[发明专利]信息处理装置、授权系统及验证方法

说明书

本发明公开一种信息处理装置、授权系统及验证方法。根据本发明，提供一种验证签名令牌的信息处理装置。所述装置包括：用于保持用以验证签名令牌的密钥信息的保持单元；用于在用以验证接收到的签名令牌的密钥信息未被保持在保持单元中的情况下、从提供密钥信息的服务器中获取新的密钥信息并将新的密钥信息保持在保持单元中的获取单元；以及用于在用以验证接收到的签名令牌的密钥信息被保持在保持单元中的情况下利用密钥信息验证签名令牌的验证单元。

技术领域

本发明涉及一种用于验证使用诸如签名令牌授权令牌等的信息处理装置、授权系统及验证方法。

背景技术

近年来，通过网络提供的基于web的服务对用户进行认证，以确定他们是否被授权使用这些服务。基于web的服务本身变得更加多样化，并且随着多个基于Web的服务相互结合使用，提供基于web的服务的资源服务器和进行认证/授权的认证/授权服务器被配置为单独的服务器。利用这种配置，认证/授权服务器和资源服务器通过认证/授权信息的交换来连接。认证/授权服务器发布包含授权信息的访问令牌，客户端使用访问令牌接收资源服务器提供的服务。OAuth 2.0是以这种方式交换授权信息的规范的示例。

当实施传统的OAuth规范时，大体上，针对资源服务器从客户端接收的所有访问令牌，资源服务器基本上向认证/授权服务器(保持令牌状态的服务器)进行验证查询。同样，对于与令牌关联的用户信息，资源服务器通常向保持与令牌相关联的用户信息的授权服务器进行信息查询。因此，随着客户端和资源服务器的数量增加，从资源服务器向认证/授权服务器(保持已经发布的令牌的令牌信息和与令牌相关联的用户信息的服务器)进行的令牌验证和信息查询的数量也会增加，这会增加认证/授权服务器的负荷。另外，针对从客户端接收的所有令牌向认证/授权服务器进行验证和信息查询，这导致资源服务器的性能下降。

附带地，可以想到将授权信息(令牌ID、范围、有效期等)和与令牌相关联的信息(用户ID、客户端ID、用户名、电子邮件地址等)添加到由认证/授权服务器发布的各个令牌，以使资源服务器本身能够验证从客户端接收的访问令牌。资源服务器中的验证可以通过认证/授权服务器向令牌添加签名且资源服务器验证该签名来实现。使用JWS(JSON WebSignature)是表达签名令牌的一种可能方法。JWS是用于表达受数字签名、消息认证码(MACs)等保护的JWT(JSON Web Token)内容的手段。JWT也是一种使用基于JSON(JavaScript Object Notation(Java是注册商标))的数据结构来表达URL安全声明的方法。

诸如日本特开2007-149010号公报中公开的方法等方法可以作为即使在已经接受了令牌转让的系统使用该令牌时的时间点也能够可靠地验证令牌的权利管理系统的示例。

认证/授权服务器可以保持多对私钥和公钥。如果私钥泄露、使用的加密算法已被破坏等，则认证/授权服务器还可以通过注册和使用新密钥来提高安全性。此外，通过为各个要授权的服务或客户端使用不同的私钥，可以增加各个服务的安全性。然而，认证/授权服务器和资源服务器由单独的服务器构成，因此，即使在认证/授权服务器中注册了新的密钥对，资源服务器也不知道这一点，且不能获得公钥。因此，在使用资源服务器验证签名令牌的系统中，可能发布使用与未由资源服务器保持的公钥对应的私钥签名的访问令牌。在这种情况下，资源服务器将无法验证令牌，即使客户端使用由认证/授权服务器发布的访问令牌，资源服务器也将确定签名不正确。

发明内容

本发明使得，当将密钥添加到认证/授权服务器时，即使没有通知资源服务器已经添加了密钥，资源服务器也可以验证利用所添加的密钥签名的签名令牌。