JP2003263414A - 認証処理方法及び認証処理装置 - Google Patents
認証処理方法及び認証処理装置Info
- Publication number
- JP2003263414A JP2003263414A JP2002063464A JP2002063464A JP2003263414A JP 2003263414 A JP2003263414 A JP 2003263414A JP 2002063464 A JP2002063464 A JP 2002063464A JP 2002063464 A JP2002063464 A JP 2002063464A JP 2003263414 A JP2003263414 A JP 2003263414A
- Authority
- JP
- Japan
- Prior art keywords
- password
- authentication
- base station
- encryption key
- subscriber station
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
(57)【要約】
【課題】 本発明は正規の利用者を認証するだけでなく
利用者が接続を許可された特定の機器を使用しているか
否かの識別を可能にするとともにデータの暗号化及び復
号化に利用される共通鍵の受け渡しを不要にすることが
可能な認証処理方法及び認証処理装置を提供することを
目的とする。 【解決手段】 加入者局ではその機器固有の第1のパス
ワードと利用者が入力する第2のパスワードとを組み合
わせて第1の暗号化キーを生成し、基地局ではそれが保
持する第3のパスワード及び第4のパスワードを組み合
わせて第2の暗号化キーを生成し、基地局は加入者局に
前記第2の暗号化キーで暗号化した認証要求を送信し、
加入者局は受信した認証要求を前記第1の暗号化キーを
用いて復号し認証要求として認識し前記第1の暗号化キ
ーを用いて暗号化した認証応答を基地局に送信し、基地
局は受信した認証応答を前記第2の暗号化キーを用いて
復号し認証応答の正当性を認識する。
利用者が接続を許可された特定の機器を使用しているか
否かの識別を可能にするとともにデータの暗号化及び復
号化に利用される共通鍵の受け渡しを不要にすることが
可能な認証処理方法及び認証処理装置を提供することを
目的とする。 【解決手段】 加入者局ではその機器固有の第1のパス
ワードと利用者が入力する第2のパスワードとを組み合
わせて第1の暗号化キーを生成し、基地局ではそれが保
持する第3のパスワード及び第4のパスワードを組み合
わせて第2の暗号化キーを生成し、基地局は加入者局に
前記第2の暗号化キーで暗号化した認証要求を送信し、
加入者局は受信した認証要求を前記第1の暗号化キーを
用いて復号し認証要求として認識し前記第1の暗号化キ
ーを用いて暗号化した認証応答を基地局に送信し、基地
局は受信した認証応答を前記第2の暗号化キーを用いて
復号し認証応答の正当性を認識する。
Description
【0001】
【発明の属する技術分野】本発明は、通信システムの不
正利用などを防止するための基地局と加入者局との間の
認証に適用される認証処理方法及び認証処理装置に関す
る。
正利用などを防止するための基地局と加入者局との間の
認証に適用される認証処理方法及び認証処理装置に関す
る。
【0002】
【従来の技術】一般に、ユーザが公衆網などのネットワ
ークにアクセスする場合には、ユーザが使用する加入者
局を基地局に接続し、基地局を介して加入者局をネット
ワークに接続する。また、セキュリティを考慮した通信
システムにおいては、基地局と加入者局との間で認証手
続きを行い、予め登録されたユーザのみに対して通信サ
ービスを提供する。
ークにアクセスする場合には、ユーザが使用する加入者
局を基地局に接続し、基地局を介して加入者局をネット
ワークに接続する。また、セキュリティを考慮した通信
システムにおいては、基地局と加入者局との間で認証手
続きを行い、予め登録されたユーザのみに対して通信サ
ービスを提供する。
【0003】従来例の認証方法について、図2を参照し
て説明する。基地局は、認証を試みる加入者局に対し
て、認証要求コマンドに乱数Xを添付して送信する。こ
の認証要求コマンドを受信した加入者局は、添付されて
いる乱数と予め定められたパスワード(利用者から入力
されるPY0)とをハッシュ関数にかけて新たなパスワ
ードPY1を生成する。
て説明する。基地局は、認証を試みる加入者局に対し
て、認証要求コマンドに乱数Xを添付して送信する。こ
の認証要求コマンドを受信した加入者局は、添付されて
いる乱数と予め定められたパスワード(利用者から入力
されるPY0)とをハッシュ関数にかけて新たなパスワ
ードPY1を生成する。
【0004】そして、加入者局はパスワードPY1を添
付した認証応答を基地局に対して送信する。この認証応
答を受信すると、基地局は前記乱数と予め定められたパ
スワード(基地局の管理者が予め入力したPY2)を前
記ハッシュ関数にかけて新たなパスワードPY3を生成
する。また、基地局は生成したパスワードPY3と加人
者局からの認証応答に添付されているパスワードPY1
とを比較し、これらが一致した場合に、加入者局のネッ
トワークヘの接続を許可する。
付した認証応答を基地局に対して送信する。この認証応
答を受信すると、基地局は前記乱数と予め定められたパ
スワード(基地局の管理者が予め入力したPY2)を前
記ハッシュ関数にかけて新たなパスワードPY3を生成
する。また、基地局は生成したパスワードPY3と加人
者局からの認証応答に添付されているパスワードPY1
とを比較し、これらが一致した場合に、加入者局のネッ
トワークヘの接続を許可する。
【0005】また、ネットワークヘの接続を許可した加
入者局装置に対して、通信サービスを行う場合には、伝
送するデータの暗号化を実施する。このデータの暗号化
には共通鍵を用いる。この共通鍵の受け渡しについて
は、従来より図3に示すような手続きが行われている。
すなわち、基地局は共通鍵KX4をパスワードPY2を
用いて暗号化して送信する。加入者局は、受信した暗号
化情報をパスワードPY4を用いて復号化し共通鍵KX
5を生成する。
入者局装置に対して、通信サービスを行う場合には、伝
送するデータの暗号化を実施する。このデータの暗号化
には共通鍵を用いる。この共通鍵の受け渡しについて
は、従来より図3に示すような手続きが行われている。
すなわち、基地局は共通鍵KX4をパスワードPY2を
用いて暗号化して送信する。加入者局は、受信した暗号
化情報をパスワードPY4を用いて復号化し共通鍵KX
5を生成する。
【0006】この受け渡しの後で、加入者局は基地局と
の間で送受信するデータを前記共通鍵KX5を用いて暗
号化及び復号化する。また、基地局は加入者局との間で
送受信するデータに対して前記共通鍵KX4を用いて暗
号化及び復号化する。
の間で送受信するデータを前記共通鍵KX5を用いて暗
号化及び復号化する。また、基地局は加入者局との間で
送受信するデータに対して前記共通鍵KX4を用いて暗
号化及び復号化する。
【0007】
【発明が解決しようとする課題】従来の方法では、加入
者局の利用者は本人確認のためのパスワード(PY0)
と共通鍵受け渡しのためのパスワード(PY4)とをそ
れぞれ所持する必要があり、パスワードの管理が煩雑に
なるという問題がある。
者局の利用者は本人確認のためのパスワード(PY0)
と共通鍵受け渡しのためのパスワード(PY4)とをそ
れぞれ所持する必要があり、パスワードの管理が煩雑に
なるという問題がある。
【0008】また、どの加入者局を利用している場合で
あっても、利用者が正規のパスワード(PY0,PY
4)を入力すれば通信サービスが提供されるので、正規
の利用者が予め定めた特定の加入者局を利用する場合だ
けに限ってサービスを提供するような制限を設けること
はできない。すなわち、基地局側では相手の加入者局が
接続を許可された正規の機器であるかどうか判別できな
い。
あっても、利用者が正規のパスワード(PY0,PY
4)を入力すれば通信サービスが提供されるので、正規
の利用者が予め定めた特定の加入者局を利用する場合だ
けに限ってサービスを提供するような制限を設けること
はできない。すなわち、基地局側では相手の加入者局が
接続を許可された正規の機器であるかどうか判別できな
い。
【0009】また、認証のためのパスワード及びデータ
暗号化のための共通鍵を通信路上でやりとりする必要が
あり、更にそれらを秘匿するために複雑な通信手順が要
求される。本発明は、正規の利用者を認証するだけでな
く、利用者が接続を許可された特定の機器を使用してい
るか否かの識別を可能にするとともに、データの暗号化
及び復号化に利用される共通鍵の受け渡しを不要にする
ことが可能な認証処理方法及び認証処理装置を提供する
ことを目的とする。
暗号化のための共通鍵を通信路上でやりとりする必要が
あり、更にそれらを秘匿するために複雑な通信手順が要
求される。本発明は、正規の利用者を認証するだけでな
く、利用者が接続を許可された特定の機器を使用してい
るか否かの識別を可能にするとともに、データの暗号化
及び復号化に利用される共通鍵の受け渡しを不要にする
ことが可能な認証処理方法及び認証処理装置を提供する
ことを目的とする。
【0010】
【課題を解決するための手段】請求項1の認証処理方法
は、加入者局と基地局とを備え、前記加入者局の通信を
前記基地局を介して所定のネットワークに接続する通信
システムの制御に用いる認証処理方法において、加入者
局に変更が禁止された第1のパスワードを保持してお
き、加入者局では第2のパスワードの入力を受け付ける
とともに、前記第1のパスワード及び第2のパスワード
を組み合わせて第1の暗号化キーを生成し、基地局で
は、特定の管理者のみに変更が許された第3のパスワー
ド及び第4のパスワードを保持しておき、前記第3のパ
スワード及び第4のパスワードを組み合わせて第2の暗
号化キーを生成し、基地局は、認証を試みる加入者局に
対して、前記第2の暗号化キーを用いて暗号化した認証
要求を送信し、加入者局は、受信した前記認証要求を前
記第1の暗号化キーを用いて復号するとともに認証要求
として認識し、前記第1の暗号化キーを用いて暗号化し
た認証応答を前記基地局に送信し、基地局は、受信した
認証応答を前記第2の暗号化キーを用いて復号するとと
もに、認証応答の正当性を認識し、正当な認証応答を受
信した場合に限り前記加入者局のネットワークに対する
接続を許可することを特徴とする。
は、加入者局と基地局とを備え、前記加入者局の通信を
前記基地局を介して所定のネットワークに接続する通信
システムの制御に用いる認証処理方法において、加入者
局に変更が禁止された第1のパスワードを保持してお
き、加入者局では第2のパスワードの入力を受け付ける
とともに、前記第1のパスワード及び第2のパスワード
を組み合わせて第1の暗号化キーを生成し、基地局で
は、特定の管理者のみに変更が許された第3のパスワー
ド及び第4のパスワードを保持しておき、前記第3のパ
スワード及び第4のパスワードを組み合わせて第2の暗
号化キーを生成し、基地局は、認証を試みる加入者局に
対して、前記第2の暗号化キーを用いて暗号化した認証
要求を送信し、加入者局は、受信した前記認証要求を前
記第1の暗号化キーを用いて復号するとともに認証要求
として認識し、前記第1の暗号化キーを用いて暗号化し
た認証応答を前記基地局に送信し、基地局は、受信した
認証応答を前記第2の暗号化キーを用いて復号するとと
もに、認証応答の正当性を認識し、正当な認証応答を受
信した場合に限り前記加入者局のネットワークに対する
接続を許可することを特徴とする。
【0011】請求項1では、加入者局が利用する第1の
暗号化キーは第1のパスワード及び第2のパスワードの
組み合わせによって生成され、基地局が使用する第2の
暗号化キーは第3のパスワード及び第4のパスワードの
組み合わせによって生成される。また、加入者局と基地
局との間の認証は、前記第1の暗号化キー及び第2の暗
号化キーを用いて行われるので、加入者局と基地局との
間で各パスワードの受け渡しを行う必要はない。従っ
て、認証の手続きが容易であり安全性も高い。
暗号化キーは第1のパスワード及び第2のパスワードの
組み合わせによって生成され、基地局が使用する第2の
暗号化キーは第3のパスワード及び第4のパスワードの
組み合わせによって生成される。また、加入者局と基地
局との間の認証は、前記第1の暗号化キー及び第2の暗
号化キーを用いて行われるので、加入者局と基地局との
間で各パスワードの受け渡しを行う必要はない。従っ
て、認証の手続きが容易であり安全性も高い。
【0012】また、第1のパスワードはその加入者局の
機器に予め割り当てられた固有の値であり、第2のパス
ワードはその加入者局を使用している利用者固有の値で
あるので、前記第1の暗号化キーは特定の加入者局と特
定の利用者との組み合わせを表す。従って、前記第1の
暗号化キーを用いて認証を行うことにより、正規の利用
者が正規の加入者局を用いてネットワークにアクセスし
ようとしているか否かを基地局で識別できる。
機器に予め割り当てられた固有の値であり、第2のパス
ワードはその加入者局を使用している利用者固有の値で
あるので、前記第1の暗号化キーは特定の加入者局と特
定の利用者との組み合わせを表す。従って、前記第1の
暗号化キーを用いて認証を行うことにより、正規の利用
者が正規の加入者局を用いてネットワークにアクセスし
ようとしているか否かを基地局で識別できる。
【0013】請求項2は、請求項1の認証処理方法にお
いて、ネットワークへの接続を許可された加入者局は、
前記基地局との間で伝送するデータに対して、前記第1
の暗号化キーを共通鍵として用いて暗号化及び復号化を
行い、基地局は前記加入者局との間で伝送するデータに
対して、前記第2の暗号化キーを用いて暗号化及び復号
化を行うことを特徴とする。
いて、ネットワークへの接続を許可された加入者局は、
前記基地局との間で伝送するデータに対して、前記第1
の暗号化キーを共通鍵として用いて暗号化及び復号化を
行い、基地局は前記加入者局との間で伝送するデータに
対して、前記第2の暗号化キーを用いて暗号化及び復号
化を行うことを特徴とする。
【0014】請求項2では、前記第1の暗号化キー及び
第2の暗号化キーをそのまま共通鍵として利用しデータ
の暗号化/復号化を行うので、更なる共通鍵の受け渡し
を行う必要がない。従って、暗号化/復号化の手続きが
容易であり安全性も高い。請求項3は、請求項1の認証
処理方法において、前記加入者局は、それを使用する利
用者からの入力を第2のパスワードとして受け付けるこ
とを特徴とする。
第2の暗号化キーをそのまま共通鍵として利用しデータ
の暗号化/復号化を行うので、更なる共通鍵の受け渡し
を行う必要がない。従って、暗号化/復号化の手続きが
容易であり安全性も高い。請求項3は、請求項1の認証
処理方法において、前記加入者局は、それを使用する利
用者からの入力を第2のパスワードとして受け付けるこ
とを特徴とする。
【0015】請求項3では、前記第2のパスワードを利
用者からの入力として受け付けるので、予め登録された
第2のパスワードを知っている正規の利用者と不正利用
者とを区別することができる。請求項4は、加入者局と
基地局とを備え、前記加入者局の通信を前記基地局を介
して所定のネットワークに接続する通信システムの制御
に用いる認証処理装置であって、前記加入者局には、変
更が禁止された第1のパスワードを保持する第1のパス
ワード保持手段と、第2のパスワードの入力を受け付け
るとともに、前記第1のパスワード及び第2のパスワー
ドを組み合わせて第1の暗号化キーを生成する第1の暗
号化キー生成手段と、基地局から受信した認証要求を前
記第1の暗号化キーを用いて復号するとともに認証要求
として認識し、前記第1の暗号化キーを用いて暗号化し
た認証応答を前記基地局に送信する認証応答送信手段と
を設け、前記基地局には、特定の管理者のみに変更が許
された第3のパスワード及び第4のパスワードを保持す
る基地局パスワード保持手段と、前記第3のパスワード
及び第4のパスワードを組み合わせて第2の暗号化キー
を生成する第2の暗号化キー生成手段と、認証を試みる
加入者局に対して、前記第2の暗号化キーを用いて暗号
化した認証要求を送信する認証要求送信手段と、加入者
局から受信した認証応答を前記第2の暗号化キーを用い
て復号するとともに、認証応答の正当性を認識し、正当
な認証応答を受信した場合に限り前記加入者局のネット
ワークに対する接続を許可する接続許可手段とを設けた
ことを特徴とする。
用者からの入力として受け付けるので、予め登録された
第2のパスワードを知っている正規の利用者と不正利用
者とを区別することができる。請求項4は、加入者局と
基地局とを備え、前記加入者局の通信を前記基地局を介
して所定のネットワークに接続する通信システムの制御
に用いる認証処理装置であって、前記加入者局には、変
更が禁止された第1のパスワードを保持する第1のパス
ワード保持手段と、第2のパスワードの入力を受け付け
るとともに、前記第1のパスワード及び第2のパスワー
ドを組み合わせて第1の暗号化キーを生成する第1の暗
号化キー生成手段と、基地局から受信した認証要求を前
記第1の暗号化キーを用いて復号するとともに認証要求
として認識し、前記第1の暗号化キーを用いて暗号化し
た認証応答を前記基地局に送信する認証応答送信手段と
を設け、前記基地局には、特定の管理者のみに変更が許
された第3のパスワード及び第4のパスワードを保持す
る基地局パスワード保持手段と、前記第3のパスワード
及び第4のパスワードを組み合わせて第2の暗号化キー
を生成する第2の暗号化キー生成手段と、認証を試みる
加入者局に対して、前記第2の暗号化キーを用いて暗号
化した認証要求を送信する認証要求送信手段と、加入者
局から受信した認証応答を前記第2の暗号化キーを用い
て復号するとともに、認証応答の正当性を認識し、正当
な認証応答を受信した場合に限り前記加入者局のネット
ワークに対する接続を許可する接続許可手段とを設けた
ことを特徴とする。
【0016】請求項4の認証処理装置は、請求項1の認
証処理方法を実施できる。請求項5は、請求項4の認証
処理装置において、加入者局には、ネットワークへの接
続を許可された場合に、前記基地局との間で伝送するデ
ータに対して、前記第1の暗号化キーを共通鍵として用
いて暗号化及び復号化を行う第1の暗号処理手段を設
け、前記基地局には、前記加入者局との間で伝送するデ
ータに対して、前記第2の暗号化キーを用いて暗号化及
び復号化を行う第2の暗号処理手段を設けたことを特徴
とする。
証処理方法を実施できる。請求項5は、請求項4の認証
処理装置において、加入者局には、ネットワークへの接
続を許可された場合に、前記基地局との間で伝送するデ
ータに対して、前記第1の暗号化キーを共通鍵として用
いて暗号化及び復号化を行う第1の暗号処理手段を設
け、前記基地局には、前記加入者局との間で伝送するデ
ータに対して、前記第2の暗号化キーを用いて暗号化及
び復号化を行う第2の暗号処理手段を設けたことを特徴
とする。
【0017】請求項5の認証処理装置は、請求項2の認
証処理方法を実施できる。請求項6は、請求項4の認証
処理装置において、前記第1のパスワード保持手段とし
て読み出し専用メモリを設けたことを特徴とする。一般
に読み出し専用メモリ(ROM)は内容の書き換えが困
難もしくは不可能であるので、加入者局の利用者が前記
第1のパスワードを変更することはできない。従って、
正規の利用者であってもネットワークに接続する際に使
用する加入者局の機器を他の機器に不正に変更すること
はできない。
証処理方法を実施できる。請求項6は、請求項4の認証
処理装置において、前記第1のパスワード保持手段とし
て読み出し専用メモリを設けたことを特徴とする。一般
に読み出し専用メモリ(ROM)は内容の書き換えが困
難もしくは不可能であるので、加入者局の利用者が前記
第1のパスワードを変更することはできない。従って、
正規の利用者であってもネットワークに接続する際に使
用する加入者局の機器を他の機器に不正に変更すること
はできない。
【0018】
【発明の実施の形態】本発明の認証処理方法及び認証処
理装置の1つの実施の形態について、図1を参照して説
明する。この形態は全ての請求項に対応する。図1はこ
の形態で用いるシステムの構成を示すブロック図であ
る。この形態では、請求項4の加入者局,基地局,ネッ
トワーク,第1のパスワード保持手段,第1の暗号化キ
ー生成手段,認証応答送信手段,基地局パスワード保持
手段,第2の暗号化キー生成手段,認証要求送信手段及
び接続許可手段は、それぞれ加入者局20,基地局1
0,ネットワーク30,読み出し専用メモリ23,合成
回路22,暗号化復号化回路21,記憶回路14,合成
回路13,暗号化復号化回路12及び判定回路11に対
応する。
理装置の1つの実施の形態について、図1を参照して説
明する。この形態は全ての請求項に対応する。図1はこ
の形態で用いるシステムの構成を示すブロック図であ
る。この形態では、請求項4の加入者局,基地局,ネッ
トワーク,第1のパスワード保持手段,第1の暗号化キ
ー生成手段,認証応答送信手段,基地局パスワード保持
手段,第2の暗号化キー生成手段,認証要求送信手段及
び接続許可手段は、それぞれ加入者局20,基地局1
0,ネットワーク30,読み出し専用メモリ23,合成
回路22,暗号化復号化回路21,記憶回路14,合成
回路13,暗号化復号化回路12及び判定回路11に対
応する。
【0019】また、請求項5の第1の暗号処理手段及び
第2の暗号処理手段は、それぞれ暗号化復号化回路21
及び暗号化復号化回路12に対応する。この形態では、
図1に示すようなシステムを想定している。すなわち、
基地局10と加入者局20との間に通信回線が形成さ
れ、基地局10はネットワーク30に接続されている。
なお、基地局10と加入者局20との間の通信回線につ
いては有線回線でも無線回線でも構わない。
第2の暗号処理手段は、それぞれ暗号化復号化回路21
及び暗号化復号化回路12に対応する。この形態では、
図1に示すようなシステムを想定している。すなわち、
基地局10と加入者局20との間に通信回線が形成さ
れ、基地局10はネットワーク30に接続されている。
なお、基地局10と加入者局20との間の通信回線につ
いては有線回線でも無線回線でも構わない。
【0020】任意の利用者が加入者局20を用いてネッ
トワーク30上のサーバなどにアクセスしようとする場
合には、基地局10を通る経路で加入者局20とネット
ワーク30とを接続する必要がある。この形態では、基
地局10は加入者局20の要求に対して認証を行い、適
正なアクセスのみに対してネットワーク30への接続を
許可する。適正なアクセスとは、ここでは予めアクセス
を許可された特定の利用者(パスワードKEY3の発行
を受けた人)が、その利用者のアクセスのために割り当
てられた特定の機器(加入者局20)を用いてアクセス
する場合を意味する。不正なアクセスに対しては、基地
局10はネットワーク30への接続を拒否する。
トワーク30上のサーバなどにアクセスしようとする場
合には、基地局10を通る経路で加入者局20とネット
ワーク30とを接続する必要がある。この形態では、基
地局10は加入者局20の要求に対して認証を行い、適
正なアクセスのみに対してネットワーク30への接続を
許可する。適正なアクセスとは、ここでは予めアクセス
を許可された特定の利用者(パスワードKEY3の発行
を受けた人)が、その利用者のアクセスのために割り当
てられた特定の機器(加入者局20)を用いてアクセス
する場合を意味する。不正なアクセスに対しては、基地
局10はネットワーク30への接続を拒否する。
【0021】図1に示すように、加入者局20には暗号
化復号化回路21,合成回路22,読み出し専用メモリ
23及び入力装置24が備わっている。また、基地局1
0には判定回路11,暗号化復号化回路12,合成回路
13,記憶回路14及び入力装置15が備わっている。
入力装置15,24は、キーボードのようにパスワード
の入力が可能な装置である。読み出し専用メモリ23に
は、その加入者局20に割り当てられた固有のパスワー
ドKEY2が予め記録されている。このパスワードKE
Y2は読み出し専用メモリ23に記録されているので、
その内容を変更することはできない。
化復号化回路21,合成回路22,読み出し専用メモリ
23及び入力装置24が備わっている。また、基地局1
0には判定回路11,暗号化復号化回路12,合成回路
13,記憶回路14及び入力装置15が備わっている。
入力装置15,24は、キーボードのようにパスワード
の入力が可能な装置である。読み出し専用メモリ23に
は、その加入者局20に割り当てられた固有のパスワー
ドKEY2が予め記録されている。このパスワードKE
Y2は読み出し専用メモリ23に記録されているので、
その内容を変更することはできない。
【0022】ネットワーク30上の特定のサービスを利
用する正規の利用者に対しては、基地局10などを管理
する管理者によって、固有のパスワードKEY3が予め
発行される。正規の利用者は、加入者局20を用いてネ
ットワーク30にアクセスしようとする際に、予め取得
したパスワードKEY3を入力装置24を用いて加入者
局20に入力する。
用する正規の利用者に対しては、基地局10などを管理
する管理者によって、固有のパスワードKEY3が予め
発行される。正規の利用者は、加入者局20を用いてネ
ットワーク30にアクセスしようとする際に、予め取得
したパスワードKEY3を入力装置24を用いて加入者
局20に入力する。
【0023】その場合、加入者局20の合成回路22
は、読み出し専用メモリ23から読み出したパスワード
KEY2と利用者によって入力装置24から入力された
パスワードKEY3とを組み合わせて1つの暗号化キー
KEY6を生成する。一方、基地局10の管理者は変更
可能な2つのパスワードKEY4,KEY5を予め決定
しておき、基地局10を稼働させる際には2つのパスワ
ードKEY4,KEY5を入力装置15から入力して記
憶回路14に予め記憶する。
は、読み出し専用メモリ23から読み出したパスワード
KEY2と利用者によって入力装置24から入力された
パスワードKEY3とを組み合わせて1つの暗号化キー
KEY6を生成する。一方、基地局10の管理者は変更
可能な2つのパスワードKEY4,KEY5を予め決定
しておき、基地局10を稼働させる際には2つのパスワ
ードKEY4,KEY5を入力装置15から入力して記
憶回路14に予め記憶する。
【0024】基地局10の合成回路13は、記憶回路1
4に記憶された2つのパスワードKEY4,KEY5を
読み出し、パスワードKEY4,KEY5を組み合わせ
て1つの暗号化キーKEY7を生成する。基地局10
は、認証を試みる加入者局20に対して、認証要求コマ
ンドA1を合成回路13の生成した暗号化キーKEY7
を用いて暗号化復号化回路12で暗号化してから、加入
者局20に対して送信する。
4に記憶された2つのパスワードKEY4,KEY5を
読み出し、パスワードKEY4,KEY5を組み合わせ
て1つの暗号化キーKEY7を生成する。基地局10
は、認証を試みる加入者局20に対して、認証要求コマ
ンドA1を合成回路13の生成した暗号化キーKEY7
を用いて暗号化復号化回路12で暗号化してから、加入
者局20に対して送信する。
【0025】加入者局20では、基地局10からの暗号
化された認証要求コマンドA1を受け取ると、それを合
成回路22の生成した暗号化キーKEY6を用いて暗号
化復号化回路21で復号し、認証要求コマンドA1とし
て認識する。この場合、加入者局20は認証要求コマン
ドA1に対する認証応答AR1を基地局10に対して送
信する。この認証応答AR1は、予め暗号化キーKEY
6を用いて暗号化復号化回路21で暗号化してから送信
される。
化された認証要求コマンドA1を受け取ると、それを合
成回路22の生成した暗号化キーKEY6を用いて暗号
化復号化回路21で復号し、認証要求コマンドA1とし
て認識する。この場合、加入者局20は認証要求コマン
ドA1に対する認証応答AR1を基地局10に対して送
信する。この認証応答AR1は、予め暗号化キーKEY
6を用いて暗号化復号化回路21で暗号化してから送信
される。
【0026】基地局10では、加入者局20からの暗号
化された認証応答AR1を受け取ると、それを前記暗号
化キーKEY7を用いて暗号化復号化回路12で復号
し、認証応答AR1として認識する。判定回路11は、
暗号化復号化回路12の受け取った認証応答AR1が所
定の認証応答であれば、加入者局20のネットワーク3
0への接続を許可する。
化された認証応答AR1を受け取ると、それを前記暗号
化キーKEY7を用いて暗号化復号化回路12で復号
し、認証応答AR1として認識する。判定回路11は、
暗号化復号化回路12の受け取った認証応答AR1が所
定の認証応答であれば、加入者局20のネットワーク3
0への接続を許可する。
【0027】すなわち、基地局10が暗号化キーKEY
7を用いて暗号化した情報は暗号化キーKEY6を用い
て加入者局20で正しく復号することができ、加入者局
20が暗号化キーKEY6を用いて暗号化した情報は暗
号化キーKEY7を用いて基地局10で正しく復号する
ことができるように各パスワードKEY2,KEY3,
KEY4,KEY5を決定してあるので、基地局10が
暗号化された認証応答AR1を正しく復号できた場合に
は、正規の利用者が正規の加入者局20を用いてアクセ
スしていると認めることができる。
7を用いて暗号化した情報は暗号化キーKEY6を用い
て加入者局20で正しく復号することができ、加入者局
20が暗号化キーKEY6を用いて暗号化した情報は暗
号化キーKEY7を用いて基地局10で正しく復号する
ことができるように各パスワードKEY2,KEY3,
KEY4,KEY5を決定してあるので、基地局10が
暗号化された認証応答AR1を正しく復号できた場合に
は、正規の利用者が正規の加入者局20を用いてアクセ
スしていると認めることができる。
【0028】また、判定回路11は暗号化復号化回路1
2の受け取った認証応答AR1が正しい認証応答でない
場合には、加入者局20のネットワーク30への接続を
拒否する。更に、基地局10がネットワーク30に対す
る加入者局20の接続を許可し、加入者局20とネット
ワーク30との接続を確立した場合には、次のように動
作する。
2の受け取った認証応答AR1が正しい認証応答でない
場合には、加入者局20のネットワーク30への接続を
拒否する。更に、基地局10がネットワーク30に対す
る加入者局20の接続を許可し、加入者局20とネット
ワーク30との接続を確立した場合には、次のように動
作する。
【0029】加入者局20では、ネットワーク30宛て
に送信するデータを暗号化キーKEY6を用いて暗号化
復号化回路21で暗号化してから基地局10に送信す
る。加入者局20からの暗号化されたデータを基地局1
0が受け取ると、基地局10では暗号化キーKEY7を
用いて暗号化復号化回路12で復号を行い、加入者局2
0から送信されたデータを復元してネットワーク30に
送出する。
に送信するデータを暗号化キーKEY6を用いて暗号化
復号化回路21で暗号化してから基地局10に送信す
る。加入者局20からの暗号化されたデータを基地局1
0が受け取ると、基地局10では暗号化キーKEY7を
用いて暗号化復号化回路12で復号を行い、加入者局2
0から送信されたデータを復元してネットワーク30に
送出する。
【0030】一方、ネットワーク30から加入者局20
宛てに送信されたデータを基地局10が受信すると、基
地局10では受信したデータを暗号化キーKEY7を用
いて暗号化復号化回路12で暗号化し、暗号化されたデ
ータを加入者局20に送信する。基地局10で暗号化さ
れたデータを加入者局20が受信すると、加入者局20
では暗号化キーKEY6を用いて暗号化復号化回路21
で復号を行い、ネットワーク30から送信されたデータ
を復元する。
宛てに送信されたデータを基地局10が受信すると、基
地局10では受信したデータを暗号化キーKEY7を用
いて暗号化復号化回路12で暗号化し、暗号化されたデ
ータを加入者局20に送信する。基地局10で暗号化さ
れたデータを加入者局20が受信すると、加入者局20
では暗号化キーKEY6を用いて暗号化復号化回路21
で復号を行い、ネットワーク30から送信されたデータ
を復元する。
【0031】このように、基地局10及び加入者局20
は認証及びデータの暗号化の両方において共通の暗号化
キーKEY6,KEY7を使用する。従って、暗号化の
ために特別な共通鍵を基地局10と加入者局20との間
で受け渡しする必要はない。いずれにしても、不正な利
用者が正規の加入者局20からアクセスする場合や、正
規の利用者が不正な機器(加入者局20)を用いてアク
セスする場合には、基地局10がネットワーク30への
接続を拒否するので、不正なアクセスを排除できる。こ
のため、基地局10を用いてサービスを提供する業者
は、利用者だけでなくアクセスに利用する加入者局20
の機器も容易に管理できる。
は認証及びデータの暗号化の両方において共通の暗号化
キーKEY6,KEY7を使用する。従って、暗号化の
ために特別な共通鍵を基地局10と加入者局20との間
で受け渡しする必要はない。いずれにしても、不正な利
用者が正規の加入者局20からアクセスする場合や、正
規の利用者が不正な機器(加入者局20)を用いてアク
セスする場合には、基地局10がネットワーク30への
接続を拒否するので、不正なアクセスを排除できる。こ
のため、基地局10を用いてサービスを提供する業者
は、利用者だけでなくアクセスに利用する加入者局20
の機器も容易に管理できる。
【0032】なお、利用者によるパスワードKEY2の
書き換えが容易でない限り、読み出し専用メモリ23以
外の媒体にパスワードKEY2を保持しても良い。例え
ば、特別な権限を有する管理者だけがアクセスできるよ
うに制御される場合には、書き換えが可能なメモリにパ
スワードKEY2を保持しても良い。
書き換えが容易でない限り、読み出し専用メモリ23以
外の媒体にパスワードKEY2を保持しても良い。例え
ば、特別な権限を有する管理者だけがアクセスできるよ
うに制御される場合には、書き換えが可能なメモリにパ
スワードKEY2を保持しても良い。
【0033】
【発明の効果】以上のように本発明によれば、不正な利
用者が正規の加入者局からアクセスする場合や、正規の
利用者が不正な機器を用いてアクセスする場合には、基
地局がネットワークへの接続を拒否するので、不正なア
クセスを排除できる。このため、基地局を用いてサービ
スを提供する業者は、利用者だけでなくアクセスに利用
する加入者局の機器も容易に管理できる。
用者が正規の加入者局からアクセスする場合や、正規の
利用者が不正な機器を用いてアクセスする場合には、基
地局がネットワークへの接続を拒否するので、不正なア
クセスを排除できる。このため、基地局を用いてサービ
スを提供する業者は、利用者だけでなくアクセスに利用
する加入者局の機器も容易に管理できる。
【図1】実施の形態で用いるシステムの構成を示すブロ
ック図である。
ック図である。
【図2】従来例の認証方法を示すブロック図である。
【図3】従来例の共通鍵の受け渡しを示すブロック図で
ある。
ある。
10 基地局
11 判定回路
12 暗号化復号化回路
13 合成回路
14 記憶回路
15,24 入力装置
20 加入者局
21 暗号化復号化回路
22 合成回路
23 読み出し専用メモリ
30 ネットワーク
─────────────────────────────────────────────────────
フロントページの続き
(72)発明者 白水 哲也
東京都千代田区大手町二丁目3番1号 日
本電信電話株式会社内
(72)発明者 村上 文夫
東京都三鷹市下連雀5丁目1番1号 日本
無線株式会社内
(72)発明者 境 穣
東京都三鷹市下連雀5丁目1番1号 日本
無線株式会社内
Fターム(参考) 5B085 AE03 AE09 AE11 BA06 BG02
5J104 AA07 AA16 EA03 EA26 KA02
NA05
Claims (6)
- 【請求項1】 加入者局と基地局とを備え、前記加入者
局の通信を前記基地局を介して所定のネットワークに接
続する通信システムの制御に用いる認証処理方法におい
て、 加入者局に変更が禁止された第1のパスワードを保持し
ておき、 加入者局では第2のパスワードの入力を受け付けるとと
もに、前記第1のパスワード及び第2のパスワードを組
み合わせて第1の暗号化キーを生成し、 基地局では、特定の管理者のみに変更が許された第3の
パスワード及び第4のパスワードを保持しておき、前記
第3のパスワード及び第4のパスワードを組み合わせて
第2の暗号化キーを生成し、 基地局は、認証を試みる加入者局に対して、前記第2の
暗号化キーを用いて暗号化した認証要求を送信し、 加入者局は、受信した前記認証要求を前記第1の暗号化
キーを用いて復号するとともに認証要求として認識し、
前記第1の暗号化キーを用いて暗号化した認証応答を前
記基地局に送信し、 基地局は、受信した認証応答を前記第2の暗号化キーを
用いて復号するとともに、認証応答の正当性を認識し、
正当な認証応答を受信した場合に限り前記加入者局のネ
ットワークに対する接続を許可することを特徴とする認
証処理方法。 - 【請求項2】 請求項1の認証処理方法において、 ネットワークへの接続を許可された加入者局は、前記基
地局との間で伝送するデータに対して、前記第1の暗号
化キーを共通鍵として用いて暗号化及び復号化を行い、 基地局は前記加入者局との間で伝送するデータに対し
て、前記第2の暗号化キーを用いて暗号化及び復号化を
行うことを特徴とする認証処理方法。 - 【請求項3】 請求項1の認証処理方法において、前記
加入者局は、それを使用する利用者からの入力を第2の
パスワードとして受け付けることを特徴とする認証処理
方法。 - 【請求項4】 加入者局と基地局とを備え、前記加入者
局の通信を前記基地局を介して所定のネットワークに接
続する通信システムの制御に用いる認証処理装置であっ
て、 前記加入者局には、 変更が禁止された第1のパスワードを保持する第1のパ
スワード保持手段と、 第2のパスワードの入力を受け付けるとともに、前記第
1のパスワード及び第2のパスワードを組み合わせて第
1の暗号化キーを生成する第1の暗号化キー生成手段
と、 基地局から受信した認証要求を前記第1の暗号化キーを
用いて復号するとともに認証要求として認識し、前記第
1の暗号化キーを用いて暗号化した認証応答を前記基地
局に送信する認証応答送信手段とを設け、前記基地局に
は、 特定の管理者のみに変更が許された第3のパスワード及
び第4のパスワードを保持する基地局パスワード保持手
段と、 前記第3のパスワード及び第4のパスワードを組み合わ
せて第2の暗号化キーを生成する第2の暗号化キー生成
手段と、 認証を試みる加入者局に対して、前記第2の暗号化キー
を用いて暗号化した認証要求を送信する認証要求送信手
段と、 加入者局から受信した認証応答を前記第2の暗号化キー
を用いて復号するとともに、認証応答の正当性を認識
し、正当な認証応答を受信した場合に限り前記加入者局
のネットワークに対する接続を許可する接続許可手段と
を設けたことを特徴とする認証処理装置。 - 【請求項5】 請求項4の認証処理装置において、 加入者局には、ネットワークへの接続を許可された場合
に、前記基地局との間で伝送するデータに対して、前記
第1の暗号化キーを共通鍵として用いて暗号化及び復号
化を行う第1の暗号処理手段を設け、 前記基地局には、前記加入者局との間で伝送するデータ
に対して、前記第2の暗号化キーを用いて暗号化及び復
号化を行う第2の暗号処理手段を設けたことを特徴とす
る認証処理装置。 - 【請求項6】 請求項4の認証処理装置において、前記
第1のパスワード保持手段として読み出し専用メモリを
設けたことを特徴とする認証処理装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002063464A JP2003263414A (ja) | 2002-03-08 | 2002-03-08 | 認証処理方法及び認証処理装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002063464A JP2003263414A (ja) | 2002-03-08 | 2002-03-08 | 認証処理方法及び認証処理装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2003263414A true JP2003263414A (ja) | 2003-09-19 |
Family
ID=29196718
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002063464A Pending JP2003263414A (ja) | 2002-03-08 | 2002-03-08 | 認証処理方法及び認証処理装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2003263414A (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006352225A (ja) * | 2005-06-13 | 2006-12-28 | Hitachi Ltd | 認証システム、無線通信端末及び無線基地局 |
| WO2007066740A1 (ja) | 2005-12-07 | 2007-06-14 | Matsushita Electric Industrial Co., Ltd. | セキュアデバイス、情報処理端末、サーバ、および認証方法 |
| JP6023853B1 (ja) * | 2015-05-29 | 2016-11-09 | 日本電信電話株式会社 | 認証装置、認証システム、認証方法、およびプログラム |
-
2002
- 2002-03-08 JP JP2002063464A patent/JP2003263414A/ja active Pending
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006352225A (ja) * | 2005-06-13 | 2006-12-28 | Hitachi Ltd | 認証システム、無線通信端末及び無線基地局 |
| JP4713955B2 (ja) * | 2005-06-13 | 2011-06-29 | 株式会社日立製作所 | 認証システム、無線通信端末及び無線基地局 |
| WO2007066740A1 (ja) | 2005-12-07 | 2007-06-14 | Matsushita Electric Industrial Co., Ltd. | セキュアデバイス、情報処理端末、サーバ、および認証方法 |
| JP6023853B1 (ja) * | 2015-05-29 | 2016-11-09 | 日本電信電話株式会社 | 認証装置、認証システム、認証方法、およびプログラム |
| WO2016194810A1 (ja) * | 2015-05-29 | 2016-12-08 | 日本電信電話株式会社 | 認証装置、認証システム、認証方法、およびプログラム |
| US10728045B2 (en) | 2015-05-29 | 2020-07-28 | Nippon Telegraph And Telephone Corporation | Authentication device, authentication system, authentication method, and program |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US5418854A (en) | Method and apparatus for protecting the confidentiality of passwords in a distributed data processing system | |
| CN1307819C (zh) | 安全分配公开/秘密密钥对的方法和装置 | |
| JP4866863B2 (ja) | セキュリティコード生成方法及びユーザ装置 | |
| US6075860A (en) | Apparatus and method for authentication and encryption of a remote terminal over a wireless link | |
| JP2883243B2 (ja) | 相手認証/暗号鍵配送方式 | |
| JP5619019B2 (ja) | 認証のための方法、システム、およびコンピュータ・プログラム(1次認証済み通信チャネルによる2次通信チャネルのトークンベースのクライアント・サーバ認証) | |
| KR100721522B1 (ko) | 위치토큰을 이용한 위치기반 서비스 제공 방법 | |
| US20100195824A1 (en) | Method and Apparatus for Dynamic Generation of Symmetric Encryption Keys and Exchange of Dynamic Symmetric Key Infrastructure | |
| JP4803145B2 (ja) | 鍵共有方法、鍵配信システム | |
| EP1984889A2 (en) | Secure digital content management using mutating identifiers | |
| US8230218B2 (en) | Mobile station authentication in tetra networks | |
| JPH1013401A (ja) | 安全化された通信を確立する方法および関連する暗号化/解読システム | |
| EP1501238B1 (en) | Method and system for key distribution comprising a step of authentication and a step of key distribution using a KEK (key encryption key) | |
| US7315950B1 (en) | Method of securely sharing information over public networks using untrusted service providers and tightly controlling client accessibility | |
| JPH09147072A (ja) | 個人認証システム、個人認証カードおよびセンタ装置 | |
| JPH10154977A (ja) | 利用者認証装置およびその方法 | |
| KR20080073316A (ko) | 디지털 데이터의 안전한 디포지션을 위한 방법, 디지털데이터 복구를 위한 관련 방법, 구현 방법들을 위한 관련장치들 및 그 장치들을 포함하는 시스템 | |
| JP3684266B2 (ja) | 暗号化された共有データのアクセス制御方法及びシステム | |
| JPH04247737A (ja) | 暗号化装置 | |
| JP2007267153A (ja) | 端末装置、証明書発行装置、証明書発行システム、証明書取得方法および証明書発行方法 | |
| JPH11331181A (ja) | ネットワーク端末認証装置 | |
| KR19990038925A (ko) | 분산 환경에서 안전한 양방향 인증 방법 | |
| JP2001285286A (ja) | 認証方法、記録媒体、認証システム、端末装置、及び認証用記録媒体作成装置 | |
| JP2003263414A (ja) | 認証処理方法及び認証処理装置 | |
| JP2005086428A (ja) | 認証を得て暗号通信を行う方法、認証システムおよび方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20060901 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20060919 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20061117 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20061219 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20070313 |