JP2003069561A - User authentication system - Google Patents
User authentication systemInfo
- Publication number
- JP2003069561A JP2003069561A JP2001255243A JP2001255243A JP2003069561A JP 2003069561 A JP2003069561 A JP 2003069561A JP 2001255243 A JP2001255243 A JP 2001255243A JP 2001255243 A JP2001255243 A JP 2001255243A JP 2003069561 A JP2003069561 A JP 2003069561A
- Authority
- JP
- Japan
- Prior art keywords
- user
- server
- common key
- client
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は、クライアントとサ
ーバが外部通信ネットワークを介し通信する際の利用者
認証システムに関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a user authentication system when a client and a server communicate with each other via an external communication network.
【0002】[0002]
【従来の技術】従来より、利用者認証システムとして、
各種のものが利用されている。代表的なものとして、以
下のようなものがある。2. Description of the Related Art Conventionally, as a user authentication system,
Various things are used. The following are typical ones.
【0003】(i)パスワード方法:予め登録されたパ
スワードを入力することで利用者を認証する。(I) Password method: A user is authenticated by inputting a password registered in advance.
【0004】(ii)チャレンジレスポンス方式ワンタ
イムパスワード:認証側から乱数列を提示し、認証請求
者はこの乱数列に利用者固有の“操作・変換”を行い結
果の値を送り返す。(Ii) Challenge-response method one-time password: The authentication side presents a random number sequence, and the authentication requester performs "operation / conversion" unique to the user on this random number sequence and sends back the resulting value.
【0005】(iii)共通鍵暗号方式を用いた利用者
認証方法:通信する当事者が共通の鍵を記憶しておき、
この共通鍵を使用して認証を行う。この方式について
は、例えば、特開平5−344117号公報に示されて
いる。(Iii) User authentication method using common key cryptosystem: Communicating parties store a common key,
Authentication is performed using this common key. This method is disclosed in, for example, Japanese Patent Laid-Open No. 5-344117.
【0006】(iv)公開鍵暗号方式を用いた利用者認
証方法:各端末が自己宛の情報について暗号化する公開
鍵を配布する。そして、通信相手方の公開鍵で暗号化し
た所定のデータを送信し、これを対応する秘密鍵で解読
する。この公開鍵暗号方式は、PKI(Public
Key Infrastructure:公開鍵基盤)
として広く一般化してきている。(Iv) User authentication method using public key cryptosystem: Each terminal distributes a public key for encrypting information addressed to itself. Then, the predetermined data encrypted with the public key of the communication partner is transmitted, and this is decrypted with the corresponding private key. This public key cryptosystem is based on PKI (Public).
Key Infrastructure: Public key infrastructure)
Is becoming more and more popular.
【0007】[0007]
【発明が解決しようとする課題】このように、従来のよ
り多数の認証システムが知られている。この中で、共通
鍵暗号暗号方式は、予め共通鍵を共有しておくことがで
きるという条件が満足されれば、効率的な認証方式であ
る。As described above, a larger number of conventional authentication systems are known. Among them, the common key cryptography is an efficient authentication method if the condition that the common key can be shared in advance is satisfied.
【0008】しかし、この共通鍵方式では、まず通信を
開始する際に自己のIDを送信し、その後に共通鍵が使
用されていることで相手を認証する。このため、IDの
送信、相互の認証のための通信が必要であり、通信の際
に複数の目的のデータを送信しても、その相互認証に
は、少なくとも3回の通信が必要である。特に、従来の
方式は、通信する端末同士が離れていることを前提とし
ており、そうでない場合にはもっと効率的な認証が行え
る可能性がある。[0008] However, in this common key method, first, the self ID is transmitted when communication is started, and thereafter, the other party is authenticated by using the common key. Therefore, it is necessary to perform communication for ID transmission and mutual authentication, and even if data for a plurality of purposes are transmitted at the time of communication, the mutual authentication requires at least three times of communication. In particular, the conventional method is premised on that communication terminals are apart from each other, and if not, there is a possibility that more efficient authentication can be performed.
【0009】例えば、家庭内の機器の宅外からのリモー
トなどのシステムにおいては、リモートコントロール用
の端末機(クライアント)は、ユーザの在宅時は家庭内
にある。従って、クライアントと家庭内機器を制御する
サーバとは外部通信ネットワークを介さない直接接続し
た通信も可能である。[0009] For example, in a system such as remote control of home appliances from outside the home, the remote control terminal (client) is in the home when the user is at home. Therefore, the client and the server controlling the home device can be directly connected to each other without using an external communication network.
【0010】本発明は、直接の通信が行える環境におい
て適切な利用者認証システムを提供することを目的とす
る。An object of the present invention is to provide an appropriate user authentication system in an environment where direct communication is possible.
【0011】[0011]
【課題を解決するための手段】本発明は、クライアント
とサーバが外部通信ネットワークを介し通信する際の利
用者認証システムであって、サーバにおいて発生した共
通鍵および利用者特定情報を外部通信ネットワークを介
さず、直接クライアントに渡し、クライアントが外部通
信ネットワークを通じてサーバにアクセスする時には、
利用者特定情報と、これを共通キーで暗号化した電子署
名を含む電子証明書をサーバに送信し、サーバは、受信
した利用者特定情報から自己の記憶しているテーブルを
参照して共通キーを特定し、特定された共通キーに基づ
いて電子証明書を復号化し、そのクライアントを認証す
ることを特徴とする。SUMMARY OF THE INVENTION The present invention is a user authentication system when a client and a server communicate via an external communication network, in which a common key generated in the server and user identification information are stored in the external communication network. Pass it directly to the client without going through, and when the client accesses the server through the external communication network,
The user identification information and an electronic certificate containing an electronic signature encrypted with the common key are sent to the server, and the server refers to the table stored by the user identification information and receives the common key. Is specified, the digital certificate is decrypted based on the specified common key, and the client is authenticated.
【0012】このように、本発明によれば、利用者特定
情報と共通鍵について、外部通信ネットワークを利用せ
ずにクライアントに直接渡す。従って、クライアントが
利用者特定情報と、共通鍵を利用して電子署名を含む電
子証明書をサーバに供給することで、容易に利用者の認
識ができる。特に、クライアントが携帯端末であり、サ
ーバが家庭内サーバであれば、ユーザが外出する際に携
帯端末を携行するが、在宅時は携帯端末も自宅にある。
そこで、直接のデータの受け渡しは基本的に可能であ
り、このようなシステムが非常に好適である。As described above, according to the present invention, the user identification information and the common key are directly passed to the client without using the external communication network. Therefore, the client can easily recognize the user by supplying the user identification information and the electronic certificate including the electronic signature to the server by using the common key. In particular, if the client is a mobile terminal and the server is a home server, the mobile terminal is carried when the user goes out, but the mobile terminal is also at home when the user is at home.
Therefore, direct data transfer is basically possible, and such a system is very suitable.
【0013】また、前記利用者特定情報は、サーバで記
憶している最初に設定した利用者IDをサーバ固有鍵で
暗号化したものであり、サーバはサーバ固有鍵に基づい
て利用者特定情報を復号化して利用者IDを得、この利
用者IDを利用して共通鍵を特定することが好適であ
る。The user identification information is the user ID initially set stored in the server, encrypted with the server unique key, and the server obtains the user identification information based on the server unique key. It is preferable that the user ID is decrypted to obtain the user ID, and the common key is specified using the user ID.
【0014】このように、サーバ固有鍵で暗号化するこ
とで、異なるサーバに対する誤ったアクセス時に誤認識
が生じるのを防止できる。By thus encrypting with the server unique key, it is possible to prevent erroneous recognition from occurring when erroneous access is made to a different server.
【0015】さらに、クライアントは、前記利用者特定
情報を利用者固有鍵で暗号化した情報をサーバに送信
し、サーバは受信した情報を共通鍵で暗号化して返信
し、クライアントは、共通鍵に基づいて復号化してサー
バを認証することが好適である。これによって、相互認
証が行える。Further, the client transmits information obtained by encrypting the user identifying information with a user unique key to the server, the server encrypts the received information with a common key and returns it, and the client uses the common key as a reply. It is preferable to authenticate the server by decrypting based on the above. This allows mutual authentication.
【0016】また、サーバは、クライアントから利用者
特定情報を受信した場合に、利用者IDを新しいものに
更新することが好適である。これによって、通信盗聴に
よるなりすましに対処することができる。Further, it is preferable that the server updates the user ID with a new one when receiving the user specifying information from the client. This makes it possible to deal with spoofing due to wiretapping of communications.
【0017】また、サーバは、更新した利用者IDにつ
いて、共通鍵で暗号化してクライアントに供給すること
が好適である。これによって、通信により利用者IDが
盗まれた場合に対処できる。Further, it is preferable that the server encrypts the updated user ID with a common key and supplies the encrypted user ID to the client. This makes it possible to deal with the case where the user ID is stolen by communication.
【0018】[0018]
【発明の実施の形態】以下、本発明の実施形態につい
て、図面に基づいて説明する。BEST MODE FOR CARRYING OUT THE INVENTION Embodiments of the present invention will be described below with reference to the drawings.
【0019】図1は、システムの全体構成を示す図であ
る。自宅10には、例えば通信機能を有するコンピュー
タで構成される家庭内サーバ12が設置されている。ま
た、この家庭内サーバ12には、ホームネットワーク1
4を介し、宅内機器16が接続されている。この宅内機
器16は、エアコン、テレビ、ビデオ、オーディオ機
器、パソコン、デジタルカメラなどの電子的制御可能の
機器であり、複数接続することも可能である。そして、
家庭内サーバ12が、これらの宅内機器16の外部ネッ
トワーク30への接続を制御する。なお、各宅内機器1
6は、基本的にそれぞれ個別にマニュアル操作が可能で
ある。FIG. 1 is a diagram showing the overall configuration of the system. An in-home server 12 including, for example, a computer having a communication function is installed in the home 10. In addition, the home network 1 includes a home network 1
An in-home device 16 is connected via 4. The in-home device 16 is an electronically controllable device such as an air conditioner, a television, a video device, an audio device, a personal computer and a digital camera, and a plurality of devices can be connected. And
The home server 12 controls the connection of these home devices 16 to the external network 30. In addition, each home device 1
Basically, 6 can be manually operated individually.
【0020】自宅10の家庭内サーバ12には、外部ネ
ットワーク30を介し、宅外機器20が接続されてい
る。外部ネットワークは、例えばインターネットのよう
な公衆回線を利用したネットワークである。また、宅外
機器20は、ユーザが携帯する端末装置であり、携帯電
話機や、PDA(パーソナル・デジタル・アシスタン
ト)などが好適である。An external device 20 is connected to the home server 12 of the home 10 via an external network 30. The external network is a network using a public line such as the Internet. The out-of-home device 20 is a terminal device carried by the user, and is preferably a mobile phone, a PDA (Personal Digital Assistant), or the like.
【0021】さらに、自宅10の家庭内サーバ12に
は、インタフェース18が設けられており、このインタ
フェース18に宅外機器20を直接接続して、外部ネッ
トワーク30を介さないデータのやりとりが行えるよう
になっている。Further, the home server 12 of the home 10 is provided with an interface 18, and the external equipment 20 is directly connected to the interface 18 so that data can be exchanged without passing through the external network 30. Has become.
【0022】このような構成により、ユーザが宅外機器
20を携帯して、外出した場合、外出先から外部ネット
ワーク30を介し、自宅10の家庭内サーバ12に接続
し、宅内機器の各種動作を制御することができる。ま
た、ユーザが自宅にいるときには、宅外機器20を家庭
内サーバ12のインタフェース18に接続して、宅外機
器20と家庭内サーバ12との間で、直接の通信がなさ
れる。With this configuration, when the user carries the out-of-home device 20 and goes out, he / she connects to the home server 12 of the home 10 through the external network 30 from outside to perform various operations of the home device. Can be controlled. Also, when the user is at home, the out-of-home device 20 is connected to the interface 18 of the home server 12, and direct communication is performed between the out-of-home device 20 and the home server 12.
【0023】図2に、家庭内サーバ12の機能ブロック
図を示す。利用者ID生成部12cは、所定の操作によ
り、ユーザについての利用者IDを生成する。また、共
通鍵生成部12dは、生成された利用者IDに対し、共
通鍵EKKを生成する。そして、利用者IDと共通鍵EKK
は、対応づけられて利用者ID共通鍵保存部12fに保
存される。また、利用者ID更新部12aは、利用者の
認証の度に利用者IDを更新する。FIG. 2 shows a functional block diagram of the home server 12. The user ID generation unit 12c generates a user ID for the user by performing a predetermined operation. Further, the common key generation unit 12d generates a common key E KK for the generated user ID. Then, the user ID and the common key E KK
Are stored in the user ID common key storage unit 12f in association with each other. Further, the user ID updating unit 12a updates the user ID each time the user is authenticated.
【0024】電子証明書発行部12gは、共通鍵EKKと
利用者ID(利用者特定情報)とから電子証明書を発行
する。また、この際に利用者IDをサーバ固有鍵生成部
12eから供給されるサーバ固有鍵ESKによって暗号化
する。すなわち、電子証明書に含まれる利用者ID(利
用者特定情報)は、利用者IDをサーバ固有鍵ESKで暗
号化したものである。The electronic certificate issuing unit 12g issues an electronic certificate from the common key E KK and the user ID (user identification information). Further, at this time, the user ID is encrypted by the server unique key E SK supplied from the server unique key generating unit 12e. That is, the user ID (user identification information) included in the electronic certificate is the user ID encrypted with the server unique key E SK .
【0025】クライアント認証用データ比較部12h
は、宅外機器から送られてきた電子証明書の電子署名を
利用者ID共通鍵保存部12fに保存されている利用者
IDに対応づけられた共通鍵EKKで復号し、電子証明
書発行部12gで発生した電子証明書のダイジェストと
比較して、クライアントの認証を行う。Data comparison unit 12h for client authentication
Decrypts the electronic signature of the electronic certificate sent from the out-of-home device with the common key EKK associated with the user ID stored in the user ID common key storage unit 12f, and issues the electronic certificate. Authenticate the client by comparing with the digest of the digital certificate generated in 12g.
【0026】また、サーバ認証用データ暗号化部12b
は、クライアントから送られてくるサーバ認証用データ
を共通鍵で暗号化する。Further, the server authentication data encryption unit 12b.
Encrypts the server authentication data sent from the client with the common key.
【0027】図3には、宅外機器20の機能ブロック図
が示されている。クライアント認証用電子証明書発行部
20aは、サーバ認証用のデータを発生する。このサー
バ認証用データは、家庭内サーバ12で発行された利用
者IDをサーバ固有鍵ESKで暗号化したものをさらにク
ライアント固有鍵生成部20dで生成したクライアント
固有鍵ERKで暗号化する。FIG. 3 shows a functional block diagram of the external device 20. The client authentication digital certificate issuing unit 20a generates data for server authentication. This server authentication data is obtained by encrypting the user ID issued by the home server 12 with the server unique key E SK , and further encrypted with the client unique key E RK generated by the client unique key generating unit 20d.
【0028】サーバ認証用データ比較部20cは、家庭
内サーバ12から送られてくるサーバ認証用データを共
通鍵で暗号化したデータから取り出したサーバ認証用デ
ータが正しいかを比較する。The server authentication data comparison unit 20c compares the server authentication data sent from the home server 12 with the common key to obtain the correct server authentication data.
【0029】次に、このようなシステムにおける動作に
ついて、図4〜図6に示すフローチャートおよびシーケ
ンス図に基づいて説明する。Next, the operation of such a system will be described with reference to the flow charts and sequence diagrams shown in FIGS.
【0030】まず、図4に示すように、家庭内サーバ1
2において、利用者IDを設定する(S101)。これ
は、ユーザが家庭内サーバ12を操作して行う。これに
よって、利用者ID生成部12cにおいて、利用者ID
が設定される。次に、共通鍵生成部12dが設定された
利用者IDに対応する共通鍵EKKを発生する(S10
2)。この共通鍵は通常乱数であり、この発生には、従
来から知られている各種の手法が利用される。そして、
発生された利用者IDと共通鍵EKKが利用者ID共通鍵
保存部12fに保存される(S103)。First, as shown in FIG. 4, the home server 1
In 2, the user ID is set (S101). This is done by the user operating the home server 12. As a result, in the user ID generation unit 12c, the user ID
Is set. Next, the common key generation unit 12d generates a common key E KK corresponding to the set user ID (S10).
2). This common key is usually a random number, and various conventionally known methods are used for this generation. And
The generated user ID and common key E KK are stored in the user ID common key storage unit 12f (S103).
【0031】次に、電子証明書発行部12gが利用者I
Dをサーバ固有鍵生成部12eからのサーバ固有鍵ESK
により利用者IDを暗号化してESK(利用者ID)を
得、これに共通鍵EKKを添付して電子証明書を発行する
(S104)。Next, the electronic certificate issuing unit 12g sends the user I
D is the server unique key E SK from the server unique key generating unit 12e
Then, the user ID is encrypted to obtain E SK (user ID), and the common key E KK is attached to this to issue an electronic certificate (S104).
【0032】そして、得られた電子証明書を宅外機器2
0にコピーする(S105)。ここで、このコピーは、
外部ネットワーク30を利用しない。すなわち、宅外機
器20は、ユーザが自宅10にいるときには、自宅10
にある。そこで、ユーザが自宅10において家庭内サー
バ12の接続手段の1つであるインタフェース18に直
接接続し、電子証明書をコピーする。例えば、ホームネ
ットワーク14を介する通信でもよい。Then, the obtained electronic certificate is used as the outside device 2
It is copied to 0 (S105). Where this copy is
The external network 30 is not used. That is, when the user is at home 10, the external device 20 is connected to the home 10
It is in. Therefore, the user directly connects to the interface 18 which is one of the connecting means of the home server 12 at home 10 and copies the electronic certificate. For example, it may be communication via the home network 14.
【0033】例えば、ユーザが外出するときに、宅外機
器20とインタフェース18を接続することで、自動的
にS105におけるコピーが実行されることが好適であ
る。また、このコピーされた電子証明書については、有
効期限をつけることが好ましく、この有効期限はユーザ
が設定できるようにすることも好適である。なお、この
電子証明書のコピーは、外部ネットワークを介する通信
でなければ、どんな手法でもよい。For example, when the user goes out, it is preferable that the copy in S105 is automatically executed by connecting the external device 20 and the interface 18. Further, it is preferable that the copied electronic certificate has an expiration date, and it is also preferable that the expiration date can be set by the user. It should be noted that the method of copying the electronic certificate may be any method as long as it is not communication through the external network.
【0034】このようにして、ユーザは、電子証明書を
記憶した宅外機器20を携帯して外出する。そして、ユ
ーザが宅外機器20を利用して自宅10の宅内機器16
を操作する場合には、次のようにして相互認証を行う。In this way, the user carries out the out-of-home device 20 storing the electronic certificate and goes out. The user uses the out-of-home device 20 and the in-home device 16 of the home 10
Mutual authentication is performed as follows when operating.
【0035】まず、図5に示すように、宅外機器(クラ
イアント)20において、コピーされている電子証明書
から共通鍵EKKを取り出す(S201)。そして、クラ
イアント認証用電子証明書発行部20aが共通鍵EKKを
取り除いた部分について共通鍵EKKにより電子署名を行
った電子証明書Cを作成する(S202)。なお、この
電子証明書Cには、電子証明書に含まれているサーバ固
有鍵ESKによって暗号化された利用者IDであるE
SK(利用者ID)を含める。First, as shown in FIG. 5, the common key E KK is taken out from the copied digital certificate in the outside device (client) 20 (S201). Then, to create a digital certificate C was performed digital signature by the common key E KK for portions client authentication for electronic certificate issuing unit 20a is removed symmetric key E KK (S202). The electronic certificate C is a user ID E encrypted with the server unique key E SK included in the electronic certificate.
Include SK (User ID).
【0036】さらに、宅外機器20において、サーバ認
証用データ作成部20bがサーバ認証用データを作成す
る(S203)。すなわち、サーバ認証用データ作成部
は、電子証明書に含まれるサーバ固有鍵ESKで暗号化し
たユーザIDであるESK(利用者ID)をクライアント
固有鍵生成部20dで生成したクライアント固有鍵E RK
で暗号化しサーバ認証用データERK(ESK(利用者I
D))を作成する。Furthermore, in the outside device 20, the server authentication
The certificate data creation unit 20b creates server authentication data.
(S203). That is, the server authentication data creation unit
Is the server unique key E included in the digital certificateSKEncrypted with
User ID ESKClient (user ID)
Client unique key E generated by the unique key generation unit 20d RK
Server authentication data E encrypted withRK(ESK(User I
D)) is created.
【0037】そして、作成された電子証明書Cと、サー
バ認証用データERK(ESK(利用者ID))を家庭内サ
ーバ12に送信する(S204)。なお、図6において
は、2つのデータの送信を別々に記載しているが、図中
に(ii)で示す2つの送信は、同時に行う。Then, the created electronic certificate C and the server authentication data E RK (E SK (user ID)) are transmitted to the home server 12 (S204). It should be noted that although FIG. 6 describes the transmission of two data separately, the two transmissions indicated by (ii) in the figure are performed simultaneously.
【0038】家庭内サーバ12においては、受け取った
電子証明書CからESK(利用者ID)を取り出す(S2
05)。そして、このESK(利用者ID)をサーバ固有
鍵E SKで復号し、利用者IDを得る(S206)。In the home server 12, the received
Digital certificate C to ESKRetrieve (user ID) (S2
05). And this ESK(User ID) is unique to the server
Key E SKDecryption is performed to obtain the user ID (S206).
【0039】次に、得られた利用者IDにより利用者I
D共通鍵保存部12fを参照し、そのユーザの共通鍵E
KKを特定する(S207)。そして、クライアント認証
用データ比較部12hにおいて、特定された共通鍵EKK
で電子署名を復号して電子証明書Cを認証する。すなわ
ち、電子証明書Cの電子署名が共通鍵EKKで署名されて
いることを確認する(S208)ことで、クライアント
を認証する。Next, the user I is obtained from the obtained user ID.
Referring to the D common key storage unit 12f, the common key E of the user
KK is specified (S207). Then, in the client authentication data comparison unit 12h, the specified common key E KK
Then, the electronic signature is decrypted to authenticate the electronic certificate C. That is, the client is authenticated by confirming that the electronic signature of the electronic certificate C is signed by the common key E KK (S208).
【0040】一方、利用者ID更新部12aにおいて利
用者IDを新しい利用者ID’に更新し、更新した利用
者ID’をサーバ固有鍵ESKで暗号化し、さらに共通鍵
EKKで暗号化する(S209)。これによって、E
KK(ESK(利用者ID’))が得られる。このように利
用者IDを更新することで、盗聴によるなりすましに対
応することができる。さらに、共通鍵EKKにより暗号化
されているため、S209で得た情報をクライアントに
送信しても、利用者ID’が盗まれることはない。な
お、自宅10内における利用者IDを利用者ID’に更
新してもよいが、更新せずにそのままとしておいてもよ
い。ただし、利用者ID共通鍵保存部12fのデータは
更新する必要がある。On the other hand, the user ID updating unit 12a updates the user ID to a new user ID ', and the updated user ID' is encrypted with the server unique key E SK and further with the common key E KK. (S209). By this, E
KK (E SK (user ID ')) is obtained. By updating the user ID in this way, spoofing due to eavesdropping can be dealt with. Furthermore, since it is encrypted with the common key E KK , the user ID 'will not be stolen even if the information obtained in S209 is sent to the client. The user ID in the home 10 may be updated to the user ID ', but it may be left as it is without being updated. However, the data in the user ID common key storage unit 12f needs to be updated.
【0041】また、サーバ認証用データ暗号化部12b
は、クライアントから受け取ったE RK(ESK(利用者I
D))について、共通鍵EKKで暗号化する(S21
0)。Further, the server authentication data encryption unit 12b.
Is the E received from the client RK(ESK(User I
For D)), the common key EKKEncrypt with (S21
0).
【0042】そして、家庭内サーバ12は、EKK(ESK
(利用者ID’))と、共通鍵EKKで暗号化したサーバ
認証用データEKK(ERK(ESK(利用者ID)))をク
ライアントに転送する(S211)。図6において、
(iii)で記載されている2つの情報の転送が同時に
行われる。Then, the home server 12 uses the E KK (E SK
(User ID ')) and server authentication data E KK (E RK (E SK (user ID))) encrypted with the common key E KK are transferred to the client (S211). In FIG.
The two pieces of information described in (iii) are transferred at the same time.
【0043】クライアントのサーバ認証用データ比較部
20cは、サーバからの情報から暗号化されたサーバ認
証データEKK(ERK(ESK(利用者ID)))を共通鍵
EKKで復号して確認する(S212)。また、受け取っ
たEKK(ESK(利用者ID’)を共通鍵EKKで復号し、
クライアント認証用電子証明書発行部20aにおいて使
用する情報をESK(利用者ID)からESK(利用者I
D’)に変更し、個々において発行する電子証明書Cを
更新する(S213)。The server authentication data comparison unit 20c of the client decrypts the server authentication data E KK (E RK (E SK (user ID))) encrypted from the information from the server with the common key E KK. Confirm (S212). In addition, the received E KK (E SK (user ID ') is decrypted with the common key E KK ,
E information to be used in client authentication for electronic certificate issuing unit 20a from E SK (user ID) SK (user I
D '), and the electronic certificate C issued individually is updated (S213).
【0044】このように、本実施形態では、共通鍵暗号
方式をベースにした利用者認証方式を提供する。以下
に、この特徴をまとめて示す。As described above, the present embodiment provides the user authentication method based on the common key encryption method. The features are summarized below.
【0045】(i)公開鍵暗号方式で用いられている公
開鍵証明書に類似した電子証明書を使用する。ここに
は、最低限、サーバ固有鍵で暗号化した利用者IDとその
利用者との間で使用する共通鍵を含める。利用者IDをサ
ーバ固有鍵で暗号化するのは、異なるサーバへ対する証
明書送付であったかどうかを確認するためである。(I) An electronic certificate similar to the public key certificate used in the public key cryptosystem is used. Here, at least, the user ID encrypted with the server unique key and the common key used between the user and the user are included. The reason why the user ID is encrypted with the server unique key is to confirm whether the certificate was sent to a different server.
【0046】(ii)また、家庭内サーバ12は、この
電子証明書を発行し、宅外へ持出す機器にオフラインで
提供する。すなわち、直接接続で電子証明書を提供す
る。このように、発行された電子証明書をオフラインで
宅外機器へ提供することで、宅外機器と家庭内サーバの
間の利用者認証を2回の通信で実現できる。(Ii) Further, the home server 12 issues this electronic certificate and provides it offline to the device taken out of the house. That is, the digital certificate is provided by direct connection. In this way, by providing the issued electronic certificate to the out-of-home device offline, user authentication between the out-of-home device and the in-home server can be realized in two communications.
【0047】(iv)家庭内サーバ12が宅外機器20
を認証するクライアント認証では、宅外機器20がオフ
ラインで入手した電子証明書から共通鍵を取り除き、そ
の共通鍵で署名したものを家庭内サーバ12へ送り、家
庭内サーバ12は、受け取った電子証明書から利用者ID
を取りだしそれをキーにして利用者向けの共通鍵を探
し、署名を復号してクライアントの正当性を確認する。
従って、共通鍵を利用してクライアントの認証が効率的
に行える。(Iv) The home server 12 is the out-of-home device 20
In the client authentication for authenticating, the remote device 20 removes the common key from the electronic certificate obtained off-line, sends the signature with the common key to the home server 12, and the home server 12 receives the received electronic certificate. From the user ID
Then, it is used as a key to find a common key for users, and the signature is decrypted to confirm the client's legitimacy.
Therefore, the common key can be used to efficiently authenticate the client.
【0048】(v)家庭内サーバ12は、通信を盗聴さ
れてなりすまされることを防ぐために、次回の利用者認
証のために利用者IDを更新する。さらに、更新された利
用者IDをサーバの固有鍵で暗号化し、共通鍵で暗号化
してクライアントに渡す。共通鍵で暗号化するため、家
庭内サーバが使っている利用者IDが漏れることを効果的
に防止できる。(V) The home server 12 updates the user ID for the next user authentication in order to prevent eavesdropping on the communication and spoofing. Further, the updated user ID is encrypted with the unique key of the server, encrypted with the common key, and passed to the client. Since it is encrypted with the common key, it is possible to effectively prevent the user ID used by the home server from leaking.
【0049】(vi)クライアントから見たサーバ認証
では、サーバ固有鍵で暗号化された利用者IDをクライア
ント固有鍵で暗号化したものを認証するためのキーワー
ドと見なし、これを家庭内サーバ12へ送り、家庭内サ
ーバ12はこれを共通鍵で暗号化してクライアントに返
す。クライアントはこれを復号し、送ったものと比較し
てサーバを認証する。クライアント固有鍵を用いること
で、家庭内サーバ12だけによる通信の偽造を防ぐこと
ができる。(Vi) In the server authentication seen from the client, the user ID encrypted with the server unique key is regarded as a keyword for authenticating the user ID encrypted with the client unique key, and this is sent to the home server 12. The home server 12 encrypts this with a common key and returns it to the client. The client decrypts this and compares it with what it sends to authenticate the server. By using the client unique key, forgery of communication by only the home server 12 can be prevented.
【0050】なお、上述の説明においては、暗号化した
鍵で、復号化することとしたが、復号には暗号化鍵とペ
アになる復号化鍵を利用するようにしてもよい。In the above description, the encrypted key is used for decryption, but a decryption key that forms a pair with the encryption key may be used for decryption.
【0051】また、本実施形態では、オフラインによる
電子証明書の発行の度に、共通鍵を変更するが、必ずし
も変更する必要はない。Further, in this embodiment, the common key is changed every time the electronic certificate is issued offline, but it is not always necessary to change it.
【0052】[0052]
【発明の効果】以上説明したように、本発明によれば、
利用者特定情報と共通鍵について、外部通信ネットワー
クを利用せずにクライアントに直接渡す。従って、クラ
イアントが利用者特定情報と、共通鍵を利用して電子署
名を含む電子証明書をサーバに供給することで、容易に
利用者の認識ができる。特に、クライアントが携帯端末
であり、サーバが家庭内サーバであれば、ユーザが外出
する際に携帯端末を携行するが、在宅時は携帯端末も自
宅にある。そこで、直接のデータの受け渡しは基本的に
可能であり、このようなシステムが非常に好適である。As described above, according to the present invention,
Pass the user identification information and common key directly to the client without using the external communication network. Therefore, the client can easily recognize the user by supplying the user identification information and the electronic certificate including the electronic signature to the server by using the common key. In particular, if the client is a mobile terminal and the server is a home server, the mobile terminal is carried when the user goes out, but the mobile terminal is also at home when the user is at home. Therefore, direct data transfer is basically possible, and such a system is very suitable.
【0053】また、利用者IDをサーバ固有鍵で暗号化
した利用者特定情報を使用することで、異なるサーバに
対する誤ったアクセス時に誤認識が生じるのを防止でき
る。Further, by using the user identification information in which the user ID is encrypted with the server unique key, it is possible to prevent erroneous recognition from occurring when erroneous access is made to a different server.
【0054】また、サーバは、クライアントから利用者
特定情報を受信した場合に、利用者IDを新しいものに
更新することで、通信盗聴によるなりすましに対処する
ことができる。Further, when the server receives the user identification information from the client, the server updates the user ID to a new one, so that the server can cope with spoofing due to wiretapping of communication.
【図1】 システムの全体構成を示す図である。FIG. 1 is a diagram showing an overall configuration of a system.
【図2】 家庭内サーバ(サーバ)の機能ブロック図で
ある。FIG. 2 is a functional block diagram of a home server.
【図3】 宅外機器(クライアント)の機能ブロック図
である。FIG. 3 is a functional block diagram of an external device (client).
【図4】 電子証明書発行の手順を示すフローチャート
である。FIG. 4 is a flowchart showing a procedure for issuing a digital certificate.
【図5】 相互認証の手順を示すフローチャートであ
る。FIG. 5 is a flowchart showing a mutual authentication procedure.
【図6】 相互認証の手順を示す図である。FIG. 6 is a diagram showing a procedure of mutual authentication.
10 自宅、12 家庭内サーバ、14 ホームネット
ワーク、16 宅内機器、18 インタフェース、20
宅外機器、30 外部ネットワーク。10 home, 12 home server, 14 home network, 16 home equipment, 18 interface, 20
Out-of-home equipment, 30 external network.
Claims (5)
クを介し通信する際の利用者認証システムであって、 サーバにおいて発生した共通鍵および利用者特定情報を
外部通信ネットワークを介さず、直接クライアントに渡
し、 クライアントが外部通信ネットワークを通じてサーバに
アクセスする時には、利用者特定情報と、これを共通キ
ーで暗号化した電子署名を含む電子証明書をサーバに送
信し、 サーバは、受信した利用者特定情報から自己の記憶して
いるテーブルを参照して共通キーを特定し、特定された
共通キーに基づいて電子証明書を復号化し、そのクライ
アントを認証する利用者認証システム。1. A user authentication system for communication between a client and a server via a communication network, wherein a common key and user identification information generated in the server are directly passed to the client without passing through an external communication network. When the server accesses the server through the external communication network, it sends the user identification information and the digital certificate containing the electronic signature encrypted with the common key to the server, and the server receives the user identification information from the received user identification information. A user authentication system that refers to a stored table to identify a common key, decrypts a digital certificate based on the identified common key, and authenticates the client.
定した利用者IDをサーバ固有鍵で暗号化したものであ
り、サーバはサーバ固有鍵に基づいて利用者特定情報を
復号化して利用者IDを得、この利用者IDを利用して
共通鍵を特定する利用者認証システム。2. The system according to claim 1, wherein the user identification information is an initially set user ID stored in the server encrypted with a server unique key, and the server is unique to the server. A user authentication system that decrypts user identification information based on a key to obtain a user ID, and uses this user ID to identify a common key.
いて、 さらに、 クライアントは、前記利用者特定情報を利用者固有鍵で
暗号化した情報をサーバに送信し、 サーバは受信した情報を共通鍵で暗号化して返信し、 クライアントは、共通鍵に基づいて復号化してサーバを
認証する利用者認証システム。3. The system according to claim 1, wherein the client further transmits information obtained by encrypting the user identification information with a user unique key to the server, and the server receives the received information as a common key. A user authentication system that authenticates the server by decrypting based on a common key, and then replying after encrypting with.
ステムにおいて、 サーバは、クライアントから利用者特定情報を受信した
場合に、利用者IDを新しいものに更新する利用者認証
システム。4. The user authentication system according to claim 1, wherein the server updates the user ID with a new one when the user identification information is received from the client.
化してクライアントに供給する利用者認証システム。5. The user authentication system according to claim 4, wherein the server encrypts the updated user ID with a common key and supplies the encrypted user ID to the client.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001255243A JP2003069561A (en) | 2001-08-24 | 2001-08-24 | User authentication system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001255243A JP2003069561A (en) | 2001-08-24 | 2001-08-24 | User authentication system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2003069561A true JP2003069561A (en) | 2003-03-07 |
Family
ID=19083253
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001255243A Pending JP2003069561A (en) | 2001-08-24 | 2001-08-24 | User authentication system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2003069561A (en) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005085169A (en) * | 2003-09-10 | 2005-03-31 | Melco Holdings Inc | Method, recording medium and system for remote access |
| WO2009041387A1 (en) * | 2007-09-27 | 2009-04-02 | Nec Personal Products, Ltd. | Authentication apparatus, device authentication system and program |
| JP2010170578A (en) * | 2010-04-09 | 2010-08-05 | Melco Holdings Inc | Remote access system, remote access method and remote access program |
| US7996322B2 (en) | 2003-10-01 | 2011-08-09 | Samsung Electronics Co., Ltd. | Method of creating domain based on public key cryptography |
| JP6408180B1 (en) * | 2018-03-20 | 2018-10-17 | ヤフー株式会社 | Terminal control program, terminal device, and terminal control method |
| JP2018164134A (en) * | 2017-03-24 | 2018-10-18 | Kddi株式会社 | Information processing system, information processing method, and program |
| CN111167122A (en) * | 2020-01-07 | 2020-05-19 | 福建天晴在线互动科技有限公司 | Wake algorithm based dynamic key issuing reinforcing method and system |
| JP2020141357A (en) * | 2019-03-01 | 2020-09-03 | 株式会社Ihi | Server device, terminal device, authentication system, and authentication method |
-
2001
- 2001-08-24 JP JP2001255243A patent/JP2003069561A/en active Pending
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4558295B2 (en) * | 2003-09-10 | 2010-10-06 | 株式会社メルコホールディングス | Remote access system, remote access method, and remote access program |
| JP2005085169A (en) * | 2003-09-10 | 2005-03-31 | Melco Holdings Inc | Method, recording medium and system for remote access |
| US7996322B2 (en) | 2003-10-01 | 2011-08-09 | Samsung Electronics Co., Ltd. | Method of creating domain based on public key cryptography |
| WO2009041387A1 (en) * | 2007-09-27 | 2009-04-02 | Nec Personal Products, Ltd. | Authentication apparatus, device authentication system and program |
| JPWO2009041387A1 (en) * | 2007-09-27 | 2011-01-27 | Necパーソナルプロダクツ株式会社 | Authentication device, device authentication system and program |
| JP2010170578A (en) * | 2010-04-09 | 2010-08-05 | Melco Holdings Inc | Remote access system, remote access method and remote access program |
| JP2018164134A (en) * | 2017-03-24 | 2018-10-18 | Kddi株式会社 | Information processing system, information processing method, and program |
| JP6408180B1 (en) * | 2018-03-20 | 2018-10-17 | ヤフー株式会社 | Terminal control program, terminal device, and terminal control method |
| JP2019165418A (en) * | 2018-03-20 | 2019-09-26 | ヤフー株式会社 | Terminal control program, terminal device and terminal control method |
| JP2020141357A (en) * | 2019-03-01 | 2020-09-03 | 株式会社Ihi | Server device, terminal device, authentication system, and authentication method |
| JP7200754B2 (en) | 2019-03-01 | 2023-01-10 | 株式会社Ihi | Server device, terminal device, authentication system and authentication method |
| CN111167122A (en) * | 2020-01-07 | 2020-05-19 | 福建天晴在线互动科技有限公司 | Wake algorithm based dynamic key issuing reinforcing method and system |
| CN111167122B (en) * | 2020-01-07 | 2023-09-08 | 福建天晴在线互动科技有限公司 | Dynamic key issuing reinforcement method and system based on wake algorithm |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5265744B2 (en) | Secure messaging system using derived key | |
| US6192130B1 (en) | Information security subscriber trust authority transfer system with private key history transfer | |
| US20220158832A1 (en) | Systems and Methods for Deployment, Management and Use of Dynamic Cipher Key Systems | |
| US6651166B1 (en) | Sender driven certification enrollment system | |
| US7366905B2 (en) | Method and system for user generated keys and certificates | |
| US7395549B1 (en) | Method and apparatus for providing a key distribution center without storing long-term server secrets | |
| CN111600875B (en) | Anonymous data sharing method and system based on data source and data master hiding | |
| KR100965465B1 (en) | System and method for secure record protocol using shared knowledge of mobile user credentials | |
| US20100017599A1 (en) | Secure digital content management using mutating identifiers | |
| JP2004266342A (en) | System and terminal for radio ad hoc communication, decrypting method and encrypting method in the terminal, broadcast encrypting key distributing method, and program for making the terminal execute the method | |
| US20080031458A1 (en) | System, methods, and apparatus for simplified encryption | |
| JP2010158030A (en) | Method, computer program, and apparatus for initializing secure communication among and for exclusively pairing device | |
| US20050027979A1 (en) | Secure transmission of data within a distributed computer system | |
| JP2001251297A (en) | Information processor, and cipher communication system and method provided with the processor | |
| KR100559958B1 (en) | System and Method for Intermediate of Authentication Tool Between Mobile Communication Terminal | |
| JP2003069561A (en) | User authentication system | |
| JPH08335208A (en) | Method and system for proxy authorization | |
| JP3684266B2 (en) | Access control method and system for encrypted shared data | |
| JP4924943B2 (en) | Authenticated key exchange system, authenticated key exchange method and program | |
| JP2001111538A (en) | Communication system, method therefor, communication equipment and ic card | |
| CN112019553B (en) | Data sharing method based on IBE/IBBE | |
| CN113918971A (en) | Block chain based message transmission method, device, equipment and readable storage medium | |
| KR20110053578A (en) | An authentication method of device member in ubiquitous computing network | |
| TWI758616B (en) | Secure interaction system and communication display device | |
| JPH0373633A (en) | Cryptographic communication system |