[go: up one dir, main page]

KR20060003319A - 기기 인증 시스템 - Google Patents

기기 인증 시스템 Download PDF

Info

Publication number
KR20060003319A
KR20060003319A KR1020047020428A KR20047020428A KR20060003319A KR 20060003319 A KR20060003319 A KR 20060003319A KR 1020047020428 A KR1020047020428 A KR 1020047020428A KR 20047020428 A KR20047020428 A KR 20047020428A KR 20060003319 A KR20060003319 A KR 20060003319A
Authority
KR
South Korea
Prior art keywords
random number
authentication
specifying
information
secret information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
KR1020047020428A
Other languages
English (en)
Inventor
타카유키 미우라
츠요시 오노
나오시 스즈키
코우지 미야타
Original Assignee
소니 가부시끼 가이샤
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 소니 가부시끼 가이샤 filed Critical 소니 가부시끼 가이샤
Publication of KR20060003319A publication Critical patent/KR20060003319A/ko
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • G06F21/445Program or device authentication by mutual authentication, e.g. between devices or programs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2103Challenge-response
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2129Authenticate client device independently of the user
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

CE 기기에 있어서, 기기 인증 모듈과 암호화 모듈을 다이내믹 링크로 접속할 수 있도록 하는 것. 인증 서버(5)에서 난수를 발생시킨다. 기기 인증 모듈(7)은 패스 프레이즈와 이 난수를 조합하여 다이제스트를 생성하고, 이것과 기기 ID를 암호화 모듈(8)에 건네준다. 암호화 모듈은 통신 경로를 암호화하고, 이들의 정보를 인증 서버(5)에 송신한다. 인증 서버(5)는 기기 ID로부터 패스 프레이즈를 검색하고, 이것과 앞서 생성한 난수를 조합시켜 다이제스트를 생성한다. 이 다이제스트와 암호화 모듈(8)로부터 수신한 다이제스트를 비교하여 기기 인증을 행한다. 암호화 모듈(8)은 기기 인증 모듈(7)로부터 패스 프레이즈가 아니라 다이제스트를 수취하기 때문에 스태틱 링크로 접속하지 않고 다이내믹 링크로 접속할 수 있다.
인증 시스템, CE 기기

Description

기기 인증 시스템{DEVICE AUTHENTICATION SYSTEM}
본 발명은 인증 시스템 등에 관한 것이며, 특히, 시큐어리티상 중요한 정보를 소정의 로직으로 변환하고, 변환 후의 정보를 이용하여 인증하는 것에 관한 것이다.
근래, CE(CE : Consumer Electronics) 기기의 보급이 널리 퍼지고 있다. CE 기기란, 예를 들면, 비디오 덱, 하드 디스크 레코더, 스테레오, 텔레비전 등의 오디오비쥬얼 기기나, 퍼스널 컴퓨터, 디지털 카메라, 캠코더, PDA, 게임기, 홈 루터 등의 전자 기기나, 밥솥, 냉장고 등의 가전 제품이나, 그 밖의 전자 기기에 컴퓨터를 내장시키고, 네트워크를 통한 서비스를 이용할 수 있는 것이다.
그리고, CE 기기로부터 서버에 액세스하여 컨텐츠를 다운로드하거나, 서비스를 받는 등, 유저는 서버가 제공하는 서비스를 이용할 수 있다.
서버가 제공하는 서비스에는 CE 기기 전반에 제공하는 것과, 기기 인증된 특정한 CE 기기에 제공하는 것이 있다.
서버는 기기 인증을 필요로 하는 서비스를 제공하는 경우, 그 CE 기기를 인증 서버에서 인증하고, 인증된 경우에 서비스를 제공한다.
이와 같이, 서비스 서버가 단말기기에 서비스를 제공하는 것으로서 다음의 발명이 있다.
특허 문헌 1 : 특개2002-342285호 공보
본 발명은 단말기기(휴대 전화)로부터 인증 요구가 있는 경우에 이것을 인증함과 함께 단말기기에 원타임 패스워드를 발행하여 송신한다. 단말기기로부터 정보의 요구가 있는 경우, 단말기기로부터 앞서의 원타임 패스워드를 수신하고, 인증한 것이 확실히 이 단말기기인지를 확인하는 것이다.
도 12는 종래의 CE 기기(101)의 구성을 도시한 도면이다. CE 기기(101)는 기기 ID나 패스 프레이즈 등의 인증에 필요한 인증 정보를 기억하고 있음과 함께, 기기 인증에 관한 처리를 행하는 기기 인증 모듈(103)과, 기기 인증 모듈(103)로부터 인증 정보를 수취하고, 통신 경로를 암호화하여 이것을 기기 인증처(105)에 송신하는 암호화 모듈(104)을 구비한다.
기기 인증 모듈(103)은 암호화 모듈(104)에 인증 정보를 평문(平文)으로 건네주기 때문에 이 인증 정보가 제삼자에게 간파되지 않도록, 기기 인증 모듈(103)과 암호화 모듈(104)은 스태틱 링크로 결합되어 있다.
통신 경로를 암호화하는 모듈은 기기 인증 이외의 용도로 이용하는 경우도 많지만, 암호화 모듈(104)은 기기 인증 모듈(103)과 스태틱 링크되어 있기 때문에 CE 기기(101)는 이것과는 별도로 기기 인증 이외의 용도로 사용하는 암호화 모듈을 준비하고 있다.
이와 같이, CE 기기(101)에서는 같은 기능을 갖는 2개의 암호화 모듈을 CE 기기(101)내의 메모리에 실장하여야 함으로, 실질적으로 기기 인증 모듈의 용량이 많아지고, CE 기기(101)의 이용 가능한 메모리 영역을 압박하거나, 또는 기기 인증 기능의 실장 그 자체가 곤란해지는 경우가 있다.
그래서, 본 발명의 목적은 단말기기 내의 메모리를 유효하게 이용할 수 있는 기기 인증 기능을 실현할 수 있는 단말기기 인증 시스템 등을 제공하는 것이다.
기기 인증용의 비밀 정보를 구비한 단말기기와, 상기 비밀 정보를 이용하여 상기 단말기기의 기기 인증을 행하는 인증 서버로 구성된 기기 인증 시스템으로서, 상기 단말기기는 난수를 취득하고, 상기 취득한 난수와 상기 비밀 정보의 세트를 일방향성 함수에 의해 변환하여 변환치를 생성하고, 상기 인증 서버는 상기 단말기기가 취득한 난수, 상기 단말기기의 비밀 정보 및 상기 단말기기가 생성한 변환치를 취득하고, 상기 취득한 난수와 비밀 정보의 세트를 상기 단말기기가 이용한 일방향성 함수와 같은 일방향성 함수에 의해 변환하여 변환치를 생성하고, 상기 단말기기 장치에서 생성한 변환치와, 상기 인증 서버에서 생성한 변환치를 비교함에 의해 상기 단말기기의 기기 인증을 행하는 것을 특징으로 하는 기기 인증 시스템을 제공한다(제 1의 구성).
또한, 본 발명은 제 1의 구성의 기기 인증 시스템에서 기기 인증을 받는 단말기기가, 인증 서버로부터 난수와 해당 난수를 특정하는 난수 특정 정보를 수신하는 수신 수단과, 상기 수신한 난수와 비밀 정보의 세트를 일방향성 함수에 의해 변환하여 변환치를 생성하는 변환 수단과, 상기 생성한 변환치와, 상기 수신한 난수 특정 정보와, 인증 서버에서 상기 비밀 정보를 특정하기 위한 비밀 정보 특정 정보 를 송신하는 송신 수단을 구비하도록 구성할 수도 있다(제 2의 구성).
또한, 본 발명은 제 2의 구성의 단말기기를 기기 인증하는 인증 서버가, 난수를 취득하는 난수 취득 수단과, 상기 취득한 난수와, 해당 난수를 특정하는 난수 특정 정보를 단말기기에 송신하는 송신 수단과, 상기 단말기기로부터 변환치와, 상기 난수 특정 정보와, 비밀 정보 특정 정보를 수신하는 수신 수단과, 상기 수신한 난수 특정 정보를 이용하여 상기 단말기기에 송신한 난수를 특정하는 난수 특정 수단과, 상기 수신한 비밀 정보 특정 정보를 이용하여 상기 단말기기의 비밀 정보를 특정하는 비밀 정보 특정 수단과, 상기 특정한 비밀 정보와 난수의 세트를, 상기 단말기기가 이용하는 일방향성 함수와 같은 일방향성 함수를 이용하여 변환하여 변환치를 생성하는 변환 수단과, 상기 수신한 변환치와 상기 생성한 변환치를 이용하여 상기 단말기기를 기기 인증하는 기기 인증 수단을 구비하도록 구성할 수도 있다(제 3의 구성).
또한, 본 발명은 제 1의 구성의 기기 인증 시스템이, 인증 서버에 의한 인증을 경유하여 상기 단말기기에 서비스를 제공하는 서비스 서버를 포함하고, 상기 서비스 서버가, 난수를 취득하는 난수 취득 수단과, 상기 취득한 난수를 단말기기에 송신하는 난수 송신 수단과, 상기 단말기기로부터 비밀 정보를 이용하여 생성한 변환치와, 비밀 정보 특정 정보를 수신하는 수신 수단과, 상기 단말기기에 송신한 난수를 특정하는 난수 특정 수단과, 상기 수신한 변환치와, 비밀 정보 특정 정보와, 상기 특정한 난수로 이루어지는 인증 정보를 인증 서버에 송신하는 인증 정보 송신 수단과, 상기 인증 서버로부터 상기 송신한 인증 정보에 의한 인증 결과를 수신하 는 인증 결과 수신 수단을 구비하도록 구성할 수도 있다(제 4의 구성).
또한, 본 발명은 제 4의 구성의 서비스 서버로부터 서비스의 제공을 받는 단말기기가, 서비스 서버로부터 난수를 수신하는 난수 수신 수단과, 상기 수신한 난수와, 비밀 정보의 세트를 일방향성 함수에 의해 변환하여 변환치를 생성하는 변환 수단과, 상기 생성한 변환치와, 인증 서버에서 상기 비밀 정보를 특정하기 위한 비밀 정보 특정 정보를 송신하는 송신 수단을 구비하도록 구성할 수도 있다(제 5의 구성).
또한, 본 발명은 제 4의 구성의 서비스 서버가 서비스를 제공할 때에 단말기기를 기기 인증하는 인증 서버가, 서비스 서버로부터 변환치와, 비밀 정보 특정 정보와, 난수로 이루어지는 인증 정보를 수신하는 수신 수단과, 상기 수신한 비밀 정보 특정 정보를 이용하여 상기 단말기기의 비밀 정보를 특정하는 비밀 정보 특정 수단과, 상기 수신한 난수와 상기 특정한 비밀 정보의 세트를 상기 단말기기가 이용한 것과 같은 일방향성 함수를 이용하여 변환하여 변환치를 생성하는 변환 수단과, 상기 수신한 변환치와 상기 생성한 변환치를 이용하여 상기 단말기기를 기기 인증하는 기기 인증 수단을 구비하도록 구성할 수도 있다(제 6의 구성).
또한, 본 발명은 제 1의 구성의 기기 인증 시스템에서 기기 인증을 받는 단말기기에서 이용하는 단말기기 방법으로서, 상기 단말기기는 수신 수단과, 변환 수단과, 송신 수단을 구비한 컴퓨터로 구성되어 있고, 인증 서버로부터 난수와 해당 난수를 특정하는 난수 특정 정보를 상기 수신 수단에서 수신하는 수신 스텝과, 상기 수신한 난수와 비밀 정보의 세트를 일방향성 함수에 의해 상기 변환 수단에서 변환하여 변환치를 생성하는 변환 스텝과, 상기 생성한 변환치와, 상기 수신한 난수 특정 정보와, 인증 서버에서 상기 비밀 정보를 특정하기 위한 비밀 정보 특정 정보를 상기 송신 수단에서 송신하는 송신 스텝으로 구성된 단말기기 방법을 제공한다.
또한, 본 발명은 제 2의 구성의 단말기기를 기기 인증하는 인증 서버에서 이용하는 인증 방법으로서, 상기 인증 서버는 난수 취득 수단과, 송신 수단과, 수신 수단과, 난수 특정 수단과, 비밀 정보 특정 수단과, 변환 수단과, 기기 인증 수단을 구비한 컴퓨터로 구성되어 있고, 상기 난수 취득 수단에서 난수를 취득하는 난수 취득 스텝과, 상기 취득한 난수와, 해당 난수를 특정하는 난수 특정 정보를 상기 송신 수단에서 단말기기에 송신하는 송신 스텝과, 상기 단말기기로부터 변환치와, 상기 난수 특정 정보와, 비밀 정보 특정 정보를 상기 수신 수단에서 수신하는 수신 스텝과, 상기 수신한 난수 특정 정보를 이용하여 상기 단말기기에 송신한 난수를 상기 난수 특정 수단에서 특정하는 난수 특정 스텝과, 상기 수신한 비밀 정보 특정 정보를 이용하여 상기 단말기기의 비밀 정보를 상기 비밀 정보 특정 수단에서 특정하는 비밀 정보 특정 스텝과, 상기 특정한 비밀 정보와 난수의 세트를, 상기 변환 수단에서 상기 단말기기가 이용하는 일방향성 함수와 같은 일방향성 함수를 이용하여 변환하여 변환치를 생성하는 변환 스텝과, 상기 수신한 변환치와 상기 생성한 변환치를 이용하여 상기 기기 인증 수단에서 상기 단말기기를 기기 인증하는 기기 인증 스텝으로 구성된 인증 방법을 제공한다.
또한, 본 발명은 제 4의 구성의 서비스 서버에서 이용하는 인증 방법으로서, 상기 서비스 서버는 난수 취득 수단과, 난수 송신 수단과, 수신 수단과, 난수 특정 수단과, 인증 정보 송신 수단과, 인증 결과 수신 수단을 구비한 컴퓨터로 구성되어 있고, 상기 난수 취득 수단에서 난수를 취득하는 난수 취득 스텝과, 상기 취득한 난수를 상기 난수 송신 수단에서 단말기기에 송신하는 난수 송신 스텝과, 상기 단말기기로부터 비밀 정보를 이용하여 생성한 변환치와, 비밀 정보 특정 정보를 상기 수신 수단에서 수신하는 수신 스텝과, 상기 단말기기에 송신한 난수를 상기 난수 특정 수단에서 특정하는 난수 특정 스텝과, 상기 수신한 변환치와, 비밀 정보 특정 정보와, 상기 특정한 난수로 이루어지는 인증 정보를 상기 인증 정보 송신 수단에서 인증 서버에 송신하는 인증 정보 송신 스텝과, 상기 인증 서버로부터 상기 송신한 인증 정보에 의한 인증 결과를 상기 인증 결과 수신 수단에서 수신하는 인증 결과 수신 스텝으로 구성된 인증 방법을 제공한다.
또한, 본 발명은 제 4의 구성의 서비스 서버로부터 서비스의 제공을 받는 단말기기에서 이용하는 단말기기 방법으로서, 상기 단말기기는 난수 수신 수단과, 변환 수단과, 송신 수단을 구비한 컴퓨터로 구성되어 있고, 상기 난수 수신 수단에서 서비스 서버로부터 난수를 수신하는 난수 수신 스텝과, 상기 수신한 난수와, 비밀 정보의 세트를 상기 변환 수단에서 일방향성 함수에 의해 변환하여 변환치를 생성하는 변환 스텝과, 상기 생성한 변환치와, 인증 서버에서 상기 비밀 정보를 특정하기 위한 비밀 정보 특정 정보를 상기 송신 수단에서 송신하는 송신 스텝으로 구성된 단말기기 방법을 제공한다.
또한, 본 발명은 제 4의 구성의 서비스 서버가 서비스를 제공할 때에 단말기 기를 기기 인증하는 인증 서버가 이용하는 인증 방법으로서, 상기 인증 서버는 수신 수단과, 비밀 정보 특정 수단과, 변환 수단과, 기기 인증 수단을 구비한 컴퓨터로 구성되어 있고, 서비스 서버로부터 변환치와, 비밀 정보 특정 정보와, 난수로 이루어지는 인증 정보를 상기 수신 수단에서 수신하는 수신 스텝과, 상기 비밀 정보 특정 수단에서 상기 수신한 비밀 정보 특정 정보를 이용하여 상기 단말기기의 비밀 정보를 특정하는 비밀 정보 특정 스텝과, 상기 수신한 난수와 상기 특정한 비밀 정보의 세트를 상기 변환 수단에서 상기 단말기기가 이용한 것과 같은 일방향성 함수를 이용하여 변환하여 변환치를 생성하는 변환 스텝과, 상기 기기 인증 수단에서 상기 수신한 변환치와 상기 생성한 변환치를 이용하여 상기 단말기기를 기기 인증하는 기기 인증 스텝으로 구성된 인증 방법을 제공한다.
또한, 본 발명은 제 1의 구성의 기기 인증 시스템에서 기기 인증을 받는 컴퓨터로 구성된 단말기기에 있어서, 인증 서버로부터 난수와 해당 난수를 특정하는 난수 특정 정보를 수신하는 수신 기능과, 상기 수신한 난수와 비밀 정보의 세트를 일방향성 함수에 의해 변환하여 변환치를 생성하는 변환 기능과, 상기 생성한 변환치와, 상기 수신한 난수 특정 정보와, 인증 서버에서 상기 비밀 정보를 특정하기 위한 비밀 정보 특정 정보를 송신하는 송신 기능을 실현하는 단말기기 프로그램을 제공한다.
또한, 본 발명은 제 2의 구성의 단말기기를 기기 인증하는 컴퓨터로 구성된 인증 서버에 있어서, 난수를 취득하는 난수 취득 기능과, 상기 취득한 난수와, 해당 난수를 특정하는 난수 특정 정보를 단말기기에 송신하는 송신 기능과, 상기 단 말기기로부터 변환치와, 상기 난수 특정 정보와, 비밀 정보 특정 정보를 수신하는 수신 기능과, 상기 수신한 난수 특정 정보를 이용하여 상기 단말기기에 송신한 난수를 특정하는 난수 특정 기능과, 상기 수신한 비밀 정보 특정 정보를 이용하여 상기 단말기기의 비밀 정보를 특정하는 비밀 정보 특정 기능과, 상기 특정한 비밀 정보와 난수의 세트를, 상기 단말기기가 이용하는 일방향성 함수와 같은 일방향성 함수를 이용하여 변환하여 변환치를 생성하는 변환 기능과, 상기 수신한 변환치와 상기 생성한 변환치를 이용하여 상기 단말기기를 기기 인증하는 기기 인증 기능을 실현하는 인증 프로그램을 제공한다.
또한, 본 발명은 제 4의 구성의 컴퓨터로 구성된 서비스 서버에 있어서, 난수를 취득하는 난수 취득 기능과, 상기 취득한 난수를 단말기기에 송신하는 난수 송신 기능과, 상기 단말기기로부터 비밀 정보를 이용하여 생성한 변환치와, 비밀 정보 특정 정보를 수신하는 수신 기능과, 상기 단말기기에 송신한 난수를 특정하는 난수 특정 기능과, 상기 수신한 변환치와, 비밀 정보 특정 정보와, 상기 특정한 난수로 이루어지는 인증 정보를 인증 서버에 송신하는 인증 정보 송신 기능과, 상기 인증 서버로부터 상기 송신한 인증 정보에 의한 인증 결과를 수신하는 인증 결과 수신 기능을 실현하는 서비스 서버 프로그램을 제공한다.
또한, 본 발명은 제 4의 구성의 서비스 서버로부터 서비스의 제공을 받는 컴퓨터로 구성된 단말기기에 있어서, 서비스 서버로부터 난수를 수신하는 난수 수신 기능과, 상기 수신한 난수와, 비밀 정보의 세트를 일방향성 함수에 의해 변환하여 변환치를 생성하는 변환 기능과, 상기 생성한 변환치와, 인증 서버에서 상기 비밀 정보를 특정하기 위한 비밀 정보 특정 정보를 송신하는 송신 기능을 실현하는 단말기기 프로그램을 제공한다.
또한, 본 발명은 제 4의 구성의 서비스 서버가 서비스를 제공할 때에 단말기기를 기기 인증하는 컴퓨터로 구성된 인증 서버에 있어서, 서비스 서버로부터 변환치와, 비밀 정보 특정 정보와, 난수로 이루어지는 인증 정보를 수신하는 수신 기능과, 상기 수신한 비밀 정보 특정 정보를 이용하여 상기 단말기기의 비밀 정보를 특정하는 비밀 정보 특정 기능과, 상기 수신한 난수와 상기 특정한 비밀 정보의 세트를 상기 단말기기가 이용한 것과 같은 일방향성 함수를 이용하여 변환하여 변환치를 생성하는 변환 기능과, 상기 수신한 변환치와 상기 생성한 변환치를 이용하여 상기 단말기기를 기기 인증하는 기기 인증 기능을 실현하는 인증 프로그램을 제공한다.
또한, 본 발명은 상기 각 프로그램을 기억한 컴퓨터가 판독 가능한 기억 매체를 제공한다.
또한, 본 발명은 제 1항의 기기 인증 시스템에서 기기 인증을 받는 단말기기로서, 인증 서버로부터 난수와 해당 난수를 특정하는 난수 특정 정보를 수신하는 수신 수단과, 상기 수신한 난수와 비밀 정보의 세트를 일방향성 함수에 의해 변환하여 변환치를 생성하는 변환 수단과, 상기 생성한 변환치와, 상기 수신한 난수 특정 정보와, 인증 서버에서 상기 비밀 정보를 특정하기 위한 비밀 정보 특정 정보를 송신하는 송신 수단을 구비하고, 상기 비밀 정보와, 상기 변환 수단은 단말기기에 조립된 내(耐)탬퍼 장치에 격납되어 있는 것을 특징으로 하는 단말기기를 제공한 다.
도 1은 본 실시의 형태의 기기 인증 시스템의 구성을 설명하기 위한 도면.
도 2는 CE 기기의 기기 인증에 관한 구성 요소를 설명하기 위한 도면.
도 3은 CE 기기의 하드웨어적인 구성의 일예를 도시한 도면.
도 4는 기기 인증을 행하는 순서를 설명하기 위한 순서도.
도 5는 다이제스트 인증 처리의 순서를 설명하기 위한 순서도.
도 6은 서비스 서버가 인증 서버에서 인증 결과를 확인하는 순서를 설명하기 위한 순서도.
도 7은 CE 기기가 인증 서버를 확인하는 다른 시퀀스를 설명하기 위한 순서도.
도 8은 기기 인증을 행하는 다른 순서를 설명하기 위한 순서도.
도 9는 다이제스트 인증 처리의 순서를 설명하기 위한 순서도.
도 10은 본 실시의 형태의 변형예를 설명하기 위한 도면.
도 11은 본 변형예의 하드웨어적인 구성의 일예를 도시한 도면.
도 12는 종래의 CE 기기의 구성을 설명하기 위한 도면.
이하, 본 발명의 적절한 실시의 형태에 관해, 도면을 참조하여 상세히 설명한다.
(1) 실시 형태의 개요
도 2에 도시한 바와 같이, 기기 인증 모듈(7)은 인증 서버(5)로부터 서버 난수와 원타임 ID를 수신하고, 이 서버 난수와 패스 프레이즈를 조합시켜 해시화하여 다이제스트를 생성한다. 그리고, 이것을 기기 ID와 함께 암호화 모듈(8)에 건네준다. 암호화 모듈(8)은 통신 경로를 암호화하고, 다이제스트와 기기 ID 및 원타임 ID를 인증 서버(5)에 송신한다.
인증 서버(5)는 미리 기기 ID와 CE 기기(3)의 패스 프레이즈를 대응시켜 기억한다. 또한, 앞서 CE 기기(3)에 송신한 서버 난수와 원타임 ID를 대응시켜 기억하고 있다.
인증 서버(5)는 CE 기기(3)로부터 수신한 원타임 ID와 기기 ID를 이용하여 패스 프레이즈와 앞서 발생한 서버 난수를 특정한다. 그리고 이들을 조합시키고, CE 기기(3)측의 로직과 같은 로직으로 다이제스트를 생성한다. 그리고, 생성한 다이제스트와 CE 기기(3)로부터 수신한 다이제스트를 대조하고, 양자가 일치하는지의 여부로 CE 기기(3)의 인증을 행한다.
이와 같이, 기기 인증 모듈(7)은 암호화 모듈(8)에 패스 프레이즈를 건네주지 않고, 서버 난수와 패스 프레이즈의 세트로부터 생성한 다이제스트를 건네준다. 그 때문에 기기 인증 모듈(7)로부터 제삼자에 의해 다이제스트를 독해되었다고 하여도 제삼자는 다이제스트로부터 패스 프레이즈를 복원할 수는 없다.
또한, 인증 서버(5)는 기기 인증할 때마다 다른 서버 난수를 생성하기 때문에 기기 인증 모듈(7)이 암호화 모듈(8)에 건네주는 다이제스트도 기기 인증마다 다르고, 예를 들어 다이제스트가 제삼자에 독해되었다 하여도 남용되는 일은 없다.
또한, 기기 인증할 때마다 같은 다이제스트를 이용하는 제삼자에게 이 다이제스트가 누설된 경우, 이것을 기초로 이른바 리플레이 공격이 행하여질 가능성이 있지만, CE 기기(3)는 기기 인증할 때마다 다른 다이제스트를 생성하기 때문에 리플레이 공격되는 일은 없다.
(2) 실시 형태의 상세
도 1은 본 실시의 형태의 기기 인증 시스템(1)의 구성을 설명하기 위한 도면이다.
기기 인증 시스템(1)은 CE 기기(3), 서비스 서버(4), 인증 서버(5)가 네트워크를 통하여 통신 가능하게 접속되어 있다.
또한, 도 1에서는 CE 기기(3)와 서비스 서버(4)가 1대씩 기재되어 있지만, 이것은 복수 존재시킬 수 있다.
CE 기기(3)는 기기 ID, 패스 프레이즈 등 기기 인증에 필요한 인증 정보를 구비하고 있고(기억 장치(3a)에 기억하고 있는 도 3의 기억부(28)에 대응), 이들의 정보를 이용하여 인증 서버(5)에서 기기 인증을 받고, 서비스 서버(4)가 제공하는 서비스를 이용할 수 있다.
또한, 패스 프레이즈는 CE 기기(3)와 인증 서버(5)가 기기 인증을 위해 공유하는 비밀 정보를 구성한다.
서비스 서버(4)는 CE 기기(3)에 예를 들면, 컨텐츠를 송신하는 등 서비스를 제공하는 서버이다. 서비스 서버(4)가 제공하는 서비스에는 기기 인증을 필요로 하는 것과 필요로 하지 않는 것이 있다. CE 기기(3)가 기기 인증을 필요로 하는 서비 스를 요구한 경우, 서비스 서버(4)는 인증 서버(5)에 기기 인증을 대행하여 받는다.
서비스 서버(4)는 서비스를 제공하는 CE 기기(3)를 등록하고 있고, 서비스 서버(4)에 접속 가능한 각 CE 기기의 기기 정보(시리얼 넘버 등), 보유자 정보 등을 기억 장치(4a)에 기억하고 있다. 이들의 정보는 CE 기기(3)로부터 인증 결과를 수신하였을 때에 인증 서버(5)에 기기 인증을 받은 기기(3)가 정말로 이 CE 기기(3)인지 확인하는데 이용한다.
인증 서버(5)는 서비스 서버(4)를 대신하여 CE 기기(3)의 기기 인증을 대행하는 서버이다.
인증 서버(5)는 난수(이하, 서버 난수라고 부르기로 한다)를 생성하여 CE 기기(3)에 송신하고, CE 기기(3)로부터 기기 ID 및 서버 난수와 패스 프레이즈로부터 생성한 다이제스트 등을 수신하고, CE 기기(3)의 기기 인증을 행한다. 인증 서버(5)는 인증마다 매회 다른 서버 난수를 생성한다.
인증 서버(5)는 난수를 발생시킴에 의해 이것을 취득하는 난수 취득 수단을 구비하고 있지만, 인증 서버(5)는 다른 장치가 생성한 난수를 취득하도록 구성할 수도 있다.
인증 서버(5)는 각 CE 기기(3)마다 패스 프레이즈, 기기 ID, 기기 정보, 보유자 정보 등을 기억 장치(5a)에 기억하고 있는 외에 서비스 서버(4)가 CE 기기(3)에 서비스를 제공하는 서비스 사이트의 URL(Uniform Resource Locators)도 기억하고 있다.
이 URL은 CE 기기(3)가 이용하고자 하는 사이트가 적절한 것인지의 여부를 판단하기 위해 미리 서비스 서버(4)가 취득하여 등록한 것이다.
인증 서버(5)는 CE 기기(3)로부터 기기 ID를 수신하고, 이 기기 ID에 관련된 패스 프레이즈를 검색함에 의해 CE 기기(3)의 패스 프레이즈를 취득한다. 이와 같이, 기기 ID는 CE 기기(3)의 비밀 정보(패스 프레이즈)를 특정하는 비밀 정보 특정 정보를 구성하고 있다.
서비스 서버(4) 외에 기기 인증을 행하는 인증 서버(5)를 마련한 것은(종래는 서비스 서버(4)가 기기 인증도 행하고 있다), 서비스 서버(4)는 일반적인 개인이나 임의의 단체 등이 운영하는 경우도 많고, 인증 정보를 서비스 서버(4)에 제공한 경우, 제공한 정보가 악용되어 버릴 가능성이 있기 때문이다.
이와 같이, 기기 인증의 대행을 행하는 인증 서버(5)를 마련한 시스템으로서는 미 공개의 문헌(특원2002-144896)에서 제안되어 있는 서비스 제공 시스템이 있다.
이 시스템에서는 기기 인증을 기기 인증 서버가 일괄하여 행하고, 서비스 서버는 기기 인증 서버에서의 인증 결과를 수취하고, CE 기기에 서비스를 제공하는지의 여부를 판단한다.
이 시스템에서는 기기 인증을 행하는 경우에 시큐어리티상 중요한 정보를 기기 인증 서버에 송신하기 때문에 이들의 정보를 서비스 서버에 제공할 필요가 없다.
도 2는 CE 기기(3)를 구성하는 요소중, 기기 인증에 관한 것을 설명하기 위 한 도면이다.
CE 기기(3)는 기기 인증 모듈(7)과 암호화 모듈(8)을 구비하고 있다. 기기 인증 모듈(7)은 기기 ID나 패스 프레이즈 등, 기기 인증에 필요한 인증 정보를 기억하고 있다. 또한, 기기 인증 모듈(7)은 인증 서버(5)로부터 서버 난수를 수신하고, 이것과 패스 프레이즈를 조합시켜 해시화하여, 다이제스트(해시 값, 또는 다이제스트 메시지)를 생성할 수 있다.
기기 인증 모듈(7)은 인증 정보로서 기기 ID와 다이제스트를 암호화 모듈(8)에 건네준다.
여기서 해시화란, 해시 함수라고 불리는 함수를 이용하여 전자 문서로부터 문자열(다이제스트)을 생성하는 처리인 것이다.
같은 전자 문서로부터는 같은 다이제스트를 얻을 수 있다. 전자 문서가 일부라도 변경되면, 이 문서의 다이제스트는 변경 전의 것과 다르다. 또한, 다이제스트로부터 원래의 전자 문서를 복원할 수는 없다.
또한, 해시 함수는 일방향성 함수라고 불리는 함수의 일종이다. 일방향성 함수란, 변환원으로부터 변환치로의 변환은 용이하지만, 변환치로부터 변환원으로의 역변환이 곤란한 함수이다. 그리고, 다이제스트는 변환원(패스 프레이즈와 서버 난수의 세트)을 해시 함수로 변환한 변환치로 된다.
이와 같이, CE 기기(3)는 난수(서버 난수)와 비밀 정보(패스 프레이즈)의 세트를 일방향성 함수로 변환하고 변환치(다이제스트)를 취득하는 변환 수단을 구비하고 있다.
암호화 모듈(8)은 예를 들면, SSL(Secure Sockets Layer) 등의 암호화 기술을 사용하여, 통신 경로를 암호화하는 모듈이다. 암호화 모듈(8)은 기기 인증 모듈(7)로부터 인증 정보를 수취하고, 암호화한 통신 경로를 경유하여 인증 서버(5)에 인증 정보를 송신한다.
이와 같이, CE 기기(3)에서는 기기 인증 모듈(7)로부터 출력된 패스 프레이즈는 서버 난수와 세트로 하여 생성된 다이제스트로 되어 있다. 그 때문에 기기 인증 모듈(7)로부터 암호화 모듈(8)에 건네지는 인증 정보에는 평문의 패스 프레이즈가 포함되어 있지 않고, 인증 정보가 제삼자에 건네졌다고 하여도, 다이제스트로부터 패스 프레이즈를 복원할 수는 없다. 또한, 기기 인증에 사용하는 다이제스트는 매회 변화하기 때문에 제삼자가 다이제스트를 독해하였더라도 이것을 남용할 수는 없다. 그 때문에 높은 시큐어리티를 확보할 수 있다.
기기 인증 모듈(7)과 암호화 모듈(8)은 다이내믹 링크에 의해 접속된다.
즉, 암호화 모듈(8)은 기기 인증 모듈(7)이 인증 정보를 인증 서버(5)에 송신할 때에 암호화 모듈(8)에 동적으로 접속된다.
그 때문에 암호화 모듈(8)은 기기 인증 모듈(7)과는 다른 통신 경로를 암호화할 필요가 있는 모듈로부터도 이용할 수 있다.
그 경우는 그 모듈이 암호화한 통신 경로로 정보를 송신하는 경우에 암호화 모듈(8)이 동적으로 그 모듈에 접속한다.
이와 같이, 암호화 모듈(8)은 복수의 모듈로부터 공용할 수 있고, CE 기기(3)의 메모리 영역을 절약할 수 있다.
도 3은 CE 기기(3)의 하드웨어적인 구성의 일예를 도시한 도면이다. CPU(Central Processing Unit)(21)는 ROM(Read Only Memory)(22)에 기억되어 있는 프로그램, 또는 기억부(28)나 RAM(Random Access Memory)(23)에 로드된 프로그램에 따라 각종의 처리를 실행한다.
또한, RAM(23)에는 CPU(21)가 각종의 처리를 실행하는데 필요한 데이터 등도 적절히 기억되어 있다.
CPU(21), ROM(22) 및 RAM(23)은 버스(24)를 통하여 서로 접속되어 있다. 이 버스(24)에는 입출력 인터페이스(25)도 접속되어 있다.
입출력 인터페이스(25)에는 키보드, 마우스 등으로 이루어지는 입력부(26), CRT(Cathode-ray Tube), LCD(Liquiid Crystal Display) 등으로 이루어지는 디스플레이 및 스피커 등에 의해 이루어지는 출력부(27), 하드 디스크 등에 의해 구성되는 기억부(28), 모뎀, 터미널 어댑터 등에 의해 구성되는 통신부(29)가 접속되어 있다. 통신부(29)는 네트워크를 통한 통신 처리를 행한다.
또한, 입출력 인터페이스(25)에는 필요에 따라 드라이브(30)가 접속되고, 자기 디스크(41), 광디스크(42), 광자기 디스크(43), 또는 메모리 카드(44) 등이 적절히 장착되고, 그들로부터 판독된 컴퓨터 프로그램이, 필요에 따라 기억부(28)에 인스톨된다.
또한, 인증 서버(5), 서비스 서버(4)의 구성은 기본적으로 CE 기기(3)와 같기 때문에 설명은 생략한다.
도 4는 CE 기기(3)가 인증 서버(5)로부터 기기 인증을 받는 순서를 설명하기 위한 순서도가다.
또한, CE 기기(3)는 인증 서버(5)의 공개키를 구비하고 있고, 인증 서버(5)는 대응하는 비밀키를 구비하고 있는 것으로 한다.
또한, CE 기기(3)와 인증 서버(5)는 순서도 중 괄호로 나타낸 각 수단을 구비하고 있다.
CE 기기(3)가 서비스 서버(4)에서 기기 인증이 필요한 서비스에 액세스하면, 서비스 서버(4)가 CE 기기(3)에 기기 인증 트리거를 송신한다(스텝 40).
이 기기 인증 트리거는 CE 기기(3)에 기기 인증 동작을 시작시키기 위한 정보로서, 인증 서버(5)의 URL이나, 서비스 사이트가 요구하는 인증의 버전 등의 정보가 포함되어 있다.
또한, 기기 인증에는 몇 개의 버전이 준비되어 있고, 버전에 의해 이용할 수 있는 서비스가 다른 경우가 있다.
CE 기기(3)는 서비스 서버(4)로부터 인증 트리거를 수신한다.
이하의, CE 기기(3)와 인증 서버(5)의 통신은 암호화 모듈(8)에서 암호화된 통신 경로를 통하여 행하여진다.
CE 기기(3)는 인증 트리거에 포함되는 인증 서버(5)의 URL을 이용하여 인증 서버(5)에 접속하고, 서버 난수의 송신을 요구한다(스텝 2).
또한, 이 때, CE 기기(3)는 인증 트리거에 포함되어 있는 서비스 서버(4)가 요구하는 버전과, CE 기기(3)가 실장하고 있는 기기 인증의 버전을 인증 서버(5)에 송신한다.
인증 서버(5)는 CE 기기(3)로부터 서버 난수의 송신 요구를 수신하고, 서버 난수를 발생시킨다(난수 취득 수단)(스텝 20). 또한, 서비스 서버(4)가 요구하고 있는 버전과 CE 기기(3)의 버전이 일치하고 있는지의 여부의 확인도 행한다.
또한, 인증 서버(5)는 원타임 ID1을 생성한다. 그리고, 서버 난수와 원타임 ID1을 CE 기기(3)에 송신하다(송신 수단)(스텝 22).
또한, 서비스 서버(4)는 잠시 후에 다른 원타임 ID를 생성하는데, 이것과 구별하기 위해 상기한 원타임 ID를 원타임 ID1로 하고, 후에 생성하는 원타임 ID를 원타임 ID2라고 한다.
이 원타임 ID1은 CE 기기(3)와 인증 서버(5)에서 세션을 유지하기 위해 사용되는 1회용의 ID이다.
인증 서버(5)는 CE 기기(3)로부터 원타임 ID1을 수신함에 의해 CE 기기(3)와 유지하고 있는 세션을 인식할 수 있다.
원타임 ID1은 기기 인증마다 다른 값이 발행되기 때문에 높은 시큐어리티를 확보할 수 있다.
또한, 인증 서버(5)는 송신한 서버 난수와 원타임 ID1을 관련시켜 기억한다. 이로써, 후에 CE 기기(3)로부터 원타임 ID1을 수신함에 의해 CE 기기(3)에 송신한 서버 난수를 특정할 수 있다. 이와 같이, 원타임 ID1은 난수 특정 정보를 구성하고 있다.
CE 기기(3)는 인증 서버(5)로부터 서버 난수와 원타임 ID1을 수신한다(수신 수단). 계속해서, CE 기기(3)는 공통키를 생성하여 이것을 인증 서버(5)의 공개키 로 암호화한다(스텝 4). 이 정보는 CE 기기(3)의 접속처가 확실히 인증 서버(5)인 것을 확인하기 위해 사용된다.
다음에 CE 기기(3)는 패스 프레이즈와 서버 난수를 조합시켜 소정의 로직으로 해시를 취하고, 다이제스트를 생성한다(변환 수단)(스텝 6).
다음에 CE 기기(3)는 기기 ID, 생성한 다이제스트, 인증 서버(5)로부터 수신한 원타임 ID1을 인증 서버(5)에 송신하다(송신 수단) (스텝 8).
또한, 이들의 정보와 함께, 앞서 공개키로 암호화한 공통키와, CE 기기(3)가 서비스를 받을려고 하는 서비스 서버(4)의 사이트의 URL(이하 타깃 URL이라고 부른다) 및 공통키를 취출하기 위한 비밀키(인증 서버(5)는 복수의 비밀키를 갖고 있다)를 식별하는 비밀키 식별자(子)도 인증 서버(5)에 송신한다.
인증 서버(5)는 이들의 정보를 CE 기기(3)로부터 수신하고(수신 수단), 우선 원타임 ID1의 확인을 행한다(스텝 24). 원타임 ID1에 의해 인증 서버(5)는 앞서 생성한 세션의 계속인 것을 인식 할 수 있다.
또한, 원타임 ID1에 관련시켜 둔 서버 난수를 기억 장치로부터 취득함에 의해 서버 난수를 특정한다(난수 특정 수단).
또한, 기기 ID로부터 CE 기기(3)의 패스 프레이즈를 특정한다(비밀 정보 특정 수단).
또한, 인증 서버(5)는 CE 기기(3)로부터 수신한 타깃 URL이, 미리 인증 서버(5)에 등록되어 있는 타깃 URL인지도 확인한다.
이로써, CE 기기(3)의 접속처의 서비스 서버(4)가 정당한 서비스 서버(4)인 것을 확인할 수 있다.
다음에 인증 서버(5)는 앞서 CE 기기(3)에 송신한 서버 난수와, CE 기기(3)의 패스 프레이즈로부터 CE 기기(3)와 같은 로직에 의해 다이제스트를 생성하고(변환 수단), 이것과, CE 기기(3)로부터 수신한 다이제스트를 조회하여 CE 기기(3)의 인증을 행한다(기기 인증 수단)(스텝 26).
인증 서버(5)는 인증에 성공하면 원타임 ID2를 생성한다(스텝 28). 원타임 ID2는 잠시 후에 CE 기기(3)가 인증을 받은 것이 확실히 인증 서버(5)인 것을 서비스 서버(4)가 확인하는데 사용된다.
또한, 인증 서버(5)는 기기 인증을 행하는 버전도 기억하여 둔다.
다음에 인증 서버(5)는 공개키로 암호화된 공통키를 비밀키로 복호화하여 취출한다.
그리고, 인증 서버(5)는 원타임 ID2를 해시화하고, 다이제스트(이하, ID2 다이제스트라고 부른다)를 생성한다.
다음에 인증 서버(5)는 ID2 다이제스트를 앞서 복호화한 공통키로 암호한다(스텝 30).
다음에 인증 서버(5)는 암호화한 ID2 다이제스트와, 원타임 ID2를 연결하여 공통키로 암호화하고, 이것을 CE 기기(3)에 송신한다(스텝 32).
원타임 ID2에 ID2 다이제스트를 연결하는 것은 송신되어 온 원타임 ID2의 다이제스트를 생성하고, ID2 다이제스트와 비교함에 의해 원타임 ID2가 개변되었는지의 여부를 확인하기 위해서이다.
CE 기기(3)는 인증 서버(5)로부터 암호화된 원타임 ID2와 ID2 다이제스트를 수신하고, 공통키로 이들을 복호화한다(스텝 10).
CE 기기(3)는 원타임 ID2를 해시화하여 다이제스트를 생성하고, 이것을 ID2 다이제스트와 비교하여 원타임 ID2가 개찬되지 않았는지 확인한다.
CE 기기(3)는 공통키로 이들의 정보가 복호화되었기 때문에 인증 서버(5)가 공통키를 취출한(즉, 비밀키를 갖고 있는) 것을 확인할 수 있다. 즉, CE 기기(3)가 기기 인증을 요구한 상대처는 확실히 인증 서버(5)인 것을 확인할 수 있다(스텝 12).
또한, 원타임 ID2가 발행되었기 때문에 CE 기기(3)가 기기 인증된 것을 확인할 수 있다.
다음에 CE 기기(3)는 인증 서버(5)로부터 수신한 원타임 ID2를 서비스 서버(4)에 송신함에 의해 CE 기기(3)가 인증 서버(5)에서 인증된 것을 통지한다(스텝 14).
서비스 서버(4)는 CE 기기(3)로부터 원타임 ID2를 수신하고, 이것을 인증 서버(5)에 송신하여 확실히 인증 서버(5)가 기기 인증한 것을 확인한다(스텝 34, 스텝 42).
서비스 서버(4)는 인증 서버(5)에서 기기 인증 결과를 확인하면, CE 기기(3)에 대해 서비스의 제공을 시작한다(스텝 44).
그리고, CE 기기(3)에서는 서비스의 이용을 시작한다(스텝 16).
이상의 순서에 의해 인증 서버(5)는 패스 프레이즈 그 자체가 아니라, 패스 프레이즈와 서버 난수로부터 생성되는 다이제스트에 의해 다이제스트 인증을 행할 수 있다.
또한, CE 기기(3)는 공통키를 공개키로 암호화하여 인증 서버(5)에 송신하고, 인증 서버(5)의 비밀키로 공통키가 취출된 것을 확인함에 의해 인증처가 확실히 인증 서버(5)인 것을 확인할 수 있다.
또한, 인증 서버(5)는 원타임 ID2에 ID2 다이제스트를 첨부하여 CE 기기(3)에 송신함에 의해 CE 기기(3)는 원타임 ID2가 개찬되지 않은 것을 확인할 수 있다.
도 5는 스텝 26(도 4)의 다이제스트 인증 처리의 순서를 설명하기 위한 순서도가다.
인증 서버(5)는 CE 기기(3)에 서버 난수와 원타임 ID1을 송신할 때에 이들을 대응시켜 기억하고 있다.
인증 서버(5)는 CE 기기(3)로부터 수신한 원타임 ID1을 이용하여 CE 기기(3)에 송신한 서버 난수를 검색한다(스텝 52).
또한, 인증 서버(5)는 기기 ID와 패스 프레이즈를 미리 대응시켜 기억하고 있고, CE 기기(3)로부터 수신한 기기 ID로부터 CE 기기(3)의 패스 프레이즈를 검색한다(스텝 54).
다음에 인증 서버(5)는 검색한 서버 난수와 패스 프레이즈의 세트를 CE 기기(3)와 같은 로직에 의해 해시화하고, 다이제스트를 생성한다(스텝 56).
다음에 인증 서버(5)는 생성한 다이제스트와, CE 기기(3)로부터 수신한 다이제스트를 비교하고, 동일한지의 여부를 판단한다(스텝 58).
다이제스트가 일치한 경우(스텝 60;Y), 인증 서버(5)는 기기 인증이 성공한 것을 인식한다(스텝 62).
다이제스트가 일치하지 않은 경우(스텝 60;N), 인증 서버(5)는 CE 기기(3)가 인증되지 않은 것이라고 인식한다(스텝 64).
이상과 같이, 인증 서버(5)는 원타임 ID와 서버 난수를 대응시켜 기억하여 두고, 또한 기기 ID와 패스 프레이즈를 대응시켜 기억하여 둠에 의해 CE 기기(3)와 같은 로직으로 다이제스트를 생성할 수 있고, CE 기기(3)를 기기 인증할 수 있다.
도 6은 스텝 34, 스텝 42(도 4)에서 서비스 서버(4)가 인증 서버(5)에서 인증 결과를 확인한 순서를 설명하기 위한 순서도가다.
이하, 인증 서버(5)와 서비스 서버(4)의 통신은 SSL 등의 기술에 의해 암호화된 통신 경로를 통하여 행하여지는 것으로 한다.
우선, 서비스 서버(4)는 인증 서버(5)에 CE 기기(3)로부터 수신한 원타임 ID2를 송신하고, 기기 인증의 결과를 요구한다(스텝 82). 이 때에 서비스 서버(4)는 인증 서버(5)와의 세션을 유지하기 위한 티켓을 발행하고, 이것도 인증 서버(5)에 송신한다.
서비스 서버(4)와 인증 서버(5)와의 송수신은 상호의 신뢰성이 높기 때문에 세션할 때마다 원타임 ID를 발행하지 않고, 같은 ID를 복수 회 반복하여 사용하여도 좋다. 이와 같이 복수 회 재이용할 수 있는 ID를 티켓이라고 부르기로 한다.
원타임 ID 대신에 티켓을 발행함에 의해 서비스 서버(4)와 인증 서버(5)의 부하를, 원타임 ID를 발행한 경우보다 작게 할 수 있다.
인증 서버(5)는 원타임 ID2를 수신하고, 이 원타임 ID2를 키로 하여, CE 기기(3)에 대해 행하는 기기 인증의 버전을 검색한다. 또한, CE 기기(3)의 기기 ID 등으로부터 CE 기기(3)의 기기 정보도 검색한다.
기기 정보로서는 예를 들면, CE 기기(3)의 제품 코드나 시리얼 넘버 등이 있다.
그리고, 이들 검색한 정보를 서비스 서버(4)에 송신한다(스텝 72).
서비스 서버(4)는 버전 정보와 기기 정보를 인증 서버(5)로부터 수신하고, 서비스 서버(4)에서 기억하고 있는 이들의 정보와 대조한다.
또한, 서비스 서버(4)는 인증 서버(5)에 티켓을 송신하고, CE 기기(3)의 보유자 정보를 인증 서버(5)에 요구한다(스텝 84).
인증 서버(5)는 이에 따라 이 CE 기기(3)의 보유자 정보를 검색하고, 티켓과 함께 서비스 서버(4)에 송신한다(스텝 74).
서비스 서버(4)는 인증 서버(5)로부터 수신한 보유자 정보를 서비스 서버(4)가 기억하고 있는 보유자 정보와 대조한다.
이와 같이, 기기 정보나 보유자 정보를 확인함에 의해 서비스 서버(4)는 인증 서버(5)는 확실히 CE 기기(3)를 기기 인증한 것을 확인할 수 있다.
그리고, 서비스 서버(4)는 CE 기기(3)에 대해 서비스의 제공을 시작한다(스텝 86).
이상과 같이, 서비스 서버(4)와 인증 서버(5)와의 사이의 복수 회의 송수신에서 같은 티켓이 반복 이용된다.
또한, 서비스 서버(4)는 다른 기기 인증에 관한 인증 결과 확인에는 다른 티켓을 발행한다.
도 7은 CE 기기(3)가 인증처가 확실히 인증 서버(5)인 것을 확인하는 다른 시퀀스를 설명하기 위한 순서도가다.
이하의 순서에서는 CE 기기(3)가 난수(이하 클라이언트 난수라고 부르기로 한다)를 발생시키고, 이것에 의해 인증 서버(5)를 확인한다.
우선, CE 기기(3)는 클라이언트 난수를 생성한다(스텝 102).
다음에 CE 기기(3)는 공통키를 생성한다(스텝 104).
CE 기기(3)는 생성한 공통키로 클라이언트 난수를 암호화한다(스텝 106). 암호화한 후의 정보를 암호화 정보1이라고 부르기로 한다.
또한, CE 기기(3)는 인증 서버(5)의 공개키로 공통키를 암호화한다(스텝 108). 암호화한 후의 정보를 암호화 정보2라고 부르기로 한다.
그리고, CE 기기(3)는 암호화 정보1과 암호화 정보2를 인증 서버(5)에 송신한다(스텝 110).
또한, CE 기기(3)는 송신한 클라이언트를 기억하여 둔다.
인증 서버(5)는 CE 기기(3)로부터 암호화 정보1과 암호화 정보2를 수신하고, 우선, 인증 서버(5)의 비밀키로 암호화 정보2를 복호화하고, 공통키를 취출한다(스텝 122).
다음에 인증 서버(5)는 취출한 공통키로 암호화 정보1을 복호화하고, 클라이언트 난수를 취출한다(스텝 124).
다음에 인증 서버(5)는 취출한 클라이언트 난수의 해시를 취하여, 다이제스트를 생성한다(스텝 126).
다음에 인증 서버(5)는 생성한 다이제스트를 공통키로 암호화하고, CE 기기(3)에 송신한다(스텝 128).
CE 기기(3)는 인증 서버(5)로부터 암호화한 다이제스트를 수신하고, 이것을 공통키로 복호화한다(스텝 112).
또한, CE 기기(3)는 기억하여 둔 난수를 해시화하고, 다이제스트를 생성한다(스텝 114).
그리고, CE 기기(3)는 생성한 다이제스트와, 앞서 복호화한 다이제스트를 비교하여, 양자가 일치함에 의해 접속처가 확실히 인증 서버(5)인 것을 확인한다(스텝 116).
즉, 클라이언트 난수의 다이제스트가 공통키로 암호화되어 보내져 왔다는 것은 접속처가 암호화 정보2를 복호화할 수 있다는 것이고, 이것은 접속처가 비밀키를 갖고 있는 것을 의미한다. 비밀키를 갖고 있는 것은 인증 서버(5)이기 때문에 이로써, 접속처가 인증 서버(5)인 것을 확인할 수 있다.
도 8은 기기 인증을 행하는 다른 순서를 설명하기 위한 순서도가다.
도 4에 도시한 순서에서는 CE 기기(3)로부터 인증 서버(5)에 액세스하여 기기 인증을 행하였지만, 이 순서에서는 CE 기기로부터 서비스 서버(4)에 인증 정보를 송신하고, 서비스 서버(4)가 이 인증 정보를 이용하여 인증 서버(5)에 액세스하여 기기 인증을 행한다.
이하의 순서에서 CE 기기(3), 서비스 서버(4), 인증 서버(5)의 사이의 통신은 예를 들면, SSL 등의 기술에 의해 암호화한 경로가 이용되는 것으로 한다.
또한, CE 기기(3), 서비스 서버(4), 인증 서버(5)는 순서도 중에 괄호로 나타낸 각 수단을 구비하고 있다.
우선, CE 기기(3)가 서비스 서버(4)에 대해 기기 인증을 필요로 하는 서비스의 제공을 요구한다.
이에 대해 서비스 서버(4)는 CE 기기(3)에 대해 기기 인증 트리거를 송신한다(스텝 142).
CE 기기(3)는 서비스 서버(4)로부터 기기 인증 트리거를 수신하면 서비스 서버(4)에 대해 서버 난수의 요구를 송신한다(스텝 132).
서비스 서버(4)는 이것을 수신하여 서버 난수를 생성하고(난수 취득 수단)(스텝 144), CE 기기(3)에 송신하다(난수 송신 수단)(스텝 146). 서비스 서버(4)는 이 서버 난수를 기억하여 둔다.
CE 기기(3)는 서비스 서버(4)로부터 서버 난수를 수신함과 함께(난수 수신 수단), 클라이언트 난수를 생성한다(스텝 134).
다음에 CE 기기(3)는 서버 난수, 클라이언트 난수 및 패스 프레이즈를 조합시켜 해시화하고, 다이제스트를 생성한다(변환 수단)(스텝 136).
다음에 CE 기기(3)는 생성한 다이제스트와, 기기 ID, 클라이언트 난수를 서비스 서버(4)에 송신하여 기기 인증을 요구한다(송신 수단)(스텝 138).
서비스 서버(4)는 이들의 인증 정보를 수신한다(수신 수단)(스텝 148).
이와 같이, 서비스 서버(4)가 CE 기기(3)로부터 수신하는 인증 정보에는 서버 난수가 포함되어 있지 않다.
서비스 서버(4)는 CE 기기(3)로부터 수신한 인증 정보(다이제스트, 기기 ID, 클라이언트)에 서버 난수를 더하여 새로운 인증 정보로 하고, 이것을 인증 서버(5)에 송신하여 기기 인증을 요구한다(인증 정보 송신 수단)(스텝 150).
여기서는 서비스 서버(4)는 CE 기기(3)와 세션을 유지하고 있기 때문에 앞서 기억한 서버 난수가 이 CE 기기(3)에 보낸 서버 난수인 것을 인식할 수 있다(난수 특정 수단). 그래서, 이 서버 난수를 인증 정보에 더하는 것이다. 또한, 도 4의 순서와 마찬가지로 하여 원타임 ID를 발행함에 의해 CE 기기(3)에 송신한 서버 난수를 특정하도록 구성할 수도 있다.
이와 같이, CE 기기(3)로부터 보내져 온 인증 정보에 앞서 송신한 서버 난수를 부가하도록 구성함에 의해 인증 트리거를 송신한 서비스 서버(4)와 인증 정보를 수신한 서비스 서버(4)가 동일한 서버인 것을 확인할 수 있다.
인증 서버(5)는 서비스 서버(4)로부터 인증 정보를 수신하고(수신 수단), CE 기기(3)의 기기 인증을 행한다(스텝 162).
이 인증에서는 서비스 서버(4)로부터 송신되어 온 기기 ID, 클라이언트 난수, 서버 난수의 세트로부터 CE 기기(3)와 같은 로직으로 다이제스트를 생성하고, 서비스 서버(4)로부터 송신되어 온 다이제스트와 일치하는지의 여부를 체크한다.
일치한 경우, FE 기기(3)는 인증되고, 일치하지 않는 경우는 인증되지 않는다.
그리고, 인증 서버(5)는 인증 결과를 서비스 서버(4)에 송신한다(스텝 164).
또한, CE 기기(3)의 패스 프레이즈는 기기 ID로부터 구한다(비밀 정보 특정 수단).
서비스 서버(4)는 인증 서버(5)로부터 인증 결과를 수신하고(인증 결과 수신 수단), 그 인증 결과가 CE 기기(3)를 인증하는 것일 경우, 서비스의 제공을 시작하고(스텝 152), CE 기기(3)에서는 그 서비스를 이용한다(스텝 140).
또한, 스텝 164에서 인증 서버(5)가 서비스 서버(4)에 인증 결과를 송신할 때에 도 6의 순서도와 마찬가지로 하여, 인증 서버(5)와 서비스 서버(4)의 사이에서 CE 기기(3)의 기기 정보와 보유자 정보를 확인하도록 구성할 수도 있다.
도 9는 스텝 162(도 8)의 다이제스트 인증 처리의 순서를 설명하기 위한 순서도가다.
우선, 인증 서버(5)는 서비스 서버(4)로부터 수신한 인증 정보에 포함되는 기기 ID를 이용하여 CE 기기(3)의 패스 프레이즈를 검색하여 취득한다(스텝 172). 또한, 인증 서버(5)는 미리 기기 ID와 패스 프레이즈를 대응시켜 기억하고 있다.
다음에 인증 서버(5)는 서비스 서버(4)로부터 수신한 인증 정보에 포함되는 서버 난수와 클라이언트 난수를 취득한다(스텝 174).
다음에 인증 서버(5)는 스텝 172에서 검색한 패스 프레이즈와, 스텝 174에서 취득한 서버 난수 및 클라이언트 난수를 조합시키고, CE 기기(3)와 같은 로직으로 이것을 해시화하고, 다이제스트를 생성한다(스텝 176).
다음에 인증 서버(5)는 스텝 176에서 생성한 다이제스트와, 서비스 서버(4) 로부터 수신한 인증 정보에 포함되는 다이제스트를 비교하고, 동일한지의 여부를 판단한다(스텝 178).
다이제스트가 일치하는 경우(스텝 180;Y), 인증 서버(5)는 CE 기기(3)가 인증된 것이라고 판단하고(스텝 182), 다이제스트가 일치하지 않은 경우(스텝 180;N), 인증 서버(5)는 CE 기기(3)가 인증되지 않은 것이라고 판단한다(스텝 184).
도 8의 순서도로 도시한 순서에서는 도 4의 순서도로 도시한 바와 같은 원타임 ID1, 원타임 ID2를 이용하는 일 없이 기기 인증을 할 수 있다.
이상으로 설명한 본 실시의 형태에서는 이하와 같은 효과를 얻을 수 있다.
(1) 기기 인증 모듈(7)은 서비스 서버(4)가 생성한 서버 난수를 이용하여 패스 프레이즈를 다이제스트로 변환한 후 이것을 출력하기 때문에 제삼자가 기기 인증 모듈(7)의 출력으로부터 패스 프레이즈를 독해할 수는 없다.
(2) 암호화 모듈(8)은 기기 인증 모듈(7)로부터 다이제스트화된 패스 프레이즈를 수신하기 때문에 기기 인증 모듈(7)과 암호화 모듈(8)을 스태틱 링크에 의해 결합할 필요가 없다. 그 때문에 기기 인증 모듈(7)과 암호화 모듈(8)을 다이내믹 링크로 접속하도록 구성하고, 암호화 모듈(8)을 다른 모듈로부터도 이용할 수 있도록 할 수 있다.
(3) 암호화 모듈(8)은 기기 인증 모듈(7)도 포함하여 다른 모듈과 공용할 수 있기 때문에 암호화 모듈(8)을 복수 준비할 필요가 없고, CE 기기(3)의 시스템이 용장성을 해소할 수 있다. 그 때문에 CE 기기(3)의 메모리 영역을 유효하게 이용할 수 있다.
(4) 인증 서버(5)와 CE 기기(3)에서 같은 로직으로 다이제스트를 생성함에 의해 CE 기기(3)가 생성한 다이제스트와 인증 서버(5)가 생성한 다이제스트의 일치를 판단함에 의해 기기 인증을 행할 수 있다.
(5) 패스 프레이즈 그 자체가 아니라, 기기 인증마다 값이 변화하는 다이제스트가 통신 경로로 송수신되기 때문에 예를 들어 다이제스트가 네트워크상에서 제삼자에게 탈취되었다 하여도, 피해를 작은 범위로 멈출 수 있다. 즉, 패스 프레이즈는 기기 인증에서 같은 것이 몇회라도 사용될 수 있음에 대해 다이제스트는 기기 인증마다 다르기 때문이다.
(실시의 형태의 변형예)
도 10은 본 실시의 형태의 변형예를 설명하기 위한 도면이다.
도면에 도시한 바와 같이, 본 변형예에서는 기기 인증 모듈(7)을 내탬퍼 칩(35)에 격납한다. 내탬퍼 칩(35)은 집적 회로를 수납한 IC 칩에 의해 구성된 내탬퍼 장치로서, 개찬이나 복제, 내부의 논리 구조의 해독 등의 부정 행위에 대해 충분한 방어 수단을 강구하고 있다.
탬퍼(tamper)란, 장치를 마음대로 만지거나 손을 가하거나 한다는 의미로서, 정보 등을 부정하게 변경한다는 의미도 있다.
내탬퍼 칩(35)은 기기 ID와 패스 프레이즈 및 패스 프레이즈와 서버 난수를 조합시켰던 정보를 해시화하는 해시화기(化機)가 내장된 일종의 블랙박스로 되어 있다.
내탬퍼 칩(35)은 내탬퍼 사양으로 제조되어 있기 때문에 제삼자는 내탬퍼 칩(35)을 물리적으로 분해하여 내부의 정보를 얻는 것은 곤란하다.
즉, 내탬퍼 칩(35)을 물리적으로 분해하여, 비밀 정보인 패스 프레이즈나, 해시화에 이용하는 해시 함수를 아는 것은 곤란하다.
또한, 내탬퍼 칩(35) 내의 패스 프레이즈는 서버 난수와 함께 해시화된 다이제스트로서 출력되기 때문에 내탬퍼 칩(35)으로부터 출력된 정보로부터 패스 프레이즈를 해석하는 것도 곤란하다. 즉, 해시 함수는 일방향성 함수로서, 역변환이 곤란하기 때문이다.
이와 같이, 내탬퍼 칩(35)의 출력 정보로부터 내부의 비밀 정보를 탐지하는 것도 곤란하다.
도 11은 본 변형예의 하드웨어적인 구성의 일예를 도시한 도면이다.
도면에 도시한 바와 같이, 내탬퍼 칩(35)은 버스(24)에 접속하고 있고, CPU(21)로부터 정보의 입출력을 행할 수 있게 되어 있다.
즉, CPU(21)는 내탬퍼 칩(35)에 대해 서버 난수를 입력하고, 내탬퍼 칩(35)으로부터 기기 ID와 다이제스트를 수취할 수 있다.
이상과 같이, 내탬퍼 칩(35)에 패스 프레이즈(비밀 정보)와 해시화기를 내장하고, 패스 프레이즈를 출력할 때에는 해시화한 다이제스트를 출력함에 의해 제삼자의 손으로 패스 프레이즈가 건너가는 것을 막을 수 있다.
이와 같이, 내탬퍼 장치에 비밀 정보와 이 비밀 정보의 변환 기능을 내장하고, 내탬퍼 장치로부터 비밀 정보가 출력되는 경우는 변환 기능으로 변환된 값이 출력되도록 구성함에 의해 비밀 정보를 물리적 및 해석적으로 탐색하는 것이 곤란해진다. 그 때문에 시큐어리티 레벨을 강화할 수 있다.
본 변형예에서는 일예로서, 내탬퍼 칩(35)에 패스 프레이즈와 해시화기를 내장한 예에 관해 설명하였지만, 이 밖에 예를 들면, 비밀키나 공통키 등의 암호 키 정보를 이용하는 시스템에서는 이들의 암호키 정보와, 입력 정보에 대한 서명 기능이나 암호화 기능을 내탬퍼 장치에 내장함에 의해 암호키 정보의 누설을 막을 수 있다.
본 발명에 의하면, 단말기기 내의 메모리를 유효하게 이용할 수 있다.

Claims (19)

  1. 기기 인증용의 비밀 정보를 구비한 단말기기와, 상기 비밀 정보를 이용하여 상기 단말기기의 기기 인증을 행하는 인증 서버로 구성된 기기 인증 시스템으로서,
    상기 단말기기는 난수를 취득하고, 상기 취득한 난수와 상기 비밀 정보의 세트를 일방향성 함수에 의해 변환하여 변환치를 생성하고,
    상기 인증 서버는 상기 단말기기가 취득한 난수, 상기 단말기기의 비밀 정보 및 상기 단말기기가 생성한 변환치를 취득하고,
    상기 취득한 난수와 비밀 정보의 세트를 상기 단말기기가 이용한 일방향성 함수와 같은 일방향성 함수에 의해 변환하여 변환치를 생성하고,
    상기 단말기기 장치에서 생성한 변환치와, 상기 인증 서버에서 생성한 변환치를 비교함에 의해 상기 단말기기의 기기 인증을 행하는 것을 특징으로 하는 기기 인증 시스템.
  2. 제 1항의 기기 인증 시스템에서 기기 인증을 받는 단말기기로서,
    인증 서버로부터 난수와 해당 난수를 특정하는 난수 특정 정보를 수신하는 수신 수단과,
    상기 수신한 난수와 비밀 정보의 세트를 일방향성 함수에 의해 변환하여 변환치를 생성하는 변환 수단과,
    상기 생성한 변환치와, 상기 수신한 난수 특정 정보와, 인증 서버에서 상기 비밀 정보를 특정하기 위한 비밀 정보 특정 정보를 송신하는 송신 수단을 구비한 것을 특징으로 하는 단말기기.
  3. 제 2항에 기재된 단말기기를 기기 인증하는 인증 서버로서,
    난수를 취득하는 난수 취득 수단과,
    상기 취득한 난수와, 해당 난수를 특정하는 난수 특정 정보를 단말기기에 송신하는 송신 수단과,
    상기 단말기기로부터 변환치와, 상기 난수 특정 정보와, 비밀 정보 특정 정보를 수신하는 수신 수단과,
    상기 수신한 난수 특정 정보를 이용하여 상기 단말기기에 송신한 난수를 특정하는 난수 특정 수단과,
    상기 수신한 비밀 정보 특정 정보를 이용하여 상기 단말기기의 비밀 정보를 특정하는 비밀 정보 특정 수단과,
    상기 특정한 비밀 정보와 난수의 세트를, 상기 단말기기가 이용하는 일방향성 함수와 같은 일방향성 함수를 이용하여 변환하여 변환치를 생성하는 변환 수단과,
    상기 수신한 변환치와 상기 생성한 변환치를 이용하여 상기 단말기기를 기기 인증하는 기기 인증 수단을 구비한 것을 특징으로 하는 인증 서버.
  4. 제 1항의 기기 인증 시스템은 인증 서버에 의한 인증을 경유하여 상기 단말 기기에 서비스를 제공한 서비스 서버를 포함하고,
    상기 서비스 서버는,
    난수를 취득하는 난수 취득 수단과,
    상기 취득한 난수를 단말기기에 송신하는 난수 송신 수단과,
    상기 단말기기로부터 비밀 정보를 이용하여 생성한 변환치와, 비밀 정보 특정 정보를 수신하는 수신 수단과,
    상기 단말기기에 송신한 난수를 특정하는 난수 특정 수단과,
    상기 수신한 변환치와, 비밀 정보 특정 정보와, 상기 특정한 난수로 이루어지는 인증 정보를 인증 서버에 송신하는 인증 정보 송신 수단과,
    상기 인증 서버로부터 상기 송신한 인증 정보에 의한 인증 결과를 수신하는 인증 결과 수신 수단을 구비한 것을 특징으로 하는 서비스 서버.
  5. 제 4항에 기재된 서비스 서버로부터 서비스의 제공을 받는 단말 기기로서,
    서비스 서버로부터 난수를 수신하는 난수 수신 수단과,
    상기 수신한 난수와, 비밀 정보의 세트를 일방향성 함수에 의해 변환하여 변환치를 생성하는 변환 수단과,
    상기 생성한 변환치와, 인증 서버에서 상기 비밀 정보를 특정하기 위한 비밀 정보 특정 정보를 송신하는 송신 수단을 구비한 것을 특징으로 하는 단말기기.
  6. 제 4항에 기재된 서비스 서버가 서비스를 제공할 때에 단말기기를 기기 인증 하는 인증 서버로서,
    서비스 서버로부터 변환치와, 비밀 정보 특정 정보와, 난수로 이루어지는 인증 정보를 수신하는 수신 수단과,
    상기 수신한 비밀 정보 특정 정보를 이용하여 상기 단말기기의 비밀 정보를 특정하는 비밀 정보 특정 수단과,
    상기 수신한 난수와 상기 특정한 비밀 정보의 세트를 상기 단말기기가 이용한 것과 같은 일방향성 함수를 이용하여 변환하여 변환치를 생성하는 변환 수단과,
    상기 수신한 변환치와 상기 생성한 변환치를 이용하여 상기 단말기기를 기기 인증하는 기기 인증 수단을 구비한 것을 특징으로 하는 인증 서버.
  7. 제 1항의 기기 인증 시스템에서 기기 인증을 받는 단말기기에서 이용하는 단말기기 방법으로서, 상기 단말기기는 수신 수단과, 변환 수단과, 송신 수단을 구비한 컴퓨터로 구성되어 있고,
    인증 서버로부터 난수와 해당 난수를 특정하는 난수 특정 정보를 상기 수신 수단에서 수신하는 수신 스텝과,
    상기 수신한 난수와 비밀 정보의 세트를 일방향성 함수에 의해 상기 변환 수단에서 변환하여 변환치를 생성하는 변환 스텝과,
    상기 생성한 변환치와, 상기 수신한 난수 특정 정보와, 인증 서버에서 상기 비밀 정보를 특정하기 위한 비밀 정보 특정 정보를 상기 송신 수단에서 송신하는 송신 스텝으로 구성된 것을 특징으로 하는 단말기기 방법.
  8. 제 2항에 기재된 단말기기를 기기 인증하는 인증 서버에서 이용하는 인증 방법으로서, 상기 인증 서버는 난수 취득 수단과, 송신 수단과, 수신 수단과, 난수 특정 수단과, 비밀 정보 특정 수단과, 변환 수단과, 기기 인증 수단을 구비한 컴퓨터로 구성되어 있고,
    상기 난수 취득 수단에서 난수를 취득하는 난수 취득 스텝과,
    상기 취득한 난수와, 해당 난수를 특정하는 난수 특정 정보를 상기 송신 수단에서 단말기기에 송신하는 송신 스텝과,
    상기 단말기기로부터 변환치와, 상기 난수 특정 정보와, 비밀 정보 특정 정보를 상기 수신 수단에서 수신하는 수신 스텝과,
    상기 수신한 난수 특정 정보를 이용하여 상기 단말기기에 송신한 난수를 상기 난수 특정 수단에서 특정하는 난수 특정 스텝과,
    상기 수신한 비밀 정보 특정 정보를 이용하여 상기 단말기기의 비밀 정보를 상기 비밀 정보 특정 수단에서 특정하는 비밀 정보 특정 스텝과,
    상기 특정한 비밀 정보와 난수의 세트를, 상기 변환 수단에서 상기 단말기기가 이용하는 일방향성 함수와 같은 일방향성 함수를 이용하여 변환하여 변환치를 생성하는 변환 스텝과,
    상기 수신한 변환치와 상기 생성한 변환치를 이용하여 상기 기기 인증 수단에서 상기 단말기기를 기기 인증하는 기기 인증 스텝으로 구성된 것을 특징으로 하는 인증 방법.
  9. 제 4항에 기재된 서비스 서버에서 이용하는 인증 방법으로서, 상기 서비스 서버는 난수 취득 수단과, 난수 송신 수단과, 수신 수단과, 난수 특정 수단과, 인증 정보 송신 수단과, 인증 결과 수신 수단을 구비한 컴퓨터로 구성되어 있고,
    상기 난수 취득 수단에서 난수를 취득하는 난수 취득 스텝과,
    상기 취득한 난수를 상기 난수 송신 수단에서 단말기기에 송신하는 난수 송신 스텝과,
    상기 단말기기로부터 비밀 정보를 이용하여 생성한 변환치와, 비밀 정보 특정 정보를 상기 수신 수단에서 수신하는 수신 스텝과,
    상기 단말기기에 송신한 난수를 상기 난수 특정 수단에서 특정하는 난수 특정 스텝과,
    상기 수신한 변환치와, 비밀 정보 특정 정보와, 상기 특정한 난수로 이루어지는 인증 정보를 상기 인증 정보 송신 수단에서 인증 서버에 송신하는 인증 정보 송신 스텝과,
    상기 인증 서버로부터 상기 송신한 인증 정보에 의한 인증 결과를 상기 인증 결과 수신 수단에서 수신하는 인증 결과 수신 스텝으로 구성된 것을 특징으로 하는 인증 방법.
  10. 제 4항에 기재된 서비스 서버로부터 서비스의 제공을 받는 단말기기에서 이용하는 단말기기 방법으로서, 상기 단말기기는 난수 수신 수단과, 변환 수단과, 송 신 수단을 구비한 컴퓨터로 구성되어 있고,
    상기 난수 수신 수단에서 서비스 서버로부터 난수를 수신하는 난수 수신 스텝과,
    상기 수신한 난수와, 비밀 정보의 세트를 상기 변환 수단에서 일방향성 함수에 의해 변환하여 변환치를 생성하는 변환 스텝과,
    상기 생성한 변환치와, 인증 서버에서 상기 비밀 정보를 특정하기 위한 비밀 정보 특정 정보를 상기 송신 수단에서 송신하는 송신 스텝으로 구성된 것을 특징으로 하는 단말기기 방법.
  11. 제 4항에 기재된 서비스 서버가 서비스를 제공할 때에 단말기기를 기기 인증하는 인증 서버가 이용하는 인증 방법으로서, 상기 인증 서버는 수신 수단과, 비밀 정보 특정 수단과, 변환 수단과, 기기 인증 수단을 구비한 컴퓨터로 구성되어 있고,
    서비스 서버로부터 변환치와, 비밀 정보 특정 정보와, 난수로 이루어지는 인증 정보를 상기 수신 수단에서 수신하는 수신 스텝과,
    상기 비밀 정보 특정 수단에서 상기 수신한 비밀 정보 특정 정보를 이용하여 상기 단말기기의 비밀 정보를 특정하는 비밀 정보 특정 스텝과,
    상기 수신한 난수와 상기 특정한 비밀 정보의 세트를 상기 변환 수단에서 상기 단말기기가 이용한 것과 같은 일방향성 함수를 이용하여 변환하여 변환치를 생성하는 변환 스텝과,
    상기 기기 인증 수단에서 상기 수신한 변환치와 상기 생성한 변환치를 이용하여 상기 단말기기를 기기 인증하는 기기 인증 스텝으로 구성된 것을 특징으로 하는 인증 방법.
  12. 제 1항의 기기 인증 시스템에서 기기 인증을 받는 컴퓨터로 구성된 단말기기에 있어서,
    인증 서버로부터 난수와 해당 난수를 특정하는 난수 특정 정보를 수신하는 수신 기능과,
    상기 수신한 난수와 비밀 정보의 세트를 일방향성 함수에 의해 변환하여 변환치를 생성하는 변환 기능과,
    상기 생성한 변환치와, 상기 수신한 난수 특정 정보와, 인증 서버에서 상기 비밀 정보를 특정하기 위한 비밀 정보 특정 정보를 송신하는 송신 기능을 실현하는 단말기기 프로그램.
  13. 제 2항에 기재된 단말기기를 기기 인증하는 컴퓨터로 구성된 인증 서버에 있어서,
    난수를 취득하는 난수 취득 기능과,
    상기 취득한 난수와, 해당 난수를 특정하는 난수 특정 정보를 단말기기에 송신하는 송신 기능과,
    상기 단말기기로부터 변환치와, 상기 난수 특정 정보와, 비밀 정보 특정 정 보를 수신하는 수신 기능과,
    상기 수신한 난수 특정 정보를 이용하여 상기 단말기기에 송신한 난수를 특정하는 난수 특정 기능과,
    상기 수신한 비밀 정보 특정 정보를 이용하여 상기 단말기기의 비밀 정보를 특정하는 비밀 정보 특정 기능과,
    상기 특정한 비밀 정보와 난수의 세트를, 상기 단말기기가 이용하는 일방향성 함수와 같은 일방향성 함수를 이용하여 변환하여 변환치를 생성하는 변환 기능과,
    상기 수신한 변환치와 상기 생성한 변환치를 이용하여 상기 단말기기를 기기 인증하는 기기 인증 기능을 실현하는 인증 프로그램.
  14. 제 4항에 기재된 컴퓨터로 구성된 서비스 서버에 있어서,
    난수를 취득하는 난수 취득 기능과,
    상기 취득한 난수를 단말기기에 송신하는 난수 송신 기능과,
    상기 단말기기로부터 비밀 정보를 이용하여 생성한 변환치와, 비밀 정보 특정 정보를 수신하는 수신 기능과,
    상기 단말기기에 송신한 난수를 특정하는 난수 특정 기능과,
    상기 수신한 변환치와, 비밀 정보 특정 정보와, 상기 특정한 난수로 이루어지는 인증 정보를 인증 서버에 송신하는 인증 정보 송신 기능과,
    상기 인증 서버로부터 상기 송신한 인증 정보에 의한 인증 결과를 수신하는 인증 결과 수신 기능을 실현하는 서비스 서버 프로그램.
  15. 제 4항에 기재된 서비스 서버로부터 서비스의 제공을 받는 컴퓨터로 구성된 단말기기에 있어서,
    서비스 서버로부터 난수를 수신하는 난수 수신 기능과,
    상기 수신한 난수와, 비밀 정보의 세트를 일방향성 함수에 의해 변환하여 변환치를 생성하는 변환 기능과,
    상기 생성한 변환치와, 인증 서버에서 상기 비밀 정보를 특정하기 위한 비밀 정보 특정 정보를 송신하는 송신 기능을 실현하는 단말기기 프로그램.
  16. 제 4항에 기재된 서비스 서버가 서비스를 제공할 때에 단말기기를 기기 인증하는 컴퓨터로 구성된 인증 서버에 있어서,
    서비스 서버로부터 변환치와, 비밀 정보 특정 정보와, 난수로 이루어지는 인증 정보를 수신하는 수신 기능과,
    상기 수신한 비밀 정보 특정 정보를 이용하여 상기 단말기기의 비밀 정보를 특정하는 비밀 정보 특정 기능과,
    상기 수신한 난수와 상기 특정한 비밀 정보의 세트를 상기 단말기기가 이용한 것과 같은 일방향성 함수를 이용하여 변환하여 변환치를 생성하는 변환 기능과,
    상기 수신한 변환치와 상기 생성한 변환치를 이용하여 상기 단말기기를 기기 인증하는 기기 인증 기능을 실현하는 인증 프로그램.
  17. 제 12항 또는 제 15항에 기재된 단말기기 프로그램을 기억한 컴퓨터가 판독 가능한 기억 매체.
  18. 제 13항 또는 제 16항에 기재된 인증 프로그램을 기억한 컴퓨터가 판독 가능한 기억 매체.
  19. 제 14항에 기재된 서비스 서버 프로그램을 기억한 컴퓨터가 판독 가능한 기억 매체.
KR1020047020428A 2003-04-21 2004-04-21 기기 인증 시스템 Withdrawn KR20060003319A (ko)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2003115755 2003-04-21
JPJP-P-2003-00115755 2003-04-21
JPJP-P-2003-00188141 2003-06-30
JP2003188141A JP4240297B2 (ja) 2003-04-21 2003-06-30 端末機器、認証端末プログラム、機器認証サーバ、機器認証プログラム

Publications (1)

Publication Number Publication Date
KR20060003319A true KR20060003319A (ko) 2006-01-10

Family

ID=33312611

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020047020428A Withdrawn KR20060003319A (ko) 2003-04-21 2004-04-21 기기 인증 시스템

Country Status (5)

Country Link
US (1) US7681033B2 (ko)
EP (1) EP1617588A1 (ko)
JP (1) JP4240297B2 (ko)
KR (1) KR20060003319A (ko)
WO (1) WO2004095772A1 (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100818923B1 (ko) * 2006-04-12 2008-04-03 삼성전자주식회사 클라이언트의 신뢰성 검증 장치 및 방법
WO2012169752A3 (ko) * 2011-06-07 2013-03-28 (주)잉카인터넷 접속 시도 기기 인증 시스템 및 방법
KR20160060867A (ko) * 2014-11-20 2016-05-31 순천향대학교 산학협력단 차량용 블랙박스의 영상 위ㆍ변조 탐지 시스템 및 방법
KR20190028254A (ko) * 2017-09-08 2019-03-18 주식회사 블랙라벨 광 파장을 이용한 디지털 키 운영 방법 및 이를 실행하는 시스템

Families Citing this family (43)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7237117B2 (en) 2001-03-16 2007-06-26 Kenneth P. Weiss Universal secure registry
US7526588B1 (en) 2004-04-27 2009-04-28 Apple Inc. Communication between an accessory and a media player using a protocol with multiple lingoes
US7441062B2 (en) 2004-04-27 2008-10-21 Apple Inc. Connector interface system for enabling data communication with a multi-communication device
US8117651B2 (en) 2004-04-27 2012-02-14 Apple Inc. Method and system for authenticating an accessory
US7823214B2 (en) * 2005-01-07 2010-10-26 Apple Inc. Accessory authentication for electronic devices
US20070005963A1 (en) * 2005-06-29 2007-01-04 Intel Corporation Secured one time access code
WO2007017882A1 (en) * 2005-08-05 2007-02-15 Hewlett-Packard Development Company L.P. System, method and apparatus for cryptography key management for mobile devices
JP5123209B2 (ja) * 2006-01-24 2013-01-23 ▲ホア▼▲ウェイ▼技術有限公司 モバイルネットワークに基づくエンドツーエンド通信での認証の方法、システム、および認証センタ
US11227676B2 (en) 2006-02-21 2022-01-18 Universal Secure Registry, Llc Universal secure registry
US8234220B2 (en) * 2007-02-21 2012-07-31 Weiss Kenneth P Universal secure registry
KR100755025B1 (ko) * 2006-02-27 2007-09-06 (주)유브릿지 무선데이터 통신인증시스템
EP1865656A1 (en) * 2006-06-08 2007-12-12 BRITISH TELECOMMUNICATIONS public limited company Provision of secure communications connection using third party authentication
US7415563B1 (en) 2006-06-27 2008-08-19 Apple Inc. Method and system for allowing a media player to determine if it supports the capabilities of an accessory
US8560863B2 (en) * 2006-06-27 2013-10-15 Intel Corporation Systems and techniques for datapath security in a system-on-a-chip device
WO2008035450A1 (en) * 2006-09-20 2008-03-27 Secured Communications, Inc. Authentication by one-time id
US20080114980A1 (en) * 2006-11-13 2008-05-15 Thangapandi Sridhar System, method and apparatus for using standard and extended storage devices in two-factor authentication
US8892761B1 (en) 2008-04-04 2014-11-18 Quickplay Media Inc. Progressive download playback
US9571902B2 (en) 2006-12-13 2017-02-14 Quickplay Media Inc. Time synchronizing of distinct video and data feeds that are delivered in a single mobile IP data network compatible stream
US9124650B2 (en) 2006-12-13 2015-09-01 Quickplay Media Inc. Digital rights management in a mobile environment
US8671021B2 (en) 2006-12-13 2014-03-11 Quickplay Media Inc. Consumption profile for mobile media
US7849318B2 (en) * 2007-06-19 2010-12-07 Yahoo! Inc. Method for session security
JP4995667B2 (ja) * 2007-08-28 2012-08-08 富士通株式会社 情報処理装置、サーバ装置、情報処理プログラム及び方法
JP5039146B2 (ja) * 2007-11-07 2012-10-03 日本電信電話株式会社 共通鍵設定方法、中継装置、及びプログラム
US8209394B2 (en) * 2008-06-02 2012-06-26 Microsoft Corporation Device-specific identity
US8238811B2 (en) * 2008-09-08 2012-08-07 Apple Inc. Cross-transport authentication
US8208853B2 (en) 2008-09-08 2012-06-26 Apple Inc. Accessory device authentication
WO2010064439A1 (ja) * 2008-12-03 2010-06-10 日本電気株式会社 識別情報管理システム、識別情報の生成方法及び管理方法、端末、並びに生成及び管理プログラム
US8392982B2 (en) * 2009-03-20 2013-03-05 Citrix Systems, Inc. Systems and methods for selective authentication, authorization, and auditing in connection with traffic management
EP2486742A4 (en) * 2009-10-09 2014-11-05 Quickplay Media Inc DIGITAL RIGHTS MANAGEMENT IN A MOBILE ENVIRONMENT
US8613052B2 (en) * 2010-09-17 2013-12-17 Universal Secure Registry, Llc Apparatus, system and method employing a wireless user-device
CN103098070B (zh) * 2010-09-23 2016-03-30 惠普发展公司,有限责任合伙企业 用于监视网络服务中数据位置的方法、装置和系统
US8839357B2 (en) 2010-12-22 2014-09-16 Canon U.S.A., Inc. Method, system, and computer-readable storage medium for authenticating a computing device
FR2974694B1 (fr) * 2011-04-27 2013-05-31 Peugeot Citroen Automobiles Sa Procede d'echange securise de messages cryptes symetriquement
US8627097B2 (en) 2012-03-27 2014-01-07 Igt System and method enabling parallel processing of hash functions using authentication checkpoint hashes
US9654466B1 (en) * 2012-05-29 2017-05-16 Citigroup Technology, Inc. Methods and systems for electronic transactions using dynamic password authentication
EP3262551A4 (en) * 2015-02-27 2018-10-31 Dyadic Security Ltd. Asystem and methods for protecting keys using garbled circuits
CN104753679B (zh) * 2015-03-05 2019-01-29 北京畅游天下网络技术有限公司 用户认证方法和系统、以及智能穿戴设备
US9736165B2 (en) 2015-05-29 2017-08-15 At&T Intellectual Property I, L.P. Centralized authentication for granting access to online services
CN106533669B (zh) * 2016-11-15 2018-07-13 百度在线网络技术(北京)有限公司 设备识别的方法、装置和系统
CN109286932B (zh) 2017-07-20 2021-10-19 阿里巴巴集团控股有限公司 入网认证方法、装置及系统
US11405195B2 (en) * 2017-10-02 2022-08-02 Hewlett-Packard Development Company, L.P. Device authentication
US11166156B2 (en) * 2018-09-07 2021-11-02 Qualcomm Incorporated Secure friendship establishment in a mesh network
US11095440B2 (en) * 2019-11-29 2021-08-17 Verizon Patent And Licensing Inc. Systems and methods for utilizing quantum entropy in single packet authorization for secure network connections

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0921487A3 (en) * 1997-12-08 2000-07-26 Nippon Telegraph and Telephone Corporation Method and system for billing on the internet
JPH11316729A (ja) 1997-12-08 1999-11-16 Nippon Telegr & Teleph Corp <Ntt> インターネット課金方法及びシステム及びインターネット課金プログラムを記録した記録媒体
US6915272B1 (en) * 2000-02-23 2005-07-05 Nokia Corporation System and method of secure payment and delivery of goods and services
JP2002342285A (ja) 2001-05-18 2002-11-29 Ntt Data Corp 情報発行システム
JP2003101570A (ja) * 2001-09-21 2003-04-04 Sony Corp 通信処理システム、通信処理方法、およびサーバー装置、並びにコンピュータ・プログラム
JPWO2003069489A1 (ja) * 2002-02-14 2005-11-04 若山 裕典 本人認証の方法

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100818923B1 (ko) * 2006-04-12 2008-04-03 삼성전자주식회사 클라이언트의 신뢰성 검증 장치 및 방법
WO2012169752A3 (ko) * 2011-06-07 2013-03-28 (주)잉카인터넷 접속 시도 기기 인증 시스템 및 방법
KR20160060867A (ko) * 2014-11-20 2016-05-31 순천향대학교 산학협력단 차량용 블랙박스의 영상 위ㆍ변조 탐지 시스템 및 방법
KR20190028254A (ko) * 2017-09-08 2019-03-18 주식회사 블랙라벨 광 파장을 이용한 디지털 키 운영 방법 및 이를 실행하는 시스템

Also Published As

Publication number Publication date
US20060117175A1 (en) 2006-06-01
WO2004095772A1 (ja) 2004-11-04
JP4240297B2 (ja) 2009-03-18
JP2005012732A (ja) 2005-01-13
EP1617588A1 (en) 2006-01-18
US7681033B2 (en) 2010-03-16

Similar Documents

Publication Publication Date Title
JP4240297B2 (ja) 端末機器、認証端末プログラム、機器認証サーバ、機器認証プログラム
JP4617763B2 (ja) 機器認証システム、機器認証サーバ、端末機器、機器認証方法、および機器認証プログラム
US10397008B2 (en) Management of secret data items used for server authentication
US8689290B2 (en) System and method for securing a credential via user and server verification
US6389533B1 (en) Anonymity server
CN109714176B (zh) 口令认证方法、装置及存储介质
US20070136599A1 (en) Information processing apparatus and control method thereof
US20090158033A1 (en) Method and apparatus for performing secure communication using one time password
US8321924B2 (en) Method for protecting software accessible over a network using a key device
US20070101145A1 (en) Framework for obtaining cryptographically signed consent
CN110690956B (zh) 双向认证方法及系统、服务器和终端
CN110990827A (zh) 一种身份信息验证方法、服务器及存储介质
CN108809633B (zh) 一种身份认证的方法、装置及系统
CN114244508A (zh) 数据加密方法、装置、设备及存储介质
JP2001186122A (ja) 認証システム及び認証方法
US12107956B2 (en) Information processing device, information processing method, and non-transitory computer readable storage medium
CN101102464A (zh) 机顶盒终端及其验证方法
US20090319778A1 (en) User authentication system and method without password
JP2004013560A (ja) 認証システム、通信端末及びサーバ
CN118802143A (zh) 数据传输方法、装置及电子设备
KR20180082703A (ko) 소프트웨어 인증장치를 위한 키 관리 방법 및 장치
CN111914270A (zh) 基于区块链技术的可编程认证服务方法和系统
JP4409497B2 (ja) 秘密情報送信方法
CN117997519A (zh) 数据处理方法、装置、程序产品、计算机设备和介质
JP2002063139A (ja) 端末装置、サーバ装置および端末認証方法

Legal Events

Date Code Title Description
PA0105 International application

Patent event date: 20041216

Patent event code: PA01051R01D

Comment text: International Patent Application

PG1501 Laying open of application
PC1203 Withdrawal of no request for examination
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid