JP3362780B2 - Authentication method in communication system, center device, recording medium storing authentication program - Google Patents
Authentication method in communication system, center device, recording medium storing authentication programInfo
- Publication number
- JP3362780B2 JP3362780B2 JP35610599A JP35610599A JP3362780B2 JP 3362780 B2 JP3362780 B2 JP 3362780B2 JP 35610599 A JP35610599 A JP 35610599A JP 35610599 A JP35610599 A JP 35610599A JP 3362780 B2 JP3362780 B2 JP 3362780B2
- Authority
- JP
- Japan
- Prior art keywords
- user
- master key
- center
- authentication
- communication terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Description
【0001】[0001]
【発明の属する技術分野】本発明は、通信端末が通信網
を介して複数のセンタ装置と通信を行う際の認証方法に
関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to an authentication method used when a communication terminal communicates with a plurality of center devices via a communication network.
【0002】[0002]
【従来の技術】センタ装置が通信網を介して通信端末と
通信を行うシステムでは、通信端末や通信端末の利用者
へのなりすましを防ぐために、通信端末や利用者の認証
を行う必要がある。そして、通信端末が複数のセンタ装
置と通信する場合には、センタ装置毎に複数回の認証を
行う手間を省き、1度の認証で複数のセンタ装置と通信
を可能にする方式が取られており、あるセンタ装置が通
信端末もしくは通信端末の利用者を認証した際に、認証
結果を暗号化した情報を認証トークンとして通信端末に
送信し、通信端末が別のセンタ装置と通信する際には、
その認証トークンをそのセンタ装置に送信することによ
り2度目以降の認証処理を省略する方式が公知の技術と
して知られている。2. Description of the Related Art In a system in which a center device communicates with a communication terminal via a communication network, it is necessary to authenticate the communication terminal and the user in order to prevent impersonation of the communication terminal or the user of the communication terminal. Then, when the communication terminal communicates with a plurality of center devices, a method is adopted in which it is possible to perform communication with a plurality of center devices with one-time authentication, without having to perform the authentication for each center device a plurality of times. Therefore, when a certain center device authenticates a communication terminal or a user of the communication terminal, the encrypted information of the authentication result is sent to the communication terminal as an authentication token, and when the communication terminal communicates with another center device, ,
A method of transmitting the authentication token to the center device and omitting the authentication processing from the second time onward is known as a known technique.
【0003】[0003]
【発明が解決しようとする課題】認証トークンの暗号化
/復号に使われる暗号鍵は、通信路上を流れる認証トー
クンの解析を防ぐために、ある通信端末もしくは通信端
末の利用者を認証する度に、つまり認証トークンの作成
毎に変えることがセキュリティ上は望ましい。しかし、
従来の方式では、暗号鍵を変化させるためには、認証を
行った通信端末が別のセンタ装置と通信する度に、認証
トークンを復号するための暗号鍵をセンタ装置間で通信
する必要があった。An encryption key used for encryption / decryption of an authentication token is used every time a communication terminal or a user of the communication terminal is authenticated in order to prevent analysis of the authentication token flowing on the communication path. In other words, it is desirable for security to change each time the authentication token is created. But,
In the conventional method, in order to change the encryption key, it is necessary to communicate the encryption key for decrypting the authentication token between the center devices each time the authenticated communication terminal communicates with another center device. It was
【0004】認証トークンの復号毎にセンタ装置間で通
信を行うと、通信トラヒックが増大し、センタ装置間の
回線コストが大きくなる。また、センタ装置間で暗号鍵
を通信した後に認証トークンの復号を行うため、通信端
末が複数のセンタ装置と通信するためのシーケンスが複
雑となり、通信を始めるまでに余分な時間を要してしま
う。If communication is performed between the center devices each time the authentication token is decrypted, communication traffic increases and the line cost between the center devices increases. Moreover, since the authentication token is decrypted after the encryption keys are communicated between the center devices, the sequence for the communication terminal to communicate with the plurality of center devices becomes complicated, and extra time is required before starting the communication. .
【0005】本発明の目的は、あるセンタ装置に認証さ
れた通信端末が別のセンタ装置と通信する度にセンタ装
置間で通信を行わなくても、認証トークンの作成毎に暗
号化に使用する暗号鍵を変化させることが可能な認証方
法、センタ装置、および認証プログラムを記録した記録
媒体を提供することにある。The object of the present invention is to use for encryption each time an authentication token is created, even if a communication terminal authenticated by a certain center device does not communicate with another center device each time it communicates with another center device. An object of the present invention is to provide an authentication method capable of changing an encryption key, a center device, and a recording medium recording an authentication program.
【0006】[0006]
【課題を解決するための手段】通信端末を認証したセン
タ装置はランダム値を生成し、センタ装置間で周期的に
共有されるマスター鍵とランダム値からセッション鍵を
生成し、センタ装置間で秘密に共有しているセンタ識別
子と、前記通信端末と前記センタ装置との間で認証が済
んだ利用者の利用者IDをセッション鍵で暗号化して認
証トークンを生成し、ランダム値と、認証トークンと、
マスター鍵を一意に識別するマスター鍵IDを連結した
認証符を生成し、前記通信端末に送信する。A center device that authenticates a communication terminal generates a random value, generates a session key from a master key and a random value that are periodically shared between the center devices, and secretes between the center devices. The center identifier shared by the communication terminal and the user ID of the user who has been authenticated between the communication terminal and the center device are encrypted with a session key to generate an authentication token, and a random value and an authentication token are stored. ,
An authentication code is generated by concatenating the master key ID that uniquely identifies the master key, and is transmitted to the communication terminal.
【0007】前記通信端末は認証符を保持し、通信端末
を認証した別のセンタ装置と通信を行う際、前記認証符
を該別のセンタ装置に送信する。The communication terminal holds an authentication code, and when communicating with another center apparatus that has authenticated the communication terminal, transmits the authentication code to the other center apparatus.
【0008】該別のセンタ装置は、前記認証符を受信
し、分解し、ランダム値と認証トークンとマスター鍵I
Dを取出し、該マスター鍵IDと同じマスター鍵IDに
対応するマスター鍵を取得し、マスター鍵と前記ランダ
ム値からセッション鍵を生成し、該セッション鍵により
認証トークンを復号して、センタ識別子と利用者IDを
得、前記認識トークンを生成したセンタ装置の正当性を
検証し、利用者を特定する。The other center device receives the authentication code, decomposes the authentication code, a random value, an authentication token, and a master key I.
D, obtain a master key corresponding to the same master key ID as the master key ID, generate a session key from the master key and the random value, decrypt the authentication token with the session key, and use as the center identifier. The person ID is obtained, the legitimacy of the center device that generated the recognition token is verified, and the user is specified.
【0009】認証トークンの暗号化/復号に使用する暗
号鍵を、センタ装置間で周期的に共有する半固定的なマ
スター鍵と、認証トークンの作成毎に変化するランダム
値から生成するセッション鍵にすることで、認証トーク
ンの作成毎に異なる暗号鍵を使用することが可能にな
る。セッション鍵の作成に用いるランダム値は、認証ト
ークンと共に暗号化されずに通信路上を流れ、通信端末
を介して別のセンタ装置に送信されるが、ランダム値と
共に連結して送信される認証トークンは暗号化されてい
るため乱数とみなすことができるので、第三者がランダ
ム値と認証トークンを分解することは困難になる。ま
た、セッション鍵の生成には、ランダム値の他にセンタ
装置間で共有しているマスター鍵とセッション鍵生成手
段が必要になるため、ランダム値が露呈したとしても、
セッション鍵が露呈する可能性は極めて低い。そして、
マスター鍵はセンタ装置間で1日に1回や1時間に1回
といった周期で共有すればよいので、センタ装置間の通
信トラヒックは小さくなる。The encryption key used for encryption / decryption of the authentication token is a semi-fixed master key that is periodically shared between the center devices and a session key that is generated from a random value that changes each time the authentication token is created. By doing so, it becomes possible to use a different encryption key each time an authentication token is created. The random value used to create the session key flows on the communication path without being encrypted together with the authentication token and is transmitted to another center device via the communication terminal. Since it is encrypted and can be regarded as a random number, it becomes difficult for a third party to decompose the random value and the authentication token. Further, in order to generate the session key, in addition to the random value, the master key shared by the center devices and the session key generation means are required, so even if the random value is exposed,
It is extremely unlikely that the session key will be exposed. And
Since the master key may be shared between the center devices at a cycle such as once a day or once an hour, the communication traffic between the center devices becomes small.
【0010】[0010]
【発明の実施の形態】次に、本発明の実施の形態につい
て図面を参照して説明する。DESCRIPTION OF THE PREFERRED EMBODIMENTS Next, embodiments of the present invention will be described with reference to the drawings.
【0011】図1を参照すると、本発明の一実施形態の
通信システムは通信端末1と通信網2とセンタ装置3、
4とで構成されている。Referring to FIG. 1, a communication system according to an embodiment of the present invention includes a communication terminal 1, a communication network 2, a center device 3,
It is composed of 4 and.
【0012】通信端末1はセンタ装置3または4から送
出された認証符を保存し、他のセンタ装置に認証符を送
出する認証符管理部11を有している。The communication terminal 1 has an authentication code management unit 11 that stores the authentication code sent from the center device 3 or 4 and sends the authentication code to another center device.
【0013】通信網2は通信端末1とセンタ装置3、4
を接続する。The communication network 2 includes a communication terminal 1 and center devices 3, 4
Connect.
【0014】センタ装置3は認証符処理部31とセンタ
識別子記憶部32とマスター鍵記憶部33と利用者ID
データベース34を有している。センタ装置4も同様に
認証符処理部41とセンタ識別子記憶部42とマスター
鍵記憶部43と利用者IDデータベース44を有してい
る。センタ識別子記憶部32、42はそれぞれセンタ装
置3、4だけが持つ秘密情報であるセンタ識別子32
1、421を保持している。マスター鍵記憶部33、4
3はそれぞれセンタ装置3、4間で秘密共有しているマ
スター鍵ID331、431とそれに対応するマスター
鍵332、432を保持している。利用者IDデータベ
ース34、44は利用者を特定するために利用者個々に
ユニークに付与された利用者ID341、441をそれ
ぞれ保持する。センタ識別子321、421は同一の値
であり、センタ装置33、43のサービス開始時などに
設定される。マスター鍵ID331、431とマスター
鍵332、432は1時間に1回や1日に1回といった
周期でセンタ装置33、43間で通信を行って同一の値
を共有する。また、例えばWWW(World Wide Web)シ
ステムの場合、認証符はWeb サーバとWeb ブラウザの間
でやりとりされるCookieに相当する。The center device 3 includes an authentication code processing unit 31, a center identifier storage unit 32, a master key storage unit 33, and a user ID.
It has a database 34. Similarly, the center device 4 also includes an authentication code processing unit 41, a center identifier storage unit 42, a master key storage unit 43, and a user ID database 44. The center identifier storage sections 32 and 42 are center identifiers 32, which are secret information held only by the center devices 3 and 4, respectively.
1 and 421 are held. Master key storage unit 33, 4
Reference numeral 3 holds master key IDs 331 and 431 which are secretly shared between the center devices 3 and 4, respectively, and master keys 332 and 432 corresponding thereto. The user ID databases 34 and 44 respectively hold user IDs 341 and 441 uniquely assigned to each user in order to identify the user. The center identifiers 321 and 421 have the same value and are set when the services of the center devices 33 and 43 are started. The master key IDs 331 and 431 and the master keys 332 and 432 communicate with the center devices 33 and 43 at a cycle of once an hour or once a day and share the same value. Also, in the case of a WWW (World Wide Web) system, the authentication code corresponds to a cookie exchanged between the Web server and the Web browser.
【0015】認証符処理部31、41は通信端末1の認
証処理、セッション鍵の生成、認証トークンの生成、認
証符の生成、認証符の送信、受信した認証符の分解、セ
ッション鍵の生成、認証トークンの復号、センタ識別子
の検証、利用者の特定等を行う。The authentication code processing units 31, 41 perform authentication processing of the communication terminal 1, session key generation, authentication token generation, authentication code generation, authentication code transmission, received authentication code decomposition, session key generation, It decrypts the authentication token, verifies the center identifier, and identifies the user.
【0016】次に、本実施形態の動作を図1と図2を参
照して説明する。Next, the operation of this embodiment will be described with reference to FIGS.
【0017】通信端末1とセンタ装置3との間でIDパ
スワードなどによる認証処理を行う(ステップ20
1)。認証処理が済み通信端末1もしくは通信端末1を
使用する利用者の正当性が認められると、センタ装置3
は、認証符処理部31において、マスター鍵記憶部33
からマスター鍵332を得(ステップ202)、ランダ
ム値aを生成し(ステップ203)、マスター鍵332
とランダム値aからセッション鍵bを生成する(ステッ
プ204)。ランダム値aは、例えば時刻などを元に生
成された乱数である。セッション鍵bは、例えば、マス
ター鍵332とランダム値aを連結したものを一方向性
ハッシュ関数の入力とすることにより生成する。次に、
認証符処理部31において、センタ識別子記憶部32か
らセンタ識別子321を得(ステップ205)、利用者
IDデータベース34から通信端末1とセンタ装置3と
の間で認証が済んだ利用者の利用者ID341を得(ス
テップ206)、両者を連結したものをセッション鍵b
で暗号化して認証トークンcを生成する(ステップ20
7)。認証トークンcは、センタ識別子321と利用者
ID341の他に、乱数や時刻を連結してセッション鍵
bで暗号化してもよい。次に、認証符処理部31におい
て、ランダム値aと、認証トークンcと、セッション鍵
bの生成に使用したマスター鍵332に対応するマスタ
ー鍵ID331を連結した認証符dを生成する(ステッ
プ208)。次に、センタ装置3は認証符dを通信端末
1に送出すると共に(ステップ209)、通信端末1と
通信を開始する(ステップ210)。Authentication processing using an ID password or the like is performed between the communication terminal 1 and the center device 3 (step 20).
1). When the authenticity of the communication terminal 1 or the user who uses the communication terminal 1 has been verified, the center device 3
Is the master key storage unit 33 in the authentication code processing unit 31.
A master key 332 is obtained from the master key 332 (step 202), a random value a is generated (step 203), and the master key 332 is generated.
And a session key b is generated from the random value a (step 204). The random value a is a random number generated based on, for example, the time of day. The session key b is generated, for example, by connecting the master key 332 and the random value a to the input of the one-way hash function. next,
In the authentication code processing unit 31, the center identifier 321 is obtained from the center identifier storage unit 32 (step 205), and the user ID 341 of the user who has been authenticated between the communication terminal 1 and the center device 3 from the user ID database 34. Is obtained (step 206), and the one obtained by concatenating the two is session key b
To generate an authentication token c (step 20).
7). The authentication token c may be encrypted with the session key b by concatenating a random number or time in addition to the center identifier 321 and the user ID 341. Next, the authentication code processing unit 31 generates an authentication code d by concatenating the random value a, the authentication token c, and the master key ID 331 corresponding to the master key 332 used to generate the session key b (step 208). . Next, the center device 3 sends the authentication code d to the communication terminal 1 (step 209) and starts communication with the communication terminal 1 (step 210).
【0018】通信端末1では、認証符dを認証符管理部
11に保持する(ステップ211)。通信端末1は、認
証を行ったセンタ装置3とは別のセンタ装置4と通信を
行う際は、認証符管理部11に保持している認証符dを
センタ装置4に送出する(ステップ212)。The communication terminal 1 holds the authentication code d in the authentication code management unit 11 (step 211). When the communication terminal 1 communicates with the center device 4 other than the authenticated center device 3, the communication terminal 1 sends the authentication code d held in the authentication code management unit 11 to the center device 4 (step 212). .
【0019】センタ装置4は、通信端末1から認証符d
を受け取ったなら、認証符処理部41にて、認証符dを
分解し、ランダム値aと認証トークンcとマスター鍵I
D331を取り出す(ステップ213)。次に、マスタ
ー鍵記憶部43から、認証符dから取り出したマスター
鍵ID331と同じマスター鍵ID431に対応するマ
スター鍵432を取得する(ステップ214)。次に、
認証符処理部41にて、マスター鍵432とランダム値
aからセッション鍵bを生成する(ステップ215)。
センタ装置3とセンタ装置4が同じセッション鍵生成手
段をもつことにより、セッション鍵bの同一性を保証す
る。次に、セッション鍵bにより認証トークンcを復号
し、センタ識別子321と利用者ID341を得る(ス
テップ216)。このとき、前記のように認証トークン
の中に時刻を入れていれば、現在時刻との照合により、
認証符の再利用攻撃を阻止することができる。次に、認
証トークンcから得たセンタ識別子321と、センタ識
別子記憶部42から得たセンタ識別子421が一致する
ことを検証し、認証トークンを生成したセンタ装置3の
正当性を検証する(ステップ217)。次に、認証トー
クンcから得た利用者ID341と利用者IDデータベ
ース44から得た利用者ID441とを照合し、利用者
を特定する(ステップ218)。こうして正当性が検証
されたら、通信端末1と通信を開始する(ステップ21
9)。The center device 4 receives the authentication code d from the communication terminal 1.
When the authentication code is received, the authentication code processing unit 41 decomposes the authentication code d, and the random value a, the authentication token c, and the master key I
The D331 is taken out (step 213). Next, the master key 432 corresponding to the same master key ID 431 as the master key ID 331 extracted from the authentication code d is acquired from the master key storage unit 43 (step 214). next,
The authentication code processing unit 41 generates the session key b from the master key 432 and the random value a (step 215).
Since the center device 3 and the center device 4 have the same session key generation means, the identity of the session key b is guaranteed. Next, the authentication token c is decrypted with the session key b to obtain the center identifier 321 and the user ID 341 (step 216). At this time, if the time is entered in the authentication token as described above, by comparing with the current time,
It is possible to prevent the reuse of the authentication code. Next, it is verified that the center identifier 321 obtained from the authentication token c and the center identifier 421 obtained from the center identifier storage unit 42 match, and the validity of the center device 3 that generated the authentication token is verified (step 217). ). Next, the user ID 341 obtained from the authentication token c and the user ID 441 obtained from the user ID database 44 are collated to identify the user (step 218). When the validity is verified in this way, communication with the communication terminal 1 is started (step 21).
9).
【0020】図3を参照すると、本発明の他の実施形態
のセンタ装置は入力装置51と送受信装置52と利用者
データベース53と記憶装置54、55と出力装置56
と記録媒体57とデータ処理装置58で構成されてい
る。送受信装置52は通信装置3または4と通信を行
う。利用者データベース53は図1中の利用者IDデー
タベース34、44に相当する。記憶装置54は図1中
のセンタ識別子記憶部32、42とマスター鍵記憶部3
3、43に相当する。記憶装置55はハードディスクで
ある。記録媒体57は図1の認証符処理部31、41の
処理である認証符処理プログラムを記録したフロッピィ
ディスク、CD−ROM、光磁気ディスクなどの記録媒
体である。データ処理装置58はCPUを含み、記録媒
体57から認証符処理プログラムを読み込んで、これを
実行する。Referring to FIG. 3, a center device according to another embodiment of the present invention includes an input device 51, a transmitting / receiving device 52, a user database 53, storage devices 54 and 55, and an output device 56.
It comprises a recording medium 57 and a data processing device 58. The transmission / reception device 52 communicates with the communication device 3 or 4. The user database 53 corresponds to the user ID databases 34 and 44 in FIG. The storage device 54 includes the center identifier storage units 32 and 42 and the master key storage unit 3 in FIG.
Equivalent to 3, 43. The storage device 55 is a hard disk. The recording medium 57 is a recording medium such as a floppy disk, a CD-ROM, or a magneto-optical disk in which the authentication code processing program which is the processing of the authentication code processing units 31 and 41 of FIG. 1 is recorded. The data processing device 58 includes a CPU, reads the authentication code processing program from the recording medium 57, and executes it.
【0021】[0021]
【発明の効果】以上説明したように、本発明によれば、
通信端末が通信網を介して複数のセンタ装置と通信を行
うシステムにおいて、あるセンタ装置に認証された通信
端末が別のセンタ装置と通信する度にセンタ装置間で通
信を行わなくても、認証トークンの作成毎に暗号化/復
号に使用する暗号鍵を変化させることが可能となり、ま
た、認証符の中にマスター鍵IDが含まれているので、
2個以上のマスター鍵IDとマスター鍵をマスター鍵記
憶部で管理することにより、サービス中断をすることな
くマスター鍵を更新することができる。As described above, according to the present invention,
In a system in which a communication terminal communicates with a plurality of center devices via a communication network, authentication is performed even if a communication terminal authenticated by one center device does not communicate with another center device each time the communication terminal communicates with another center device. Since it is possible to change the encryption key used for encryption / decryption every time a token is created, and because the master code ID is included in the authentication code,
By managing two or more master key IDs and master keys in the master key storage unit, the master key can be updated without interrupting service.
【図1】本発明の一実施形態の通信システムの構成図で
ある。FIG. 1 is a configuration diagram of a communication system according to an embodiment of the present invention.
【図2】図1の実施形態の動作を示すシーケンス図であ
る。FIG. 2 is a sequence diagram showing an operation of the exemplary embodiment of FIG.
【図3】センタ装置の他の実施形態を示すブロック図で
ある。FIG. 3 is a block diagram showing another embodiment of the center device.
1 通信端末 2 通信網 3、4 センタ装置 11 認証符管理部 31、41 認証符処理部 32、42 センタ識別子記憶部 33、43 マスター鍵記憶部 321、421 センタ識別子 331、431 マスター鍵ID 332、432 マスター鍵 341、441 利用者ID 201〜219 ステップ 51 入力装置 52 送受信装置 53 利用者IDデータベース 54、55 記憶装置 56 出力装置 57 記録媒体 58 データ処理装置 1 communication terminal 2 communication network 3, 4 center device 11 Authentication code management section 31, 41 Authentication code processing unit 32, 42 center identifier storage unit 33, 43 Master key storage unit 321, 421 Center identifier 331, 431 Master key ID 332, 432 Master key 341,441 User ID 201-219 steps 51 Input device 52 transceiver 53 User ID database 54, 55 storage device 56 Output device 57 recording media 58 Data processing device
フロントページの続き (56)参考文献 特開 平11−161611(JP,A) 特開 昭62−198947(JP,A) 特開 平5−35678(JP,A) シングル・サインオン,日経インター ネットテクノロジー,日経BP社,1992 年11月22日,第29号,p.156−165 Kerberos:NTの新しいユー ザ認証の仕組み,net PC,1998年 3月 1日,第3巻 第3号,p. 110−112 (58)調査した分野(Int.Cl.7,DB名) H04L 9/32 G06F 15/00 330 JICSTファイル(JOIS)Continuation of the front page (56) Reference JP-A-11-161611 (JP, A) JP-A-62-198947 (JP, A) JP-A-5-35678 (JP, A) Single sign-on, Nikkei Internet Technology, Nikkei BP, November 22, 1992, No. 29, p. 156-165 Kerberos: New NT User Authentication Mechanism, net PC, March 1, 1998, Volume 3, No. 3, p. 110-112 (58) Fields investigated (Int.Cl. 7 , DB) Name) H04L 9/32 G06F 15/00 330 JISST file (JOIS)
Claims (3)
装置と通信を行う際の認証方法であって、 通信端末を認証したセンタ装置がランダム値を生成し、
センタ装置間で周期的に共有されるマスター鍵と前記ラ
ンダム値からセッション鍵を生成し、センタ装置間で秘
密に共有しているセンタ識別子と、前記通信端末と前記
センタ装置との間で認証が済んだ利用者の利用者IDを
前記セッション鍵で暗号化して認証トークンを生成し、
前記ランダム値と、前記認証トークンと、前記セッショ
ン鍵の生成に使用したマスター鍵を一意に識別するマス
ター鍵IDを連結した認証符を生成し、前記通信端末に
送信し、 前記通信端末は前記認証符を保持し、前記通信端末を認
証したセンタ装置とは別のセンタ装置と通信を行う際、
前記認証符を該別のセンタ装置に送信し、 該別のセンタ装置は、前記認証符を受信し、分解し、ラ
ンダム値と認証トークンとマスター鍵IDを取出し、該
マスター鍵IDと同じマスター鍵IDに対応するマスタ
ー鍵を取得し、前記マスター鍵と前記ランダム値からセ
ッション鍵を生成し、該セッション鍵により認証トーク
ンを復号して、センタ識別子と利用者IDを得、前記認
証トークンを生成したセンタ装置の正当性を検証し、利
用者を特定する、通信システムにおける認証方法。1. An authentication method when a communication terminal communicates with a plurality of center devices via a communication network, wherein the center device authenticating the communication terminal generates a random value,
A session key is generated from a master key periodically shared between center devices and the random value, and a center identifier secretly shared between center devices and authentication between the communication terminal and the center device are performed. Generate an authentication token by encrypting the user ID of the completed user with the session key,
An authentication code is generated by concatenating the random value, the authentication token, and a master key ID that uniquely identifies the master key used to generate the session key, and the authentication code is transmitted to the communication terminal. When carrying out communication with a center device other than the center device that holds the mark and authenticates the communication terminal,
The authentication code is transmitted to the other center device, and the other center device receives the authentication code, decomposes it, extracts a random value, an authentication token, and a master key ID, and obtains the same master key as the master key ID. A master key corresponding to an ID is acquired, a session key is generated from the master key and the random value, an authentication token is decrypted by the session key, a center identifier and a user ID are obtained, and the authentication token is generated. An authentication method in a communication system for verifying the legitimacy of a center device and identifying a user.
ンタ装置において、 当該センタ装置だけが持つ秘密情報であるセンタ識別子
を保持しているセンタ識別子記憶部と、 他のセンタ装置との間で秘密共有しているマスター鍵I
Dとそれに対応するマスター鍵を保持しているマスター
鍵記憶部と、 利用者個々にユニークに付与された利用者IDを保持す
る利用者IDデータベースと、 通信端末との間で認証処理の結果、当該通信端末または
当該通信端末を使用する利用者の正当性が認められる
と、前記マスター鍵記憶部からマスター鍵を得、ランダ
ム値を生成し、前記マスター鍵と前記ランダム値からセ
ッション鍵を生成し、前記センタ識別子記憶部からセン
タ識別子を得、前記利用者IDデータベースから、前記
通信端末と当該センタ装置との間で認証が済んだ利用者
の利用者IDを得、前記センタ識別子と前記利用者ID
を連結したものを前記セッション鍵で暗号化して認証ト
ークンを生成し、前記ランダム値と、前記認証トークン
と、前記セッション鍵の生成に使用したマスター鍵に対
応するマスター鍵IDを連結した認証符を生成し、正当
性を認めた通信端末へ該認証符を送信し、また通信端末
から認証符を受け取ると、これを分解し、ランダム値と
認証トークンとマスター鍵IDを取出し、該マスター鍵
IDに対応するマスター鍵を前記マスター鍵記憶部から
取得し、該マスター鍵と前記ランダム値からセッション
鍵を生成し、該セッション鍵により認証トークンを復号
して、センタ識別子と利用者IDを得、該センタ識別子
と前記センタ識別子記憶部から得たセンタ識別子が一致
することを検証することにより、前記認証トークンを生
成したセンタ装置の正当性を検証し、前記利用者IDと
前記利用者IDデータベースから得た利用者IDとを照
合し、利用者を特定する処理を行う認証符処理部を有す
ることを特徴とするセンタ装置。2. In a center device that communicates with a communication terminal via a communication network, between a center identifier storage unit that holds a center identifier that is secret information that only the center device has, and another center device. Master key I secretly shared in
A master key storage unit that holds D and a master key corresponding to it, a user ID database that holds a user ID uniquely assigned to each user, and the result of authentication processing between the communication terminal, When the legitimacy of the communication terminal or a user who uses the communication terminal is recognized, a master key is obtained from the master key storage unit, a random value is generated, and a session key is generated from the master key and the random value. , A center identifier is obtained from the center identifier storage unit, a user ID of a user who has been authenticated between the communication terminal and the center device is obtained from the user ID database, and the center identifier and the user are obtained. ID
To generate an authentication token by encrypting the concatenated one with the session key, and an authentication code obtained by concatenating the random value, the authentication token, and the master key ID corresponding to the master key used to generate the session key. When the authentication code is generated and transmitted to the communication terminal that has received the legitimacy, and when the authentication code is received from the communication terminal, the authentication code is disassembled, the random value, the authentication token, and the master key ID are extracted, and the master key ID is obtained. A corresponding master key is acquired from the master key storage unit, a session key is generated from the master key and the random value, an authentication token is decrypted by the session key, a center identifier and a user ID are obtained, and the center key is stored. A center device that generated the authentication token by verifying that the identifier matches the center identifier obtained from the center identifier storage unit. Verifies the validity, collates the user ID obtained from the user ID database and the user ID, the center device, characterized in that an authentication mark processing unit that performs processing for specifying a user.
装置との通信を行う通信システムにおける認証プログラ
ムであって、 通信端末との間で認証処理符処理の結果、当該通信端末
または当該通信端末を使用する利用者の正当性が認めら
れると、マスター鍵記憶部からマスター鍵を得、ランダ
ム値を生成し、前記マスター鍵と前記ランダム値からセ
ッション鍵を生成する処理と、センタ識別子記憶部から
センタ識別子を得、利用者IDデータベースから、前記
通信端末と当該センタ装置との間で認証が済んだ利用者
の利用者IDを得、前記センタ識別子と前記利用者ID
を連結したものを前記セッション鍵で暗号化して、認証
トークンを生成する処理と、前記ランダム値と、前記認
証トークンと、前記セッション鍵の生成に使用したマス
ター鍵に対応するマスター鍵IDを連結した認証符を生
成する処理と、正当性を認めた通信端末へ該認証符を送
信する処理と、通信端末から認証符を受け取ると、これ
を分解し、ランダム値と認証トークンとマスター鍵ID
を取出す処理と、該マスター鍵IDに対応するマスター
鍵を前記マスター鍵記憶部から取得し、該マスター鍵と
前記ランダム値からセッション鍵を生成する処理と、該
セッション鍵により認証トークンを復号してセンタ識別
子と利用者IDを得る処理と、該センタ識別子と前記セ
ンタ識別子記憶部から得たセンタ識別子が一致すること
を検証することにより、前記認証トークンを生成したセ
ンタ装置の正当性を検証し、前記利用者IDと前記利用
者IDデータベースから得た利用者IDとを照合し、利
用者を特定する処理をコンピュータが実行するための認
証プログラムを記録した記録媒体。3. An authentication program in a communication system in which a communication terminal communicates with a plurality of center devices via a communication network, wherein the communication terminal or the communication result as a result of an authentication processing process with the communication terminal. When the legitimacy of the user who uses the terminal is recognized, a master key is obtained from the master key storage unit, a random value is generated, a session key is generated from the master key and the random value, and a center identifier storage unit. From the user ID database, obtains the user ID of the user who has been authenticated between the communication terminal and the center device, and obtains the center identifier and the user ID.
The process of encrypting the concatenated one with the session key to generate the authentication token, the random value, the authentication token, and the master key ID corresponding to the master key used to generate the session key are connected. A process of generating an authentication code, a process of transmitting the authentication code to a communication terminal that has been validated, and a process of receiving the authentication code from the communication terminal, decomposing the authentication code, a random value, an authentication token, and a master key ID.
Process of extracting the master key corresponding to the master key ID from the master key storage unit, generating a session key from the master key and the random value, and decrypting the authentication token with the session key. By verifying the process of obtaining the center identifier and the user ID and the fact that the center identifier matches the center identifier obtained from the center identifier storage unit, the legitimacy of the center device that generated the authentication token is verified, A recording medium recording an authentication program for causing a computer to execute a process of matching the user ID with the user ID obtained from the user ID database and specifying the user.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP35610599A JP3362780B2 (en) | 1999-12-15 | 1999-12-15 | Authentication method in communication system, center device, recording medium storing authentication program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP35610599A JP3362780B2 (en) | 1999-12-15 | 1999-12-15 | Authentication method in communication system, center device, recording medium storing authentication program |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2001177513A JP2001177513A (en) | 2001-06-29 |
| JP3362780B2 true JP3362780B2 (en) | 2003-01-07 |
Family
ID=18447362
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP35610599A Expired - Fee Related JP3362780B2 (en) | 1999-12-15 | 1999-12-15 | Authentication method in communication system, center device, recording medium storing authentication program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3362780B2 (en) |
Families Citing this family (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9100457B2 (en) | 2001-03-28 | 2015-08-04 | Qualcomm Incorporated | Method and apparatus for transmission framing in a wireless communication system |
| US8077679B2 (en) | 2001-03-28 | 2011-12-13 | Qualcomm Incorporated | Method and apparatus for providing protocol options in a wireless communication system |
| US7693508B2 (en) | 2001-03-28 | 2010-04-06 | Qualcomm Incorporated | Method and apparatus for broadcast signaling in a wireless communication system |
| US8121296B2 (en) | 2001-03-28 | 2012-02-21 | Qualcomm Incorporated | Method and apparatus for security in a data processing system |
| US7352868B2 (en) * | 2001-10-09 | 2008-04-01 | Philip Hawkes | Method and apparatus for security in a data processing system |
| US7649829B2 (en) | 2001-10-12 | 2010-01-19 | Qualcomm Incorporated | Method and system for reduction of decoding complexity in a communication system |
| KR100447623B1 (en) * | 2002-01-31 | 2004-09-07 | 학교법인고려중앙학원 | Authentication and payment based on ticket in wireless Internet |
| KR20040089452A (en) | 2002-03-18 | 2004-10-21 | 소니 가부시끼 가이샤 | Information processing system, information processing device, and method |
| US7523490B2 (en) * | 2002-05-15 | 2009-04-21 | Microsoft Corporation | Session key security protocol |
| US8630414B2 (en) | 2002-06-20 | 2014-01-14 | Qualcomm Incorporated | Inter-working function for a communication system |
| US7599655B2 (en) | 2003-01-02 | 2009-10-06 | Qualcomm Incorporated | Method and apparatus for broadcast services in a communication system |
| US8098818B2 (en) | 2003-07-07 | 2012-01-17 | Qualcomm Incorporated | Secure registration for a multicast-broadcast-multimedia system (MBMS) |
| US8718279B2 (en) | 2003-07-08 | 2014-05-06 | Qualcomm Incorporated | Apparatus and method for a secure broadcast system |
| US8724803B2 (en) | 2003-09-02 | 2014-05-13 | Qualcomm Incorporated | Method and apparatus for providing authenticated challenges for broadcast-multicast communications in a communication system |
| JP4675583B2 (en) * | 2004-06-09 | 2011-04-27 | Kddi株式会社 | Personal information providing system and method |
| US7784089B2 (en) | 2004-10-29 | 2010-08-24 | Qualcomm Incorporated | System and method for providing a multi-credential authentication protocol |
| JP4584071B2 (en) * | 2005-08-15 | 2010-11-17 | シャープ株式会社 | Encrypted electronic document processing system, service providing apparatus, and electronic document output apparatus |
| JP4793024B2 (en) * | 2006-02-27 | 2011-10-12 | Kddi株式会社 | User authentication method, authentication server and system |
| JP5975594B2 (en) * | 2010-02-01 | 2016-08-23 | 沖電気工業株式会社 | Communication terminal and communication system |
| JP5521736B2 (en) | 2010-04-23 | 2014-06-18 | 富士ゼロックス株式会社 | COMMUNICATION CONTROL DEVICE, COMMUNICATION CONTROL PROGRAM, AND COMMUNICATION CONTROL SYSTEM |
-
1999
- 1999-12-15 JP JP35610599A patent/JP3362780B2/en not_active Expired - Fee Related
Non-Patent Citations (2)
| Title |
|---|
| Kerberos:NTの新しいユーザ認証の仕組み,net PC,1998年 3月 1日,第3巻 第3号,p.110−112 |
| シングル・サインオン,日経インターネットテクノロジー,日経BP社,1992年11月22日,第29号,p.156−165 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2001177513A (en) | 2001-06-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP3362780B2 (en) | Authentication method in communication system, center device, recording medium storing authentication program | |
| CN109962784B (en) | Data encryption, decryption and recovery method based on multiple digital envelope certificates | |
| JP4617763B2 (en) | Device authentication system, device authentication server, terminal device, device authentication method, and device authentication program | |
| JP4603252B2 (en) | Security framework and protocol for universal general transactions | |
| KR101265873B1 (en) | Distributed single sign-on service | |
| CN103281190B (en) | Systems and methods for secure workgroup management and communication | |
| US20030070068A1 (en) | Method and system for providing client privacy when requesting content from a public server | |
| KR101452708B1 (en) | CE device management server, method for issuing DRM key using CE device management server, and computer readable medium | |
| US8806206B2 (en) | Cooperation method and system of hardware secure units, and application device | |
| JP2003030150A (en) | Method and arrangement for protecting information in forwarded authentication message | |
| JPH113033A (en) | Method for identifying client for client-server electronic transaction, smart card and server relating to the same, and method and system for deciding approval for co-operation by user and verifier | |
| JP2003521154A (en) | How to issue electronic identification information | |
| US20050105735A1 (en) | Information processing system and method, information processing device and method, recording medium, and program | |
| JPH07325785A (en) | Network user identifying method, ciphering communication method, application client and server | |
| JP2001186122A (en) | Authentication system and authentication method | |
| JPH118619A (en) | Electronic certificate publication method and system therefor | |
| JP2003188874A (en) | System for secure data transmission | |
| CN112383401B (en) | User name generation method and system for providing identity authentication service | |
| US20090319778A1 (en) | User authentication system and method without password | |
| CN116112242B (en) | Unified safety authentication method and system for power regulation and control system | |
| JP2004013560A (en) | Authentication system, communication terminal, and server | |
| JP3914193B2 (en) | Method for performing encrypted communication with authentication, authentication system and method | |
| CN112035820B (en) | Data analysis method used in Kerberos encryption environment | |
| JPH11215121A (en) | Device and method for authentication | |
| JPH08335207A (en) | Authorizing method for network user |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20071025 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20081025 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20091025 Year of fee payment: 7 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20101025 Year of fee payment: 8 |
|
| LAPS | Cancellation because of no payment of annual fees |