JP2001069138A - User verifying system on internet for shared key enciphered ic card - Google Patents
User verifying system on internet for shared key enciphered ic cardInfo
- Publication number
- JP2001069138A JP2001069138A JP24215399A JP24215399A JP2001069138A JP 2001069138 A JP2001069138 A JP 2001069138A JP 24215399 A JP24215399 A JP 24215399A JP 24215399 A JP24215399 A JP 24215399A JP 2001069138 A JP2001069138 A JP 2001069138A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- user
- server
- card
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は、共有鍵暗号型のI
Cカード(スマートカード)を使用したユーザー認証シ
ステムの実現手段に関して、1枚のICカードでインタ
ーネット上の広域的に分散したサーバー郡における安全
なユーザー認証を実現する手段に関するものである。[0001] The present invention relates to a shared key encryption type I
The present invention relates to a means for realizing a user authentication system using a C card (smart card) and a means for realizing secure user authentication in a group of servers distributed over a wide area on the Internet with one IC card.
【0002】[0002]
【従来の技術】従来のコンピュータシステムにおけるユ
ーザー認証は、各サーバーのシステム管理者がそのユー
ザーをサーバーごとに登録することによって実現されて
いた。しかしインターネットでは、ユーザーの方が世界
中にあるアプリケーションサーバーを選択して接続し、
電子決済などのセキュリティが必要なサービスを要求す
る。また一つの組織内でも多数のサーバーが稼働するよ
うになったため、サーバーごとにユーザー管理を行なう
方法は現実的でなくなってきた。このめ、X.509公
開鍵認証基盤に代表されるような広域的なユーザー認証
手段が必要となっている。2. Description of the Related Art User authentication in a conventional computer system has been realized by a system administrator of each server registering the user for each server. But on the Internet, users select and connect to application servers around the world,
Request services that require security, such as electronic payment. In addition, since a large number of servers are operating within one organization, a method of managing users for each server has become impractical. This, X. A wide-area user authentication means such as the 509 public key authentication infrastructure is required.
【0003】インターネット上の広域的なユーザー認証
は、インターネットを使った電子商取引の安全性確保や
遠隔医療やワンストップ行政サービスなどにおけるプラ
イバシー保護やデジタルコンテンツの著作権保護など多
くの場面で必須のものになってきている。[0003] Wide-area user authentication on the Internet is essential in many situations, such as securing the security of e-commerce using the Internet, protecting privacy in telemedicine and one-stop administrative services, and protecting copyrights of digital contents. It is becoming.
【0004】広域的な認証基盤として、公開鍵暗号を利
用する公開鍵証明書に基づくシステムが存在している。
しかし公開鍵暗号は共有鍵暗号系に比べると計算量が非
常に大きいために、性能や容量の点でICカードとして
実現することが困難でありコスト的に問題がある。フロ
ッピーなどで公開鍵暗号の秘密鍵やデジタル証明書を配
付する方法もあるが、運用や管理が困難であることがわ
かっている。[0004] As a wide-area authentication infrastructure, there is a system based on a public key certificate using public key encryption.
However, since public key cryptography requires a much larger amount of calculation than shared key cryptosystem, it is difficult to realize it as an IC card in terms of performance and capacity, and there is a problem in cost. There is also a method of distributing a private key of public key cryptography or a digital certificate using a floppy or the like, but it has been found that operation and management are difficult.
【0005】従来技術の技術的問題点について述べる前
に、まず前提条件として共有鍵暗号に基づく一般的なチ
ャレンジアンドレスポンスによる認証プロトコルについ
て述べておく。データ−Mを暗号鍵Kによって暗号化し
た結果を[M]Kと書くことにする。また暗号化された
データ−Xを暗号鍵Kで復号化した結果を{X}Kと書
くことにする。Before describing the technical problems of the prior art, an authentication protocol based on a common challenge and response based on shared key cryptography is first described as a precondition. The result of encrypting data-M with the encryption key K will be written as [M] K. Also, the result of decrypting the encrypted data-X with the encryption key K is written as {X} K.
【0006】図7に示すように、Aが通信の相手Bに対
して本人認証を行なうときに次のような処理を行なう。
0.前提、AとBは同じ暗号鍵Kを持っている。このK
はBを確認するための鍵である。 1.Aは、新しい乱数Rを生成して通信路を経由してB
に送る。 2.Bは、Aから送られた乱数Rを自分の暗号鍵Kで暗
号文を作り、Aに送り返す。 3.AはBから送られた[R]Kを暗号鍵Kで復号化し
{[R]K}Kを計算し、これがRと一致すれば、ともに
同じ暗号鍵Kを所持していることが確認できるので認証
が成功したものとする。また一致しなければ認証が失敗
する。As shown in FIG. 7, when A authenticates the communication partner B, the following processing is performed.
0. Assume that A and B have the same encryption key K. This K
Is a key for confirming B. 1. A generates a new random number R and sends it to B
Send to 2. B creates a ciphertext from the random number R sent from A with his encryption key K and sends it back to A. 3. A decrypts [R] K sent from B with the encryption key K, calculates {[R] K } K , and if this matches R, it can be confirmed that both possess the same encryption key K. Therefore, it is assumed that the authentication is successful. If they do not match, authentication fails.
【0007】ISO7816などの一般的に普及してい
るICカードの標準規格では、乱数の生成やチャレンジ
アンドレスポンスをICカードから相手へ(外部認証)
とサービス側からICカードへ(内部認証)の機能を備
えている。本発明では、このような機能を持ったICカ
ードの利用を前提とする。[0007] In a standard of a widely used IC card such as ISO7816, generation of a random number and challenge and response are performed from the IC card to the other party (external authentication).
And a function from the service side to the IC card (internal authentication). In the present invention, it is assumed that an IC card having such a function is used.
【0008】本方式を実現する上で生ずる問題を以下に
列挙する。 ・認証用暗号鍵の分散の問題 DESなどの共有鍵型の暗号によるICカードを用いた
認証システムは、アプリケーシヨンサーバー側とユーザ
ーのICカードが同じ暗号鍵を持ち、安全に管理する必
要があるため、通常は特定のアプリケーションサーバー
のユーザー認証に限定したクローズドシステムとして運
用される。インターネットのような広域的な認証システ
ムでは、アプリケーションサーバーがICカードと同じ
暗号鍵を使って暗号化や復号化が可能でなければならな
い。広域システムではすべてのアプリケーションサーバ
ーが信頼できるとは限らないので、暗号鍵を分散管理す
ることはセキュリティ上の問題がある。[0008] Problems that occur in realizing the present system are listed below.・ Dispersion problem of authentication encryption key In an authentication system using an IC card using a shared key type encryption such as DES, it is necessary that the application server side and the user's IC card have the same encryption key and be managed securely. Therefore, it is usually operated as a closed system limited to user authentication of a specific application server. In a wide-area authentication system such as the Internet, an application server must be able to perform encryption and decryption using the same encryption key as an IC card. In a wide area system, not all application servers can be trusted, so that distributed management of encryption keys has a security problem.
【0009】・公開鍵暗号による認証システムの運用コ
ストの問題 広域認証システムでは、鍵管理が容易なRSAなどの公
開鍵暗号を用いるのが普通である。しかし、公開鍵暗号
による大規模な認証基盤の構築には大きなコストがかか
るという問題がある。例えば、公開鍵暗号の秘密鍵と公
開鍵証明書とを一対のパッケージにしてユーザーに配付
する手段としてPKCS#12形式にして暗号化した鍵
のデータをフロッピーなどの記録媒体に入れて配付する
方法がすでに提案されているが、この方法では各ユーザ
ーが自分のPCに手動で秘密鍵を復号化するパスワード
を使ってブラウザなどのソフトに組み込む必要がある。
この作業は初心者には困難であるために大規模な認証基
盤を作るためには運用面で問題がある。また暗号鍵をパ
ソコンのファイルに格納しなければならないためにセキ
ュリティの上の問題もある。Problem of Operation Cost of Authentication System Using Public Key Cryptography In a wide-area authentication system, it is common to use public key encryption such as RSA for easy key management. However, there is a problem that construction of a large-scale authentication infrastructure using public key cryptography requires a large cost. For example, as a means for distributing a private key and a public key certificate of public key cryptography to a user as a pair of packages, a method of distributing the encrypted key data in a recording medium such as a floppy disk in a PKCS # 12 format is used. Although this method has already been proposed, this method requires that each user manually incorporate the password into his / her PC using a password for decrypting the private key into software such as a browser.
Since this work is difficult for a beginner, there is an operational problem in creating a large-scale authentication infrastructure. There is also a security problem because the encryption key must be stored in a file on the personal computer.
【0010】・公開鍵暗号によるICカードの問題 ICカードは、フロッピーなどと異なり暗号化や復号化
などの操作を行なうことなく物理的な物体を機械に差し
込むだけで利用できるために利用や運用が簡単であり、
安全性が高い。RSAなどの公開鍵暗号処理系を持った
ICカードを使う方法もある。公開鍵暗号によるICカ
ードを利用する方法は、理想的であるが、公開鍵暗号処
理系は共有鍵暗号系に比較して非常に計算量が大きいた
めに、性能やコストの面での問題がある。[0010] Problems of IC card by public key encryption Unlike a floppy or the like, an IC card can be used simply by inserting a physical object into a machine without performing operations such as encryption and decryption. Simple and
High safety. There is also a method of using an IC card having a public key cryptosystem such as RSA. The method of using an IC card using public key cryptography is ideal, but the public key cryptosystem requires much more computation than the shared key cryptosystem, so there are problems in performance and cost. is there.
【0011】・アプリケーションサーバーによる認証シ
ステムの広域的な選択の問題インターネットでは、IC
カードの発行者は一つではなく多数分散して存在する。
このため、アプリケーションサーバーは、アクセスして
きたユーザーを認証するために、そのユーザーのICカ
ードを認証するためには、どの認証主体が管理している
認証システムにアクセスすればよいのかわかる必要があ
る。そしてさらにインターネットを経由して安全にその
認証システムにアクセスして利用できなければならな
い。[0011] The problem of wide-area selection of the authentication system by the application server.
The issuers of the card are not one but many and distributed.
Therefore, in order to authenticate the user who has accessed the application server, the application server needs to know which authentication subject should access the authentication system managed by the user in order to authenticate the IC card of the user. And it must be able to securely access and use the authentication system via the Internet.
【0012】・信頼できないICカード端末の問題 ICカードの利点は、ユーザーが自分の認証情報を安全
に持ち歩くことができることである。そうすることによ
って自宅のパソコンだけでなく職場や公共端末からでも
ICカードを差し込むだけでユーザー認証が必要なアプ
リケーションサーバーを利用できるという利点がある。
しかし、公共の端末は一般に安全である保証はない。例
えば、実際にはアプリケーションサーバーに接続してい
ないにもかかわらずアプリケーションサーバーと接続し
ていることを模倣したり、ユーザーのパスワードを盗ん
だり、ユーザーが入力したものと異なる金額などのデー
タをアプリケーションサーバーに送ったりするなどの不
正を行なう可能性がある。The problem of an unreliable IC card terminal An advantage of an IC card is that a user can carry his / her own authentication information safely. By doing so, there is an advantage that an application server that requires user authentication can be used only by inserting an IC card not only from a personal computer at home but also from a work or public terminal.
However, there is no guarantee that public terminals are generally secure. For example, imitating the connection to the application server even though it is not actually connected to the application server, stealing the user's password, or transferring data such as an amount different from the one entered by the user to the application server There is a possibility of doing wrongdoing such as sending to
【0013】・ICカードを暗号化機械として利用され
る問題(図8参照) 信頼できない端末がICカードの認証機能を横取りして
暗号化装置として利用する可能性がある。このような不
正があると、例えばユーザーの意図しているアプリケー
ションサーバーとは異なるサーバーに背後で接続し、チ
ャレンジアンドレスポンスによる認証成功の後に架空の
取引をユーザーが知らないうちに行なったりするなどの
危険性がある。Problem of Using IC Card as an Encryption Machine (See FIG. 8) There is a possibility that an untrusted terminal can intercept the authentication function of the IC card and use it as an encryption device. Such fraudulent transactions, such as connecting behind the scenes to a different application server than the user intends to, and performing fictitious transactions without the user's knowledge after a successful challenge-and-response authentication. There is a risk.
【0014】・信頼できないアプリケーションサーバー
の問題(図9参照) インターネット上のネットワーク上のアプリケーション
サーバーは一般に信頼できるとは限らない。共有鍵暗号
によるチャレンジアンドレスポンスによる認証は、双方
が同じ暗号鍵を持つことが前提になる。アプリケーシヨ
ンサーバーがユーザー認証をするためには、あらかじめ
ユーザーのICカードの中にある鍵と同じ鍵をアプリケ
ーションサーバーにも登録しておく必要があるので、こ
れは大きな問題である。悪意のアプリケーションサーバ
ーにユーザーの鍵を登録してしまうとアプリケーション
サーバーがICカードを持ったユーザーになりすまして
他のアプリケーションサーバーにアクセスする危険性が
ある。The problem of an unreliable application server (see FIG. 9) An application server on a network on the Internet is generally not always reliable. Authentication by challenge and response using shared key cryptography assumes that both parties have the same encryption key. This is a serious problem because it is necessary for the application server to register the same key in the user's IC card in the application server in advance for user authentication. If the user's key is registered in the malicious application server, there is a risk that the application server may impersonate the user having the IC card and access another application server.
【0015】・認証サーバーを暗号化機械として利用さ
れる問題(図10参照) 信頼できないアプリケーションサーバーに暗号鍵を管理
させる代わりに、信頼できる認証サーバーを用意してア
プリケーションサーバーから利用するという方法が考え
られる。この方法を使うと暗号鍵そのものは安全に管理
できるようになる。認証サーバーを使ったアプリケーシ
ョンサーバーによるユーザー認証では、アプリケーショ
ンサーバーは、ICカードと認証サーバーを仲介して双
方が同じ暗号鍵Kに基づく暗号化/復号化の能力を持っ
ていることを検証すればよい。しかし、共有鍵暗号系の
暗号化と復号化は全く同じ操作であるため、このプロト
コルにおける認証サーバーによる暗号文の復号化は任意
の文の暗号化処理として利用できる。これは認証サーバ
ーとユーザーのICカードが全く同じ機能を持つことに
ほかならない。したがって、悪意のアプリケーションサ
ーバーが認証サーバーをユーザーのICカードと同じ機
能を持つ暗号化装置として使用すると、なりすましが可
能になる。A problem that an authentication server is used as an encryption machine (see FIG. 10) Instead of letting an untrusted application server manage an encryption key, a method of preparing a trusted authentication server and using it from the application server is considered. Can be With this method, the encryption key itself can be managed safely. In user authentication by an application server using an authentication server, the application server may verify that both have the encryption / decryption capability based on the same encryption key K via the IC card and the authentication server. . However, since the encryption and decryption of the shared key cryptosystem are exactly the same operation, the decryption of the cipher text by the authentication server in this protocol can be used as an arbitrary text encryption process. This means that the authentication server and the user's IC card have exactly the same function. Therefore, if a malicious application server uses the authentication server as an encryption device having the same function as the user's IC card, spoofing becomes possible.
【0016】[0016]
【発明が解決しようとする課題】共有鍵暗号型のICカ
ードは安価であるが、認証を行なうサーバーと認証され
るユーザーのICカードに同一の暗号鍵がなければ認証
処理が行なえない。したがって1枚のICカードで複数
のサーバーを認証付きで利用しようとすると、暗号鍵を
複数のサーバー分散して管理しなければならないという
問題が生じる。The shared key encryption type IC card is inexpensive, but the authentication process cannot be performed unless the server performing the authentication and the IC card of the user to be authenticated have the same encryption key. Therefore, if a single IC card attempts to use a plurality of servers with authentication, there arises a problem that the encryption keys must be distributed and managed by a plurality of servers.
【0017】広域的にサーバーが多数分散しているイン
ターネット環境では、一般的にサーバーが信頼できると
は限らない。悪意のあるサーバーに認証用の暗号鍵を渡
すと鍵が外部に漏洩する危険性があるだけでなぐユーザ
ーになりすまして他のサービスを利用される危険性があ
る。また店舗などに設置されているICカードリーダー
が付いた公共端末のクライアントも一般的には信頼でき
ない。悪意のICカード端末のクライアントは、ユーザ
ーが入力したパスワードを盗んだり、ユーザーの入力と
異なるデータをサーバーに送るなどの不正を行なう可能
性がある。またユーザーが挿入したICカードを暗号化
機械として利用されユーザーの意図と異なるサーバーへ
のユーザー認証を行ない悪用される可能性もある。In an Internet environment where a large number of servers are distributed over a wide area, the servers are generally not always reliable. If an encryption key for authentication is given to a malicious server, there is a danger that the key will be leaked to the outside, and that there is a danger that the user will impersonate the user and use other services. In addition, a client of a public terminal equipped with an IC card reader installed in a store or the like is generally unreliable. There is a possibility that the client of the malicious IC card terminal performs illegal operations such as stealing the password input by the user and sending data different from the user input to the server. Further, there is a possibility that the IC card inserted by the user is used as an encryption machine to perform user authentication to a server different from the user's intention and to be misused.
【0018】本発明は、共有鍵暗号型のICカード(ス
マートカード)を使用したユーザー認証システムの実現
手段に関して、1枚のICカードでインターネット上の
広域的に分散したサーバー群における安全なユーザー認
証を実現することを目的としている。The present invention relates to a means for realizing a user authentication system using a shared key encryption type IC card (smart card) and secure user authentication in a group of servers widely distributed on the Internet with one IC card. It is intended to realize.
【0019】[0019]
【課題を解決するための手段】前記課題を解決するた
め、本発明のユーザー認識方式は、ユーザーの一意名を
記録したICカードと、前記ユーザーの一意名と対応づ
けてユーザー固有の暗号鍵を安全に管理する機能と共有
鍵暗号によるチャレンジアンドレスポンス型のユーザー
認証機能を持つ認証サーバーとを備え、前記認証サーバ
ーは公開鍵暗号に基づくサーバー認証機能を備え、広域
的に分散しているアプリケーションサーバーがユーザー
認証を行なうときに、まず公開鍵暗号により認証サーバ
ーのサーバー認証を行なったうえで通信を行なう手段
と、ユーザーのICカードから読み出したユーザーの一
意名をもとに認証サーバーのユーザー認証機能を利用す
ることによって、ユーザー認証を行なう手段とを有する
ことを特徴とする。In order to solve the above-mentioned problems, a user recognition system according to the present invention uses an IC card in which a user's unique name is recorded and a user-specific encryption key in association with the user's unique name. An authentication server having a management function and a challenge-and-response type user authentication function using shared key cryptography. The authentication server has a server authentication function based on public key cryptography. At the time of authentication, means for performing communication after performing authentication of the authentication server using public key cryptography, and using the user authentication function of the authentication server based on the unique name of the user read from the user's IC card. And means for performing user authentication.
【0020】このユーザー認識方式における実施態様
は、さらにユーザーの属性情報を統合的に管理する認証
用ディレクトリーサーバーを備え、前記認証用ディレク
トリーサーバーは、公開鍵暗号に基づくサーバー認証機
能を備え、アプリケーションサーバーがユーザー認証時
にまず公開鍵暗号により認証用ディレクトリーサーバー
のサーバー認証を行なったうえで、アプリケーションサ
ーバーは、認証用ディレクトリーサーバーに登録されて
いるユーザーの属性情報をユーザーの一意名によって検
索し、その情報に基づいてサービスの可否を判断する手
段を備えたことを特徴とする。An embodiment of this user recognition system further comprises an authentication directory server for integrally managing user attribute information, wherein the authentication directory server has a server authentication function based on public key encryption, and an application server. First performs the server authentication of the directory server for authentication by public key encryption at the time of user authentication, and then the application server searches the attribute information of the user registered in the directory server for authentication by the unique name of the user, and finds the information. A means for determining whether or not the service is available based on the information.
【0021】さらに、他の実施態様は、ユーザーのIC
カードに発行時にそのICカードの発行主体の一名を記
録しておくとともに、そのICカードを認証することが
できる認証サーバーのネットワークアドレスを発行主体
の一意名と対応づけて認証用ディレクトリーサーバーに
登録しておき、ユーザー認証時にアプリケーションサー
バーがユーザーのICカードの発行主体の一意名を参照
して認証用ディレクトリーを検索してそのユーザーの認
証に必要な認証サーバーのネットワークアドレスを知る
ようにすることを特徴とする。In still another embodiment, a user's IC
At the time of issuance of the IC card, the name of the issuer of the IC card is recorded, and the network address of an authentication server capable of authenticating the IC card is registered in the directory server for authentication in association with the unique name of the issuer. In addition, at the time of user authentication, the application server refers to the unique name of the issuer of the user's IC card, searches the authentication directory, and knows the network address of the authentication server required for authenticating the user. I do.
【0022】さらに、他の実施態様は、ICカード発行
時に認証サーバーを認証するための共有鍵暗号の暗号鍵
をICカードに格納しておき、公共のICカード端末ク
ライアントには公開鍵暗号に基づくクライアント認証機
能を持たせ、アプリケーションサーバーにも公開鍵暗号
に基づくクライアント認証機能とサーバー認証機能を持
たせ、ユーザー認証時に、まず、認証サーバーとアプリ
ケーションサーバーの間の公開鍵暗号に基づく相互認証
と、アプリケーションサーバーと公共のICカード端末
クライアントの間の公開鍵暗号に基づく相互認証を行な
い、前記の両方の相互認証が成功している通信路を使っ
てユーザーのICカード側からIS〇7816の共有鍵
暗号による外部認証プロトコルに準ずる方法によって認
証サーバーの認証を行ない、以上のプロセスがすべて成
功したときにのみ、認証サーバーおよびICカードのユ
ーザー認証の機能が使えるようになるように制限し、ユ
ーザー認証プロセスのアプリケーションサーバーによる
ICカードの認証プロセスにおいて認証サーバーは暗号
化した結果を返す代わりに認証の成否の通知だけを返す
ことによって認証サーバーをユーザー鍵による暗号化装
置や疑似的なICカードとして利用されることを防止す
るようにしたことを特徴とする。In another embodiment, an encryption key of a shared key encryption for authenticating an authentication server when an IC card is issued is stored in an IC card, and a public IC card terminal client is based on a public key encryption. A client authentication function is provided, and an application server is also provided with a client authentication function based on public key encryption and a server authentication function. At the time of user authentication, first, mutual authentication based on public key encryption between the authentication server and the application server is performed. Mutual authentication based on public key encryption is performed between the application server and the public IC card terminal client, and the user's IC card uses the shared key of IS $ 7816 using the communication path in which the mutual authentication is successfully performed. Authentication server authentication by a method similar to the external authentication protocol using encryption Only when all of the above processes succeed, the authentication server and the user authentication function of the IC card are restricted so that they can be used. In the IC card authentication process by the application server of the user authentication process, the authentication server performs encryption. By returning only the notification of the success or failure of the authentication instead of returning the encrypted result, the authentication server is prevented from being used as an encryption device using a user key or a pseudo IC card.
【0023】なお、自宅のパソコンなどの信頼できる端
末クライアントの場合は、公開鍵暗号に基づくクライア
ント認証は不要である。In the case of a reliable terminal client such as a personal computer at home, client authentication based on public key encryption is unnecessary.
【0024】[0024]
【発明の実施の形態】以下、本発明の実施の形態につい
て説明する。図1は、本発明の全体構成を示すブロック
図である。図中、1はディレクトリーサーバー、2は認
証サーバー、3はアプリケーションサーバー、4はクラ
イアントマシン、5はICカードである。Embodiments of the present invention will be described below. FIG. 1 is a block diagram showing the overall configuration of the present invention. In the figure, 1 is a directory server, 2 is an authentication server, 3 is an application server, 4 is a client machine, and 5 is an IC card.
【0025】本発明においては、広域的に分散している
サーバーごとにユーザー管理を行なう代わりに、ユーザ
ーの名前管理を行なうディレクトリーサーバー1による
統合的ユーザー情報管理システムを備え、ICカードの
発行主体ごとに、ユーザーに発行されたICカード5に
格納されている共有鍵暗号の暗号鍵と同一の暗号鍵を保
持しチャレンジアンドレスポンスによる認証機能を持つ
認証サーバー2を備え、各サーバー3はユーザー認証を
行なうときに、認証サーバー2を利用することにより、
各サーバー2で暗号鍵を管理することなく広域的に分散
されたサーバー群がICカード5を持つユーザーの認証
を行なうことができ、それによって信頼できないサーバ
ーにユーザーの暗号鍵が漏洩することが避けられる。In the present invention, instead of performing user management for each server distributed over a wide area, there is provided an integrated user information management system using a directory server 1 for managing user names, and for each IC card issuer. And an authentication server 2 that holds the same encryption key as the shared key encryption stored in the IC card 5 issued to the user and has an authentication function by challenge and response, and each server 3 performs user authentication. When performing, by using the authentication server 2,
A server group distributed widely without managing the encryption key in each server 2 can authenticate the user having the IC card 5, thereby preventing the leakage of the user's encryption key to an untrusted server. Can be
【0026】サーバーマシンにおける不正やクライアン
トマシンにおける不正の問題は、信頼可能な認証サーバ
ー2を起点にして、公開鍵暗号による広域認証システム
を利用することによって、認証サーバー2とサーバーマ
シン3の相互認証と、サーバーマシン3とクライアント
マシン4の相互認証をそれぞれ行ない、この両者が成功
した後にユーザーのICカード5から認証サーバー2ま
でのセッションを確立することによって、この両者の不
正を同時に防御することができる。The problem of fraud in the server machine and fraud in the client machine can be solved by using a reliable authentication server 2 as a starting point and using a wide-area authentication system based on public key cryptography to mutually authenticate the authentication server 2 and the server machine 3. And mutual authentication between the server machine 3 and the client machine 4 and establishing a session from the user's IC card 5 to the authentication server 2 after the two have succeeded. it can.
【0027】[0027]
【発明の実施の形態】以下、本発明の実施例について説
明する。Embodiments of the present invention will be described below.
【0028】(a)発行時にICカードに登録される主
な情報 *DNs:認証主体の一意名 *DNu:ICカード所持者本人の一意名 以上の情報は、X.509公開鍵証明書のフォーマット
を使って一体化して格納してもよい。 *Ks:認証サーバーの認証用の暗号鍵 *Ku:ユーザー認証用の暗号鍵(A) Main information registered in the IC card at the time of issuance * DNs: unique name of the authentication subject * DNu: unique name of the IC card holder himself 509 public key certificate format. * Ks: Encryption key for authentication of authentication server * Ku: Encryption key for user authentication
【0029】(b)発行時にICカードに設定されるア
クセス条件 *認証主体の一意名 (無条件に読み取り可) *ICカード所持者本人の一意名 (無条件に読み取り
可) *認証サーバーの認証用の暗号鍵 (外部認証コマンド
に使用される) *ユーザー認証用の暗号鍵 (外部認証コマンドが成功
したときのみアクセス可、内部認証コマンドに使用され
る)(B) Access conditions set on the IC card at the time of issuance * Unique name of the authentication subject (unconditionally readable) * Unique name of the IC card holder himself (unconditionally readable) * Authentication for authentication of the authentication server Encryption key (used for external authentication command) * Encryption key for user authentication (accessible only when external authentication command succeeds, used for internal authentication command)
【0030】 (c)ICカード発行時に認証サーバーに登録される情報 検索キー 値 *DNu:ユーザーの一意名 −> Ku:ユーザー認証用の暗号鍵(C) Information registered in the authentication server when an IC card is issued Search key value * DNu: user's unique name-> Ku: encryption key for user authentication
【0031】 (d)ICカード発行時に認証用ディレクトリーサーバーに登録される情報 検索キー 値 *DNs:認証主体の一名 −> Saddr:認証サーバーのネットワーク アドレス(D) Information registered in the authentication directory server when the IC card is issued Search key value * DNs: One name of the authentication subject-> Saddr: Network address of authentication server
【0032】(e)認証サーバーが保持している公開鍵
暗号関係の情報 *SKs:認証サーバー自身の秘密鍵 *PKa:アプリケーションサーバーの公開鍵証明書(E) Information related to public key encryption held by the authentication server * SKs: private key of the authentication server itself * PKa: public key certificate of the application server
【0033】(f)アプリケーションサーバーが保持し
ている公開鍵暗号関係の情報 *SKa:アプリケーションサーバー自身の秘密鍵 *PKs:認証サーバーの公開鍵証明書 *PKc:ICカード端末クライアントの公開鍵証明書(F) Information related to public key encryption held by the application server * SKa: private key of the application server itself * PKs: public key certificate of the authentication server * PKc: public key certificate of the IC card terminal client
【0034】(g)ICカード端末クライアントが保持
している公開鍵暗号関係の情報 *SKc:ICカード端末クライアント自身の秘密鍵 *PKa:アプリケーションサーバーの公開鍵証明書(G) Information related to public key encryption held by the IC card terminal client * SKc: Private key of the IC card terminal client itself * PKa: Public key certificate of the application server
【0035】以下に、本実施例における認証プロセスに
ついて説明する。 (1)認証サーバーの選択 図2に示すように、アプリケーションサーバー3がIC
カード5から認証サーバーの一意名DNu/DNsを読
み出し、ディレクトリーサーバー1が認証用ディレクト
リーを検索することによって認証サーバー2のアドレス
を得て、利用する認証サーバー2を決定する。Hereinafter, the authentication process in this embodiment will be described. (1) Selection of authentication server As shown in FIG.
The unique name DNu / DNs of the authentication server is read from the card 5, and the directory server 1 obtains the address of the authentication server 2 by searching the directory for authentication, and determines the authentication server 2 to be used.
【0036】(2)アプリケーションサーバーと認証サ
ーバーの相互認証 図3に示すように、公開鍵暗号に基づく認証によりアプ
リケーションサーバー3と認証サーバー2が双方とも正
しいものであることを証明する。この実装は、公開鍵証
明書としてはX.509を使用しプロトコルはSSLや
TLSを想定している。(2) Mutual Authentication between Application Server and Authentication Server As shown in FIG. 3, it is proved that both the application server 3 and the authentication server 2 are correct by authentication based on public key encryption. This implementation uses X.400 as a public key certificate. 509, and the protocol is assumed to be SSL or TLS.
【0037】(3)アプリケーションサーバーとICカ
ード端末クライアントの相互認証 図4に示すように、公開鍵暗号に基づく認証によりアプ
リケーションサーバー3とICカード端末クライアント
4が双方とも正しいものであることを証明する。この実
装は、公開鍵証明書としてはX.509を使用しプロト
コルはSSLやTLSを想定している。(3) Mutual authentication between application server and IC card terminal client As shown in FIG. 4, it is proved that both the application server 3 and the IC card terminal client 4 are correct by authentication based on public key encryption. . This implementation uses X.400 as a public key certificate. 509, and the protocol is assumed to be SSL or TLS.
【0038】(4)ICカードからの認証サーバーの外
部認証 (3)までの相互認証が双方とも成功した場合、図5に
示すように、ICカード5から、認証サーバー2の鍵K
sを使ったチャレンジアンドレスポンスで認証サーバー
2の認証を行なう。乱数の暗号化と復号化の結果、同じ
乱数に戻れば、双方が同じ暗号鍵を持っていることにな
るので認証が成功する。(4) External Authentication of Authentication Server from IC Card When mutual authentication up to (3) is successful in both cases, the key K of the authentication server 2 is transmitted from the IC card 5 as shown in FIG.
Authentication of the authentication server 2 is performed by a challenge and response using s. If the same random number is returned as a result of the encryption and decryption of the random number, the authentication is successful because both have the same encryption key.
【0039】(5)認証サーバーからICカードの内部
認証 (4)までの相互認証がすべて成功した場合、ICカー
ドの中のユーザー鍵による暗号化の機能がアクティベー
トされる。図6に示すように、まず、ICカード5に格
納されているユーザーの一意名DNu/DNsがアプリ
ケーションサーバー3経由で認証サーバー2に送られ、
認証サーバー2はユーザーの暗号鍵Kuを特定する。認
証サーバー2で発生させられた乱数のICカード5によ
る暗号化結果が認証サーバー2側の復号化の結果、同じ
乱数に戻れば、双方が同じユーザーの暗号鍵を持ってい
ることになるので認証が成功する。ただし、この結果を
そのままアプリケーションサーバー3に送ると、アプリ
ケーションサーバー3が認証サーバー2を暗号化装置と
して利用する危険性があるので、認証サーバー2は認証
の結果が成功したか失敗したかだけを通知する。(5) When all the mutual authentications from the authentication server to the internal authentication of the IC card (4) are successful, the function of encryption by the user key in the IC card is activated. As shown in FIG. 6, first, the unique name DNu / DNs of the user stored in the IC card 5 is sent to the authentication server 2 via the application server 3,
The authentication server 2 specifies the user's encryption key Ku. If the result of the encryption of the random number generated by the authentication server 2 by the IC card 5 returns to the same random number as a result of the decryption on the authentication server 2 side, it means that both have the same user's encryption key. Succeeds. However, if this result is sent to the application server 3 as it is, there is a risk that the application server 3 uses the authentication server 2 as an encryption device. Therefore, the authentication server 2 notifies only whether the authentication result has succeeded or failed. I do.
【0040】(6)アプリケーションサーバーによる認
証用ディレクトリーの検索 認証プロセスが成功した後に、アプリケーションサーバ
ーは、ディレクトリーサーバーによってユーザーの属性
情報を得ることによって、サービスの権限を決定する。(6) Search of Directory for Authentication by Application Server After the authentication process is successful, the application server determines the authority of the service by obtaining the attribute information of the user by the directory server.
【0041】[0041]
【発明の効果】上述したように、本発明によれば下記の
効果を奏する。 (1)共有鍵暗号型のICカード(スマートカード)を
利用して、インターネット上でサービスを行なっている
サーバー群を利用するための認証システムであるため、
広域的に分散したアプリケーションサーバー群で安全に
利用することができる。As described above, according to the present invention, the following effects can be obtained. (1) Since this is an authentication system for using a server group providing services on the Internet using a shared key encryption type IC card (smart card),
It can be safely used by a wide range of application servers.
【0042】(2)広域的に分散しているアプリケーシ
ョンサーバーがユーザー認証を行なうときに、まず公開
鍵暗号により認証サーバーのサーバー認証を行なったう
えで通信を行ない、ユーザーのICカードから読み出し
たユーザーの一意名をもとに認証サーバーのユーザー認
証機能を利用することによって、アプリケーションサー
バー側でユーザーの共有鍵暗号鍵を管理することなくユ
ーザー認証を行なうことができることにより、認証サー
バーのみを安全に管理するだけでユーザーの暗号鍵を守
ることができる。(2) When an application server distributed over a wide area performs user authentication, the server performs authentication after first performing server authentication of the authentication server using public key encryption, and reads out the user from the user's IC card. By using the user authentication function of the authentication server based on the unique name of the user, the user can be authenticated without managing the user's shared key encryption key on the application server side, and only the authentication server is securely managed. Alone can protect a user's encryption key.
【0043】(3)認証用ディレクトリーサーバーは、
公開鍵暗号に基づくサーバー認証機能を備え、アプリケ
ーションサーバーがユーザー認証時にまず公開鍵暗号に
より認証用ディレクトリーサーバーのサーバー認証を行
なったうえで、アプリケーションサーバーは、認証用デ
ィレクトリーサーバーに登録されているユーザーの属性
情報をユーザーの一意名によって検索し、その情報に基
づいてサービスの可否を判断することによって、ユーザ
ーは1枚のICカードを持つのみで複数のアプリケーシ
ョンサーバーを利用できる。(3) The directory server for authentication is:
Equipped with a server authentication function based on public key cryptography, the application server first authenticates the directory server for authentication using public key cryptography at the time of user authentication, and then the application server sends the user of the user registered in the directory server for authentication. By retrieving the attribute information by the user's unique name and determining whether or not the service is available based on the information, the user can use a plurality of application servers with only one IC card.
【0044】(4)前記のユーザー認証機能に加えて、
ユーザーのICカードに発行時にそのICカードの発行
主体の一名(DN)を記録しておくとともに、そのIC
カードを認証することができる認証サーバーのネットワ
ークアドレスを発行主体の一意名と対応づけて認証用デ
ィレクトリーサーバーに登録しておき、ユーザー認証時
にアプリケーションサーバーがユーザーのICカードの
発行主体の一意名を参照して認証用ディレクトリーを検
索してそのユーザーの認証に必要な認証サーバーのネッ
トワークアドレスを知ることによって、複数のICカー
ドの発行主体が発行したカードを統合的に利用できる。(4) In addition to the above-mentioned user authentication function,
At the time of issuance on the user's IC card, the name (DN) of the issuer of the IC card is recorded and the IC
The network address of the authentication server that can authenticate the card is registered in the directory server for authentication in association with the unique name of the issuer, and the application server refers to the unique name of the issuer of the user's IC card during user authentication. By searching the authentication directory and knowing the network address of the authentication server required for authentication of the user, cards issued by a plurality of IC card issuers can be used in an integrated manner.
【0045】(5)ICカード発行時に認証サーバーを
認証するための共有鍵暗号の暗号鍵をICカードに格納
しておき、公共のICカード端末クライアントには公開
鍵暗号に基づくクライアント認証機能を持たせ、アプリ
ケーションサーバーにも公開鍵暗号に基づくクライアン
ト認証機能とサーバー認証機能を持たせ、ユーザー認証
時に、まず、認証サーバーとアプリケーションサーバー
の間の公開鍵暗号に基づく相互認証と、アプリケーショ
ンサーバーと公共のICカード端末クライアントの間の
公開鍵暗号に基づく相互認証を行ない、の両方の相互認
証が成功している通信路を使ってユーザーのICカード
側からIS〇7816の共有鍵暗号による外部認証プロ
トコルに準ずる方法によって認証サーバーの認証を行な
い、以上のプロセスがすべて成功したときにのみ、認証
サーバーおよびICカードのユーザー認証の機能が使え
るようになるように制限し、ユーザー認証プロセスのア
プリケーションサーバーによるICカードの認証プロセ
スにおいて認証サーバーは暗号化した結果を返す代わり
に認証の成否の通知だけを返すことによって認証サーバ
ーをユーザー鍵による暗号化装置や疑似的なICカード
として利用されることを防止することによって認証サー
バーやICカードを暗号化装置や認証装置として悪用さ
れることを防ぐことができる。(5) The encryption key of the shared key encryption for authenticating the authentication server when the IC card is issued is stored in the IC card, and the public IC card terminal client has a client authentication function based on public key encryption. The application server also has a client authentication function based on public key cryptography and a server authentication function. During user authentication, first, mutual authentication based on public key cryptography between the authentication server and the application server, and application server and public Mutual authentication based on public key cryptography between IC card terminal clients is performed, and the user's IC card uses an external authentication protocol based on IS $ 7816 shared key cryptography using a communication path in which both mutual authentications are successful. Authenticate the authentication server according to the method The authentication server returns the encrypted result in the IC card authentication process by the application server in the user authentication process by restricting the use of the authentication server and the user authentication function of the IC card only when all are successful. Instead, by returning only the notification of the success or failure of authentication, the authentication server is prevented from being used as an encryption device using a user key or a pseudo IC card, and the authentication server or IC card is used as an encryption device or an authentication device. It can be prevented from being abused.
【図1】 本発明の全体構成を示すブロック図である。FIG. 1 is a block diagram showing the overall configuration of the present invention.
【図2】 本発明による認証手順を説明するブロック図
である。FIG. 2 is a block diagram illustrating an authentication procedure according to the present invention.
【図3】 本発明による認証手順を説明するブロック図
である。FIG. 3 is a block diagram illustrating an authentication procedure according to the present invention.
【図4】 本発明による認証手順を説明するブロック図
である。FIG. 4 is a block diagram illustrating an authentication procedure according to the present invention.
【図5】 本発明による認証手順を説明するブロック図
である。FIG. 5 is a block diagram illustrating an authentication procedure according to the present invention.
【図6】 本発明による認証手順を説明するブロック図
である。FIG. 6 is a block diagram illustrating an authentication procedure according to the present invention.
【図7】 従来の共有鍵暗号によるチャレンジアンドレ
スポンスプロトコルの説明図である。FIG. 7 is an explanatory diagram of a conventional challenge-and-response protocol using shared key encryption.
【図8】 悪意の端末によるICカードの暗号化機能の
利用の説明図である。FIG. 8 is an explanatory diagram of use of an IC card encryption function by a malicious terminal.
【図9】 悪意のアプリケーションサーバーによるユー
ザーICカードへのなりすましの説明図である。FIG. 9 is an explanatory diagram of impersonation of a user IC card by a malicious application server.
【図10】 認証サーバーを使ったユーザー認証プロト
コルの説明図である。FIG. 10 is an explanatory diagram of a user authentication protocol using an authentication server.
1 ディレクトリーサーバー、2 認証サーバー、3
アプリケーションサーバー、4 クライアントマシン、
5 ICカード1 directory server, 2 authentication server, 3
Application server, 4 client machines,
5 IC card
───────────────────────────────────────────────────── フロントページの続き (72)発明者 山崎 重一郎 神奈川県川崎市中原区上小田中4丁目1番 1号 富士通株式会社内 (72)発明者 大森 幹之 福岡県福岡市東区箱崎1−9−17−406 (72)発明者 藤野 亮一 福岡県北九州市戸畑区飛幡町2−2 新日 鉄情報通信システム株式会社西日本支社内 Fターム(参考) 5B085 AE02 AE09 AE12 AE13 AE23 BG07 5J104 AA07 KA01 KA05 KA06 MA01 NA05 NA35 NA36 PA07 ──────────────────────────────────────────────────続 き Continued on the front page (72) Inventor Shigeichiro Yamazaki 4-1-1, Kamidadanaka, Nakahara-ku, Kawasaki-shi, Kanagawa Prefecture Inside Fujitsu Limited (72) Inventor Mikiyuki Omori 1-9, Hakozaki, Higashi-ku, Fukuoka-shi, Fukuoka -17-406 (72) Inventor Ryoichi Fujino 2-2 Futaba-cho, Tobata-ku, Kitakyushu-shi, Fukuoka Nippon Steel Information & Communication Systems West Japan Office F-term (reference) 5B085 AE02 AE09 AE12 AE13 AE23 BG07 5J104 AA07 KA01 KA05 KA05 KA06 MA01 NA05 NA35 NA36 PA07
Claims (4)
ドと、前記ユーザーの一意名と対応づけてユーザー固有
の暗号鍵を安全に管理する機能と共有鍵暗号によるチャ
レンジアンドレスポンス型のユーザー認証機能を持つ認
証サーバーとを備え、前記認証サーバーは公開鍵暗号に
基づくサーバー認証機能を備え、広域的に分散している
アプリケーションサーバーがユーザー認証を行なうとき
に、まず公開鍵暗号により認証サーバーのサーバー認証
を行なったうえで通信を行なう手段と、ユーザーのIC
カードから読み出したユーザーの一意名をもとに認証サ
ーバーのユーザー認証機能を利用することによって、ユ
ーザー認証を行なう手段とを有することを特徴とするユ
ーザー認証方式。1. An IC card in which a user's unique name is recorded, a function of securely managing a user's unique encryption key in association with the user's unique name, and a challenge-and-response type user authentication function using shared key encryption. Server, and the authentication server has a server authentication function based on public key encryption. When an application server widely distributed performs user authentication, the server of the authentication server is firstly authenticated by public key encryption. To communicate with the user and the user's IC
Means for performing user authentication by utilizing a user authentication function of an authentication server based on a user's unique name read from a card.
認証用ディレクトリーサーバーを備え、前記認証用ディ
レクトリーサーバーは、公開鍵暗号に基づくサーバー認
証機能を備え、アプリケーションサーバーがユーザー認
証時にまず公開鍵暗号により認証用ディレクトリーサー
バーのサーバー認証を行なったうえで、アプリケーショ
ンサーバーは、認証用ディレクトリーサーバーに登録さ
れているユーザーの属性情報をユーザーの一意名によっ
て検索し、その情報に基づいてサービスの可否を判断す
る手段をさらに備えたことを特徴とする請求項1記載の
ユーザー認証方式。2. An authentication directory server for integrally managing attribute information of a user, wherein the directory server for authentication has a server authentication function based on public key encryption, and an application server first performs public key encryption upon user authentication. After performing the server authentication of the directory server for authentication, the application server searches the attribute information of the user registered in the directory server for authentication by the unique name of the user, and determines whether or not the service is possible based on the information. 2. The user authentication method according to claim 1, further comprising means.
Cカードの発行主体の一名を記録しておくとともに、そ
のICカードを認証することができる認証サーバーのネ
ットワークアドレスを発行主体の一意名と対応づけて認
証用ディレクトリーサーバーに登録しておき、ユーザー
認証時にアプリケーションサーバーがユーザーのICカ
ードの発行主体の一意名を参照して認証用ディレクトリ
ーを検索してそのユーザーの認証に必要な認証サーバー
のネットワークアドレスを知るようにしたことを特徴と
する請求項1または2記載のユーザー認証方式。3. When a user's IC card is issued,
In addition to recording the name of the issuer of the C card, the network address of an authentication server that can authenticate the IC card is registered in the directory server for authentication in association with the unique name of the issuer, and user authentication is performed. 2. The method according to claim 1, wherein the application server searches the authentication directory by referring to the unique name of the issuer of the user's IC card to know the network address of the authentication server required for authentication of the user. 2. User authentication method described in 2.
するための共有鍵暗号の暗号鍵をICカードに格納して
おき、公共のICカード端末クライアントには公開鍵暗
号に基づくクライアント認証機能を持たせ、アプリケー
ションサーバーにも公開鍵暗号に基づくクライアント認
証機能とサーバー認証機能を持たせ、ユーザー認証時
に、まず、認証サーバーとアプリケーションサーバーの
間の公開鍵暗号に基づく相互認証と、アプリケーション
サーバーと公共のICカード端末クライアントの間の公
開鍵暗号に基づく相互認証を行ない、前記の両方の相互
認証が成功している通信路を使ってユーザーのICカー
ド側からIS〇7816の共有鍵暗号による外部認証プ
ロトコルに準ずる方法によって認証サーバーの認証を行
ない、以上のプロセスがすべて成功したときにのみ、認
証サーバーおよびICカードのユーザー認証の機能が使
えるようになるように制限し、ユーザー認証プロセスの
アプリケーションサーバーによるICカードの認証プロ
セスにおいて認証サーバーは暗号化した結果を返す代わ
りに認証の成否の通知だけを返すことによって認証サー
バーをユーザー鍵による暗号化装置や疑似的なICカー
ドとして利用されることを防止するようにしたことを特
徴とする請求項1から3のいずれかの項に記載のユーザ
ー認証方式。4. A shared key encryption key for authenticating an authentication server when an IC card is issued is stored in an IC card, and a public IC card terminal client has a client authentication function based on public key encryption. The application server also has a client authentication function based on public key cryptography and a server authentication function. During user authentication, first, mutual authentication based on public key cryptography between the authentication server and the application server, and application server and public IC Mutual authentication based on public key cryptography is performed between the card terminal clients, and the user's IC card uses an external authentication protocol based on IS $ 7816 shared key cryptography by using the communication path in which the two types of mutual authentication have succeeded. The authentication server is authenticated according to the same method, and the above process The authentication server returns the encrypted result in the IC card authentication process by the application server in the user authentication process by restricting the use of the authentication server and the user authentication function of the IC card only when all are successful. 4. The method according to claim 1, wherein the authentication server is not used as an encryption device using a user key or a pseudo IC card by returning only a notification of the success or failure of the authentication. User authentication method described in the section.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP24215399A JP3872616B2 (en) | 1999-08-27 | 1999-08-27 | User authentication method on the Internet using a shared key encryption IC card |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP24215399A JP3872616B2 (en) | 1999-08-27 | 1999-08-27 | User authentication method on the Internet using a shared key encryption IC card |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2001069138A true JP2001069138A (en) | 2001-03-16 |
| JP3872616B2 JP3872616B2 (en) | 2007-01-24 |
Family
ID=17085125
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP24215399A Expired - Fee Related JP3872616B2 (en) | 1999-08-27 | 1999-08-27 | User authentication method on the Internet using a shared key encryption IC card |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3872616B2 (en) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20030000749A (en) * | 2001-06-27 | 2003-01-06 | 가부시키가이샤 웹톱 | Method and apparatus for confirming(checking) user on the internet |
| KR20030010241A (en) * | 2001-07-26 | 2003-02-05 | 주식회사 텔사인 | Hyper-Internet Networking Access Protection System |
| JP2006526184A (en) * | 2003-05-12 | 2006-11-16 | 株式会社エヌ・ティ・ティ・ドコモ | Network security method and network security system |
| US7328458B2 (en) | 2001-08-22 | 2008-02-05 | Sony Corporation | Authoring system, authoring key generator, authoring device, authoring method, and data supply device, information terminal and information distribution method |
| JP2008242793A (en) * | 2007-03-27 | 2008-10-09 | Dainippon Printing Co Ltd | Authentication system |
| JP2008541242A (en) * | 2005-05-06 | 2008-11-20 | ベリサイン・インコーポレイテッド | Token sharing system and method |
| JP2010171721A (en) * | 2009-01-22 | 2010-08-05 | Fuji Electric Holdings Co Ltd | Ic card system, host device thereof, program |
| JP2011028767A (en) * | 2010-09-08 | 2011-02-10 | Sony Corp | Security system, network access method, and method of permitting security processing execution |
| JP2012103931A (en) * | 2010-11-11 | 2012-05-31 | Hitachi Systems Ltd | Method for establishing trust relationship between cloud services, and system |
| CN111063063A (en) * | 2019-11-29 | 2020-04-24 | 上海钧正网络科技有限公司 | Shared vehicle unlocking method and device, computer equipment and storage medium |
-
1999
- 1999-08-27 JP JP24215399A patent/JP3872616B2/en not_active Expired - Fee Related
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20030000749A (en) * | 2001-06-27 | 2003-01-06 | 가부시키가이샤 웹톱 | Method and apparatus for confirming(checking) user on the internet |
| KR20030010241A (en) * | 2001-07-26 | 2003-02-05 | 주식회사 텔사인 | Hyper-Internet Networking Access Protection System |
| US7328458B2 (en) | 2001-08-22 | 2008-02-05 | Sony Corporation | Authoring system, authoring key generator, authoring device, authoring method, and data supply device, information terminal and information distribution method |
| JP2006526184A (en) * | 2003-05-12 | 2006-11-16 | 株式会社エヌ・ティ・ティ・ドコモ | Network security method and network security system |
| JP2008541242A (en) * | 2005-05-06 | 2008-11-20 | ベリサイン・インコーポレイテッド | Token sharing system and method |
| US9185108B2 (en) | 2005-05-06 | 2015-11-10 | Symantec Corporation | Token sharing system and method |
| JP2008242793A (en) * | 2007-03-27 | 2008-10-09 | Dainippon Printing Co Ltd | Authentication system |
| JP2010171721A (en) * | 2009-01-22 | 2010-08-05 | Fuji Electric Holdings Co Ltd | Ic card system, host device thereof, program |
| JP2011028767A (en) * | 2010-09-08 | 2011-02-10 | Sony Corp | Security system, network access method, and method of permitting security processing execution |
| JP2012103931A (en) * | 2010-11-11 | 2012-05-31 | Hitachi Systems Ltd | Method for establishing trust relationship between cloud services, and system |
| CN111063063A (en) * | 2019-11-29 | 2020-04-24 | 上海钧正网络科技有限公司 | Shared vehicle unlocking method and device, computer equipment and storage medium |
Also Published As
| Publication number | Publication date |
|---|---|
| JP3872616B2 (en) | 2007-01-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CA2551113C (en) | Authentication system for networked computer applications | |
| US6073237A (en) | Tamper resistant method and apparatus | |
| US5602918A (en) | Application level security system and method | |
| US5497421A (en) | Method and apparatus for protecting the confidentiality of passwords in a distributed data processing system | |
| US10554393B2 (en) | Universal secure messaging for cryptographic modules | |
| US8209753B2 (en) | Universal secure messaging for remote security tokens | |
| US5841871A (en) | Method for authenticating a user working in a distributed environment in the client/server mode | |
| US5784463A (en) | Token distribution, registration, and dynamic configuration of user entitlement for an application level security system and method | |
| US5349643A (en) | System and method for secure initial program load for diskless workstations | |
| EP2098006B1 (en) | Authentication delegation based on re-verification of cryptographic evidence | |
| US7487357B2 (en) | Virtual smart card system and method | |
| US20060195402A1 (en) | Secure data transmission using undiscoverable or black data | |
| EP1429229A1 (en) | Authenticated remote unblock of a PIN | |
| US20020031225A1 (en) | User selection and authentication process over secure and nonsecure channels | |
| EP1520392A2 (en) | Method of preventing unauthorized distribution and use of electronic keys using a key seed | |
| MXPA04007547A (en) | System and method for providing key management protocol with client verification of authorization. | |
| US7076062B1 (en) | Methods and arrangements for using a signature generating device for encryption-based authentication | |
| JP2003044436A (en) | Authentication processing method, information processor, and computer program | |
| US20020018570A1 (en) | System and method for secure comparison of a common secret of communicating devices | |
| JP3872616B2 (en) | User authentication method on the Internet using a shared key encryption IC card | |
| Gaskell et al. | Integrating smart cards into authentication systems | |
| KR19990038925A (en) | Secure Two-Way Authentication Method in a Distributed Environment | |
| JP4372403B2 (en) | Authentication system | |
| Bakker | Mutual authentication with smart cards | |
| WO2000067447A1 (en) | Improvements in and relating to secure data transmission |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20060623 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20060809 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20060922 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20061020 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20091027 Year of fee payment: 3 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313117 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20091027 Year of fee payment: 3 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101027 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101027 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111027 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111027 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121027 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121027 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131027 Year of fee payment: 7 |
|
| LAPS | Cancellation because of no payment of annual fees |