JP2004320174A - Authentication system, authentication apparatus, and authentication method - Google Patents

Authentication system, authentication apparatus, and authentication method Download PDF

Info

Publication number
JP2004320174A
JP2004320174A JP2003108327A JP2003108327A JP2004320174A JP 2004320174 A JP2004320174 A JP 2004320174A JP 2003108327 A JP2003108327 A JP 2003108327A JP 2003108327 A JP2003108327 A JP 2003108327A JP 2004320174 A JP2004320174 A JP 2004320174A
Authority
JP
Japan
Prior art keywords
data
authentication
processed
unit
communication partner
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003108327A
Other languages
Japanese (ja)
Inventor
Akira Sobashima
彰 傍島
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Holdings Corp
Original Assignee
Matsushita Electric Industrial Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Matsushita Electric Industrial Co Ltd filed Critical Matsushita Electric Industrial Co Ltd
Priority to JP2003108327A priority Critical patent/JP2004320174A/en
Publication of JP2004320174A publication Critical patent/JP2004320174A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To solve the problem that it is impossible to stop the illegitimate access which uses the leaked authentication information if the authentication information of a legitimate reception terminal is once leaked. <P>SOLUTION: A first session key storage means 110 and a second session key storage means 212 respectively store a first session key 109 and a second session key 211 generated when mutual authentication is established between a reception terminal 1 and a transmission terminal 2 until succeeding mutual authentication takes place, a first discrimination means 215 compares an encrypted third session key 111 stored in the first session key storage means 110 at the preceding mutual authentication with an encrypted fourth session key 213 stored in the second session key storage means 212 at the preceding mutual authentication and when both the values differ from each other, corresponding unique identification information 101 stored in an identification information searching means 204 is deleted. <P>COPYRIGHT: (C)2005,JPO&NCIPI

Description

【0001】
【発明の属する技術分野】
本発明は、通信ネットワークを介してコンテンツの送受信を行うシステム等に用いられる認証システム、認証方法等に関する。
【0002】
【従来の技術】
従来の通信ネットワーク用セキュリティ装置には、コンテンツを送信する送信端末と受信する受信端末との間で、互いに正規の端末であることを確認するための相互認証を行い、その際に得られるセッション鍵を用いてコンテンツの暗号に用いるコンテンツ鍵を授受することで、セキュリティを保ちつつコンテンツ配信するものがあった。(例えば、特許文献1参照)。
【0003】
以下、従来の通信ネットワーク用セキュリティ装置について図を用いて説明する。
【0004】
図4は、従来の通信ネットワーク用セキュリティ装置のブロック図である。
【0005】
図4において、41は受信端末、410は第1の制御手段、411は第1の相互認証手段、4101は固有識別情報、4102は第1の固有暗号化鍵、4103は第1の乱数発生手段、4104は第1の暗号化手段、4105は第1の比較手段、4106は第2の暗号化手段、4107は第1の演算手段、4108は第3の暗号化手段、4109は第1のセッション鍵、42は送信端末、420は第2の制御手段、421は第2の相互認証手段、4201はマスター鍵、4202は第2の固有暗号化鍵、4203は第5の暗号化手段、4205は第6の暗号化手段、4206は第2の乱数発生手段、4207は第7の暗号化手段、4208は第2の比較手段、4209は第2の演算手段、4210は第8の暗号化手段、4211は第2のセッション鍵である。
【0006】
第1の制御手段410は、受信端末41における認証処理制御を行い、第1の相互認証手段411は4103乃至4108の符号を付した手段から構成され、以下に詳細に述べる相互認証処理を実行する。
【0007】
第2の制御手段420は、送信端末42における認証処理制御を行い、第2の相互認証手段421は4205乃至4210の符号を付した手段から構成され、以下に詳細に述べる相互認証処理を実行する。
【0008】
受信端末41は、例えば送信端末42から送信される暗号化されたコンテンツを復号する復号化鍵を取得するため、送信端末42と、図5のタイムチャートに示す、以下のような相互認証を行う。
【0009】
受信端末41は、自身が保有する固有識別情報4101を送信端末42に送信する(ステップ501)。
【0010】
送信端末42は、第5の暗号化手段4203を用いて、受信した固有識別情報4101をマスター鍵4201で暗号化することで、第2の固有暗号化鍵4202を生成する。
【0011】
次に受信端末41は、第1の乱数発生手段4103によって乱数RN1を発生させ、送信端末42に送信する(ステップ502)と共に、第1の暗号化手段4104によって乱数RN1を第1の固有暗号化鍵4102で暗号化して数値RN1′を生成する。一方、送信端末42は、第6の暗号化手段4205によって、受信端末41から送信された乱数RN1を第2の固有暗号化鍵4202で暗号化し、数値RN1″を生成する。受信端末41は、送信端末42に生成した数値RN1″を送信するよう要求し、数値RN1″の送信を受けると(ステップ503)、第1の比較手段4105によって、送信端末42から送信される数値RN1″と予め生成した数値RN1′を比較する。
【0012】
この比較結果により、数値RN1′と数値RN1″が等しい場合、受信端末41は、受信端末41が保有する第1の固有暗号化鍵4102と送信端末42が生成した第2の固有暗号化鍵4202の値が等しい、すなわち、固有暗号化鍵を受信端末41と送信端末42で共有していることを認識する。
【0013】
次に受信端末41は、送信端末42に乱数RN2の送信を要求する(ステップ504)。送信端末42は受信端末41からの要求に従い、第2の乱数発生手段4206で乱数RN2を発生させ、受信端末41に送信する(ステップ505)と共に、第7の暗号化手段4207によって、乱数RN2を第2の固有暗号化鍵4202で暗号化し、数値RN2′を生成する。
【0014】
一方、受信端末41は、送信端末42から送信された乱数RN2を受信し、第2の暗号化手段4106によって、乱数RN2を第1の固有暗号化鍵4102で暗号化し、数値RN2″を生成する。生成した数値RN2″を送信端末42へ送信する(ステップ506)ことで、送信端末42は、第2の比較手段4208によって予め生成した数値RN2′との比較を行い、数値RN2′と数値RN2″が等しい場合、受信端末41が保有する第1の固有暗号化鍵4102と送信端末2が生成した第2の固有暗号化鍵4202の値が等しい、すなわち、固有暗号化鍵を受信端末41と送信端末42で共有していることを認識する。
【0015】
前記の固有暗号化鍵を共有したことをお互いが認識して相互認証は成立したとみなされる。上記の相互認証が成立した後、受信端末41は、第1の演算手段4107によって乱数RN1と乱数RN2に対して所定の演算を行い、第3の暗号化手段4108によって演算結果を第1の固有暗号化鍵4102で暗号化して第1のセッション鍵4109を生成する。同様に、送信端末42は、第2の演算手段4209によって乱数RN1と乱数RN2に対して第1の演算手段4107と同様の演算を行い、第8の暗号化手段4210によって演算結果を第2の固有暗号化鍵4202で暗号化して第2のセッション鍵4211を生成する。
【0016】
以上のようにして生成された2つのセッション鍵を用い、例えば暗号化されたコンテンツを復号するためのコンテンツ鍵を2つの乱数から生成された第2のセッション鍵4211で暗号化して、受信端末41へ送信し、受信端末41で第1のセッション鍵4109で復号することでより安全にコンテンツ鍵を送信端末42から受け取ることが可能となる(ステップ507)。
【0017】
【特許文献1】
特開平10−79732号公報
【0018】
【発明が解決しようとする課題】
しかしながら、相互認証を行う際に用いる固有識別情報および固有暗号化鍵が万が一漏洩した場合、例えば正規の固有識別情報4101および固有暗号化鍵4102と同一の固有識別情報および固有暗号化鍵を有する正規でない受信端末41′(図示せず)が存在する場合、送信端末42は、上記の相互認証によって、この受信端末41′と正規の送信端末41とを区別することはできない。
【0019】
したがって、受信端末41′から送信端末42のコンテンツにアクセスされてしまう可能性がある。
【0020】
本発明は上記従来の問題点を解決するもので、受信端末または受信端末に装着された記憶メディアの、固有識別情報および固有暗号化鍵を含む全ての情報の完全な複製が存在した場合にも、当該固有識別情報を有する受信端末から送信端末へのアクセスを防止できるようなセキュリティレベルの高い認証システム、認証方法等を提供することを目的とする。
【0021】
【課題を解決するための手段】
上記の目的を達成するために、第1の本発明は、第1装置と第2装置とが互いを通信相手として認証する認証システムであって、
前記第1装置は、前記第2装置に対しデータを出力する第1のデータ出力手段と、前記第2装置から出力されるデータを取得する第1のデータ取得手段と、前記第1のデータ取得手段が取得したデータを少なくとも処理する第1のデータ処理手段とを有し、
前記第2装置は、前記第1装置に対しデータを出力する第2のデータ出力手段と、前記第1装置から出力されるデータを取得する第2のデータ取得手段と、前記第2のデータ取得手段が取得したデータを少なくとも処理する第2のデータ処理手段とを有し、
認証動作として、
前記第1装置の前記第1のデータ出力手段は、第2装置を通信相手として認証するための認証データを出力し、前記第1のデータ処理手段は、少なくとも前記認証データに基づく第1の認証履歴データを生成し、
前記第2装置の前記第2のデータ取得手段は前記認証データを取得し、前記第2のデータ処理手段は、これに所定の処理を行って処理済み認証データするとともに、少なくとも前記認証データに基づく第2の認証履歴データを生成し、前記第2のデータ出力手段は、前記処理済み認証データを前記第1装置に出力し、
前記第1装置の前記第1のデータ取得手段は、前記処理済み認証データを取得し、前記第1のデータ処理手段は、少なくとも前記処理済み認証データに基づき、前記第2装置を前記通信相手として認証し、
前記第1装置と前記第2装置との間で2回以上の前記認証動作が行われる場合、
過去の認証における前記第2の認証履歴データと前記第1の認証履歴データとを比較することにより、最新の認証における第1装置および/または第2装置のいずれかが過去の認証における第1装置および/または第2装置と同一であるかどうかを判定し、
前記判定の結果が前記同一である場合、前記最新の認証における前記第1装置と前記第2装置とは互いに通信相手として最終的に認証される認証システムである。
【0022】
また、第2の本発明は、前記第1装置の前記第1のデータ取得手段は、前記第2装置から、過去の認証における前記第2の認証履歴データを取得し、
前記第1のデータ処理手段は、この取得したデータに対応する、自らの有する前記第1の認証履歴データと、前記第2の認証履歴データとを比較し、両者が同一である場合は、前記第2装置を前記通信相手として最終的に認証する第1の本発明の認証システムである。
【0023】
また、第3の本発明は、前記第2装置は、それぞれ所定のIDが割り当てられた複数個であって、
前記第1装置の前記第1の前記データ処理手段は、前記IDによって複数の前記第2装置から特定のものを識別し、前記認証の対象とする第2の本発明の認証システムである。
【0024】
また、第4の本発明は、前記第2装置の前記第2のデータ取得手段は、前記第1装置から、過去の認証における前記第1の認証履歴データを取得し、
前記第2のデータ処理手段は、この取得したデータに対応する、自らの有する前記第2の認証履歴データと、前記第1の認証履歴データとを比較し、両者が同一である場合は、前記第1装置を前記通信相手として最終的に認証する第1の本発明の認証システムである。
【0025】
また、第5の本発明は、前記第1装置は、それぞれ所定のIDが割り当てられた複数個であって、
前記第2装置の前記第2の前記データ処理手段は、前記IDによって複数の前記第1装置から特定のものを識別し、前記認証の対象とする第4の本発明の認証システムである。
【0026】
また、第6の本発明は、前記認証動作は、
前記第2装置の前記第2のデータ出力手段が、前記第1装置を通信相手として認証するための認証データを出力し、
前記第1装置の前記第1のデータ取得手段が、前記認証データを取得し、前記第1のデータ処理手段は、前記取得された前記認証データに所定の処理を行い処理済み認証データを生成するとともに前記認証データに基づく認証履歴データを生成し、前記第1のデータ出力手段は前記処理済み認証データを前記第2装置に出力し、
前記第2装置の前記第2のデータ取得手段が、前記処理済み認証データを取得し、前記第2のデータ処理手段は、少なくとも前記処理済み認証データに基づき、前記第1装置を前記通信相手として認証する、
動作をさらに含む第1から第5のいずれかの本発明の認証システムである。
【0027】
また、第7の本発明は、前記第1装置と前記第2装置とは、共通の暗号鍵を有し、
前記第1装置の第1のデータ処理手段または前記第2装置の第2のデータ処理手段は、前記認証データを、前記暗号鍵によって暗号化することにより前記処理済み認証データを生成し、
前記第1装置の第1のデータ処理手段または前記第2装置の第2のデータ処理手段は、前記認証データを、前記暗号鍵によって暗号化し、この処理したデータと前記処理済み認証データとを照合することにより、前記認証動作を行う第1または第6の本発明の認証システムである。
【0028】
また、第8の本発明は、前記第1装置の第1のデータ処理手段または前記第2装置の第2のデータ処理手段は、前記認証データを前記暗号鍵によって暗号化することにより前記認証履歴データを生成する第7の本発明の認証システムである。
【0029】
また、第9の本発明は、前記最終的な認証の完了後に、前記第1装置の前記第1のデータ出力手段は、前記第2装置に対し所定のコンテンツを出力可能になる第1,第6または第7のいずれかの本発明の認証システムである。
【0030】
また、第10の本発明は、前記最終的な認証の完了後に、前記第2装置の前記第2のデータ出力手段は、前記第1装置に対し所定のコンテンツを出力可能になる第1,第6または第7のいずれかの本発明の認証システムである。
【0031】
また、第11の本発明は、前記第1装置の第1のデータ処理手段または前記第2装置の第2のデータ処理手段は、同一内容の前記認証履歴データを連続して生成した場合は、前記認証履歴データの生成動作をやり直す第2または第4の本発明の認証システムである。
【0032】
また、第12の本発明は、前記判定の結果が前記同一ではない場合は、前記IDは、以後無効として扱われる第3または第5の本発明の認証システムである。
【0033】
また、第13の本発明は、所定の第2装置を通信相手として認証する第1装置であって、
前記第2装置に対しデータを出力する第1のデータ出力手段と、前記第2装置から出力されるデータを取得する第1のデータ取得手段と、前記第1のデータ取得手段が取得したデータを少なくとも処理する第1のデータ処理手段とを備え、前記第2装置は、前記第1装置に対しデータを出力する第2のデータ出力手段と、前記第1装置から出力されるデータを取得する第2のデータ取得手段と、前記第2のデータ取得手段が取得したデータを少なくとも処理する第2のデータ処理手段とを有し、
認証動作として、
前記第1装置の前記第1のデータ出力手段は、第2装置を通信相手として認証するための認証データを出力し、前記第1のデータ処理手段は、少なくとも前記認証データに基づく第1の認証履歴データを生成し、
前記第2装置の前記第2のデータ取得手段は前記認証データを取得し、前記第2のデータ処理手段は、これに所定の処理を行って処理済み認証データするとともに、少なくとも前記認証データに基づく第2の認証履歴データを生成し、前記第2のデータ出力手段は、前記処理済み認証データを前記第1装置に出力し、
前記第1装置の前記第1のデータ取得手段は、前記処理済み認証データを取得し、前記第1のデータ処理手段は、少なくとも前記処理済み認証データに基づき、前記第2装置を前記通信相手として認証し、
前記第2装置との間で2回以上の前記認証動作が行われる場合、
前記第1のデータ取得手段は、前記第2装置から、過去の認証における前記第2の認証履歴データを取得し、
前記第1のデータ処理手段は、この取得したデータに対応する、自らの有する前記第1の認証履歴データと、前記第2の認証履歴データとを比較し、両者が同一である場合は、前記第2装置を前記通信相手として最終的に認証する第1装置である。
【0034】
また、第14の本発明は、所定の第2装置を通信相手として認証する第1装置であって、
前記第2装置に対しデータを出力する第1のデータ出力手段と、前記第2装置から出力されるデータを取得する第1のデータ取得手段と、前記第1のデータ取得手段が取得したデータを少なくとも処理する第1のデータ処理手段とを備え、前記第2装置は、前記第1装置に対しデータを出力する第2のデータ出力手段と、前記第1装置から出力されるデータを取得する第2のデータ取得手段と、前記第2のデータ取得手段が取得したデータを少なくとも処理する第2のデータ処理手段とを有し、
認証動作として、
前記第2装置の前記第2のデータ出力手段が、前記第1装置を通信相手として認証するための認証データを出力し、
前記第1装置の前記第1のデータ取得手段が、前記認証データを取得し、前記第1のデータ処理手段は、前記取得された前記認証データに所定の処理を行い処理済み認証データを生成するとともに前記認証データに基づく認証履歴データを生成し、前記第1のデータ出力手段は前記処理済み認証データを前記第2装置に出力し、
前記第2装置の前記第2のデータ取得手段が、前記処理済み認証データを取得し、前記第2のデータ処理手段は、少なくとも前記処理済み認証データに基づき、前記第1装置を前記通信相手として認証し、
前記第2装置との間で2回以上の前記認証動作が行われる場合、
前記第1のデータ取得手段は、前記第2装置から、過去の認証における前記第2の認証履歴データを取得し、
前記第1のデータ処理手段は、この取得したデータに対応する、自らの有する前記第1の認証履歴データと、前記第2の認証履歴データとを比較し、両者が同一である場合は、前記第2装置を前記通信相手として最終的に認証する第1装置である。
【0035】
また、第15の本発明は、前記第2装置は、それぞれ所定のIDが割り当てられた複数個であって、
前記第1の前記データ処理手段は、前記IDによって複数の前記第2装置から特定のものを識別し、前記認証の対象とする第13または第14の本発明の第1装置である。
【0036】
また、第16の本発明は、前記第2装置と共通の暗号鍵を有し、
第1のデータ処理手段は、前記認証データを、前記暗号鍵によって暗号化することにより前記処理済み認証データを生成するとともに、前記認証データを、前記暗号鍵によって暗号化し、この処理したデータと前記処理済み認証データとを照合することにより、前記認証動作を行う第13または第14の本発明の第1装置である。
【0037】
また、第17の本発明は、前記第1のデータ処理手段は、前記認証データを前記暗号鍵によって暗号化することにより前記認証履歴データを生成する第13または第14の本発明の第1装置である。
【0038】
また、第18の本発明は、前記最終的な認証の完了後に、前記第1のデータ出力手段は、前記第2装置に対し所定のコンテンツを出力可能になる第13または第14の本発明の第1装置である。
【0039】
また、第19の本発明は、前記第1のデータ処理手段は、同一内容の前記認証履歴データを連続して生成した場合は、前記認証履歴データの生成動作をやり直す第13または第14の本発明の第1装置である。
【0040】
また、第20の本発明は、前記判定の結果が前記同一ではない場合は、前記データ処理手段は、前記第2装置の前記IDを、以後無効とする第15の本発明の第1装置である。
【0041】
また、第21の本発明は、第1装置が、第2装置を通信相手として認証するための認証データを出力するとともに、少なくとも前記認証データに基づく第1の認証履歴データを生成する工程と、
前記第2装置が、前記認証データを取得し、これに所定の処理を行って処理済み認証データとして前記第1装置に出力するとともに、少なくとも前記認証データに基づく第2の認証履歴データを生成する工程と、
前記第1装置が、少なくとも前記処理済み認証データに基づき、前記第2装置を前記通信相手として認証する工程と、
前記第1装置と前記第2装置との間で2回以上の認証が行われる場合、
過去の認証における前記第2の認証履歴データと前記第1の認証履歴データとを比較することにより、最新の認証における第1装置および/または第2装置のいずれかが過去の認証における第1装置および/または前記装置と同一であるかどうかを判定する工程とを備え、
前記判定の結果が前記同一である場合、前記最新の認証における前記第1装置と前記第2装置とは互いに通信相手として認証される認証方法である。
【0042】
また、第22の本発明は、前記第2装置が、前記第1装置を通信相手として認証するための認証データを出力し、
前記第1装置が、前記認証データを取得し、前記取得された前記認証データに所定の処理を行い処理済み認証データを生成するとともに前記認証データに基づく認証履歴データを生成し、前記処理済み認証データを前記第2装置に出力し、
前記第2装置が、前記処理済み認証データを取得し、少なくとも前記処理済み認証データに基づき、前記第1装置を前記通信相手として認証する工程をさらに備えた第21の本発明の認証方法である。
【0043】
また、第23の本発明は、前記第1装置は、前記第2装置から、過去の認証における前記第2の認証履歴データを取得して、この取得したデータに対応する、自らの有する前記第1の認証履歴データと比較し、両者が同一である場合は、前記第2装置を前記通信相手として認証する第21または第22の本発明の認証方法である。
【0044】
また、第24の本発明は、前記第2装置は、それぞれ所定のIDが割り当てられた複数個であって、
前記第1装置は、前記IDによって複数の前記第2装置から特定のものを識別し、前記認証の対象とする第23の本発明の認証方法である。
【0045】
また、第25の本発明は、前記第2装置は、前記第1装置から、過去の認証における前記第1の認証履歴データを取得して、この取得したデータに対応する、自らの有する前記第2の認証履歴データと比較し、両者が同一である場合は、前記第1装置を前記通信相手として認証する第21または第22の本発明の認証方法である。
【0046】
また、第26の本発明は、前記第1装置は、それぞれ所定のIDが割り当てられた複数個であって、
前記第2装置は、前記IDによって複数の前記第1装置から特定のものを識別し、前記認証の対象とする第25の本発明の認証方法である。
【0047】
また、第27の本発明は、第13の本発明の第1装置の、前記第2装置に対しデータを出力する第1のデータ出力手段と、前記第2装置から出力されるデータを取得する第1のデータ取得手段と、前記第1のデータ取得手段が取得したデータを少なくとも処理する第1のデータ処理手段としてコンピュータを機能させるためのプログラムである。
【0048】
また、第28の本発明は、第14の本発明の第1装置の、前記第2装置に対しデータを出力する第1のデータ出力手段と、前記第2装置から出力されるデータを取得する第1のデータ取得手段と、前記第1のデータ取得手段が取得したデータを少なくとも処理する第1のデータ処理手段としてコンピュータを機能させるためのプログラムである。
【0049】
また、第29の本発明は、第13または第14の本発明のプログラムを担持した記録媒体であって、コンピュータにより処理可能な記録媒体である。
【0050】
【発明の実施の形態】
以下、本発明の実施の形態を、図面を参照して説明する。
【0051】
(実施の形態1)
図1は、本発明の実施の形態1の通信ネットワーク用セキュリティ装置の構成図である。
【0052】
図1において、1は受信端末、10は第1の制御手段、11は第1の相互認証手段、101は固有識別情報、102は第1の固有暗号化鍵、103は第1の乱数発生手段、104は第1の暗号化手段、105は第1の比較手段、106は第2の暗号化手段、107は第1の演算手段、108は第3の暗号化手段、109は第1のセッション鍵、110は第1のセッション鍵格納手段、111は第3のセッション鍵、112は第4の暗号化手段、2は送信端末、20は第2の制御手段、21は第2の相互認証手段、201はマスター鍵、202は第2の固有暗号化鍵、203は第5の暗号化手段、204は識別情報検索手段、205は第6の暗号化手段、206は第2の乱数発生手段、207は第7の暗号化手段、208は第2の比較手段、209は第2の演算手段、210は第8の暗号化手段、211は第2のセッション鍵、212は第2のセッション鍵格納手段、213は第4のセッション鍵、214は第9の暗号化手段、215は第1の判断手段である。
【0053】
第1の制御手段10は、受信端末1における認証処理制御を行い、第1の相互認証手段11は103乃至108の符号を付した手段から構成され、以下に詳細に述べる相互認証処理を実行する。
【0054】
第2の制御手段20は、送信端末2における認証処理制御を行い、第2の相互認証手段21は205乃至210の符号を付した手段から構成され、以下に詳細に述べる相互認証処理を実行する。なお、受信端末1と送信端末2との間でデータの送受信を行うための手段は周知技術であるので図示を省略したが、係る手段は後述するように本発明の第1および第2のデータ出力手段、第1および第2のデータ取得手段に相当する。
【0055】
以上のような構成を有する、本実施の形態の通信ネットワーク用セキュリティ装置の動作を、図2のタイムチャートを参照して、以下説明するとともに、これにより、本発明の認証方法、第1装置、第2装置の動作の一実施の形態を説明する。
【0056】
受信端末1は、例えば送信端末2から送信される暗号化されたコンテンツを復号する復号化鍵を取得するため、送信端末2と以下のような相互認証を行う。
【0057】
受信端末1は、自身が保有する固有識別情報101を送信端末2に送信する(ステップ301)。送信端末2は、識別情報検索手段204によって、受信端末1から送信された固有識別情報101がコンテンツの受信を許可するために予め登録されているかを検索する。検索の結果、受信端末1から送信された固有識別番号101が登録されていなければ、以降の処理を停止する。検索の結果、固有識別番号101が登録されていれば、以降の処理を継続する。
【0058】
送信端末2は、第5の暗号化手段203を用いて、受信した固有識別情報101をマスター鍵201で暗号化することで、第2の固有暗号化鍵202を生成する。
【0059】
次に受信端末1は、第1の乱数発生手段103によって乱数RN1を発生させ、送信端末2に送信する(ステップ302)と共に、第1の暗号化手段104によって乱数RN1を第1の固有暗号化鍵102で暗号化して数値RN1′を生成する。一方、送信端末2は、第6の暗号化手段205によって、受信端末1から送信された乱数RN1を第2の固有暗号化鍵202で暗号化し、数値RN1″を生成する。
【0060】
受信端末1は、送信端末2に生成した数値RN1″を送信するよう要求し、送信端末2が数値RN1″を送信すると(ステップ303)、第1の比較手段105によって、送信端末2から送信される数値RN1″と予め生成した数値RN1′を比較する。
【0061】
この比較結果により、数値RN1′と数値RN1″が等しい場合、受信端末1は、受信端末1が保有する第1の固有暗号化鍵102と送信端末2が生成した第2の固有暗号化鍵202の値が等しい、すなわち、固有暗号化鍵を受信端末1と送信端末2で共有していることを認識する。
【0062】
次に受信端末1は、送信端末2に乱数RN2の送信を要求する(ステップ304)。送信端末2は受信端末1からの要求に従い、第2の乱数発生手段206で乱数RN2を発生させ、受信端末1に送信する(ステップ305)と共に、第7の暗号化手段207によって、乱数RN2を第2の固有暗号化鍵202で暗号化し、数値RN2′を生成する。一方、受信端末1は、送信端末2から送信された乱数RN2を受信し、第2の暗号化手段106によって、乱数RN2を第1の固有暗号化鍵102で暗号化し、数値RN2″を生成する。生成した数値RN2″を送信端末2へ送信する(ステップ306)ことで、送信端末2は、第2の比較手段208によって予め生成した数値RN2′との比較を行い、数値RN2′と数値RN2″が等しい場合、受信端末1が保有する第1の固有暗号化鍵102と送信端末2が生成した第2の固有暗号化鍵202の値が等しい、すなわち、固有暗号化鍵を受信端末1と送信端末2で共有していることを認識する。
【0063】
前記の固有暗号化鍵を共有したことをお互いが認識して相互認証は仮に成立したとみなされる。
【0064】
以上のステップ301〜306を含む動作は従来例と同様であるが、本実施の形態は、さらに以後の動作を行う。
【0065】
受信端末1は、第1の演算手段107によって、乱数RN1と乱数RN2を用いて所定の演算を施した後、演算結果を第3の暗号化手段108によって第1の固有暗号化鍵102で暗号化して、第1のセッション鍵109を生成し、第1のセッション鍵格納手段110に格納する。
【0066】
一方、送信端末2は、第2の演算手段209によって、乱数RN1と乱数RN2を用いて所定の演算を施した後、演算結果を第8の暗号化手段210によって第2の固有暗号化鍵202で暗号化して、第2のセッション鍵211を生成し、第2のセッション鍵格納手段212に格納する。
【0067】
第1のセッション鍵109および第2のセッション鍵211は、例えば送信端末2でコンテンツの暗号化に用いたコンテンツ鍵を安全に受信端末1に送信するために、さらに暗号化および復号するような場合に用いられる。
【0068】
次に、送信端末2は、受信端末1から送信された固有識別情報101が初めて使用された場合には、全ての認証が成立したとして、例えば暗号化コンテンツを復号するためのコンテンツ鍵の取得を許可する。
【0069】
一方、ステップ301にて受信端末1から送信された固有識別情報101が過去に使用されていた場合には、送信端末2は、受信端末1に対して、前回の相互認証時に生成し、第1のセッション鍵格納手段110に格納した第3のセッション鍵111の送信を要求する(ステップ307)。
【0070】
受信端末1は、第1のセッション鍵格納手段110から第3のセッション鍵111を抽出し、これを第4の暗号化手段112によって、第1の固有暗号化鍵102で暗号化したセッション鍵Ks1″として送信端末2に送信する(ステップ308)。
【0071】
送信端末2は、受信端末1の固有識別情報101で行った前回の相互認証時に生成した第4のセッション鍵213を第2のセッション鍵格納手段212から抽出し、第9の暗号化手段214によって、第2の固有暗号化鍵202で暗号化して生成したセッション鍵Ks2″を生成し、第1の判断手段215によって、受信端末1から送信されたセッション鍵Ks1″と比較する。
【0072】
暗号化されたセッション鍵Ks1″とKs2″の値が異なっていた場合には、第2の制御手段20によって以降の処理を停止し、受信端末1からのコンテンツ要求があった場合、これを拒否する。
【0073】
一方、暗号化されたセッション鍵Ks1″とKs2″の値が同一である場合には、受信端末1からのコンテンツ要求があった場合、これを受諾する。
【0074】
さらに、同一の固有識別情報101を有する受信端末1からの相互認証が新たに行われる場合は、上記ステップ301〜308を含む動作が行われる。このとき、ステップ307に相当するステップでは、送信端末2は受信端末1に対し、受信端末1が上記ステップ306と307の間に作成した第1のセッション鍵109を要求することになる。また、ステップ308に相当するステップでは、この第1のセッション鍵109が第1の固有暗号化鍵102により暗号化されたセッション鍵として、送信端末2に送信されることになる。
【0075】
このように、本実施の形態によれば、乱数RN1,RN2を用いた相互認証を行った後、これら乱数を、次回の相互認証において認証相手の確認に用いるようにしている。
【0076】
したがって、万が一受信端末1が持つ相互認証に必要な情報が漏洩し、不正な受信端末から送信端末2にアクセスが行われた場合でも、送信端末2が、前回に正規の受信端末1と相互認証を行っていれば、不正な受信端末は、前回の相互認証に用いた乱数を有していないため、認証相手の確認時(上記ステップ307,308)において、正規の受信端末でないことが送信端末2に了解される。
【0077】
また、送信端末2が、過去に一度も正規の受信端末1と相互認証を行っていない状態で、不正な受信端末から送信端末2にアクセスが行われている場合でも、一端正規の受信端末1がアクセスを行えば、正規の受信端末1は、前回の相互認証に用いた乱数(これはセッション鍵として格納されている)を有していないため、認証相手の確認時(上記ステップ307,308)において、前回の相互認証の相手の受信端末でないことが送信端末2に了解され、結果的に不正なアクセスがあったことを認識することができる。
【0078】
以上のように、本実施の形態によれば、相互認証に必要な固有識別情報や暗号鍵が漏洩した場合でも、不正なアクセスがあったことを認識して、直ちに対応することができる。
【0079】
(実施の形態2)
図3を用いて、実施の形態2の通信ネットワーク用セキュリティ装置を説明する。
【0080】
図3において、216は第2の判断手段であり、その他、図1と同一の符号を付したものは、図1と同じ機能を有する。よって、以下では、実施の形態1との相違点のみ説明する。
【0081】
第2の判断手段216は、受信端末1と相互認証を行う際に生成した第2のセッション鍵211の値と、第2のセッション鍵格納手段212に格納され、受信端末1から送信された固有識別番号101に対応する第4のセッション鍵213の値を比較し、両者の値が等しい場合には、第2の制御手段20によって改めて相互認証処理を行う。つまり相互認証動作をやり直す。このことにより、相互認証毎にセッション鍵は必ず変更されることとなり、さらにセキュリティレベルの向上を図ることができる。
【0082】
(実施の形態3)
本実施の形態は、実施の形態1と同様の構成を有するので、説明は図1を用い、実施の形態1と同様の点は省略し、相違点を中心に述べる。
【0083】
相互認証処理は、実施の形態1で述べた手順(ステップ301〜ステップ308)で行われるので説明は省略する。
【0084】
前回の相互認証時に第1のセッション鍵格納手段110に格納された第3のセッション鍵111から生成されたセッション鍵Ks1″の値と、第2のセッション鍵格納手段212に格納された第4のセッション鍵から生成されたセッション鍵Ks2″の値とが互いに異なっていた場合、前回の相互認証時から今回の相互認証時の期間に、固有識別情報101、第1の固有暗号化鍵102、第3のセッション鍵111などの情報が漏洩し、それらの情報を用いた不正なアクセスが行われたとして、第1の判断手段215は、識別情報検索手段204に登録されている該当の固有識別情報を無効化する。このことにより、不正なアクセスを行った受信端末からの以降のアクセスは禁止される。ただし、正規の受信端末1に対しても以降のアクセスは禁止されるため、相互認証に必要な情報は改めて配布する必要がある。
【0085】
なお、上記の各実施の形態において、受信端末1および送信端末2からなる通信ネットワーク用セキュリティシステムは、本発明の認証システムに相当する。また、送信端末2は本発明の第1装置に相当し、受信端末1は本発明の第2装置に相当する。
【0086】
また、送信端末2において、第2の制御手段20、第2の相互認証手段21を構成する各手段、第2のセッション鍵格納手段212、第9の暗号化手段214、第1の判断手段215、第5の暗号化手段203、識別情報検索手段204は本発明の第1のデータ処理手段を構成する。また、第2の乱数発生手段206,第6の暗号化手段205から各データを受信端末1へ出力する手段は本発明の第1のデータ出力手段の一部に相当する。また、第2の比較手段208,第1の判断手段215,第2の演算手段209、識別情報検索手段204,第5の暗号化手段203に、受信端末1からの各データを入力する手段は、本発明の第1のデータ取得手段の一部に相当する。
【0087】
また、受信端末1において、第1の制御手段10、第1の相互認証手段11を構成する各手段、第1のセッション鍵格納手段110、第4の暗号化手段112は本発明の第2のデータ処理手段を構成する。また、第1の乱数発生手段103,第4の暗号化手段112から送信端末2へ各データを主力する手段は本発明の第2のデータ出力手段に相当する。また、第1の比較手段105,第1の演算手段107,第2の暗号化手段106に各データを入力する手段は、本発明の第1のデータ取得手段に相当する。
【0088】
また、固有識別情報101は本発明のIDに相当し、第1の固有暗号化鍵102および第2の固有暗号化鍵202は本発明の共通の暗号鍵に相当する。
【0089】
また、乱数RN1、乱数RN2は本発明の認証データに相当し、数値RN1′、RN1″、RN2′、RN2″は本発明の処理済み認証データに相当する。また、セッション鍵Ks1″、Ks2″は本発明の認証履歴データに相当する。また、ステップ301〜306の動作は本発明の認証動作に相当し、ステップ307、308の動作は、本発明の最終的な認証の動作に相当する。
【0090】
ただし、本発明は以上の各実施の形態に限定されない。上記の実施の形態においては、ステップ301〜306において、受信端末1と送信端末2とが相互認証を行うものとして説明を行ったが、本発明の認証動作は、第1装置が第2装置の認証を行う動作のみ、または第2装置が第1装置の認証を行う動作のみであってもよい。
【0091】
また、上記の実施の形態において、ステップ307,308にして示した最終的な認証の動作は、送信端末2が行うとしたが、本発明においては、第1装置、第2装置のいずれかが行うようにしてもよい。また、システムがただ一つの第1装置およびただ一つの第2装置とから構成されている場合は、固有識別情報101を用いなくてもよい。また、第1装置、第2装置のいずれも複数であってもよい。
【0092】
また、上記の実施の形態において、認証動作には乱数RN1,RN2が用いられたが、本発明の認証データは、乱数以外のデータを用いてもよい。
【0093】
また、上記の実施の形態において、セッション鍵Ks1″、Ks2″は、乱数RN1,RN2の両方を用いた演算結果を暗号化したものとしたが、本発明の認証履歴データは、乱数RN1,RN2の演算結果、もしくは乱数RN1,RN2そのものを用いてもよい。また、本発明の認証動作が相互認証でない場合は、乱数RN1またはRN2のいずれかのみに基づき生成されたもの、もしくは乱数RN1、RN2のいずれかそのものを用いてもよい。
【0094】
また、上記の実施の形態においては、ステップ307,308におけるセッション鍵Ks1″、Ks2″は、前回の認証動作時に生成されたものであるとして説明を行ったが、本発明の最終的な認証の動作において用いられる認証履歴データは、過去の認証において生成されたものであれば、その順序に限定されない。すなわち、前回の認証動作時に生成されたものでなく、前々回またはそれ以前の認証動作時に生成されたものを用いてもよい。また、複数回の認証動作時に生成された複数の認証履歴データを組み合わせて用いてもよい。
【0095】
また、本発明にかかるプログラムは、上述した本発明の第1装置の全部または一部の手段(または、装置、素子、回路、部等)の機能をコンピュータにより実行させるためのプログラムであって、コンピュータと協働して動作するプログラムであってもよい。
【0096】
また、本発明は、上述した本発明の第1装置の全部または一部の手段の全部または一部の機能をコンピュータにより実行させるためのプログラムを担持した媒体であり、コンピュータにより読み取り可能且つ、読み取られた前記プログラムが前記コンピュータと協動して前記機能を実行する媒体であってもよい。
【0097】
なお、本発明の上記「一部の手段(または、装置、素子、回路、部等)」、本発明の上記「一部のステップ(または、工程、動作、作用等)」とは、それらの複数の手段またはステップの内の、幾つかの手段またはステップを意味し、あるいは、一つの手段またはステップの内の、一部の機能または一部の動作を意味するものである。
【0098】
また、本発明の一部の装置(または、素子、回路、部等)とは、それらの複数の装置の内の、幾つかの装置を意味し、あるいは、一つの装置の内の、一部の手段(または、素子、回路、部等)を意味し、あるいは、一つの手段の内の、一部の機能を意味するものである。
【0099】
また、本発明のプログラムを記録した、コンピュータに読みとり可能な記録媒体も本発明に含まれる。
【0100】
また、本発明のプログラムの一利用形態は、コンピュータにより読み取り可能な記録媒体に記録され、コンピュータと協働して動作する態様であっても良い。
【0101】
また、本発明のプログラムの一利用形態は、伝送媒体中を伝送し、コンピュータにより読みとられ、コンピュータと協働して動作する態様であっても良い。
【0102】
また、本発明のデータ構造としては、データベース、データフォーマット、データテーブル、データリスト、データの種類などを含む。
【0103】
また、記録媒体としては、ROM等が含まれ、伝送媒体としては、インターネット等の伝送機構、光・電波・音波等が含まれる。
【0104】
また、上述した本発明のコンピュータは、CPU等の純然たるハードウェアに限らず、ファームウェアや、OS、更に周辺機器を含むものであっても良い。
【0105】
なお、以上説明した様に、本発明の構成は、ソフトウェア的に実現しても良いし、ハードウェア的に実現しても良い。
【0106】
【発明の効果】
以上のように、本発明によれば、コンテンツ保護のセキュリティレベルを向上させることが出来る。
【図面の簡単な説明】
【図1】本発明の実施の形態1による通信ネットワーク用セキュリティ装置の構成を示すブロック図
【図2】本発明の実施の形態1の動作を説明するタイムチャートを示す図
【図3】本発明の実施の形態2による通信ネットワーク用セキュリティ装置の構成を示すブロック図
【図4】従来の通信ネットワーク用セキュリティ装置の構成を示すブロック図
【図5】従来の通信ネットワーク用セキュリティ装置の動作を説明するタイムチャートを示す図
【符号の説明】
1 受信端末
10 第1の制御手段
11 第1の相互認証手段
109 第1のセッション鍵
110 第1のセッション鍵格納手段
111 第3のセッション鍵
2 送信端末
20 第2の制御手段
21 第2の相互認証手段
204 識別情報検索手段
211 第2のセッション鍵
212 第2のセッション鍵格納手段
213 第4のセッション鍵[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to an authentication system, an authentication method, and the like used for a system for transmitting and receiving contents via a communication network.
[0002]
[Prior art]
Conventional security devices for communication networks perform mutual authentication between a transmitting terminal that transmits content and a receiving terminal that receives content to confirm that they are legitimate terminals, and obtain a session key obtained at that time. In some cases, a content key used for encrypting the content is transmitted and received using the URL to distribute the content while maintaining security. (For example, see Patent Document 1).
[0003]
Hereinafter, a conventional security device for a communication network will be described with reference to the drawings.
[0004]
FIG. 4 is a block diagram of a conventional security device for a communication network.
[0005]
In FIG. 4, 41 is a receiving terminal, 410 is a first control means, 411 is a first mutual authentication means, 4101 is unique identification information, 4102 is a first unique encryption key, 4103 is a first random number generating means 4104 is a first encryption means, 4105 is a first comparison means, 4106 is a second encryption means, 4107 is a first arithmetic means, 4108 is a third encryption means, 4109 is a first session Key, 42 a transmitting terminal, 420 a second control means, 421 a second mutual authentication means, 421 a master key, 4202 a second unique encryption key, 4203 a fifth encryption means, 4205 a A sixth encryption unit, 4206 is a second random number generation unit, 4207 is a seventh encryption unit, 4208 is a second comparison unit, 4209 is a second calculation unit, 4210 is an eighth encryption unit, 4211 is the second set. Is a ® down key.
[0006]
The first control means 410 controls the authentication processing in the receiving terminal 41, and the first mutual authentication means 411 is constituted by means denoted by reference numerals 4103 to 4108, and executes the mutual authentication processing described in detail below. .
[0007]
The second control means 420 controls the authentication processing in the transmitting terminal 42, and the second mutual authentication means 421 is constituted by means denoted by reference numerals 4205 to 4210, and executes the mutual authentication processing described in detail below. .
[0008]
The receiving terminal 41 performs the following mutual authentication with the transmitting terminal 42 as shown in the time chart of FIG. 5 in order to obtain a decryption key for decrypting the encrypted content transmitted from the transmitting terminal 42, for example. .
[0009]
The receiving terminal 41 transmits the unique identification information 4101 held by the receiving terminal 41 to the transmitting terminal 42 (Step 501).
[0010]
The transmitting terminal 42 generates the second unique encryption key 4202 by encrypting the received unique identification information 4101 with the master key 4201 using the fifth encryption means 4203.
[0011]
Next, the receiving terminal 41 generates a random number RN1 by the first random number generating means 4103 and transmits the random number RN1 to the transmitting terminal 42 (step 502), and also encrypts the random number RN1 by the first encrypting means 4104 with the first unique encryption. A value RN1 'is generated by encryption with the key 4102. On the other hand, the transmitting terminal 42 uses the sixth encryption unit 4205 to encrypt the random number RN1 transmitted from the receiving terminal 41 with the second unique encryption key 4202 to generate a numerical value RN1 ″. When requesting the transmitting terminal 42 to transmit the generated numerical value RN1 ″ and receiving the transmission of the numerical value RN1 ″ (step 503), the first comparing unit 4105 generates the numerical value RN1 ″ transmitted from the transmitting terminal 42 in advance. The calculated numerical value RN1 'is compared.
[0012]
As a result of this comparison, when the numerical value RN1 'is equal to the numerical value RN1 ", the receiving terminal 41 determines that the first unique encryption key 4102 held by the receiving terminal 41 and the second unique encryption key 4202 generated by the transmitting terminal 42. Are equal, that is, the receiving terminal 41 and the transmitting terminal 42 share the unique encryption key.
[0013]
Next, the receiving terminal 41 requests the transmitting terminal 42 to transmit the random number RN2 (step 504). In response to the request from the receiving terminal 41, the transmitting terminal 42 generates a random number RN2 by the second random number generating means 4206 and transmits it to the receiving terminal 41 (step 505). Encrypt with the second unique encryption key 4202 to generate a numerical value RN2 '.
[0014]
On the other hand, the receiving terminal 41 receives the random number RN2 transmitted from the transmitting terminal 42, encrypts the random number RN2 with the first unique encryption key 4102 by the second encryption means 4106, and generates a numerical value RN2 ″. By transmitting the generated numerical value RN2 ″ to the transmitting terminal 42 (step 506), the transmitting terminal 42 compares the numerical value RN2 ′ and the numerical value RN2 ′ with the numerical value RN2 ′ generated in advance by the second comparing means 4208. Are equal, the value of the first unique encryption key 4102 held by the receiving terminal 41 is equal to the value of the second unique encryption key 4202 generated by the sending terminal 2, that is, the unique encryption key is The transmission terminal 42 recognizes that it is shared.
[0015]
Mutual authentication is deemed to have been established upon mutual recognition that the unique encryption key has been shared. After the mutual authentication is established, the receiving terminal 41 performs a predetermined operation on the random numbers RN1 and RN2 by the first operation unit 4107, and outputs the operation result by the third encryption unit 4108 to the first unique The first session key 4109 is generated by encrypting with the encryption key 4102. Similarly, the transmitting terminal 42 performs the same operation as the first operation unit 4107 on the random number RN1 and the random number RN2 by the second operation unit 4209, and outputs the operation result by the eighth encryption unit 4210 to the second operation unit 4107. The second session key 4211 is generated by encrypting with the unique encryption key 4202.
[0016]
Using the two session keys generated as described above, for example, the content key for decrypting the encrypted content is encrypted with the second session key 4211 generated from the two random numbers, and the receiving terminal 41 Then, the content key can be received from the transmission terminal 42 more securely by decrypting it with the first session key 4109 at the reception terminal 41 (step 507).
[0017]
[Patent Document 1]
JP-A-10-79732
[0018]
[Problems to be solved by the invention]
However, if the unique identification information and the unique encryption key used for performing the mutual authentication are leaked, for example, if the unique identification information and the unique encryption key 4102 have the same unique identification information and unique encryption key as the formal unique identification information 4101 and the unique encryption key 4102, respectively. If there is a receiving terminal 41 ′ (not shown), the transmitting terminal 42 cannot distinguish between the receiving terminal 41 ′ and the legitimate transmitting terminal 41 by the above mutual authentication.
[0019]
Therefore, there is a possibility that the contents of the transmitting terminal 42 are accessed from the receiving terminal 41 '.
[0020]
The present invention solves the above-mentioned conventional problems. Even when a complete copy of all information including the unique identification information and the unique encryption key of the receiving terminal or the storage medium attached to the receiving terminal exists, Another object of the present invention is to provide an authentication system, an authentication method, and the like with a high security level that can prevent access from a receiving terminal having the unique identification information to a transmitting terminal.
[0021]
[Means for Solving the Problems]
In order to achieve the above object, a first aspect of the present invention is an authentication system in which a first device and a second device authenticate each other as communication partners,
A first data output unit that outputs data to the second device; a first data obtaining unit that obtains data output from the second device; and a first data obtaining unit that obtains data output from the second device. First data processing means for processing at least the data obtained by the means,
A second data output unit that outputs data to the first device; a second data acquisition unit that obtains data output from the first device; and a second data acquisition unit that acquires data output from the first device. Means for processing at least the data obtained by the means, and
As an authentication operation,
The first data output unit of the first device outputs authentication data for authenticating the second device as a communication partner, and the first data processing unit performs a first authentication based on at least the authentication data. Generate historical data,
The second data acquisition unit of the second device acquires the authentication data, and the second data processing unit performs a predetermined process on the authentication data to perform processed authentication data, and based on at least the authentication data. Generating second authentication history data, wherein the second data output means outputs the processed authentication data to the first device;
The first data acquisition unit of the first device acquires the processed authentication data, and the first data processing unit sets the second device as the communication partner based on at least the processed authentication data. Authenticate,
When the authentication operation is performed two or more times between the first device and the second device,
By comparing the second authentication history data in the past authentication with the first authentication history data, any one of the first device and / or the second device in the latest authentication is the first device in the past authentication. And / or to determine if it is the same as the second device,
If the result of the determination is the same, the first device and the second device in the latest authentication are finally authenticated as communication partners with each other.
[0022]
In a second aspect of the present invention, the first data acquisition unit of the first device acquires the second authentication history data in past authentication from the second device,
The first data processing means compares the first authentication history data of the first data processing means with the second authentication history data corresponding to the acquired data, and when both are the same, An authentication system according to a first aspect of the present invention for finally authenticating a second device as the communication partner.
[0023]
In a third aspect of the present invention, the second device is a plurality of devices each assigned a predetermined ID,
The first data processing means of the first device is an authentication system according to a second aspect of the present invention in which a specific device is identified from the plurality of second devices by the ID, and is a target of the authentication.
[0024]
In a fourth aspect of the present invention, the second data acquisition unit of the second device acquires the first authentication history data in past authentication from the first device,
The second data processing unit compares the second authentication history data of the second data processing unit with the first authentication history data corresponding to the acquired data, and when both are the same, An authentication system according to a first aspect of the present invention for finally authenticating a first device as the communication partner.
[0025]
In a fifth aspect of the present invention, the first device is a plurality of devices each assigned a predetermined ID,
The second data processing means of the second device is an authentication system according to a fourth aspect of the present invention in which a specific device is identified from the plurality of first devices by the ID, and is used as an authentication target.
[0026]
In a sixth aspect of the present invention, the authentication operation includes:
The second data output means of the second device outputs authentication data for authenticating the first device as a communication partner,
The first data acquisition unit of the first device acquires the authentication data, and the first data processing unit performs a predetermined process on the acquired authentication data to generate processed authentication data. And generating authentication history data based on the authentication data, the first data output means outputs the processed authentication data to the second device,
The second data acquisition unit of the second device acquires the processed authentication data, and the second data processing unit sets the first device as the communication partner based on at least the processed authentication data. Authenticate,
The authentication system according to any one of the first to fifth aspects of the present invention further including an operation.
[0027]
In a seventh aspect of the present invention, the first device and the second device have a common encryption key,
The first data processing means of the first device or the second data processing means of the second device generates the processed authentication data by encrypting the authentication data with the encryption key,
The first data processing unit of the first device or the second data processing unit of the second device encrypts the authentication data with the encryption key, and compares the processed data with the processed authentication data. The authentication system according to the first or sixth aspect of the present invention performs the authentication operation.
[0028]
Further, in the eighth invention, the first data processing means of the first device or the second data processing means of the second device may be configured to encrypt the authentication data with the encryption key, thereby obtaining the authentication history. It is a seventh authentication system of the present invention for generating data.
[0029]
In a ninth aspect of the present invention, after the completion of the final authentication, the first data output means of the first device can output predetermined contents to the second device. The authentication system according to any one of the sixth and seventh aspects of the present invention.
[0030]
According to a tenth aspect of the present invention, after the completion of the final authentication, the second data output means of the second device can output predetermined contents to the first device. The authentication system according to any one of the sixth and seventh aspects of the present invention.
[0031]
An eleventh invention is characterized in that the first data processing means of the first device or the second data processing means of the second device continuously generates the authentication history data having the same content, A second or fourth authentication system of the present invention in which the operation of generating the authentication history data is redone.
[0032]
A twelfth aspect of the present invention is the authentication system according to the third or fifth aspect of the present invention, wherein when the result of the determination is not the same, the ID is treated as invalid thereafter.
[0033]
A thirteenth invention is a first device for authenticating a predetermined second device as a communication partner,
First data output means for outputting data to the second device, first data acquisition means for acquiring data output from the second device, and data acquired by the first data acquisition means. A second data output unit that outputs data to the first device; and a second data output unit that obtains data output from the first device. 2 data acquisition means, and a second data processing means for processing at least the data acquired by the second data acquisition means,
As an authentication operation,
The first data output unit of the first device outputs authentication data for authenticating the second device as a communication partner, and the first data processing unit performs a first authentication based on at least the authentication data. Generate historical data,
The second data acquisition unit of the second device acquires the authentication data, and the second data processing unit performs a predetermined process on the authentication data to perform processed authentication data, and based on at least the authentication data. Generating second authentication history data, wherein the second data output means outputs the processed authentication data to the first device;
The first data acquisition unit of the first device acquires the processed authentication data, and the first data processing unit sets the second device as the communication partner based on at least the processed authentication data. Authenticate,
When the authentication operation is performed two or more times with the second device,
The first data acquisition unit acquires the second authentication history data in past authentication from the second device,
The first data processing means compares the first authentication history data of the first data processing means with the second authentication history data corresponding to the acquired data, and when both are the same, The first device that finally authenticates the second device as the communication partner.
[0034]
The fourteenth invention is a first device for authenticating a predetermined second device as a communication partner,
First data output means for outputting data to the second device, first data acquisition means for acquiring data output from the second device, and data acquired by the first data acquisition means. A second data output unit that outputs data to the first device; and a second data output unit that obtains data output from the first device. 2 data acquisition means, and a second data processing means for processing at least the data acquired by the second data acquisition means,
As an authentication operation,
The second data output means of the second device outputs authentication data for authenticating the first device as a communication partner,
The first data acquisition unit of the first device acquires the authentication data, and the first data processing unit performs a predetermined process on the acquired authentication data to generate processed authentication data. And generating authentication history data based on the authentication data, the first data output means outputs the processed authentication data to the second device,
The second data acquisition unit of the second device acquires the processed authentication data, and the second data processing unit sets the first device as the communication partner based on at least the processed authentication data. Authenticate,
When the authentication operation is performed two or more times with the second device,
The first data acquisition unit acquires the second authentication history data in past authentication from the second device,
The first data processing means compares the first authentication history data of the first data processing means with the second authentication history data corresponding to the acquired data, and when both are the same, The first device that finally authenticates the second device as the communication partner.
[0035]
In a fifteenth aspect of the present invention, the second device is a plurality of devices each assigned a predetermined ID,
The first data processing means is a first device according to a thirteenth or fourteenth aspect of the present invention, in which a specific one is identified from the plurality of second devices by the ID, and the authentication target is the target.
[0036]
Further, a sixteenth aspect of the present invention has a common encryption key with the second device,
The first data processing means generates the processed authentication data by encrypting the authentication data with the encryption key, and encrypts the authentication data with the encryption key. A thirteenth or fourteenth first device of the present invention that performs the authentication operation by collating with processed authentication data.
[0037]
A seventeenth aspect of the present invention is the first apparatus according to the thirteenth or fourteenth aspect, wherein the first data processing means generates the authentication history data by encrypting the authentication data with the encryption key. It is.
[0038]
An eighteenth aspect of the present invention is the device according to the thirteenth or fourteenth aspect of the present invention, wherein after the completion of the final authentication, the first data output means can output predetermined content to the second device. The first device.
[0039]
In a nineteenth aspect of the present invention, the first data processing means, when the authentication history data having the same content is continuously generated, repeats the operation of generating the authentication history data in the thirteenth or fourteenth book. 1 is a first device of the present invention.
[0040]
In a twentieth aspect of the present invention, when the result of the determination is not the same, the data processing means sets the ID of the second device to be invalid thereafter in the first device of the fifteenth aspect of the present invention. is there.
[0041]
Also, in a twenty-first aspect of the present invention, the first device outputs authentication data for authenticating the second device as a communication partner, and generates first authentication history data based on at least the authentication data.
The second device acquires the authentication data, performs a predetermined process on the acquired authentication data, outputs the processed data to the first device as processed authentication data, and generates second authentication history data based at least on the authentication data. Process and
A step in which the first device authenticates the second device as the communication partner based on at least the processed authentication data;
When authentication is performed two or more times between the first device and the second device,
By comparing the second authentication history data in the past authentication with the first authentication history data, any one of the first device and / or the second device in the latest authentication is the first device in the past authentication. And / or determining whether the device is the same as the device,
When the result of the determination is the same, the first device and the second device in the latest authentication are authentication methods in which the first device and the second device are mutually authenticated as communication partners.
[0042]
In a twenty-second aspect of the present invention, the second device outputs authentication data for authenticating the first device as a communication partner,
The first device acquires the authentication data, performs a predetermined process on the acquired authentication data to generate processed authentication data, and generates authentication history data based on the authentication data; Outputting data to the second device;
The authentication method according to a twenty-first aspect of the present invention, further comprising the step of the second device acquiring the processed authentication data and authenticating the first device as the communication partner based on at least the processed authentication data. .
[0043]
Also, in a twenty-third aspect of the present invention, the first device acquires the second authentication history data in the past authentication from the second device, and the first device owns the second authentication history data corresponding to the acquired data. The authentication method according to the present invention is a twenty-first or twenty-second authentication method of authenticating the second device as the communication partner if the two are the same as compared with the first authentication history data.
[0044]
In a twenty-fourth aspect of the present invention, the second device is a plurality of devices each assigned a predetermined ID,
The first device is an authentication method according to a twenty-third aspect of the present invention, in which a specific device is identified from the plurality of second devices by the ID, and is used as the authentication target.
[0045]
According to a twenty-fifth aspect of the present invention, the second device acquires the first authentication history data in the past authentication from the first device, and corresponds to the acquired first authentication history data corresponding to the acquired data. The authentication method according to the present invention is the authentication method according to the twenty-first or twenty-second aspect of the present invention, wherein the first device is authenticated as the communication partner if the two are the same as compared with the second authentication history data.
[0046]
In a twenty-sixth aspect of the present invention, the first device is a plurality of devices each assigned a predetermined ID,
The second device is an authentication method according to a twenty-fifth aspect of the present invention in which a specific device is identified from the plurality of first devices by the ID, and is used as the authentication target.
[0047]
According to a twenty-seventh aspect of the present invention, in the first device of the thirteenth aspect, a first data output means for outputting data to the second device, and acquiring data output from the second device. A program for causing a computer to function as a first data acquisition unit and a first data processing unit that processes at least the data acquired by the first data acquisition unit.
[0048]
In a twenty-eighth aspect of the present invention, in the first device according to the fourteenth aspect, a first data output unit that outputs data to the second device, and acquires data output from the second device. A program for causing a computer to function as a first data acquisition unit and a first data processing unit that processes at least the data acquired by the first data acquisition unit.
[0049]
A twenty-ninth aspect of the present invention is a recording medium carrying the program of the thirteenth or fourteenth aspect of the present invention, which is a recording medium that can be processed by a computer.
[0050]
BEST MODE FOR CARRYING OUT THE INVENTION
Hereinafter, embodiments of the present invention will be described with reference to the drawings.
[0051]
(Embodiment 1)
FIG. 1 is a configuration diagram of a communication network security device according to Embodiment 1 of the present invention.
[0052]
In FIG. 1, 1 is a receiving terminal, 10 is first control means, 11 is first mutual authentication means, 101 is unique identification information, 102 is a first unique encryption key, and 103 is first random number generating means. , 104 is a first encryption unit, 105 is a first comparison unit, 106 is a second encryption unit, 107 is a first calculation unit, 108 is a third encryption unit, and 109 is a first session. Key, 110 is a first session key storage means, 111 is a third session key, 112 is a fourth encryption means, 2 is a transmitting terminal, 20 is a second control means, and 21 is a second mutual authentication means. , 201 is a master key, 202 is a second unique encryption key, 203 is a fifth encryption unit, 204 is an identification information search unit, 205 is a sixth encryption unit, 206 is a second random number generation unit, 207 is a seventh encryption means, 208 is a second comparison means, 2 9 is a second operation means, 210 is an eighth encryption means, 211 is a second session key, 212 is a second session key storage means, 213 is a fourth session key, 214 is a ninth encryption key Means 215 is a first determination means.
[0053]
The first control means 10 controls the authentication processing in the receiving terminal 1, and the first mutual authentication means 11 is constituted by means denoted by reference numerals 103 to 108, and executes the mutual authentication processing described in detail below. .
[0054]
The second control means 20 controls the authentication processing in the transmitting terminal 2, and the second mutual authentication means 21 is constituted by means denoted by reference numerals 205 to 210, and executes the mutual authentication processing described in detail below. . The means for transmitting and receiving data between the receiving terminal 1 and the transmitting terminal 2 is a well-known technique, and is not shown in the drawings. However, such means is not limited to the first and second data of the present invention as described later. The output unit corresponds to the first and second data acquisition units.
[0055]
The operation of the communication network security device of the present embodiment having the above-described configuration will be described below with reference to the time chart of FIG. 2, and the authentication method of the present invention, the first device, An embodiment of the operation of the second device will be described.
[0056]
The receiving terminal 1 performs the following mutual authentication with the transmitting terminal 2 in order to obtain a decryption key for decrypting the encrypted content transmitted from the transmitting terminal 2, for example.
[0057]
The receiving terminal 1 transmits its own unique identification information 101 to the transmitting terminal 2 (step 301). The transmitting terminal 2 uses the identification information searching means 204 to search whether the unique identification information 101 transmitted from the receiving terminal 1 is registered in advance in order to permit the reception of the content. As a result of the search, if the unique identification number 101 transmitted from the receiving terminal 1 is not registered, the subsequent processing is stopped. As a result of the search, if the unique identification number 101 is registered, the subsequent processing is continued.
[0058]
The transmitting terminal 2 generates the second unique encryption key 202 by encrypting the received unique identification information 101 with the master key 201 using the fifth encryption means 203.
[0059]
Next, the receiving terminal 1 generates a random number RN1 by the first random number generating means 103 and transmits the random number RN1 to the transmitting terminal 2 (step 302). Encrypted with the key 102 to generate a numerical value RN1 '. On the other hand, the transmitting terminal 2 uses the sixth encryption unit 205 to encrypt the random number RN1 transmitted from the receiving terminal 1 with the second unique encryption key 202, and generates a numerical value RN1 ″.
[0060]
The receiving terminal 1 requests the transmitting terminal 2 to transmit the generated numerical value RN1 ″. When the transmitting terminal 2 transmits the numerical value RN1 ″ (step 303), the transmitting terminal 2 transmits the numerical value RN1 ″ by the first comparing unit 105. The numerical value RN1 ″ is compared with a numerical value RN1 ′ generated in advance.
[0061]
As a result of the comparison, when the numerical value RN1 'is equal to the numerical value RN1 ", the receiving terminal 1 determines that the first unique encryption key 102 held by the receiving terminal 1 is equal to the second unique encryption key 202 generated by the sending terminal 2. Are equal, that is, the receiving terminal 1 and the transmitting terminal 2 share the unique encryption key.
[0062]
Next, the receiving terminal 1 requests the transmitting terminal 2 to transmit the random number RN2 (Step 304). In response to the request from the receiving terminal 1, the transmitting terminal 2 generates a random number RN2 by the second random number generating means 206 and transmits it to the receiving terminal 1 (step 305). It encrypts with the second unique encryption key 202 to generate a numerical value RN2 '. On the other hand, the receiving terminal 1 receives the random number RN2 transmitted from the transmitting terminal 2, encrypts the random number RN2 with the first unique encryption key 102 by the second encryption means 106, and generates a numerical value RN2 ″. By transmitting the generated numerical value RN2 ″ to the transmitting terminal 2 (step 306), the transmitting terminal 2 compares the numerical value RN2 ′ and the numerical value RN2 ′ with the numerical value RN2 ′ generated in advance by the second comparing means 208. Are equal, the value of the first unique encryption key 102 held by the receiving terminal 1 and the value of the second unique encryption key 202 generated by the sending terminal 2 are equal, that is, the unique encryption key is The transmitting terminal 2 recognizes that it is shared.
[0063]
The two parties recognize that the above-mentioned unique encryption key is shared, and it is assumed that the mutual authentication has been temporarily established.
[0064]
The operation including the above steps 301 to 306 is the same as the conventional example, but the present embodiment further performs the subsequent operation.
[0065]
The receiving terminal 1 performs a predetermined operation using the random number RN1 and the random number RN2 by the first operation unit 107, and encrypts the operation result with the first unique encryption key 102 by the third encryption unit 108. Then, the first session key 109 is generated and stored in the first session key storage unit 110.
[0066]
On the other hand, the transmitting terminal 2 performs a predetermined operation using the random number RN1 and the random number RN2 by the second operation unit 209, and then transmits the operation result to the second unique encryption key 202 by the eighth encryption unit 210. To generate a second session key 211 and store it in the second session key storage unit 212.
[0067]
The first session key 109 and the second session key 211 are used for, for example, further encrypting and decrypting the content key used for encrypting the content in the transmitting terminal 2 in order to securely transmit the content key to the receiving terminal 1. Used for
[0068]
Next, when the unique identification information 101 transmitted from the receiving terminal 1 is used for the first time, the transmitting terminal 2 determines that all the authentications have been established, and obtains a content key for decrypting the encrypted content, for example. To give permission.
[0069]
On the other hand, if the unique identification information 101 transmitted from the receiving terminal 1 in step 301 has been used in the past, the transmitting terminal 2 generates the first Request transmission of the third session key 111 stored in the session key storage means 110 (step 307).
[0070]
The receiving terminal 1 extracts the third session key 111 from the first session key storage unit 110 and encrypts the third session key 111 with the first unique encryption key 102 by the fourth encryption unit 112. "To the transmitting terminal 2 (step 308).
[0071]
The transmitting terminal 2 extracts the fourth session key 213 generated at the time of the previous mutual authentication performed by the unique identification information 101 of the receiving terminal 1 from the second session key storing unit 212, and the ninth encrypting unit 214 Then, a session key Ks2 ″ generated by encrypting with the second unique encryption key 202 is generated, and compared with the session key Ks1 ″ transmitted from the receiving terminal 1 by the first determination unit 215.
[0072]
If the values of the encrypted session keys Ks1 "and Ks2" are different, the subsequent processing is stopped by the second control means 20, and if there is a content request from the receiving terminal 1, it is rejected. I do.
[0073]
On the other hand, when the values of the encrypted session keys Ks1 ″ and Ks2 ″ are the same, if there is a content request from the receiving terminal 1, this is accepted.
[0074]
Further, when the mutual authentication from the receiving terminal 1 having the same unique identification information 101 is newly performed, the operation including the steps 301 to 308 is performed. At this time, in a step corresponding to step 307, the transmitting terminal 2 requests the receiving terminal 1 for the first session key 109 created between the steps 306 and 307 by the receiving terminal 1. In a step corresponding to step 308, the first session key 109 is transmitted to the transmitting terminal 2 as a session key encrypted by the first unique encryption key 102.
[0075]
As described above, according to the present embodiment, after performing the mutual authentication using the random numbers RN1 and RN2, these random numbers are used for confirming the authentication partner in the next mutual authentication.
[0076]
Therefore, even if information necessary for the mutual authentication of the receiving terminal 1 is leaked and the transmitting terminal 2 is accessed from an unauthorized receiving terminal, the transmitting terminal 2 will Is performed, the unauthorized receiving terminal does not have the random number used for the previous mutual authentication, and therefore, at the time of confirming the authentication partner (steps 307 and 308), it is determined that the unauthorized receiving terminal is not a legitimate receiving terminal. 2 understand.
[0077]
Further, even if the transmitting terminal 2 has been accessed from an unauthorized receiving terminal in a state where the transmitting terminal 2 has never performed mutual authentication with the legitimate receiving terminal 1 in the past, once the legitimate receiving terminal 1 Makes an access, the legitimate receiving terminal 1 does not have the random number used for the previous mutual authentication (which is stored as the session key), and therefore, when confirming the authentication partner (the above steps 307 and 308). In), the transmitting terminal 2 understands that the receiving terminal is not the receiving terminal of the previous mutual authentication, and as a result, it is possible to recognize that there has been an unauthorized access.
[0078]
As described above, according to the present embodiment, even when the unique identification information or the encryption key necessary for the mutual authentication is leaked, it is possible to recognize that there has been an unauthorized access and to immediately respond.
[0079]
(Embodiment 2)
The communication network security device according to the second embodiment will be described with reference to FIG.
[0080]
In FIG. 3, reference numeral 216 denotes a second judging means, and the components denoted by the same reference numerals as those in FIG. 1 have the same functions as those in FIG. Therefore, only the differences from the first embodiment will be described below.
[0081]
The second determining unit 216 determines the value of the second session key 211 generated when performing mutual authentication with the receiving terminal 1 and the unique value stored in the second session key storing unit 212 and transmitted from the receiving terminal 1. The value of the fourth session key 213 corresponding to the identification number 101 is compared, and if both values are equal, the mutual authentication processing is performed again by the second control means 20. That is, the mutual authentication operation is performed again. As a result, the session key is always changed for each mutual authentication, and the security level can be further improved.
[0082]
(Embodiment 3)
Since this embodiment has the same configuration as that of the first embodiment, the description will be made with reference to FIG.
[0083]
The mutual authentication process is performed according to the procedure (steps 301 to 308) described in the first embodiment, and a description thereof will not be repeated.
[0084]
The value of the session key Ks1 ″ generated from the third session key 111 stored in the first session key storage unit 110 at the time of the previous mutual authentication and the fourth session key stored in the second session key storage unit 212 When the value of the session key Ks2 ″ generated from the session key is different from each other, the unique identification information 101, the first unique encryption key 102, and the The third determining unit 215 determines that the information such as the session key 111 of No. 3 has been leaked and has been accessed illegally using the information. Disable. As a result, subsequent access from the receiving terminal that has performed the unauthorized access is prohibited. However, since subsequent access to the authorized receiving terminal 1 is also prohibited, information necessary for mutual authentication must be distributed again.
[0085]
In each of the above embodiments, the communication network security system including the receiving terminal 1 and the transmitting terminal 2 corresponds to the authentication system of the present invention. The transmitting terminal 2 corresponds to the first device of the present invention, and the receiving terminal 1 corresponds to the second device of the present invention.
[0086]
Further, in the transmitting terminal 2, each unit constituting the second control unit 20, the second mutual authentication unit 21, the second session key storage unit 212, the ninth encryption unit 214, and the first determination unit 215 , The fifth encrypting means 203, and the identification information searching means 204 constitute a first data processing means of the present invention. The means for outputting each data from the second random number generation means 206 and the sixth encryption means 205 to the receiving terminal 1 corresponds to a part of the first data output means of the present invention. The means for inputting each data from the receiving terminal 1 to the second comparing means 208, the first determining means 215, the second calculating means 209, the identification information searching means 204, and the fifth encrypting means 203 , Corresponds to a part of the first data acquisition means of the present invention.
[0087]
Further, in the receiving terminal 1, each of the means constituting the first control means 10, the first mutual authentication means 11, the first session key storage means 110, and the fourth encryption means 112 correspond to the second means of the present invention. It constitutes data processing means. Further, the means for mainly transferring each data from the first random number generation means 103 and the fourth encryption means 112 to the transmission terminal 2 corresponds to the second data output means of the present invention. The means for inputting each data to the first comparing means 105, the first calculating means 107, and the second encrypting means 106 corresponds to the first data acquiring means of the present invention.
[0088]
The unique identification information 101 corresponds to the ID of the present invention, and the first unique encryption key 102 and the second unique encryption key 202 correspond to a common encryption key of the present invention.
[0089]
The random numbers RN1 and RN2 correspond to the authentication data of the present invention, and the numerical values RN1 ', RN1 ", RN2', and RN2" correspond to the processed authentication data of the present invention. The session keys Ks1 ″ and Ks2 ″ correspond to the authentication history data of the present invention. The operations of steps 301 to 306 correspond to the authentication operation of the present invention, and the operations of steps 307 and 308 correspond to the final authentication operation of the present invention.
[0090]
However, the present invention is not limited to the above embodiments. In the above embodiment, the description has been given on the assumption that the receiving terminal 1 and the transmitting terminal 2 perform mutual authentication in steps 301 to 306. Only the operation of performing authentication or the operation of the second device performing authentication of the first device may be performed.
[0091]
Also, in the above embodiment, the final authentication operation shown in steps 307 and 308 is performed by the transmitting terminal 2, but in the present invention, either the first device or the second device It may be performed. When the system includes only one first device and only one second device, the unique identification information 101 may not be used. Further, both the first device and the second device may be plural.
[0092]
Further, in the above embodiment, the random numbers RN1 and RN2 are used for the authentication operation, but the authentication data of the present invention may use data other than the random numbers.
[0093]
In the above-described embodiment, the session keys Ks1 ″ and Ks2 ″ are obtained by encrypting the operation results using both the random numbers RN1 and RN2. However, the authentication history data of the present invention includes the random numbers RN1 and RN2. Or the random numbers RN1 and RN2 themselves may be used. In the case where the authentication operation of the present invention is not mutual authentication, an operation generated based on only one of the random numbers RN1 and RN2 or one of the random numbers RN1 and RN2 may be used.
[0094]
Further, in the above-described embodiment, the description has been given on the assumption that the session keys Ks1 ″ and Ks2 ″ in steps 307 and 308 are generated during the previous authentication operation. The authentication history data used in the operation is not limited to the order as long as it is generated in the past authentication. That is, instead of the one generated during the previous authentication operation, the one generated two or more times before or before the authentication operation may be used. Also, a plurality of authentication history data generated during a plurality of authentication operations may be used in combination.
[0095]
Further, a program according to the present invention is a program for causing a computer to execute the functions of all or a part of the above-described first device of the present invention (or a device, an element, a circuit, a unit, or the like), It may be a program that operates in cooperation with a computer.
[0096]
Further, the present invention is a medium that carries a program for causing a computer to execute all or a part of the functions of all or part of the first device of the present invention, and is readable and readable by a computer. The program may be a medium that executes the function in cooperation with the computer.
[0097]
The “partial means (or device, element, circuit, unit, etc.)” of the present invention and the “partial steps (or process, operation, operation, etc.)” of the present invention refer to those. It means several means or steps of a plurality of means or steps, or means some functions or some operations of one means or steps.
[0098]
Further, some devices (or elements, circuits, units, and the like) of the present invention mean some of the plurality of devices, or some of the devices. (Or an element, a circuit, a part, or the like), or a part of the function of one means.
[0099]
The present invention also includes a computer-readable recording medium that records the program of the present invention.
[0100]
Further, one usage form of the program of the present invention may be a mode in which the program is recorded on a computer-readable recording medium and operates in cooperation with the computer.
[0101]
One use form of the program of the present invention may be a form in which the program is transmitted through a transmission medium, read by a computer, and operates in cooperation with the computer.
[0102]
Further, the data structure of the present invention includes a database, a data format, a data table, a data list, a type of data, and the like.
[0103]
The recording medium includes a ROM and the like, and the transmission medium includes a transmission mechanism such as the Internet, light, radio waves, and sound waves.
[0104]
Further, the above-described computer of the present invention is not limited to pure hardware such as a CPU, but may include firmware, an OS, and peripheral devices.
[0105]
Note that, as described above, the configuration of the present invention may be realized by software or hardware.
[0106]
【The invention's effect】
As described above, according to the present invention, the security level of content protection can be improved.
[Brief description of the drawings]
FIG. 1 is a block diagram showing a configuration of a security device for a communication network according to a first embodiment of the present invention.
FIG. 2 is a diagram showing a time chart for explaining the operation of the first embodiment of the present invention;
FIG. 3 is a block diagram showing a configuration of a communication network security device according to a second embodiment of the present invention;
FIG. 4 is a block diagram showing a configuration of a conventional security device for a communication network.
FIG. 5 is a time chart for explaining the operation of the conventional communication network security device.
[Explanation of symbols]
1 receiving terminal
10 First control means
11 First mutual authentication means
109 first session key
110 First Session Key Storage Means
111 third session key
2 sending terminal
20 Second control means
21 Second mutual authentication means
204 identification information search means
211 Second session key
212 Second Session Key Storage Means
213 Fourth Session Key

Claims (29)

第1装置と第2装置とが互いを通信相手として認証する認証システムであって、
前記第1装置は、前記第2装置に対しデータを出力する第1のデータ出力手段と、前記第2装置から出力されるデータを取得する第1のデータ取得手段と、前記第1のデータ取得手段が取得したデータを少なくとも処理する第1のデータ処理手段とを有し、
前記第2装置は、前記第1装置に対しデータを出力する第2のデータ出力手段と、前記第1装置から出力されるデータを取得する第2のデータ取得手段と、前記第2のデータ取得手段が取得したデータを少なくとも処理する第2のデータ処理手段とを有し、
認証動作として、
前記第1装置の前記第1のデータ出力手段は、第2装置を通信相手として認証するための認証データを出力し、前記第1のデータ処理手段は、少なくとも前記認証データに基づく第1の認証履歴データを生成し、
前記第2装置の前記第2のデータ取得手段は前記認証データを取得し、前記第2のデータ処理手段は、これに所定の処理を行って処理済み認証データするとともに、少なくとも前記認証データに基づく第2の認証履歴データを生成し、前記第2のデータ出力手段は、前記処理済み認証データを前記第1装置に出力し、
前記第1装置の前記第1のデータ取得手段は、前記処理済み認証データを取得し、前記第1のデータ処理手段は、少なくとも前記処理済み認証データに基づき、前記第2装置を前記通信相手として認証し、
前記第1装置と前記第2装置との間で2回以上の前記認証動作が行われる場合、
過去の認証における前記第2の認証履歴データと前記第1の認証履歴データとを比較することにより、最新の認証における第1装置および/または第2装置のいずれかが過去の認証における第1装置および/または第2装置と同一であるかどうかを判定し、
前記判定の結果が前記同一である場合、前記最新の認証における前記第1装置と前記第2装置とは互いに通信相手として最終的に認証される認証システム。An authentication system in which a first device and a second device authenticate each other as communication partners,
A first data output unit that outputs data to the second device; a first data obtaining unit that obtains data output from the second device; and a first data obtaining unit that obtains data output from the second device. First data processing means for processing at least the data obtained by the means,
A second data output unit that outputs data to the first device; a second data acquisition unit that obtains data output from the first device; and a second data acquisition unit that acquires data output from the first device. Means for processing at least the data obtained by the means, and
As an authentication operation,
The first data output unit of the first device outputs authentication data for authenticating the second device as a communication partner, and the first data processing unit performs a first authentication based on at least the authentication data. Generate historical data,
The second data acquisition unit of the second device acquires the authentication data, and the second data processing unit performs a predetermined process on the authentication data to perform processed authentication data, and based on at least the authentication data. Generating second authentication history data, wherein the second data output means outputs the processed authentication data to the first device;
The first data acquisition unit of the first device acquires the processed authentication data, and the first data processing unit sets the second device as the communication partner based on at least the processed authentication data. Authenticate,
When the authentication operation is performed two or more times between the first device and the second device,
By comparing the second authentication history data in the past authentication with the first authentication history data, any one of the first device and / or the second device in the latest authentication is the first device in the past authentication. And / or to determine if it is the same as the second device,
An authentication system in which, when the determination result is the same, the first device and the second device in the latest authentication are finally authenticated as communication partners with each other. 前記第1装置の前記第1のデータ取得手段は、前記第2装置から、過去の認証における前記第2の認証履歴データを取得し、
前記第1のデータ処理手段は、この取得したデータに対応する、自らの有する前記第1の認証履歴データと、前記第2の認証履歴データとを比較し、両者が同一である場合は、前記第2装置を前記通信相手として最終的に認証する請求項1に記載の認証システム。The first data acquisition unit of the first device acquires the second authentication history data in past authentication from the second device,
The first data processing means compares the first authentication history data of the first data processing means with the second authentication history data corresponding to the acquired data, and when both are the same, The authentication system according to claim 1, wherein a second device is finally authenticated as the communication partner. 前記第2装置は、それぞれ所定のIDが割り当てられた複数個であって、
前記第1装置の前記第1の前記データ処理手段は、前記IDによって複数の前記第2装置から特定のものを識別し、前記認証の対象とする請求項2に記載の認証システム。The second device is a plurality of devices each assigned a predetermined ID,
3. The authentication system according to claim 2, wherein the first data processing unit of the first device identifies a specific one of the plurality of second devices based on the ID and sets the specific one as the target of the authentication. 4. 前記第2装置の前記第2のデータ取得手段は、前記第1装置から、過去の認証における前記第1の認証履歴データを取得し、
前記第2のデータ処理手段は、この取得したデータに対応する、自らの有する前記第2の認証履歴データと、前記第1の認証履歴データとを比較し、両者が同一である場合は、前記第1装置を前記通信相手として最終的に認証する請求項1に記載の認証システム。The second data acquisition unit of the second device acquires the first authentication history data in past authentication from the first device,
The second data processing unit compares the second authentication history data of the second data processing unit with the first authentication history data corresponding to the acquired data, and when both are the same, The authentication system according to claim 1, wherein the first device is finally authenticated as the communication partner. 前記第1装置は、それぞれ所定のIDが割り当てられた複数個であって、
前記第2装置の前記第2の前記データ処理手段は、前記IDによって複数の前記第1装置から特定のものを識別し、前記認証の対象とする請求項4に記載の認証システム。The first device is a plurality of devices each assigned a predetermined ID,
5. The authentication system according to claim 4, wherein the second data processing unit of the second device identifies a specific one of the plurality of first devices based on the ID, and sets the specific device as a target of the authentication. 前記認証動作は、
前記第2装置の前記第2のデータ出力手段が、前記第1装置を通信相手として認証するための認証データを出力し、
前記第1装置の前記第1のデータ取得手段が、前記認証データを取得し、前記第1のデータ処理手段は、前記取得された前記認証データに所定の処理を行い処理済み認証データを生成するとともに前記認証データに基づく認証履歴データを生成し、前記第1のデータ出力手段は前記処理済み認証データを前記第2装置に出力し、
前記第2装置の前記第2のデータ取得手段が、前記処理済み認証データを取得し、前記第2のデータ処理手段は、少なくとも前記処理済み認証データに基づき、前記第1装置を前記通信相手として認証する、
動作をさらに含む請求項1から5のいずれかに記載の認証システム。The authentication operation includes:
The second data output means of the second device outputs authentication data for authenticating the first device as a communication partner,
The first data acquisition unit of the first device acquires the authentication data, and the first data processing unit performs a predetermined process on the acquired authentication data to generate processed authentication data. And generating authentication history data based on the authentication data, the first data output means outputs the processed authentication data to the second device,
The second data acquisition unit of the second device acquires the processed authentication data, and the second data processing unit sets the first device as the communication partner based on at least the processed authentication data. Authenticate,
The authentication system according to claim 1, further comprising an operation. 前記第1装置と前記第2装置とは、共通の暗号鍵を有し、
前記第1装置の第1のデータ処理手段または前記第2装置の第2のデータ処理手段は、前記認証データを、前記暗号鍵によって暗号化することにより前記処理済み認証データを生成し、
前記第1装置の第1のデータ処理手段または前記第2装置の第2のデータ処理手段は、前記認証データを、前記暗号鍵によって暗号化し、この処理したデータと前記処理済み認証データとを照合することにより、前記認証動作を行う請求項1または6に記載の認証システム。The first device and the second device have a common encryption key,
The first data processing means of the first device or the second data processing means of the second device generates the processed authentication data by encrypting the authentication data with the encryption key,
The first data processing unit of the first device or the second data processing unit of the second device encrypts the authentication data with the encryption key, and compares the processed data with the processed authentication data. The authentication system according to claim 1, wherein the authentication operation is performed by performing the authentication operation. 前記第1装置の第1のデータ処理手段または前記第2装置の第2のデータ処理手段は、前記認証データを前記暗号鍵によって暗号化することにより前記認証履歴データを生成する請求項7に記載の認証システム。The first data processing unit of the first device or the second data processing unit of the second device generates the authentication history data by encrypting the authentication data using the encryption key. Authentication system. 前記最終的な認証の完了後に、前記第1装置の前記第1のデータ出力手段は、前記第2装置に対し所定のコンテンツを出力可能になる請求項1,6または7のいずれかに記載の認証システム。8. The device according to claim 1, wherein after the completion of the final authentication, the first data output unit of the first device becomes capable of outputting predetermined content to the second device. 9. Authentication system. 前記最終的な認証の完了後に、前記第2装置の前記第2のデータ出力手段は、前記第1装置に対し所定のコンテンツを出力可能になる請求項1,6または7のいずれかに記載の認証システム。8. The device according to claim 1, wherein after the completion of the final authentication, the second data output unit of the second device becomes capable of outputting predetermined content to the first device. 9. Authentication system. 前記第1装置の第1のデータ処理手段または前記第2装置の第2のデータ処理手段は、同一内容の前記認証履歴データを連続して生成した場合は、前記認証履歴データの生成動作をやり直す請求項2または4に記載の認証システム。The first data processing means of the first device or the second data processing means of the second device repeats the operation of generating the authentication history data when the authentication history data having the same content is continuously generated. The authentication system according to claim 2. 前記判定の結果が前記同一ではない場合は、前記IDは、以後無効として扱われる請求項3または5に記載の認証システム。The authentication system according to claim 3, wherein if the result of the determination is not the same, the ID is subsequently treated as invalid. 所定の第2装置を通信相手として認証する第1装置であって、
前記第2装置に対しデータを出力する第1のデータ出力手段と、前記第2装置から出力されるデータを取得する第1のデータ取得手段と、前記第1のデータ取得手段が取得したデータを少なくとも処理する第1のデータ処理手段とを備え、
前記第2装置は、前記第1装置に対しデータを出力する第2のデータ出力手段と、前記第1装置から出力されるデータを取得する第2のデータ取得手段と、前記第2のデータ取得手段が取得したデータを少なくとも処理する第2のデータ処理手段とを有し、
認証動作として、
前記第1装置の前記第1のデータ出力手段は、第2装置を通信相手として認証するための認証データを出力し、前記第1のデータ処理手段は、少なくとも前記認証データに基づく第1の認証履歴データを生成し、
前記第2装置の前記第2のデータ取得手段は前記認証データを取得し、前記第2のデータ処理手段は、これに所定の処理を行って処理済み認証データするとともに、少なくとも前記認証データに基づく第2の認証履歴データを生成し、前記第2のデータ出力手段は、前記処理済み認証データを前記第1装置に出力し、
前記第1装置の前記第1のデータ取得手段は、前記処理済み認証データを取得し、前記第1のデータ処理手段は、少なくとも前記処理済み認証データに基づき、前記第2装置を前記通信相手として認証し、
前記第2装置との間で2回以上の前記認証動作が行われる場合、
前記第1のデータ取得手段は、前記第2装置から、過去の認証における前記第2の認証履歴データを取得し、
前記第1のデータ処理手段は、この取得したデータに対応する、自らの有する前記第1の認証履歴データと、前記第2の認証履歴データとを比較し、両者が同一である場合は、前記第2装置を前記通信相手として最終的に認証する第1装置。A first device that authenticates a predetermined second device as a communication partner,
First data output means for outputting data to the second device, first data acquisition means for acquiring data output from the second device, and data acquired by the first data acquisition means. At least first data processing means for processing,
A second data output unit that outputs data to the first device; a second data acquisition unit that obtains data output from the first device; and a second data acquisition unit that acquires data output from the first device. Means for processing at least the data obtained by the means, and
As an authentication operation,
The first data output unit of the first device outputs authentication data for authenticating the second device as a communication partner, and the first data processing unit performs a first authentication based on at least the authentication data. Generate historical data,
The second data acquisition unit of the second device acquires the authentication data, and the second data processing unit performs a predetermined process on the authentication data to perform processed authentication data, and based on at least the authentication data. Generating second authentication history data, wherein the second data output means outputs the processed authentication data to the first device;
The first data acquisition unit of the first device acquires the processed authentication data, and the first data processing unit sets the second device as the communication partner based on at least the processed authentication data. Authenticate,
When the authentication operation is performed two or more times with the second device,
The first data acquisition unit acquires the second authentication history data in past authentication from the second device,
The first data processing means compares the first authentication history data of the first data processing means with the second authentication history data corresponding to the acquired data, and when both are the same, A first device that finally authenticates a second device as the communication partner. 所定の第2装置を通信相手として認証する第1装置であって、
前記第2装置に対しデータを出力する第1のデータ出力手段と、前記第2装置から出力されるデータを取得する第1のデータ取得手段と、前記第1のデータ取得手段が取得したデータを少なくとも処理する第1のデータ処理手段とを備え、
前記第2装置は、前記第1装置に対しデータを出力する第2のデータ出力手段と、前記第1装置から出力されるデータを取得する第2のデータ取得手段と、前記第2のデータ取得手段が取得したデータを少なくとも処理する第2のデータ処理手段とを有し、
認証動作として、
前記第2装置の前記第2のデータ出力手段が、前記第1装置を通信相手として認証するための認証データを出力し、
前記第1装置の前記第1のデータ取得手段が、前記認証データを取得し、前記第1のデータ処理手段は、前記取得された前記認証データに所定の処理を行い処理済み認証データを生成するとともに前記認証データに基づく認証履歴データを生成し、前記第1のデータ出力手段は前記処理済み認証データを前記第2装置に出力し、
前記第2装置の前記第2のデータ取得手段が、前記処理済み認証データを取得し、前記第2のデータ処理手段は、少なくとも前記処理済み認証データに基づき、前記第1装置を前記通信相手として認証し、
前記第2装置との間で2回以上の前記認証動作が行われる場合、
前記第1のデータ取得手段は、前記第2装置から、過去の認証における前記第2の認証履歴データを取得し、
前記第1のデータ処理手段は、この取得したデータに対応する、自らの有する前記第1の認証履歴データと、前記第2の認証履歴データとを比較し、両者が同一である場合は、前記第2装置を前記通信相手として最終的に認証する第1装置。A first device that authenticates a predetermined second device as a communication partner,
First data output means for outputting data to the second device, first data acquisition means for acquiring data output from the second device, and data acquired by the first data acquisition means. At least first data processing means for processing,
A second data output unit that outputs data to the first device; a second data acquisition unit that obtains data output from the first device; and a second data acquisition unit that acquires data output from the first device. Means for processing at least the data obtained by the means, and
As an authentication operation,
The second data output means of the second device outputs authentication data for authenticating the first device as a communication partner,
The first data acquisition unit of the first device acquires the authentication data, and the first data processing unit performs a predetermined process on the acquired authentication data to generate processed authentication data. And generating authentication history data based on the authentication data, the first data output means outputs the processed authentication data to the second device,
The second data acquisition unit of the second device acquires the processed authentication data, and the second data processing unit sets the first device as the communication partner based on at least the processed authentication data. Authenticate,
When the authentication operation is performed two or more times with the second device,
The first data acquisition unit acquires the second authentication history data in past authentication from the second device,
The first data processing means compares the first authentication history data of the first data processing means with the second authentication history data corresponding to the acquired data, and when both are the same, A first device that finally authenticates a second device as the communication partner. 前記第2装置は、それぞれ所定のIDが割り当てられた複数個であって、
前記第1の前記データ処理手段は、前記IDによって複数の前記第2装置から特定のものを識別し、前記認証の対象とする請求項13または14に記載の第1装置。The second device is a plurality of devices each assigned a predetermined ID,
The first device according to claim 13, wherein the first data processing unit identifies a specific one of the plurality of second devices based on the ID, and sets the specific one as a target of the authentication. 前記第2装置と共通の暗号鍵を有し、
第1のデータ処理手段は、前記認証データを、前記暗号鍵によって暗号化することにより前記処理済み認証データを生成するとともに、前記認証データを、前記暗号鍵によって暗号化し、この処理したデータと前記処理済み認証データとを照合することにより、前記認証動作を行う請求項13または14に記載の第1装置。Having a common encryption key with the second device,
The first data processing means generates the processed authentication data by encrypting the authentication data with the encryption key, and encrypts the authentication data with the encryption key. The first device according to claim 13, wherein the authentication operation is performed by comparing the processed authentication data with processed authentication data. 前記第1のデータ処理手段は、前記認証データを前記暗号鍵によって暗号化することにより前記認証履歴データを生成する請求項13または14に記載の第1装置。The first device according to claim 13, wherein the first data processing unit generates the authentication history data by encrypting the authentication data using the encryption key. 前記最終的な認証の完了後に、前記第1のデータ出力手段は、前記第2装置に対し所定のコンテンツを出力可能になる請求項13または14に記載の第1装置。15. The first device according to claim 13, wherein after the completion of the final authentication, the first data output unit can output predetermined content to the second device. 前記第1のデータ処理手段は、同一内容の前記認証履歴データを連続して生成した場合は、前記認証履歴データの生成動作をやり直す請求項13または14に記載の第1装置。15. The first apparatus according to claim 13, wherein the first data processing means restarts the operation of generating the authentication history data when the authentication history data having the same content is continuously generated. 前記判定の結果が前記同一ではない場合は、前記データ処理手段は、前記第2装置の前記IDを、以後無効とする請求項15に記載の第1装置。16. The first device according to claim 15, wherein if the result of the determination is not the same, the data processing unit invalidates the ID of the second device thereafter. 第1装置が、第2装置を通信相手として認証するための認証データを出力するとともに、少なくとも前記認証データに基づく第1の認証履歴データを生成する工程と、
前記第2装置が、前記認証データを取得し、これに所定の処理を行って処理済み認証データとして前記第1装置に出力するとともに、少なくとも前記認証データに基づく第2の認証履歴データを生成する工程と、
前記第1装置が、少なくとも前記処理済み認証データに基づき、前記第2装置を前記通信相手として認証する工程と、
前記第1装置と前記第2装置との間で2回以上の認証が行われる場合、
過去の認証における前記第2の認証履歴データと前記第1の認証履歴データとを比較することにより、最新の認証における第1装置および/または第2装置のいずれかが過去の認証における第1装置および/または前記装置と同一であるかどうかを判定する工程とを備え、
前記判定の結果が前記同一である場合、前記最新の認証における前記第1装置と前記第2装置とは互いに通信相手として認証される認証方法。A first device outputting authentication data for authenticating the second device as a communication partner, and generating first authentication history data based on at least the authentication data;
The second device acquires the authentication data, performs a predetermined process on the acquired authentication data, outputs the processed data to the first device as processed authentication data, and generates second authentication history data based at least on the authentication data. Process and
A step in which the first device authenticates the second device as the communication partner based on at least the processed authentication data;
When authentication is performed two or more times between the first device and the second device,
By comparing the second authentication history data in the past authentication with the first authentication history data, any one of the first device and / or the second device in the latest authentication is the first device in the past authentication. And / or determining whether the device is the same as the device,
An authentication method in which when the result of the determination is the same, the first device and the second device in the latest authentication are mutually authenticated as communication partners. 前記第2装置が、前記第1装置を通信相手として認証するための認証データを出力し、
前記第1装置が、前記認証データを取得し、前記取得された前記認証データに所定の処理を行い処理済み認証データを生成するとともに前記認証データに基づく認証履歴データを生成し、前記処理済み認証データを前記第2装置に出力し、
前記第2装置が、前記処理済み認証データを取得し、少なくとも前記処理済み認証データに基づき、前記第1装置を前記通信相手として認証する工程をさらに備えた請求項21に記載の認証方法。The second device outputs authentication data for authenticating the first device as a communication partner,
The first device acquires the authentication data, performs a predetermined process on the acquired authentication data to generate processed authentication data, and generates authentication history data based on the authentication data; Outputting data to the second device;
22. The authentication method according to claim 21, further comprising a step of the second device acquiring the processed authentication data and authenticating the first device as the communication partner based on at least the processed authentication data. 前記第1装置は、前記第2装置から、過去の認証における前記第2の認証履歴データを取得して、この取得したデータに対応する、自らの有する前記第1の認証履歴データと比較し、両者が同一である場合は、前記第2装置を前記通信相手として認証する請求項21または22に記載の認証方法。The first device acquires the second authentication history data in the past authentication from the second device, and compares the acquired second authentication history data with the first authentication history data of the first device, which corresponds to the acquired data, 23. The authentication method according to claim 21, wherein when both are the same, the second device is authenticated as the communication partner. 前記第2装置は、それぞれ所定のIDが割り当てられた複数個であって、
前記第1装置は、前記IDによって複数の前記第2装置から特定のものを識別し、前記認証の対象とする請求項23に記載の認証方法。The second device is a plurality of devices each assigned a predetermined ID,
24. The authentication method according to claim 23, wherein the first device identifies a specific device from the plurality of second devices based on the ID and sets the specific device as a target of the authentication. 前記第2装置は、前記第1装置から、過去の認証における前記第1の認証履歴データを取得して、この取得したデータに対応する、自らの有する前記第2の認証履歴データと比較し、両者が同一である場合は、前記第1装置を前記通信相手として認証する請求項21または22に記載の認証方法。The second device acquires the first authentication history data in the past authentication from the first device, and compares the first authentication history data with the second authentication history data of the second device corresponding to the acquired data. 23. The authentication method according to claim 21, wherein when both are the same, the first device is authenticated as the communication partner. 前記第1装置は、それぞれ所定のIDが割り当てられた複数個であって、
前記第2装置は、前記IDによって複数の前記第1装置から特定のものを識別し、前記認証の対象とする請求項25に記載の認証方法。The first device is a plurality of devices each assigned a predetermined ID,
26. The authentication method according to claim 25, wherein the second device identifies a specific device from the plurality of first devices based on the ID, and sets the specific device as an authentication target. 請求項13に記載の第1装置の、前記第2装置に対しデータを出力する第1のデータ出力手段と、前記第2装置から出力されるデータを取得する第1のデータ取得手段と、前記第1のデータ取得手段が取得したデータを少なくとも処理する第1のデータ処理手段としてコンピュータを機能させるためのプログラム。14. The first device according to claim 13, wherein first data output means for outputting data to the second device, first data acquisition means for acquiring data output from the second device, A program for causing a computer to function as first data processing means for processing at least data acquired by the first data acquisition means. 請求項14に記載の第1装置の、前記第2装置に対しデータを出力する第1のデータ出力手段と、前記第2装置から出力されるデータを取得する第1のデータ取得手段と、前記第1のデータ取得手段が取得したデータを少なくとも処理する第1のデータ処理手段としてコンピュータを機能させるためのプログラム。The first device according to claim 14, wherein the first data output unit outputs data to the second device, the first data acquisition unit acquires data output from the second device, A program for causing a computer to function as first data processing means for processing at least data acquired by the first data acquisition means. 請求項13または14に記載のプログラムを担持した記録媒体であって、コンピュータにより処理可能な記録媒体。A recording medium carrying the program according to claim 13, wherein the recording medium can be processed by a computer.
JP2003108327A 2003-04-11 2003-04-11 Authentication system, authentication apparatus, and authentication method Pending JP2004320174A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003108327A JP2004320174A (en) 2003-04-11 2003-04-11 Authentication system, authentication apparatus, and authentication method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003108327A JP2004320174A (en) 2003-04-11 2003-04-11 Authentication system, authentication apparatus, and authentication method

Publications (1)

Publication Number Publication Date
JP2004320174A true JP2004320174A (en) 2004-11-11

Family

ID=33469890

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003108327A Pending JP2004320174A (en) 2003-04-11 2003-04-11 Authentication system, authentication apparatus, and authentication method

Country Status (1)

Country Link
JP (1) JP2004320174A (en)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007095066A (en) * 2005-09-27 2007-04-12 Sony Computer Entertainment Inc Technique for controlling cell processor over network
JP2007259386A (en) * 2006-03-27 2007-10-04 Hitachi Ltd Communication system and communication device
CN100450305C (en) * 2006-01-07 2009-01-07 华为技术有限公司 Safety service communication method based on general authentification frame
US8037474B2 (en) 2005-09-27 2011-10-11 Sony Computer Entertainment Inc. Task manager with stored task definition having pointer to a memory address containing required code data related to the task for execution
US8141076B2 (en) 2005-09-27 2012-03-20 Sony Computer Entertainment Inc. Cell processor methods and apparatus
US8316220B2 (en) 2005-09-27 2012-11-20 Sony Computer Entertainment Inc. Operating processors over a network
US8595747B2 (en) 2005-12-29 2013-11-26 Sony Computer Entertainment Inc. Efficient task scheduling by assigning fixed registers to scheduler

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007095066A (en) * 2005-09-27 2007-04-12 Sony Computer Entertainment Inc Technique for controlling cell processor over network
JP4719656B2 (en) * 2005-09-27 2011-07-06 株式会社ソニー・コンピュータエンタテインメント Processor control technology on the network
US8037474B2 (en) 2005-09-27 2011-10-11 Sony Computer Entertainment Inc. Task manager with stored task definition having pointer to a memory address containing required code data related to the task for execution
US8135867B2 (en) 2005-09-27 2012-03-13 Sony Computer Entertainment, Inc. Secure operation of processors
US8141076B2 (en) 2005-09-27 2012-03-20 Sony Computer Entertainment Inc. Cell processor methods and apparatus
US8316220B2 (en) 2005-09-27 2012-11-20 Sony Computer Entertainment Inc. Operating processors over a network
US8595747B2 (en) 2005-12-29 2013-11-26 Sony Computer Entertainment Inc. Efficient task scheduling by assigning fixed registers to scheduler
CN100450305C (en) * 2006-01-07 2009-01-07 华为技术有限公司 Safety service communication method based on general authentification frame
JP2007259386A (en) * 2006-03-27 2007-10-04 Hitachi Ltd Communication system and communication device
JP4550759B2 (en) * 2006-03-27 2010-09-22 株式会社日立製作所 Communication system and communication apparatus

Similar Documents

Publication Publication Date Title
JP6547079B1 (en) Registration / authorization method, device and system
US7953976B2 (en) Method and apparatus for pervasive authentication domains
CN1714529B (en) Domain-based digital-rights management system with easy and secure device enrollment
CN110049016B (en) Data query method, device, system, equipment and storage medium of block chain
CN110990827A (en) Identity information verification method, server and storage medium
CN108880821B (en) Authentication method and equipment of digital certificate
JP2005102163A (en) Equipment authentication system, server, method and program, terminal and storage medium
JP2009529832A (en) Undiscoverable, ie secure data communication using black data
US20080059809A1 (en) Sharing a Secret by Using Random Function
JP2007511810A (en) Proof of execution using random number functions
CN110690956A (en) Bidirectional authentication method and system, server and terminal
CN111193755B (en) Data access method, data encryption method and data encryption and access system
CN113392401A (en) Authentication system
JP6533542B2 (en) Secret key replication system, terminal and secret key replication method
CN111510288B (en) Key management method, electronic device and storage medium
JP2004320174A (en) Authentication system, authentication apparatus, and authentication method
JPH08335208A (en) Method and system for proxy authorization
JP2004013560A (en) Authentication system, communication terminal, and server
US8755521B2 (en) Security method and system for media playback devices
CN111078649A (en) Block chain-based on-cloud file storage method and device and electronic equipment
US9135449B2 (en) Apparatus and method for managing USIM data using mobile trusted module
CN114386063A (en) Authentication system, method and device for accessing data of Internet of things equipment
CN114282254A (en) Encryption and decryption method and device, and electronic equipment
KR20020040378A (en) Method for Authentication without Password Transmission on the basis of Public Key
KR20170111809A (en) Bidirectional authentication method using security token based on symmetric key