JP2001313636A - 認証システム、認証方法、認証装置及びその方法 - Google Patents
認証システム、認証方法、認証装置及びその方法Info
- Publication number
- JP2001313636A JP2001313636A JP2000131872A JP2000131872A JP2001313636A JP 2001313636 A JP2001313636 A JP 2001313636A JP 2000131872 A JP2000131872 A JP 2000131872A JP 2000131872 A JP2000131872 A JP 2000131872A JP 2001313636 A JP2001313636 A JP 2001313636A
- Authority
- JP
- Japan
- Prior art keywords
- user
- authentication
- key
- common key
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/56—Financial cryptography, e.g. electronic payment or e-cash
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
(57)【要約】
【課題】公開鍵暗号方式のもつ安全性と共通鍵暗号方式
のもつ高速性とを合わせもたせた認証方式が望まれてい
た。 【解決手段】利用者の共通鍵暗号方式による共通鍵を情
報保持媒体に保持させ、情報処理装置から与えられる利
用者の認証要求に応じて、当該利用者の情報保持媒体に
保持された共通鍵に基づいて共通鍵暗号方式による当該
利用者の認証を行い、利用者を認証できた場合にのみ、
情報処理装置に当該利用者の認証を公開鍵暗号方式で行
わせるための所定の処理を行うようにした。
のもつ高速性とを合わせもたせた認証方式が望まれてい
た。 【解決手段】利用者の共通鍵暗号方式による共通鍵を情
報保持媒体に保持させ、情報処理装置から与えられる利
用者の認証要求に応じて、当該利用者の情報保持媒体に
保持された共通鍵に基づいて共通鍵暗号方式による当該
利用者の認証を行い、利用者を認証できた場合にのみ、
情報処理装置に当該利用者の認証を公開鍵暗号方式で行
わせるための所定の処理を行うようにした。
Description
【0001】
【発明の属する技術分野】本発明は認証システム、認証
方法、認証装置及びその方法に関し、異なる種類の暗号
方式の利点を効率良く利用し暗号処理し得る認証装置に
適用して好適なものである。
方法、認証装置及びその方法に関し、異なる種類の暗号
方式の利点を効率良く利用し暗号処理し得る認証装置に
適用して好適なものである。
【0002】
【従来の技術】従来、この種の認証システムの認証及び
署名方式として共通鍵暗号方式と公開鍵暗号方式があ
る。
署名方式として共通鍵暗号方式と公開鍵暗号方式があ
る。
【0003】共通鍵暗号方式は、共通鍵と呼ばれる1つ
の暗号鍵を用い、共通鍵で暗号化した情報を同一の共通
鍵で復号化する暗号方式である。共通鍵暗号方式は、暗
号処理及び復号処理を短時間で行うことができるため、
例えばICカードに格納された電子マネーや定期券情報
という高速処理が要求される情報を処理する場合に利用
される。
の暗号鍵を用い、共通鍵で暗号化した情報を同一の共通
鍵で復号化する暗号方式である。共通鍵暗号方式は、暗
号処理及び復号処理を短時間で行うことができるため、
例えばICカードに格納された電子マネーや定期券情報
という高速処理が要求される情報を処理する場合に利用
される。
【0004】また公開鍵暗号方式は、公開鍵及び暗号鍵
と呼ばれる2つの暗号鍵を用いて、一方の暗号鍵で情報
を暗号化したり、暗号化された情報を他方の暗号鍵で復
号化する暗号方式である。公開鍵暗号方式は、かかる共
通鍵暗号方式と比較して処理速度が遅いものの情報の漏
洩に対する安全性が高く、インターネット等のネットワ
ーク上で決済を行うときなどの匿名性が必要な場合に利
用される。
と呼ばれる2つの暗号鍵を用いて、一方の暗号鍵で情報
を暗号化したり、暗号化された情報を他方の暗号鍵で復
号化する暗号方式である。公開鍵暗号方式は、かかる共
通鍵暗号方式と比較して処理速度が遅いものの情報の漏
洩に対する安全性が高く、インターネット等のネットワ
ーク上で決済を行うときなどの匿名性が必要な場合に利
用される。
【0005】そして公開鍵暗号方式を用いる場合、IC
カードには当該ICカードを使用する本人を証明する証
明書と暗号鍵とが格納され、暗号処理を行うためのモジ
ュールとして利用される。
カードには当該ICカードを使用する本人を証明する証
明書と暗号鍵とが格納され、暗号処理を行うためのモジ
ュールとして利用される。
【0006】
【発明が解決しようとする課題】ところで認証システム
においては、適用分野に応じてこれら共通鍵暗号方式及
び公開鍵暗号方式を使い分けている。
においては、適用分野に応じてこれら共通鍵暗号方式及
び公開鍵暗号方式を使い分けている。
【0007】しかしながら近年では、一枚のICカード
で効率良く認証や決済を行い得るようにするために、公
開鍵暗号方式のもつ安全性と共通鍵暗号方式のもつ高速
性とを合わせ持つ暗号方式の統合が望まれている。
で効率良く認証や決済を行い得るようにするために、公
開鍵暗号方式のもつ安全性と共通鍵暗号方式のもつ高速
性とを合わせ持つ暗号方式の統合が望まれている。
【0008】また認証システムにおいては、ICカード
に格納された証明書の正当性を検証する手段はあるが、
当該ICカードが実際、正当に使用されているか否かを
検証する手段がないという問題があった。
に格納された証明書の正当性を検証する手段はあるが、
当該ICカードが実際、正当に使用されているか否かを
検証する手段がないという問題があった。
【0009】さらに認証システムにおいては、ICカー
ドが紛失された場合、ネットワーク上に設けられた認証
局から定期的に配付される証明書の失効リストに基づい
てICカードに対する認証や決済等の手続きを停止する
ため、ネットワーク上のすべてのポイントで即時かかる
ICカードの使用が停止されないという問題があった。
ドが紛失された場合、ネットワーク上に設けられた認証
局から定期的に配付される証明書の失効リストに基づい
てICカードに対する認証や決済等の手続きを停止する
ため、ネットワーク上のすべてのポイントで即時かかる
ICカードの使用が停止されないという問題があった。
【0010】本発明は以上の点を考慮してなされたもの
で、認証に対する安全性及び高速性を向上させ得る認証
システム、認証方法、認証装置及びその方法を提案しよ
うとするものである。
で、認証に対する安全性及び高速性を向上させ得る認証
システム、認証方法、認証装置及びその方法を提案しよ
うとするものである。
【0011】
【課題を解決するための手段】かかる課題を解決するた
めに本発明においては、認証システムにおいて、利用者
に固有の共通鍵暗号方式による共通鍵を保持する情報保
持媒体と、各利用者ごとの共通鍵暗号方式による共通鍵
と、公開鍵暗号方式による秘密鍵及び公開鍵とを保持す
る認証装置と、認証装置と通信自在に接続され、公開鍵
暗号方式による利用者の認証を行うための機能が実装さ
れた情報処理装置とを設け、認証装置が、情報処理装置
から与えられる利用者の認証要求に応じて、当該利用者
の情報保持媒体に保持された共通鍵と、自己が保持する
当該利用者の共通鍵とに基づいて当該利用者の認証を行
い、利用者を認証できた場合にのみ、当該利用者に対応
する公開鍵及び秘密鍵を用いて、情報処理装置に当該利
用者の認証を公開鍵暗号方式で行わせるための所定の処
理を行うようにした。この結果この認証システムによれ
ば、公開鍵暗号方式のもつ安全性と共通鍵暗号方式のも
つ高速性とを合わせもたせた利用者認証を行うことがで
きる。
めに本発明においては、認証システムにおいて、利用者
に固有の共通鍵暗号方式による共通鍵を保持する情報保
持媒体と、各利用者ごとの共通鍵暗号方式による共通鍵
と、公開鍵暗号方式による秘密鍵及び公開鍵とを保持す
る認証装置と、認証装置と通信自在に接続され、公開鍵
暗号方式による利用者の認証を行うための機能が実装さ
れた情報処理装置とを設け、認証装置が、情報処理装置
から与えられる利用者の認証要求に応じて、当該利用者
の情報保持媒体に保持された共通鍵と、自己が保持する
当該利用者の共通鍵とに基づいて当該利用者の認証を行
い、利用者を認証できた場合にのみ、当該利用者に対応
する公開鍵及び秘密鍵を用いて、情報処理装置に当該利
用者の認証を公開鍵暗号方式で行わせるための所定の処
理を行うようにした。この結果この認証システムによれ
ば、公開鍵暗号方式のもつ安全性と共通鍵暗号方式のも
つ高速性とを合わせもたせた利用者認証を行うことがで
きる。
【0012】また本発明においては、認証方法におい
て、利用者の共通鍵暗号方式による共通鍵を情報保持媒
体に保持させる第1のステップと、情報処理装置から与
えられる利用者の認証要求に応じて、当該利用者の情報
保持媒体に保持された共通鍵に基づいて共通鍵暗号方式
による当該利用者の認証を行う第2のステップと、利用
者を認証できた場合にのみ、情報処理装置に当該利用者
の認証を公開鍵暗号方式で行わせるための所定の処理を
行う第3のステップとを設けるようにした。この結果こ
の認証方法によれば、公開鍵暗号方式のもつ安全性と共
通鍵暗号方式のもつ高速性とを合わせもたせた利用者認
証を行うことができる。
て、利用者の共通鍵暗号方式による共通鍵を情報保持媒
体に保持させる第1のステップと、情報処理装置から与
えられる利用者の認証要求に応じて、当該利用者の情報
保持媒体に保持された共通鍵に基づいて共通鍵暗号方式
による当該利用者の認証を行う第2のステップと、利用
者を認証できた場合にのみ、情報処理装置に当該利用者
の認証を公開鍵暗号方式で行わせるための所定の処理を
行う第3のステップとを設けるようにした。この結果こ
の認証方法によれば、公開鍵暗号方式のもつ安全性と共
通鍵暗号方式のもつ高速性とを合わせもたせた利用者認
証を行うことができる。
【0013】さらに本発明においては、認証装置におい
て、各利用者ごとの共通鍵暗号方式による共通鍵と、公
開鍵暗号方式による公開鍵及び秘密鍵とを保持する保持
手段と、外部の情報処理装置から与えられる利用者の認
証要求に応じて、当該利用者の情報保持媒体に保持され
た当該利用者の共通暗号方式による共通鍵と、保持手段
に保持された当該利用者の共通鍵とに基づいて当該利用
者の認証を行い、利用者を認証できた場合にのみ、保持
手段に保持された当該利用者に対応する公開鍵及び秘密
鍵を用いて、情報処理装置に当該利用者の認証を公開鍵
暗号方式で行わせるための所定の処理を行う処理手段と
を設けるようにした。この結果この認証装置によれば、
公開鍵暗号方式のもつ安全性と共通鍵暗号方式のもつ高
速性とを合わせもたせた利用者認証を行うことができ
る。
て、各利用者ごとの共通鍵暗号方式による共通鍵と、公
開鍵暗号方式による公開鍵及び秘密鍵とを保持する保持
手段と、外部の情報処理装置から与えられる利用者の認
証要求に応じて、当該利用者の情報保持媒体に保持され
た当該利用者の共通暗号方式による共通鍵と、保持手段
に保持された当該利用者の共通鍵とに基づいて当該利用
者の認証を行い、利用者を認証できた場合にのみ、保持
手段に保持された当該利用者に対応する公開鍵及び秘密
鍵を用いて、情報処理装置に当該利用者の認証を公開鍵
暗号方式で行わせるための所定の処理を行う処理手段と
を設けるようにした。この結果この認証装置によれば、
公開鍵暗号方式のもつ安全性と共通鍵暗号方式のもつ高
速性とを合わせもたせた利用者認証を行うことができ
る。
【0014】さらに本発明においては、認証方法におい
て、各利用者ごとの共通鍵暗号方式による共通鍵と、公
開鍵暗号方式による公開鍵及び秘密鍵とを保持する第1
のステップと、外部の情報処理装置から与えられる利用
者の認証要求に応じて、当該利用者の情報保持媒体に保
持された当該利用者の共通暗号方式による共通鍵と、保
持手段に保持された当該利用者の共通鍵とに基づいて当
該利用者の認証を行い、利用者を認証できた場合にの
み、保持手段に保持された当該利用者に対応する公開鍵
及び秘密鍵を用いて、情報処理装置に当該利用者の認証
を公開鍵暗号方式で行わせるための所定の処理を行う第
2のステップとを設けるようにした。この結果この認証
装置によれば、公開鍵暗号方式のもつ安全性と共通鍵暗
号方式のもつ高速性とを合わせもたせた利用者認証を行
うことができる。
て、各利用者ごとの共通鍵暗号方式による共通鍵と、公
開鍵暗号方式による公開鍵及び秘密鍵とを保持する第1
のステップと、外部の情報処理装置から与えられる利用
者の認証要求に応じて、当該利用者の情報保持媒体に保
持された当該利用者の共通暗号方式による共通鍵と、保
持手段に保持された当該利用者の共通鍵とに基づいて当
該利用者の認証を行い、利用者を認証できた場合にの
み、保持手段に保持された当該利用者に対応する公開鍵
及び秘密鍵を用いて、情報処理装置に当該利用者の認証
を公開鍵暗号方式で行わせるための所定の処理を行う第
2のステップとを設けるようにした。この結果この認証
装置によれば、公開鍵暗号方式のもつ安全性と共通鍵暗
号方式のもつ高速性とを合わせもたせた利用者認証を行
うことができる。
【0015】
【発明の実施の形態】以下図面について、本発明の一実
施形態に形態を詳述する。
施形態に形態を詳述する。
【0016】(1)本実施の形態によるネットワークシ
ステムの構成 図1において、1は全体として本実施の形態によるネッ
トワークシステムを示し、サービスプロバイダ2に設置
されたWWW(World Wide Web)サーバ3と、利用者端末
4と、認証センタ5に設置されたセキュリティサーバ6
とがインターネット7を介して接続されることにより構
成されている。
ステムの構成 図1において、1は全体として本実施の形態によるネッ
トワークシステムを示し、サービスプロバイダ2に設置
されたWWW(World Wide Web)サーバ3と、利用者端末
4と、認証センタ5に設置されたセキュリティサーバ6
とがインターネット7を介して接続されることにより構
成されている。
【0017】利用者端末4は、図2に示すように、CP
U(Central Processing Unit)10と、後述のような各
種処理を実行するためのプログラムが格納されたROM
(Read Only Memory)11と、CPU10のワークメモリ
としてのRAM(Randam Access Memory)12と、入出力
インターフェイスとしての入出力部14とがバス13を
介して接続され、また当該入出力部14にモデム等から
なるネットワークインターフェイス15と、ICカード
読書き装置9と、キーボード、モニタ及びマウス等から
なるコンソール17と、ハードディスク装置等からなる
記憶装置18とが接続されて構成された一般的なパーソ
ナルコンピュータである。
U(Central Processing Unit)10と、後述のような各
種処理を実行するためのプログラムが格納されたROM
(Read Only Memory)11と、CPU10のワークメモリ
としてのRAM(Randam Access Memory)12と、入出力
インターフェイスとしての入出力部14とがバス13を
介して接続され、また当該入出力部14にモデム等から
なるネットワークインターフェイス15と、ICカード
読書き装置9と、キーボード、モニタ及びマウス等から
なるコンソール17と、ハードディスク装置等からなる
記憶装置18とが接続されて構成された一般的なパーソ
ナルコンピュータである。
【0018】また記憶装置18には、WWWブラウザプ
ログラム19と、共通鍵暗号方式や公開鍵暗号方式に応
じた暗号処理を管理するプログラムからなる暗号処理ラ
イブラリ25と、かかるICカード読書き装置9用のI
Cカードドライバ21とが記憶されている。
ログラム19と、共通鍵暗号方式や公開鍵暗号方式に応
じた暗号処理を管理するプログラムからなる暗号処理ラ
イブラリ25と、かかるICカード読書き装置9用のI
Cカードドライバ21とが記憶されている。
【0019】そしてCPU10は、記憶装置18に記憶
されたWWWブラウザプログラム19をRAM12上で
展開して実行することにより、WWWブラウザ22(図
1)として機能し、ネットワークインターフェイス15
を介してインターネット7上で情報の送受信を行い得る
ようになされている。
されたWWWブラウザプログラム19をRAM12上で
展開して実行することにより、WWWブラウザ22(図
1)として機能し、ネットワークインターフェイス15
を介してインターネット7上で情報の送受信を行い得る
ようになされている。
【0020】またCPU10は、記憶装置18に記憶さ
れた暗号処理ライブラリ20のプログラムをRAM12
上で展開して実行することにより、暗号処理モジュール
23(図1)として機能し、暗号処理を管理する。
れた暗号処理ライブラリ20のプログラムをRAM12
上で展開して実行することにより、暗号処理モジュール
23(図1)として機能し、暗号処理を管理する。
【0021】またWWWブラウザ22と暗号処理モジュ
ール23との間には、例えばRSA社が提供するPKC
S#11(Public Key Cryptography Standerd #11)24規
格のAPI(Application Program Interface) が設けら
れており、WWWブラウザ22と暗号処理モジュール2
3との間で情報の交換を容易にしている。
ール23との間には、例えばRSA社が提供するPKC
S#11(Public Key Cryptography Standerd #11)24規
格のAPI(Application Program Interface) が設けら
れており、WWWブラウザ22と暗号処理モジュール2
3との間で情報の交換を容易にしている。
【0022】さらにCPU10は、記憶装置18に記憶
されたICカードドライバ21をRAM12上で展開し
て実行することにより、ICカード読書き装置9を操作
することができる。
されたICカードドライバ21をRAM12上で展開し
て実行することにより、ICカード読書き装置9を操作
することができる。
【0023】このICカード読書き装置9は、例えばブ
ルートゥース(Bluetooth) 規格の無線機能を有してお
り、ICカード8から無線を介して読み出した情報を記
憶装置23に送出すると共に、記憶装置23から送出さ
れた情報を無線を介してICカード8に書き込み得るよ
うになされている。
ルートゥース(Bluetooth) 規格の無線機能を有してお
り、ICカード8から無線を介して読み出した情報を記
憶装置23に送出すると共に、記憶装置23から送出さ
れた情報を無線を介してICカード8に書き込み得るよ
うになされている。
【0024】実際上ICカード8は、図3に示すよう
に、バス26にCPU27と、ROM28と、RAM2
9と、かかるICカード読書き装置9と無線通信し得る
無線通信インターフェイス30と、当該ICカード8に
割り当てられた利用者ID等の各種情報を格納したEE
PROM(Electrically Erasable Programmable ROM)3
1とが接続され構成されている。
に、バス26にCPU27と、ROM28と、RAM2
9と、かかるICカード読書き装置9と無線通信し得る
無線通信インターフェイス30と、当該ICカード8に
割り当てられた利用者ID等の各種情報を格納したEE
PROM(Electrically Erasable Programmable ROM)3
1とが接続され構成されている。
【0025】EEPROM31には、利用者ID用エリ
ア32と、電子有価情報用エリア33と、共通鍵用エリ
ア34とが設けられており、各エリアに利用者IDと、
電子有価情報と、利用者ID用エリア36及び電子有価
情報用エリア37に対して外部からのアクセスを許可す
るための共通鍵とがそれぞれ書き込まれる。
ア32と、電子有価情報用エリア33と、共通鍵用エリ
ア34とが設けられており、各エリアに利用者IDと、
電子有価情報と、利用者ID用エリア36及び電子有価
情報用エリア37に対して外部からのアクセスを許可す
るための共通鍵とがそれぞれ書き込まれる。
【0026】そしてCPU27は、ROM28に格納さ
れた暗号処理用プログラムをRAM29上で展開して実
行することにより、無線インタース30を介して得た共
通鍵によって暗号化された情報(以下、これを共通鍵暗
号化情報と呼ぶ)を、EEPROM31から読み出した
共通鍵で復号化する。
れた暗号処理用プログラムをRAM29上で展開して実
行することにより、無線インタース30を介して得た共
通鍵によって暗号化された情報(以下、これを共通鍵暗
号化情報と呼ぶ)を、EEPROM31から読み出した
共通鍵で復号化する。
【0027】またCPU27は、共通鍵暗号化情報がE
EPROM31から読み出した共通鍵で復号が正しく行
われると、当該EEPROM31の各エリアへのアクセ
スを許可し、例えばEEPROM31の電子有価情報用
エリア33に無線インターフェイス30を介して得た電
子有価情報を書き込むようになされている。
EPROM31から読み出した共通鍵で復号が正しく行
われると、当該EEPROM31の各エリアへのアクセ
スを許可し、例えばEEPROM31の電子有価情報用
エリア33に無線インターフェイス30を介して得た電
子有価情報を書き込むようになされている。
【0028】一方サービスプロバイダ2に設けられたW
WWサーバ3は、図4に示すように、CPU36と、R
OM37と、RAM38とがバス39を介して入出力部
40に接続されていると共に、当該入出力部40にイン
ターネット7と接続するためのルータ等からなるネット
ワークインターフェイス41と、キーボード、モニタ及
びマウス等からなる管理用コンソール42と、記憶装置
43とが接続されて構成されている。また記憶装置43
には、WWWサーバプログラム44と、電子有価情報等
のサービス用コンテンツ45とが格納されている。
WWサーバ3は、図4に示すように、CPU36と、R
OM37と、RAM38とがバス39を介して入出力部
40に接続されていると共に、当該入出力部40にイン
ターネット7と接続するためのルータ等からなるネット
ワークインターフェイス41と、キーボード、モニタ及
びマウス等からなる管理用コンソール42と、記憶装置
43とが接続されて構成されている。また記憶装置43
には、WWWサーバプログラム44と、電子有価情報等
のサービス用コンテンツ45とが格納されている。
【0029】そしてCPU36は、記憶装置43に格納
されたWWWサーバプログラム44をRAM38上で展
開して実行することにより、WWWサーバ3(図1)と
して動作し、サービス用コンテンツ45をネットワーク
インターフェイス41を介して提供し得るようになされ
ている。
されたWWWサーバプログラム44をRAM38上で展
開して実行することにより、WWWサーバ3(図1)と
して動作し、サービス用コンテンツ45をネットワーク
インターフェイス41を介して提供し得るようになされ
ている。
【0030】これに対して認証センタ5に設けられたセ
キュリティサーバ6は、図5に示すように、CPU46
と、ROM47と、RAM48とがバス49を介して入
出力部50に接続されていると共に、当該入出力部50
にインターネット7と接続するためのルータ等からなる
ネットワークインターフェイス51と、キーボード、モ
ニタ及びマウス等からなる管理用コンソール52と、記
憶装置53とが接続されて構成されている。また記憶装
置53には、セキュリティサーバプログラム54、後述
する利用者証明データベース55及び共通鍵データベー
ス56が格納されている。
キュリティサーバ6は、図5に示すように、CPU46
と、ROM47と、RAM48とがバス49を介して入
出力部50に接続されていると共に、当該入出力部50
にインターネット7と接続するためのルータ等からなる
ネットワークインターフェイス51と、キーボード、モ
ニタ及びマウス等からなる管理用コンソール52と、記
憶装置53とが接続されて構成されている。また記憶装
置53には、セキュリティサーバプログラム54、後述
する利用者証明データベース55及び共通鍵データベー
ス56が格納されている。
【0031】そしてかかるセキュリティサーバ6のCP
U46は、記憶装置53に格納されたセキュリティサー
バプログラム54をRAM48上で展開して実行するこ
とにより、セキュリティサーバ6として動作する。
U46は、記憶装置53に格納されたセキュリティサー
バプログラム54をRAM48上で展開して実行するこ
とにより、セキュリティサーバ6として動作する。
【0032】(2)認証処理手順 ここでこのネットワークシステム1は、図6に示すよう
に、利用者端末4が図7に示す自己を認証する認証処理
手順RT1に従って認証を行うと共に、セキュリティサ
ーバ6が図8に示す認証処理手順RT2に従って当該利
用者端末4の認証を行うことにより、利用者端末4が電
子有価情報を提供するWWWサーバ3に対して自己の正
当性を証明することができる。
に、利用者端末4が図7に示す自己を認証する認証処理
手順RT1に従って認証を行うと共に、セキュリティサ
ーバ6が図8に示す認証処理手順RT2に従って当該利
用者端末4の認証を行うことにより、利用者端末4が電
子有価情報を提供するWWWサーバ3に対して自己の正
当性を証明することができる。
【0033】この場合まず利用者端末4は、WWWブラ
ウザ22を操作して、WWWサーバ3に対し当該利用者
端末4に電子有価情報を要求する。
ウザ22を操作して、WWWサーバ3に対し当該利用者
端末4に電子有価情報を要求する。
【0034】このときWWWサーバ3は、まずランダム
な文字列からなる試用文字を生成した後、当該生成した
試用文字と共に、要求元の正当性を確認するために利用
者端末4が認証されるための認証要求コマンドC1を当
該利用者端末4に送出する。
な文字列からなる試用文字を生成した後、当該生成した
試用文字と共に、要求元の正当性を確認するために利用
者端末4が認証されるための認証要求コマンドC1を当
該利用者端末4に送出する。
【0035】そして利用者端末4のCPU10は、認証
要求コマンドC1を受けとると、認証処理手順RT1を
開始し(ステップSP1)、受けとった当該認証要求コ
マンドC1及び試用文字を暗号処理モジュール23に送
出する(ステップSP2)。
要求コマンドC1を受けとると、認証処理手順RT1を
開始し(ステップSP1)、受けとった当該認証要求コ
マンドC1及び試用文字を暗号処理モジュール23に送
出する(ステップSP2)。
【0036】続けてCPU10は、ICカード読書き装
置9を介してICカード8から使用者IDを読み出し、
当該読み出した使用者IDと共に暗号処理モジュール2
3で受けとった認証要求コマンドC1及び試用文字をセ
キュリティサーバ6へ送出する(ステップSP3)。
置9を介してICカード8から使用者IDを読み出し、
当該読み出した使用者IDと共に暗号処理モジュール2
3で受けとった認証要求コマンドC1及び試用文字をセ
キュリティサーバ6へ送出する(ステップSP3)。
【0037】セキュリティサーバ6のCPU46は、認
証要求コマンドC1を受けとると、認証処理手順RT2
を開始し(ステップSP21)、受けとった使用者ID
に対応する共通鍵を、図9に示すような記憶装置53内
の共通鍵データベース56から読み出し(ステップSP
22)、当該読み出した共通鍵で共通暗号化情報を生成
する。続けてCPU46は、共通暗号化情報と共にIC
カード認証要求コマンドC2を利用者端末4の暗号処理
モジュール23に送出する(ステップSP23)。
証要求コマンドC1を受けとると、認証処理手順RT2
を開始し(ステップSP21)、受けとった使用者ID
に対応する共通鍵を、図9に示すような記憶装置53内
の共通鍵データベース56から読み出し(ステップSP
22)、当該読み出した共通鍵で共通暗号化情報を生成
する。続けてCPU46は、共通暗号化情報と共にIC
カード認証要求コマンドC2を利用者端末4の暗号処理
モジュール23に送出する(ステップSP23)。
【0038】さらにCPU46は、かかる使用者IDに
対応する証明書を、図10に示すような記憶装置53内
の利用者証明データベース55から読み出し、これを利
用者端末4の暗号処理モジュール23及びWWWブラウ
ザ22を介してWWWサーバ4へ予め送出しておく。
対応する証明書を、図10に示すような記憶装置53内
の利用者証明データベース55から読み出し、これを利
用者端末4の暗号処理モジュール23及びWWWブラウ
ザ22を介してWWWサーバ4へ予め送出しておく。
【0039】ここで証明書58には、例えば利用者ID
が0001の場合、図11に示すように、証明書シリアル番
号と、当該証明書の有効期限情報と、利用者IDと、か
かる秘密鍵と対で生成された公開鍵と、電子メールのメ
ールアドレスと、利用者の連絡先情報となどの情報が記
載されている。加えて証明書58には、秘密鍵及び公開
鍵(以下、これらの一組の鍵を暗号鍵と呼ぶ)を生成す
る認証局のディジタル署名60が施されており、当該証
明書58の正当性を保証している。
が0001の場合、図11に示すように、証明書シリアル番
号と、当該証明書の有効期限情報と、利用者IDと、か
かる秘密鍵と対で生成された公開鍵と、電子メールのメ
ールアドレスと、利用者の連絡先情報となどの情報が記
載されている。加えて証明書58には、秘密鍵及び公開
鍵(以下、これらの一組の鍵を暗号鍵と呼ぶ)を生成す
る認証局のディジタル署名60が施されており、当該証
明書58の正当性を保証している。
【0040】一方利用者端末4のCPU10は、暗号処
理モジュール11においてICカード認証要求コマンド
及び共通鍵を受けとると、ICカードドライバ21を実
行することによりICカード読書き装置9を操作し(ス
テップSP5)、当該ICカード読書き装置9を介して
ICカード8にICカード認証要求コマンドC2及び共
通暗号化情報を送出する。
理モジュール11においてICカード認証要求コマンド
及び共通鍵を受けとると、ICカードドライバ21を実
行することによりICカード読書き装置9を操作し(ス
テップSP5)、当該ICカード読書き装置9を介して
ICカード8にICカード認証要求コマンドC2及び共
通暗号化情報を送出する。
【0041】またICカード8は、ICカード認証要求
コマンドC2を受けとると、共通暗号化情報を内部に設
けられたEEPROM31内の共通鍵で認証(復号)
し、当該認証結果を暗号処理モジュール23を介してセ
キュリティサーバ6に送出する(ステップSP5)。
コマンドC2を受けとると、共通暗号化情報を内部に設
けられたEEPROM31内の共通鍵で認証(復号)
し、当該認証結果を暗号処理モジュール23を介してセ
キュリティサーバ6に送出する(ステップSP5)。
【0042】セキュリティサーバ6のCPU46は、受
けとった認証結果によりICカード8の認証が正常に行
われたことを確認すると(ステップSP15)、WWW
サーバ3から送信された認証要求に基づいて、利用者証
明データベース55(図6)から利用者IDの秘密鍵を
取得し(ステップSP16)、受けとった試用文字に当
該秘密鍵でディジタル署名を施してディジタル署名書
(ステップSP17)を生成し、これを利用端末4の暗
号処理モジュール23(ステップSP18)に送出す
る。
けとった認証結果によりICカード8の認証が正常に行
われたことを確認すると(ステップSP15)、WWW
サーバ3から送信された認証要求に基づいて、利用者証
明データベース55(図6)から利用者IDの秘密鍵を
取得し(ステップSP16)、受けとった試用文字に当
該秘密鍵でディジタル署名を施してディジタル署名書
(ステップSP17)を生成し、これを利用端末4の暗
号処理モジュール23(ステップSP18)に送出す
る。
【0043】これとは反対にCPU46は、受けとった
認証結果によりICカード8の認証が正常に行えなかっ
たことを確認すると(ステップSP15)、再度利用者
IDを受けとり、当該利用者IDに応じた共通鍵で新し
い共通暗号化情報を生成し、これをICカード8へ送出
する。CPU46は、ICカード8から再度認証結果を
得るようになされている。
認証結果によりICカード8の認証が正常に行えなかっ
たことを確認すると(ステップSP15)、再度利用者
IDを受けとり、当該利用者IDに応じた共通鍵で新し
い共通暗号化情報を生成し、これをICカード8へ送出
する。CPU46は、ICカード8から再度認証結果を
得るようになされている。
【0044】一方利用端末4のCPU10は、暗号処理
モジュール23において、セキュリティサーバ6からデ
ィジタル署名書を受けとる(ステップSP7)と、これ
をPKCS#1124を介してWWWブラウザ10へ送出
する(ステップSP8)。続けてCPU10は、受けと
ったディジタル署名書を認証要求の応答としてWWWサ
ーバ3へ送出する(ステップSP9)。
モジュール23において、セキュリティサーバ6からデ
ィジタル署名書を受けとる(ステップSP7)と、これ
をPKCS#1124を介してWWWブラウザ10へ送出
する(ステップSP8)。続けてCPU10は、受けと
ったディジタル署名書を認証要求の応答としてWWWサ
ーバ3へ送出する(ステップSP9)。
【0045】またWWWサーバ3は、ディジタル署名書
を受けとると、予め受けとっている利用者証明書に記載
された公開鍵を用いてディジタル署名を復号化し、当該
復号化が正常に行われた場合、正当な利用者端末4から
電子有価情報の要求がされたと判断する。
を受けとると、予め受けとっている利用者証明書に記載
された公開鍵を用いてディジタル署名を復号化し、当該
復号化が正常に行われた場合、正当な利用者端末4から
電子有価情報の要求がされたと判断する。
【0046】かくしてWWWサーバ3は、電子有価情報
をかかる利用者端末4に電子有価情報を送出する準備を
行い、当該電子有価情報に対して公開鍵で暗号化し、こ
れにより得た暗号化電子有価情報を利用者端末4に送出
することができる。
をかかる利用者端末4に電子有価情報を送出する準備を
行い、当該電子有価情報に対して公開鍵で暗号化し、こ
れにより得た暗号化電子有価情報を利用者端末4に送出
することができる。
【0047】ここでネットワークシステム1において
は、図12に示すように、利用者端末4が図13に示す
書き込み処理手順RT3に従って書き込みを行うと共
に、セキュリティサーバ6が図14に示す書き込み処理
手順RT4に従って暗号化電子有価情報を復号化してす
ることにより、利用者端末4が電子有価情報をICカー
ド8に書き込むことができる。
は、図12に示すように、利用者端末4が図13に示す
書き込み処理手順RT3に従って書き込みを行うと共
に、セキュリティサーバ6が図14に示す書き込み処理
手順RT4に従って暗号化電子有価情報を復号化してす
ることにより、利用者端末4が電子有価情報をICカー
ド8に書き込むことができる。
【0048】まずWWWサーバ3は、暗号化電子有価情
報を利用者端末4のWWWブラウザ22に送出する。
報を利用者端末4のWWWブラウザ22に送出する。
【0049】利用者端末4のCPU10は、WWWブラ
ウザ22において暗号化電子有価情報を受けとると、書
き込み処理手順RT3を開始し(ステップSP21)、
受けとった暗号化電子有価情報及び復号要求コマンドC
3を暗号処理モジュール23に送出する(ステップSP
22)。
ウザ22において暗号化電子有価情報を受けとると、書
き込み処理手順RT3を開始し(ステップSP21)、
受けとった暗号化電子有価情報及び復号要求コマンドC
3を暗号処理モジュール23に送出する(ステップSP
22)。
【0050】続けてCPU10は、暗号処理モジュール
23で受けとった暗号化電子有価情報及び復号要求コマ
ンドC3に合わせて、ICカード読書き装置9を介して
ICカード8から読み出した使用者IDをセキュリティ
サーバ6へ送出する(ステップSP23)。
23で受けとった暗号化電子有価情報及び復号要求コマ
ンドC3に合わせて、ICカード読書き装置9を介して
ICカード8から読み出した使用者IDをセキュリティ
サーバ6へ送出する(ステップSP23)。
【0051】セキュリティサーバ6のCPU46は、復
号要求コマンドC3を受けとると、書き込み処理手順R
T4を開始し(ステップSP41)、まずICカード8
の認証を行う。CPU46は、受けとった使用者IDに
対応する共通鍵を共通鍵データベース55から読み出し
(ステップSP42)、当該読み出した共通鍵で共通暗
号化情報を生成する。続けてCPU46は、共通暗号化
情報及びICカード認証要求コマンドC4を利用者端末
4の暗号処理モジュール23に送出する(ステップSP
43)。
号要求コマンドC3を受けとると、書き込み処理手順R
T4を開始し(ステップSP41)、まずICカード8
の認証を行う。CPU46は、受けとった使用者IDに
対応する共通鍵を共通鍵データベース55から読み出し
(ステップSP42)、当該読み出した共通鍵で共通暗
号化情報を生成する。続けてCPU46は、共通暗号化
情報及びICカード認証要求コマンドC4を利用者端末
4の暗号処理モジュール23に送出する(ステップSP
43)。
【0052】利用者端末4のCPU10は、暗号処理モ
ジュール23においてICカード認証要求コマンドC4
及び共通暗号化情報を受けとると、ICカードドライバ
21を操作(ステップSP24)することによりICカ
ード読書き装置9を介してICカード8にICカード認
証要求コマンドC4及び共通暗号化情報を送出する。
ジュール23においてICカード認証要求コマンドC4
及び共通暗号化情報を受けとると、ICカードドライバ
21を操作(ステップSP24)することによりICカ
ード読書き装置9を介してICカード8にICカード認
証要求コマンドC4及び共通暗号化情報を送出する。
【0053】ICカード8は、ICカード認証要求コマ
ンドC4を受けとると、かかる共通暗号化情報を内部に
設けられたEEPROM31内の共通鍵で認証(復号)
し、当該認証結果を暗号処理モジュール23を介してセ
キュリティサーバ6に送出する(ステップSP25)。
ンドC4を受けとると、かかる共通暗号化情報を内部に
設けられたEEPROM31内の共通鍵で認証(復号)
し、当該認証結果を暗号処理モジュール23を介してセ
キュリティサーバ6に送出する(ステップSP25)。
【0054】セキュリティサーバ6のCPU46は、暗
号処理モジュール23から送出された認証結果を受けと
り(ステップSP44)、当該認証結果によりICカー
ド8の認証が正常に行われたことを確認すると(ステッ
プSP45)、利用者証明データベース55(図6)か
ら利用者IDの秘密鍵を取得し(ステップSP46)、
この秘密鍵で暗号化電子有価情報を復号化する(ステッ
プSP47)ことにより、電子有価情報を生成する。
号処理モジュール23から送出された認証結果を受けと
り(ステップSP44)、当該認証結果によりICカー
ド8の認証が正常に行われたことを確認すると(ステッ
プSP45)、利用者証明データベース55(図6)か
ら利用者IDの秘密鍵を取得し(ステップSP46)、
この秘密鍵で暗号化電子有価情報を復号化する(ステッ
プSP47)ことにより、電子有価情報を生成する。
【0055】続けてCPU46は、生成した電子有価情
報を共通鍵データベース55から読み出した共通鍵で暗
号化して、共通暗号化電子有価情報を生成する。
報を共通鍵データベース55から読み出した共通鍵で暗
号化して、共通暗号化電子有価情報を生成する。
【0056】一方CPU46は、受けとった認証結果に
よりICカード8の認証が正常に行えなかったことを確
認すると(ステップSP45)、利用者端末4から利用
者IDを受けとり、当該利用者IDに応じた共通鍵に対
してICカード8内で認証を行い、当該認証結果を受け
とるようになされている。
よりICカード8の認証が正常に行えなかったことを確
認すると(ステップSP45)、利用者端末4から利用
者IDを受けとり、当該利用者IDに応じた共通鍵に対
してICカード8内で認証を行い、当該認証結果を受け
とるようになされている。
【0057】利用端末4のCPU10は、暗号処理モジ
ュール23において、セキュリティサーバ6から書き込
み要求コマンドC5及び共通暗号化電子有価情報を受け
とる(ステップSP27)と、当該共通暗号化電子有価
情報をICカード読書き装置9を介してICカード8に
送出する。
ュール23において、セキュリティサーバ6から書き込
み要求コマンドC5及び共通暗号化電子有価情報を受け
とる(ステップSP27)と、当該共通暗号化電子有価
情報をICカード読書き装置9を介してICカード8に
送出する。
【0058】ICカード8のCPU27は、受けとった
共通暗号化電子有価情報をEEPROM31の共通鍵用
エリア34から読み出した共通鍵で復号化し、当該復号
化して得た電子有価情報をEEPROM31の電子有価
情報用エリア33に書き込む。
共通暗号化電子有価情報をEEPROM31の共通鍵用
エリア34から読み出した共通鍵で復号化し、当該復号
化して得た電子有価情報をEEPROM31の電子有価
情報用エリア33に書き込む。
【0059】また利用端末4のCPU10は、暗号処理
モジュール23において受けとった電子有価情報をWW
Wブラウザ22に送出する。かくしてWWWブラウザ2
2は、WWWサーバ3から復号化された電子有価情報を
得ることができる。
モジュール23において受けとった電子有価情報をWW
Wブラウザ22に送出する。かくしてWWWブラウザ2
2は、WWWサーバ3から復号化された電子有価情報を
得ることができる。
【0060】(3)本実施の形態の動作及び効果 以上の構成において、このネットワークシステム1で
は、セキュリティサーバ6がWWWサーバ3から与えら
れる利用者の認証要求に応じて、当該利用者が携帯する
ICカード8に保持された共通鍵に基づいて共通鍵暗号
方式による当該利用者の認証を行い、当該利用者を認証
できた場合にのみ、WWWサーバ3に当該利用者の認証
を公開鍵暗号方式で行わせるための所定の処理を行う。
は、セキュリティサーバ6がWWWサーバ3から与えら
れる利用者の認証要求に応じて、当該利用者が携帯する
ICカード8に保持された共通鍵に基づいて共通鍵暗号
方式による当該利用者の認証を行い、当該利用者を認証
できた場合にのみ、WWWサーバ3に当該利用者の認証
を公開鍵暗号方式で行わせるための所定の処理を行う。
【0061】従ってこのネットワークシステム1によれ
ば、セキュリティサーバ6がWWWサーバ3から与えら
れる利用者の認証要求に応じて、共通鍵暗号方式による
当該利用者の認証を行い、当該利用者を認証できた場合
にのみ、WWWサーバ3に当該利用者の認証を公開鍵暗
号方式で行わせるための所定の処理を行うことにより、
共通鍵暗号方式による高速性と公開鍵暗号方式による安
全性とを合わせ持つことができる。
ば、セキュリティサーバ6がWWWサーバ3から与えら
れる利用者の認証要求に応じて、共通鍵暗号方式による
当該利用者の認証を行い、当該利用者を認証できた場合
にのみ、WWWサーバ3に当該利用者の認証を公開鍵暗
号方式で行わせるための所定の処理を行うことにより、
共通鍵暗号方式による高速性と公開鍵暗号方式による安
全性とを合わせ持つことができる。
【0062】以上の構成によれば、このネットワークシ
ステム1において、セキュリティサーバ6がWWWサー
バ3から与えられる利用者の認証要求に応じて、共通鍵
暗号方式による当該利用者の認証を行い、当該利用者を
認証できた場合にのみ、WWWサーバ3に当該利用者の
認証を公開鍵暗号方式で行わせるための所定の処理を行
うことにより、共通鍵暗号方式による高速性と公開鍵暗
号方式による安全性とを合わせ持つことができ、かくし
て認証に対する安全性及び高速性を向上し得るネットワ
ークシステム1を実現することができる。
ステム1において、セキュリティサーバ6がWWWサー
バ3から与えられる利用者の認証要求に応じて、共通鍵
暗号方式による当該利用者の認証を行い、当該利用者を
認証できた場合にのみ、WWWサーバ3に当該利用者の
認証を公開鍵暗号方式で行わせるための所定の処理を行
うことにより、共通鍵暗号方式による高速性と公開鍵暗
号方式による安全性とを合わせ持つことができ、かくし
て認証に対する安全性及び高速性を向上し得るネットワ
ークシステム1を実現することができる。
【0063】(4)他の実施の形態 なお上述の実施の形態においては、カード読み書き装置
9とICカード8とが無線を介して情報を受渡しする場
合について述べたが本発明はこれに限らず、カード読み
書き装置9とICカード8とを物理的に接続して情報を
受渡しするようにしても良い。
9とICカード8とが無線を介して情報を受渡しする場
合について述べたが本発明はこれに限らず、カード読み
書き装置9とICカード8とを物理的に接続して情報を
受渡しするようにしても良い。
【0064】また上述の実施の形態においては、セキュ
リティサーバ6とICカード8との間で認証を行った
後、キュリティサーバ6で復号された電子有価情報をI
Cカード8に格納する際、再度セキュリティサーバ6と
ICカード8との間で認証を行ってから当該電子有価情
報をICカード8に格納する場合について述べたが本発
明はこれに限らず、セキュリティサーバ6とICカード
8との間で接続が確立されている限り、セキュリティサ
ーバ6とICカード8との間での認証を1回だけに行う
ようにしても良い。
リティサーバ6とICカード8との間で認証を行った
後、キュリティサーバ6で復号された電子有価情報をI
Cカード8に格納する際、再度セキュリティサーバ6と
ICカード8との間で認証を行ってから当該電子有価情
報をICカード8に格納する場合について述べたが本発
明はこれに限らず、セキュリティサーバ6とICカード
8との間で接続が確立されている限り、セキュリティサ
ーバ6とICカード8との間での認証を1回だけに行う
ようにしても良い。
【0065】さらに上述の実施の形態においては、利用
者端末4からセキュリティサーバ6に対して共通鍵に基
づく認証要求が与えられた際に、ICカード8の認証を
行う場合について述べたが本発明はこれに限らず、利用
者端末4がインターネットと接続した際にセキュリティ
サーバ6と接続し、予めICカード8の認証を行ってお
くようにしても良い。
者端末4からセキュリティサーバ6に対して共通鍵に基
づく認証要求が与えられた際に、ICカード8の認証を
行う場合について述べたが本発明はこれに限らず、利用
者端末4がインターネットと接続した際にセキュリティ
サーバ6と接続し、予めICカード8の認証を行ってお
くようにしても良い。
【0066】さらに上述の実施の形態においては、電子
マネーや定期券情報等の電子有価情報を扱う場合につい
て述べたが本発明はこれに限らず、フリーウエア等の無
償の情報を扱うようにしても良い。
マネーや定期券情報等の電子有価情報を扱う場合につい
て述べたが本発明はこれに限らず、フリーウエア等の無
償の情報を扱うようにしても良い。
【0067】さらに上述の実施の形態においては、電子
有価情報として電子マネーや定期券情報等を扱う場合に
ついて述べたが本発明はこれに限らず、電子有価情報と
して音楽情報や書籍情報等を扱うようにしても良い。
有価情報として電子マネーや定期券情報等を扱う場合に
ついて述べたが本発明はこれに限らず、電子有価情報と
して音楽情報や書籍情報等を扱うようにしても良い。
【0068】さらに上述の実施の形態においては、情報
保持媒体としてICカードを用いる場合について述べた
が本発明はこれに限らず、演算機能やメモリ機能を有し
た媒体であれば良い。
保持媒体としてICカードを用いる場合について述べた
が本発明はこれに限らず、演算機能やメモリ機能を有し
た媒体であれば良い。
【0069】さらに上述の実施の形態においては、セキ
ュリティサーバ6が共通鍵で生成した暗号化情報をIC
カード8において復号化して利用者を認証する場合につ
いて述べたが本発明はこれに限らず、ICカード8が共
通鍵で生成した暗号化情報をセキュリティサーバ6にお
いて復号化して利用者を認証するようにしても良い。
ュリティサーバ6が共通鍵で生成した暗号化情報をIC
カード8において復号化して利用者を認証する場合につ
いて述べたが本発明はこれに限らず、ICカード8が共
通鍵で生成した暗号化情報をセキュリティサーバ6にお
いて復号化して利用者を認証するようにしても良い。
【0070】
【発明の効果】上述のように本発明によれば、利用者の
共通鍵暗号方式による共通鍵を情報保持媒体に保持さ
せ、情報処理装置から与えられる利用者の認証要求に応
じて、当該利用者の情報保持媒体に保持された共通鍵に
基づいて共通鍵暗号方式による当該利用者の認証を行
い、利用者を認証できた場合にのみ、情報処理装置に当
該利用者の認証を公開鍵暗号方式で行わせるための所定
の処理を行うようにしたことにより、公開鍵暗号方式の
もつ安全性と共通鍵暗号方式のもつ高速性とを合わせも
たせた利用者認証を行うことができ、かくして認証に対
する安全性及び高速性を向上させ得る認証システム、認
証方法、認証装置及びその方法を実現できる。
共通鍵暗号方式による共通鍵を情報保持媒体に保持さ
せ、情報処理装置から与えられる利用者の認証要求に応
じて、当該利用者の情報保持媒体に保持された共通鍵に
基づいて共通鍵暗号方式による当該利用者の認証を行
い、利用者を認証できた場合にのみ、情報処理装置に当
該利用者の認証を公開鍵暗号方式で行わせるための所定
の処理を行うようにしたことにより、公開鍵暗号方式の
もつ安全性と共通鍵暗号方式のもつ高速性とを合わせも
たせた利用者認証を行うことができ、かくして認証に対
する安全性及び高速性を向上させ得る認証システム、認
証方法、認証装置及びその方法を実現できる。
【図面の簡単な説明】
【図1】本実施の形態によるネットワークシステムの構
成を示す略線図である。
成を示す略線図である。
【図2】利用者端末の構成を示すブロック図である。
【図3】ICカードの構成を示すブロック図である。
【図4】WWWサーバの構成を示すブロック図である。
【図5】セキュリティサーバの構成を示すブロック図で
ある。
ある。
【図6】認証の様子の説明に供する略線図である。
【図7】利用者端末の認証処理手順のフローチャートで
ある。
ある。
【図8】セキュリティサーバの認証処理手順のフローチ
ャートである。
ャートである。
【図9】共通鍵データベースの構成を示す略線図であ
る。
る。
【図10】利用者証明データベースの構成を示す略線図
である。
である。
【図11】証明書の構成を示す略線図である。
【図12】書き込みの様子の説明に供する略線図であ
る。
る。
【図13】利用者端末の書き込み処理手順のフローチャ
ートである。
ートである。
【図14】セキュリティサーバの書き込み処理手順のフ
ローチャートである。
ローチャートである。
1……ネットワークシステム、3……WWWサーバ、4
……利用者端末、6……セキュリティサーバ、8……I
Cカード、11……暗号処理モジュール、17、31、4
2、53……CPU、23、48、60……外部記憶装
置、61……利用者データベース、62……共通データ
ベース。
……利用者端末、6……セキュリティサーバ、8……I
Cカード、11……暗号処理モジュール、17、31、4
2、53……CPU、23、48、60……外部記憶装
置、61……利用者データベース、62……共通データ
ベース。
Claims (6)
- 【請求項1】利用者に固有の共通鍵暗号方式による共通
鍵を保持する情報保持媒体と、 各上記利用者ごとの上記共通鍵暗号方式による共通鍵
と、公開鍵暗号方式による秘密鍵及び公開鍵とを保持す
る認証装置と、 上記認証装置と通信自在に接続され、公開鍵暗号方式に
よる上記利用者の認証を行うための機能が実装された情
報処理装置とを具え、 上記認証装置は、 上記情報処理装置から与えられる上記利用者の認証要求
に応じて、当該利用者の上記情報保持媒体に保持された
上記共通鍵と、自己が保持する当該利用者の上記共通鍵
とに基づいて当該利用者の認証を行い、上記利用者を認
証できた場合にのみ、当該利用者に対応する上記公開鍵
及び上記秘密鍵を用いて、上記情報処理装置に当該利用
者の認証を上記公開鍵暗号方式で行わせるための所定の
処理を行うことを特徴とする認証システム。 - 【請求項2】上記情報保持媒体は、可搬型であることを
特徴とする請求項1に記載の認証システム。 - 【請求項3】利用者の共通鍵暗号方式による共通鍵を情
報保持媒体に保持させる第1のステップと、 情報処理装置から与えられる上記利用者の認証要求に応
じて、当該利用者の上記情報保持媒体に保持された上記
共通鍵に基づいて共通鍵暗号方式による当該利用者の認
証を行う第2のステップと、 上記利用者を認証できた場合にのみ、上記情報処理装置
に当該利用者の認証を公開鍵暗号方式で行わせるための
所定の処理を行う第3のステップとを具えることを特徴
する認証方法。 - 【請求項4】上記情報保持媒体は、可搬型であることを
特徴とする請求項3に記載の認証方法。 - 【請求項5】各利用者ごとの共通鍵暗号方式による共通
鍵と、公開鍵暗号方式による公開鍵及び秘密鍵とを保持
する保持手段と、 外部の情報処理装置から与えられる上記利用者の認証要
求に応じて、当該利用者の情報保持媒体に保持された当
該利用者の上記共通暗号方式による上記共通鍵と、上記
保持手段に保持された当該利用者の上記共通鍵とに基づ
いて当該利用者の認証を行い、上記利用者を認証できた
場合にのみ、上記保持手段に保持された当該利用者に対
応する上記公開鍵及び上記秘密鍵を用いて、上記情報処
理装置に当該利用者の認証を上記公開鍵暗号方式で行わ
せるための所定の処理を行う処理手段とを具えることを
特徴とする認証装置。 - 【請求項6】各利用者ごとの共通鍵暗号方式による共通
鍵と、公開鍵暗号方式による公開鍵及び秘密鍵とを保持
する第1のステップと、 外部の情報処理装置から与えられる上記利用者の認証要
求に応じて、当該利用者の情報保持媒体に保持された当
該利用者の上記共通暗号方式による上記共通鍵と、上記
保持手段に保持された当該利用者の上記共通鍵とに基づ
いて当該利用者の認証を行い、上記利用者を認証できた
場合にのみ、上記保持手段に保持された当該利用者に対
応する上記公開鍵及び上記秘密鍵を用いて、上記情報処
理装置に当該利用者の認証を上記公開鍵暗号方式で行わ
せるための所定の処理を行う第2のステップとを具える
ことを特徴とする認証方法。
Priority Applications (7)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000131872A JP2001313636A (ja) | 2000-04-28 | 2000-04-28 | 認証システム、認証方法、認証装置及びその方法 |
| DE60122612T DE60122612T2 (de) | 2000-04-28 | 2001-04-24 | Authentifizierungsvorrichtung sowie Benutzer-Authentifizierungssystem und - verfahren |
| EP01109929A EP1150452B1 (en) | 2000-04-28 | 2001-04-24 | Authentication system, authentication method, authentication apparatus, and authentication method therefor |
| SG200102297A SG101967A1 (en) | 2000-04-28 | 2001-04-25 | Authentication system, authentication method, authentication apparatus, and authentication method therefor |
| CNB011221119A CN1322696C (zh) | 2000-04-28 | 2001-04-28 | 鉴别系统、鉴别方法、鉴别设备及其鉴别方法 |
| US09/846,522 US7353385B2 (en) | 2000-04-28 | 2001-04-30 | Authentication system, authentication method, authentication apparatus, and authentication method therefor |
| HK02103097.4A HK1043675B (zh) | 2000-04-28 | 2002-04-24 | 鑒別系統、鑒別方法、鑒別設備及其鑒別方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000131872A JP2001313636A (ja) | 2000-04-28 | 2000-04-28 | 認証システム、認証方法、認証装置及びその方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2001313636A true JP2001313636A (ja) | 2001-11-09 |
Family
ID=18640684
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000131872A Pending JP2001313636A (ja) | 2000-04-28 | 2000-04-28 | 認証システム、認証方法、認証装置及びその方法 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US7353385B2 (ja) |
| EP (1) | EP1150452B1 (ja) |
| JP (1) | JP2001313636A (ja) |
| CN (1) | CN1322696C (ja) |
| DE (1) | DE60122612T2 (ja) |
| HK (1) | HK1043675B (ja) |
| SG (1) | SG101967A1 (ja) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1333544C (zh) * | 2003-03-14 | 2007-08-22 | 索尼株式会社 | 数据处理设备及其方法 |
| CN100336337C (zh) * | 2003-03-06 | 2007-09-05 | 索尼株式会社 | 数据处理器件及其方法 |
| US7421078B2 (en) | 2002-01-31 | 2008-09-02 | Fujitsu Limited | Valid medium management system |
| JP2010193110A (ja) * | 2009-02-17 | 2010-09-02 | Nippon Hoso Kyokai <Nhk> | コンテンツ取得装置、コンテンツ配信装置およびユーザ認証装置、ならびに、ユーザ署名プログラム、コンテンツ配信プログラムおよびユーザ認証プログラム |
| JP2018046575A (ja) * | 2017-11-29 | 2018-03-22 | キヤノン株式会社 | 認証システム及び画像形成装置 |
Families Citing this family (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2002009458A2 (en) * | 2000-07-24 | 2002-01-31 | Bluesocket, Inc. | Method and system for enabling seamless roaming in a wireless network |
| US7146636B2 (en) * | 2000-07-24 | 2006-12-05 | Bluesocket, Inc. | Method and system for enabling centralized control of wireless local area networks |
| JP2002183494A (ja) * | 2000-12-15 | 2002-06-28 | R & B 21:Kk | グレーディングシステム、サーバコンピュータ、カードケース、及びカード |
| WO2002065707A2 (en) * | 2000-12-26 | 2002-08-22 | Bluesocket, Inc. | Methods and systems for clock synchronization across wireless networks |
| FR2821225B1 (fr) * | 2001-02-20 | 2005-02-04 | Mobileway | Systeme de paiement electronique a distance |
| US20020136226A1 (en) * | 2001-03-26 | 2002-09-26 | Bluesocket, Inc. | Methods and systems for enabling seamless roaming of mobile devices among wireless networks |
| DE10118267A1 (de) * | 2001-04-12 | 2002-10-24 | Bosch Gmbh Robert | Verfahren zur Authentifizierung eines Anwenders bei einem Zugang zu einem softwarebasierten System über ein Zugangsmedium |
| AU2002343424A1 (en) * | 2001-09-28 | 2003-04-14 | Bluesocket, Inc. | Method and system for managing data traffic in wireless networks |
| JP2006518140A (ja) * | 2003-01-31 | 2006-08-03 | アクサルト・エス・アー | スマートカードとサーバとの間の通信 |
| JP4729839B2 (ja) * | 2003-05-20 | 2011-07-20 | 株式会社日立製作所 | Icカード |
| US9003548B2 (en) | 2004-04-13 | 2015-04-07 | Nl Systems, Llc | Method and system for digital rights management of documents |
| JP4391375B2 (ja) * | 2004-09-30 | 2009-12-24 | フェリカネットワークス株式会社 | 情報管理装置および方法、並びにプログラム |
| KR100704627B1 (ko) * | 2005-04-25 | 2007-04-09 | 삼성전자주식회사 | 보안 서비스 제공 장치 및 방법 |
| DE102005022019A1 (de) * | 2005-05-12 | 2007-02-01 | Giesecke & Devrient Gmbh | Sichere Verarbeitung von Daten |
| US8307209B2 (en) * | 2007-12-14 | 2012-11-06 | James Ng | Universal authentication method |
| US20090158038A1 (en) * | 2007-12-14 | 2009-06-18 | James Ng | Universal authentication method |
| US9100548B2 (en) * | 2008-07-17 | 2015-08-04 | Cisco Technology, Inc. | Feature enablement at a communications terminal |
| EP2902934B1 (en) * | 2014-02-03 | 2019-04-10 | Nxp B.V. | Portable Security Device, Method for Securing a Data Exchange and Computer Program Product |
| US9954832B2 (en) * | 2015-04-24 | 2018-04-24 | Encryptics, Llc | System and method for enhanced data protection |
| US11641363B2 (en) * | 2019-01-14 | 2023-05-02 | Qatar Foundation For Education, Science And Community Development | Methods and systems for verifying the authenticity of a remote service |
| CN109872426B (zh) * | 2019-02-18 | 2021-12-10 | 广州视声智能科技有限公司 | Ic卡加密和认证方法及系统 |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE3579815D1 (de) * | 1984-02-09 | 1990-10-25 | Toshiba Kawasaki Kk | Terminal zur datenverarbeitung. |
| JP2698588B2 (ja) * | 1987-11-13 | 1998-01-19 | 株式会社東芝 | 携帯可能電子装置 |
| GB2261538B (en) * | 1991-11-13 | 1995-05-24 | Bank Of England | Transaction authentication system |
| US5577121A (en) * | 1994-06-09 | 1996-11-19 | Electronic Payment Services, Inc. | Transaction system for integrated circuit cards |
| US5604801A (en) * | 1995-02-03 | 1997-02-18 | International Business Machines Corporation | Public key data communications system under control of a portable security device |
| US6252964B1 (en) * | 1995-04-03 | 2001-06-26 | Scientific-Atlanta, Inc. | Authorization of services in a conditional access system |
| US5602918A (en) * | 1995-12-22 | 1997-02-11 | Virtual Open Network Environment Corp. | Application level security system and method |
| US6138107A (en) * | 1996-01-04 | 2000-10-24 | Netscape Communications Corporation | Method and apparatus for providing electronic accounts over a public network |
| JPH1079733A (ja) * | 1996-09-03 | 1998-03-24 | Kokusai Denshin Denwa Co Ltd <Kdd> | Icカードを用いた認証方法及び認証システム |
| GB2318486B (en) * | 1996-10-16 | 2001-03-28 | Ibm | Data communications system |
| US5917913A (en) * | 1996-12-04 | 1999-06-29 | Wang; Ynjiun Paul | Portable electronic authorization devices and methods therefor |
| WO1998040982A1 (en) * | 1997-03-12 | 1998-09-17 | Visa International | Secure electronic commerce employing integrated circuit cards |
| US6161180A (en) * | 1997-08-29 | 2000-12-12 | International Business Machines Corporation | Authentication for secure devices with limited cryptography |
| JP3112076B2 (ja) * | 1998-05-21 | 2000-11-27 | 豊 保倉 | ユーザ認証システム |
| FR2779018B1 (fr) * | 1998-05-22 | 2000-08-18 | Activcard | Terminal et systeme pour la mise en oeuvre de transactions electroniques securisees |
| JP2000092046A (ja) * | 1998-09-11 | 2000-03-31 | Mitsubishi Electric Corp | 遠隔認証システム |
-
2000
- 2000-04-28 JP JP2000131872A patent/JP2001313636A/ja active Pending
-
2001
- 2001-04-24 DE DE60122612T patent/DE60122612T2/de not_active Expired - Fee Related
- 2001-04-24 EP EP01109929A patent/EP1150452B1/en not_active Expired - Lifetime
- 2001-04-25 SG SG200102297A patent/SG101967A1/en unknown
- 2001-04-28 CN CNB011221119A patent/CN1322696C/zh not_active Expired - Fee Related
- 2001-04-30 US US09/846,522 patent/US7353385B2/en not_active Expired - Fee Related
-
2002
- 2002-04-24 HK HK02103097.4A patent/HK1043675B/zh not_active IP Right Cessation
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7421078B2 (en) | 2002-01-31 | 2008-09-02 | Fujitsu Limited | Valid medium management system |
| CN100336337C (zh) * | 2003-03-06 | 2007-09-05 | 索尼株式会社 | 数据处理器件及其方法 |
| CN1333544C (zh) * | 2003-03-14 | 2007-08-22 | 索尼株式会社 | 数据处理设备及其方法 |
| JP2010193110A (ja) * | 2009-02-17 | 2010-09-02 | Nippon Hoso Kyokai <Nhk> | コンテンツ取得装置、コンテンツ配信装置およびユーザ認証装置、ならびに、ユーザ署名プログラム、コンテンツ配信プログラムおよびユーザ認証プログラム |
| JP2018046575A (ja) * | 2017-11-29 | 2018-03-22 | キヤノン株式会社 | 認証システム及び画像形成装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP1150452A3 (en) | 2002-11-13 |
| EP1150452A2 (en) | 2001-10-31 |
| EP1150452B1 (en) | 2006-08-30 |
| CN1323114A (zh) | 2001-11-21 |
| DE60122612T2 (de) | 2007-09-20 |
| DE60122612D1 (de) | 2006-10-12 |
| HK1043675B (zh) | 2007-11-30 |
| HK1043675A1 (en) | 2002-09-20 |
| US7353385B2 (en) | 2008-04-01 |
| US20020032858A1 (en) | 2002-03-14 |
| SG101967A1 (en) | 2004-02-27 |
| CN1322696C (zh) | 2007-06-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2001313636A (ja) | 認証システム、認証方法、認証装置及びその方法 | |
| US7386722B2 (en) | Certificate management system and method | |
| US7266695B2 (en) | Data updating method and data updating system | |
| CN100580657C (zh) | 分布式单一注册服务 | |
| JP4907895B2 (ja) | プライベートデータを露出せずに通信ネットワークを介してパスワードで保護されたプライベートデータを回復する方法およびシステム | |
| JP5365512B2 (ja) | ソフトウェアicカードシステム、管理サーバ、端末、サービス提供サーバ、サービス提供方法及びプログラム | |
| JP4589758B2 (ja) | データ通信システム,代行システムサーバ,コンピュータプログラム,およびデータ通信方法 | |
| US8386796B2 (en) | Information processing apparatus and information management method | |
| KR100529550B1 (ko) | 공개키 기반 구조 인증시스템에서 생체정보를 이용한인증서 권한 변경 방법 | |
| US20100042848A1 (en) | Personalized I/O Device as Trusted Data Source | |
| JP4470071B2 (ja) | カード発行システム、カード発行サーバ、カード発行方法およびプログラム | |
| KR20090075705A (ko) | 개인 정보를 포함하는 전자 증명서를 이용하여 통신 상대를 인증하기 위한 시스템, 장치, 방법, 및 컴퓨터 판독 가능한 기록 매체 | |
| JPH113033A (ja) | クライアント−サーバ電子取引においてクライアントの本人確認を確立する方法、それに関連するスマートカードとサーバ、および、ユーザが検証者と共に操作を行うことが認可されるかどうかを決定する方法とシステム | |
| KR101210260B1 (ko) | 통합센터를 이용한 유심칩기반 모바일 오티피 인증장치 및 인증방법 | |
| JP2011082662A (ja) | 通信装置及び情報処理方法及びプログラム | |
| JP4823704B2 (ja) | 認証システムおよび同システムにおける認証情報委譲方法ならびにセキュリティデバイス | |
| JP2004274211A (ja) | データ処理装置、その方法およびそのプログラム | |
| JP4226582B2 (ja) | データ更新システム | |
| JPH10336172A (ja) | 電子認証用公開鍵の管理方法 | |
| JP4998314B2 (ja) | 通信制御方法および通信制御プログラム | |
| JP3684179B2 (ja) | セキュリティ機能を有するメモリカード | |
| JP2001325037A (ja) | Icカードへのアプリケーション書込み方法及び装置 | |
| JP2005157845A (ja) | サーバシステム、クライアントサーバシステム、及びクライアントサーバシステムへのログイン方法 | |
| JP2000232442A (ja) | 情報処理方法及びシステム | |
| JP4683260B2 (ja) | 情報処理システム、情報処理装置、サーバ装置、および情報処理方法 |