JP2005192110A - Distribution method of authentication and dynamic key in mobile terminal device, and mobile terminal device - Google Patents

Distribution method of authentication and dynamic key in mobile terminal device, and mobile terminal device Download PDF

Info

Publication number
JP2005192110A
JP2005192110A JP2003433655A JP2003433655A JP2005192110A JP 2005192110 A JP2005192110 A JP 2005192110A JP 2003433655 A JP2003433655 A JP 2003433655A JP 2003433655 A JP2003433655 A JP 2003433655A JP 2005192110 A JP2005192110 A JP 2005192110A
Authority
JP
Japan
Prior art keywords
authentication
terminal device
mobile terminal
dynamic key
unique
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003433655A
Other languages
Japanese (ja)
Inventor
Minoru Ubusawa
実 生澤
Futoshi Sayamichi
太 茶屋道
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CHUO SYSTEM GIKEN KK
Original Assignee
CHUO SYSTEM GIKEN KK
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by CHUO SYSTEM GIKEN KK filed Critical CHUO SYSTEM GIKEN KK
Priority to JP2003433655A priority Critical patent/JP2005192110A/en
Publication of JP2005192110A publication Critical patent/JP2005192110A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To realize simple and convenient operation without requiring a certificate in procedures for the distribution of authentication and a dynamic key in a mobile terminal device, and to make it difficult to forge or falsify authentication data by eavesdropping. <P>SOLUTION: In a method for the distribution of the authentication and the dynamic key of the mobile terminal device, the mobile terminal device 1 is connected to an authentication device 2 via a wireless system to start EAP/TTLS 30, and a physical address of a wireless device 10 which is a unique device identifier information of the mobile terminal device 1 is determined as ID20. In a hash calculation unit 11, hash calculation of an Ethernet (R) device physical address 12, an OS serial number 13, and a user PIN 14 is performed, of which a result is used as a password 21 when making an authentication request 31 to the authentication device 2. On the basis of an authentication result 32, the dynamic key distribution 33 is realized with the authentication. Encoding and decoding are executed using the dynamic key to perform data exchange 34 with the authentication device 2. <P>COPYRIGHT: (C)2005,JPO&NCIPI

Description

この発明は、無線系を介して認証機器に接続してデータ通信を行う際の、移動型端末機器の認証及び動的鍵配布方法並びに同方法を適用した移動型端末装置に関する。   The present invention relates to a mobile terminal device authentication and dynamic key distribution method and a mobile terminal device to which the method is applied when data communication is performed by connecting to an authentication device via a wireless system.

従来、無線系を介して認証機器と接続されるPC(Personal Computer;パソコン)やPDA(Personal Data Assistant )等の移動型端末機器の認証及び動的鍵配布方法としては、IEEE(Institute of Electrical and Electronics Engineers )によって定められた無線系の接続規格であるIEEE802.11に従って通信を行い、特定の認証機関によって交付された証明書を用いて認証を求める際の手続を、IETF(Internet Engineering Task Force )によって定められた通信規格であるRFC2716に記載されている、EAP(Extensible Authentication Protocol)/TLS(Transport Level Security)プロトコルによって行うものが知られている。   Conventionally, as an authentication and dynamic key distribution method for mobile terminal devices such as PCs (Personal Computers) and PDAs (Personal Data Assistants) connected to authentication devices via a wireless system, IEEE (Institute of Electrical and The Internet Engineering Task Force (IETF) is a procedure for performing authentication according to IEEE 802.11, which is a wireless connection standard defined by Electronics Engineers), and requesting authentication using a certificate issued by a specific certification authority. There are known ones that use the EAP (Extensible Authentication Protocol) / TLS (Transport Level Security) protocol described in RFC2716, which is a communication standard defined by the above.

図2は、従来のEAP/TLSプロトコルを用いた移動型端末機器の認証及び動的鍵配布方法を示したものであって、(a)は、証明書のデータを移動型端末機器内に有する場合の例を示し、(b)は、ハードウェアトークンデバイスによって証明書データの読み込みを行う場合の例を示したものであって、いずれも非特許文献1に記載された通信規格RFC2716の内容に基づいている。   FIG. 2 shows a conventional mobile terminal device authentication and dynamic key distribution method using the EAP / TLS protocol. FIG. 2A shows that certificate data is stored in the mobile terminal device. (B) shows an example in which certificate data is read by a hardware token device, both of which are based on the contents of the communication standard RFC2716 described in Non-Patent Document 1. Is based.

図2(a)において、端末機器100は、無線デバイス110を有し、無線系を介してIEEE802.11規格に基づいて通信を行って認証機器200と接続する機能を有している。
端末機器100が無線系を介して認証機器200に対して認証及び動的鍵配布を求める際には、認証機器200との間で、EAP/TLS300の手続を開始したのち、例えばHDD(Hard Disk Drive;不図示)に予め格納されている証明書によって、証明書データ150を送出して、認証機器200に対して認証要求310を行う。 2A, the terminal device 100 includes a wireless device 110, and has a function of performing communication based on the IEEE 802.11 standard via a wireless system and connecting to the authentication device 200.
When the terminal device 100 requests authentication and dynamic key distribution from the authentication device 200 via the wireless system, after starting the EAP / TLS 300 procedure with the authentication device 200, for example, an HDD (Hard Disk The certificate data 150 is transmitted by a certificate stored in advance in a drive (not shown), and an authentication request 310 is made to the authentication device 200.

認証機器200では、送信された証明書データを、その内部に保持されている証明書データと照合して一致/不一致を検出して、認証結果320を端末機器100に通知するとともに、認証が得られたときは、以後の通信に使用する動的鍵を送付する鍵配布330の手続を行う。動的鍵は、端末機器100と認証機器200との間で相互に行われるデータ通信340における、データの暗号化と、暗号化されたデータの復号化(解読)に用いられる。   The authentication device 200 compares the transmitted certificate data with the certificate data held therein to detect a match / mismatch, notifies the terminal device 100 of the authentication result 320, and obtains authentication. If so, a key distribution 330 procedure for sending a dynamic key used for subsequent communications is performed. The dynamic key is used for data encryption and decryption (decryption) of the encrypted data in the data communication 340 performed between the terminal device 100 and the authentication device 200.

証明書は、利用者個人を対象として特定の認証機関によって交付されるものであるため、図2(a)に示された認証及び動的鍵配布方法の場合には、端末機器100と利用者とが一対一に対応している場合には問題がないが、複数の利用者によって同一の端末機器100を利用しようとすると、端末機器内に複数の証明書を保持しなければならないことになるため、利用者の識別を行うことが必要となって、証明書の管理に困難を生じて、運用が難しくなるという問題がある。   Since the certificate is issued to a specific user by a specific certification authority, in the case of the authentication and dynamic key distribution method shown in FIG. There is no problem in the case of the one-to-one correspondence, but if a plurality of users try to use the same terminal device 100, a plurality of certificates must be held in the terminal device. Therefore, it is necessary to identify the user, and there is a problem that management becomes difficult due to difficulty in managing certificates.

これに対して、図2(b)に示された移動型端末機器の認証及び動的鍵配布方法では、端末機器内に証明書を保持するのではなく、利用者がハードウェアトークンデバイスを用いて、認証要求の都度証明書データを入力することによって、このような問題点の回避を図っている。
図2(b)において、端末機器100Aは、無線デバイス110を有し、無線系を介してIEEE802.11規格に基づいて通信を行って認証機器200と接続する機能を有していることは、図2(a)に示された例と同様である。 In contrast, in the mobile terminal device authentication and dynamic key distribution method shown in FIG. 2B, the user uses a hardware token device instead of holding a certificate in the terminal device. In order to avoid such problems, the certificate data is input every time an authentication request is made.
In FIG. 2B, the terminal device 100A includes the wireless device 110 and has a function of performing communication based on the IEEE 802.11 standard via the wireless system and connecting to the authentication device 200. This is the same as the example shown in FIG.

利用者が、端末機器100Aから無線系を介して認証機器200に対して認証及び動的鍵配布を求める際には、ハードウェアトークンデバイス120を、例えばUSB(Universal Serial Bus)端子に挿入して端末機器100Aに接続する。
端末機器100Aでは、認証機器200との間で、EAP/TLS300の手続を開始したのち、ハードウェアトークンデバイス120内に格納されている証明書を読出すことによって、証明書データ150を送出して、認証機器200に対して認証要求310を行う。 When a user requests authentication and dynamic key distribution from the terminal device 100A to the authentication device 200 via the wireless system, the hardware token device 120 is inserted into, for example, a USB (Universal Serial Bus) terminal. Connect to the terminal device 100A.
In the terminal device 100A, after starting the EAP / TLS 300 procedure with the authentication device 200, the certificate data 150 is transmitted by reading the certificate stored in the hardware token device 120. Then, an authentication request 310 is made to the authentication device 200.

以後の動作は、図2(a)に示された例と同様であり、認証機器200では、送信された証明書データに応じて認証結果320を端末機器100Aに通知するとともに、認証が得られたときは、以後の通信に使用する動的鍵を送付する鍵配布330の手続を行ったのち、この鍵によってデータの暗号化と、暗号化されたデータの復号化とを行って、端末機器100Aと認証機器200との間におけるデータ通信340を実行する。   The subsequent operation is the same as the example shown in FIG. 2A, and the authentication device 200 notifies the authentication result 320 to the terminal device 100A according to the transmitted certificate data, and authentication is obtained. In this case, after performing the procedure of the key distribution 330 for sending the dynamic key used for the subsequent communication, the terminal device performs the encryption of the data and the decryption of the encrypted data using this key. Data communication 340 between 100A and authentication device 200 is executed.

図2(b)に示された例の場合は、複数の利用者によって同一の端末機器100Aを利用することが可能であるが、ハードウェアトークンデバイスが高価であるとともに、ハードウェアトークンデバイスの紛失や盗難等によって、セキュリティが確保されなくなる恐れがあるという問題がある。   In the case of the example shown in FIG. 2B, the same terminal device 100A can be used by a plurality of users, but the hardware token device is expensive and the hardware token device is lost. There is a problem that security may not be ensured due to theft or theft.

図3は、従来のIETFの暫定規格(draft-ietf-PPPext-eap-ttls-03.txt )で定められたEAP/TTLS(Tunneled TLS Authentication Protocol)プロトコルを用いた、移動型端末機器の認証及び動的鍵配布方法の例を示したものであって、非特許文献2に記載された暫定規格の内容に基づいている。   FIG. 3 shows the authentication and authentication of mobile terminal equipment using the EAP / TTLS (Tunneled TLS Authentication Protocol) protocol defined in the conventional IETF tentative standard (draft-ietf-PPPext-eap-ttls-03.txt). An example of a dynamic key distribution method is shown, which is based on the contents of the provisional standard described in Non-Patent Document 2.

図3において、端末機器100Bは、無線デバイス110を有し、無線系を介してIEEE802.11規格に基づいて通信を行って認証機器200Aと接続する機能を有している。
端末機器100Bが無線系を介して認証機器200Aに対して認証及び動的鍵配布を求める際には、認証機器200Aとの間で、EAP/TTLS400を開始したのち、例えばHDD(不図示)に予め保持されている利用者個人のID(Identifier)によって、ID200を送出するとともに、例えばキーボード130からパスワード(Password)210の入力を行うことによって、IDとパスワードとによって、認証機器200Aに対する認証要求410が実行される。 In FIG. 3, the terminal device 100B includes a wireless device 110, and has a function of performing communication based on the IEEE 802.11 standard via a wireless system and connecting to the authentication device 200A.
When the terminal device 100B requests authentication and dynamic key distribution from the authentication device 200A via the wireless system, after starting the EAP / TTLS 400 with the authentication device 200A, the terminal device 100B is connected to, for example, an HDD (not shown). The ID 200 is transmitted by the user's personal ID (Identifier) held in advance, and the password 210 is input from the keyboard 130, for example, so that the authentication request 410 to the authentication device 200A is obtained by the ID and the password. Is executed.

認証機器200Aでは、送信されたIDとパスワードを、その内部に格納されているIDとパスワードのデータと照合して一致/不一致を検出して、認証結果320を端末機器100Bに通知するとともに、認証が得られたときは、以後の通信に使用する動的鍵を送付する鍵配布330の手続を行う。
これによって、端末機器100Bと認証機器200Aとの間で相互に行われるデータ通信340における、データの暗号化と、暗号化されたデータの復号化が行われることは、図2(a),(b)に示された例の場合と同様である。 The authentication device 200A compares the transmitted ID and password with the ID and password data stored therein to detect a match / mismatch, notifies the terminal device 100B of the authentication result 320, and authenticates the authentication device 200A. Is obtained, the procedure of key distribution 330 for sending a dynamic key used for subsequent communication is performed.
As a result, in the data communication 340 performed between the terminal device 100B and the authentication device 200A, data encryption and decryption of the encrypted data are performed as shown in FIGS. This is the same as in the example shown in b).

図3に示された例の場合は、証明書を必要としない手軽な運用が可能となるが、反面、認証に用いられるデータが、利用者のIDとパスワードのみであるため、盗聴によるデータの偽造や改竄が行われやすく、従って、セキュリティの保持が十分でないという問題がある。
B.Aboba & D.Simon (Microsoft); Network Working Group, Requests for Comments:2716, Category: Experimental, PPP EAP TLS Authentication Protocol, IETF, October 1999 Paul Funk (Funk Software inc.) & Simon Blake-Wilson (Basic Commerce & Industries inc.); PPPEXT Working Group, Internet-Draft, Category: Standard Track, draft-ietf-pppext-eap-ttls-03.txt, EAP Tunneled TLS Authentication Protocol(EAP-TTLS), IETF, August 2003 In the case of the example shown in FIG. 3, a simple operation that does not require a certificate is possible. On the other hand, the data used for authentication is only the user ID and password. There is a problem that forgery and tampering are easily performed, and therefore security is not sufficiently maintained.
B. Aboba & D. Simon (Microsoft); Network Working Group, Requests for Comments: 2716, Category: Experimental, PPP EAP TLS Authentication Protocol, IETF, October 1999 Paul Funk (Funk Software inc.) & Simon Blake-Wilson (Basic Commerce & Industries inc.); PPPEXT Working Group, Internet-Draft, Category: Standard Track, draft-ietf-pppext-eap-ttls-03.txt, EAP Tunneled TLS Authentication Protocol (EAP-TTLS), IETF, August 2003

上述のように、EAP/TLSプロトコルによって手続を行って、認証のために証明書を使用する移動型端末機器の認証及び動的鍵配布方法では、端末機器内に証明書データを持つ場合には、端末機器と利用者とが一対一に対応していないとき、利用者の識別を含む証明書の管理に困難を生じて、運用が難しくなるという問題がある。
また、EAP/TLSプロトコルによって認証の手続を行う際に、端末機器内に証明書データを持つ代わりに、ハードウェアトークンデバイスから証明書を読み込む方法では、このような問題はないが、ハードウェアトークンデバイスが高価であるとともに、ハードウェアトークンデバイスの紛失や盗難等によって、セキュリティが確保されなくなる恐れがあるという新たな問題が生じる。
また、EAP/TTLSプロトコルによって、利用者個人のIDとパスワードとを使用して認証要求を行う移動型端末機器の認証及び動的鍵配布方法では、認証に用いられるデータが単純なため、盗聴によるデータの偽造や改竄が行われやすく、従って、セキュリティの保持が十分でないという問題がある。 As described above, in the mobile terminal device authentication and dynamic key distribution method in which a procedure is performed according to the EAP / TLS protocol and a certificate is used for authentication, if the terminal device has certificate data, When the terminal device and the user do not correspond one-to-one, there is a problem that the management of the certificate including the identification of the user becomes difficult and the operation becomes difficult.
Further, when performing the authentication procedure by the EAP / TLS protocol, there is no such problem in the method of reading the certificate from the hardware token device instead of having the certificate data in the terminal device. There is a new problem that the device is expensive and security may not be ensured due to loss or theft of the hardware token device.
In addition, in the mobile terminal device authentication and dynamic key distribution method in which an authentication request is made using the user's personal ID and password by the EAP / TTLS protocol, the data used for the authentication is simple. There is a problem that data is easily counterfeited or falsified, and therefore security is not sufficiently maintained.

この発明は上述の事情に鑑みてなされたものであって、無線系を介して認証機器に接続されてデータ通信を行う際の、移動型端末機器の認証及び動的鍵配布の手続において、証明書なしの手軽な運用が可能であるとともに、盗聴による認証用データの偽造や改竄が困難な、移動型端末機器の認証及び動的鍵配布方法並びに同方法を適用した移動型端末装置を提案することを目的としている。   The present invention has been made in view of the above-described circumstances, and has been proved in the procedure of mobile terminal device authentication and dynamic key distribution when data communication is performed by connecting to the authentication device via a wireless system. Propose a mobile terminal device authentication and dynamic key distribution method, and a mobile terminal device to which the method is applied, which allows easy operation without writing and makes it difficult to forge or tamper authentication data by eavesdropping The purpose is that.

上記課題を解決するため、請求項1記載の発明は移動型端末機器の認証及び動的鍵配布方法に係り、移動型端末機器が無線系を介してEAP/TTLSプロトコルに従って認証機器と接続して、上記移動型端末機器におけるユニークな機器固有情報のいずれか一をID(Identifier;以下省略)とし、上記IDとして用いられた以外のユニークな機器固有情報と利用者によって指定されたPIN(Personal Identifier Number;以下省略)とのハッシュ計算結果をパスワードとして上記認証機器に対して認証要求を行って、上記認証機器から認証を得て動的鍵の配布を受けたとき、上記動的鍵を用いて暗号化と復号化とを行って、上記認証機器との間で相互にデータ通信を行うことを特徴としている。   In order to solve the above-mentioned problem, the invention according to claim 1 relates to a mobile terminal device authentication and dynamic key distribution method, wherein the mobile terminal device is connected to an authentication device via a wireless system according to the EAP / TTLS protocol. Any one of the unique device unique information in the mobile terminal device is set as an ID (Identifier; hereinafter omitted), unique device unique information other than that used as the ID, and a PIN (Personal Identifier) designated by the user When an authentication request is made to the authentication device using the hash calculation result of “Number; omitted below” as a password, and the dynamic key is distributed by obtaining authentication from the authentication device, the dynamic key is used. It is characterized by performing data communication with the authentication device by performing encryption and decryption.

また、請求項2記載の発明は、請求項1記載の移動型端末機器の認証及び動的鍵配布方法に係り、上記IDとして用いられた一の機器固有情報が、上記移動型端末機器の無線デバイスに付与された物理アドレスであることを特徴としている。   The invention according to claim 2 relates to the mobile terminal device authentication and dynamic key distribution method according to claim 1, wherein the one device-specific information used as the ID is a wireless signal of the mobile terminal device. It is characterized by a physical address assigned to the device.

また、請求項3記載の発明は、請求項1又は2記載の移動型端末機器の認証及び動的鍵配布方法に係り、上記IDとして用いられた以外の機器固有情報が、上記移動型端末機器に対するイーサネット(登録商標)デバイス物理アドレス及び/又は上記移動型端末機器におけるOS(Operating System;以下省略)のシリアル番号であることを特徴としている。   According to a third aspect of the present invention, there is provided the mobile terminal device authentication and dynamic key distribution method according to the first or second aspect, wherein the device-specific information other than that used as the ID is the mobile terminal device. Is an Ethernet (registered trademark) device physical address and / or a serial number of an OS (Operating System; hereinafter omitted) in the mobile terminal device.

また、請求項4記載の発明は移動型端末装置に係り、無線デバイスを備え、EAP/TTLSプロトコルに従って無線系を介して認証機器との間で認証及び動的鍵配布のための通信を行う移動型端末装置であって、上記認証機器に対する認証要求時、上記無線デバイスの物理アドレスをIDとし、上記無線デバイスの物理アドレス以外のユニークな機器固有情報と利用者によって指定されたPINとのハッシュ計算結果をパスワードとして上記認証機器に対して認証要求を行って、上記認証機器から認証を得て動的鍵の配布を受けたとき、上記動的鍵を用いて暗号化と復号化とを行って、上記認証機器との間で相互にデータ通信を行うように構成されていることを特徴としている。   According to a fourth aspect of the present invention, there is provided a mobile terminal apparatus, comprising a wireless device, and performing communication for authentication and dynamic key distribution with an authentication device via a wireless system according to an EAP / TTLS protocol. Calculation of a hash of a unique device-specific information other than the physical address of the wireless device and a PIN specified by the user, when the authentication request is issued to the authentication device, using the physical address of the wireless device as an ID When an authentication request is made to the authentication device with the result as a password, authentication is obtained from the authentication device and a dynamic key is distributed, encryption and decryption are performed using the dynamic key. The apparatus is configured to perform data communication with the authentication device.

また、請求項5記載の発明は、請求項4記載の移動型端末装置に係り、上記無線デバイスの物理アドレス以外のユニークな機器固有情報が、上記移動型端末装置に対するイーサネットデバイス物理アドレス及び/又は上記移動型端末装置におけるOSのシリアル番号であることを特徴としている。   The invention described in claim 5 relates to the mobile terminal device described in claim 4, wherein the unique device unique information other than the physical address of the wireless device is an Ethernet device physical address and / or It is the serial number of the OS in the mobile terminal device.

本発明の移動型端末機器の認証及び動的鍵配布方法によれば、ハードウェアトークンデバイスを用いずに、複数の利用者によって同一の移動型端末機器を利用することが可能であり、証明書なしの手軽な運用が可能であるとともに、証明書のための特別な費用を必要とせず、さらに盗聴による認証用データの偽造/改竄が困難な、移動型端末機器の認証及び動的鍵配布方法並びに移動型端末装置を実現することができる。   According to the mobile terminal device authentication and dynamic key distribution method of the present invention, it is possible to use the same mobile terminal device by a plurality of users without using a hardware token device, and a certificate. Authentication and dynamic key distribution method for mobile terminal devices that can be operated easily and without special costs for certificates, and forgery / falsification of authentication data by eavesdropping is difficult In addition, a mobile terminal device can be realized.

移動型端末機器が無線系を介してEAP/TTLSプロトコルに従って認証機器と接続して、移動型端末機器におけるユニークな機器固有情報のいずれか一をIDとするとともに、IDとして用いられた以外のユニークな機器固有情報と利用者によって指定されたPINとのハッシュ計算結果をパスワードとして認証機器に対して認証要求を行って、認証機器から認証を得て動的鍵の配布を受けたとき、配布された動的鍵を用いて暗号化と復号化とを行って、上記認証機器との間で相互にデータ通信を行う。   The mobile terminal device is connected to the authentication device according to the EAP / TTLS protocol via the wireless system, and any one of the unique device specific information in the mobile terminal device is set as an ID, and the unique other than the ID is used as the ID When the authentication request is sent to the authentication device using the hash calculation result of the device-specific information and the PIN specified by the user as the password, the authentication device receives the authentication and the dynamic key is distributed. Encryption and decryption are performed using the dynamic key, and data communication is performed with the authentication device.

図1は、本発明の一実施例である移動型端末機器の認証及び動的鍵配布方法を説明するための図である。
図1においては、移動型端末機器1と認証機器2とが示されている。端末機器1は、無線デバイス10とハッシュ計算部11、及びイーサネットデバイス物理アドレス12,OSシリアル番号13,ユーザPINとからなる概略構成を有している。 FIG. 1 is a diagram for explaining a mobile terminal device authentication and dynamic key distribution method according to an embodiment of the present invention.
In FIG. 1, a mobile terminal device 1 and an authentication device 2 are shown. The terminal device 1 has a schematic configuration including a wireless device 10, a hash calculation unit 11, an Ethernet device physical address 12, an OS serial number 13, and a user PIN.

無線デバイス10は、IEEE802.11規格に従って認証機器2ととの間で無線系の通信を行う機能を有しているとともに、ユニークな機器固有の物理アドレスを有し、これをID20として出力する。ハッシュ計算部11は、端末機器1に対してイーサネット(Ethernet(登録商標))デバイスとして割り当てられた物理アドレス12と、OS(Operating System)が有するシリアル番号13と、ユーザが指定した固有の番号であるPIN(Personal Identifier Number)14とからハッシュ演算を行って、例えば演算結果から一部を取り出してパスワード21として出力する。   The wireless device 10 has a function of performing wireless communication with the authentication device 2 in accordance with the IEEE 802.11 standard, has a unique physical address unique to the device, and outputs this as an ID 20. The hash calculation unit 11 includes a physical address 12 assigned to the terminal device 1 as an Ethernet (Ethernet (registered trademark)) device, a serial number 13 included in an OS (Operating System), and a unique number designated by the user. A hash operation is performed from a certain PIN (Personal Identifier Number) 14 and, for example, a part is extracted from the operation result and output as a password 21.

認証機器2は、端末機器1との間で無線系を介する通信を行って、端末機器1からの認証要求に応じて認証の処理を行って、認証結果を端末機器1に通知するとともに、認証が得られたとき、端末機器1に対して動的鍵の配布を行って、その後、端末機器1との間でデータ通信を行う。認証機器2は、相手端末機器の情報を記憶するための認証サーバを別に有するものでもよく、又はそれ自体が認証サーバを含むすべての機能を有するものであってもよい。   The authentication device 2 communicates with the terminal device 1 via a wireless system, performs authentication processing in response to an authentication request from the terminal device 1, notifies the terminal device 1 of the authentication result, and performs authentication. Is obtained, a dynamic key is distributed to the terminal device 1 and then data communication is performed with the terminal device 1. The authentication device 2 may separately have an authentication server for storing information of the counterpart terminal device, or may itself have all functions including the authentication server.

以下、図1を参照して、この例の移動型端末機器の認証及び動的鍵配布方法における各部の動作を説明する。
端末機器1が無線系を介して認証機器2に対して認証及び動的鍵配布を求める際には、認証機器2との間で、EAP/TTLS30の手続を開始したのち、無線デバイス10からのID20と、ハッシュ計算部11からのパスワード21とを送出して、認証機器2に対して認証要求31を行う。 Hereinafter, the operation of each unit in the mobile terminal device authentication and dynamic key distribution method of this example will be described with reference to FIG.
When the terminal device 1 requests authentication and dynamic key distribution from the authentication device 2 via the wireless system, the terminal device 1 starts the EAP / TTLS 30 procedure with the authentication device 2, and then from the wireless device 10. The ID 20 and the password 21 from the hash calculator 11 are sent out, and an authentication request 31 is made to the authentication device 2.

認証機器2では、送信されたIDとパスワードとを、その内部に格納されているIDとパスワードのデータと照合して一致/不一致を検出して、認証結果32を端末機器1に通知するとともに、認証が得られたときは、以後の通信に使用する動的鍵を送付する鍵配布33の手続を行う。動的鍵は、端末機器1と認証機器2との間で相互に行われるデータ通信34における、データの暗号化と、暗号化されたデータの復号化に用いられる。   The authentication device 2 compares the transmitted ID and password with the ID and password data stored therein to detect a match / mismatch, and notifies the terminal device 1 of the authentication result 32. When authentication is obtained, a key distribution 33 procedure for sending a dynamic key used for subsequent communications is performed. The dynamic key is used for data encryption and decryption of the encrypted data in the data communication 34 performed between the terminal device 1 and the authentication device 2.

このように、この例の移動型端末機器の認証及び動的鍵配布方法では、EAP/TTLSプロトコルに従って、IDとパスワードによって認証要求を行うので、EAP/TLSプロトコルによる場合のように証明書を必要とせず、手軽な運用が可能であるとともに、複数の利用者が同一の端末機器を利用する場合でも、ハードウェアトークンデバイスを用いる必要がない。また、この際、移動型端末機器は認証サーバ上に、物理アドレスという端末を一意に識別可能なデータとして記録される。   As described above, in the mobile terminal device authentication and dynamic key distribution method of this example, an authentication request is made with an ID and a password in accordance with the EAP / TTLS protocol, so a certificate is required as in the case of the EAP / TLS protocol. Therefore, it is possible to easily operate, and it is not necessary to use a hardware token device even when a plurality of users use the same terminal device. At this time, the mobile terminal device is recorded on the authentication server as data that can uniquely identify the terminal called a physical address.

さらに、EAP/TTLSプロトコルに従って、IDとパスワードによって認証要求を行う際に、ユニークな機器固有情報である無線デバイス10の物理アドレスをIDとして使用し、端末機器1のイーサネットデバイス物理アドレス12や、OSに付与されているOSシリアル番号13等のユニークな機器固有情報と、ユーザ指定のPIN13との組み合わせで得られるハッシュ値をパスワードとして使用するので、盗聴による偽造/改竄が困難であり、従ってセキュリティの保持が容易であるという利点がある。   Furthermore, when an authentication request is made with an ID and password according to the EAP / TTLS protocol, the physical address of the wireless device 10 that is unique device-specific information is used as an ID, and the Ethernet device physical address 12 of the terminal device 1 or the OS Since the hash value obtained by combining the unique device unique information such as the OS serial number 13 assigned to the user and the PIN 13 specified by the user is used as a password, it is difficult to forge / tamper by eavesdropping. There is an advantage that it is easy to hold.

以上、この発明の実施例を図面により詳述してきたが、具体的な構成はこの実施例に限られたものではなく、この発明の要旨を逸脱しない範囲の設計の変更等があってもこの発明に含まれる。例えば、IDとして使用される機器固有情報としては、無線デバイス10の物理アドレスに限らず、他のユニークな機器固有情報であってもよい。また、パスワードとして使用されるユニークな機器固有情報としては、端末機器1のイーサネットデバイス物理アドレス12と、OSに付与されているOSシリアル番号13の組み合わせを用いる場合に限らず、これらのデータをそれぞれ単独で使用してもよい。さらに、端末のイーサネットデバイス物理番号とOSシリアル番号以外に、ユニークな機器固有情報がある場合には、これを上述のデータと組み合わせて、又は単独で使用してもよい。   The embodiment of the present invention has been described in detail with reference to the drawings. However, the specific configuration is not limited to this embodiment, and even if there is a design change or the like without departing from the gist of the present invention. Included in the invention. For example, the device unique information used as the ID is not limited to the physical address of the wireless device 10 and may be other unique device unique information. The unique device-specific information used as the password is not limited to the case where the combination of the Ethernet device physical address 12 of the terminal device 1 and the OS serial number 13 assigned to the OS is used. It may be used alone. Further, when there is unique device unique information other than the Ethernet device physical number and OS serial number of the terminal, it may be used in combination with the above data or alone.

この発明の移動型端末機器の認証及び動的鍵配布方法は、PCやPDAを認証機器と接続する際に利用して有用なものであるが、将来、携帯電話装置が認証機器との接続機能を有するようになる場合には、同様に適用可能なものである。   The mobile terminal device authentication and dynamic key distribution method according to the present invention is useful when a PC or PDA is connected to an authentication device. If it comes to have, it can be applied similarly.

本発明の一実施例である移動型端末機器の認証及び動的鍵配布方法を説明するための図である。It is a figure for demonstrating the authentication of a mobile terminal device and the dynamic key distribution method which are one Example of this invention. 従来のEAP/TLSプロトコルを用いた、移動型端末機器の認証及び動的鍵配布方法の例を示す図である。It is a figure which shows the example of the authentication of a mobile terminal device and the dynamic key distribution method using the conventional EAP / TLS protocol. 従来のEAP/TTLSプロトコルを用いた、移動型端末機器の認証及び動的鍵配布方法の例を示す図である。It is a figure which shows the example of the authentication of a mobile terminal device, and the dynamic key distribution method using the conventional EAP / TTLS protocol.

符号の説明Explanation of symbols

1 端末機器
2 認証機器
10 無線デバイス
11 ハッシュ計算部
12 イーサネットデバイス物理アドレス
13 OSシリアル番号
14 ユーザPIN
1 Terminal Device 2 Authentication Device 10 Wireless Device 11 Hash Calculation Unit 12 Ethernet Device Physical Address 13 OS Serial Number 14 User PIN

Claims (5)

移動型端末機器が無線系を介してEAP/TTLSプロトコルに従って認証機器と接続して、前記移動型端末機器におけるユニークな機器固有情報のいずれか一をID(Identifier;以下省略)とし、前記IDとして用いられた以外のユニークな機器固有情報と利用者によって指定されたPIN(Personal Identifier Number;以下省略)とのハッシュ計算結果をパスワードとして前記認証機器に対して認証要求を行って、前記認証機器から認証を得て動的鍵の配布を受けたとき、前記動的鍵を用いて暗号化と復号化とを行って、前記認証機器との間で相互にデータ通信を行うことを特徴とする移動型端末機器の認証及び動的鍵配布方法。   The mobile terminal device is connected to the authentication device according to the EAP / TTLS protocol via the wireless system, and any one of the unique device specific information in the mobile terminal device is set as an ID (Identifier; hereinafter omitted), An authentication request is made to the authentication device using a hash calculation result of unique device unique information other than that used and a PIN (Personal Identifier Number; hereinafter omitted) designated by the user as a password. When the mobile device receives authentication and receives a dynamic key, the mobile device performs encryption and decryption using the dynamic key, and performs data communication with the authentication device. Type terminal device authentication and dynamic key distribution method. 前記IDとして用いられた一の機器固有情報が、前記移動型端末機器の無線デバイスに付与された物理アドレスであることを特徴とする請求項1記載の移動型端末機器の認証及び動的鍵配布方法。   2. The mobile terminal device authentication and dynamic key distribution according to claim 1, wherein the one device-specific information used as the ID is a physical address assigned to a wireless device of the mobile terminal device. Method. 前記IDとして用いられた以外の機器固有情報が、前記移動型端末機器に対するイーサネット(登録商標)デバイス物理アドレス及び/又は前記移動型端末機器におけるOS(Operating System;以下省略)のシリアル番号であることを特徴とする請求項1又は2記載の移動型端末機器の認証及び動的鍵配布方法。   The device-specific information other than that used as the ID is an Ethernet (registered trademark) device physical address for the mobile terminal device and / or a serial number of an OS (Operating System; hereinafter omitted) in the mobile terminal device. The mobile terminal device authentication and dynamic key distribution method according to claim 1 or 2. 無線デバイスを備え、EAP/TTLSプロトコルに従って無線系を介して認証機器との間で認証及び動的鍵配布のための通信を行う移動型端末装置であって、
前記認証機器に対する認証要求時、前記無線デバイスの物理アドレスをIDとし、前記無線デバイスの物理アドレス以外のユニークな機器固有情報と利用者によって指定されたPINとのハッシュ計算結果をパスワードとして前記認証機器に対して認証要求を行って、前記認証機器から認証を得て動的鍵の配布を受けたとき、前記動的鍵を用いて暗号化と復号化とを行って、前記認証機器との間で相互にデータ通信を行うように構成されていることを特徴とする移動型端末装置。 A mobile terminal device that includes a wireless device and performs communication for authentication and dynamic key distribution with an authentication device via a wireless system according to an EAP / TTLS protocol,
When an authentication request is made to the authentication device, the physical device address is used as an ID, and a hash calculation result of unique device unique information other than the physical address of the wireless device and a PIN specified by a user is used as the password. When receiving an authentication request from the authentication device and receiving distribution of a dynamic key, performing encryption and decryption using the dynamic key, A mobile terminal device configured to perform data communication with each other. 前記無線デバイスの物理アドレス以外のユニークな機器固有情報が、前記移動型端末装置に対するイーサネットデバイス物理アドレス及び/又は前記移動型端末装置におけるOSのシリアル番号であることを特徴とする請求項4記載の移動型端末装置。
5. The unique device unique information other than the physical address of the wireless device is an Ethernet device physical address for the mobile terminal device and / or an OS serial number in the mobile terminal device. Mobile terminal device.
JP2003433655A 2003-12-26 2003-12-26 Distribution method of authentication and dynamic key in mobile terminal device, and mobile terminal device Pending JP2005192110A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003433655A JP2005192110A (en) 2003-12-26 2003-12-26 Distribution method of authentication and dynamic key in mobile terminal device, and mobile terminal device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003433655A JP2005192110A (en) 2003-12-26 2003-12-26 Distribution method of authentication and dynamic key in mobile terminal device, and mobile terminal device

Publications (1)

Publication Number Publication Date
JP2005192110A true JP2005192110A (en) 2005-07-14

Family

ID=34790972

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003433655A Pending JP2005192110A (en) 2003-12-26 2003-12-26 Distribution method of authentication and dynamic key in mobile terminal device, and mobile terminal device

Country Status (1)

Country Link
JP (1) JP2005192110A (en)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007017882A1 (en) 2005-08-05 2007-02-15 Hewlett-Packard Development Company L.P. System, method and apparatus for cryptography key management for mobile devices
WO2007017884A1 (en) * 2005-08-05 2007-02-15 Hewlett-Packard Development Company L.P. System, method and apparatus to obtain a key for encryption/decryption/data recovery from an enterprise cryptography key management system
KR100826522B1 (en) 2006-11-15 2008-04-30 삼성전자주식회사 Apparatus and method for dynamic ciphering in mobile communication system
JP2009519557A (en) * 2005-12-12 2009-05-14 クゥアルコム・インコーポレイテッド Offline authentication method for devices with limited resources
KR101239297B1 (en) * 2011-07-28 2013-03-05 한국전자통신연구원 System for protecting information and method thereof
WO2013084381A1 (en) 2011-12-09 2013-06-13 アラクサラネットワークス株式会社 Certificate distribution device and method for same, and computer program
CN109936522A (en) * 2017-12-15 2019-06-25 株式会社日立制作所 Equipment authentication method and device authentication system

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000056681A (en) * 1998-08-07 2000-02-25 Casio Comput Co Ltd Digital data recorder with security information

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000056681A (en) * 1998-08-07 2000-02-25 Casio Comput Co Ltd Digital data recorder with security information

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
PAUL FUNK、SIMON BLAKE-WILSON: ""EAP Tunneled TLS Authentication Protocol(EAP-TTLS)"", PPPEXT WORKING GROUP, INTERNET-DRAFT, CATEGORY: STANDARD TRACK, DRAFT-IETF-PPPEXT-EAP-TTLS-03.TXT, JPN4006011349, August 2003 (2003-08-01), ISSN: 0000748806 *

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007017882A1 (en) 2005-08-05 2007-02-15 Hewlett-Packard Development Company L.P. System, method and apparatus for cryptography key management for mobile devices
WO2007017884A1 (en) * 2005-08-05 2007-02-15 Hewlett-Packard Development Company L.P. System, method and apparatus to obtain a key for encryption/decryption/data recovery from an enterprise cryptography key management system
US9425958B2 (en) 2005-08-05 2016-08-23 Hewlett Packard Enterprise Development Lp System, method and apparatus for cryptography key management for mobile devices
JP2009519557A (en) * 2005-12-12 2009-05-14 クゥアルコム・インコーポレイテッド Offline authentication method for devices with limited resources
KR100826522B1 (en) 2006-11-15 2008-04-30 삼성전자주식회사 Apparatus and method for dynamic ciphering in mobile communication system
KR101239297B1 (en) * 2011-07-28 2013-03-05 한국전자통신연구원 System for protecting information and method thereof
US8811609B2 (en) 2011-07-28 2014-08-19 Electronics And Telecommunications Research Institute Information protection system and method
WO2013084381A1 (en) 2011-12-09 2013-06-13 アラクサラネットワークス株式会社 Certificate distribution device and method for same, and computer program
US9363246B2 (en) 2011-12-09 2016-06-07 Alaxala Networks Corporation Certificate distribution device and method for same, and computer program
CN109936522A (en) * 2017-12-15 2019-06-25 株式会社日立制作所 Equipment authentication method and device authentication system
CN109936522B (en) * 2017-12-15 2022-03-04 株式会社日立制作所 Equipment authentication method and equipment authentication system

Similar Documents

Publication Publication Date Title
JP4870777B2 (en) System, apparatus, method, and program for authenticating communication partner using electronic certificate including personal information
JP6543040B2 (en) System and method for remote access, remote digital signature
US20200059470A1 (en) Industrial internet encryption system
US9197420B2 (en) Using information in a digital certificate to authenticate a network of a wireless access point
JP4790574B2 (en) Apparatus and method for managing a plurality of certificates
JP2006014325A (en) Method and apparatus for using portable security token to facilitate public key certification for device group in network
JP6012888B2 (en) Device certificate providing apparatus, device certificate providing system, and device certificate providing program
CN107181714A (en) Verification method and device, the generation method of service code and device based on service code
KR20110140122A (en) Methods for producing products which contain certificates and keys
WO2009093572A1 (en) License authentication system and authentication method
US8918844B1 (en) Device presence validation
US20110162053A1 (en) Service assisted secret provisioning
EP2747377A2 (en) Trusted certificate authority to create certificates based on capabilities of processes
CN109981287A (en) A kind of code signature method and its storage medium
JP2015033038A (en) Information processing device, information processing method, and computer program
JP2005192110A (en) Distribution method of authentication and dynamic key in mobile terminal device, and mobile terminal device
CN110719174B (en) Ukey-based certificate issuing method
JP2017530636A (en) Authentication stick
JP2006285697A (en) File management method and file management system
KR101016642B1 (en) Mobile system, service system and key authentication method for managing key in local wireless communication
JP6167667B2 (en) Authentication system, authentication method, authentication program, and authentication apparatus
JP2010004226A (en) Information communication device, and public key authentication method
KR20100008893A (en) Method for enrollment and authentication using private internet access devices and system
JP2016115162A (en) Authentication system, authentication terminal device, registration terminal device, authentication method, and program
JP2019134268A (en) Registration system and registration method

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060627

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20070403