用者証明用電子証明書失効確認ステップと、
二要素認証サービスと認証印刷サービスと入退室管理サービスと出退勤管理サービスとのうちのいずれかのサービスの提供システムから当該サービスの提供システムに対応する前記通信部により受信された利用者認証申請情報に含まれる当該サービスの利用時にマイナンバーカードから読み取られた利用者証明用電子証明書のシリアル番号に関連付けられた効力情報及び当該サービスの利用者識別情報を前記管理データベースから取得し、取得した効力情報及び当該サービスの利用者識別情報に基づいて利用者認証結果を当該サービスの提供システムに対応する前記通信部により当該サービスの提供システムへ回答する利用者認証ステップと、
を含む利用者認証方法。 a communication unit provided for each provision system corresponding to at least two or more services among the two-factor authentication service, the authenticated printing service, the entry/exit management service, and the time attendance management service;
a management database that stores user identification information for at least two or more services among the two-factor authentication service, the authenticated printing service, the entry/exit management service, and the attendance management service, the serial number of the user authentication electronic certificate read from the My Number card, and validity information indicating whether the user authentication electronic certificate is valid or invalid, in association with each other;
A user authentication method executed by a user authentication system comprising:
a My Number Card registration step of receiving My Number Card registration application information from a My Number Card registration terminal, the My Number Card registration application information including the user identification information for each service and the serial number of the user authentication electronic certificate read from the My Number Card, confirming the validity or invalidity of the serial number of the user authentication electronic certificate included in the received My Number Card registration application information using a public personal authentication service system, and registering the My Number Card registration application information including the serial number of the user authentication electronic certificate that is found to be valid as a result of the confirmation in the management database in association with validity information indicating the validity;
a user-certification electronic certificate revocation confirmation step of confirming whether the serial number of the user-certification electronic certificate stored in the management database is valid or invalid using a public personal authentication service system, and changing the validity information stored in the management database in association with the serial number of the user-certification electronic certificate that is invalid as a result of the confirmation to validity information indicating invalidity;
a user authentication step of acquiring from the management database, from a system providing one of a two-factor authentication service, an authenticated printing service, an entry/exit management service, and a time attendance management service, validity information associated with the serial number of the user authentication electronic certificate read from the Individual Number Card when using the service, and user identification information for the service, which are included in user authentication application information received from the system providing the service by the communication unit corresponding to the system providing the service, and returning a user authentication result to the system providing the service by the communication unit corresponding to the system providing the service, based on the acquired validity information and user identification information for the service;
User authentication methods, including:
二要素認証サービスと認証印刷サービスと入退室管理サービスと出退勤管理サービスとのうち少なくとも二以上のサービス毎の利用者識別情報と、マイナンバーカードから読み取られた利用者証明用電子証明書のシリアル番号と、利用者証明用電子証明書の有効又は失効を示す効力情報とを関連付けて格納する管理データベースと、
を備える利用者認証システムのコンピュータに、
前記サービス毎の利用者識別情報とマイナンバーカードから読み取られた利用者証明用電子証明書のシリアル番号とを含むマイナンバーカード登録申請情報をマイナンバーカード登録端末から受付け、受付けたマイナンバーカード登録申請情報に含まれる利用者証明用電子証明書のシリアル番号に関する有効又は失効の確認を公的個人認証サービスシステムを利用して行い、確認の結果が有効である利用者証明用電子証明書のシリアル番号を含むマイナンバーカード登録申請情報を、有効を示す効力情報に関連付けて前記管理データベースに登録するマイナンバーカード登録ステップと、
前記管理データベースに格納された利用者証明用電子証明書のシリアル番号に関する有効又は失効の確認を公的個人認証サービスシステムを利用して行い、確認の結果が失効である利用者証明用電子証明書のシリアル番号に関連付けて前記管理データベースに格納された効力情報を、失効を示す効力情報にする利用者証明用電子証明書失効確認ステップと、
二要素認証サービスと認証印刷サービスと入退室管理サービスと出退勤管理サービスとのうちのいずれかのサービスの提供システムから当該サービスの提供システムに対応する前記通信部により受信された利用者認証申請情報に含まれる当該サービスの利用時にマイナンバーカードから読み取られた利用者証明用電子証明書のシリアル番号に関連付けられた効力情報及び当該サービスの利用者識別情報を前記管理データベースから取得し、取得した効力情報及び当該サービスの利用者識別情報に基づいて利用者認証結果を当該サービスの提供システムに対応する前記通信部により当該サービスの提供システムへ回答する利用者認証ステップと、
を実行させるためのコンピュータプログラム。 a communication unit provided for each provision system corresponding to at least two or more services among the two-factor authentication service, the authenticated printing service, the entry/exit management service, and the time attendance management service;
a management database that stores user identification information for at least two or more services among the two-factor authentication service, the authenticated printing service, the entry/exit management service, and the attendance management service, the serial number of the user authentication electronic certificate read from the My Number card, and validity information indicating whether the user authentication electronic certificate is valid or invalid, in association with each other;
A computer of a user authentication system comprising:
a My Number Card registration step of receiving My Number Card registration application information from a My Number Card registration terminal, the My Number Card registration application information including the user identification information for each service and the serial number of the user authentication electronic certificate read from the My Number Card, confirming the validity or invalidity of the serial number of the user authentication electronic certificate included in the received My Number Card registration application information using a public personal authentication service system, and registering the My Number Card registration application information including the serial number of the user authentication electronic certificate that is found to be valid as a result of the confirmation in the management database in association with validity information indicating the validity;
a user-certification electronic certificate revocation confirmation step of confirming whether the serial number of the user-certification electronic certificate stored in the management database is valid or invalid using a public personal authentication service system, and changing the validity information stored in the management database in association with the serial number of the user-certification electronic certificate that is invalid as a result of the confirmation to validity information indicating invalidity;
a user authentication step of acquiring from the management database, from a system providing one of a two-factor authentication service, an authenticated printing service, an entry/exit management service, and a time attendance management service, validity information associated with the serial number of the user authentication electronic certificate read from the Individual Number Card when using the service, and user identification information for the service, which are included in user authentication application information received from the system providing the service by the communication unit corresponding to the system providing the service, and returning a user authentication result to the system providing the service by the communication unit corresponding to the system providing the service, based on the acquired validity information and user identification information for the service;
A computer program for executing
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2022090816A JP7801951B2 (en) | 2022-06-03 | 2022-06-03 | User authentication system, user authentication service system, user authentication method, and computer program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2022090816A JP7801951B2 (en) | 2022-06-03 | 2022-06-03 | User authentication system, user authentication service system, user authentication method, and computer program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2023177869A JP2023177869A (en) | 2023-12-14 |
| JP7801951B2 true JP7801951B2 (en) | 2026-01-19 |
Family
ID=89124045
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2022090816A Active JP7801951B2 (en) | 2022-06-03 | 2022-06-03 | User authentication system, user authentication service system, user authentication method, and computer program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7801951B2 (en) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2019125214A (en) | 2018-01-18 | 2019-07-25 | 富士通株式会社 | Information providing program, information providing method, information processing apparatus, and information registration system |
| JP2019133224A (en) | 2018-01-29 | 2019-08-08 | 富士通株式会社 | Information provision program, information processing device and information provision method |
| JP2021131672A (en) | 2020-02-19 | 2021-09-09 | 富士通株式会社 | Revocation judgment processing program, revocation judgment processing method and revocation judgment processing device |
-
2022
- 2022-06-03 JP JP2022090816A patent/JP7801951B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2019125214A (en) | 2018-01-18 | 2019-07-25 | 富士通株式会社 | Information providing program, information providing method, information processing apparatus, and information registration system |
| JP2019133224A (en) | 2018-01-29 | 2019-08-08 | 富士通株式会社 | Information provision program, information processing device and information provision method |
| JP2021131672A (en) | 2020-02-19 | 2021-09-09 | 富士通株式会社 | Revocation judgment processing program, revocation judgment processing method and revocation judgment processing device |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2023177869A (en) | 2023-12-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108171083B (en) | Block chain trusted data management method, system and computer readable storage medium | |
| JP4508331B2 (en) | Authentication agent device, authentication agent method, authentication agent service system, and computer-readable recording medium | |
| KR20180079805A (en) | Method for authenticating a user without a face-to-face contact by using mobile id based on blockchain, and terminal and server using the same | |
| JP2025027090A (en) | Terminal, information processing method, and program | |
| JP4792944B2 (en) | Permission management system, token verification method, token verification program | |
| CN112632488A (en) | Information processing apparatus, information processing system, recording medium, and information processing method | |
| CN107465728B (en) | Information processing method, central server and storage medium for identification code | |
| JP5081698B2 (en) | Authentication server, change method, and program | |
| JP7095290B2 (en) | Information provision program, information processing device, information provision method and information provision system | |
| JP7848704B2 (en) | Server, server control method, program and system | |
| JP4106875B2 (en) | Electronic device, information update system in electronic device, information update method and program thereof | |
| CN118473689A (en) | Server, information management system, and information management method | |
| JP2010152492A (en) | Device, system, and method for providing personal information | |
| JP7801951B2 (en) | User authentication system, user authentication service system, user authentication method, and computer program | |
| JP5409871B2 (en) | Personal information providing apparatus and personal information providing method | |
| JP2002132996A (en) | Information existence certification server, information existence certification method, and information existence certification control program | |
| JP4800126B2 (en) | Attribute information verification method, revocation information generation apparatus, service provider apparatus, and attribute information verification system | |
| JP7740609B1 (en) | Server device, terminal, server device control method and program | |
| JP7583650B2 (en) | Delegation application system, delegation application method, and delegation application program | |
| TW202305627A (en) | System for confirming identity on different devices by verifying valid certification and method thereof | |
| JP7767863B2 (en) | Information management server, information linkage system, information management method, and program | |
| JP7776051B1 (en) | Information processing device, system, and control method and program for information processing device | |
| JP7808379B1 (en) | Information processing device, information processing system, information processing program, information processing method, and smart contract program | |
| JP7540343B2 (en) | Information management server, information management method, and program | |
| JP5325150B2 (en) | Common ID issuing system, service providing system, and common ID issuing method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20250317 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20251209 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20251216 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20260106 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7801951 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |