JP2001177513A - Authenticating method in communication system, center equipment, and recording medium with authentication program recorded thereon - Google Patents

Authenticating method in communication system, center equipment, and recording medium with authentication program recorded thereon

Info

Publication number
JP2001177513A
JP2001177513A JP35610599A JP35610599A JP2001177513A JP 2001177513 A JP2001177513 A JP 2001177513A JP 35610599 A JP35610599 A JP 35610599A JP 35610599 A JP35610599 A JP 35610599A JP 2001177513 A JP2001177513 A JP 2001177513A
Authority
JP
Japan
Prior art keywords
user
master key
center
communication terminal
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP35610599A
Other languages
Japanese (ja)
Other versions
JP3362780B2 (en
Inventor
Yuichi Shimamura
祐一 島村
Izumi Maida
泉 毎田
Takahiro Aoki
敬浩 青木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP35610599A priority Critical patent/JP3362780B2/en
Publication of JP2001177513A publication Critical patent/JP2001177513A/en
Application granted granted Critical
Publication of JP3362780B2 publication Critical patent/JP3362780B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Abstract

PROBLEM TO BE SOLVED: To change cryptographic keys used for encryption each time an authentication token is prepared even without performing communication between two pieces of center equipment whenever a communication terminal authenticated by one center equipment communicates with the other center equipment. SOLUTION: When center equipment 3 authenticates the communication terminal 1, the equipment 3 generates a session key (b) from a master key 332 periodically shared between center equipment 4 and the equipment 3 and a random value (a), acquires a center identifier 321 and a user ID 341, generates an authentication token (c), generates an authentication code (d) obtained by connecting the random value (a), the authentication token (c) and a master key ID 331 and transmits the authentication code (d) to the terminal 1. The terminal 1 transmits the code (d) to the equipment 4 in the case of communicating with the equipment 4. The equipment 4 decomposes the code 4 to acquire a master key 432, generates a session key (b), decodes the token (c), verifies the propriety of the equipment 3 and specifies the user.

Description

【発明の詳細な説明】DETAILED DESCRIPTION OF THE INVENTION

【0001】[0001]

【発明の属する技術分野】本発明は、通信端末が通信網
を介して複数のセンタ装置と通信を行う際の認証方法に
関する。
BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to an authentication method when a communication terminal communicates with a plurality of center devices via a communication network.

【0002】[0002]

【従来の技術】センタ装置が通信網を介して通信端末と
通信を行うシステムでは、通信端末や通信端末の利用者
へのなりすましを防ぐために、通信端末や利用者の認証
を行う必要がある。そして、通信端末が複数のセンタ装
置と通信する場合には、センタ装置毎に複数回の認証を
行う手間を省き、1度の認証で複数のセンタ装置と通信
を可能にする方式が取られており、あるセンタ装置が通
信端末もしくは通信端末の利用者を認証した際に、認証
結果を暗号化した情報を認証トークンとして通信端末に
送信し、通信端末が別のセンタ装置と通信する際には、
その認証トークンをそのセンタ装置に送信することによ
り2度目以降の認証処理を省略する方式が公知の技術と
して知られている。
2. Description of the Related Art In a system in which a center device communicates with a communication terminal via a communication network, it is necessary to authenticate the communication terminal and the user in order to prevent the communication terminal and the user of the communication terminal from being impersonated. When the communication terminal communicates with a plurality of center devices, a method is adopted in which the trouble of performing authentication a plurality of times for each center device is omitted, and communication with a plurality of center devices can be performed with a single authentication. When a certain center device authenticates the communication terminal or the user of the communication terminal, the information obtained by encrypting the authentication result is transmitted to the communication terminal as an authentication token, and when the communication terminal communicates with another center device, ,
A method of transmitting the authentication token to the center device to omit the second and subsequent authentication processes is known as a known technique.

【0003】[0003]

【発明が解決しようとする課題】認証トークンの暗号化
/復号に使われる暗号鍵は、通信路上を流れる認証トー
クンの解析を防ぐために、ある通信端末もしくは通信端
末の利用者を認証する度に、つまり認証トークンの作成
毎に変えることがセキュリティ上は望ましい。しかし、
従来の方式では、暗号鍵を変化させるためには、認証を
行った通信端末が別のセンタ装置と通信する度に、認証
トークンを復号するための暗号鍵をセンタ装置間で通信
する必要があった。
An encryption key used for encrypting / decrypting an authentication token is used every time a communication terminal or a user of the communication terminal is authenticated in order to prevent the analysis of the authentication token flowing on the communication path. That is, it is desirable from the viewpoint of security to change each time an authentication token is created. But,
In the conventional method, in order to change the encryption key, each time the authenticated communication terminal communicates with another center device, it is necessary to communicate the encryption key for decrypting the authentication token between the center devices. Was.

【0004】認証トークンの復号毎にセンタ装置間で通
信を行うと、通信トラヒックが増大し、センタ装置間の
回線コストが大きくなる。また、センタ装置間で暗号鍵
を通信した後に認証トークンの復号を行うため、通信端
末が複数のセンタ装置と通信するためのシーケンスが複
雑となり、通信を始めるまでに余分な時間を要してしま
う。
If communication is performed between the center devices every time the authentication token is decrypted, the communication traffic increases and the line cost between the center devices increases. Further, since the authentication token is decrypted after the center device communicates the encryption key, the sequence for the communication terminal to communicate with the plurality of center devices becomes complicated, and extra time is required until the communication starts. .

【0005】本発明の目的は、あるセンタ装置に認証さ
れた通信端末が別のセンタ装置と通信する度にセンタ装
置間で通信を行わなくても、認証トークンの作成毎に暗
号化に使用する暗号鍵を変化させることが可能な認証方
法、センタ装置、および認証プログラムを記録した記録
媒体を提供することにある。
An object of the present invention is to use a communication terminal authenticated by a certain center device for encryption every time an authentication token is created, without performing communication between the center devices each time it communicates with another center device. An object of the present invention is to provide an authentication method capable of changing an encryption key, a center device, and a recording medium storing an authentication program.

【0006】[0006]

【課題を解決するための手段】通信端末を認証したセン
タ装置はランダム値を生成し、センタ装置間で周期的に
共有されるマスター鍵とランダム値からセッション鍵を
生成し、センタ装置間で秘密に共有しているセンタ識別
子と、前記通信端末と前記センタ装置との間で認証が済
んだ利用者の利用者IDをセッション鍵で暗号化して認
証トークンを生成し、ランダム値と、認証トークンと、
マスター鍵を一意に識別するマスター鍵IDを連結した
認証符を生成し、前記通信端末に送信する。
A center apparatus that has authenticated a communication terminal generates a random value, generates a session key from a master key and a random value that are periodically shared between the center apparatuses, and generates a secret key between the center apparatuses. And a user ID of a user who has been authenticated between the communication terminal and the center device is encrypted with a session key to generate an authentication token, and a random value, an authentication token, ,
An authentication code is generated by concatenating a master key ID that uniquely identifies the master key, and transmitted to the communication terminal.

【0007】前記通信端末は認証符を保持し、通信端末
を認証した別のセンタ装置と通信を行う際、前記認証符
を該別のセンタ装置に送信する。
[0007] The communication terminal holds an authentication code and transmits the authentication code to another center device when communicating with another center device that has authenticated the communication terminal.

【0008】該別のセンタ装置は、前記認証符を受信
し、分解し、ランダム値と認証トークンとマスター鍵I
Dを取出し、該マスター鍵IDと同じマスター鍵IDに
対応するマスター鍵を取得し、マスター鍵と前記ランダ
ム値からセッション鍵を生成し、該セッション鍵により
認証トークンを復号して、センタ識別子と利用者IDを
得、前記認識トークンを生成したセンタ装置の正当性を
検証し、利用者を特定する。
The another center device receives the authentication code, decomposes the authentication code, and generates a random value, an authentication token, and a master key I.
D, obtains a master key corresponding to the same master key ID as the master key ID, generates a session key from the master key and the random value, decrypts the authentication token with the session key, and The user ID is obtained, the validity of the center device that has generated the recognition token is verified, and the user is specified.

【0009】認証トークンの暗号化/復号に使用する暗
号鍵を、センタ装置間で周期的に共有する半固定的なマ
スター鍵と、認証トークンの作成毎に変化するランダム
値から生成するセッション鍵にすることで、認証トーク
ンの作成毎に異なる暗号鍵を使用することが可能にな
る。セッション鍵の作成に用いるランダム値は、認証ト
ークンと共に暗号化されずに通信路上を流れ、通信端末
を介して別のセンタ装置に送信されるが、ランダム値と
共に連結して送信される認証トークンは暗号化されてい
るため乱数とみなすことができるので、第三者がランダ
ム値と認証トークンを分解することは困難になる。ま
た、セッション鍵の生成には、ランダム値の他にセンタ
装置間で共有しているマスター鍵とセッション鍵生成手
段が必要になるため、ランダム値が露呈したとしても、
セッション鍵が露呈する可能性は極めて低い。そして、
マスター鍵はセンタ装置間で1日に1回や1時間に1回
といった周期で共有すればよいので、センタ装置間の通
信トラヒックは小さくなる。
An encryption key used for encrypting / decrypting the authentication token is divided into a semi-fixed master key that is periodically shared between the center devices, and a session key generated from a random value that changes each time the authentication token is created. By doing so, it becomes possible to use a different encryption key each time an authentication token is created. The random value used to generate the session key flows on the communication path without being encrypted together with the authentication token, and is transmitted to another center device via the communication terminal. Since it is encrypted, it can be regarded as a random number, so that it is difficult for a third party to decompose the random value and the authentication token. In addition, since the generation of the session key requires a master key and a session key generation unit shared between the center devices in addition to the random value, even if the random value is exposed,
The possibility of exposing the session key is extremely low. And
Since the master key may be shared between the center devices once a day or once an hour, communication traffic between the center devices is reduced.

【0010】[0010]

【発明の実施の形態】次に、本発明の実施の形態につい
て図面を参照して説明する。
Next, embodiments of the present invention will be described with reference to the drawings.

【0011】図1を参照すると、本発明の一実施形態の
通信システムは通信端末1と通信網2とセンタ装置3、
4とで構成されている。
Referring to FIG. 1, a communication system according to an embodiment of the present invention includes a communication terminal 1, a communication network 2, a center device 3,
4.

【0012】通信端末1はセンタ装置3または4から送
出された認証符を保存し、他のセンタ装置に認証符を送
出する認証符管理部11を有している。
The communication terminal 1 has an authentication code management unit 11 for storing the authentication code sent from the center device 3 or 4 and sending the authentication code to another center device.

【0013】通信網2は通信端末1とセンタ装置3、4
を接続する。
The communication network 2 includes a communication terminal 1 and center devices 3 and 4
Connect.

【0014】センタ装置3は認証符処理部31とセンタ
識別子記憶部32とマスター鍵記憶部33と利用者ID
データベース34を有している。センタ装置4も同様に
認証符処理部41とセンタ識別子記憶部42とマスター
鍵記憶部43と利用者IDデータベース44を有してい
る。センタ識別子記憶部32、42はそれぞれセンタ装
置3、4だけが持つ秘密情報であるセンタ識別子32
1、421を保持している。マスター鍵記憶部33、4
3はそれぞれセンタ装置3、4間で秘密共有しているマ
スター鍵ID331、431とそれに対応するマスター
鍵332、432を保持している。利用者IDデータベ
ース34、44は利用者を特定するために利用者個々に
ユニークに付与された利用者ID341、441をそれ
ぞれ保持する。センタ識別子321、421は同一の値
であり、センタ装置33、43のサービス開始時などに
設定される。マスター鍵ID331、431とマスター
鍵332、432は1時間に1回や1日に1回といった
周期でセンタ装置33、43間で通信を行って同一の値
を共有する。また、例えばWWW(World Wide Web)シ
ステムの場合、認証符はWeb サーバとWeb ブラウザの間
でやりとりされるCookieに相当する。
The center device 3 includes an authentication code processing unit 31, a center identifier storage unit 32, a master key storage unit 33, and a user ID.
It has a database 34. The center device 4 also includes an authentication code processing unit 41, a center identifier storage unit 42, a master key storage unit 43, and a user ID database 44. The center identifier storage units 32 and 42 store the center identifier 32 which is secret information possessed only by the center devices 3 and 4, respectively.
1 and 421 are held. Master key storage unit 33, 4
Reference numeral 3 holds master key IDs 331 and 431 that are secretly shared between the center devices 3 and 4, and corresponding master keys 332 and 432, respectively. The user ID databases 34 and 44 hold user IDs 341 and 441 uniquely assigned to each user in order to identify the user. The center identifiers 321 and 421 have the same value, and are set when the center devices 33 and 43 start services. The master key IDs 331 and 431 and the master keys 332 and 432 perform communication between the center devices 33 and 43 once a hour or once a day to share the same value. In the case of a WWW (World Wide Web) system, for example, the authentication code corresponds to a cookie exchanged between a Web server and a Web browser.

【0015】認証符処理部31、41は通信端末1の認
証処理、セッション鍵の生成、認証トークンの生成、認
証符の生成、認証符の送信、受信した認証符の分解、セ
ッション鍵の生成、認証トークンの復号、センタ識別子
の検証、利用者の特定等を行う。
The authentication code processing units 31 and 41 perform authentication processing of the communication terminal 1, generation of a session key, generation of an authentication token, generation of an authentication code, transmission of an authentication code, decomposition of a received authentication code, generation of a session key, It decrypts the authentication token, verifies the center identifier, specifies the user, and so on.

【0016】次に、本実施形態の動作を図1と図2を参
照して説明する。
Next, the operation of this embodiment will be described with reference to FIGS.

【0017】通信端末1とセンタ装置3との間でIDパ
スワードなどによる認証処理を行う(ステップ20
1)。認証処理が済み通信端末1もしくは通信端末1を
使用する利用者の正当性が認められると、センタ装置3
は、認証符処理部31において、マスター鍵記憶部33
からマスター鍵332を得(ステップ202)、ランダ
ム値aを生成し(ステップ203)、マスター鍵332
とランダム値aからセッション鍵bを生成する(ステッ
プ204)。ランダム値aは、例えば時刻などを元に生
成された乱数である。セッション鍵bは、例えば、マス
ター鍵332とランダム値aを連結したものを一方向性
ハッシュ関数の入力とすることにより生成する。次に、
認証符処理部31において、センタ識別子記憶部32か
らセンタ識別子321を得(ステップ205)、利用者
IDデータベース34から通信端末1とセンタ装置3と
の間で認証が済んだ利用者の利用者ID341を得(ス
テップ206)、両者を連結したものをセッション鍵b
で暗号化して認証トークンcを生成する(ステップ20
7)。認証トークンcは、センタ識別子321と利用者
ID341の他に、乱数や時刻を連結してセッション鍵
bで暗号化してもよい。次に、認証符処理部31におい
て、ランダム値aと、認証トークンcと、セッション鍵
bの生成に使用したマスター鍵332に対応するマスタ
ー鍵ID331を連結した認証符dを生成する(ステッ
プ208)。次に、センタ装置3は認証符dを通信端末
1に送出すると共に(ステップ209)、通信端末1と
通信を開始する(ステップ210)。
An authentication process using an ID password or the like is performed between the communication terminal 1 and the center device 3 (step 20).
1). When the authenticity of the communication terminal 1 or the user who uses the communication terminal 1 is recognized, the center device 3
In the authentication code processing unit 31, the master key storage unit 33
(Step 202), a random value a is generated (step 203), and the master key 332 is obtained.
Then, a session key b is generated from the random value a (step 204). The random value a is a random number generated based on, for example, time. The session key b is generated by, for example, linking a master key 332 and a random value a as an input of a one-way hash function. next,
In the authentication code processing unit 31, the center identifier 321 is obtained from the center identifier storage unit 32 (step 205), and the user ID 341 of the user who has been authenticated between the communication terminal 1 and the center device 3 from the user ID database 34. (Step 206), and the combination of the two is used as the session key b
To generate an authentication token c (step 20).
7). The authentication token c may be concatenated with a random number or time in addition to the center identifier 321 and the user ID 341, and may be encrypted with the session key b. Next, the authentication code processing unit 31 generates an authentication code d in which the random value a, the authentication token c, and the master key ID 331 corresponding to the master key 332 used for generating the session key b are linked (step 208). . Next, the center device 3 sends the authentication code d to the communication terminal 1 (step 209), and starts communication with the communication terminal 1 (step 210).

【0018】通信端末1では、認証符dを認証符管理部
11に保持する(ステップ211)。通信端末1は、認
証を行ったセンタ装置3とは別のセンタ装置4と通信を
行う際は、認証符管理部11に保持している認証符dを
センタ装置4に送出する(ステップ212)。
The communication terminal 1 stores the authentication code d in the authentication code management unit 11 (step 211). When communicating with the center device 4 different from the center device 3 that has performed authentication, the communication terminal 1 sends the authentication code d stored in the authentication code management unit 11 to the center device 4 (step 212). .

【0019】センタ装置4は、通信端末1から認証符d
を受け取ったなら、認証符処理部41にて、認証符dを
分解し、ランダム値aと認証トークンcとマスター鍵I
D331を取り出す(ステップ213)。次に、マスタ
ー鍵記憶部43から、認証符dから取り出したマスター
鍵ID331と同じマスター鍵ID431に対応するマ
スター鍵432を取得する(ステップ214)。次に、
認証符処理部41にて、マスター鍵432とランダム値
aからセッション鍵bを生成する(ステップ215)。
センタ装置3とセンタ装置4が同じセッション鍵生成手
段をもつことにより、セッション鍵bの同一性を保証す
る。次に、セッション鍵bにより認証トークンcを復号
し、センタ識別子321と利用者ID341を得る(ス
テップ216)。このとき、前記のように認証トークン
の中に時刻を入れていれば、現在時刻との照合により、
認証符の再利用攻撃を阻止することができる。次に、認
証トークンcから得たセンタ識別子321と、センタ識
別子記憶部42から得たセンタ識別子421が一致する
ことを検証し、認証トークンを生成したセンタ装置3の
正当性を検証する(ステップ217)。次に、認証トー
クンcから得た利用者ID341と利用者IDデータベ
ース44から得た利用者ID441とを照合し、利用者
を特定する(ステップ218)。こうして正当性が検証
されたら、通信端末1と通信を開始する(ステップ21
9)。
The center device 4 receives an authentication code d from the communication terminal 1.
Is received, the authentication code processing unit 41 decomposes the authentication code d, and outputs the random value a, the authentication token c, and the master key I.
D331 is taken out (step 213). Next, a master key 432 corresponding to the same master key ID 431 as the master key ID 331 extracted from the authentication code d is obtained from the master key storage unit 43 (step 214). next,
The authentication code processing unit 41 generates a session key b from the master key 432 and the random value a (step 215).
Since the center device 3 and the center device 4 have the same session key generation means, the identity of the session key b is guaranteed. Next, the authentication token c is decrypted with the session key b, and the center identifier 321 and the user ID 341 are obtained (step 216). At this time, if the time is included in the authentication token as described above, by comparing with the current time,
Authentication code reuse attacks can be prevented. Next, it verifies that the center identifier 321 obtained from the authentication token c matches the center identifier 421 obtained from the center identifier storage unit 42, and verifies the validity of the center device 3 that has generated the authentication token (step 217). ). Next, the user ID 341 obtained from the authentication token c is compared with the user ID 441 obtained from the user ID database 44, and a user is specified (step 218). When the validity is verified in this way, communication with the communication terminal 1 is started (step 21).
9).

【0020】図3を参照すると、本発明の他の実施形態
のセンタ装置は入力装置51と送受信装置52と利用者
データベース53と記憶装置54、55と出力装置56
と記録媒体57とデータ処理装置58で構成されてい
る。送受信装置52は通信装置3または4と通信を行
う。利用者データベース53は図1中の利用者IDデー
タベース34、44に相当する。記憶装置54は図1中
のセンタ識別子記憶部32、42とマスター鍵記憶部3
3、43に相当する。記憶装置55はハードディスクで
ある。記録媒体57は図1の認証符処理部31、41の
処理である認証符処理プログラムを記録したフロッピィ
ディスク、CD−ROM、光磁気ディスクなどの記録媒
体である。データ処理装置58はCPUを含み、記録媒
体57から認証符処理プログラムを読み込んで、これを
実行する。
Referring to FIG. 3, a center device according to another embodiment of the present invention includes an input device 51, a transmission / reception device 52, a user database 53, storage devices 54 and 55, and an output device 56.
, A recording medium 57, and a data processing device 58. The transmission / reception device 52 communicates with the communication device 3 or 4. The user database 53 corresponds to the user ID databases 34 and 44 in FIG. The storage device 54 includes the center identifier storage units 32 and 42 and the master key storage unit 3 in FIG.
3 and 43. The storage device 55 is a hard disk. The recording medium 57 is a recording medium such as a floppy disk, a CD-ROM, or a magneto-optical disk on which an authentication code processing program which is the processing of the authentication code processing units 31 and 41 in FIG. 1 is recorded. The data processing device 58 includes a CPU, reads an authentication code processing program from the recording medium 57, and executes the program.

【0021】[0021]

【発明の効果】以上説明したように、本発明によれば、
通信端末が通信網を介して複数のセンタ装置と通信を行
うシステムにおいて、あるセンタ装置に認証された通信
端末が別のセンタ装置と通信する度にセンタ装置間で通
信を行わなくても、認証トークンの作成毎に暗号化/復
号に使用する暗号鍵を変化させることが可能となり、ま
た、認証符の中にマスター鍵IDが含まれているので、
2個以上のマスター鍵IDとマスター鍵をマスター鍵記
憶部で管理することにより、サービス中断をすることな
くマスター鍵を更新することができる。
As described above, according to the present invention,
In a system in which a communication terminal communicates with a plurality of center devices via a communication network, even if a communication terminal that has been authenticated by one center device communicates with another center device without having to perform communication between the center devices, authentication can be performed. It is possible to change the encryption key used for encryption / decryption every time a token is created. Also, since the master key ID is included in the authentication code,
By managing two or more master key IDs and master keys in the master key storage unit, the master key can be updated without service interruption.

【図面の簡単な説明】[Brief description of the drawings]

【図1】本発明の一実施形態の通信システムの構成図で
ある。
FIG. 1 is a configuration diagram of a communication system according to an embodiment of the present invention.

【図2】図1の実施形態の動作を示すシーケンス図であ
る。
FIG. 2 is a sequence diagram showing an operation of the embodiment of FIG.

【図3】センタ装置の他の実施形態を示すブロック図で
ある。
FIG. 3 is a block diagram showing another embodiment of the center device.

【符号の説明】[Explanation of symbols]

1 通信端末 2 通信網 3、4 センタ装置 11 認証符管理部 31、41 認証符処理部 32、42 センタ識別子記憶部 33、43 マスター鍵記憶部 321、421 センタ識別子 331、431 マスター鍵ID 332、432 マスター鍵 341、441 利用者ID 201〜219 ステップ 51 入力装置 52 送受信装置 53 利用者IDデータベース 54、55 記憶装置 56 出力装置 57 記録媒体 58 データ処理装置 DESCRIPTION OF SYMBOLS 1 Communication terminal 2 Communication network 3 and 4 Center device 11 Authentication code management unit 31, 41 Authentication code processing unit 32, 42 Center identifier storage unit 33, 43 Master key storage unit 321, 421 Center identifier 331, 431 Master key ID 332, 432 Master key 341 441 User ID 201-219 Step 51 Input device 52 Transceiver device 53 User ID database 54, 55 Storage device 56 Output device 57 Recording medium 58 Data processing device

───────────────────────────────────────────────────── フロントページの続き (72)発明者 青木 敬浩 東京都千代田区大手町二丁目3番1号 日 本電信電話株式会社内 Fターム(参考) 5J104 AA01 AA07 AA16 EA01 EA04 EA26 JA03 KA01 KA02 KA03 KA04 MA07 NA03 NA05 NA11 NA12 NA27 NA36 NA37 NA38 PA07  ────────────────────────────────────────────────── ─── Continuing on the front page (72) Inventor Takahiro Aoki 2-3-1 Otemachi, Chiyoda-ku, Tokyo F-term within Nippon Telegraph and Telephone Corporation (reference) 5J104 AA01 AA07 AA16 EA01 EA04 EA26 JA03 KA01 KA02 KA03 KA04 MA07 NA03 NA05 NA11 NA12 NA27 NA36 NA37 NA38 PA07

Claims (3)

【特許請求の範囲】[Claims] 【請求項1】 通信端末が通信網を介して複数のセンタ
装置と通信を行う際の認証方法であって、 通信端末を認証したセンタ装置がランダム値を生成し、
センタ装置間で周期的に共有されるマスター鍵と前記ラ
ンダム値からセッション鍵を生成し、センタ装置間で秘
密に共有しているセンタ識別子と、前記通信端末と前記
センタ装置との間で認証が済んだ利用者の利用者IDを
前記セッション鍵で暗号化して認証トークンを生成し、
前記ランダム値と、前記認証トークンと、前記セッショ
ン鍵の生成に使用したマスター鍵を一意に識別するマス
ター鍵IDを連結した認証符を生成し、前記通信端末に
送信し、 前記通信端末は前記認証符を保持し、前記通信端末を認
証したセンタ装置とは別のセンタ装置と通信を行う際、
前記認証符を該別のセンタ装置に送信し、 該別のセンタ装置は、前記認証符を受信し、分解し、ラ
ンダム値と認証トークンとマスター鍵IDを取出し、該
マスター鍵IDと同じマスター鍵IDに対応するマスタ
ー鍵を取得し、前記マスター鍵と前記ランダム値からセ
ッション鍵を生成し、該セッション鍵により認証トーク
ンを復号して、センタ識別子と利用者IDを得、前記認
証トークンを生成したセンタ装置の正当性を検証し、利
用者を特定する、通信システムにおける認証方法。
1. An authentication method when a communication terminal communicates with a plurality of center devices via a communication network, wherein the center device authenticating the communication terminal generates a random value,
A session key is generated from the master key periodically shared between the center devices and the random value, and the center identifier secretly shared between the center devices and the authentication between the communication terminal and the center device are established. Encrypts the user ID of the completed user with the session key to generate an authentication token,
The communication terminal generates an authentication code in which the random value, the authentication token, and a master key ID that uniquely identifies a master key used for generating the session key are transmitted to the communication terminal. When communicating with a center device different from the center device that has authenticated the communication terminal,
Transmitting the authentication code to the another center device, the another center device receiving and disassembling the authentication code, extracting a random value, an authentication token, and a master key ID, and obtaining the same master key as the master key ID. A master key corresponding to an ID is obtained, a session key is generated from the master key and the random value, an authentication token is decrypted with the session key, a center identifier and a user ID are obtained, and the authentication token is generated. An authentication method in a communication system that verifies the validity of a center device and specifies a user.
【請求項2】 通信網を介して通信端末と通信を行うセ
ンタ装置において、 当該センタ装置だけが持つ秘密情報であるセンタ識別子
を保持しているセンタ識別子記憶部と、 他のセンタ装置との間で秘密共有しているマスター鍵I
Dとそれに対応するマスター鍵を保持しているマスター
鍵記憶部と、 利用者個々にユニークに付与された利用者IDを保持す
る利用者IDデータベースと、 通信端末との間で認証処理の結果、当該通信端末または
当該通信端末を使用する利用者の正当性が認められる
と、前記マスター鍵記憶部からマスター鍵を得、ランダ
ム値を生成し、前記マスター鍵と前記ランダム値からセ
ッション鍵を生成し、前記センタ識別子記憶部からセン
タ識別子を得、前記利用者IDデータベースから、前記
通信端末と当該センタ装置との間で認証が済んだ利用者
の利用者IDを得、前記センタ識別子と前記利用者ID
を連結したものを前記セッション鍵で暗号化して認証ト
ークンを生成し、前記ランダム値と、前記認証トークン
と、前記セッション鍵の生成に使用したマスター鍵に対
応するマスター鍵IDを連結した認証符を生成し、正当
性を認めた通信端末へ該認証符を送信し、また通信端末
から認証符を受け取ると、これを分解し、ランダム値と
認証トークンとマスター鍵IDを取出し、該マスター鍵
IDに対応するマスター鍵を前記マスター鍵記憶部から
取得し、該マスター鍵と前記ランダム値からセッション
鍵を生成し、該セッション鍵により認証トークンを復号
して、センタ識別子と利用者IDを得、該センタ識別子
と前記センタ識別子記憶部から得たセンタ識別子が一致
することを検証することにより、前記認証トークンを生
成したセンタ装置の正当性を検証し、前記利用者IDと
前記利用者IDデータベースから得た利用者IDとを照
合し、利用者を特定する処理を行う認証符処理部を有す
ることを特徴とするセンタ装置。
2. A center device that communicates with a communication terminal via a communication network, wherein a center identifier storage unit that holds a center identifier, which is secret information owned only by the center device, and another center device. Key I that is secretly shared by
D, a master key storage unit that holds a master key corresponding to D, a user ID database that holds a user ID uniquely assigned to each user, and a result of authentication processing between the communication terminal and When the validity of the communication terminal or the user using the communication terminal is recognized, a master key is obtained from the master key storage unit, a random value is generated, and a session key is generated from the master key and the random value. Obtaining a center identifier from the center identifier storage unit, obtaining a user ID of a user who has been authenticated between the communication terminal and the center device from the user ID database, and obtaining the center identifier and the user ID
Is encrypted with the session key to generate an authentication token, and an authentication code obtained by linking the random value, the authentication token, and a master key ID corresponding to the master key used for generating the session key is generated. Generate and transmit the authentication code to the communication terminal that has been validated, and when receiving the authentication code from the communication terminal, disassemble it, take out a random value, an authentication token and a master key ID, and A corresponding master key is obtained from the master key storage unit, a session key is generated from the master key and the random value, an authentication token is decrypted with the session key, and a center identifier and a user ID are obtained. A center device that has generated the authentication token by verifying that an identifier matches a center identifier obtained from the center identifier storage unit. Verifies the validity, collates the user ID obtained from the user ID database and the user ID, the center device, characterized in that an authentication mark processing unit that performs processing for specifying a user.
【請求項3】 通信端末が通信網を介して複数のセンタ
装置との通信を行う通信システムにおける認証プログラ
ムであって、 通信端末との間で認証処理符処理の結果、当該通信端末
または当該通信端末を使用する利用者の正当性が認めら
れると、マスター鍵記憶部からマスター鍵を得、ランダ
ム値を生成し、前記マスター鍵と前記ランダム値からセ
ッション鍵を生成する処理と、センタ識別子記憶部から
センタ識別子を得、利用者IDデータベースから、前記
通信端末と当該センタ装置との間で認証が済んだ利用者
の利用者IDを得、前記センタ識別子と前記利用者ID
を連結したものを前記セッション鍵で暗号化して、認証
トークンを生成する処理と、前記ランダム値と、前記認
証トークンと、前記セッション鍵の生成に使用したマス
ター鍵に対応するマスター鍵IDを連結した認証符を生
成する処理と、正当性を認めた通信端末へ該認証符を送
信する処理と、通信端末から認証符を受け取ると、これ
を分解し、ランダム値と認証トークンとマスター鍵ID
を取出す処理と、該マスター鍵IDに対応するマスター
鍵を前記マスター鍵記憶部から取得し、該マスター鍵と
前記ランダム値からセッション鍵を生成する処理と、該
セッション鍵により認証トークンを復号してセンタ識別
子と利用者IDを得る処理と、該センタ識別子と前記セ
ンタ識別子記憶部から得たセンタ識別子が一致すること
を検証することにより、前記認証トークンを生成したセ
ンタ装置の正当性を検証し、前記利用者IDと前記利用
者IDデータベースから得た利用者IDとを照合し、利
用者を特定する処理をコンピュータが実行するための認
証プログラムを記録した記録媒体。
3. An authentication program in a communication system in which a communication terminal communicates with a plurality of center devices via a communication network, wherein the result of an authentication process between the communication terminal and the communication terminal or the communication terminal. A process for obtaining a master key from a master key storage unit, generating a random value, and generating a session key from the master key and the random value when the validity of the user using the terminal is recognized; From the user ID database, the user ID of a user who has been authenticated between the communication terminal and the center device is obtained, and the center identifier and the user ID are obtained.
A process of encrypting the concatenation with the session key and generating an authentication token, concatenating the random value, the authentication token, and the master key ID corresponding to the master key used for generating the session key A process of generating an authentication code, a process of transmitting the authentication code to a communication terminal that has been authenticated, and a process of receiving the authentication code from the communication terminal, decomposing the authentication code, and generating a random value, an authentication token, and a master key ID.
Extracting a master key corresponding to the master key ID from the master key storage unit, generating a session key from the master key and the random value, and decrypting an authentication token with the session key. A process of obtaining a center identifier and a user ID, and verifying that the center identifier matches the center identifier obtained from the center identifier storage unit, thereby verifying the validity of the center device that generated the authentication token; A recording medium storing an authentication program for causing a computer to execute a process of identifying the user by comparing the user ID with a user ID obtained from the user ID database.
JP35610599A 1999-12-15 1999-12-15 Authentication method in communication system, center device, recording medium storing authentication program Expired - Fee Related JP3362780B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP35610599A JP3362780B2 (en) 1999-12-15 1999-12-15 Authentication method in communication system, center device, recording medium storing authentication program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP35610599A JP3362780B2 (en) 1999-12-15 1999-12-15 Authentication method in communication system, center device, recording medium storing authentication program

Publications (2)

Publication Number Publication Date
JP2001177513A true JP2001177513A (en) 2001-06-29
JP3362780B2 JP3362780B2 (en) 2003-01-07

Family

ID=18447362

Family Applications (1)

Application Number Title Priority Date Filing Date
JP35610599A Expired - Fee Related JP3362780B2 (en) 1999-12-15 1999-12-15 Authentication method in communication system, center device, recording medium storing authentication program

Country Status (1)

Country Link
JP (1) JP3362780B2 (en)

Cited By (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004048679A (en) * 2002-05-15 2004-02-12 Microsoft Corp Session key security protocol
KR100447623B1 (en) * 2002-01-31 2004-09-07 학교법인고려중앙학원 Authentication and payment based on ticket in wireless Internet
JP2005354264A (en) * 2004-06-09 2005-12-22 Kddi Corp System and method for providing personal information
JP2007053434A (en) * 2005-08-15 2007-03-01 Sharp Corp Encrypted electronic document processing system, service providing apparatus, and electronic document output apparatus
JP2007228501A (en) * 2006-02-27 2007-09-06 Kddi Corp Method of certification of user, certification server, and system
JP2008519488A (en) * 2004-10-29 2008-06-05 クゥアルコム・インコーポレイテッド System and method for providing multiple credential authentication protocols
RU2333608C2 (en) * 2001-10-09 2008-09-10 Квэлкомм Инкорпорейтед Method and device for provision of protection in data processing system
US7693508B2 (en) 2001-03-28 2010-04-06 Qualcomm Incorporated Method and apparatus for broadcast signaling in a wireless communication system
US7984487B2 (en) 2002-03-18 2011-07-19 Sony Corporation Information processing system, and information processing apparatus and method
JP2011160210A (en) * 2010-02-01 2011-08-18 Oki Electric Industry Co Ltd Communication terminal and communication system
US8077679B2 (en) 2001-03-28 2011-12-13 Qualcomm Incorporated Method and apparatus for providing protocol options in a wireless communication system
US8098818B2 (en) 2003-07-07 2012-01-17 Qualcomm Incorporated Secure registration for a multicast-broadcast-multimedia system (MBMS)
US8121296B2 (en) 2001-03-28 2012-02-21 Qualcomm Incorporated Method and apparatus for security in a data processing system
US8516239B2 (en) 2010-04-23 2013-08-20 Fuji Xerox Co., Ltd. Virtual authentication proxy server and terminal authentication server
US8630414B2 (en) 2002-06-20 2014-01-14 Qualcomm Incorporated Inter-working function for a communication system
US8713400B2 (en) 2001-10-12 2014-04-29 Qualcomm Incorporated Method and system for reduction of decoding complexity in a communication system
US8718279B2 (en) 2003-07-08 2014-05-06 Qualcomm Incorporated Apparatus and method for a secure broadcast system
US8724803B2 (en) 2003-09-02 2014-05-13 Qualcomm Incorporated Method and apparatus for providing authenticated challenges for broadcast-multicast communications in a communication system
US8971790B2 (en) 2003-01-02 2015-03-03 Qualcomm Incorporated Method and apparatus for broadcast services in a communication system
US9100457B2 (en) 2001-03-28 2015-08-04 Qualcomm Incorporated Method and apparatus for transmission framing in a wireless communication system

Cited By (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8077679B2 (en) 2001-03-28 2011-12-13 Qualcomm Incorporated Method and apparatus for providing protocol options in a wireless communication system
US9100457B2 (en) 2001-03-28 2015-08-04 Qualcomm Incorporated Method and apparatus for transmission framing in a wireless communication system
US7693508B2 (en) 2001-03-28 2010-04-06 Qualcomm Incorporated Method and apparatus for broadcast signaling in a wireless communication system
US8121296B2 (en) 2001-03-28 2012-02-21 Qualcomm Incorporated Method and apparatus for security in a data processing system
US8983065B2 (en) 2001-10-09 2015-03-17 Qualcomm Incorporated Method and apparatus for security in a data processing system
RU2333608C2 (en) * 2001-10-09 2008-09-10 Квэлкомм Инкорпорейтед Method and device for provision of protection in data processing system
US8730999B2 (en) 2001-10-12 2014-05-20 Qualcomm Incorporated Method and system for reduction of decoding complexity in a communication system
US8713400B2 (en) 2001-10-12 2014-04-29 Qualcomm Incorporated Method and system for reduction of decoding complexity in a communication system
KR100447623B1 (en) * 2002-01-31 2004-09-07 학교법인고려중앙학원 Authentication and payment based on ticket in wireless Internet
US7984487B2 (en) 2002-03-18 2011-07-19 Sony Corporation Information processing system, and information processing apparatus and method
US7971240B2 (en) 2002-05-15 2011-06-28 Microsoft Corporation Session key security protocol
JP2004048679A (en) * 2002-05-15 2004-02-12 Microsoft Corp Session key security protocol
US8630414B2 (en) 2002-06-20 2014-01-14 Qualcomm Incorporated Inter-working function for a communication system
US8971790B2 (en) 2003-01-02 2015-03-03 Qualcomm Incorporated Method and apparatus for broadcast services in a communication system
US8098818B2 (en) 2003-07-07 2012-01-17 Qualcomm Incorporated Secure registration for a multicast-broadcast-multimedia system (MBMS)
US8718279B2 (en) 2003-07-08 2014-05-06 Qualcomm Incorporated Apparatus and method for a secure broadcast system
US8724803B2 (en) 2003-09-02 2014-05-13 Qualcomm Incorporated Method and apparatus for providing authenticated challenges for broadcast-multicast communications in a communication system
JP4675583B2 (en) * 2004-06-09 2011-04-27 Kddi株式会社 Personal information providing system and method
JP2005354264A (en) * 2004-06-09 2005-12-22 Kddi Corp System and method for providing personal information
JP2008519488A (en) * 2004-10-29 2008-06-05 クゥアルコム・インコーポレイテッド System and method for providing multiple credential authentication protocols
JP4685876B2 (en) * 2004-10-29 2011-05-18 クゥアルコム・インコーポレイテッド System and method for providing multiple credential authentication protocols
US9231763B2 (en) 2004-10-29 2016-01-05 Qualcomm Incorporated System and method for providing a multi-credential authentication protocol
JP4584071B2 (en) * 2005-08-15 2010-11-17 シャープ株式会社 Encrypted electronic document processing system, service providing apparatus, and electronic document output apparatus
JP2007053434A (en) * 2005-08-15 2007-03-01 Sharp Corp Encrypted electronic document processing system, service providing apparatus, and electronic document output apparatus
JP2007228501A (en) * 2006-02-27 2007-09-06 Kddi Corp Method of certification of user, certification server, and system
JP2011160210A (en) * 2010-02-01 2011-08-18 Oki Electric Industry Co Ltd Communication terminal and communication system
US8516239B2 (en) 2010-04-23 2013-08-20 Fuji Xerox Co., Ltd. Virtual authentication proxy server and terminal authentication server

Also Published As

Publication number Publication date
JP3362780B2 (en) 2003-01-07

Similar Documents

Publication Publication Date Title
JP4617763B2 (en) Device authentication system, device authentication server, terminal device, device authentication method, and device authentication program
KR101265873B1 (en) Distributed single sign-on service
US5418854A (en) Method and apparatus for protecting the confidentiality of passwords in a distributed data processing system
US6993652B2 (en) Method and system for providing client privacy when requesting content from a public server
US7681033B2 (en) Device authentication system
JP3362780B2 (en) Authentication method in communication system, center device, recording medium storing authentication program
US7685421B2 (en) System and method for initializing operation for an information security operation
CN106357396A (en) Digital signature method, digital signature system and quantum key card
CN109728909A (en) Identity identifying method and system based on USBKey
US20060195402A1 (en) Secure data transmission using undiscoverable or black data
KR101452708B1 (en) CE device management server, method for issuing DRM key using CE device management server, and computer readable medium
CN112311537B (en) Block chain-based equipment access authentication system and method
JP2011521548A (en) Network helper for authentication between token and verifier
CN111080299B (en) Anti-repudiation method for transaction information, client and server
CN113872932B (en) SGX-based micro-service interface authentication method, system, terminal and storage medium
JP2001186122A (en) Authentication system and authentication method
JP2003188874A (en) System for secure data transmission
JP2004013560A (en) Authentication system, communication terminal, and server
CN112035820B (en) Data analysis method used in Kerberos encryption environment
JP2001344214A (en) Method for certifying terminal and cipher communication system
CN112769759B (en) Information processing method, information gateway, server and medium
JP2005086428A (en) Method of obtaining authentication and performing crypto communication, authenticating system and authenticating method
CN112769783A (en) Data transmission method, cloud server, receiving end and sending end
CN116996234B (en) Method for accessing terminal to authentication gateway, terminal and authentication gateway
JP2833747B2 (en) Key generator

Legal Events

Date Code Title Description
FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20071025

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20081025

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20091025

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101025

Year of fee payment: 8

LAPS Cancellation because of no payment of annual fees