JP4578352B2 - 通信媒介装置、データ提供装置およびデータ提供システム - Google Patents

通信媒介装置、データ提供装置およびデータ提供システム Download PDF

Info

Publication number
JP4578352B2
JP4578352B2 JP2005234890A JP2005234890A JP4578352B2 JP 4578352 B2 JP4578352 B2 JP 4578352B2 JP 2005234890 A JP2005234890 A JP 2005234890A JP 2005234890 A JP2005234890 A JP 2005234890A JP 4578352 B2 JP4578352 B2 JP 4578352B2
Authority
JP
Japan
Prior art keywords
authentication
communication
data providing
data
authentication information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2005234890A
Other languages
English (en)
Other versions
JP2007049649A (ja
Inventor
将行 島田
康二 佐藤
正樹 橋浦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sharp Corp
Original Assignee
Sharp Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sharp Corp filed Critical Sharp Corp
Priority to JP2005234890A priority Critical patent/JP4578352B2/ja
Publication of JP2007049649A publication Critical patent/JP2007049649A/ja
Application granted granted Critical
Publication of JP4578352B2 publication Critical patent/JP4578352B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、限られた数の論理通信路しか管理できず、特定の処理要求を実行するために必要とされる、予め設定された認証処理において、認証処理の毎に異なる認証情報を要求するデータ提供装置と、そのデータ提供装置に対して処理を要求する複数の装置との間に立って通信を媒介する装置、およびこれら両者からなるデータ提供システムに関する。
最初に、以下の説明で用いられる用語について、いくつか定義付けしておく。
・認証状態とは、認証処理を成功させることで得られ、クリアされることで消失する状態である。
・認証条件とは、データ提供装置が、特定の処理要求に対応するために必要とされる認証状態である。
・認証情報とは、1つの認証処理において、認証を受ける側から認証を行なう側へ渡される情報である。
・認証の対象とは、当該認証処理によって得られる認証状態となる範囲である。
・認証鍵とは、認証情報を生成するために用いられる情報のことである。PINのようなそのまま認証情報として用いられるものや、チャレンジ・レスポンス方式においてチャレンジデータを暗号化するための暗号鍵のようなものも含む。
ここで、PIN(Personal Identification Number)とは、ユーザーや機器を識別するための符号である。また、チャレンジ・レスポンス方式とは、チャレンジ−アンド−レスポンス方式とも称され、ネットワーク上の認証において,毎回変化する1度限りのパスワードで、通信経路上でパスワードを盗まれた場合でも,次回のアクセスでは無効となる、ワン−タイム−パスワード(one time password)を実現する方法の一つであり、サーバが送信する1度限りのパスワード(チャレンジ)と、ユーザーがもつ固定のパスワードを、端末側で一定の演算手順により組み合わせて送信(レスポンス)する方式である。
近年、公的ネットワークを介して重要なデータが送受信されることが多くなっている。たとえば、電子的なショッピングなどにおいては、クレジットカード情報や電子マネー、あるいは顧客情報といった情報を、インターネットを介して送受信しなければならないことがある。これまで、このような重要なデータの送受信においては、その開始に先立って、パスワードを用いた認証処理が行なわれてきた。ところが、インターネットなど、悪意を持った第三者が通信データを傍受できる可能性のある公的ネットワークでは、正規のユーザによる認証時に交わされるデータを傍受した第三者が、同じデータを自身の認証の際に使用できてしまう。つまり、認証を行なう側の要求に対して傍受したデータと同じデータをもって答えることで、認証を行なう側に、相手を正しい相手であると誤認させてしまうわけである。
このような問題に対処するために、認証処理を行なうたびごとに異なるデータを送信させることが行なわれている。その典型的な一例として、暗号技術を用いたチャレンジ・レスポンス方式の認証処理がある。チャレンジ・レスポンス方式では、認証処理の毎に異なるランダムなデータが認証を行なう側から認証を受ける側に送信され、両者の間で予め秘密裏に決められた手順によって、それぞれ当該データを加工する。認証を受ける側は認証を行なう側に、加工されたデータを返信し、認証を行なう側は、これを自身の加工結果と照合する。両者が一致していれば、相手が秘密の手順を知っていることを確認でき、それを持って当該認証処理を成功とする。特に、共通鍵方式の暗号を用いた方式が用いられることが多く、このときの加工手順は、両者の間で共有している暗号鍵を用いて、上記ランダムなデータを暗号化するというものである。チャレンジ・レスポンス方式では毎回送受信されるデータが異なるので、通信データの傍受を利用したなりすましを防ぐことができる。
ところで、認証の結果はそれを行なった対象(認証を受けた側であり、以降クライアントということがある)毎に、認証を行なう側で管理されるのが普通である。すなわち、異なる二者が同じ対象に対してそれぞれ認証を試みた場合、それぞれの認証結果や認証手順は互いに影響を与えない。ところが、認証状態を管理するエンティティ(entity:実体)のリソース(resource:資源)が十分でない場合、それぞれのクライアントごとに認証状態を管理することは必ずしも容易でない。その好適な例として、ICカードが挙げられる。
現在、ICカードが採用するインターフェイス仕様によれば、ICカードは複数の論理チャネル(論理通信路)をサポートすることができる。すなわち、複数のクライアントとの間で、個別に認証状態や、それぞれの論理チャネルで用いられる一時的なデータを管理することができる。ところが実際には、ほとんどのICカードでは、複数の論理チャネルを使用できない。論理チャネル毎の状態、情報を管理するためには高価なRAMが必要であり、実装コストがかさんでしまうからである。
特許文献1には、端末装置の利用者を業務サーバに代わって認証するためにネットワーク上に設定された代理認証機構と、業務サーバの利用のため端末装置の利用者へ事前に与えられているユーザIDやパスワード等の利用者認証情報を蓄積するために、代理認証機構から直接アクセス可能な領域に設定された認証情報データベースとを具備する利用者認証方法及びシステム装置が開示されている。これによれば、業務サーバにおけるサーバ処理プログラムを改造することなく所要の利用者認証を行なえるとしている。
このような代理認証機構を用いれば、認証を行なう装置(代理認証機構)と、実際にデータや計算資源などを提供する装置(業務サーバ:以降、「データ提供装置」という)とを分離することができるので、データ提供装置に十分な記憶領域が確保できない場合においても、複数のクライアントとの間の論理チャネル構築に必要な情報を管理できる。
また、別の解決方法として、実際には複数のクライアントからの同時アクセスを許さず、時系列的に処理する方法もある。それぞれのクライアントとデータ提供装置との間で行なわれる処理を排他的に行なうためには、たとえ同じクライアントからのものであっても、それぞれのアクセスは別に扱われなければならない。そのような場合、クライアントは論理チャネルを構築するたびに、つまり別の処理を行なうたびごとに必要な認証手順を繰り返す必要があり、処理効率を悪化させる上、煩わしさが増して不便であった。
特許文献2には、セキュリティ管理手段が、認証情報入力手段を介して利用者から入力される認証情報による利用者認証を行ない、当該利用者認証でアクセスが許可された利用者によるWEBシステム(イ)、(ロ)または(ハ)へのアクセス要求に応じて当該WEBシステムへの当該利用者のIDおよびパスワードの発行を自動的に行なって当該WEBシステムとの間で当該利用者のためのアクセス認証処理を実行するセキュリティ管理方式が開示されている。なお、セキュリティ管理手段のセキュリティ管理テーブルには、システムアクセス手段を用いて利用者が各WEBシステム(イ)〜(ハ)にアクセスする際の個々のIDおよびパスワードを用いた認証方法に関する情報が、予め登録されている。これによれば、アクセス処理の簡易化,セキュリティの強化,および不正アクセスの防止を図れるとしている。
特許文献3には、パスワードデータメモリにおいて任意の複数のホームページサイトの各サイト名及びサイトアドレスに対応付けてパスワードや個人名からなる認証データを登録し、ユーザは本コンピュータ端末に対する指紋照合により本人認証を行なって、前記登録されたサイト一覧から所望のホームページサイトを選択して指定するだけで、当該指定サイトに対応付けられた認証データによって所望のホームページサイトとの自動認証によるアクセスが行なわれるので、各ホームページサイトへのアクセスに際し、ユーザは一々そのパスワードの入力操作を行なう必要がなく、簡単に所望のホームページサイトとアクセスできる通信電子機器及び通信処理プログラムを記憶した記憶媒体が開示されている。これによれば、通信ネットワーク上のサービスサイトへのアクセスの度に一々個人認証データの入力操作を行なう必要がなく、非常に簡単に所望サイトへのアクセスを行なえるとしている。
特許文献2、および特許文献3で開示されるように、クライアントから見て、実際に認証を行なうべきエンティティの手前側に、認証情報の生成・および送信を代行するエンティティを置く構成をとれば、クライアントが認証手順を繰り返す必要がなくなる。上記認証処理を代行する装置をおく場合には、当該装置で一度認証されたクライアントの情報を管理することで、容易にこのような構成をとることができる。さらに認証情報の送受信も一度で済むため、処理効率の向上につながる。
特許文献2、特許文献3においては、「利用者が各WEBシステム(イ)〜(ハ)にアクセスする際の個々のIDおよびパスワードを用いた認証方法に関する情報が、予め登録されている。」、「パスワードデータメモリにおいて任意の複数のホームページサイトの各サイト名及びサイトアドレスに対応付けてパスワードや個人名からなる認証データを登録し、」と認証情報の生成・及び送信を代行する装置が、クライアントとそれぞれに対応する認証情報を予め知ることができることを前提としている。しかし、認証情報の生成・及び送信を代行する装置が、クライアントとそれぞれに対応する認証情報を予め知ることができないような場合でも、クライアントとデータ提供装置との間で行なわれる認証処理のために取り交わされるデータが、必ず当該代行装置を経由するように構成することで、該代行装置は、クライアントから送信される認証情報を監視し、記憶しておくことで、後続する認証処理を代行することができる。
あるいは、認証情報とデータ提供装置上のリソース(資源)とが1対1に対応付けられている場合、クライアントの認証処理が成功したあと、データ提供装置から読み出される情報をキャッシュしておくことで、その後のアクセスの折には、キャッシュしておいたデータを送信するようなキャッシュ装置を置くこともできよう。なお、キャッシュ(cache)とは、隠し場,貯蔵所の意であり、キャッシュメモリ(cache memory)とは、コンピューターの記憶装置の一つであり、処理を高速化するために、何度も使われるプログラムやデータを一時的に保持する機能を持っている。
データ提供装置から読み出されるデータは、必ずしもクライアントから要求のあったものだけである必要はなく、認証が成功した後に、対応するデータをすべて読み出しておき、それ以降、当該クライアントとの間の論理チャネル(論理通信路)が存続している間は、データ提供装置にアクセスすることなく、上記読み出されたデータをクライアントに提供することもできる。
特開2002−132727号公報 特開2002−108822号公報 特開2001−188755号公報
上述した代理認証機構は、認証処理を専用の装置で行なうので、データ提供装置に十分な記憶領域や計算能力がない場合においても、複数のクライアントに対する認証状態を管理することができる。しかし、ICカードのような耐タンパ性(不正な開封・加工・改変などへの耐性、タンパーレジスタント(tamper resistant)、タンパープルーフなどともいう。)を特長とする装置には適さない。このような装置においては、認証機構とアクセス制限機構とが共に耐タンパ性を持った装置上に構築されることによって初めてその利点が発揮される。認証機構を外部に置くということは、ICカードの持つ耐タンパ性の及ばないところで認証処理や、その結果に基づいたアクセス制御を行なうことを意味するからである。
また、クライアントとデータ提供装置の間に存在して両者の通信を中継する装置(以降中継装置という)によって、認証情報を代理で生成・送信する特許文献2および特許文献3に開示された方法では、前述したように、データ提供装置が必ず1つの中継装置を経由することが前提条件となり、この前提条件が成り立たない場合に用いることができない。
長期にわたって同じ認証情報を使用すると、その安全性が低下することがあり、定期的に更新することが望ましい。ところが、ある中継装置を介して認証情報の変更を行なった場合、別の中継装置はその変更を知ることができず、その後、認証情報を生成することができなくなってしまう。変更の度に、使用する可能性のあるすべての中継装置に認証情報の更新を通知するのは現実的でない上、その通知の過程で第三者の傍受に晒される危険性が高くなり、当該認証処理のセキュリティ強度を下げかねない。
最後に、データ提供装置によって提供されるデータ自体を中継装置においてキャッシュしておく方法は、データ提供装置が、単順にデータの記憶を行なうだけでなく、暗号計算などの処理結果を提供するような場合に用いることができない。たとえば、ICカードの中には、カード内に記憶された鍵値を用いた暗号処理を行ない、カードから鍵データを取り出すことなく処理結果を提供できるものがある。このようなスマートカード(ICカードの呼称の1つ)では、前記暗号処理やデータの読み出しなど、それぞれの処理に対して認証条件の設定やアクセス制限を行なえるのが普通である。
スマートカードには、すでに多くのアプリケーションが同居することが当たり前になっており、複数の端末から1枚のスマートカード上の別々のアプリケーションを利用するといったことが考えられる。ところが、RAM(Random Access Memory)などのワークメモリが限られているスマートカードにおいて、複数の装置に対して、個別に認証状態を管理することは容易ではない。複数の端末との間の論理的な通信路(以降、論理チャネルともいう)を管理するためには、これらのワークメモリが多く必要となるので、コストの上昇につながる。したがって、現在用いられている多くのスマートカードにおいては、同時に1つのセッション(アクセス数)しか管理できないものがほとんどである。
このことが問題となるのは、たとえば、クライアントがスマートカードに対して、ある認証条件が設定されている計算結果を要求する場合である。複数のアプリケーションが1枚のスマートカード上に同居している場合、それぞれのアプリケーションに対する認証条件は別々に管理されており、同時に一つのアプリケーションしか利用できない場合がある。さらに、あるアプリケーションを使用していたときに、一度別のアプリケーションを使用すると、それまでに前者のアプリケーションに対して行なわれていた認証処理による認証状態がクリアされてしまうことがある。同時に1つのセッションしか管理できないためである。
図6はスマートカードにおいてこのような問題が起こる過程を示した図である。8つの図(ア)〜(ク)はスマートカード上のファイル構造を表現しており、図中の丸はファイルを格納するコンテナを、四角はファイルを表現している。スマートカードでは、上記コンテナがアプリケーションのように振舞い、たとえば、あるコンテナ(アプリケーション)が保持しているファイルを使用しようとすると、そのコンテナ(アプリケーション)に対する認証処理が必要となったりする。
さらに同図中の黒い丸は活性化されたコンテナ(アプリケーション)を示しており、斜線で埋められた四角は、その時点において利用可能なファイルを示している。各コンテナ(アプリケーション)に対して行なわれた認証は、別のアプリケーションを活性化した時点でクリアされるものとし、同時に活性化することのできるコンテナ(アプリケーション)は高々1つであるものとする。さらに、説明を簡単にするため、あるコンテナ(アプリケーション)に対する認証が成功した場合、そのコンテナ(アプリケーション)が保持するファイルすべてが利用可能となり、またそのような認証が成功していない状態では、当該コンテナ(アプリケーション)が保持するリソースを全く利用できないものとする。
クライアントAの要求により、左側のコンテナ(アプリケーション)(DF1とする)が活性化され(ア)、同クライアントAによって、該DF1に対する認証を成功させた後(イ)、DF1がもつリソースを使用していたとする(ウ)。ここで、別のクライアントBからの要求によって、右側のコンテナ(アプリケーション)(DF2とする)が活性化され(エ)、同クライアントBによって、該DF2に対する認証を成功させた後(オ)、DF2がもつリソースを使用するかもしれない(カ)。このような場合、クライアントAが再びDF1のリソースを使おうとすると(キ)、活性化されているアプリケーションが違うので、所望の処理要求が拒絶される。あるいは、中継装置がそれを知っていて、仮に再びDF1を活性化させたとしても(ク)、DF1に対する認証を成功させることができるのはクライアントAのみであるので、やはり所望のリソースを利用することができない。このような理由から、複数の端末で同時にアクセスする場面を考えると、ある端末が取得した認証状態を、別の端末によってクリアされてしまい、本来であれば利用できるはずの情報が利用できなくなってしまう、などといった問題が生じるのである。
さらに、クライアントが行なった認証情報を検出・記憶しておいて、上の例のように認証状態がクリアされてしまった場合に、中継装置が代わりに認証処理を行ない、認証状態を回復する方法においては、常に固定の値を送信するPIN(Personal Identification Number)などを用いた認証の場合はともかくとして、高度なセキュリティを実現するために用いられるチャレンジ-レスポンス方式の認証処理などには対応できない。そうかといってPINによる認証のみでは、データ提供装置のセキュリティ強度が下がってしまう。このことは、耐タンパ性にこそその利用価値があるICカードのような装置にとっては受け入れ難いものである。
以上のようなわけで、複数の認証状態を管理するためのリソース(資源)を十分に持たず、認証の度に認証情報が異なる高度な認証方式が要求されるようなデータ提供装置において、該データ提供装置が管理することのできる論理チャネル数以上のクライアントが、当該データ提供装置を同時に利用することができないという問題があった。
本発明は、上述の課題を解決するためになされたものであり、その目的は、複数の認証状態を管理するためのリソース(資源)を十分に持たず、認証の度に認証情報が異なる高度な認証方式が要求されるようなデータ提供装置において、該データ提供装置が管理することのできる論理チャネル数以上のクライアントが、当該データ提供装置を同時に利用できるようにするものである。
本願発明の請求項1に係るデータ提供システムは、
特定の処理を要求する通信装置と、該通信装置の認証を行なう認証手段を備えたデータ提供装置と、前記通信装置と前記データ提供装置との間での送受信を媒介する通信媒介装置とからなるデータ提供システムであって、
前記通信装置は、
前記データ提供装置に対する認証請求に際し、前記データ提供装置に送信する認証情報を生成するために用いられる認証情報生成データを記憶する認証情報生成データ記憶手段と、
該認証情報生成データ記憶手段に記憶された認証情報生成データを用いて前記データ提供装置に送信する認証情報を作成する認証情報作成手段と、
該認証情報作成手段が作成した認証情報を用いて前記データ提供装置に対する前記通信装置の認証を請求する通信装置認証請求手段とを備え、
前記通信媒介装置は、
前記データ提供装置に対する前記通信装置が請求する認証が成立したことを検出する認証処理検出手段と、
該認証処理検出手段が前記データ提供装置に対する前記通信装置の認証の成立を検出した後に、前記データ提供装置に対し当該通信装置の認証情報生成データを、該認証情報生成データとは異なり、且つ、一時的に有効で無効となった後は元の認証情報生成データが復帰して有効になる別認証情報生成データへ変更請求する認証情報生成データ変更請求手段と、
前記データ提供装置に対し前記通信媒介装置自身の認証を求める自己認証請求手段と、
前記認証処理検出手段の検出結果に基づいて、前記データ提供装置による認証を受けた通信装置毎に各認証請求に対する認証結果状態を管理可能な通信装置認証状態管理手段と、
前記通信装置からの前記データ提供装置に対するアクセス要求があったときに、当該アクセス要求を前記データ提供装置が許可するのに必要な、当該アクセス要求を出した通信装置の認証結果状態が前記通信装置認証状態管理手段により既に認証成立済であると管理されているか否かを判定する認証成立済判定手段と、
該認証成立済判定手段により認証が成立済である旨の判定がなされた通信装置の前記データ提供装置に対する認証を請求するために、前記別認証情報生成データへの変更請求に対し前記データ提供装置により変更が認められた後に、前記別認証情報生成データを用いて認証情報を生成する別認証情報生成手段と、
前記通信媒介装置の認証が前記データ提供装置に認められた後に、前記別認証情報生成手段により作成された認証情報を前記データ提供装置へ送信して前記通信装置の認証を代わりに請求する代理認証請求手段とを備え、
前記認証手段は、送信されてきた認証を求める通信装置の認証情報が記憶している当該通信装置の認証情報生成データに基づいて生成されているか否かを判断し、当該認証情報生成データに基づいて生成されていると判断される場合に当該通信装置の認証を認め、
前記データ提供装置は、
当該通信装置および前記通信媒介装置の認証の成立後に、前記通信媒介装置からの当該通信装置の前記別認証情報生成データへの変更請求に対し該変更を認める別認証情報生成データ許可手段と、
前記通信媒介装置から送信されてきた認証情報が、変更を認められた通信装置の別認証情報生成データに基づいて生成されているか否かを判断し、当該別認証情報生成データに基づいて生成されていると判断される場合に当該通信装置の前記通信媒介装置による代理認証請求に対して適正である旨の認証を行なう通信媒介装置代理認証許可手段とを備え、
前記別認証情報生成データ許可手段は、前記通信装置から前記データ提供装置への認証請求に対し前記認証手段が適正である旨の認証を行なった直後に、前記通信媒介装置からの当該通信装置の前記別認証情報生成データへの変更請求が為された場合に限り、前記通信媒介装置による前記通信装置の別認証情報生成データへの変更を許可することを特徴とする。
本願発明の請求項2に係るデータ提供システムは、請求項1に記載の構成に加えて、前記通信装置から前記データ提供装置への認証請求に対し前記認証手段が適正である旨の認証を行なった直後に、前記通信媒介装置からの当該通信装置の前記別認証情報生成データへの変更請求が為された場合とは、前記通信装置から前記データ提供装置への認証請求に対し前記認証手段が適正である旨の認証を行なう認証許可判定処理と、その後に、前記通信媒介装置からの当該通信装置の前記別認証情報生成データへの変更請求を前記データ提供装置が受付ける受付処理とが、連続して行なわれた場合であることを特徴とする。
本願発明の請求項3に係る通信媒介装置は、
特定の処理を要求する通信装置に対し該通信装置の認証を行なう認証手段を備えたデータ提供装置と、前記通信装置との間での送受信を媒介する通信媒介装置であって、
前記データ提供装置は送信されてきた前記通信装置の認証情報が前記通信装置の記憶している認証情報生成データに基づいて生成された認証情報であると判断された場合に当該通信装置の認証を行ない、該認証が成立したことを検出する認証処理検出手段と、
該認証処理検出手段が前記データ提供装置に対する前記通信装置の認証の成立を検出した後に当該通信装置の認証情報生成データとは異なる別認証情報生成データにより生成された認証情報を前記データ提供装置に送信して前記通信装置の認証を代わりに求める代理認証請求を可能にするために必要となる事前設定を前記データ提供装置との間で実行する代理認証事前設定手段と、
前記認証処理検出手段の検出結果に基づいて、前記データ提供装置による認証を受けた通信装置毎に各認証請求に対する認証結果状態を管理可能な通信装置認証状態管理手段と、
前記通信装置からの前記データ提供装置に対するアクセス要求があったときに、当該アクセス要求を前記データ提供装置が許可するのに必要な、当該アクセス要求を出した通信装置の認証結果状態が前記通信装置認証状態管理手段により既に認証成立済であると管理されているか否かを判定する認証成立済判定手段と、
該認証成立済判定手段により認証が成立済である旨の判定がなされた通信装置の前記データ提供装置に対する認証を請求するために、前記別認証情報生成データを用いて認証情報を生成する別認証情報生成手段と、
該別認証情報生成手段により作成された認証情報を前記データ提供装置へ送信して前記通信装置の認証を代わりに請求する代理認証請求手段とを備えることを特徴とする。
本願発明の請求項4に係る通信媒介装置は、請求項3に記載の構成に加えて、
前記別認証情報生成データは前記データ提供装置により認められた後に有効となり、所定条件により無効とされた後は元の認証情報生成データが復帰して有効になることを特徴とする。
本願発明の請求項5に係る通信媒介装置は、特定の処理を要求する通信装置に対し該通信装置の認証を行なう認証手段を備えたデータ提供装置と、前記通信装置との間での送受信を媒介する通信媒介装置であって、
前記データ提供装置は送信されてきた前記通信装置の認証情報が前記通信装置の記憶している認証情報生成データに基づいて生成された認証情報であると判断された場合に当該通信装置の認証を行ない、該認証が成立したことを検出する認証処理検出手段と、
該認証処理検出手段が前記データ提供装置に対する前記通信装置の認証の成立を検出した後に当該通信装置の認証情報生成データとは異なる別認証情報生成データにより生成された認証情報を前記データ提供装置に送信して前記通信装置の認証を代わりに求める代理認証請求を可能にするために必要となる事前設定を前記データ提供装置との間で実行する代理認証事前設定手段とを備え、
該代理認証事前設定手段は、前記データ提供装置に対し前記通信装置の認証情報生成データを前記別認証情報生成データに変更請求する認証情報生成データ変更請求手段を含み、
前記データ提供装置により変更が認められた前記別認証情報生成データは、一時的に有効で無効となった後は元の認証情報生成データが復帰して有効になることを特徴とする。
本願発明の請求項6に係る通信媒介装置は、請求項5に記載の構成に加えて、前記代理認証事前設定手段は、前記データ提供装置に対し前記通信媒介装置自身の認証を求める自己認証請求手段を、さらに含み、
該自己認証請求手段による前記データ提供装置に対する前記通信媒介装置の認証の成立後に、前記認証情報生成データ変更請求手段が前記データ提供装置に対する認証が成立した通信装置の認証情報生成データを、通信装置の前記別認証情報生成データに変更請求することを特徴とする。
本願発明の請求項7に係る通信媒介装置は、請求項6に記載の構成に加えて、前記認証情報生成データ変更請求手段による変更請求に対し該変更が前記データ提供装置により認められた後に、前記データ提供装置に対する認証が成立した通信装置からの前記データ提供装置に対するアクセス要求を前記通信媒介装置が検出したことを契機として、
前記通信媒介装置が、前記変更が認められた通信装置の別認証情報生成データを用いて認証情報を生成し、該認証情報を前記データ提供装置へ送信して前記データ提供装置に対する前記通信装置の認証を代わりに請求する代理認証請求手段を、さらに備え、
該代理認証請求手段により前記データ提供装置に対する前記通信装置の認証が成立した後に、前記通信媒介装置が前記データ提供装置にアクセスすることを特徴とする。
本願発明の請求項8に係る通信媒介装置は、請求項3〜7のいずれかに記載の構成に加えて、前記データ提供装置と前記通信装置との間で送受信される通信データを取得し、記憶する通信データ記憶手段と、
該通信データ記憶手段に記憶されているデータが前記データ提供装置と前記通信装置とのいずれかの装置に対して送信されるデータとして利用可能か否かを判断するデータ利用可否判断手段とをさらに備え、
該データ利用可否判断手段により利用可能であると判断された記憶データを利用して送信データを作成することを特徴とする。
本願発明の請求項9に係る通信媒介装置は、請求項5〜8のいずれかに記載の構成に加えて、前記認証処理検出手段の検出結果に基づいて、前記データ提供装置による認証を受けた通信装置毎に各認証請求に対する認証結果状態を管理可能な通信装置認証状態管理手段を、さらに備えることを特徴とする。
本願発明の請求項10に係る通信媒介装置は、請求項4〜9のいずれかに記載の構成に加えて、
前記通信装置認証状態管理手段は、前記データ提供装置による認証状態と当該認証状態の前記データ提供装置による記憶状態とを関連付けて管理可能であることを特徴とする、請求項9に記載の通信媒介装置。
本願発明の請求項11に係る通信媒介装置は、請求項9に記載の構成に加えて、
前記通信装置認証状態管理手段は、前記データ提供装置に対し認証を受けた装置がアクセス可能となる範囲をも関連付けて管理可能であることを特徴とする。
本願発明の請求項12に係る通信媒介装置は、請求項5〜11のいずれかに記載の構成に加えて、
前記別認証情報生成データは、前記データ提供装置と前記通信媒介装置との論理通信路か、前記データ提供装置に対する認証が成立した通信装置と前記通信媒介装置との論理通信路かのいずれかの論理通信路が遮断されると無効になることを特徴とする。
本願発明の請求項13に係る通信媒介装置は、請求項7〜12のいずれかに記載の構成に加えて、
前記自己認証請求手段または前記代理認証請求手段により、前記データ提供装置に対して認証請求する毎に異なった認証情報を送信することを特徴とする。
本願発明の請求項14に係る通信媒介装置は、請求項7〜13のいずれかに記載の構成に加えて、
前記データ提供装置に要求し、受取ったデータを用いて演算し、認証請求のための認証情報を作成する通信媒介装置認証情報作成手段をさらに備え、
前記自己認証請求手段または前記代理認証請求手段により、前記データ提供装置に認証請求を行なう場合は、前記通信媒介装置認証情報作成手段により作成された認証情報であって、前記データ提供装置に認証請求の毎に異なった認証情報を送信することを特徴とする。
本願発明の請求項15に係る通信媒介装置は、請求項9〜14のいずれかに記載の構成に加えて、前記通信装置認証状態管理手段は、前記データ提供装置に対する認証が成立した通信装置からの前記データ提供装置に対するアクセス要求を検出した場合に、前記検出したアクセス要求が、現時点で前記データ提供装置に受け入れ可能な認証状態であるか否かを判断し、
前記代理認証請求手段は、当初の認証状態により受け入れ可能であったと判断されるが、前記データ提供装置により、当初の認証状態が既に消去されていると判断された場合に、前記通信装置認証状態管理手段で管理される情報を用いて、前記消去された当初の認証状態を回復するために、前記データ提供装置に対する認証を請求することを特徴とする。
本願発明の請求項16に係る通信媒介装置は、請求項9〜14のいずれかに記載の構成に加えて、前記通信装置認証状態管理手段は、前記データ提供装置に対する認証が成立した通信装置からの前記データ提供装置に対するアクセス要求を検出した場合に、前記検出したアクセス要求が、現時点で前記データ提供装置に受け入れ可能な認証状態であるか否かを判断し、
前記代理認証請求手段は、当初の認証状態により受け入れ可能であったと判断されるが、前記データ提供装置により、当初の認証状態が既に消去されていると判断された場合に、前記通信装置認証状態管理手段で管理される情報を用いて、前記通信装置からのアクセス要求に対応するのに必要な範囲の前記データ提供装置に対する認証を請求することを特徴とする。
本願発明の請求項17に係る通信媒介装置は、請求項8〜14のいずれかに記載の構成に加えて、前記データ提供装置と通信装置との通信状況を監視する通信状況監視手段をさらに備え、
該通信状況監視手段が前記データ提供装置に対する認証が成立した通信装置からの前記データ提供装置に対するアクセスの失敗を検知した場合に、前記代理認証請求手段が前記変更請求に対し該変更の認められた通信装置の別認証情報生成データを用いて認証情報を生成し、該認証情報を前記データ提供装置へ送信して、前記データ提供装置に対する前記通信装置の認証を代わりに請求することを特徴とする。
本願発明の請求項18に係る通信媒介装置は、請求項8〜17のいずれかに記載の構成に加えて、前記認証情報生成データ変更請求手段による変更請求に使用される情報は、前記通信データ記憶手段に記憶された前記データ提供装置による前記通信装置の認証が成立するまでの前記データ提供装置と前記通信装置との通信データにより決定されることを特徴とする。
本願発明の請求項19に係る通信媒介装置は、特定の処理を要求する通信装置に対し該通信装置の認証を行なう認証手段を備えたデータ提供装置と、前記通信装置との間での送受信を媒介する通信媒介装置であって、
前記データ提供装置による前記通信装置の認証の成立を検出する認証処理検出手段と、
該認証処理検出手段が前記データ提供装置に対する前記通信装置の認証の成立を検出した後に、前記データ提供装置に対する認証が成立した通信装置からの前記データ提供装置に対するアクセス要求を前記通信媒介装置が検出したことを契機として、前記通信媒介装置が、前記データ提供装置に対する前記通信装置の認証を前記通信装置に代わり請求する通信媒介装置代理認証請求手段とを備えることを特徴とする。
本願発明の請求項20に係るデータ提供装置は、特定の処理を要求する通信装置に対し該通信装置の認証を行なう認証手段を備えたデータ提供装置であって、
前記認証手段は、送信されてきた認証を求める通信装置の認証情報が記憶している当該通信装置の認証情報生成データに基づいて生成されているか否かを判断し、当該認証情報生成データに基づいて生成されていると判断される場合に当該通信装置の認証を認め、
当該通信装置の認証の成立後に、当該通信装置の認証情報生成データを、一時的に有効で無効となった後は元の認証情報生成データが復帰して有効になる別認証情報生成データへ変更する変更請求に対し該変更を認める別認証情報生成データ許可手段と、
前記通信装置と前記データ提供装置との間の送受信を媒介する通信媒介装置から送信されてきた認証情報が、変更を認められた、認証を求める通信装置の前記別認証情報生成データに基づいて生成されているか否かを判断し、当該別認証情報生成データに基づいて生成されていると判断される場合に当該通信装置の前記通信媒介装置による認証請求に対し適正である旨の認証を行なう通信媒介装置代理認証許可手段とを備え、
前記別認証情報生成データ許可手段は、前記通信装置から前記データ提供装置への認証請求に対し前記認証手段が適正である旨の認証を行なった直後に、前記通信媒介装置からの当該通信装置の前記別認証情報生成データへの変更請求が為された場合に限り、前記通信媒介装置による前記通信装置の別認証情報生成データへの変更を許可することを特徴とする。
本願発明の請求項21に係るデータ提供装置は、請求項20に記載の構成に加えて、前記通信媒介装置からの認証請求に対し適正である旨の認証を行なう通信媒介装置認証許可手段を、さらに備え、
前記別認証情報生成データ許可手段は、前記通信装置から前記データ提供装置への認証請求に対し前記認証手段が適正である旨の認証を行なった直後に、前記通信媒介装置から前記データ提供装置に対する認証の請求と、前記通信媒介装置からの当該通信装置の前記別認証情報生成データへの変更請求とが為された場合に限り、前記通信媒介装置による前記通信装置の別認証情報生成データへの変更を許可することを特徴とする。
本願発明の請求項22に係るデータ提供装置は、請求項20または21に記載の構成に加えて、前記別認証情報生成データ許可手段によって変更が許可された前記通信装置の別認証情報生成データは、認証が成立した通信装置と前記通信媒介装置との論理通信路か、認証を行なったデータ提供装置と前記通信媒介装置との論理通信路かのいずれかの論理通信路が遮断されると無効にすることを特徴とする。
本願発明の請求項23に係るデータ提供装置は、請求項20〜22のいずれかに記載の構成に加えて、記憶手段、演算手段を備えたIC搭載カードであることを特徴とする。
本願発明の請求項24に係るデータ提供装置は、請求項20〜23のいずれかに記載の構成に加えて、認証を求める装置側に、認証請求の毎に異なった認証情報の送信を要求することを特徴とする。
本願発明の請求項25に係るデータ提供システムは、請求項20〜24のいずれかに記載のデータ提供装置と、請求項3〜19のいずれかに記載の通信媒介装置とが用いられていることを特徴とする。
本願発明の通信媒介装置を用いれば、複数の認証状態を管理するための資源を十分に備えず、かつ、固定的な認証情報ではなく、より高度な認証方式を用いるデータ提供装置を、該データ提供装置が管理することのできる論理チャネル数より多い通信装置に対しても、同時に提供することができる。
結果として、複数の通信装置(ユーザ、たとえば家族)が共有するセキュリティ要件の高いデータ提供装置(たとえば、スマートカード)に対するアクセスを安全に、かつ利便性を損なうことなく提供するなどといったことができる。
通信装置毎の認証状態は通信媒介装置によって管理され、実際にデータ提供装置によって管理される認証状態は隠蔽されるので、通信装置に対しては、あたかもカードを占有しているように見せることができ、通信装置の実装者は、他の通信装置の処理などに気を使う必要がない。したがって、通信装置の開発も容易な、データ提供システムを実現することができる。
以下、本発明の実施の形態について図面を参照しながら説明する。図1は本実施の形態によって開示される通信媒介装置110と、該通信媒介装置を介して情報を提供するデータ提供装置100と、該通信媒介装置110を介して該データ提供装置100によって提供される情報を利用するクライアント120とを含むシステム構成例を示している。
データ提供装置100の通信手段101は、前記通信媒介装置110など外部の装置との通信インターフェイスを提供する。記憶手段102はデータ提供装置100が使用する情報を記憶する。計算手段103は、外部から特定の計算処理要求があった場合や、認証手段104が外部装置の認証を行なうときに、その認証情報をデータ提供装置内部で計算したりする場合に利用される。必要に応じて、計算手段103は、暗号計算用の専用演算装置を含んでもよい。認証手段104は、通信手段101を介して通信される外部装置が、後に続く処理要求や、データの提供要求に対する権限を有する装置かどうかを検証する。また、該認証手段104は、データ提供装置100と直接、あるいは間接的に通信する装置の利用者を認証するために用いられることもありうる。たとえば、利用者によって入力されたパスワードやPIN(Personal Identification Number)などを検証し、当該利用者が、データ提供装置100の特定処理を行なうことのできる正規の利用者であるか否かを検証することができる。鍵管理手段105は、認証手段104が行なう認証処理において用いられる認証鍵と、その認証処理によって利用可能とみなすことのできる情報や計算処理とを対応付けて管理する。ここでいうところの認証鍵とはPINやパスワードなどの固定的な認証情報やチャレンジ・レスポンス方式の認証で用いられる暗号鍵など、認証処理における認証情報を求めるために用いられる情報すべてを含む。
なお、セキュリティの精度を高めた認証を行なうために、本実施形態におけるデータ提供装置100は、クライアント(端末)120、通信媒介装置(中継装置)110から認証を求められる認証処理の毎に、異なる認証情報をクライアント(端末)120、通信媒介装置(中継装置)110に対して要求する。
通信媒介装置110はデータ提供装置100とクライアント120との間に立って、両者の情報通信を媒介する装置である。第一の通信手段111はデータ提供装置100との通信インターフェイスを提供する。第二の通信手段112はクライアント120との通信インターフェイスを提供する。通信手段111および112はそれぞれ、複数の装置に対する通信インターフェイスを提供してもよい。通信管理手段113は、通信手段111と通信手段112とを経由してデータ提供装置100と、クライアント120との間で行なわれる通信を監視することができる。後述するが、たとえばクライアント120がデータ提供装置100に受けた認証処理を検出し、その認証結果を、認証状態管理手段115に通知することができる。
計算手段114は通信媒介装置110自身がデータ提供装置100による認証を受けるときに、その認証処理のための認証情報を計算するために用いられる。認証状態管理手段115は、通信手段112を介して通信するクライアント毎に、それぞれのクライアントが成功している認証処理について記憶する。鍵管理手段116は、通信媒介装置110がデータ提供装置100で用いられる認証鍵を一時的に変更するとき、変更した認証鍵の情報を管理する。このような認証鍵の変更処理については後述する。
キャッシュ117は、データ提供装置100からクライアント120に対して提供された情報が計算結果などでなく、固定的なデータである場合、以降クライアント120が、再度同じ情報を提供するようにデータ提供装置100に対して要求していることを検出した場合に、データ提供装置に改めて要求することなく、代わって提供するためのデータを記憶する。なお、通信媒介装置110には、キャッシュ117に記憶されているデータが要求されているデータに利用できるデータか否かを判断する機能を備えている。このようにすることで、データ提供装置との通信にかかわる時間を短縮でき、処理効率が向上する。
クライアント120は通信媒介装置110を介してデータ提供装置100から受け取った計算結果、あるいは蓄積データを利用してなんらかの処理を行なう装置である。通信手段121は通信媒介装置110との通信インターフェイスを提供する。鍵管理手段122は、クライアント120がデータ提供装置100による認証処理を行なうときにその認証処理のための認証情報を計算するために用いられる認証鍵を記憶する。実際の計算は、この認証鍵を用いて、計算手段123によってなされる。なお、通信媒介装置110は複数のクライアント120によるデータ提供装置100へのアクセスを媒介し、すべて把握することのできる装置である。
本実施の形態においては、データ提供装置100である耐タンパ性を備えたトークンデバイスと、それによって提供される情報を利用するクライアント120である端末との間に立って、その中継を媒介する通信媒介装置110である中継装置との例で以下説明する。より具体的な例としては、家族間で共有されるスマートカードに対して、スマートカードのリーダ・ライタを備える家庭内のサーバを介して、携帯電話などの携帯端末からアクセスして、スマートカードを利用した処理を行なうといった利用シーンが考えられる。
本実施の形態においては、図1のデータ提供装置100がスマートカードであり、通信媒介装置110が家庭内のサーバであり、クライアント120が携帯電話などの携帯端末である。前記サーバは、携帯端末に対してスマートカードが行なった認証情報を記憶、管理し、スマートカードが管理可能なセッション数(アクセス数)以上の携帯端末がスマートカードを同時に使用する場面においても、矛盾のない認証状態を再現する。
一般的なスマートカードとは、一口でいうと、ICを搭載したカードであり、メモリだけのカードもあるが、本実施例においては、CPU、ROM、RAM、フラッシュメモリなどが搭載され、カード内に記憶された鍵値を用いた暗号処理を行ない、カードから鍵データを取り出すことなく処理結果を提供できるものである。
さらに一般的なスマートカードについて説明すると、クレジットカード、銀行のキャッシュカード、電車の乗車券、さらにはセキュリティ分野などと、ここ数年で本格的な導入が始まったところである。具体的に例示すると、民間分野では、旅客鉄道会社の「Suica(商標)」、電話会社の「(IC)テレホンカード(他文字との組合せ商標)」、民間会社の「Edy(商標)」、「FeliCa(商標出願中)」などであり、公的分野では、住民基本台帳カードがある。
行政での電子署名サービス、公的個人認証サービスなど印鑑登録制度を電子化して、個人の身元をスマートカードを使って確認するシステムで、社会の仕組み自体を大きく変えることが期待されている。マルチアプリケーションカードの実用化が進み、たとえば住民基本台帳カードが、行政連携カードとしても利用できるようになり、1枚のカードが多目的に使えるようになることが予測されている。また、「スマートカードはインターネットで自由と安全を保障する際の、安全のキーデバイスになる」として、スマートカードの社会的な重要性が訴えられている。
次にトークンデバイスについて説明する。トークンとは、セキュリティ保護機能のためのユーザ認証データを格納したデバイスであり、証明書を格納して持ち運びのできる認証デバイスであるため、USBメモリに埋め込まれたUSBトークンやスマートカードに埋め込まれたトークンがある。これらトークンを対象者が持ち物として携帯できる。また、標準のUSBポートに接続できたり、CD−ROMドライブで利用できる。なお、セキュリティの精度を高めた認証を行なうために、通常は2つの認証方式を併用されることが多い。たとえばトークンと共に、ID/パスワードや対象者の身体の特徴(たとえば虹彩認識)を利用した確認が併用される。
具体例で説明すると、民間会社の認証トークンの広告によると、「パスワード入力と同様のシンプルな操作でありながら、より高度なセキュリティを実現する。エンド・ユーザーの一人一人に配布された認証トークンは、ユーザーごとにすべて異なる予測不可能かつ1回限り有効なコードを60秒毎に生成する。ネットワークにログオンするときに、このコードと暗証番号(PIN)を入力すると、パスコードが生成される。管理サーバは、このパスコードを参照してユーザーの認証を行ない、ネットワークへのアクセスを許可する。ユーザーにとって必要な操作はわずか数ステップと、パスワード入力の場合とほとんど変わらず、ユーザー認証処理は瞬時に確立される。」などと記載されている。
また、別の認証トークンの広告によると、「新しいコードを60秒毎に生成する強力なアルゴリズムと連結した64ビットの固有の「シード値」を備えている。ユーザーと認証トークンの組み合わせに対して、どの数値がその時点で有効であるかを認識しているのは、管理サーバだけであり、この数値は動的に割り当てられているため、不正アクセスをしようにも特定時点に正しい数値を推測することは事実上不可能である。認証トークンと管理サーバは、時間同期式により高水準のセキュリティが保証されていて、不法改造や複製が不可能な堅牢な設計となっている。」と記載されている。
公開鍵暗号であるRSA暗号は、一方の鍵(A)を使って暗号化を行ない、もう一方の鍵(B)をもってのみ復号化できるという概念であり、逆にもう一方の鍵(B)で暗号化した暗号文は、一方の鍵(A)でしか復号できない。そこで、一方の鍵(A)を世界に公開し、送信者にその鍵を使って暗号化して送ってもらい、自分だけの秘密にしてあるもう一方の鍵(B)を使って復号する。これによって、送信者・受信者間で共通な鍵を用いる共通鍵暗号のように事前に当事者間で秘密の共通の鍵を伝え合っておく必要がなくなる。
次に、図2と図3を参照して、一時的な認証鍵の設定処理について説明する。図2はこの一時的な認証鍵の設定処理のフローチャートを示す。一方、図3はこの処理のシーケンス図である。以降、説明の記載において、参照する図2、図3中のメッセージや処理、処理ステップを括弧内に記載する場合がある。たとえば、(S201)と書いたときには、図2に描かれているステップS201を指し、(チャレンジ要求301)と書いたときには、図3に「チャレンジ要求301」と描かれているメッセージを指している。
一時的な鍵の設定処理は、クライアントのスマートカードによる認証処理(S201)から始まる。この認証処理は、本実施形態の中継装置が存在しない場合においても、当該スマートカードを利用する端末が、特定の蓄積データ、あるいはスマートカード上の計算資源を利用するために必要とされる認証処理である。当該認証処理は、ユーザが端末に入力した認証情報(クライアントからの認証情報)が妥当なものであるかスマートカードがスマートカード内に記憶している認証情報と照合し検証することによって行なわれる。この検証は単なるデータの照合のみならずスマートカード上の計算資源による演算処理の結果を照合することをも含むものである。認証鍵が一時的であるとは、上記認証鍵の変更を含む、スマートカードとクライアント間の一連の通信において有効であるということである。中継装置とスマートカードとの間、あるいは中継装置とクライアントとの間の通信が途絶えたときなどには無効となり、元の認証鍵に戻される。
たとえば、一般的なスマートカードの場合、この一時的な認証鍵を揮発性RAM(Random Access Memory)に記憶しておけば、電源の供給が無くなったり、リセット操作が行なわられたりして通信が途絶えたときに、揮発性RAMに記憶されていた一時的に変更された認証鍵が記憶から消去され、元の認証鍵に復元されるなどのように実装することができる。以下、このような一時的に変更された認証鍵を一時認証鍵と言うことがある。
図3にはチャレンジ・レスポンス方式の認証処理を行なう場合のメッセージが示されている。まず、クライアントはスマートカードに対して、認証情報を生成するために用いられるチャレンジデータを要求する。具体的には、クライアントはチャレンジ要求301のメッセージを中継装置に送信する。この送信を媒介し、中継装置はチャレンジ要求301’のメッセージをスマートカードに送信する。スマートカードは受信したチャレンジ要求301’のメッセージに応じてチャレンジデータを返信する。具体的には、スマートカードはチャレンジ返信302のメッセージを中継装置に返信する。この返信を媒介し、中継装置はチャレンジ返信302’のメッセージをクライアントに返信する。クライアントは受信したのチャレンジ返信302’のメッセージに記載されたチャレンジデータを用いて認証情報を計算し(レスポンス計算303)、スマートカードに送信する。具体的には、クライアントはレスポンス返信304のメッセージを中継装置に送信する。この送信を媒介し、中継装置はレスポンス返信304’のメッセージをスマートカードに送信する。スマートカードは受信した認証情報が妥当なものであるか検証し(照合305)、認証処理の成否を決定する。ここで、認証情報の検証(照合305)は、認証情報(レスポンス返信304’の内容)が、所定の認証鍵(スマートカードが予めクライアントに与えている認証鍵)に基づくものか否か、スマートカードからチャレンジ返信302で与えたチャレンジデータを用いて計算されたものか否かを検証する。そして、所定の認証鍵に基づくものであり、与えたチャレンジデータを用いて計算されたものと確認された場合に、スマートカードは請求された認証を成立させる。
なお、中継装置はクライアントからのチャレンジ要求301〜スマートカードからの照合結果通知306の通信を媒介するため、クライアントの認証鍵を一時的に知ることもあり得る。しかし、中継装置は、たとえクライアントの認証鍵を知り得たとしても、その認証鍵を鍵管理手段116、キャッシュ117などに記憶させることはしない。記憶させれば、その記憶が第三者に盗まれる可能性が生じ、セキュリティが低下する心配があるからである。
認証処理の結果は中継装置に通知する(照合結果通知306)が、中継装置はこの認証結果を検出し(S202)、確認する(S203)。認証処理の結果が成功であった場合(S203でYes)には、中継装置は、当該クライアントに対して管理している、認証状態に関する情報を更新し(S204及び認証状態更新307)、結果をクライアントに転送する(照合結果通知308)。それに引き続いて中継装置は、スマートカードによる中継装置自身の認証処理を行なう(S205)。図3にはこの認証処理にかかわるメッセージについても示されているが、クライアントの認証(S201)と同様に、チャレンジ・レスポンス方式を用いるものと想定して書かれているので、そこで交わされるメッセージもまた同様である。すなわち、中継装置はスマートカードにチャレンジデータを要求し(チャレンジ要求309)、スマートカードはチャレンジデータを中継装置に返信し(チャレンジ返信310)、中継装置は受取ったチャレンジデータを用いて計算し認証情報を作成する(レスポンス計算311)。中継装置はこの認証情報をスマートカードに送信すると(レスポンス返信312)、スマートカードはこの認証情報を検証し(照合313)、結果を中継装置に通知する(照合結果通知314)。なお、認証情報の検証(照合313)は、認証情報(レスポンス返信312の内容)が、所定の認証鍵(スマートカードが予め中継装置に与えている認証鍵)に基づくものか否か、スマートカードからチャレンジ返信310で与えたチャレンジデータを用いて計算されたものか否かを検証する。そして、所定の認証鍵に基づくものであり、与えたチャレンジデータを用いて計算されたものと確認された場合に、スマートカードは請求された認証を成立させる。
当然、先の認証処理における認証鍵はクライアントとスマートカードとの間でのみ共有されているものであり、後者の認証処理における認証鍵は、スマートカードと中継装置との間でのみ共有されているものである。これらの認証鍵を如何にして共有するかは本実施形態の範囲ではない。スマートカードが発行されるときに、予め書き込まれているなど、何らかの方法で認証鍵の共有が済んでいるものとする。この認証処理においてスマートカードは、直前に行なったクライアントの認証処理と、中継装置の認証処理とを対応付けて認識し、前記クライアントが行なった認証処理において用いられる認証鍵の一時的な変更を、そのクライアントの認証処理と、中継装置の認証処理との直後に引き続き要求された場合に限って受け入れる。
一時認証鍵の設定処理(認証鍵の一時的変更処理)の成功が通知される(鍵変更通知317)と、中継装置は、上記クライアントが行なった認証処理において用いられる認証鍵を一時的に変更する(S206、一時鍵と認証状態の設定318)。より詳細には、上記中継装置の認証直後にスマートカードに認証鍵の変更を要求すると(鍵変更要求315)、スマートカードはこの要求に応えて認証鍵を変更し(鍵の設定316)、変更が完了したことを中継装置に通知する(鍵変更通知317)。
ここで、認証鍵の変更を要求するメッセージである鍵変更要求315は、クライアントの認証処理の間に交わされるメッセージ(チャレンジ要求301、チャレンジ返信302、レスポンス返信304および照合結果通知306)から決定することができる場合がある。認証処理に用いられる認証鍵の種類などにより、その認証鍵を変更するためのメッセージが異なることが考えられ、そのような場合、中継装置は上記認証処理の間に交わされるメッセージから、認証鍵の種類や認証処理の手続きを知ることができる。たとえば、PINの認証を行なうためのメッセージが送信されていれば、その認証鍵がPINであり、PINを変更するためのメッセージである鍵変更要求315が送信される。あるいは共通鍵暗号などを用いたチャレンジ・レスポンス方式の認証の場合、鍵変更要求315にはその鍵値を変更するためのメッセージが用いられるといった具合である。
また、スマートカードは中継装置からの認証鍵を変更したいとの鍵変更要求315のメセージを受け、スマートカードが変更した後の認証鍵を何にするかとその鍵の内容を設定して決定している(鍵の設定316)。しかし、中継装置からスマートカードに鍵変更要求315を送る際に、その鍵変更要求315のメッセージの中に、中継装置が変更した後の認証鍵を何にするかとその鍵の内容を設定しておき、スマートカードにはその設定した鍵への変更承認を求めることにしてもよい。つまり、変更した後の認証鍵を何にするかはスマートカードが決定することにしてもよいし、中継装置が決めることにしてもよい。
ところで、中継装置は上記のようにしてクライアントの認証が成功した時点で、他のクライアントから、あるいは同じクライアントから、別の処理要求を受け取っているかもしれない。しかし、そのような場合でも、他のいかなる要求処理に先んじて中継装置自身の認証と、一時的な認証鍵の設定が行なわれることが望ましい。逆に、クライアントの認証から一時的な認証鍵の設定までが続けて行なわれない限り、スマートカード側はこの認証鍵の変更を許さないことが望ましい。このようにすることで、スマートカードは、クライアントが中継装置を媒介して行なった認証処理と、中継装置の認証処理、さらに後続する認証鍵の変更要求とを容易に関連付けることができる。不正な装置を用いてこのスマートカードが使用されるとき、後続する処理要求に対する実装の不具合などにより、認証鍵の変更のための認証情報の生成を容易にするための情報が、スマートカードから取り出されたりする可能性が考えられ、スマートカードのセキュリティ強度を下げてしまうかもしれないからである。
なお、上記の変形態様として、先ずスマートカードに対する中継装置自身の認証処理を成功させておいてから、スマートカードに対するクライアントの認証処理を中継装置が媒介して成功させ、そのクライアントの認証処理成功の直後に、引き続き、中継装置からのスマートカードに対するクライアントの認証鍵の一時認証鍵への変更請求が為された場合にのみ、スマートカードは一時的な認証鍵の設定(一時認証鍵への変更)を認めることにしてもよい。上記において、「直後」あるいは、「続けて行なう」、「引き続き(為す)」とは、クライアント(通信装置)からのスマートカード(データ提供装置)に対する認証の請求に対し適正である旨の認証をスマートカードの認証手段が行なう認証許可判定処理と、その後に、中継装置(通信媒介装置)からの当該クライアントの一時認証鍵への変更請求をスマートカードが受付ける受付処理とが、連続して行なわれた場合の意である。
また、ここで、上記照合結果の通知のメッセージである照合結果通知308は、認証鍵の変更が成功するまで保留されてもよい。先に通知してしまうと、実際には一時的な認証鍵の設定に失敗して、中継装置がこの後、一時的な認証鍵の設定認証処理を成功させることができなくなることがある。クライアントは、必要な認証処理はすでに成功しているものと理解して、その認証処理によって利用可能となるはずの処理を中継装置を介してスマートカードに対してアクセスの要求をするが、それらの要求は失敗してしまう。したがって、実際に一時的な認証鍵の設定が成功した場合にのみ、認証処理が成功したものとしてクライアントに通知し、そうでない場合には、認証処理が失敗したものとしてクライアントに通知するなどとしてもよい。あるいは、それらのいずれでもないメッセージによって、以降の処理要求が失敗するかもしれないことをクライアントに通知してもよい。こうして一時的な認証鍵の設定が完了すると、中継装置は、この認証鍵の変更と対応する認証処理を関連付けて記憶する(S207および一時鍵と認証状態の設定318)。
以上で一時的な認証鍵の設定処理は完了するが、その後、同じ論理チャネルで、別のクライアントの要求を処理するなどのために、上記、先のクライアントが行なった認証処理によって得られた認証情報が、スマートカード上でクリアされてしまうことがあったとする。また、先のクライアントと同じクライアントが、同じ論理チャネルで別のアプリケーションを使用するための認証を要求し、その認証が認められた場合であっても、上記、先のクライアントが先のアプリケーションを使用するための認証処理によって得られた認証情報が、スマートカード上でクリアされてしまうことがある。なお、同じクライアントが、同じ論理チャネルで同じ対象(アプリケーションなど)を使用するための認証を再度要求し、その認証が認められた場合も、当該クライアントが先の認証処理によって得られた認証情報が、スマートカード上でクリアされてしまうことがある。
このような場合に先の認証処理を行なったクライアントが、その認証処理を必要とする処理要求をスマートカードに対して行なったとしても、クライアントが行なった認証処理によって得られた認証情報は既に、スマートカード上でクリアされているため、この処理要求は再度認証処理から始めなければスマートカードに受け入れられない。このような場合に中継装置が、上記一時的な認証鍵を用いてスマートカードに対して認証処理を実行する。こうすることで、本来認証処理を済ませているはずのクライアントが再度認証処理を行なうことなく、目的とする処理を実行できるようにする。そのためには、中継装置は、該一時的な認証鍵の値とともに他のいくつかの情報を記憶しておく必要があるかもしれない。
図4には、そのような情報とともに記憶される一時的な認証鍵の管理表の例が示されている。最初の列、「認証対象401」には、認証条件が記録されている。ここでは、一時的な認証鍵を設定した認証の対象を示している。言い換えると、当該認証処理がどのようなリソースの範囲に対して影響を及ぼすものなのか、あるいは当該認証処理の対象は何であるのかを記録している。たとえば、スマートカード上のどの領域にあるリソースに対するものであるのか、あるいは、スマートカード上のどのアプリケーションに対するものであるのか、などといった具合である。また、スマートカードによっては、認証処理に先立って、認証鍵の設定など、特定の準備手順を踏まなければならないこともあり、そのような場合にはこの特定の準備手順もあわせて記憶するとしてもよい。
次の2列(「一時鍵402」と「アルゴリズム403」)には、上記のとおり設定した一時的な認証鍵と、その認証鍵を用いて認証情報を生成するための規則が記録されている。ところで、中継装置が上記一時的な認証鍵を用いて能動的に認証処理を行なうためには、そのタイミングを決定するための条件が必要である。つまり、クライアントからどのような要求があったときに認証処理を行なう必要があるのかを判断する必要がある。また、逆に、どのような処理を行なったあとで、スマートカードの認証状態をクリアしなければならないのかを判定する必要もある。なぜなら、あるクライアントの認証処理によって充足された認証条件が設定されている処理要求があるとする。スマートカードはその後に受け取る処理要求がどのクライアントからのものであるのか判別できないので、別のクライアントから当該処理が要求された場合も、これを受け入れてしまうからである。
もし、中継装置がスマートカード上のアプリケーションやリソース、およびそれらに対して必要な認証条件についての情報を予め知ることができるのであれば、それを用いて判断すればよい。また、スマートカード上の特定のリソースに対して必要な情報をスマートカード上に記憶させるときに使用する標準フォーマットとして、たとえばRSA Security社のPKC#15の仕様が知られている。このように使用された標準フォーマットによる情報をスマートカードから取り出して利用する場合も考えられる。さらに、未知の認証条件が設定されているカードに対して、限られた情報からそれを推察することができる場合もある。たとえば、現在の多くのスマートカードがそうであるように、スマートカードの記憶単位がファイルである場合、それぞれのファイルに対して別々の認証条件が設定されている場合、クライアントが、これらのリソースにアクセスするために認証処理を行なうのは、通常、そのリソースにアクセスする直前であることから、認証処理を成功させた同じクライアントからの後続するメッセージを観測することで、認証の対象となるリソースを推定することができる。
また、別の例として、要求する処理の種類によって認証条件が設定される場合もある。スマートカードに電子署名の計算を行なう場合の認証条件、バイナリファイルの読み出しを行なうための認証条件、といった設定がされている場合である。そのようなわけで図4では、認証処理に続いて同じクライアントから要求された処理の内容(「次命令404」)と、その処理の対象となったスマートカード上のリソース(「対象リソース405」)とをあわせて記憶する例が示されている。より簡単な例では、あるクライアントから処理要求があったときに、あるクライアントによって活性化されているアプリケーションに対して、その活性化要求以降に行なわれた認証をすべて活性化させ、異なるクライアントからの要求を処理する場合には、一度すべての認証状態をクリアした後、同様にして認証処理を行なうなどとしてもよい。
また、このような記憶情報をもとに、認証処理を行なうタイミングを推定する場合には、1度の認証だけでなく複数の履歴から推定するようにしてもよい。たとえば、図4中には、認証の対象が同じで、後続する処理要求も同じであるが、別のクライアントによって行なわれた認証処理が記録されている(411および412参照)。このような履歴を見つけることができれば、該当する認証処理は、その認証対象に対する署名計算のために行なわれるものであることがわかる。したがって、後で、クライアント2あるいはクライアント1のいずれかが認証対象DF1に対して署名計算を要求することを検出すると、中継装置は自動的に一時認証鍵である共通鍵値1を用いて認証処理を成功させ、署名の生成処理をスマートカードに実行させる。ただし、ここに書かれた記憶情報の例は一例であり、後に続く処理要求に際して、中継装置が予め知ることのできる情報以外に、認証処理を行なうタイミングやスマートカードの認証状態をクリアするタイミング、認証処理の手順を決定できる情報であれば何でもよい。
中継装置がスマートカードと同じ論理チャネルを用いて、別の認証(たとえば別のクライアントの認証や同じクライアントであっても、別のリソース、別のアプリケーションを使用するための認証)を求める際には、中継装置は先に成立している認証のスマートカードにおける記憶をクリアしなければならない場合がある。しかし、先に認証を成功させたクライアントと中継装置間、中継装置とスマートカード間の通信路(論理チャネル)は有効に作動している場合に、クライアントが先に成立させた認証に基づいてスマートカードとのアクセスを要求する場合が考えられる。スマートカードにおける認証の記憶がクリアされている場合は、中継装置の認証状態管理手段115に記憶されている認証の履歴により、同じ論理チャネルを用いて、上述の別の認証を行なったためなどでスマートカードにおける認証の記憶がクリアされているものの、先に認証が成立していることが確認されれば、中継装置は先に設定している一時認証鍵を用いて、スマートカードに当該クライアントが要求する処理を行ない得るように、スマートカードに対する認証を請求して、必要な認証状態を取得する。このようなことのために、中継装置の認証状態管理手段115は、クライアント毎にスマートカードによる各認証成立の履歴とスマートカードにおける認証状態の記憶状態とを関連付けて管理している。
また、別の実施形態として、クライアントからスマートカードに対する要求が失敗したときにはじめて、中継装置において管理される当該クライアントの認証状態が、その処理を行なうのに十分であるかどうかを検査し、十分であると判断されたときに、一時的な認証鍵を用いた認証処理を行なうとしてもよい。この場合、中継装置はそれぞれの処理要求に対して必要となる認証条件を予め知っている必要があるのだが、たとえば、1つのアプリケーションのために提供される資源が、すべて1つの認証処理によって制限されている場合など、このように単純な手法を用いても有用な場合がある。ちょうど図6を用いて説明した前述の例がそうである。
次に、実際に中継装置がクライアントに代わって認証処理を行なう手順について説明する。あるクライアントが中継装置を介してスマートカードとの間で認証処理を行なった後、他のクライアントの処理などによって上記認証処理によって得られた認証状態がクリアされてしまったとき、あるいは、そのほかの理由で中継装置などが、この認証状態をクリアしていたとき、この認証状態を必要とする処理要求を受け取った中継装置は、上記のとおり設定された一時的な認証鍵を用いて認証処理を行ない、本来満たされているべき認証状態を回復する。また、本来満たされているべき認証状態のすべてを回復させずとも、クライアントが中継装置を介してスマートカードに対する処理を要求している内容を行なうのに、必要な範囲での認証処理を行なうことにしてもよい。
図5を参照して、このような認証処理について説明する。クライアントから中継装置に対して、スマートカードに対して処理を要求するメッセージ(アクセス要求501)が届くと、中継装置は、当該クライアントがその時点で取得しているはずのセキュリティ条件と、実際にスマートカードが保持しているセキュリティ条件とが矛盾しないか検査する(セキュリティ条件検査512)。このセキュリティ条件検査512においては、中継装置がスマートカードに対するクライアントの認証鍵の一時認証鍵への変更が完了しているか否かも確認される。その結果、クライアントがすでに満たしているはずの認証条件が、他のクライアントの処理などによってクリアされていることがわかった場合、中継装置は上で説明した一時的な認証鍵を使って認証情報を生成し、スマートカードに対し、クライアントのアクセス要求に必要な認証処理の請求を行ない、クライアントからのアクセス要求に対応するのに必要な範囲の認証状態を満たす。
図5中では、チャレンジ・レスポンス方式の認証処理を行なう例が書かれており、メッセージの流れは、図3中に示されたものと同じである。つまり、図3におけるチャレンジ要求309から照合結果通知314までのメッセージは、図5におけるチャレンジ要求502から照合結果通知507までに書かれているメッセージと同じ役割のものである。なお、認証情報の検証(照合506)は、認証情報(レスポンス返信505の内容)が、所定の認証鍵(スマートカードが中継装置に与えている一時認証鍵)に基づくものか否か、スマートカードからチャレンジ返信503で与えたチャレンジデータを用いて計算されたものか否かを検証する。そして、所定の認証鍵に基づくものであり、与えたチャレンジデータを用いて計算されたものと確認された場合に、スマートカードは請求された認証を成立させる。こうして当該処理要求に対して必要な認証状態にした後、クライアントから要求されたアクセス要求をスマートカードに対して送る(アクセス要求508)。スマートカードはこの処理要求に対する応答を準備し(準備509)、処理結果を中継装置に送り返す(結果返信510)。最後に、中継装置は処理結果をクライアントに対して転送する(結果返信511)。こうして適切な認証状態が回復されると、クライアントは、そのほかのクライアントの処理要求などによって変更された認証状態について意識することなく、スマートカードを利用することができる。
以上の実施の形態において、認証情報生成データ(認証鍵)は各通信装置(クライアント)毎にデータ提供装置(スマートカード)から与えられる。具体的には、データ提供装置(スマートカード)を管理する会社などの組織が各通信装置(クライアント)を使用するユーザに認証情報生成データ(認証鍵)を外部から書き込み記憶させたカードを発行する形態をとることが多い。各通信装置にデータ提供装置が認証を許可する際に、送付されてきた認証情報が、その通信装置に与えた認証情報生成データに基づいて作成されているか否かを判断し、基づいていると判断された場合に、認証を認めている。たとえば、銀行の預金現在額などは、その通信装置(クライアント)あるいは当該通信装置を使用してデータ提供装置にアクセスするユーザの個人秘密情報であり、第三者に開示されては困る情報である。このような場合は、セキュリティを確保する必要がある。セキュリティの精度を高めた認証を行なうために、先に説明したように2つの認証方式を併用することも多い。
また、一面、その通信装置(クライアント)あるいは当該通信装置を使用してデータ提供装置にアクセスするユーザの個人秘密情報ではなく、単にデータ提供装置のリソースから或る情報を取り出したい場合、データ提供装置のリソースを用いて或る演算を行なわせその結果を取り出したい場合、つまり、データベースを利用する場合などは、各通信装置毎に与えている認証情報生成データ(認証鍵)との照合は、その通信装置がデータ提供装置のリソースを使用する権限を与えられているものか否かを判断するに過ぎない場合もある。また、データ提供装置が使用するリソースや、アプリケーション毎に認証情報生成データを設定し、そのリソースや、アプリケーションを使用するためには、設定されているその対象の認証情報生成データを用いた認証情報を送付することが必要な場合がある。このような場合に、通信媒介装置(中継装置)が別認証情報生成データ(一時認証鍵、代理認証鍵)をデータ提供装置から受けておき、この別認証情報生成データを用いて各通信装置の代わりにデータ提供装置にアクセスすることを可能とするものでもある。
データ提供装置は、認められた別認証情報生成データに基づいて認証情報を作成し代理でアクセス請求してくる通信媒介装置に対し、その別認証情報生成データが当該通信装置あるいは当該通信装置を使用してアクセスしてくるユーザに与えた認証情報生成データを一時的に変更することを認めた別認証情報生成データであるか否かを確認する。データ提供装置のリソースから或る情報を取り出したい場合、データ提供装置のリソースを用いて或る演算を行なわせその結果を取り出したい場合、データ提供装置のアプリケーションを用いる場合などに、そのリソースや、アプリケーション毎に認証情報生成データを与えている場合は、その与えられたリソースや、アプリケーション毎の認証情報生成データを一時的に変更することを認めた別認証情報生成データであるか否かを確認する。
データ提供装置は、別認証情報生成データへの変更を認める際に、通信装置の認証請求とその認証請求に対し適正である旨の認証あるいは、通信装置とともにリソースや、アプリケーションの認証請求とその認証請求に対し適正である旨の認証、通信媒介装置自身の認証請求とその認証請求に対し適正である旨の認証、通信装置の別認証情報生成データへの変更請求あるいは、リソースや、アプリケーションの別認証情報生成データへの変更請求が連続して請求された場合に限り、別認証情報生成データへの変更を認めている。なお、通信媒介装置が1つしか存在せず、必ずその通信媒介装置が各通信装置とデータ提供装置との通信を媒介する場合は、通信媒介装置自身の認証請求は連続して請求されずとも、それ以前に認証されていてもよい。しかし通信媒介装置が複数存在する場合は、どの通信媒介装置に別認証情報生成データを許可するのかを関連付けさせるために、上記のように通信媒介装置自身の認証請求も連続して請求させる方が好ましい。
このように一時的に認められる別認証情報生成データは、変更される対象が通信装置の認証情報生成データなのか、リソースや、アプリケーションの認証情報生成データなのかを、データ提供装置や通信媒介装置は、連続して行われる認証処理から関連付けることができる。不正な装置を用いてデータ提供装置が使用されデータ提供装置のセキュリティ強度を下げてしまうおそれを少なくするために、途中に他の処理を割り込ませず、短時間のうちに別認証情報生成データへの変更を認めてしまうのである。認証情報生成データを別認証情報生成データへ変更可能な中間的な状態のまま置かずに、すぐに置き換えてしまうのである。
認めた別認証情報生成データがいつまでも有効であっては、セキュリティ強度を下げてしまうことも想定されるため、論理チャネル(通信路)が遮断されると無効になるとしている。通信媒介装置はリソースや、アプリケーションの認証情報生成データを変更した別認証情報生成データを取得した後、認証されたいずれの通信装置からの当該リソースや、当該アプリケーションへのアクセス請求を、当該別認証情報生成データを用いて、データ提供装置に代理でアクセスできる。
データ提供装置に認証状態を管理するためのリソースが十分にないために通信装置がすでに満たしているはずの認証条件が、他の通信装置の処理などによってクリアされている場合が考えられる。このような場合に備えて、通信媒介装置が通信装置の認証状態を管理する。
[まとめ]
最後に、特許請求の範囲に記載された内容が実施の形態で裏付けされたことを確認するとともに、特許請求の範囲の解釈を明確にするため、特許請求の範囲の文言に括弧書きで実施の形態で例示した文言や開示根拠を記入しておく。さらに続けて、具体例の作用効果を記入しておく。
(1) 特定の処理を要求する通信装置(図1のクライアント120、図3のクライアント、端末)と、該通信装置の認証を行なう認証手段(図1の認証手段104)を備えたデータ提供装置(図1のデータ提供装置100、図3のスマートカード)と、前記通信装置と前記データ提供装置との間での送受信を媒介する通信媒介装置(図1の通信媒介装置110、図3の中継装置)とからなるデータ提供システムであって、
前記通信装置は、
前記データ提供装置に対する認証請求に際し、前記データ提供装置に送信する認証情報を生成するために用いられる認証情報生成データ(認証鍵)を記憶する認証情報生成データ記憶手段(「鍵管理手段122は、クライアント120がデータ提供装置100による認証処理を行なうときにその認証処理のための認証情報を計算するために用いられる認証鍵を記憶する。」)と、
該認証情報生成データ記憶手段に記憶された認証情報生成データを用いて前記データ提供装置に送信する認証情報を作成する認証情報作成手段(「実際の計算は、この認証鍵を用いて、計算手段123によってなされる。」)と、
該認証情報作成手段が作成した認証情報を用いて前記データ提供装置に対する前記通信装置の認証を請求する通信装置認証請求手段(図3のチャレンジ要求301〜レスポンス返信304)とを備え、
前記通信媒介装置は、
前記データ提供装置に対する前記通信装置が請求する認証が成立したことを検出する認証処理検出手段(図2のS202、S203、「認証処理の結果は中継装置に通知する(照合結果通知306)が、中継装置はこの認証結果を検出し(S202)、確認する(S203)。」)と、
該認証処理検出手段が前記データ提供装置に対する前記通信装置の認証の成立を検出した後に、前記データ提供装置に対し当該通信装置の認証情報生成データ(認証鍵)を、該認証情報生成データとは異なり、且つ、一時的に有効で無効となった後は元の認証情報生成データが復帰して有効になる(「中継装置とスマートカードとの間、あるいは中継装置とクライアントとの間の通信が途絶えたときなどには無効となり、元の認証鍵に戻される。」)別認証情報生成データ(一時認証鍵、一時鍵)へ変更請求する認証情報生成データ変更請求手段(図3の鍵変更要求315)と、
前記データ提供装置に対し前記通信媒介装置自身の認証を求める自己認証請求手段(図3のチャレンジ要求309〜照合結果通知314)と、
前記認証処理検出手段の検出結果に基づいて、前記データ提供装置による認証を受けた通信装置毎に各認証請求に対する認証結果状態を管理可能な通信装置認証状態管理手段(図1の認証状態管理手段115)と、
前記通信装置からの前記データ提供装置に対するアクセス要求(図5のアクセス要求501)があったときに、当該アクセス要求を前記データ提供装置が許可するのに必要な、当該アクセス要求を出した通信装置の認証結果状態が前記通信装置認証状態管理手段により既に認証成立済であると管理されているか否かを判定する認証成立済判定手段(図5のセキュリティ条件検査512、「クライアントから中継装置に対して、スマートカードに対して処理を要求するメッセージ(アクセス要求501)が届くと、中継装置は、当該クライアントがその時点で取得しているはずのセキュリティ条件と、実際にスマートカードが保持しているセキュリティ条件とが矛盾しないか検査する(セキュリティ条件検査512)。このセキュリティ条件検査においては、中継装置がスマートカードに対するクライアントの認証鍵の一時認証鍵への変更が認められているか否かも確認される。」)と、
該認証成立済判定手段により認証が成立済である旨の判定がなされた通信装置の前記データ提供装置に対する認証を請求するために、前記別認証情報生成データへの変更請求に対し前記データ提供装置により変更が認められた後に、前記別認証情報生成データを用いて認証情報を生成する別認証情報生成手段(「中継装置は上で説明した一時的な認証鍵を使って認証情報を生成し、」)と、
前記通信媒介装置の認証が前記データ提供装置に認められた後に、前記別認証情報生成手段により作成された認証情報を前記データ提供装置へ送信して前記通信装置の認証を代わりに請求する代理認証請求手段(図5のチャレンジ要求502〜レスポンス返信505、「クライアントがすでに満たしているはずの認証条件が、他のクライアントの処理などによってクリアされていることがわかった場合、中継装置は上で説明した一時的な認証鍵を使って認証情報を生成し、スマートカードに対し、クライアントのアクセス要求に必要な認証処理の請求を行ない、クライアントからのアクセス要求に対応するのに必要な範囲の認証状態を満たす。」)とを備え、
前記認証手段は、送信されてきた認証を求める通信装置の認証情報が記憶している当該通信装置の認証情報生成データに基づいて生成されているか否かを判断し(図5の照合506、「図3におけるチャレンジ要求309から照合結果通知314までのメッセージは、図5におけるチャレンジ要求502から照合結果通知507までに書かれているメッセージと同じ役割のものである。」「スマートカードはこの認証情報を検証し(照合313)、」)、当該認証情報生成データに基づいて生成されていると判断される場合に当該通信装置の認証を認め、
前記データ提供装置は、
当該通信装置および前記通信媒介装置の認証の成立後に、前記通信媒介装置からの当該通信装置の前記別認証情報生成データへの変更請求に対し該変更を認める別認証情報生成データ許可手段(「上記中継装置の認証直後にスマートカードに認証鍵の変更を要求すると(鍵変更要求315)、スマートカードはこの要求に応えて認証鍵を変更し(鍵の設定316)、変更が完了したことを中継装置に通知する(鍵変更通知317)。」)と、
前記通信媒介装置から送信されてきた認証情報が、変更を認められた通信装置の別認証情報生成データに基づいて生成されているか否かを判断し、当該別認証情報生成データに基づいて生成されていると判断される場合に当該通信装置の前記通信媒介装置による代理認証請求に対して適正である旨の認証を行なう通信媒介装置代理認証許可手段(図5の照合506、照合結果通知507)とを備え、
前記別認証情報生成データ許可手段は、前記通信装置から前記データ提供装置への認証請求に対し前記認証手段が適正である旨の認証を行なった直後に、前記通信媒介装置からの当該通信装置の前記別認証情報生成データへの変更請求が為された場合に限り、前記通信媒介装置による前記通信装置の別認証情報生成データへの変更を許可する(「そのクライアントの認証処理成功の直後に、引き続き、中継装置からのスマートカードに対するクライアントの認証鍵の一時認証鍵への変更請求が為された場合にのみ、スマートカードは一時的な認証鍵の設定(一時認証鍵への変更請求)を認める」)ことを特徴とする、データ提供システム。
このように、データ提供装置は送信されてきた通信装置の認証情報が通信装置の記憶している認証情報生成データに基づいて生成された認証情報であると判断された場合に当該通信装置の認証を行なうため、セキュリティが確保される。また、データ提供装置に対する認証が成立した通信装置からのデータ提供装置に対するアクセス要求を通信媒介装置が検出した場合に、データ提供装置に認証状態を管理するためのリソースが十分にないために通信装置がすでに満たしているはずの認証条件が、他の通信装置の処理などによってクリアされている場合が考えられる。このような場合に備えて、通信装置の認証状態を管理する通信媒介装置が通信装置に代わってデータ提供装置に対する通信装置の認証を取り、通信装置からのアクセス要求に応えることができるようにしておく。このための事前設定としてデータ提供装置に対し通信装置の認証情報生成データを別認証情報生成データに変更請求し、該変更が認められた別認証情報生成データにより生成された認証情報をデータ提供装置に送信して通信装置の認証を代わりに求めることができるようにしておく。このように通信媒介装置がデータ提供装置による認証を受けた通信装置毎に各認証請求に対する認証結果状態を管理するので、データ提供装置に認証状態を管理するためのリソースが十分にない場合でも、多くの通信装置に対して、独立した認証状態の管理を行なうことができる。
別認証情報生成データは、一時的に有効なものであるから、セキュリティの強度を下げることはない。逆に通信媒介装置としては、データ提供装置毎、データ提供装置上のアプリケーション毎、あるいは通信装置毎に存在するかもしれない認証情報生成データを逐一取得したり、それを管理したりする必要がなく、システムの拡張性が向上する。さらに、通信装置が行なった認証処理で用いられた本当の認証情報生成データは、通信媒介装置などに記憶させておく必要がないので、データ提供装置が耐タンパ性を特長とする装置であった場合にも、その利点を損なうことがない。また、無効となった後は元の認証情報生成データが復帰して有効になるものであるから、特に支障はない。たとえばデータ提供装置と通信のある端末(通信装置、通信媒介装置など)すべてに認証情報生成データの変更を通知するといった必要もない。通信装置からの処理要求があり、かつ通信装置毎に管理される認証状態が、実際にデータ提供装置において管理されている認証状態と異なる場合に、通信媒介装置が自ら認証処理を行なって、通信媒介装置が管理する認証状態にすることができるので、通信装置からの処理要求が単純なデータの読み出しなどでない場合でも、たとえば暗号処理などの場合でも、有効である。
データ提供装置による通信装置の認証が成立し、それに引き続き通信媒介装置による通信装置の別認証情報生成データへの変更請求が為された場合に限り、データ提供装置が別認証情報生成データへの変更を許可する。このようにすることで、データ提供装置は、通信装置が通信媒介装置を媒介して行なった認証処理と、後続する認証情報生成データの変更要求とを容易に関連付けることができる。不正な装置を用いてデータ提供装置が使用されるとき、後続する処理要求に対する実装の不具合などにより、認証情報生成データを容易に探すための情報が、データ提供装置から取り出されたりする可能性が考えられ、データ提供装置のセキュリティ強度を下げてしまうかもしれないからである。
(2) 前記通信装置から前記データ提供装置への認証請求に対し前記認証手段が適正である旨の認証を行なった直後に、前記通信媒介装置からの当該通信装置の前記別認証情報生成データへの変更請求が為された場合とは、前記通信装置から前記データ提供装置への認証請求に対し前記認証手段が適正である旨の認証を行なう認証許可判定処理と、その後に、前記通信媒介装置からの当該通信装置の前記別認証情報生成データへの変更請求を前記データ提供装置が受付ける受付処理とが、連続して行なわれた場合である(「上記において、「直後」あるいは、「続けて行なう」、「引き続き(為す)」とは、クライアント(通信装置)からのスマートカード(データ提供装置)に対する認証の請求をスマートカードの認証手段が認めた認証許可判定処理と、その後に、中継装置(通信媒介装置)からの当該クライアントの一時認証鍵への変更請求をスマートカードが受付ける受付処理とが、連続して行なわれた場合の意である。」)ことを特徴とする、(1)に記載のデータ提供システム。
このように、(1)の作用効果に加えて、データ提供装置による通信装置の認証が成立し、それに引き続き通信媒介装置による通信装置の別認証情報生成データへの変更請求が為された場合に限り、データ提供装置が別認証情報生成データへの変更を許可する。このようにすることで、データ提供装置は、通信装置が通信媒介装置を媒介して行なった認証処理と、後続する認証情報生成データの変更要求とを容易に関連付けることができる。不正な装置を用いてデータ提供装置が使用されるとき、後続する処理要求に対する実装の不具合などにより、認証情報生成データを容易に探すための情報が、データ提供装置から取り出されたりする可能性が考えられ、データ提供装置のセキュリティ強度を下げてしまうかもしれないからである。
(3) 特定の処理を要求する通信装置(図1のクライアント120、図3のクライアント、端末)に対し該通信装置の認証を行なう認証手段(図1の認証手段104)を備えたデータ提供装置(図1のデータ提供装置100、図3のスマートカード)と、前記通信装置との間での送受信を媒介する通信媒介装置(図1の通信媒介装置110、図3の中継装置)であって、
前記データ提供装置は送信されてきた前記通信装置の認証情報が前記通信装置の記憶している認証情報生成データに基づいて生成された認証情報であると判断された場合に当該通信装置の認証を行ない(図3の照合305、照合結果通知306)、該認証が成立したことを検出する認証処理検出手段(図2のS202、S203、「認証処理の結果は中継装置に通知する(照合結果通知306)が、中継装置はこの認証結果を検出し(S202)、確認する(S203)。」)と、
該認証処理検出手段が前記データ提供装置に対する前記通信装置の認証の成立を検出した後に当該通信装置の認証情報生成データ(認証鍵)とは異なる別認証情報生成データ(一時認証鍵、一時鍵)により生成された別認証情報を前記データ提供装置に送信して前記通信装置の認証を代わりに求める代理認証請求を可能にするために必要となる事前設定を前記データ提供装置との間で実行する代理認証事前設定手段(通信媒介装置自身の認証(図3のチャレンジ要求309〜照合結果通知314)、認証情報生成データの別認証情報生成データへの変更(図3の鍵変更要求315〜一時鍵と認証状態の設定318))と、
前記認証処理検出手段の検出結果に基づいて、前記データ提供装置による認証を受けた通信装置毎に各認証請求に対する認証結果状態を管理可能な通信装置認証状態管理手段(図1の認証状態管理手段115)と、
前記通信装置からの前記データ提供装置に対するアクセス要求(図5のアクセス要求501)があったときに、当該アクセス要求を前記データ提供装置が許可するのに必要な、当該アクセス要求を出した通信装置の認証結果状態が前記通信装置認証状態管理手段により既に認証成立済であると管理されているか否かを判定する認証成立済判定手段(図5のセキュリティ条件検査512、「クライアントから中継装置に対して、スマートカードに対して処理を要求するメッセージ(アクセス要求501)が届くと、中継装置は、当該クライアントがその時点で取得しているはずのセキュリティ条件と、実際にスマートカードが保持しているセキュリティ条件とが矛盾しないか検査する(セキュリティ条件検査512)。このセキュリティ条件検査においては、中継装置がスマートカードに対するクライアントの認証鍵の一時認証鍵への変更が認められているか否かも確認される。」)と、
該認証成立済判定手段により認証が成立済である旨の判定がなされた通信装置の前記データ提供装置に対する認証を請求するために、前記別認証情報生成データを用いて認証情報を生成する別認証情報生成手段(「中継装置は上で説明した一時的な認証鍵を使って認証情報を生成し、」)と、
該別認証情報生成手段により作成された認証情報を前記データ提供装置へ送信して前記通信装置の認証を代わりに請求する代理認証請求手段(図5のチャレンジ要求502〜レスポンス返信505、「クライアントがすでに満たしているはずの認証条件が、他のクライアントの処理などによってクリアされていることがわかった場合、中継装置は上で説明した一時的な認証鍵を使って認証情報を生成し、スマートカードに対し、クライアントのアクセス要求に必要な認証処理の請求を行ない、クライアントからのアクセス要求に対応するのに必要な範囲の認証状態を満たす。」)とを備えることを特徴とする、通信媒介装置。
このように、データ提供装置は送信されてきた通信装置の認証情報が通信装置の記憶している認証情報生成データに基づいて生成された認証情報であると判断された場合に当該通信装置の認証を行なうため、セキュリティが確保される。また、データ提供装置に対する認証が成立した通信装置からのデータ提供装置に対するアクセス要求を通信媒介装置が検出した場合に、データ提供装置に認証状態を管理するためのリソースが十分にないために通信装置がすでに満たしているはずの認証条件が、他の通信装置の処理などによってクリアされている場合が考えられる。このような場合に備えて、通信装置の認証状態を管理する通信媒介装置が通信装置に代わってデータ提供装置に対する通信装置の認証を取り、通信装置からのアクセス要求に応えることができるようにしておく。このための事前設定としてデータ提供装置に対し通信装置の認証情報生成データを別認証情報生成データに変更請求し、該変更が認められた別認証情報生成データにより生成された認証情報をデータ提供装置に送信して通信装置の認証を代わりに求めることができるようにしておく。このように通信媒介装置がデータ提供装置による認証を受けた通信装置毎に各認証請求に対する認証結果状態を管理するので、データ提供装置に認証状態を管理するためのリソースが十分にない場合でも、多くの通信装置に対して、独立した認証状態の管理を行なうことができる。
通信媒介装置は、別認証情報生成データを用いて認証処理を行なうことができるので、認証情報を固定的なものにする必要がなく、認証処理のセキュリティ強度を下げることがない。逆に通信媒介装置としては、データ提供装置毎、データ提供装置上のアプリケーション毎、あるいは通信装置毎に存在するかもしれない認証情報生成データを逐一取得したり、それを管理したりする必要がなく、システムの拡張性が向上する。通信装置からの処理要求があり、かつ通信装置毎に管理される認証状態が、実際にデータ提供装置において管理されている認証状態と異なる場合に、通信媒介装置が自ら認証処理を行なって、通信媒介装置が管理する認証状態にすることができるので、通信装置からの処理要求が単純なデータの読み出しなどでない場合でも、たとえば暗号処理などの場合でも、有効である。
(4) 前記別認証情報生成データは前記データ提供装置により認められた後に有効(「一時認証鍵の設定処理(認証鍵の一時的変更処理)の成功が通知される(鍵変更通知317)と、中継装置は、上記クライアントが行なった認証処理において用いられる認証鍵を一時的に変更する(S206、一時鍵と認証状態の設定318)。」)となり、所定条件により無効とされた後は元の認証情報生成データが復帰して有効になる(「中継装置とスマートカードとの間、あるいは中継装置とクライアントとの間の通信が途絶えたときなどには無効となり、元の認証鍵に戻される。」)ことを特徴とする、(3)に記載の通信媒介装置。
このように、(3)の作用効果に加えて、別認証情報生成データは、一時的に有効なものであるから、セキュリティの強度を下げることはない。さらに、通信装置が行なった認証処理で用いられた本当の認証情報生成データは、通信媒介装置などに記憶させておく必要がないので、データ提供装置が耐タンパ性を特長とする装置であった場合にも、その利点を損なうことがない。また、無効となった後は元の認証情報生成データが復帰して有効になるものであるから、特に支障はない。たとえばデータ提供装置と通信のある端末(通信装置、通信媒介装置など)すべてに認証情報生成データの変更を通知するといった必要もない。
(5) 特定の処理を要求する通信装置(図1のクライアント120、図3のクライアント、端末)に対し該通信装置の認証を行なう認証手段(図1の認証手段104)を備えたデータ提供装置(図1のデータ提供装置100、図3のスマートカード)と、前記通信装置との間での送受信を媒介する通信媒介装置(図1の通信媒介装置110、図3の中継装置)であって、
前記データ提供装置は送信されてきた前記通信装置の認証情報が前記通信装置の記憶している認証情報生成データに基づいて生成された認証情報であると判断された場合に当該通信装置の認証を行ない(図3の照合305、照合結果通知306)、該認証が成立したことを検出する認証処理検出手段(図2のS202、S203、「認証処理の結果は中継装置に通知する(照合結果通知306)が、中継装置はこの認証結果を検出し(S202)、確認する(S203)。」)と、
該認証処理検出手段が前記データ提供装置に対する前記通信装置の認証の成立を検出した後に当該通信装置の認証情報生成データ(認証鍵)とは異なる別認証情報生成データ(一時認証鍵、一時鍵)により生成された認証情報を前記データ提供装置に送信して前記通信装置の認証を代わりに求める代理認証請求を可能にするために必要となる事前設定を前記データ提供装置との間で実行する代理認証事前設定手段(通信媒介装置自身の認証(図3のチャレンジ要求309〜照合結果通知314)、認証情報生成データの別認証情報生成データへの変更(図3の鍵変更要求315〜一時鍵と認証状態の設定318))とを備え、
該代理認証事前設定手段は、前記データ提供装置に対し前記通信装置の認証情報生成データを前記別認証情報生成データに変更請求する認証情報生成データ変更請求手段(図3の鍵変更要求315)を含み、
前記データ提供装置により変更が認められた前記別認証情報生成データは、一時的に有効で無効となった後は元の認証情報生成データが復帰して有効になる(「中継装置とスマートカードとの間、あるいは中継装置とクライアントとの間の通信が途絶えたときなどには無効となり、元の認証鍵に戻される。」)ことを特徴とする、通信媒介装置。
このように、データ提供装置による通信装置の認証の成立を検出後に、データ提供装置に対する認証が成立した通信装置からのデータ提供装置に対するアクセス要求を通信媒介装置が検出した場合に、データ提供装置に認証状態を管理するためのリソースが十分にないために通信装置がすでに満たしているはずの認証条件が、他の通信装置の処理などによってクリアされている場合が考えられる。このような場合に備えて、通信装置の認証状態を管理する通信媒介装置が通信装置に代わってデータ提供装置に対する通信装置の認証を取り、通信装置からのアクセス要求に応えることができるようにしておく。このための事前設定としてデータ提供装置に対し通信装置の認証情報生成データを別認証情報生成データに変更請求し、認められた別認証情報生成データにより生成された認証情報をデータ提供装置に送信して通信装置の認証を代わりに求めることができるようにしておく。このように通信媒介装置が通信装置の認証状態を管理するので、データ提供装置に認証状態を管理するためのリソースが十分にない場合でも、多くの通信装置に対して、独立した認証状態の管理を行なうことができる。別認証情報生成データは、一時的に有効なものであるから、セキュリティの強度を下げることはない。さらに、通信装置が行なった認証処理で用いられた本当の認証情報生成データは、通信媒介装置などに記憶させておく必要がないので、データ提供装置が耐タンパ性を特長とする装置であった場合にも、その利点を損なうことがない。また、無効となった後は元の認証情報生成データが復帰して有効になるものであるから、特に支障はない。たとえばデータ提供装置と通信のある端末(通信装置、通信媒介装置など)すべてに認証情報生成データの変更を通知するといった必要もない。
(6) 前記代理認証事前設定手段は、前記データ提供装置に対し前記通信媒介装置自身の認証を求める自己認証請求手段(図3のチャレンジ要求309〜レスポンス通信312)を、さらに含み、
該自己認証請求手段による前記データ提供装置に対する前記通信媒介装置の認証の成立後に、前記認証情報生成データ変更請求手段が前記データ提供装置に対する認証が成立した通信装置の認証情報生成データを、通信装置の前記別認証情報生成データに変更請求(図3の鍵変更要求315)することを特徴とする、(5)に記載の通信媒介装置。
このように、(5)の作用効果に加えて、通信媒介装置は、データ提供装置に対する通信媒介装置自身の認証の成立後に、データ提供装置に対する認証が成立した通信装置の別認証情報生成データへ変更請求する。このようにすることで、データ提供装置は、通信装置が通信媒介装置を媒介して行なった認証処理と、通信媒介装置の認証処理、さらに後続する別認証情報生成データへの変更要求とを容易に関連付けることができる。不正な装置を用いてデータ提供装置が使用されるとき、後続する処理要求に対する実装の不具合などにより、認証情報生成データを容易に探すための情報が、データ提供装置から取り出されたりする可能性が考えられ、データ提供装置のセキュリティ強度を下げてしまうかもしれないからである。
(7) 前記認証情報生成データ変更請求手段による変更請求に対し該変更が前記データ提供装置により認められた後に、前記データ提供装置に対する認証が成立した通信装置からの前記データ提供装置に対するアクセス要求を前記通信媒介装置が検出したことを契機として、
前記通信媒介装置が、前記変更が認められた通信装置の別認証情報生成データを用いて認証情報を生成し、該認証情報を前記データ提供装置へ送信して前記データ提供装置に対する前記通信装置の認証を代わりに請求する代理認証請求手段(図5のチャレンジ要求502〜レスポンス返信505、「クライアントがすでに満たしているはずの認証条件が、他のクライアントの処理などによってクリアされていることがわかった場合、中継装置は上で説明した一時的な認証鍵を使って認証情報を生成し、スマートカードに対し、クライアントのアクセス要求に必要な認証処理の請求を行ない、クライアントからのアクセス要求に対応するのに必要な範囲の認証状態を満たす。」)を、さらに備え、
該代理認証請求手段により前記データ提供装置に対する前記通信装置の認証が成立した後に、前記通信媒介装置が前記データ提供装置にアクセスする(図5のアクセス要求508〜結果返信510)ことを特徴とする、(6)に記載の通信媒介装置。
このように、(6)の作用効果に加えて、通信媒介装置は、別認証情報生成データへの変更請求が認められた後に、データ提供装置に対する認証が成立した通信装置からのデータ提供装置に対するアクセス要求を検出した場合に、認められた通信装置の別認証情報生成データを用いて生成した認証情報でデータ提供装置に対する通信装置の認証を代わりに請求し、その認証が成立した後に、データ提供装置にアクセスする。別認証情報生成データを用いてデータ提供装置に対する通信装置の認証を請求するので、認証情報を固定的なものにする必要がなく、認証処理のセキュリティ強度を下げることがない。逆に通信媒介装置としては、データ提供装置毎、データ提供装置上のアプリケーション毎、あるいは通信装置毎に存在するかもしれない認証情報生成データを逐一取得したり、それを管理したりする必要がなく、システムの拡張性が向上する。通信装置からの処理要求があり、かつ通信装置毎に管理される認証状態が、実際にデータ提供装置において管理されている認証状態と異なる場合に、通信媒介装置が自ら認証請求を行なって、通信媒介装置が管理する認証状態にすることができるので、通信装置からの処理要求を行なうのに際し、通信装置に対しては、あたかもカードを占有しているように見せることができ、通信装置の実装者は、他の通信装置の処理などに気を使う必要がない。
(8) 前記データ提供装置と前記通信装置との間で送受信される通信データを取得し、記憶する通信データ記憶手段(図1のキャッシュ117)と、
該通信データ記憶手段に記憶されているデータが前記データ提供装置と前記通信装置とのいずれかの装置に対して送信されるデータとして利用可能か否かを判断するデータ利用可否判断手段(「通信媒介装置110には、キャッシュ117に記憶されているデータが要求されているデータに利用できるデータか否かを判断する機能を備えている。」)とをさらに備え、
該データ利用可否判断手段により利用可能であると判断された記憶データを利用して送信データを作成する(「キャッシュ117は、データ提供装置100からクライアント120に対して提供された情報が計算結果などでなく、固定的なデータである場合、以降クライアント120が、再度同じ情報を提供するようにデータ提供装置100に対して要求していることを検出した場合に、データ提供装置に改めて要求することなく、代わって提供するためのデータを記憶する。」)ことを特徴とする、(3)〜(7)のいずれかに記載の通信媒介装置。
このように、(3)〜(7)のいずれかの作用効果に加えて、通信媒介装置は、データ提供装置と通信装置との間で送受信される通信データを取得して記憶しているため、以降通信装置が、再度同じ情報を提供するようにデータ提供装置に対して要求していることを検出した場合に、データ提供装置に改めて要求することなく、通信媒介装置が記憶しているデータを利用して送信データを作成し、通信装置に提供できる。このようにすることで、データ提供装置との通信にかかわる時間を短縮でき、処理効率が向上する。
(9) 前記認証処理検出手段の検出結果に基づいて、前記データ提供装置による認証を受けた通信装置毎に各認証請求に対する認証結果状態を管理可能な通信装置認証状態管理手段(図1の認証状態管理手段115、「認証状態管理手段115は、通信手段112を介して通信するクライアント毎に、それぞれのクライアントが成功している認証処理について記憶する。」)を、さらに備えることを特徴とする、(5)〜(8)のいずれかに記載の通信媒介装置。
このように、(5)〜(8)のいずれかの作用効果に加えて、データ提供装置による認証を受けた通信装置毎に各認証請求に対する認証結果状態を管理可能であるため、当該通信装置のデータ提供装置による認証状態が、その処理を行なうのに十分であるかどうかを判断できる。
(10) 前記通信装置認証状態管理手段は、前記データ提供装置による認証状態と当該認証状態の前記データ提供装置による記憶状態とを関連付けて管理可能である(「中継装置の認証状態管理手段115は、クライアント毎にスマートカードによる各認証成立の履歴とスマートカードにおける認証状態の記憶状態とを関連付けて管理している。」)ことを特徴とする、(9)に記載の通信媒介装置。
このように、(9)の作用効果に加えて、通信媒介装置は、データ提供装置による認証状態と当該認証状態の前記データ提供装置による記憶状態とを関連付けて管理可能であるため、当該通信装置のデータ提供装置による認証状態が、その処理を行なうのに十分であるかどうかを判断できる。通信装置からのアクセス要求に対して、別認証情報生成データを用いた代理認証請求を行なう必要の有無など当該通信装置の認証状態を確認できる。
(11) 前記通信装置認証状態管理手段は、前記データ提供装置に対し認証を受けた装置がアクセス可能となる範囲をも関連付けて管理可能である(「図4には、そのような情報とともに記憶される一時的な認証鍵の管理表の例が示されている。最初の列、「認証対象401」には、認証条件が記録されている。ここでは、一時的な認証鍵を設定した認証の対象を示している。言い換えると、当該認証処理がどのようなリソースの範囲に対して影響を及ぼすものなのか、あるいは当該認証処理の対象は何であるのかを記録している。たとえば、スマートカード上のどの領域にあるリソースに対するものであるのか、あるいは、スマートカード上のどのアプリケーションに対するものであるのか、などといった具合である。」)ことを特徴とする、(9)に記載の通信媒介装置。
このように、(9)の作用効果に加えて、通信媒介装置は、データ提供装置に対し認証を受けた装置がアクセス可能となる範囲をも関連付けて管理可能であるため、当該通信装置の認証状態が、その処理を行なうのに十分であるかどうかを判断できる。通信装置からのアクセス要求に応じて、別認証情報生成データを用いた代理認証請求を行なう前に通信媒介装置は当該通信装置の認証状態を確認できる。
(12) 前記別認証情報生成データは、前記データ提供装置と前記通信媒介装置との論理通信路か、前記データ提供装置に対する認証が成立した通信装置と前記通信媒介装置との論理通信路かのいずれかの論理通信路が遮断されると無効になる(「中継装置とスマートカードとの間、あるいは中継装置とクライアントとの間の通信が途絶えたときなどには無効となり、元の認証鍵に戻される。」)ことを特徴とする、(5)〜(11)のいずれかに記載の通信媒介装置。
このように、(5)〜(11)のいずれかの作用効果に加えて、別認証情報生成データは、通信装置と通信媒介装置、あるいは通信媒介装置とデータ提供装置間の論理的通信路が切れた時点で、元の認証情報生成データに戻され、一時的に有効なものであるから、セキュリティの強度を下げることはない。さらに、通信装置が行なった認証処理で用いられた本当の認証情報生成データは、通信媒介装置などに記憶させておく必要がないので、データ提供装置が耐タンパ性を特長とする装置であった場合にも、その利点を損なうことがない。また、無効となった後は元の認証情報生成データが復帰して有効になるものであるから、特に支障はない。たとえばデータ提供装置と通信のある端末(通信装置、通信媒介装置など)すべてに認証情報生成データの変更を通知するといった必要もない。
(13) 前記自己認証請求手段または前記代理認証請求手段により、前記データ提供装置に対して認証請求する毎に異なった認証情報(「認証情報とは、1つの認証処理において、認証を受ける側から認証を行なう側へ渡される情報である。」)を送信する(「予め設定された認証処理において、認証処理の毎に異なる認証情報を要求するデータ提供装置」、「なお、セキュリティの精度を高めた認証を行なうために、本実施形態におけるデータ提供装置100は、クライアント(端末)120、通信媒介装置(中継装置)110から認証を求められる認証処理の毎に、異なる認証情報をクライアント(端末)120、通信媒介装置(中継装置)110に対して要求する。」)ことを特徴とする、(7)〜(12)のいずれかに記載の通信媒介装置。
このように、(7)〜(12)のいずれかの作用効果に加えて、通信媒介装置が自己認証請求手段または代理認証請求手段により、データ提供装置に認証請求する毎に異なった認証情報を送信するので、認証処理のセキュリティ強度を下げることがない。
(14) 前記データ提供装置に要求し(図3、「スマートカードにチャレンジデータを要求し(チャレンジ要求309)」)、受取ったデータを用いて演算し、認証請求のための認証情報を作成する通信媒介装置認証情報作成手段(図3、「スマートカードはチャレンジデータを返信し(チャレンジ返信310)、受け取ったチャレンジデータを用いて参照データが計算される(レスポンス計算311)。」)をさらに備え、
前記自己認証請求手段または前記代理認証請求手段により、前記データ提供装置に認証請求を行なう場合は、前記通信媒介装置認証情報作成手段により作成された認証情報であって、前記データ提供装置に認証請求の毎に異なった認証情報(「なお、セキュリティの精度を高めた認証を行なうために、本実施形態におけるデータ提供装置100は、クライアント(端末)120、通信媒介装置(中継装置)110から認証を求められる認証処理の毎に、異なる認証情報をクライアント(端末)120、通信媒介装置(中継装置)110に対して要求する。」)を送信する(図3、「スマートカードにチャレンジデータを要求し(チャレンジ要求309)、スマートカードはチャレンジデータを返信し(チャレンジ返信310)、受け取ったチャレンジデータを用いて参照データが計算される(レスポンス計算311)。このデータをスマートカードに送信すると(レスポンス返信312)、スマートカードはこのデータを検証し(照合313)、結果を中継装置に通知する(照合結果通知314)。」)ことを特徴とする、(7)〜(13)のいずれかに記載の通信媒介装置。
このように、(7)〜(13)のいずれかの作用効果に加えて、通信媒介装置が自己認証請求手段または代理認証請求手段により、データ提供装置に認証請求を行なう場合に、データ提供装置に要求し、受取ったデータを用いて演算し、認証請求のための認証情報を作成し、データ提供装置に認証請求の毎に異なった認証情報を送信するので、認証処理のセキュリティ強度を下げることがない。
(15) 前記通信装置認証状態管理手段は、前記データ提供装置に対する認証が成立した通信装置からの前記データ提供装置に対するアクセス要求を検出した場合(図5、アクセス要求501受信)に、前記検出したアクセス要求が、現時点で前記データ提供装置に受け入れ可能な認証状態であるか否かを判断し(図5、セキュリティ条件検査512)、
前記代理認証請求手段は、当初の認証状態により受け入れ可能であったと判断されるが、前記データ提供装置により、当初の認証状態が既に消去されていると判断された場合に、前記通信装置認証状態管理手段で管理される情報を用いて、前記消去された当初の認証状態を回復するために、前記データ提供装置に対する認証を請求する(図5、「あるクライアントがスマートカードとの間で認証処理を行なった後、他のクライアントの処理などによって上記認証処理によって得られた認証状態がクリアされてしまったとき、あるいは、そのほかの理由で中継装置などが、この認証状態をクリアしていたとき、この認証状態を必要とする処理要求を受け取った中継装置は、上記のとおり設定された一時的な認証鍵を用いて認証処理を行ない、本来満たされているべき認証状態を回復する。」)ことを特徴とする、(9)〜(14)のいずれかに記載の通信媒介装置。
このように、(9)〜(14)のいずれかの作用効果に加えて、通信装置認証状態管理手段は、データ提供装置に対する認証が成立した通信装置からのデータ提供装置に対するアクセス要求を検出した場合に、当初の認証状態により受け入れ可能であったのに、既に消去されていると判断された場合に、消去された当初の認証状態を回復するために、データ提供装置に対する認証を請求する。こうすることで、本来認証処理を済ませているはずの通信装置が再度認証処理を行なうことなく、目的とする処理を実行できるようになる。このように通信媒介装置が通信装置の認証状態を管理するので、データ提供装置に認証状態を管理するためのリソースが十分にない場合でも、多くの通信装置に対して、独立した認証状態の管理を行なうことができる。
(16) 前記通信装置認証状態管理手段は、前記データ提供装置に対する認証が成立した通信装置からの前記データ提供装置に対するアクセス要求を検出した場合(図5、アクセス要求501受信)に、前記検出したアクセス要求が、現時点で前記データ提供装置に受け入れ可能な認証状態であるか否かを判断し(図5、セキュリティ条件検査512)、
前記代理認証請求手段は、当初の認証状態により受け入れ可能であったと判断されるが、前記データ提供装置により、当初の認証状態が既に消去されていると判断された場合に、前記通信装置認証状態管理手段で管理される情報を用いて、前記通信装置からのアクセス要求に対応するのに必要な範囲の前記データ提供装置に対する認証を請求する(図5、「クライアントから中継装置に対して、スマートカードに対して処理を要求するメッセージ(アクセス要求501)が届くと、中継装置は、当該クライアントがその時点で取得しているはずのセキュリティ条件と、実際にスマートカードが保持しているセキュリティ条件とが矛盾しないか検査する(セキュリティ条件検査512)。その結果、クライアントがすでに満たしているはずの認証条件が、他のクライアントの処理などによってクリアされていることがわかった場合、中継装置は上で説明した一時的な認証鍵を使って認証処理を行ない、中継装置は上で説明した一時的な認証鍵を使って認証情報を生成し、スマートカードに対し、クライアントのアクセス要求に必要な認証処理の請求を行ない、クライアントからのアクセス要求に対応するのに必要な範囲の認証状態を満たす。」)ことを特徴とする、(9)〜(14)のいずれかに記載の通信媒介装置。
このように、(9)〜(14)のいずれかの作用効果に加えて、通信装置認証状態管理手段は、データ提供装置に対する認証が成立した通信装置からのデータ提供装置に対するアクセス要求を検出した場合に、当初の認証状態により受け入れ可能であったのに、既に消去されていると判断された場合に、通信装置からのアクセス要求に対応するのに必要な範囲の前記データ提供装置に対する認証を請求する。こうすることで、本来認証処理を済ませているはずの通信装置が再度認証処理を行なうことなく、目的とする処理を実行できるようになる。このように通信媒介装置が通信装置の認証状態を管理するので、データ提供装置に認証状態を管理するためのリソースが十分にない場合でも、多くの通信装置に対して、独立した認証状態の管理を行なうことができる。
(17) 前記データ提供装置と通信装置との通信状況を監視する通信状況監視手段(図1の通信管理手段113、「通信管理手段113は、通信手段111と通信手段112とを経由してデータ提供装置100と、クライアント120との間で行なわれる通信を監視することができる。」)をさらに備え、
該通信状況監視手段が前記データ提供装置に対する認証が成立した通信装置からの前記データ提供装置に対するアクセスの失敗を検知した場合に、前記代理認証請求手段が前記変更請求に対し該変更の認められた通信装置の別認証情報生成データを用いて認証情報を生成し、該認証情報を前記データ提供装置へ送信して、前記データ提供装置に対する前記通信装置の認証を代わりに請求する(「クライアントからスマートカードに対する要求が失敗したときに、中継装置において管理される当該クライアントの認証状態が、その処理を行なうのに十分であるかどうかを検査し、十分であると判断されたときに、一時的な認証鍵を用いた認証処理を行なうとしてもよい。」)ことを特徴とする、(8)〜(14)のいずれかに記載の通信媒介装置。
このように、(8)〜(14)のいずれかの作用効果に加えて、データ提供装置に対する認証が成立した通信装置からのデータ提供装置に対するアクセスの失敗を検知した場合に、代理認証請求手段が前記変更請求に対し該変更の認められた通信装置の別認証情報生成データを用いて認証情報を生成し、該認証情報を前記データ提供装置へ送信して、前記データ提供装置に対する前記通信装置の認証を代わりに請求する。こうすることで、本来認証処理を済ませているはずの通信装置が再度認証処理を行なうことなく、目的とする処理を実行できるようになる。このため、データ提供装置に認証状態を管理するためのリソースが十分にないために通信装置がすでに満たしているはずの認証条件が、他の通信装置の処理などによってクリアされていると考えられる場合などに、通信媒介装置が通信装置に代わって認証を取り、通信装置からのアクセス要求に応えることができる。このように通信媒介装置が通信装置の認証状態を管理するので、データ提供装置に認証状態を管理するためのリソースが十分にない場合でも、多くの通信装置に対して、独立した認証状態の管理を行なうことができる。
(18) 前記認証情報生成データ変更請求手段による変更請求に使用される情報は、前記通信データ記憶手段に記憶された前記データ提供装置による前記通信装置の認証が成立するまでの前記データ提供装置と前記通信装置との通信データにより決定される(「認証鍵の変更を要求するメッセージである鍵変更要求315は、クライアントの認証処理の間に交わされるメッセージ(チャレンジ要求301、チャレンジ返信302、レスポンス返信304および照合結果通知306)から決定することができる場合がある。認証処理に用いられる認証鍵の種類などにより、その認証鍵を更新するためのメッセージが異なることが考えられ、そのような場合、中継装置は上記認証処理の間に交わされるメッセージから、認証鍵の種類や認証処理の手続きを知ることができる。たとえば、PINの認証を行なうためのメッセージが送信されていれば、その認証鍵がPINであり、PINを変更するためのメッセージである鍵変更要求315が送信される。あるいは共通鍵暗号などを用いたチャレンジ・レスポンス方式の認証の場合、鍵変更要求315にはその鍵値を更新するためのメッセージが用いられるといった具合である。」)ことを特徴とする、(8)〜(17)のいずれかに記載の通信媒介装置。
このように、(8)〜(17)のいずれかの作用効果に加えて、認証情報生成データ変更請求手段による変更請求に使用される情報は、通信データ記憶手段に記憶されたデータ提供装置による通信装置の認証が成立するまでのデータ提供装置と通信装置との通信データにより決定される。データ提供装置が、複数の異なる認証方式を用いる場合に、それぞれの認証方式で用いられる、異なる種類の鍵を、変更することができる。たとえば、スマートカードは標準仕様に準拠したコマンドインターフェイスをサポートしていて、異なる種類の認証鍵を変更するために別のコマンドを使用しなければならないときに、中継装置が正しいコマンドを判断することができる。
(19) 特定の処理を要求する通信装置(図1のクライアント120、図3のクライアント、端末)に対し該通信装置の認証を行なう認証手段(図1の認証手段104)を備えたデータ提供装置(図1のデータ提供装置100、図3のスマートカード)と、前記通信装置との間での送受信を媒介する通信媒介装置(図1の通信媒介装置110、図3の中継装置)であって、
前記データ提供装置による前記通信装置の認証の成立を検出する認証処理検出手段(図2のS202、S203、「認証処理の結果は中継装置に通知する(照合結果通知306)が、中継装置はこの認証結果を検出し(S202)、確認する(S203)。」)と、
該認証処理検出手段が前記データ提供装置に対する前記通信装置の認証の成立を検出した後に、前記データ提供装置に対する認証が成立した通信装置からの前記データ提供装置に対するアクセス要求を前記通信媒介装置が検出した(図5のアクセス要求501の受信)ことを契機として、前記通信媒介装置が、前記データ提供装置に対する前記通信装置の認証を前記通信装置に代わり請求する通信媒介装置代理認証請求手段(図5のチャレンジ要求502〜レスポンス返信505、「クライアントがすでに満たしているはずの認証条件が、他のクライアントの処理などによってクリアされていることがわかった場合、中継装置は上で説明した一時的な認証鍵を使って認証情報を生成し、スマートカードに対し、クライアントのアクセス要求に必要な認証処理の請求を行ない、クライアントからのアクセス要求に対応するのに必要な範囲の認証状態を満たす。」)とを備えることを特徴とする、通信媒介装置。
このように、データ提供装置による通信装置の認証の成立を検出後に、データ提供装置に対する認証が成立した通信装置からのデータ提供装置に対するアクセス要求を通信媒介装置が検出した場合は、通信媒介装置が、データ提供装置に対する通信装置の認証を通信装置に代わり請求する。このため、データ提供装置に認証状態を管理するためのリソースが十分にないために通信装置がすでに満たしているはずの認証条件が、他の通信装置の処理などによってクリアされている場合に、通信媒介装置が通信装置に代わって認証を取り、通信装置からのアクセス要求に応えることができる。このように通信媒介装置が通信装置の認証状態を管理するので、データ提供装置に認証状態を管理するためのリソースが十分にない場合でも、多くの通信装置に対して、独立した認証状態の管理を行なうことができる。
(20) 特定の処理を要求する通信装置(図1のクライアント120、図3のクライアント、端末)に対し該通信装置の認証を行なう認証手段(図1の認証手段104)を備えたデータ提供装置(図1のデータ提供装置100、図3のスマートカード)であって、
前記認証手段は、送信されてきた認証を求める通信装置の認証情報が記憶している当該通信装置の認証情報生成データに基づいて生成されているか否かを判断し(「認証情報の検証(照合313)は、認証情報(レスポンス返信312の内容)が、所定の認証鍵(スマートカードが予め中継装置に与えている認証鍵)に基づくものか否か、スマートカードからチャレンジ返信310で与えたチャレンジデータを用いて計算されたものか否かを検証する。」)、当該認証情報生成データに基づいて生成されていると判断される場合に当該通信装置の認証を認め(「所定の認証鍵に基づくものであり、与えたチャレンジデータを用いて計算されたものと確認された場合に、スマートカードは請求された認証を成立させる。」)、
当該通信装置の認証の成立後に、当該通信装置の認証情報生成データ(認証鍵)を、一時的に有効で無効となった後は元の認証情報生成データが復帰して有効になる(「中継装置とスマートカードとの間、あるいは中継装置とクライアントとの間の通信が途絶えたときなどには無効となり、元の認証鍵に戻される。」)別認証情報生成データ(一時認証鍵、一時鍵)へ変更する変更請求(図3の鍵変更要求315)に対し該変更を認める別認証情報生成データ許可手段(図3の鍵の設定316)と、
前記通信装置と前記データ提供装置との間の送受信を媒介する通信媒介装置から送信されてきた認証情報が、変更を認められた、認証を求める通信装置の前記別認証情報生成データに基づいて生成されているか否かを判断し(「認証情報の検証(照合506)は、認証情報(レスポンス返信505の内容)が、所定の認証鍵(スマートカードが中継装置に与えている一時認証鍵)に基づくものか否か、スマートカードからチャレンジ返信503で与えたチャレンジデータを用いて計算されたものか否かを検証する。」)、当該別認証情報生成データに基づいて生成されていると判断される場合に当該通信装置の前記通信媒介装置による認証請求に対し適正である旨の認証を行なう通信媒介装置代理認証許可手段(「所定の認証鍵に基づくものであり、与えたチャレンジデータを用いて計算されたものと確認された場合に、スマートカードは請求された認証を成立させる。」)とを備え、
前記別認証情報生成データ許可手段は、前記通信装置から前記データ提供装置への認証請求に対し前記認証手段が適正である旨の認証を行なった直後に、前記通信媒介装置からの当該通信装置の前記別認証情報生成データへの変更請求が為された場合に限り、前記通信媒介装置による前記通信装置の別認証情報生成データへの変更を許可する(「上記の変形態様として、先ずスマートカードに対する中継装置自身の認証処理を成功させておいてから、スマートカードに対するクライアントの認証処理を中継装置が媒介して成功させ、そのクライアントの認証処理成功の直後に、引き続き、中継装置からのスマートカードに対するクライアントの認証鍵の一時認証鍵への変更請求が為された場合にのみ、スマートカードは一時的な認証鍵の設定(一時認証鍵への変更請求)を認めることにしてもよい。」)ことを特徴とする、データ提供装置。
このように、データ提供装置による通信装置の認証が成立し、それに引き続き通信媒介装置による通信装置の別認証情報生成データへの変更請求が為された場合に限り、データ提供装置が別認証情報生成データへの変更を許可する。このようにすることで、データ提供装置は、通信装置が通信媒介装置を媒介して行なった認証処理と、後続する認証情報生成データの変更要求とを容易に関連付けることができる。不正な装置を用いてデータ提供装置が使用されるとき、後続する処理要求に対する実装の不具合などにより、認証情報生成データを容易に探すための情報が、データ提供装置から取り出されたりする可能性が考えられ、データ提供装置のセキュリティ強度を下げてしまうかもしれないからである。別認証情報生成データは、一時的に有効なものであるから、セキュリティの強度を下げることはない。さらに、通信装置が行なった認証処理で用いられた本当の認証情報生成データは、通信媒介装置などに記憶させておく必要がないので、データ提供装置が耐タンパ性を特長とする装置であった場合にも、その利点を損なうことがない。また、無効となった後は元の認証情報生成データが復帰して有効になるものであるから、特に支障はない。たとえばデータ提供装置と通信のある端末(通信装置、通信媒介装置など)すべてに認証情報生成データの変更を通知するといった必要もない。
(21) 前記通信媒介装置からの認証請求に対し適正である旨の認証を行なう通信媒介装置認証許可手段(図3のチャレンジ要求309〜照合結果通知314)を、さらに備え、
前記別認証情報生成データ許可手段は、前記通信装置から前記データ提供装置への認証請求に対し前記認証手段が適正である旨の認証を行なった直後に、前記通信媒介装置から前記データ提供装置への認証請求と、前記通信媒介装置からの当該通信装置の前記別認証情報生成データへの変更請求とが為された場合に限り、前記通信媒介装置による前記通信装置の別認証情報生成データへの変更を許可する(「中継装置は上記のようにしてクライアントの認証が成功した時点で、他のクライアントから、あるいは同じクライアントから、別の処理要求を受け取っているかもしれない。しかし、そのような場合でも、他のいかなる要求処理に先んじて中継装置自身の認証と、一時的な認証鍵の設定が行なわれることが望ましい。逆に、クライアントの認証から一時的な認証鍵の設定までが続けて行なわれない限り、スマートカード側はこの認証鍵の変更を許さないことが望ましい。」)ことを特徴とする、(20)に記載のデータ提供装置。
このように、データ提供装置による通信装置の認証が成立し、それに引き続き通信媒介装置の認証も成立後に、通信媒介装置による通信装置の別認証情報生成データへの変更請求が為された場合に限り、データ提供装置が別認証情報生成データへの変更を許可する。このようにすることで、データ提供装置は、通信装置が通信媒介装置を媒介して行なった認証処理と、通信媒介装置の認証処理、さらに後続する認証情報生成データの変更要求とを容易に関連付けることができる。
(22) 前記別認証情報生成データ許可手段によって変更が許可された前記通信装置の別認証情報生成データは、認証が成立した通信装置と前記通信媒介装置との論理通信路か、認証を行なったデータ提供装置と前記通信媒介装置との論理通信路かのいずれかの論理通信路が遮断されると無効にする(「中継装置とスマートカードとの間、あるいは中継装置とクライアントとの間の通信が途絶えたときなどには無効となり、元の認証鍵に戻される。」)ことを特徴とする、(20)または(21)に記載のデータ提供装置。
このように、(20)または(21)の作用効果に加えて、変更された別認証情報生成データは、通信装置の認証成立後、通信装置と通信媒介装置、あるいは通信媒介装置とデータ提供装置間の論理的通信路が切れた時点で、無効になり元の認証情報生成データに戻され、一時的に有効なものであるから、セキュリティの強度を下げることはない。さらに、通信装置が行なった認証処理で用いられた本当の認証情報生成データは、通信媒介装置などに記憶させておく必要がないので、データ提供装置が耐タンパ性を特長とする装置であった場合にも、その利点を損なうことがない。また、無効となった後は元の認証情報生成データが復帰して有効になるものであるから、特に支障はない。たとえばデータ提供装置と通信のある端末(通信装置、通信媒介装置など)すべてに認証情報生成データの変更を通知するといった必要もない。
(23) 記憶手段、演算手段を備えたIC搭載カード(「図1のデータ提供装置100がスマートカードであり、」、「一般的なスマートカードとは、一口でいうと、ICを搭載したカードであり、メモリだけのカードもあるが、本実施例においては、CPU、ROM、RAM、フラッシュメモリなどが搭載され、カード内に記憶された鍵値を用いた暗号処理を行ない、カードから鍵データを取り出すことなく処理結果を提供できるものである。」)であることを特徴とする、(20)〜(22)のいずれかに記載のデータ提供装置。
このように、(20)〜(22)のいずれかの作用効果に加えて、データ提供装置は記憶手段、演算手段を備えたIC搭載カード(たとえば、スマートカード)である。
(24) 認証を求める装置側に、認証請求の毎に異なった認証情報(「認証情報とは、1つの認証処理において、認証を受ける側から認証を行なう側へ渡される情報である。」)の送信を要求する(「予め設定された認証処理において、認証処理の毎に異なる認証情報を要求するデータ提供装置」、「なお、セキュリティの精度を高めた認証を行なうために、本実施形態におけるデータ提供装置100は、クライアント(端末)120、通信媒介装置(中継装置)110から認証を求められる認証処理の毎に、異なる認証情報をクライアント(端末)120、通信媒介装置(中継装置)110に対して要求する。」)ことを特徴とする、(20)〜(23)のいずれかに記載のデータ提供装置。
このように、(20)〜(23)のいずれかの作用効果に加えて、データ提供装置は認証を求める装置側に、認証請求の毎に異なった認証情報の送信を要求する。
(25) (20)〜(24)のいずれかに記載のデータ提供装置と、(3)〜(19)のいずれかに記載の通信媒介装置とが用いられていることを特徴とする、データ提供システム。
このように、データ提供システムは、(20)〜(24)のいずれかのデータ提供装置の作用効果と、(3)〜(19)のいずれかの通信媒介装置の作用効果とが合体した作用効果を生じる。
今回開示された実施の形態はすべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は上記した説明ではなくて特許請求の範囲によって示され、特許請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。
実施の形態に係るデータ提供システムのブロック構成図である。 実施の形態に係る認証時の一時認証鍵設定のフローチャートである。 実施の形態に係る認証時のシーケンスである。 実施の形態に係る一時認証鍵の管理テーブルの例示である。 実施の形態に係る代理認証アクセス時のシーケンスである。 ICカードの認証状況説明図である。
符号の説明
100 データ提供装置、101 通信手段、102 記憶手段、103 計算手段、104 認証手段、105 鍵管理手段、110 通信媒介装置、111 第一の通信手段、112 第二の通信手段、113 通信管理手段、114 計算手段、115 認証状態管理手段、116 鍵管理手段、117 キャッシュ、120 クライアント、121 通信手段、122 鍵管理手段、123 計算手段、401 認証対象カラム、402 一時鍵カラム、403 アルゴリズムカラム、404 次命令カラム、405 対称リソースカラム、406 クライアントカラム、411 クライアント2によるDF1の認証、412 クライアント1によるDF1の認証。

Claims (25)

  1. 特定の処理を要求する通信装置と、該通信装置の認証を行なう認証手段を備えたデータ提供装置と、前記通信装置と前記データ提供装置との間での送受信を媒介する通信媒介装置とからなるデータ提供システムであって、
    前記通信装置は、
    前記データ提供装置に対する認証請求に際し、前記データ提供装置に送信する認証情報を生成するために用いられる認証情報生成データを記憶する認証情報生成データ記憶手段と、
    該認証情報生成データ記憶手段に記憶された認証情報生成データを用いて前記データ提供装置に送信する認証情報を作成する認証情報作成手段と、
    該認証情報作成手段が作成した認証情報を用いて前記データ提供装置に対する前記通信装置の認証を請求する通信装置認証請求手段とを備え、
    前記通信媒介装置は、
    前記データ提供装置に対する前記通信装置が請求する認証が成立したことを検出する認証処理検出手段と、
    該認証処理検出手段が前記データ提供装置に対する前記通信装置の認証の成立を検出した後に、前記データ提供装置に対し当該通信装置の認証情報生成データを、該認証情報生成データとは異なり、且つ、一時的に有効で無効となった後は元の認証情報生成データが復帰して有効になる別認証情報生成データへ変更請求する認証情報生成データ変更請求手段と、
    前記データ提供装置に対し前記通信媒介装置自身の認証を求める自己認証請求手段と、
    前記認証処理検出手段の検出結果に基づいて、前記データ提供装置による認証を受けた通信装置毎に各認証請求に対する認証結果状態を管理可能な通信装置認証状態管理手段と、
    前記通信装置からの前記データ提供装置に対するアクセス要求があったときに、当該アクセス要求を前記データ提供装置が許可するのに必要な、当該アクセス要求を出した通信装置の認証結果状態が前記通信装置認証状態管理手段により既に認証成立済であると管理されているか否かを判定する認証成立済判定手段と、
    該認証成立済判定手段により認証が成立済である旨の判定がなされた通信装置の前記データ提供装置に対する認証を請求するために、前記別認証情報生成データへの変更請求に対し前記データ提供装置により変更が認められた後に、前記別認証情報生成データを用いて認証情報を生成する別認証情報生成手段と、
    前記通信媒介装置の認証が前記データ提供装置に認められた後に、前記別認証情報生成手段により作成された認証情報を前記データ提供装置へ送信して前記通信装置の認証を代わりに請求する代理認証請求手段とを備え、
    前記認証手段は、送信されてきた認証を求める通信装置の認証情報が記憶している当該通信装置の認証情報生成データに基づいて生成されているか否かを判断し、当該認証情報生成データに基づいて生成されていると判断される場合に当該通信装置の認証を認め、
    前記データ提供装置は、
    当該通信装置および前記通信媒介装置の認証の成立後に、前記通信媒介装置からの当該通信装置の前記別認証情報生成データへの変更請求に対し該変更を認める別認証情報生成データ許可手段と、
    前記通信媒介装置から送信されてきた認証情報が、変更を認められた通信装置の別認証情報生成データに基づいて生成されているか否かを判断し、当該別認証情報生成データに基づいて生成されていると判断される場合に当該通信装置の前記通信媒介装置による代理認証請求に対して適正である旨の認証を行なう通信媒介装置代理認証許可手段とを備え、
    前記別認証情報生成データ許可手段は、前記通信装置から前記データ提供装置への認証請求に対し前記認証手段が適正である旨の認証を行なった直後に、前記通信媒介装置からの当該通信装置の前記別認証情報生成データへの変更請求が為された場合に限り、前記通信媒介装置による前記通信装置の別認証情報生成データへの変更を許可することを特徴とする、データ提供システム。
  2. 前記通信装置から前記データ提供装置への認証請求に対し前記認証手段が適正である旨の認証を行なった直後に、前記通信媒介装置からの当該通信装置の前記別認証情報生成データへの変更請求が為された場合とは、前記通信装置から前記データ提供装置への認証請求に対し前記認証手段が適正である旨の認証を行なう認証許可判定処理と、その後に、前記通信媒介装置からの当該通信装置の前記別認証情報生成データへの変更請求を前記データ提供装置が受付ける受付処理とが、連続して行なわれた場合であることを特徴とする、請求項1に記載のデータ提供システム。
  3. 特定の処理を要求する通信装置に対し該通信装置の認証を行なう認証手段を備えたデータ提供装置と、前記通信装置との間での送受信を媒介する通信媒介装置であって、
    前記データ提供装置は送信されてきた前記通信装置の認証情報が前記通信装置の記憶している認証情報生成データに基づいて生成された認証情報であると判断された場合に当該通信装置の認証を行ない、該認証が成立したことを検出する認証処理検出手段と、
    該認証処理検出手段が前記データ提供装置に対する前記通信装置の認証の成立を検出した後に当該通信装置の認証情報生成データとは異なる別認証情報生成データにより生成された認証情報を前記データ提供装置に送信して前記通信装置の認証を代わりに求める代理認証請求を可能にするために必要となる事前設定を前記データ提供装置との間で実行する代理認証事前設定手段と、
    前記認証処理検出手段の検出結果に基づいて、前記データ提供装置による認証を受けた通信装置毎に各認証請求に対する認証結果状態を管理可能な通信装置認証状態管理手段と、
    前記通信装置からの前記データ提供装置に対するアクセス要求があったときに、当該アクセス要求を前記データ提供装置が許可するのに必要な、当該アクセス要求を出した通信装置の認証結果状態が前記通信装置認証状態管理手段により既に認証成立済であると管理されているか否かを判定する認証成立済判定手段と、
    該認証成立済判定手段により認証が成立済である旨の判定がなされた通信装置の前記データ提供装置に対する認証を請求するために、前記別認証情報生成データを用いて認証情報を生成する別認証情報生成手段と、
    該別認証情報生成手段により作成された認証情報を前記データ提供装置へ送信して前記通信装置の認証を代わりに請求する代理認証請求手段とを備えることを特徴とする、通信媒介装置。
  4. 前記別認証情報生成データは前記データ提供装置により認められた後に有効となり、所定条件により無効とされた後は元の認証情報生成データが復帰して有効になることを特徴とする、請求項3に記載の通信媒介装置。
  5. 特定の処理を要求する通信装置に対し該通信装置の認証を行なう認証手段を備えたデータ提供装置と、前記通信装置との間での送受信を媒介する通信媒介装置であって、
    前記データ提供装置は送信されてきた前記通信装置の認証情報が前記通信装置の記憶している認証情報生成データに基づいて生成された認証情報であると判断された場合に当該通信装置の認証を行ない、該認証が成立したことを検出する認証処理検出手段と、
    該認証処理検出手段が前記データ提供装置に対する前記通信装置の認証の成立を検出した後に当該通信装置の認証情報生成データとは異なる別認証情報生成データにより生成された認証情報を前記データ提供装置に送信して前記通信装置の認証を代わりに求める代理認証請求を可能にするために必要となる事前設定を前記データ提供装置との間で実行する代理認証事前設定手段とを備え、
    該代理認証事前設定手段は、前記データ提供装置に対し前記通信装置の認証情報生成データを前記別認証情報生成データに変更請求する認証情報生成データ変更請求手段を含み、
    前記データ提供装置により変更が認められた前記別認証情報生成データは、一時的に有効で無効となった後は元の認証情報生成データが復帰して有効になることを特徴とする、通信媒介装置。
  6. 前記代理認証事前設定手段は、前記データ提供装置に対し前記通信媒介装置自身の認証を求める自己認証請求手段を、さらに含み、
    該自己認証請求手段による前記データ提供装置に対する前記通信媒介装置の認証の成立後に、前記認証情報生成データ変更請求手段が前記データ提供装置に対する認証が成立した通信装置の認証情報生成データを、通信装置の前記別認証情報生成データに変更請求することを特徴とする、請求項5に記載の通信媒介装置。
  7. 前記認証情報生成データ変更請求手段による変更請求に対し該変更が前記データ提供装置により認められた後に、前記データ提供装置に対する認証が成立した通信装置からの前記データ提供装置に対するアクセス要求を前記通信媒介装置が検出したことを契機として、
    前記通信媒介装置が、前記変更が認められた通信装置の別認証情報生成データを用いて認証情報を生成し、該認証情報を前記データ提供装置へ送信して前記データ提供装置に対する前記通信装置の認証を代わりに請求する代理認証請求手段を、さらに備え、
    該代理認証請求手段により前記データ提供装置に対する前記通信装置の認証が成立した後に、前記通信媒介装置が前記データ提供装置にアクセスすることを特徴とする、請求項6に記載の通信媒介装置。
  8. 前記データ提供装置と前記通信装置との間で送受信される通信データを取得し、記憶する通信データ記憶手段と、
    該通信データ記憶手段に記憶されているデータが前記データ提供装置と前記通信装置とのいずれかの装置に対して送信されるデータとして利用可能か否かを判断するデータ利用可否判断手段とをさらに備え、
    該データ利用可否判断手段により利用可能であると判断された記憶データを利用して送信データを作成することを特徴とする、請求項3〜7のいずれかに記載の通信媒介装置。
  9. 前記認証処理検出手段の検出結果に基づいて、前記データ提供装置による認証を受けた通信装置毎に各認証請求に対する認証結果状態を管理可能な通信装置認証状態管理手段を、さらに備えることを特徴とする、請求項5〜8のいずれかに記載の通信媒介装置。
  10. 前記通信装置認証状態管理手段は、前記データ提供装置による認証状態と当該認証状態の前記データ提供装置による記憶状態とを関連付けて管理可能であることを特徴とする、請求項9に記載の通信媒介装置。
  11. 前記通信装置認証状態管理手段は、前記データ提供装置に対し認証を受けた装置がアクセス可能となる範囲をも関連付けて管理可能であることを特徴とする、請求項9に記載の通信媒介装置。
  12. 前記別認証情報生成データは、前記データ提供装置と前記通信媒介装置との論理通信路か、前記データ提供装置に対する認証が成立した通信装置と前記通信媒介装置との論理通信路かのいずれかの論理通信路が遮断されると無効になることを特徴とする、請求項5〜11のいずれかに記載の通信媒介装置。
  13. 前記自己認証請求手段または前記代理認証請求手段により、前記データ提供装置に対して認証請求する毎に異なった認証情報を送信することを特徴とする、請求項7〜12のいずれかに記載の通信媒介装置。
  14. 前記データ提供装置に要求し、受取ったデータを用いて演算し、認証請求のための認証情報を作成する通信媒介装置認証情報作成手段をさらに備え、
    前記自己認証請求手段または前記代理認証請求手段により、前記データ提供装置に認証請求を行なう場合は、前記通信媒介装置認証情報作成手段により作成された認証情報であって、前記データ提供装置に認証請求の毎に異なった認証情報を送信することを特徴とする、請求項7〜13のいずれかに記載の通信媒介装置。
  15. 前記通信装置認証状態管理手段は、前記データ提供装置に対する認証が成立した通信装置からの前記データ提供装置に対するアクセス要求を検出した場合に、前記検出したアクセス要求が、現時点で前記データ提供装置に受け入れ可能な認証状態であるか否かを判断し、
    前記代理認証請求手段は、当初の認証状態により受け入れ可能であったと判断されるが、前記データ提供装置により、当初の認証状態が既に消去されていると判断された場合に、前記通信装置認証状態管理手段で管理される情報を用いて、前記消去された当初の認証状態を回復するために、前記データ提供装置に対する認証を請求することを特徴とする、請求項9〜14のいずれかに記載の通信媒介装置。
  16. 前記通信装置認証状態管理手段は、前記データ提供装置に対する認証が成立した通信装置からの前記データ提供装置に対するアクセス要求を検出した場合に、前記検出したアクセス要求が、現時点で前記データ提供装置に受け入れ可能な認証状態であるか否かを判断し、
    前記代理認証請求手段は、当初の認証状態により受け入れ可能であったと判断されるが、前記データ提供装置により、当初の認証状態が既に消去されていると判断された場合に、前記通信装置認証状態管理手段で管理される情報を用いて、前記通信装置からのアクセス要求に対応するのに必要な範囲の前記データ提供装置に対する認証を請求することを特徴とする、請求項9〜14のいずれかに記載の通信媒介装置。
  17. 前記データ提供装置と通信装置との通信状況を監視する通信状況監視手段をさらに備え、
    該通信状況監視手段が前記データ提供装置に対する認証が成立した通信装置からの前記データ提供装置に対するアクセスの失敗を検知した場合に、前記代理認証請求手段が前記変更請求に対し該変更の認められた通信装置の別認証情報生成データを用いて別認証情報を生成し、該別認証情報を前記データ提供装置へ送信して、前記データ提供装置に対する前記通信装置の認証を代わりに請求することを特徴とする、請求項8〜14のいずれかに記載の通信媒介装置。
  18. 前記認証情報生成データ変更請求手段による変更請求に使用される情報は、前記通信データ記憶手段に記憶された前記データ提供装置による前記通信装置の認証が成立するまでの前記データ提供装置と前記通信装置との通信データにより決定されることを特徴とする、請求項8〜17のいずれかに記載の通信媒介装置。
  19. 特定の処理を要求する通信装置に対し該通信装置の認証を行なう認証手段を備えたデータ提供装置と、前記通信装置との間での送受信を媒介する通信媒介装置であって、
    前記データ提供装置による前記通信装置の認証の成立を検出する認証処理検出手段と、
    該認証処理検出手段が前記データ提供装置に対する前記通信装置の認証の成立を検出した後に、前記データ提供装置に対する認証が成立した通信装置からの前記データ提供装置に対するアクセス要求を前記通信媒介装置が検出したことを契機として、前記通信媒介装置が、前記データ提供装置に対する前記通信装置の認証を前記通信装置に代わり請求する通信媒介装置代理認証請求手段とを備えることを特徴とする、通信媒介装置。
  20. 特定の処理を要求する通信装置に対し該通信装置の認証を行なう認証手段を備えたデータ提供装置であって、
    前記認証手段は、送信されてきた認証を求める通信装置の認証情報が記憶している当該通信装置の認証情報生成データに基づいて生成されているか否かを判断し、当該認証情報生成データに基づいて生成されていると判断される場合に当該通信装置の認証を認め、
    当該通信装置の認証の成立後に、当該通信装置の認証情報生成データを、一時的に有効で無効となった後は元の認証情報生成データが復帰して有効になる別認証情報生成データへ変更する変更請求に対し該変更を認める別認証情報生成データ許可手段と、
    前記通信装置と前記データ提供装置との間の送受信を媒介する通信媒介装置から送信されてきた認証情報が、変更を認められた、認証を求める通信装置の前記別認証情報生成データに基づいて生成されているか否かを判断し、当該別認証情報生成データに基づいて生成されていると判断される場合に当該通信装置の前記通信媒介装置による認証請求に対し適正である旨の認証を行なう通信媒介装置代理認証許可手段とを備え、
    前記別認証情報生成データ許可手段は、前記通信装置から前記データ提供装置への認証請求に対し前記認証手段が適正である旨の認証を行なった直後に、前記通信媒介装置からの当該通信装置の前記別認証情報生成データへの変更請求が為された場合に限り、前記通信媒介装置による前記通信装置の別認証情報生成データへの変更を許可することを特徴とする、データ提供装置。
  21. 前記通信媒介装置からの認証請求に対し適正である旨の認証を行なう通信媒介装置認証許可手段を、さらに備え、
    前記別認証情報生成データ許可手段は、前記通信装置から前記データ提供装置への認証請求に対し前記認証手段が適正である旨の認証を行なった直後に、前記通信媒介装置から前記データ提供装置への認証請求と、前記通信媒介装置からの当該通信装置の前記別認証情報生成データへの変更請求とが為された場合に限り、前記通信媒介装置による前記通信装置の別認証情報生成データへの変更を許可することを特徴とする、請求項20に記載のデータ提供装置。
  22. 前記別認証情報生成データ許可手段によって変更が許可された前記通信装置の別認証情報生成データは、認証が成立した通信装置と前記通信媒介装置との論理通信路か、認証を行なったデータ提供装置と前記通信媒介装置との論理通信路かのいずれかの論理通信路が遮断されると無効にすることを特徴とする、請求項20または21に記載のデータ提供装置。
  23. 記憶手段、演算手段を備えたIC搭載カードであることを特徴とする、請求項20〜22のいずれかに記載のデータ提供装置。
  24. 認証を求める装置側に、認証請求の毎に異なった認証情報の送信を要求することを特徴とする、請求項20〜23のいずれかに記載のデータ提供装置。
  25. 請求項20〜24のいずれかに記載のデータ提供装置と、請求項3〜19のいずれかに記載の通信媒介装置とが用いられていることを特徴とする、データ提供システム。
JP2005234890A 2005-08-12 2005-08-12 通信媒介装置、データ提供装置およびデータ提供システム Expired - Fee Related JP4578352B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005234890A JP4578352B2 (ja) 2005-08-12 2005-08-12 通信媒介装置、データ提供装置およびデータ提供システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005234890A JP4578352B2 (ja) 2005-08-12 2005-08-12 通信媒介装置、データ提供装置およびデータ提供システム

Publications (2)

Publication Number Publication Date
JP2007049649A JP2007049649A (ja) 2007-02-22
JP4578352B2 true JP4578352B2 (ja) 2010-11-10

Family

ID=37852087

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005234890A Expired - Fee Related JP4578352B2 (ja) 2005-08-12 2005-08-12 通信媒介装置、データ提供装置およびデータ提供システム

Country Status (1)

Country Link
JP (1) JP4578352B2 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5248930B2 (ja) * 2008-06-12 2013-07-31 株式会社東海理化電機製作所 暗号通信システム及び暗号鍵更新方法
CN105324777A (zh) * 2013-07-04 2016-02-10 凸版印刷株式会社 装置及认证系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002196934A (ja) * 2000-12-26 2002-07-12 Toshiba Corp 端末装置、携帯可能電子装置の取扱システムおよび携帯可能電子装置の取扱方法
JP2003124926A (ja) * 2001-10-15 2003-04-25 Hitachi Ltd 暗号化通信システムにおける認証処理方法及びそのシステム
JP2004072367A (ja) * 2002-08-06 2004-03-04 Nippon Telegr & Teleph Corp <Ntt> 無線端末装置の認証方法
JP2004213476A (ja) * 2003-01-07 2004-07-29 Nri & Ncc Co Ltd 不正アクセス検出装置
JP2005011098A (ja) * 2003-06-19 2005-01-13 Fujitsu Ltd 代理認証プログラム、代理認証方法、および代理認証装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002196934A (ja) * 2000-12-26 2002-07-12 Toshiba Corp 端末装置、携帯可能電子装置の取扱システムおよび携帯可能電子装置の取扱方法
JP2003124926A (ja) * 2001-10-15 2003-04-25 Hitachi Ltd 暗号化通信システムにおける認証処理方法及びそのシステム
JP2004072367A (ja) * 2002-08-06 2004-03-04 Nippon Telegr & Teleph Corp <Ntt> 無線端末装置の認証方法
JP2004213476A (ja) * 2003-01-07 2004-07-29 Nri & Ncc Co Ltd 不正アクセス検出装置
JP2005011098A (ja) * 2003-06-19 2005-01-13 Fujitsu Ltd 代理認証プログラム、代理認証方法、および代理認証装置

Also Published As

Publication number Publication date
JP2007049649A (ja) 2007-02-22

Similar Documents

Publication Publication Date Title
US11172361B2 (en) System and method of notifying mobile devices to complete transactions
AU2017295345B2 (en) Two-channel authentication proxy system capable of detecting application tampering, and method therefor
US10885501B2 (en) Accredited certificate issuance system based on block chain and accredited certificate issuance method based on block chain using same, and accredited certificate authentication system based on block chain and accredited certificate authentication method based on block chain using same
JP6586446B2 (ja) 通信端末および関連システムのユーザーの識別情報を確認するための方法
US9860245B2 (en) System and methods for online authentication
KR102202547B1 (ko) 액세스 요청을 검증하기 위한 방법 및 시스템
CA2744971C (en) Secure transaction authentication
US6510523B1 (en) Method and system for providing limited access privileges with an untrusted terminal
DK2481230T3 (en) A method for authentication, method of payment authorization, and similar electronic devices
US8898799B2 (en) Method and system for establishing trust between a service provider and a client of the service provider
KR101799517B1 (ko) 인증 서버 및 방법
JP4578352B2 (ja) 通信媒介装置、データ提供装置およびデータ提供システム
Weerasinghe et al. Security framework for mobile banking
JP5919497B2 (ja) ユーザ認証システム
KR101705293B1 (ko) 비밀스런 인증데이터 관리가 필요 없는 인증시스템 및 방법
US20240129139A1 (en) User authentication using two independent security elements
US20180332028A1 (en) Method For Detecting Unauthorized Copies Of Digital Security Tokens
CN115529591A (zh) 基于令牌的认证方法、装置、设备及存储介质
JP2021093063A (ja) 情報処理装置、認証システム、情報処理方法、および認証方法
KR20160057362A (ko) 지정 단말을 이용한 비대면 거래 제공 방법
KR20140105698A (ko) 인증서 운영 방법

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070822

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100817

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100824

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130903

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees