JP3362780B2 - 通信システムにおける認証方法、センタ装置、認証プログラムを記録した記録媒体 - Google Patents
通信システムにおける認証方法、センタ装置、認証プログラムを記録した記録媒体Info
- Publication number
- JP3362780B2 JP3362780B2 JP35610599A JP35610599A JP3362780B2 JP 3362780 B2 JP3362780 B2 JP 3362780B2 JP 35610599 A JP35610599 A JP 35610599A JP 35610599 A JP35610599 A JP 35610599A JP 3362780 B2 JP3362780 B2 JP 3362780B2
- Authority
- JP
- Japan
- Prior art keywords
- user
- master key
- center
- authentication
- communication terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Description
【0001】
【発明の属する技術分野】本発明は、通信端末が通信網
を介して複数のセンタ装置と通信を行う際の認証方法に
関する。
を介して複数のセンタ装置と通信を行う際の認証方法に
関する。
【0002】
【従来の技術】センタ装置が通信網を介して通信端末と
通信を行うシステムでは、通信端末や通信端末の利用者
へのなりすましを防ぐために、通信端末や利用者の認証
を行う必要がある。そして、通信端末が複数のセンタ装
置と通信する場合には、センタ装置毎に複数回の認証を
行う手間を省き、1度の認証で複数のセンタ装置と通信
を可能にする方式が取られており、あるセンタ装置が通
信端末もしくは通信端末の利用者を認証した際に、認証
結果を暗号化した情報を認証トークンとして通信端末に
送信し、通信端末が別のセンタ装置と通信する際には、
その認証トークンをそのセンタ装置に送信することによ
り2度目以降の認証処理を省略する方式が公知の技術と
して知られている。
通信を行うシステムでは、通信端末や通信端末の利用者
へのなりすましを防ぐために、通信端末や利用者の認証
を行う必要がある。そして、通信端末が複数のセンタ装
置と通信する場合には、センタ装置毎に複数回の認証を
行う手間を省き、1度の認証で複数のセンタ装置と通信
を可能にする方式が取られており、あるセンタ装置が通
信端末もしくは通信端末の利用者を認証した際に、認証
結果を暗号化した情報を認証トークンとして通信端末に
送信し、通信端末が別のセンタ装置と通信する際には、
その認証トークンをそのセンタ装置に送信することによ
り2度目以降の認証処理を省略する方式が公知の技術と
して知られている。
【0003】
【発明が解決しようとする課題】認証トークンの暗号化
/復号に使われる暗号鍵は、通信路上を流れる認証トー
クンの解析を防ぐために、ある通信端末もしくは通信端
末の利用者を認証する度に、つまり認証トークンの作成
毎に変えることがセキュリティ上は望ましい。しかし、
従来の方式では、暗号鍵を変化させるためには、認証を
行った通信端末が別のセンタ装置と通信する度に、認証
トークンを復号するための暗号鍵をセンタ装置間で通信
する必要があった。
/復号に使われる暗号鍵は、通信路上を流れる認証トー
クンの解析を防ぐために、ある通信端末もしくは通信端
末の利用者を認証する度に、つまり認証トークンの作成
毎に変えることがセキュリティ上は望ましい。しかし、
従来の方式では、暗号鍵を変化させるためには、認証を
行った通信端末が別のセンタ装置と通信する度に、認証
トークンを復号するための暗号鍵をセンタ装置間で通信
する必要があった。
【0004】認証トークンの復号毎にセンタ装置間で通
信を行うと、通信トラヒックが増大し、センタ装置間の
回線コストが大きくなる。また、センタ装置間で暗号鍵
を通信した後に認証トークンの復号を行うため、通信端
末が複数のセンタ装置と通信するためのシーケンスが複
雑となり、通信を始めるまでに余分な時間を要してしま
う。
信を行うと、通信トラヒックが増大し、センタ装置間の
回線コストが大きくなる。また、センタ装置間で暗号鍵
を通信した後に認証トークンの復号を行うため、通信端
末が複数のセンタ装置と通信するためのシーケンスが複
雑となり、通信を始めるまでに余分な時間を要してしま
う。
【0005】本発明の目的は、あるセンタ装置に認証さ
れた通信端末が別のセンタ装置と通信する度にセンタ装
置間で通信を行わなくても、認証トークンの作成毎に暗
号化に使用する暗号鍵を変化させることが可能な認証方
法、センタ装置、および認証プログラムを記録した記録
媒体を提供することにある。
れた通信端末が別のセンタ装置と通信する度にセンタ装
置間で通信を行わなくても、認証トークンの作成毎に暗
号化に使用する暗号鍵を変化させることが可能な認証方
法、センタ装置、および認証プログラムを記録した記録
媒体を提供することにある。
【0006】
【課題を解決するための手段】通信端末を認証したセン
タ装置はランダム値を生成し、センタ装置間で周期的に
共有されるマスター鍵とランダム値からセッション鍵を
生成し、センタ装置間で秘密に共有しているセンタ識別
子と、前記通信端末と前記センタ装置との間で認証が済
んだ利用者の利用者IDをセッション鍵で暗号化して認
証トークンを生成し、ランダム値と、認証トークンと、
マスター鍵を一意に識別するマスター鍵IDを連結した
認証符を生成し、前記通信端末に送信する。
タ装置はランダム値を生成し、センタ装置間で周期的に
共有されるマスター鍵とランダム値からセッション鍵を
生成し、センタ装置間で秘密に共有しているセンタ識別
子と、前記通信端末と前記センタ装置との間で認証が済
んだ利用者の利用者IDをセッション鍵で暗号化して認
証トークンを生成し、ランダム値と、認証トークンと、
マスター鍵を一意に識別するマスター鍵IDを連結した
認証符を生成し、前記通信端末に送信する。
【0007】前記通信端末は認証符を保持し、通信端末
を認証した別のセンタ装置と通信を行う際、前記認証符
を該別のセンタ装置に送信する。
を認証した別のセンタ装置と通信を行う際、前記認証符
を該別のセンタ装置に送信する。
【0008】該別のセンタ装置は、前記認証符を受信
し、分解し、ランダム値と認証トークンとマスター鍵I
Dを取出し、該マスター鍵IDと同じマスター鍵IDに
対応するマスター鍵を取得し、マスター鍵と前記ランダ
ム値からセッション鍵を生成し、該セッション鍵により
認証トークンを復号して、センタ識別子と利用者IDを
得、前記認識トークンを生成したセンタ装置の正当性を
検証し、利用者を特定する。
し、分解し、ランダム値と認証トークンとマスター鍵I
Dを取出し、該マスター鍵IDと同じマスター鍵IDに
対応するマスター鍵を取得し、マスター鍵と前記ランダ
ム値からセッション鍵を生成し、該セッション鍵により
認証トークンを復号して、センタ識別子と利用者IDを
得、前記認識トークンを生成したセンタ装置の正当性を
検証し、利用者を特定する。
【0009】認証トークンの暗号化/復号に使用する暗
号鍵を、センタ装置間で周期的に共有する半固定的なマ
スター鍵と、認証トークンの作成毎に変化するランダム
値から生成するセッション鍵にすることで、認証トーク
ンの作成毎に異なる暗号鍵を使用することが可能にな
る。セッション鍵の作成に用いるランダム値は、認証ト
ークンと共に暗号化されずに通信路上を流れ、通信端末
を介して別のセンタ装置に送信されるが、ランダム値と
共に連結して送信される認証トークンは暗号化されてい
るため乱数とみなすことができるので、第三者がランダ
ム値と認証トークンを分解することは困難になる。ま
た、セッション鍵の生成には、ランダム値の他にセンタ
装置間で共有しているマスター鍵とセッション鍵生成手
段が必要になるため、ランダム値が露呈したとしても、
セッション鍵が露呈する可能性は極めて低い。そして、
マスター鍵はセンタ装置間で1日に1回や1時間に1回
といった周期で共有すればよいので、センタ装置間の通
信トラヒックは小さくなる。
号鍵を、センタ装置間で周期的に共有する半固定的なマ
スター鍵と、認証トークンの作成毎に変化するランダム
値から生成するセッション鍵にすることで、認証トーク
ンの作成毎に異なる暗号鍵を使用することが可能にな
る。セッション鍵の作成に用いるランダム値は、認証ト
ークンと共に暗号化されずに通信路上を流れ、通信端末
を介して別のセンタ装置に送信されるが、ランダム値と
共に連結して送信される認証トークンは暗号化されてい
るため乱数とみなすことができるので、第三者がランダ
ム値と認証トークンを分解することは困難になる。ま
た、セッション鍵の生成には、ランダム値の他にセンタ
装置間で共有しているマスター鍵とセッション鍵生成手
段が必要になるため、ランダム値が露呈したとしても、
セッション鍵が露呈する可能性は極めて低い。そして、
マスター鍵はセンタ装置間で1日に1回や1時間に1回
といった周期で共有すればよいので、センタ装置間の通
信トラヒックは小さくなる。
【0010】
【発明の実施の形態】次に、本発明の実施の形態につい
て図面を参照して説明する。
て図面を参照して説明する。
【0011】図1を参照すると、本発明の一実施形態の
通信システムは通信端末1と通信網2とセンタ装置3、
4とで構成されている。
通信システムは通信端末1と通信網2とセンタ装置3、
4とで構成されている。
【0012】通信端末1はセンタ装置3または4から送
出された認証符を保存し、他のセンタ装置に認証符を送
出する認証符管理部11を有している。
出された認証符を保存し、他のセンタ装置に認証符を送
出する認証符管理部11を有している。
【0013】通信網2は通信端末1とセンタ装置3、4
を接続する。
を接続する。
【0014】センタ装置3は認証符処理部31とセンタ
識別子記憶部32とマスター鍵記憶部33と利用者ID
データベース34を有している。センタ装置4も同様に
認証符処理部41とセンタ識別子記憶部42とマスター
鍵記憶部43と利用者IDデータベース44を有してい
る。センタ識別子記憶部32、42はそれぞれセンタ装
置3、4だけが持つ秘密情報であるセンタ識別子32
1、421を保持している。マスター鍵記憶部33、4
3はそれぞれセンタ装置3、4間で秘密共有しているマ
スター鍵ID331、431とそれに対応するマスター
鍵332、432を保持している。利用者IDデータベ
ース34、44は利用者を特定するために利用者個々に
ユニークに付与された利用者ID341、441をそれ
ぞれ保持する。センタ識別子321、421は同一の値
であり、センタ装置33、43のサービス開始時などに
設定される。マスター鍵ID331、431とマスター
鍵332、432は1時間に1回や1日に1回といった
周期でセンタ装置33、43間で通信を行って同一の値
を共有する。また、例えばWWW(World Wide Web)シ
ステムの場合、認証符はWeb サーバとWeb ブラウザの間
でやりとりされるCookieに相当する。
識別子記憶部32とマスター鍵記憶部33と利用者ID
データベース34を有している。センタ装置4も同様に
認証符処理部41とセンタ識別子記憶部42とマスター
鍵記憶部43と利用者IDデータベース44を有してい
る。センタ識別子記憶部32、42はそれぞれセンタ装
置3、4だけが持つ秘密情報であるセンタ識別子32
1、421を保持している。マスター鍵記憶部33、4
3はそれぞれセンタ装置3、4間で秘密共有しているマ
スター鍵ID331、431とそれに対応するマスター
鍵332、432を保持している。利用者IDデータベ
ース34、44は利用者を特定するために利用者個々に
ユニークに付与された利用者ID341、441をそれ
ぞれ保持する。センタ識別子321、421は同一の値
であり、センタ装置33、43のサービス開始時などに
設定される。マスター鍵ID331、431とマスター
鍵332、432は1時間に1回や1日に1回といった
周期でセンタ装置33、43間で通信を行って同一の値
を共有する。また、例えばWWW(World Wide Web)シ
ステムの場合、認証符はWeb サーバとWeb ブラウザの間
でやりとりされるCookieに相当する。
【0015】認証符処理部31、41は通信端末1の認
証処理、セッション鍵の生成、認証トークンの生成、認
証符の生成、認証符の送信、受信した認証符の分解、セ
ッション鍵の生成、認証トークンの復号、センタ識別子
の検証、利用者の特定等を行う。
証処理、セッション鍵の生成、認証トークンの生成、認
証符の生成、認証符の送信、受信した認証符の分解、セ
ッション鍵の生成、認証トークンの復号、センタ識別子
の検証、利用者の特定等を行う。
【0016】次に、本実施形態の動作を図1と図2を参
照して説明する。
照して説明する。
【0017】通信端末1とセンタ装置3との間でIDパ
スワードなどによる認証処理を行う(ステップ20
1)。認証処理が済み通信端末1もしくは通信端末1を
使用する利用者の正当性が認められると、センタ装置3
は、認証符処理部31において、マスター鍵記憶部33
からマスター鍵332を得(ステップ202)、ランダ
ム値aを生成し(ステップ203)、マスター鍵332
とランダム値aからセッション鍵bを生成する(ステッ
プ204)。ランダム値aは、例えば時刻などを元に生
成された乱数である。セッション鍵bは、例えば、マス
ター鍵332とランダム値aを連結したものを一方向性
ハッシュ関数の入力とすることにより生成する。次に、
認証符処理部31において、センタ識別子記憶部32か
らセンタ識別子321を得(ステップ205)、利用者
IDデータベース34から通信端末1とセンタ装置3と
の間で認証が済んだ利用者の利用者ID341を得(ス
テップ206)、両者を連結したものをセッション鍵b
で暗号化して認証トークンcを生成する(ステップ20
7)。認証トークンcは、センタ識別子321と利用者
ID341の他に、乱数や時刻を連結してセッション鍵
bで暗号化してもよい。次に、認証符処理部31におい
て、ランダム値aと、認証トークンcと、セッション鍵
bの生成に使用したマスター鍵332に対応するマスタ
ー鍵ID331を連結した認証符dを生成する(ステッ
プ208)。次に、センタ装置3は認証符dを通信端末
1に送出すると共に(ステップ209)、通信端末1と
通信を開始する(ステップ210)。
スワードなどによる認証処理を行う(ステップ20
1)。認証処理が済み通信端末1もしくは通信端末1を
使用する利用者の正当性が認められると、センタ装置3
は、認証符処理部31において、マスター鍵記憶部33
からマスター鍵332を得(ステップ202)、ランダ
ム値aを生成し(ステップ203)、マスター鍵332
とランダム値aからセッション鍵bを生成する(ステッ
プ204)。ランダム値aは、例えば時刻などを元に生
成された乱数である。セッション鍵bは、例えば、マス
ター鍵332とランダム値aを連結したものを一方向性
ハッシュ関数の入力とすることにより生成する。次に、
認証符処理部31において、センタ識別子記憶部32か
らセンタ識別子321を得(ステップ205)、利用者
IDデータベース34から通信端末1とセンタ装置3と
の間で認証が済んだ利用者の利用者ID341を得(ス
テップ206)、両者を連結したものをセッション鍵b
で暗号化して認証トークンcを生成する(ステップ20
7)。認証トークンcは、センタ識別子321と利用者
ID341の他に、乱数や時刻を連結してセッション鍵
bで暗号化してもよい。次に、認証符処理部31におい
て、ランダム値aと、認証トークンcと、セッション鍵
bの生成に使用したマスター鍵332に対応するマスタ
ー鍵ID331を連結した認証符dを生成する(ステッ
プ208)。次に、センタ装置3は認証符dを通信端末
1に送出すると共に(ステップ209)、通信端末1と
通信を開始する(ステップ210)。
【0018】通信端末1では、認証符dを認証符管理部
11に保持する(ステップ211)。通信端末1は、認
証を行ったセンタ装置3とは別のセンタ装置4と通信を
行う際は、認証符管理部11に保持している認証符dを
センタ装置4に送出する(ステップ212)。
11に保持する(ステップ211)。通信端末1は、認
証を行ったセンタ装置3とは別のセンタ装置4と通信を
行う際は、認証符管理部11に保持している認証符dを
センタ装置4に送出する(ステップ212)。
【0019】センタ装置4は、通信端末1から認証符d
を受け取ったなら、認証符処理部41にて、認証符dを
分解し、ランダム値aと認証トークンcとマスター鍵I
D331を取り出す(ステップ213)。次に、マスタ
ー鍵記憶部43から、認証符dから取り出したマスター
鍵ID331と同じマスター鍵ID431に対応するマ
スター鍵432を取得する(ステップ214)。次に、
認証符処理部41にて、マスター鍵432とランダム値
aからセッション鍵bを生成する(ステップ215)。
センタ装置3とセンタ装置4が同じセッション鍵生成手
段をもつことにより、セッション鍵bの同一性を保証す
る。次に、セッション鍵bにより認証トークンcを復号
し、センタ識別子321と利用者ID341を得る(ス
テップ216)。このとき、前記のように認証トークン
の中に時刻を入れていれば、現在時刻との照合により、
認証符の再利用攻撃を阻止することができる。次に、認
証トークンcから得たセンタ識別子321と、センタ識
別子記憶部42から得たセンタ識別子421が一致する
ことを検証し、認証トークンを生成したセンタ装置3の
正当性を検証する(ステップ217)。次に、認証トー
クンcから得た利用者ID341と利用者IDデータベ
ース44から得た利用者ID441とを照合し、利用者
を特定する(ステップ218)。こうして正当性が検証
されたら、通信端末1と通信を開始する(ステップ21
9)。
を受け取ったなら、認証符処理部41にて、認証符dを
分解し、ランダム値aと認証トークンcとマスター鍵I
D331を取り出す(ステップ213)。次に、マスタ
ー鍵記憶部43から、認証符dから取り出したマスター
鍵ID331と同じマスター鍵ID431に対応するマ
スター鍵432を取得する(ステップ214)。次に、
認証符処理部41にて、マスター鍵432とランダム値
aからセッション鍵bを生成する(ステップ215)。
センタ装置3とセンタ装置4が同じセッション鍵生成手
段をもつことにより、セッション鍵bの同一性を保証す
る。次に、セッション鍵bにより認証トークンcを復号
し、センタ識別子321と利用者ID341を得る(ス
テップ216)。このとき、前記のように認証トークン
の中に時刻を入れていれば、現在時刻との照合により、
認証符の再利用攻撃を阻止することができる。次に、認
証トークンcから得たセンタ識別子321と、センタ識
別子記憶部42から得たセンタ識別子421が一致する
ことを検証し、認証トークンを生成したセンタ装置3の
正当性を検証する(ステップ217)。次に、認証トー
クンcから得た利用者ID341と利用者IDデータベ
ース44から得た利用者ID441とを照合し、利用者
を特定する(ステップ218)。こうして正当性が検証
されたら、通信端末1と通信を開始する(ステップ21
9)。
【0020】図3を参照すると、本発明の他の実施形態
のセンタ装置は入力装置51と送受信装置52と利用者
データベース53と記憶装置54、55と出力装置56
と記録媒体57とデータ処理装置58で構成されてい
る。送受信装置52は通信装置3または4と通信を行
う。利用者データベース53は図1中の利用者IDデー
タベース34、44に相当する。記憶装置54は図1中
のセンタ識別子記憶部32、42とマスター鍵記憶部3
3、43に相当する。記憶装置55はハードディスクで
ある。記録媒体57は図1の認証符処理部31、41の
処理である認証符処理プログラムを記録したフロッピィ
ディスク、CD−ROM、光磁気ディスクなどの記録媒
体である。データ処理装置58はCPUを含み、記録媒
体57から認証符処理プログラムを読み込んで、これを
実行する。
のセンタ装置は入力装置51と送受信装置52と利用者
データベース53と記憶装置54、55と出力装置56
と記録媒体57とデータ処理装置58で構成されてい
る。送受信装置52は通信装置3または4と通信を行
う。利用者データベース53は図1中の利用者IDデー
タベース34、44に相当する。記憶装置54は図1中
のセンタ識別子記憶部32、42とマスター鍵記憶部3
3、43に相当する。記憶装置55はハードディスクで
ある。記録媒体57は図1の認証符処理部31、41の
処理である認証符処理プログラムを記録したフロッピィ
ディスク、CD−ROM、光磁気ディスクなどの記録媒
体である。データ処理装置58はCPUを含み、記録媒
体57から認証符処理プログラムを読み込んで、これを
実行する。
【0021】
【発明の効果】以上説明したように、本発明によれば、
通信端末が通信網を介して複数のセンタ装置と通信を行
うシステムにおいて、あるセンタ装置に認証された通信
端末が別のセンタ装置と通信する度にセンタ装置間で通
信を行わなくても、認証トークンの作成毎に暗号化/復
号に使用する暗号鍵を変化させることが可能となり、ま
た、認証符の中にマスター鍵IDが含まれているので、
2個以上のマスター鍵IDとマスター鍵をマスター鍵記
憶部で管理することにより、サービス中断をすることな
くマスター鍵を更新することができる。
通信端末が通信網を介して複数のセンタ装置と通信を行
うシステムにおいて、あるセンタ装置に認証された通信
端末が別のセンタ装置と通信する度にセンタ装置間で通
信を行わなくても、認証トークンの作成毎に暗号化/復
号に使用する暗号鍵を変化させることが可能となり、ま
た、認証符の中にマスター鍵IDが含まれているので、
2個以上のマスター鍵IDとマスター鍵をマスター鍵記
憶部で管理することにより、サービス中断をすることな
くマスター鍵を更新することができる。
【図1】本発明の一実施形態の通信システムの構成図で
ある。
ある。
【図2】図1の実施形態の動作を示すシーケンス図であ
る。
る。
【図3】センタ装置の他の実施形態を示すブロック図で
ある。
ある。
1 通信端末
2 通信網
3、4 センタ装置
11 認証符管理部
31、41 認証符処理部
32、42 センタ識別子記憶部
33、43 マスター鍵記憶部
321、421 センタ識別子
331、431 マスター鍵ID
332、432 マスター鍵
341、441 利用者ID
201〜219 ステップ
51 入力装置
52 送受信装置
53 利用者IDデータベース
54、55 記憶装置
56 出力装置
57 記録媒体
58 データ処理装置
フロントページの続き
(56)参考文献 特開 平11−161611(JP,A)
特開 昭62−198947(JP,A)
特開 平5−35678(JP,A)
シングル・サインオン,日経インター
ネットテクノロジー,日経BP社,1992
年11月22日,第29号,p.156−165
Kerberos:NTの新しいユー
ザ認証の仕組み,net PC,1998年
3月 1日,第3巻 第3号,p.
110−112
(58)調査した分野(Int.Cl.7,DB名)
H04L 9/32
G06F 15/00 330
JICSTファイル(JOIS)
Claims (3)
- 【請求項1】 通信端末が通信網を介して複数のセンタ
装置と通信を行う際の認証方法であって、 通信端末を認証したセンタ装置がランダム値を生成し、
センタ装置間で周期的に共有されるマスター鍵と前記ラ
ンダム値からセッション鍵を生成し、センタ装置間で秘
密に共有しているセンタ識別子と、前記通信端末と前記
センタ装置との間で認証が済んだ利用者の利用者IDを
前記セッション鍵で暗号化して認証トークンを生成し、
前記ランダム値と、前記認証トークンと、前記セッショ
ン鍵の生成に使用したマスター鍵を一意に識別するマス
ター鍵IDを連結した認証符を生成し、前記通信端末に
送信し、 前記通信端末は前記認証符を保持し、前記通信端末を認
証したセンタ装置とは別のセンタ装置と通信を行う際、
前記認証符を該別のセンタ装置に送信し、 該別のセンタ装置は、前記認証符を受信し、分解し、ラ
ンダム値と認証トークンとマスター鍵IDを取出し、該
マスター鍵IDと同じマスター鍵IDに対応するマスタ
ー鍵を取得し、前記マスター鍵と前記ランダム値からセ
ッション鍵を生成し、該セッション鍵により認証トーク
ンを復号して、センタ識別子と利用者IDを得、前記認
証トークンを生成したセンタ装置の正当性を検証し、利
用者を特定する、通信システムにおける認証方法。 - 【請求項2】 通信網を介して通信端末と通信を行うセ
ンタ装置において、 当該センタ装置だけが持つ秘密情報であるセンタ識別子
を保持しているセンタ識別子記憶部と、 他のセンタ装置との間で秘密共有しているマスター鍵I
Dとそれに対応するマスター鍵を保持しているマスター
鍵記憶部と、 利用者個々にユニークに付与された利用者IDを保持す
る利用者IDデータベースと、 通信端末との間で認証処理の結果、当該通信端末または
当該通信端末を使用する利用者の正当性が認められる
と、前記マスター鍵記憶部からマスター鍵を得、ランダ
ム値を生成し、前記マスター鍵と前記ランダム値からセ
ッション鍵を生成し、前記センタ識別子記憶部からセン
タ識別子を得、前記利用者IDデータベースから、前記
通信端末と当該センタ装置との間で認証が済んだ利用者
の利用者IDを得、前記センタ識別子と前記利用者ID
を連結したものを前記セッション鍵で暗号化して認証ト
ークンを生成し、前記ランダム値と、前記認証トークン
と、前記セッション鍵の生成に使用したマスター鍵に対
応するマスター鍵IDを連結した認証符を生成し、正当
性を認めた通信端末へ該認証符を送信し、また通信端末
から認証符を受け取ると、これを分解し、ランダム値と
認証トークンとマスター鍵IDを取出し、該マスター鍵
IDに対応するマスター鍵を前記マスター鍵記憶部から
取得し、該マスター鍵と前記ランダム値からセッション
鍵を生成し、該セッション鍵により認証トークンを復号
して、センタ識別子と利用者IDを得、該センタ識別子
と前記センタ識別子記憶部から得たセンタ識別子が一致
することを検証することにより、前記認証トークンを生
成したセンタ装置の正当性を検証し、前記利用者IDと
前記利用者IDデータベースから得た利用者IDとを照
合し、利用者を特定する処理を行う認証符処理部を有す
ることを特徴とするセンタ装置。 - 【請求項3】 通信端末が通信網を介して複数のセンタ
装置との通信を行う通信システムにおける認証プログラ
ムであって、 通信端末との間で認証処理符処理の結果、当該通信端末
または当該通信端末を使用する利用者の正当性が認めら
れると、マスター鍵記憶部からマスター鍵を得、ランダ
ム値を生成し、前記マスター鍵と前記ランダム値からセ
ッション鍵を生成する処理と、センタ識別子記憶部から
センタ識別子を得、利用者IDデータベースから、前記
通信端末と当該センタ装置との間で認証が済んだ利用者
の利用者IDを得、前記センタ識別子と前記利用者ID
を連結したものを前記セッション鍵で暗号化して、認証
トークンを生成する処理と、前記ランダム値と、前記認
証トークンと、前記セッション鍵の生成に使用したマス
ター鍵に対応するマスター鍵IDを連結した認証符を生
成する処理と、正当性を認めた通信端末へ該認証符を送
信する処理と、通信端末から認証符を受け取ると、これ
を分解し、ランダム値と認証トークンとマスター鍵ID
を取出す処理と、該マスター鍵IDに対応するマスター
鍵を前記マスター鍵記憶部から取得し、該マスター鍵と
前記ランダム値からセッション鍵を生成する処理と、該
セッション鍵により認証トークンを復号してセンタ識別
子と利用者IDを得る処理と、該センタ識別子と前記セ
ンタ識別子記憶部から得たセンタ識別子が一致すること
を検証することにより、前記認証トークンを生成したセ
ンタ装置の正当性を検証し、前記利用者IDと前記利用
者IDデータベースから得た利用者IDとを照合し、利
用者を特定する処理をコンピュータが実行するための認
証プログラムを記録した記録媒体。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP35610599A JP3362780B2 (ja) | 1999-12-15 | 1999-12-15 | 通信システムにおける認証方法、センタ装置、認証プログラムを記録した記録媒体 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP35610599A JP3362780B2 (ja) | 1999-12-15 | 1999-12-15 | 通信システムにおける認証方法、センタ装置、認証プログラムを記録した記録媒体 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2001177513A JP2001177513A (ja) | 2001-06-29 |
| JP3362780B2 true JP3362780B2 (ja) | 2003-01-07 |
Family
ID=18447362
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP35610599A Expired - Fee Related JP3362780B2 (ja) | 1999-12-15 | 1999-12-15 | 通信システムにおける認証方法、センタ装置、認証プログラムを記録した記録媒体 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3362780B2 (ja) |
Families Citing this family (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8077679B2 (en) | 2001-03-28 | 2011-12-13 | Qualcomm Incorporated | Method and apparatus for providing protocol options in a wireless communication system |
| US9100457B2 (en) | 2001-03-28 | 2015-08-04 | Qualcomm Incorporated | Method and apparatus for transmission framing in a wireless communication system |
| US7693508B2 (en) | 2001-03-28 | 2010-04-06 | Qualcomm Incorporated | Method and apparatus for broadcast signaling in a wireless communication system |
| US8121296B2 (en) | 2001-03-28 | 2012-02-21 | Qualcomm Incorporated | Method and apparatus for security in a data processing system |
| US7352868B2 (en) | 2001-10-09 | 2008-04-01 | Philip Hawkes | Method and apparatus for security in a data processing system |
| US7649829B2 (en) | 2001-10-12 | 2010-01-19 | Qualcomm Incorporated | Method and system for reduction of decoding complexity in a communication system |
| KR100447623B1 (ko) * | 2002-01-31 | 2004-09-07 | 학교법인고려중앙학원 | 무선 인터넷에서의 티켓 기반 인증 및 지불 방법 |
| JPWO2003079205A1 (ja) | 2002-03-18 | 2005-07-14 | ソニー株式会社 | 情報処理システム、情報処理装置および方法 |
| US7523490B2 (en) | 2002-05-15 | 2009-04-21 | Microsoft Corporation | Session key security protocol |
| US8630414B2 (en) | 2002-06-20 | 2014-01-14 | Qualcomm Incorporated | Inter-working function for a communication system |
| US7599655B2 (en) | 2003-01-02 | 2009-10-06 | Qualcomm Incorporated | Method and apparatus for broadcast services in a communication system |
| US8098818B2 (en) | 2003-07-07 | 2012-01-17 | Qualcomm Incorporated | Secure registration for a multicast-broadcast-multimedia system (MBMS) |
| US8718279B2 (en) | 2003-07-08 | 2014-05-06 | Qualcomm Incorporated | Apparatus and method for a secure broadcast system |
| US8724803B2 (en) | 2003-09-02 | 2014-05-13 | Qualcomm Incorporated | Method and apparatus for providing authenticated challenges for broadcast-multicast communications in a communication system |
| JP4675583B2 (ja) * | 2004-06-09 | 2011-04-27 | Kddi株式会社 | 個人情報提供システムおよび方法 |
| US7784089B2 (en) * | 2004-10-29 | 2010-08-24 | Qualcomm Incorporated | System and method for providing a multi-credential authentication protocol |
| JP4584071B2 (ja) * | 2005-08-15 | 2010-11-17 | シャープ株式会社 | 暗号化電子文書処理システム、サービス提供装置、および、電子文書出力装置 |
| JP4793024B2 (ja) * | 2006-02-27 | 2011-10-12 | Kddi株式会社 | ユーザ認証方法、認証サーバ及びシステム |
| JP5975594B2 (ja) * | 2010-02-01 | 2016-08-23 | 沖電気工業株式会社 | 通信端末及び通信システム |
| JP5521736B2 (ja) | 2010-04-23 | 2014-06-18 | 富士ゼロックス株式会社 | 通信制御装置、通信制御プログラム及び通信制御システム |
-
1999
- 1999-12-15 JP JP35610599A patent/JP3362780B2/ja not_active Expired - Fee Related
Non-Patent Citations (2)
| Title |
|---|
| Kerberos:NTの新しいユーザ認証の仕組み,net PC,1998年 3月 1日,第3巻 第3号,p.110−112 |
| シングル・サインオン,日経インターネットテクノロジー,日経BP社,1992年11月22日,第29号,p.156−165 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2001177513A (ja) | 2001-06-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP3362780B2 (ja) | 通信システムにおける認証方法、センタ装置、認証プログラムを記録した記録媒体 | |
| JP4617763B2 (ja) | 機器認証システム、機器認証サーバ、端末機器、機器認証方法、および機器認証プログラム | |
| JP4603252B2 (ja) | ユニバーサル一般取引のためのセキュリティフレームワーク及びプロトコル | |
| KR101265873B1 (ko) | 분산된 단일 서명 서비스 방법 | |
| US6993652B2 (en) | Method and system for providing client privacy when requesting content from a public server | |
| CN103281190B (zh) | 安全工作组管理和通信的系统和方法 | |
| CN106411533B (zh) | 双向隐私保护的在线指纹认证系统及方法 | |
| KR101452708B1 (ko) | Ce 장치 관리 서버, ce 장치 관리 서버를 이용한drm 키 발급 방법, 및 그 방법을 실행하기 위한프로그램 기록매체 | |
| US8806206B2 (en) | Cooperation method and system of hardware secure units, and application device | |
| US20050105735A1 (en) | Information processing system and method, information processing device and method, recording medium, and program | |
| JP2003030150A (ja) | 転送する認証メッセージ中の情報を保護する方法および装置 | |
| JPH113033A (ja) | クライアント−サーバ電子取引においてクライアントの本人確認を確立する方法、それに関連するスマートカードとサーバ、および、ユーザが検証者と共に操作を行うことが認可されるかどうかを決定する方法とシステム | |
| JP2003521154A (ja) | 電子識別情報を発行する方法 | |
| JP2001186122A (ja) | 認証システム及び認証方法 | |
| CN116112242B (zh) | 面向电力调控系统的统一安全认证方法及系统 | |
| JP2003188874A (ja) | 安全にデータを伝送する方法 | |
| CN112383401B (zh) | 一种提供身份鉴别服务的用户名生成方法及系统 | |
| US20090319778A1 (en) | User authentication system and method without password | |
| CN100514333C (zh) | 一种数据库安全访问方法和系统 | |
| JP2004013560A (ja) | 認証システム、通信端末及びサーバ | |
| JP3914193B2 (ja) | 認証を得て暗号通信を行う方法、認証システムおよび方法 | |
| CN112035820B (zh) | 一种用于Kerberos加密环境下的数据解析方法 | |
| JP2003338813A (ja) | プライバシ保護型複数権限確認システム、プライバシ保護型複数権限確認方法、およびそのプログラム | |
| JPH11215121A (ja) | 認証装置および方法 | |
| JP2833747B2 (ja) | 鍵生成装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20071025 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20081025 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20091025 Year of fee payment: 7 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101025 Year of fee payment: 8 |
|
| LAPS | Cancellation because of no payment of annual fees |