JP2002041474A - 認証方法 - Google Patents

認証方法

Info

Publication number
JP2002041474A
JP2002041474A JP2000230380A JP2000230380A JP2002041474A JP 2002041474 A JP2002041474 A JP 2002041474A JP 2000230380 A JP2000230380 A JP 2000230380A JP 2000230380 A JP2000230380 A JP 2000230380A JP 2002041474 A JP2002041474 A JP 2002041474A
Authority
JP
Japan
Prior art keywords
key
client device
temporary use
encrypted
client
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2000230380A
Other languages
English (en)
Inventor
Teruhiko Unoki
輝彦 卯木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Oki Electric Industry Co Ltd
Original Assignee
Oki Electric Industry Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Oki Electric Industry Co Ltd filed Critical Oki Electric Industry Co Ltd
Priority to JP2000230380A priority Critical patent/JP2002041474A/ja
Publication of JP2002041474A publication Critical patent/JP2002041474A/ja
Pending legal-status Critical Current

Links

Abstract

(57)【要約】 【課題】 第三者機関による認証方法を用いて認証する
ときに、鍵の配布、変更、管理等を容易にする。 【解決手段】 クライアント装置にサービスを提供する
サーバ装置、及び、クライアント装置の認証に用いる鍵
を配布する鍵配布装置がクライアント装置を認証する認
証方法は、暗号用公開鍵及び復号用秘密鍵を用いて、一
時使用鍵を配布する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、分散処理システム
に用いられる認証方法に関する。
【0002】
【従来の技術】分散された資源をサービスとしてネット
ワーク経由でサーバ装置からクライアント装置へ提供す
る分散処理システムでは、資源は、ネットワーク上で、
盗聴、改竄、偽造等から守られる必要がある。そのため
に、サーバ装置とクライアント装置との間で認証が行わ
れる。認証方法として、信頼できる第三者機関が配布す
る認証用鍵を用いる方法がある。以下、この第三者機関
を鍵配布装置という。
【0003】第三者機関による認証方法によれば、鍵配
布装置によって配布される、特定の装置同士の間で一時
的に使用可能な一時使用鍵を用いて認証が行われる。具
体的には、まず、クライアント装置と鍵配布装置との間
での一時使用鍵(以下、「一時使用鍵[ク鍵]」とい
う。)を用いて、両装置間の認証を行い、次に、クライ
アント装置とサーバ装置との間での一時使用鍵(以下、
「一時使用鍵[クサ]」という。)を用いて両装置間の
認証を行う。
【0004】前者の認証は、クライアント装置及び鍵配
布装置が、共通鍵暗号化方式に従う共通鍵(以下、共通
鍵[ク鍵]という。)を予め所有していることを前提と
する。この前提の下に、鍵配布装置は、共通鍵[ク鍵]
を用いて暗号化された一時使用鍵[ク鍵]をクライアン
ト装置に配布し、クライアント装置は、その暗号化され
た一時使用鍵[ク鍵]を共通鍵[ク鍵]を用いて復号化
することにより、元の一時使用鍵[ク鍵]を得る。クラ
イアント装置が一時使用鍵[ク鍵]を得ると、両装置
は、両装置間の認証のために用いる認証用データに、一
時使用鍵[ク鍵]を用いて暗号化や復号化を施すことに
より交換し、この認証用データに基づき認証を行う。
【0005】後者の認証は、鍵配布装置とサーバ装置
が、共通鍵暗号化方式に従う共通鍵(以下、共通鍵[サ
鍵]という。)を予め所有していることを前提とする。
この前提の下に、鍵配布装置は、一時使用鍵[ク鍵]を
用いて暗号化された一時使用鍵[クサ]をクライアント
装置に配布し、また、共通鍵[サ鍵]を用いて暗号化さ
れた一時使用鍵[クサ]をクライアント装置を介してサ
ーバ装置に配布する。クライアント装置は、暗号化され
た一時使用鍵[クサ]を一時使用鍵[ク鍵]を用いて復
号化することにより元の一時使用鍵[クサ]を得て、ま
た、サーバ装置は、暗号化された一時使用鍵[クサ]を
共通鍵[サ鍵]を用いて復号化することにより元の一時
使用鍵[クサ]を得る。両装置が一時使用鍵[クサ]を
得ると、両装置は、両装置間の認証のために用いる認証
用データに、一時使用鍵[クサ]を用いて暗号化や復号
化を施すことにより交換し、この認証用データに基づき
認証を行う。
【0006】
【発明が解決しようとする課題】しかしながら、このよ
うな第三者機関によって配布される鍵を用いる認証方法
には、次のように数々の問題がある。第一に、一時使用
鍵[ク鍵]を配布するために共通鍵[ク鍵]を用いるこ
とから、鍵配布装置は、ネットワーク上で共通鍵[ク
鍵]自身が盗聴されることを回避すべく、共通鍵[ク
鍵]をネットワーク以外の経路、例えば、手渡し、郵
送、又は専用回線によりクライアント装置に配布する必
要がある。また、共通鍵[ク鍵]が長時間にわたる試行
錯誤の繰り返しにより、即ち総当たりにより解読される
ことを回避すべく、共通鍵[ク鍵]を定期的に変更する
ことが必要になる。さらに、共通鍵[ク鍵]はクライア
ント装置毎に異ならなければならないことから、クライ
アント装置の数と同数の共通鍵[ク鍵]を管理しなけれ
ばならない。
【0007】第二に、一時使用鍵[ク鍵]や一時使用鍵
[クサ]のような一時使用鍵は、一定の期間内であれば
利用者を問わず有効であることから、一時使用鍵を入手
した第三者が、その期間内に一時使用鍵をそのまま再利
用するという、いわゆるリプレイ攻撃をすることができ
るおそれがある。また、第三者が、一時使用鍵を用いて
総当たりの試みを行うことにより、共通鍵[ク鍵]や共
通鍵[サ鍵]を解読するおそれがある。
【0008】第三に、鍵配布装置は、一時使用鍵[ク
サ]をクライアント装置経由でサーバ装置に配布するこ
とから、ネットワークのトラフィックが増大する。
【0009】第四に、クライアント装置は、自己を鍵配
布装置やサーバ装置によって認証されることなく資源を
享受することや、クライアント装置が鍵配布装置やサー
バ装置を一方的に認証するだけで資源を享受することを
希望しても、そのような享受は、クライアント装置を必
ず認証する従来の認証方法では不可能である。
【0010】
【課題を解決するための手段】上記の問題を解決するた
めに、本発明の第1の認証方法によれば、クライアント
装置にサービスを提供するサーバ装置、及び、クライア
ント装置の認証に用いる鍵を配布する鍵配布装置がクラ
イアント装置を認証する認証方法であって、鍵配布装置
がクライアント装置を認証する第1のステップと、鍵配
布装置がクライアント装置を認証した後に、サーバ装置
がクライアント装置を認証する第2のステップとを含
み、第1のステップは、鍵配布装置が、鍵配布装置とク
ライアント装置との間での認証のために一時的に使用可
能な一時使用鍵[ク鍵]をクライアント装置の復号用秘
密鍵に対応する暗号用公開鍵で暗号化し、暗号化された
一時使用鍵[ク鍵]をクライアント装置へ送信するステ
ップと、クライアント装置が、暗号化された一時使用鍵
[ク鍵]を復号用秘密鍵で復号化することにより、一時
使用鍵[ク鍵]を得るステップと、クライアント装置
が、鍵配布装置がクライアント装置を認証するために用
いるクライアント装置認証用データを一時使用鍵[ク
鍵]で暗号化し、暗号化されたクライアント装置認証用
データを鍵配布装置へ送信するステップと、鍵配布装置
が、暗号化されたクライアント装置認証用データを一時
使用鍵[ク鍵]で復号化することにより、クライアント
装置認証用データを得るステップと、鍵配布装置が、復
号化されたクライアント装置認証用データに基づきクラ
イアント装置を認証するステップと、鍵配布装置がクラ
イアント装置を認証したときに、鍵配布装置が、第2の
ステップでサーバ装置がクライアント装置を認証するた
めに用いる、クライアント装置とサーバ装置との間で一
時的に使用可能な一時使用鍵[クサ]をクライアント装
置及びサーバ装置へ送信するステップとを含む。
【0011】本発明の第2の認証方法によれば、クライ
アント装置にサービスを提供するサーバ装置、及び、ク
ライアント装置の認証に用いる鍵を配布する鍵配布装置
がクライアント装置を認証する認証方法は、鍵配布装置
がクライアント装置を認証する第1のステップと、鍵配
布装置がクライアント装置を認証した後に、サーバ装置
がクライアント装置を認証する第2のステップとを含
み、第1のステップは、鍵配布装置が、クライアント装
置と鍵配布装置との間での認証のために一時的に使用可
能な一時使用鍵[ク鍵]をクライアント装置と鍵配布装
置との間の共通鍵[ク鍵]で暗号化し、暗号化された一
時使用鍵[ク鍵]をクライアント装置へ送信するステッ
プと、クライアント装置が、暗号化された一時使用鍵
[ク鍵]を共通鍵[ク鍵]で復号化することにより、一
時使用鍵[ク鍵]を得るステップと、クライアント装置
が、鍵配布装置が所有する秘密鍵で暗号化された一時使
用鍵[ク鍵]を鍵配布装置へ送信する送信ステップと、
鍵配布装置が、暗号化された一時使用鍵[ク鍵]を秘密
鍵で復号化することにより、一時使用鍵[ク鍵]を得る
ステップと、クライアント装置が、鍵配布装置がクライ
アント装置を認証するために用いるクライアント装置認
証用データを一時使用鍵[ク鍵]で暗号化し、暗号化さ
れたクライアント装置認証用データを鍵配布装置へ送信
するステップと、鍵配布装置が、暗号化されたクライア
ント装置認証用データを、復号化された一時使用鍵[ク
鍵]で復号化することにより、クライアント装置認証用
データを得るステップと、鍵配布装置が、復号化された
クライアント装置認証用データに基づきクライアント装
置を認証するステップと、鍵配布装置が、クライアント
装置とサーバ装置との間での認証のために一時的に使用
可能な一時使用鍵[クサ]を一時使用鍵[ク鍵]で暗号
化し、暗号化された一時使用鍵[クサ]をクライアント
装置へ送信するステップとを含み、鍵配布装置がクライ
アント装置へ一時使用鍵[クサ]を送信するステップ
は、鍵配布装置がクライアント装置へ、次回の送信ステ
ップでクライアント装置が鍵配布装置へ送信すべき、秘
密鍵で暗号化された一時使用鍵[ク鍵]を送信するステ
ップを有する。
【0012】本発明の第3の認証方法によれば、クライ
アント装置、クライアント装置にサービスを提供するサ
ーバ装置、及び、認証に用いる鍵を配布する鍵配布装置
の間で互いに認証する認証方法は、鍵配布装置がクライ
アント装置を認証する第1のステップと、鍵配布装置が
クライアント装置を認証した後に、サーバ装置がクライ
アント装置を認証する第2のステップと、サーバ装置が
クライアント装置を認証した後に、クライアント装置が
サーバ装置を認証する第3のステップとを含み、第1の
ステップは、鍵配布装置が、クライアント装置と鍵配布
装置との間での認証のために一時的に使用可能な一時使
用鍵[ク鍵]をクライアント装置と鍵配布装置との間の
共通鍵[ク鍵]で暗号化し、暗号化された一時使用鍵
[ク鍵]をクライアント装置へ送信するステップと、ク
ライアント装置が、暗号化された一時使用鍵[ク鍵]を
共通鍵[ク鍵]で復号化することにより、一時使用鍵
[ク鍵]を得るステップとを有し、第2のステップは、
鍵配布装置が、クライアント装置とサーバ装置との間で
認証のために一時的に使用可能な一時使用鍵[クサ]を
一時使用鍵[ク鍵]で暗号化し、暗号化された一時使用
鍵[クサ]をクライアント装置へ送信するステップと、
クライアント装置が、暗号化された一時使用鍵[クサ]
を一時使用鍵[ク鍵]で復号化することにより、一時使
用鍵[クサ]を得るステップと、クライアント装置が、
鍵配布装置とサーバ装置との間の共通鍵[サ鍵]で暗号
化された一時使用鍵[クサ]をサーバ装置へ送信する送
信ステップと、サーバ装置が、暗号化された一時使用鍵
[クサ]を共通鍵[サ鍵]で復号化することにより、一
時使用鍵[クサ]を得るステップと、クライアント装置
が、クライアント装置を認証するためのクライアント装
置認証用データを一時使用鍵[クサ]で暗号化し、暗号
化されたクライアント装置認証用データをサーバ装置へ
送信するステップと、サーバ装置が、暗号化されたクラ
イアント装置認証用データを、一時使用鍵[クサ]で復
号化することにより、クライアント装置認証用データを
得るステップと、サーバ装置が、クライアント装置認証
用データに基づきクライアント装置を認証するステップ
とを有し、第3のステップは、サーバ装置が、サーバ装
置を認証するためのサーバ装置認証用データを一時使用
鍵[クサ]で暗号化し、暗号化されたサーバ装置認証用
データをクライアント装置へ送信するステップと、クラ
イアント装置が、暗号化されたサーバ装置認証用データ
を一時使用鍵[クサ]で復号化することにより、サーバ
装置認証用データを得るステップと、クライアント装置
が、サーバ装置認証用データに基づきサーバ装置を認証
するステップとを有し、サーバ装置がクライアント装置
にサーバ装置認証用データを送信するステップは、サー
バ装置がクライアント装置に、次回の送信ステップでク
ライアント装置がサーバ装置へ送信すべき、共通鍵[サ
鍵]で暗号化された一時使用鍵[クサ]を送信するステ
ップを有する。
【0013】本発明の第4の認証方法によれば、ネット
ワークを介してクライアント装置にサービスを提供する
サーバ装置、及び、リンクを介してサーバ装置に接続さ
れており認証に用いる鍵をネットワーク及びリンクを介
して配布する鍵配布装置がクライアント装置を認証する
認証方法は、鍵配布装置がクライアント装置を認証する
第1のステップと、鍵配布装置がクライアント装置を認
証した後に、サーバ装置がクライアント装置を認証する
第2のステップとを含み、第1のステップは、鍵配布装
置が、クライアント装置と鍵配布装置との間での認証の
ために一時的に使用可能な一時使用鍵[ク鍵]をクライ
アント装置と鍵配布装置との間の共通鍵[ク鍵]で暗号
化し、暗号化された一時使用鍵[ク鍵]をクライアント
装置へ送信するステップと、クライアント装置が、暗号
化された一時使用鍵[ク鍵]を共通鍵[ク鍵]で復号化
することにより、一時使用鍵[ク鍵]を得るステップ
と、第2のステップは、クライアント装置が、サーバ装
置がクライアント装置を認証するために用いるクライア
ント装置認証用データを一時使用鍵[ク鍵]で暗号化
し、暗号化されたクライアント装置認証用データを鍵配
布装置へ送信するステップと、鍵配布装置が、暗号化さ
れたクライアント装置認証用データを一時使用鍵[ク
鍵]で復号化することにより、クライアント装置認証用
データを得るステップと、鍵配布装置が、クライアント
装置認証用データを共通鍵[サ鍵]で暗号化し、暗号化
されたクライアント装置認証用データをサーバ装置へ送
信するステップと、サーバ装置が、暗号化されたクライ
アント装置認証用データを共通鍵[サ鍵]で復号化する
ことにより、クライアント装置認証用データを得るステ
ップと、サーバ装置が、クライアント装置認証用データ
に基づきクライアント装置を認証するステップとを含
む。
【0014】本発明の第5の認証方法によれば、エージ
ェントが、クライアント装置にサービスを提供するサー
バ装置、及びクライアント装置の認証に用いる鍵を配布
する鍵配布装置と、クライアント装置との間での認証を
代行するする認証方法は、エージェントが、クライアン
ト装置を認証する第1のステップと、エージェントがク
ライアント装置を認証した後に、サーバ装置が、エージ
ェントを認証する第2のステップとを含み、第1のステ
ップは、鍵配布装置が、クライアント装置とエージェン
トとの間での認証のために一時的に使用可能な一時使用
鍵[クエ]をクライアント装置と鍵配布装置との間の共
通鍵[ク鍵]で暗号化し、暗号化された一時使用鍵[ク
エ]をクライアント装置へ送信するステップと、クライ
アント装置が、暗号化された一時使用鍵[クエ]を共通
鍵[ク鍵]で復号化することにより、一時使用鍵[ク
エ]を得るステップと、鍵配布装置が、一時使用鍵[ク
エ]をエージェントと鍵配布装置との間の共通鍵[エ
鍵]で暗号化し、暗号化された一時使用鍵[クエ]をエ
ージェントへ送信するステップと、エージェントが、暗
号化された一時使用鍵[クエ]を共通鍵[エ鍵]で復号
化することにより、一時使用鍵[クエ]を得るステップ
と、クライアント装置が、エージェントがクライアント
装置を認証するために用いるクライアント装置認証用デ
ータを一時使用鍵[クエ]で暗号化し、暗号化されたク
ライアント装置認証用データをエージェントへ送信する
ステップと、エージェントが、暗号化されたクライアン
ト装置認証用データを一時使用鍵[クエ]で復号化する
ことにより、クライアント装置認証用データを得るステ
ップと、エージェントが、クライアント装置認証用デー
タに基づきクライアント装置を認証するステップと、第
2のステップは、鍵配布装置が、エージェントとサーバ
装置との間での認証のために一時的に使用可能な一時使
用鍵[エサ]を鍵配布装置とエージェントとの間の共通
鍵[エ鍵]で暗号化し、暗号化された一時使用鍵[エ
サ]をエージェントへ送信するステップと、エージェン
トが、暗号化された一時使用鍵[エサ]を共通鍵[エ
鍵]で復号化することにより、一時使用鍵[エサ]を得
るステップと、鍵配布装置が、一時使用鍵[エサ]を鍵
配布装置とサーバ装置との間の共通鍵[サ鍵]で暗号化
し、暗号化された一時使用鍵[エサ]をサーバ装置へ送
信するステップと、サーバ装置が、暗号化された一時使
用鍵[エサ]を共通鍵[サ鍵]で復号化することによ
り、一時使用鍵[エサ]を得るステップと、エージェン
トが、サーバ装置がエージェントを認証するために用い
るエージェント認証用データを一時使用鍵[エサ]で暗
号化し、暗号化されたエージェント認証用データをサー
バ装置へ送信するステップと、サーバ装置が、暗号化さ
れたエージェント認証用データを一時使用鍵[エサ]で
復号化することにより、エージェント認証用データを得
るステップと、サーバ装置が、エージェント認証用デー
タに基づきエージェントを認証するステップとを含む。
【0015】本発明の第6の認証方法によれば、クライ
アント装置が、クライアント装置にサービスを提供する
サーバ装置、及び、認証に用いる鍵を配布する鍵配布装
置を認証する認証方法であって、クライアント装置が鍵
配布装置を認証する第1のステップと、クライアント装
置が鍵配布装置を認証した後に、クライアント装置がサ
ーバ装置を認証する第2のステップとを含み、第1のス
テップは、クライアント装置が、クライアント装置と鍵
配布装置との間での認証のために一時的に使用可能な一
時使用鍵[ク鍵]を鍵配布装置の復号用秘密鍵に対応す
る暗号用公開鍵で暗号化し、暗号化された一時使用鍵
[ク鍵]を鍵配布装置へ送信するステップと、鍵配布装
置が、暗号化された一時使用鍵[ク鍵]を復号用秘密鍵
で復号化することにより、一時使用鍵[ク鍵]を得るス
テップと、クライアント装置が、クライアント装置が鍵
配布装置を認証するために用いる鍵配布装置認証用デー
タを暗号用公開鍵で暗号化し、暗号化された鍵配布装置
認証用データを鍵配布装置へ送信するステップと、鍵配
布装置が、暗号化された鍵配布装置認証用データを復号
用秘密鍵で復号化することにより、鍵配布装置認証用デ
ータを得るステップと、鍵配布装置が、鍵配布装置認証
用データを一時使用鍵[ク鍵]で暗号化し、暗号化され
た鍵配布装置認証用データをクライアント装置へ送信す
るステップと、クライアント装置が、暗号化された鍵配
布装置認証用データを一時使用鍵[ク鍵]で復号化する
ことにより、鍵配布装置認証用データを得るステップ
と、クライアント装置が、鍵配布装置認証用データに基
づき鍵配布装置を認証するステップとを有し、第2のス
テップは、鍵配布装置が、クライアント装置とサーバ装
置との間での認証のために一時的に使用可能な一時使用
鍵[クサ]を一時使用鍵[ク鍵]で暗号化し、暗号化さ
れた一時使用鍵[クサ]をクライアント装置へ送信する
ステップと、クライアント装置が、暗号化された一時使
用鍵[クサ]を一時使用鍵[ク鍵]で復号化することに
より、一時使用鍵[クサ]を得るステップと、鍵配布装
置が、一時使用鍵[クサ]を鍵配布装置とサーバ装置と
の間の共通鍵[サ鍵]で暗号化し、暗号化された一時使
用鍵[クサ]をサーバ装置へ送信するステップと、サー
バ装置が、暗号化された一時使用鍵[クサ]を共通鍵
[サ鍵]で復号化することにより、一時使用鍵[クサ]
を得るステップと、クライアント装置が、クライアント
装置がサーバ装置を認証するために用いるサーバ装置認
証用データを一時使用鍵[クサ]で暗号化し、暗号化さ
れたサーバ装置認証用データをサーバ装置へ送信するス
テップと、サーバ装置が、暗号化されたサーバ装置認証
用データを一時使用鍵[クサ]で復号化することによ
り、サーバ装置認証用データを得るステップと、サーバ
装置が、サーバ装置認証用データを一時使用鍵[クサ]
で暗号化し、暗号化されたサーバ装置認証用データをク
ライアント装置へ送信するステップと、クライアント装
置が、暗号化されたサーバ装置認証用データを一時使用
鍵[クサ]で復号化することにより、サーバ装置認証用
データを得るステップと、クライアント装置が、サーバ
装置認証用データに基づきサーバ装置を認証するステッ
プとを含む。
【0016】
【発明の実施の形態】以下、発明の実施の形態について
説明する。実施の形態として、具体例1〜具体例6を説
明する。具体例1は、クライアント装置と鍵配布装置と
の間の鍵として暗号用公開鍵及び復号用秘密鍵を用いる
ことを主な特徴とする。具体例2及び具体例3は、鍵配
布装置がクライアント装置へ次回使用すべきチケット交
付チケットTGTまたはサービスチケットSTを送信す
ることを主な特徴とする。具体例4は、鍵配布装置がサ
ーバ装置へサービスチケットSTを直接配布することを
特徴とする。具体例5は、エージェント装置6がクライ
アント装置、鍵配布装置、及びサーバ装置の間で行うべ
き手続の一部を代行することを主な特徴とする。具体例
6は、クライアント装置が鍵配布装置またはサーバ装置
によって認証されることなくサービスを提供されること
を主な特徴とする。
【0017】〈具体例1〉図1は、具体例1の認証シス
テムの構成を示す図である。図示されるように、認証シ
ステムは、複数のクライアント装置1A〜1C、複数の
サーバ装置2A、2B、鍵配布装置3、及び、ネットワ
ーク4を含む。これらの装置1、2、3は、ネットワー
ク4を介して、認証やサービスの授受のために、装置の
識別番号、装置を認証するための認証用データ、暗号化
/復号化のための鍵等を含む暗号化されたメッセージ
(以下、[暗号化メッセージ]という。)やチケット等
を交換する。ここで、チケットとは、暗号化メッセージ
のうち、サービスの提供や享受に関するものをいう。
【0018】クライアント装置1A〜1Cは、例えば、
パーソナルコンピュータやワークステーションを備え、
サーバ装置2A、2B、及び鍵配布装置3は、主にワー
クステーションから構成される。また、ネットワーク4
は、トポロジー、プロトコル、物理媒体を問わず、例え
ば、既存の電話網やインターネット等から構成される。
【0019】クライアント装置1A〜1Cは、享受する
ことを希望するサービスの提供をサーバ装置2A、2B
に要求し、サーバ装置2A、2Bは、そのサービスをク
ライアント装置1A〜1Cへ提供する。例えば、クライ
アント装置1Aがサーバ装置2Bにサービスとしてファ
イルの転送を要求すると、サーバ装置2Bは、要求され
たファイルをクライアント装置1Aに転送する。サービ
スについては、ファイル転送の他に、例えば、プログラ
ムの実行、データの検索等があり、商業的には、商品の
発注や座席の予約等がある。
【0020】鍵配布装置3は、サーバ装置2A、2Bが
クライアント装置1A〜1Cにサービスを提供するに先
立って行う認証に用いる鍵をクライアント装置1A〜1
C、及びサーバ装置2A、2Bに配布する。クライアン
ト装置1A〜1C、サーバ装置2A、2B、及び鍵配布
装置3は、このような鍵を用いて相互に認証を行う。
【0021】認証に用いられる鍵を以下のように定義す
る。暗号用公開鍵[X]は、公開鍵暗号化方式に基づき
装置Xへ送信するときに用いるべき暗号鍵をいい、復号
用秘密鍵[X]は、公開鍵暗号化方式に基づき装置Xが
受信したときに用いるべき復号鍵をいう。暗号用公開鍵
[X]は、予め装置X以外の装置に配布され、復号用秘
密鍵[X]は、装置Xのみが予め所有している。
【0022】一時使用鍵[XY]は、共通鍵暗号化方式
に基づき装置X及び装置Yとの間で送受信するときに一
時的に使用可能な一時使用鍵をいう。鍵配布装置3によ
って作成され、装置X及びY(X、Yは鍵配布装置3を
含むことがある)に配布される。
【0023】共通鍵[XY]は、共通鍵暗号化方式に基
づき装置X及びYの間で送受信するときに用いるべき鍵
をいう。共通鍵[XY]は、装置X及び装置Yが認証に
先立ち所有している。
【0024】親鍵は、共通鍵暗号化方式に基づき、鍵配
布装置3が自己に送信するときに用いられ、また、鍵配
布装置3が自己から受信するときに用いられる。仮鍵
[XY]は、装置X及び装置Yとの間で一時使用鍵より
も一層短い期間だけ使用可能な鍵をいう。
【0025】図2は、クライアント装置の構成を示す図
である。図示されるように、クライアント装置1は、通
信部10、記憶部11、暗号/復号部12、及び処理部
13を備える。
【0026】通信部10は、ネットワーク4を介してサ
ーバ装置2及び鍵配布装置3との間で、認証及びサービ
スに関する通信を行う。記憶部11は、クライアントの
識別番号であるクライアント識別番号CID、暗号化メ
ッセージ、鍵、チケット等を長期的にまたは暫定的に記
憶する。
【0027】暗号/復号部12は、通信部10が送信す
べきメッセージを暗号化したり、通信部10が受信した
暗号化メッセージを、記憶部11に記憶された鍵を用い
て復号化したりする。処理部13は、送信すべきメッセ
ージ、例えば、認証用データである乱数を作成したり、
受信したメッセージに基づいてサーバ装置2や鍵配布装
置3を認証したり、クライアント装置1全体の動作を監
視・制御したりする。
【0028】図3は、サーバ装置の構成を示す図であ
る。図示されるように、サーバ装置2もまた、通信部2
0、記憶部21、暗号/復号部22、及び処理部23を
備える。通信部20は、ネットワーク4を介してクライ
アント装置1及び鍵配布装置3との間で、認証及びサー
ビスに関する通信を行う。
【0029】記憶部21は、メッセージ、鍵、チケッ
ト、時刻等を長期的にまたは暫定的に記憶する。暗号/
復号部22は、通信部20が送信すべきメッセージを暗
号化したり、通信部20が受信した暗号化されたメッセ
ージや鍵を、記憶部21に記憶された鍵を用いて復号化
したりする。処理部23は、送信すべきメッセージを作
成したり、受信したメッセージに基づいてクライアント
装置1や鍵配布装置3を認証したり、サーバ装置2全体
の動作を監視・制御したりする。
【0030】図4は、鍵配布装置の構成を示す図であ
る。図示されるように、鍵配布装置3は、通信部30、
記憶部31、暗号/復号部32、及び処理部33を備え
る。通信部30は、ネットワーク4を介してクライアン
ト装置1及びサーバ装置2との間で、認証及びサービス
に関する通信を行う。
【0031】記憶部31は、メッセージ、鍵、チケッ
ト、時刻、リストを長期的にまたは暫定的に記憶する。
リストとしては、例えば、正規に登録されたクライアン
ト装置1A〜1Cの一覧表(以下、「クライアント・リ
スト」という。)を記憶する。3は、このリストを、ク
ライアント装置1A〜1Cを認証するときに用いる。
【0032】暗号/復号部32は、通信部30が送信す
べきメッセージを暗号化したり、通信部10が受信した
暗号化されたメッセージを、記憶部31に記憶された鍵
を用いて復号化したりする。処理部33は、認証用の鍵
を作成したり、送信すべきメッセージを作成したり、受
信したメッセージに基づいてクライアント装置1やサー
バ装置2を認証したり、鍵配布装置3全体の動作を監視
・制御したりする。
【0033】図5は、具体例1の認証システムの動作を
示す図である。以下、この図に沿ってその動作を説明す
る。説明及び理解を容易にすべく、クライアント装置1
Aがサーバ装置2Bからサービスを提供されるための認
証を行うことを想定する。
【0034】〈鍵配布装置認証要求〉 ステップS1000:クライアント装置1Aは、クライ
アント識別番号CID及び暗号用公開鍵[ク]を暗号用
公開鍵[鍵]で暗号化することにより暗号化メッセージ
EM10を作成し、鍵配布装置3に送信する。
【0035】ステップS1010:鍵配布装置3は、暗
号化メッセージEM10を受信すると、それを復号用秘
密鍵[鍵]で復号化する。これにより、クライアント識
別番号CID及び暗号用公開鍵[ク]を得る。
【0036】〈鍵配布装置認証応答〉 ステップS1020:鍵配布装置3は、クライアント識
別番号CIDを元にクライアント・リストを参照するこ
とによりクライアント装置1Aが正規に登録されている
ことを確認すると、一時使用鍵[ク鍵]を作成する。一
時使用鍵[ク鍵]を作成すると、クライアント識別番号
CID及び一時使用鍵[ク鍵]を、暗号用公開鍵[ク]
で暗号化することにより暗号化メッセージEM11を作
成し、また、親鍵で暗号化することによりチケット交付
チケットTGTを作成する。ここで、チケット交付チケ
ットTGTとは、サービスの享受に必要なサービスチケ
ットSTの交付を請求するときに必要なチケットをい
う。鍵配布装置3は、作成した暗号化メッセージEM1
1及びチケット交付チケットTGTをクライアント装置
1Aへ送信する。送信した後、鍵配布装置3は、一時使
用鍵[ク鍵]を破棄する。
【0037】ステップS1030:クライアント装置1
Aは、暗号化メッセージEM11及びチケット交付チケ
ットTGTを受信すると、復号用秘密鍵[ク]で復号化
することにより、クライアント識別番号CID及び一時
使用鍵[ク鍵]を得る。クライアント装置1Aは、ま
た、チケット交付チケットTGTをそのまま保存する。
【0038】〈チケット要求〉 ステップS1040:鍵配布装置認証要求及び鍵配布装
置認証応答を終了すると、クライアント装置1Aは、サ
ーバ装置2Bの識別番号であるサーバ識別番号SID及
びチケット交付チケットTGTを鍵配布装置3へ送信す
る。ステップS1050:鍵配布装置3は、サーバ識別
番号SID及びチケット交付チケットTGTを受信する
と、チケット交付チケットTGTを親鍵で復号化するこ
とによりクライアント識別番号CID及び一時使用鍵
[ク鍵]を得る。
【0039】〈チケット発行〉 ステップS1060:受信したチケット交付チケットT
GTが過去に受信したチケット交付チケットTGTのい
ずれとも異なることを確認すると、鍵配布装置3は、一
時使用鍵[クサ]を作成する。一時使用鍵[クサ]を作
成すると、鍵配布装置3は、クライアント識別番号CI
D、サーバ識別番号SID、及び一時使用鍵[クサ]を
共通鍵[サ鍵]で暗号化することによりサービスチケッ
トSTを作成する。鍵配布装置3は、また、一時使用鍵
[クサ]を一時使用鍵[ク鍵]で暗号化することにより
暗号化メッセージEM12を作成する。鍵配布装置3
は、作成したサービスチケットST及び暗号化メッセー
ジEM12をクライアント装置1Aへ送信する。
【0040】ステップS1070:クライアント装置1
Aは、サービスチケットST及び暗号化メッセージEM
12を受信すると、暗号化メッセージEM12を一時使
用鍵[ク鍵]で復号化することにより一時使用鍵[ク
サ]を得る。クライアント装置1Aは、また、受信した
サービスチケットSTをそのまま保存する。
【0041】〈サービス要求〉 ステップS1080:チケット要求及びチケット発行を
終了すると、クライアント装置1Aは、現在の時刻t1
を一時使用鍵[クサ]で暗号化することにより暗号化メ
ッセージEM13を作成する。作成を終えると、クライ
アント装置1Aは、暗号化メッセージEM13及びサー
ビスチケットSTをサーバ装置2Bへ送信する。
【0042】ステップS1090:サーバ装置2Bは、
暗号化メッセージEM13及びサービスチケットSTを
受信すると、サービスチケットSTを共通鍵[サ鍵]で
復号化することにより、クライアント識別番号CID、
サーバ識別番号SID、及び一時使用鍵[クサ]を得
る。サーバ装置2Bは、サーバ識別番号によりサービス
を提供すべき装置が自己の装置であることを認識し、ク
ライアント識別番号CIDによりいずれのクライアント
装置にサービスを提供すべきを認識する。
【0043】サーバ装置2Bは、また、暗号化メッセー
ジEM12をその一時使用鍵[クサ]で復号化すること
により時刻t1を得る。さらに、サーバ装置2Bは、時
刻t1と現在の時刻を比較することにより、クライアン
ト装置1Aを認証する。具体的には、時刻t1が現在の
時刻から一定の時間内にあるときには、クライアント装
置1Aを正当なクライアント装置であると判断し、それ
以外のときには、正当なクライアント装置でないと判断
する。
【0044】〈サービス応答〉 ステップS1100:サーバ装置2Bは、クライアント
装置1とサーバ装置2との間で予め定められた規則に従
って時刻t1に処理を施すことにより、例えば、1を加
算するという規則に従って時刻t1に1を加算すること
により時刻t1+1を作成する。サーバ装置2Bは、さ
らに、時刻t1+1を一時使用鍵[クサ]で暗号化する
ことにより暗号化メッセージEM14を作成し、クライ
アント装置1Aへ送信する。
【0045】ステップS1110:クライアント装置1
Aは、暗号化メッセージEM14を受信すると、一時使
用鍵[クサ]で復号化することにより時刻t1+1を得
る。クライアント装置1Aは、時刻t1+1と時刻t1
とを比較することによりサーバ装置2Bを認証する。具
体的には、時刻t1と時刻t1+1との差が1であるこ
とを確認することによりサーバ装置2Bが正規のサーバ
装置であると判断し、そうでないときには、正規のサー
バ装置でないと判断する。このようにして、クライアン
ト装置1A、サーバ装置2B、及び鍵配布装置3の間で
の認証が終了する。
【0046】上述したように、鍵配布装置認証要求及び
鍵配布装置認証応答のときに、公開鍵暗号化方式による
暗号用公開鍵及び復号用秘密鍵を用いることから、共通
鍵暗号化方式による共通鍵を用いていた従来の認証シス
テムと異なり、ネットワーク以外の経路で鍵を配布した
り、解読を避けるために鍵を定期的に変更したり、クラ
イアント装置の数と同数の鍵を管理したり等の煩雑な手
続を回避することが可能になる。
【0047】上述した例では、暗号用公開鍵[ク]は、
クライアント装置1Aから鍵配布装置3へ送信される。
このような送信の代わりに、暗号用公開鍵[ク]は、証
明装置に格納されてもよい。
【0048】図6は、具体例1の他の認証システムの構
成を示す図である。図示されるように、この認証システ
ムは、上記の認証システムを構成するクライアント装置
1A〜1C、サーバ装置2A、2B、鍵配布装置3、及
びネットワーク4に加えて、証明装置5を備える。
【0049】証明装置5は、鍵配布装置3からクライア
ント識別番号CIDを受信し、そのクライアント識別番
号CIDに対応する暗号用公開鍵[ク]を鍵配布装置3
へ返信する。そのために、予めクライアント装置毎に暗
号用公開鍵[ク]を記憶している。
【0050】図7は、具体例1の他の認証システムの動
作を示す図である。以下、この図に沿ってその動作を説
明する。 〈鍵配布装置認証要求〉 ステップS1200:クライアント装置1Aは、クライ
アント識別番号CIDを暗号用公開鍵[鍵]で暗号化す
ることにより暗号化メッセージEM15を作成し、鍵配
布装置3へ送信する。
【0051】〈クライアント装置証明要求〉 ステップS1210:暗号化メッセージEM15を受信
すると、鍵配布装置3は、復号用秘密鍵[鍵]で復号化
することによりクライアント識別番号CIDを得る。鍵
配布装置3は、さらに、クライアント識別番号CIDを
証明装置5へ送信する。
【0052】〈クライアント装置証明応答〉 ステップS1220:証明装置5は、クライアント識別
番号CIDを受信すると、クライアント識別番号CID
に対応する暗号用公開鍵[ク]を検索する。暗号用公開
鍵[ク]を検索すると、証明装置5は、暗号用公開鍵
[ク]を鍵配布装置3へ送信する。
【0053】〈鍵配布装置認証応答〉 ステップS1230:暗号用公開鍵[ク]を受信する
と、鍵配布装置3は、上記の認証システムの鍵配布装置
認証応答と同様に、暗号化メッセージEM11及びチケ
ット交付チケットTGTを作成し、クライアント装置1
Aへ送信する。これ以後の動作は、上記の認証システム
の動作と同様である。
【0054】上述したように、具体例1の他の認証シス
テムによれば、証明装置5が暗号用公開鍵[ク]を予め
記憶しており、証明装置5が暗号用公開鍵[ク]を鍵配
布装置3へ送信する。従って、先に説明した認証システ
ムに比べて、クライアント装置1Aと鍵配布装置3との
間の通信量を低減することが可能になる。このことは、
特に、通信のための処理や時間等に制限があるクライア
ント装置1A〜1Cを含む認証システムにとって極めて
有効である。
【0055】〈具体例2〉具体例2の認証システムの構
成は、具体例1の先の認証システムの構成と同様であ
る。具体例2の認証システムでは、鍵配布装置3は、一
時使用鍵[ク鍵](1)、一時使用鍵[ク鍵](2)、
…、一時使用鍵[ク鍵](m)のように次々と一時使用
鍵[ク鍵]を作成する。これにより、一時使用鍵[ク
鍵](1)を用いて、初回に用いるチケット交付チケッ
トTGTを作成し、一時使用鍵[ク鍵](2)、…、一
時使用鍵[ク鍵](m)を順次用いて、次回以後に用い
るチケット交付チケットTGTnを次々に作成する。
【0056】図8は、具体例2の認証システムの動作を
示す図である。以下、この図に沿って動作を説明する。
なお、具体例2以後の具体例では、クライアント・リス
トの使用、クライアント識別番号、サーバ識別番号の使
用、時刻の使用等は、原則として、具体例1のそれらと
同一である。 〈鍵配布装置認証要求〉 ステップS2000:クライアント装置1Aは、クライ
アント識別番号CIDを鍵配布装置3へ送信する。
【0057】〈鍵配布装置認証応答〉 ステップS2010:鍵配布装置3は、クライアント識
別番号CIDを受信すると、クライアント識別番号CI
D及び一時使用鍵[ク鍵](1)を親鍵で暗号化するこ
とによりチケット交付チケットTGTを作成する。鍵配
布装置3は、また、クライアント識別番号CID及び一
時使用鍵[ク鍵](1)を共通鍵[ク鍵]で暗号化する
ことにより暗号化メッセージEM20を作成する。作成
を終えると、鍵配布装置3は、チケット交付チケットT
GT及び暗号化メッセージEM20をクライアント装置
1Aへ送信する。
【0058】ステップS2020:チケット交付チケッ
トTGT及び暗号化メッセージEM20を受信すると、
クライアント装置1Aは、暗号化メッセージEM20を
共通鍵[ク鍵]で復号化することによりクライアント識
別番号CID及び一時使用鍵[ク鍵](1)を得る。ク
ライアント装置1Aは、一時使用鍵[ク鍵](1)をそ
のまま保存する。
【0059】〈チケット要求〉 ステップS2030:クライアント装置1Aは、サーバ
識別番号SID及びチケット交付チケットTGTを鍵配
布装置3へ送信する。 ステップS2040:鍵配布装置3は、受信したチケッ
ト交付チケットTGTを過去に受信したチケット交付チ
ケットTGTと比較することにより新規であることを確
認すると、チケット交付チケットTGTを親鍵で復号化
することにより一時使用鍵[ク鍵](1)を得る。
【0060】〈チケット発行〉 ステップS2050:一時使用鍵[ク鍵](1)を得る
と、鍵配布装置3は、一時使用鍵[クサ]、及び一時使
用鍵[ク鍵](2)を作成する。一時使用鍵の作成を終
えると、鍵配布装置3は、クライアント識別番号CID
及び一時使用鍵[ク鍵](2)を親鍵で暗号化すること
により、チケット交付チケットTGTnを作成する。ま
た、クライアント識別番号CID、サーバ識別番号SI
D、及び一時使用鍵[ク鍵](1)を共通鍵[サ鍵]で
暗号化することによりサービスチケットSTを作成す
る。さらに、サーバ識別番号SID、一時使用鍵[ク
サ]、及び一時使用鍵[ク鍵](2)を一時使用鍵[ク
鍵](1)で暗号化することにより暗号化メッセージE
M21を作成する。作成を終了すると、鍵配布装置3
は、チケット交付チケットTGTn、サービスチケット
ST、及び暗号化メッセージEM21をクライアント装
置1Aへ送信する。
【0061】ステップS2060:クライアント装置1
Aは、暗号化メッセージEM21、チケット交付チケッ
トTGTn、及びサービスチケットSTを受信すると、
暗号化メッセージEM21を一時使用鍵[ク鍵](1)
で復号化することにより、サーバ識別番号SID、一時
使用鍵[クサ]、及び一時使用鍵[ク鍵](2)を得
る。クライアント装置1Aは、チケット交付チケットT
GTn及びサービスチケットSTをそのまま保存する。
【0062】〈サービス要求〉 ステップS2070:クライアント装置1Aは、現在の
時刻t1を一時使用鍵[クサ]で暗号化することにより
暗号化メッセージEM22を作成する。作成を終える
と、クライアント装置1Aは、サービスチケットST及
び暗号化メッセージEM22をサーバ装置2Bへ送信す
る。
【0063】〈サービス応答〉 ステップS2080:サーバ装置2Bは、サービスチケ
ットST及び暗号化メッセージEM22を受信すると、
サービスチケットSTを共通鍵[サ鍵]で復号化するこ
とにより一時使用鍵[クサ]を得る。また、サーバ装置
2Bは、暗号化メッセージEM22を一時使用鍵[ク
サ]で復号化することにより時刻t1を得る。サーバ装
置2Bは、時刻t1と現在の時刻とを比較することによ
り、クライアント装置1Aを認証する。
【0064】ステップS2090:認証を終了すると、
サーバ装置2Bは、時刻t1に1を加算することにより
時刻t1+1を作成し、時刻t1+1を一時使用鍵[ク
サ]で暗号化することにより暗号化メッセージEM23
を作成し、クライアント装置1Aへ送信する。
【0065】ステップS2100:クライアント装置1
Aは、暗号化メッセージEM23を一時使用鍵[クサ]
で復号化することにより時刻t1+1を得る。クライア
ント装置1Aは、時刻t1+1と時刻t1とを比較する
ことにより、サーバ装置2Bを認証する。
【0066】〈次回のチケット要求〉 ステップS2110:クライアント装置1Aは、次回の
チケット要求時に、チケット発行時(ステップS206
0)に入手したチケット交付チケットTGTnを用い
る。以後、チケット発行時に入手したチケット交付チケ
ットTGTnを次回のチケット要求時に使用するという
サイクルを繰り返す。
【0067】上述したように、具体例2の認証システム
によれば、各チケット交付チケットTGTは1回限りの
み使用されることから、同一のチケット交付チケットT
GTを複数回使用していた従来の認証システムと異な
り、チケット交付チケットTGTをそのまま再利用する
というリプレイ攻撃を回避することができ、また、チケ
ット交付チケットTGTを用いた総当たりの試みによる
共通鍵[サ鍵]の解読を回避することが可能になる。
【0068】〈具体例3〉具体例3の認証システムの構
成もまた、具体例1や具体例2の認証システムと同様で
ある。具体例3の鍵配布装置3は、一時使用鍵[クサ]
(1)、一時使用鍵[クサ](2)、…、一時使用鍵
[クサ](m)を次々に作成する。これに伴い、一時使
用鍵[クサ](1)を用いて、初回のサービスチケット
STを作成し、また、一時使用鍵[クサ](2)、…、
一時使用鍵[クサ](m)を用いて次回以後のサービス
チケットSTを順々に作成する。
【0069】図9は、具体例3の認証システムの動作を
示す図である。この図に沿って動作を説明する。 〈鍵配布装置認証要求〉 ステップS3000:クライアント装置1Aは、クライ
アント識別番号CIDを鍵配布装置3へ送信する。
【0070】〈鍵配布装置認証応答〉 ステップS3010:鍵配布装置3は、クライアント識
別番号CIDを受信すると、クライアント識別番号CI
Dに対応する共通鍵[ク鍵]を検索し、また、一時使用
鍵[ク鍵]を作成する。鍵配布装置3は、さらに、クラ
イアント識別番号CID及び一時使用鍵[ク鍵]を共通
鍵[ク鍵]で暗号化することにより暗号化メッセージE
M30を作成し、また、クライアント識別番号CID及
び一時使用鍵[ク鍵]を親鍵で暗号化することによりチ
ケット交付チケットTGTを作成する。鍵配布装置3
は、暗号化メッセージEM30及びチケット交付チケッ
トTGTをクライアント装置1Aへ送信する。送信を終
了した時点で、鍵配布装置3は、一時使用鍵[ク鍵]を
破棄する。
【0071】ステップS3020:クライアント装置1
Aは、暗号化メッセージEM30及びチケット交付チケ
ットTGTを受信すると、暗号化メッセージEM30を
共通鍵[ク鍵]で復号化することにより、クライアント
識別番号CID及び一時使用鍵[ク鍵]を得る。クライ
アント装置1Aは、チケット交付チケットTGT及び一
時使用鍵[ク鍵]をそのまま保存する。
【0072】〈チケット要求〉 ステップS3030:クライアント装置1Aは、サーバ
識別番号SID及びチケット交付チケットTGTをサー
バ装置2Bへ送信する。
【0073】〈チケット発行〉 ステップS3040:サーバ装置2Bは、サーバ識別番
号SID及びチケット交付チケットTGTを受信する
と、チケット交付チケットTGTを親鍵で復号化するこ
とにより、一時使用鍵[ク鍵]を得る。サーバ装置2B
は、さらに、一時使用鍵[クサ](1)を作成する。サ
ーバ装置2Bは、サーバ識別番号SID及び一時使用鍵
[クサ](1)を一時使用鍵[ク鍵]で暗号化すること
により暗号化メッセージEM31を作成し、また、クラ
イアント識別番号CID、サーバ識別番号SID、及び
一時使用鍵[クサ](1)を共通鍵[サ鍵]で暗号化す
ることによりサービスチケットSTを作成する。作成を
終えると、サーバ装置2Bは、暗号化メッセージEM3
1及びサービスチケットSTをクライアント装置1Aへ
送信する。
【0074】ステップS3050:クライアント装置1
Aは、暗号化メッセージEM31及びサービスチケット
STを受信すると、暗号化メッセージEM31を一時使
用鍵[ク鍵]で復号化することによりサーバ識別番号S
ID及び一時使用鍵[クサ](1)を得る。クライアン
ト装置1Aは、サービスチケットSTをそのまま保存す
る。
【0075】〈サービス要求〉 ステップS3060:クライアント装置1Aは、現在の
時刻t1を一時使用鍵[クサ](1)で暗号化すること
により暗号化メッセージEM32を作成する。クライア
ント装置1Aは、サービスチケットST及び暗号化メッ
セージEM32をサーバ装置2Bへ送信する。
【0076】ステップS3070:サーバ装置2Bは、
サービスチケットST及び暗号化メッセージEM32を
受信すると、サービスチケットSTを共通鍵[サ鍵]で
復号化することにより一時使用鍵[クサ](1)を得
る。さらに、サーバ装置2Bは、暗号化メッセージEM
32を一時使用鍵[クサ](1)で復号化することによ
り時刻t1を得る。サーバ装置2Bは、時刻t1と現在
の時刻を比較することにより、クライアント装置1Aを
認証する。
【0077】〈サービス応答〉 ステップS3080:認証を終了すると、サーバ装置2
Bは、時刻t1に1を加算することにより時刻t1+1
を作成し、また、新たな一時使用鍵[クサ](2)を作
成する。鍵配布装置3は、さらに、時刻t1+1を一時
使用鍵[クサ](1)で暗号化することにより暗号化メ
ッセージEM33を作成し、また、クライアント識別番
号CID、サーバ識別番号SID、及び一時使用鍵[ク
サ](2)を共通鍵[サ鍵]で暗号化することによりサ
ービスチケットSTnを作成する。ここで、本来的に
は、一時使用鍵[クサ]は、鍵配布装置3によって作成
されるべきであるが、本具体例では、サーバ装置2Bに
よって作成される。作成を終えると、サーバ装置2B
は、暗号化メッセージEM33及びサービスチケットS
Tnをクライアント装置1Aへ送信する。
【0078】ステップS3090:クライアント装置1
Aは、暗号化メッセージEM33及びサービスチケット
STnを受信すると、暗号化メッセージEM33を一時
使用鍵[クサ](1)で復号化することにより時刻t1
+1を得る。クライアント装置1Aは、さらに、この時
刻t1+1と時刻t1とを比較することによりサーバ装
置2Bを認証する。また、クライアント装置1Aは、サ
ービスチケットSTnをそのまま保存する。
【0079】〈次回のサービス要求〉ステップS310
0:クライアント装置1Aは、次回のサービス要求時
に、現在の時刻t2を、サービス応答時(ステップS3
070)で入手した一時使用鍵[クサ](2)で暗号化
することにより、暗号化メッセージEM32と同様な暗
号化メッセージを作成する。作成を終えると、クライア
ント装置1Aは、サービス応答時(ステップS307
0)で入手したサービスチケットSTn及び作成した暗
号化メッセージをサーバ装置2Bへ送信する。以後、サ
ービス応答時に入手した一時使用鍵[クサ]及びサービ
スチケットSTnを次回のサービス要求に使用するとい
うサイクルを繰り返す。
【0080】上述したように、具体例3の認証システム
によれば、各サービスチケットSTは1回限りのみ使用
されることから、同一のサービスチケットSTを複数回
使用していた従来の認証システムに比べて、サービスチ
ケットSTをそのまま再利用するというリプレイ攻撃を
回避することができる。
【0081】〈具体例4〉具体例4の認証システムの構
成は、上記の具体例1の先の認証システムの構成と同様
である。以下、具体例4の認証システムの動作のみを説
明する。〈鍵配布装置認証要求〉図10は、具体例4の
認証システムの動作を示す図である。この図に沿って動
作を説明する。ステップS4000:クライアント装置
1Aは、クライアント識別番号CIDを鍵配布装置3へ
送信する。
【0082】〈鍵配布装置認証応答〉 ステップS4010:鍵配布装置3は、クライアント識
別番号CIDを受信すると、クライアント識別番号CI
Dに対応する共通鍵[ク鍵]を検索する。検索を終える
と、鍵配布装置3は、クライアント識別番号CID及び
一時使用鍵[ク鍵]を共通鍵[ク鍵]で暗号化すること
により暗号化メッセージEM40を作成する。鍵配布装
置3は、暗号化メッセージEM40をクライアント装置
1Aへ送信する。鍵配布装置3は、この一時使用鍵[ク
鍵]を保存する。
【0083】ステップS4020:クライアント装置1
Aは、暗号化メッセージEM40を受信すると、共通鍵
[ク鍵]で復号化することにより、クライアント識別番
号CID及び一時使用鍵[ク鍵]を得る。クライアント
装置1Aは、この一時使用鍵[ク鍵]をそのまま保存す
る。
【0084】〈サービス要求〉 ステップS4030:クライアント装置1Aは、サーバ
識別番号SID及び現在の時刻t1を一時使用鍵[ク
鍵]で暗号化することにより暗号化メッセージEM41
を作成する。作成した後、クライアント装置1Aは、暗
号化メッセージEM41及びクライアント識別番号CI
Dを鍵配布装置3へ送信する。
【0085】ステップS4040:鍵配布装置3は、暗
号化メッセージEM41及びクライアント識別番号CI
Dを受信すると、暗号化メッセージEM41を一時使用
鍵[ク鍵]で復号化することによりサーバ識別番号SI
D及び時刻t1を得る。鍵配布装置3は、さらに、時刻
t1と現在の時刻を比較することによりクライアント装
置1Aを認証する。
【0086】〈サービス開始指示〉 ステップS4050:認証を終了すると、鍵配布装置3
は、一時使用鍵[クサ]を作成する。鍵配布装置3は、
さらに、一時使用鍵[クサ]及び時刻t1を共通鍵[サ
鍵]で暗号化することにより暗号化メッセージEM42
を作成し、また、一時使用鍵[クサ]及びクライアント
識別番号CIDを一時使用鍵[ク鍵]で暗号化すること
により暗号化メッセージEM43を作成する。作成を終
えると、鍵配布装置3は、両暗号化メッセージEM4
2、43をサーバ装置2Bへ送信する。
【0087】ステップS4060:暗号化メッセージE
M42、43を受信すると、サーバ装置2Bは、暗号化
メッセージEM42を共通鍵[サ鍵]で復号化すること
により一時使用鍵[クサ]及び時刻t1を得る。サーバ
装置2Bは、時刻t1及び現在の時刻を比較することに
より、クライアント装置1Aを認証する。
【0088】〈サービス応答〉 ステップS4070:認証を終了すると、サーバ装置2
Bは、現在の時刻t2を一時使用鍵[クサ]で暗号化す
ることにより暗号化メッセージEM44を作成する。作
成を終えると、サーバ装置2Bは、暗号化メッセージE
M43、44をクライアント装置1Aへ送信する。
【0089】ステップS4080:暗号化メッセージE
M43、44を受信すると、クライアント装置1Aは、
暗号化メッセージEM43を一時使用鍵[ク鍵]で復号
化することにより、クライアント識別番号CID及び一
時使用鍵[クサ]を得る。さらに、クライアント装置1
Aは、暗号化メッセージEM44を一時使用鍵[クサ]
で復号化することにより時刻t2を得る。クライアント
装置1Aは、時刻t2と現在の時刻を比較することによ
り、サーバ装置2Bを認証する。
【0090】上述したように、具体例4の認証システム
によれば、鍵配布装置3は、一時使用鍵[クサ]を暗号
化メッセージEM42により直接、サーバ装置2Bへ送
信する。従って、従来と異なり、鍵配布装置3は、一時
使用鍵[クサ]をクライアント装置1A経由で送信しな
いことから、クライアント装置1Aとサーバ装置2Bと
の間の通信量や通信回数を低減することが可能になる。
【0091】上述した具体例4の認証システムでは、ク
ライアント装置1Aとサーバ装置2Bとの間でサーバ識
別番号SIDが送受信されている。サーバ識別番号SI
Dを送受信する代わりに、クライアント装置1Aが利用
することを希望するサーバ装置の種別であるサーバ装置
種別SAを送受信してもよい。
【0092】図11は、具体例4の認証システムの他の
動作を示す図である。以下、この図に沿って動作を説明
する。
【0093】〈サービス要求〉 ステップS4200:上記の動作と同様にして、ステッ
プS4000〜4020の鍵配布装置認証要求及び鍵配
布装置認証応答を終了すると、クライアント装置1A
は、現在の時刻t1及びサーバ装置種別SAを一時使用
鍵[ク鍵]で暗号化することにより暗号化メッセージE
M45を作成し、鍵配布装置3へ送信する。
【0094】ステップS4210:暗号化メッセージE
M45を受信すると、鍵配布装置3は、一時使用鍵[ク
鍵]で復号化することにより時刻t1及びサーバ装置種
別SAを得る。鍵配布装置3は、サーバ装置種別SAに
対応するサーバ装置を検索する。さらに、鍵配布装置3
は、検索された複数のサーバ装置のうち、予め定められ
た優先順位に従って最適なサーバ装置を選択する。ここ
で、優先順位とは、例えば、サービスを提供する能力が
大きいサーバ装置を優先的に選択したり、現時点の負荷
がより少ないサーバ装置を優先的に選択したりする等で
ある。ここでは、この優先順位に従って鍵配布装置3が
サーバ装置2Aを選択することを想定する。
【0095】〈サービス開始指示〉 ステップS4220:サーバ装置2Aを選択すると、鍵
配布装置3は、サーバ装置2Aへ上記のステップS40
50と同様にして、暗号化メッセージEM42、43を
送信する。以後の動作は、上記のステップS4060の
動作と同様である。
【0096】上述したように、この例の鍵配布装置3
は、クライアント装置1Aの要求に応じて複数のサーバ
装置2A、2Bの中から所定の優先順位に従いサーバ装
置2Aを選択することから、先の例の認証システムでの
サーバ装置2Bよりもサービスの提供に適したサーバ装
置2Aがサービスを提供することが可能になる。
【0097】〈具体例5〉図12は、具体例5の認証シ
ステムの構成を示す図である。図示されるように、この
認証システムは、図1に示される具体例1の認証システ
ムにエージェント装置6が追加された構成を有する。エ
ージェント装置6は、クライアント装置1、サーバ装置
2、及び鍵配布装置3の間で行うべき手続を代行する。
【0098】図13は、エージェント装置の構成を示す
図である。図示されるように、手続を代行すべく、エー
ジェント装置6は、通信部60、記憶部61、暗号/復
号部62、及び処理部63を備える。
【0099】通信部60は、ネットワーク4を介して、
クライアント装置1、サーバ装置2、及び鍵配布装置3
の間での認証及びサービスの代行のための通信を行う。
記憶部61は、メッセージ、鍵、チケット、時刻等を長
期的にまたは暫定的に記憶する。暗号/復号部62は、
通信部60が送信すべきメッセージを暗号化したり、通
信部60が受信した暗号化されたメッセージを、記憶部
61に記憶された鍵を用いて復号化したりする。処理部
63は、送信すべきメッセージを作成したり、認証すべ
き装置を、受信したメッセージに基づき認証したり、エ
ージェント装置6全体の動作を監視・制御したりする。
【0100】図14は、具体例5の認証システムの動作
を示す図である。以下、この図に沿って動作を説明す
る。 〈鍵配布装置認証要求〉 ステップS5000:クライアント装置1Aは、クライ
アント識別番号CID及びサーバ識別番号SIDを鍵配
布装置3へ送信する。
【0101】〈チケット発行〉、〈鍵配布装置認証応
答〉 ステップS5010:クライアント識別番号CID及び
サーバ識別番号SIDを受信すると、鍵配布装置3は、
一時使用鍵[クエ]、及び一時使用鍵[クサ]を作成す
る。それらの鍵を作成すると、鍵配布装置3は、一時使
用鍵[クエ]及び一時使用鍵[クサ]を共通鍵[エ鍵]
で暗号化することにより暗号化メッセージEM50を作
成し、クライアント識別番号CID、サーバ識別番号S
ID、及び一時使用鍵[クサ]を共通鍵[サ鍵]で暗号
化することによりサービスチケットSTを作成し、クラ
イアント識別番号CID、一時使用鍵[クエ]、及び一
時使用鍵[クサ]を共通鍵[ク鍵]で暗号化することに
より暗号化メッセージEM51を作成する。作成を終え
ると、鍵配布装置3は、クライアント識別番号CID、
暗号化メッセージEM50、及びサービスチケットST
をエージェント装置6へ送信し、また、暗号化メッセー
ジEM51をクライアント装置1Aへ送信する。
【0102】ステップS5020:暗号化メッセージE
M51を受信すると、クライアント装置1Aは、共通鍵
[ク鍵]で復号化することによりクライアント識別番号
CID、一時使用鍵[クエ]、及び一時使用鍵[クサ]
を得て、一時使用鍵[クエ]及び一時使用鍵[クサ]を
保存する。
【0103】〈エージェントサービス要求〉 ステップS5030:クライアント装置1Aは、現在の
時刻t1を一時使用鍵[クエ]で暗号化することにより
暗号化メッセージEM52を作成し、暗号化メッセージ
EM52、クライアント識別番号CID、及びサーバ識
別番号SIDをエージェント装置6へ送信する。
【0104】ステップS5040:暗号化メッセージE
M52、クライアント識別番号CID、及びサーバ識別
番号SIDを受信すると、鍵配布装置3から受信した暗
号化メッセージEM50を共通鍵[エ鍵]で復号化する
ことにより一時使用鍵[クエ]及び一時使用鍵[クサ]
を得て、さらに、暗号化メッセージEM52を一時使用
鍵[クエ]で復号化することにより時刻t1を得る。エ
ージェント装置6は、時刻t1及び現在の時刻を比較す
ることによりクライアント装置1Aを認証する。
【0105】〈サーバサービス要求〉 ステップS5050:認証を終了すると、エージェント
装置6は、現在の時刻t2を一時使用鍵[エサ]で暗号
化することにより暗号化メッセージEM53を作成す
る。作成を終えると、エージェント装置6は、暗号化メ
ッセージEM53及びサービスチケットSTを鍵配布装
置3へ送信する。
【0106】ステップS5060:暗号化メッセージE
M53及びサービスチケットSTを受信すると、鍵配布
装置3は、サービスチケットSTを共通鍵[サ鍵]で復
号化することによりクライアント識別番号CID、サー
バ識別番号SID、一時使用鍵[エサ]、及び一時使用
鍵[クサ]を得る。さらに、鍵配布装置3は、暗号化メ
ッセージEM53を一時使用鍵[エサ]で復号化するこ
とにより時刻t2を得る。鍵配布装置3は、時刻t2と
現在の時刻を比較することによりエージェント装置6を
認証する。
【0107】〈サーバサービス応答〉 ステップS5070:認証を終了すると、鍵配布装置3
は、時刻t2に1を加算することにより時刻t2+1を
作成し、この時刻t2+1を一時使用鍵[エサ]で暗号
化することにより暗号化メッセージEM54を作成し、
エージェント装置6へ送信する。
【0108】ステップS5080:暗号化メッセージE
M54を受信すると、エージェント装置6は、暗号化メ
ッセージEM54を一時使用鍵[エサ]で復号化するこ
とにより時刻t2+1を得る。この時刻t2+1及び元
の時刻t2を比較することによりサーバ装置2Bを認証
する。
【0109】〈エージェントサービス応答〉 ステップS5090:認証を終了すると、エージェント
装置6は、時刻t1に1を加算することにより時刻t1
+1を作成し、この時刻t1+1を一時使用鍵[クエ]
で暗号化することにより暗号化メッセージEM55を作
成し、クライアント装置1Aへ送信する。
【0110】ステップS5100:暗号化メッセージE
M55を受信すると、クライアント装置1Aは、一時使
用鍵[クエ]で復号化することにより時刻t1+1を得
る。クライアント装置1Aは、さらに、時刻t1+1及
び元の時刻t1を比較することによりエージェント装置
6を認証する。
【0111】上述したように、具体例5の認証システム
によれば、サービスチケットSTをエージェント装置6
が受信しかつ保管する。従って、サービスチケットST
をクライアント装置1Aが鍵配布装置3から受信し、か
つそのサービスチケットSTをクライアント装置1Aが
サーバ装置2Bへ送信していた従来の認証システムに比
して、クライアント装置1A及び鍵配布装置3の間、及
びクライアント装置1A及びサーバ装置2Bの間の通信
量及び通信回数を低減することが可能になる。
【0112】上記の具体例5の認証システムでは、クラ
イアント装置1Aとサーバ装置2Bとの間でサーバ識別
番号SIDが送受信されている。サーバ識別番号SID
を送受信する代わりに、サーバ装置種別SAを送受信し
てもよい。このサーバ装置種別SAは、具体例4の後の
認証システムが用いるサーバ装置種別SAと同様であ
る。
【0113】図15は、具体例5の認証システムの他の
動作を示す図である。以下、この図に沿って動作を説明
する。 〈鍵配布装置認証要求〉 ステップS5200:クライアント装置1Aは、クライ
アント識別番号CID、及びサーバ装置種別SAを鍵配
布装置3へ送信する。
【0114】〈チケット発行〉 ステップS5210:鍵配布装置3は、サーバ装置種別
SAを含むサービスチケットSTをエージェント装置6
へ送信する。
【0115】〈エージェントサービス要求〉 ステップS5220:クライアント装置1Aは、クライ
アント識別番号CID、サーバ装置種別SA、及び上述
した暗号化メッセージEM51をエージェント装置6へ
送信する。
【0116】〈サーバサービス要求〉 ステップS5230:クライアント識別番号CID、サ
ーバ装置種別SA、暗号化メッセージEM51を受信す
ると、サーバ装置種別SAに対応するサーバ装置のうち
一のサーバ装置を予め定められた優先順位に従って選択
する。ここで、優先順位とは、上述した具体例4の優先
順位と同様である。ここでは、エージェント装置6がサ
ーバ装置2Aを選択したことを想定する。
【0117】〈サーバサービス要求〉 ステップS5240:エージェント装置6は、サーバ装
置2Aへ上述した暗号化メッセージEM53、及びサー
ビスチケットSTを送信する。これ以後の動作は、上述
した認証システムの動作と同様である。
【0118】上述したように、具体例5の他の認証シス
テムによれば、エージェント装置6は、クライアント装
置1Aの要求に応じて複数のサーバ装置2A、2Bの中
から所定の優先順位に従いサーバ装置2Aを選択する。
従って、上述した先の例の認証システムでのサーバ装置
2Bよりもサービスの提供に適したサーバ装置2Aがサ
ービスを提供することが可能になる。
【0119】上記の具体例5の認証システムでは、エー
ジェントサービス要求が行われる時刻を管理しないが、
エージェントサービス要求を行うことができる有効期間
を管理することが望ましい。
【0120】図16は、具体例5の認証システムの別な
動作を示す図である。以下、この図に沿って動作を説明
する。 〈チケット発行〉 ステップS5400:鍵配布装置認証要求を終了する
と、鍵配布装置3は、クライアント識別番号CID、暗
号化メッセージEM50、サービスチケットST、及び
有効期限tv1をエージェント装置6へ送信する。ま
た、鍵配布装置3は、暗号化メッセージEM51、及び
有効期限tv1をクライアント装置1Aへ送信する。こ
こで、有効期限tv1は、クライアント装置1Aがエー
ジェントサービス要求を行うことができる期限を示す。
【0121】〈エージェントサービス要求〉 ステップS5410:暗号化メッセージEM51、及び
有効期限tv1を受信すると、クライアント装置1A
は、クライアント識別番号CID、サーバ識別番号SI
D、及び暗号化メッセージEM52をエージェント装置
6へ送信する。
【0122】〈サーバサービス要求〉 ステップS5420:クライアント識別番号CID、サ
ーバ識別番号SID、及び暗号化メッセージEM50を
受信すると、エージェント装置6は、クライアント装置
1Aから受信した暗号化メッセージEM52に含まれる
時刻t1が有効期限tv1内であるか否かを確認する。
エージェント装置6は、時刻t1が有効期限tv1内で
あるときには、サーバ装置2Bへサーバサービス要求を
行う。
【0123】〈エージェントサービス応答〉 ステップS5430:サーバサービス応答を経て、暗号
化メッセージEM54を受信すると、エージェント装置
6は、暗号化メッセージEM55及び新たな有効期限t
v2をクライアント装置1Aへ送信する。以後、クライ
アント装置1Aからエージェントサービス要求を有効期
限tv2、tv3、…内に受信する毎に有効期限tv
3、tv4、…をクライアント装置1Aへ送信する。こ
のようにして、有効期限tvは、エージェントサービス
要求の発生頻度に応じて更新される。
【0124】上述したように、具体例5の認証システム
によれば、クライアント装置1Aからエージェント装置
6へのエージェントサービス要求をその要求の発生頻度
に応じた有効期限によって許可または禁止することか
ら、エージェント装置6内の資源をエージェントサービ
ス要求に応じて効率的に利用することが可能になる。
【0125】〈具体例6〉具体例6の認証システムの構
成は、具体例1の認証システムの構成と同一である。以
下、その動作を詳述する。図17は、具体例6の認証シ
ステムの動作を示す図である。以下、この図に沿って動
作を説明する。
【0126】〈鍵配布装置認証要求〉 ステップS6000:クライアント装置1Aは、乱数等
からなる認証用データを作成すると、認証用データ及び
一時使用鍵[ク鍵]を暗号用公開鍵[鍵]で暗号化する
ことにより暗号化メッセージEM60を作成し、鍵配布
装置3へ送信する。
【0127】〈鍵配布装置認証応答〉 ステップS6010:暗号化メッセージEM60を受信
すると、鍵配布装置3は、復号用秘密鍵[鍵]で復号化
することにより認証用データ及び一時使用鍵[ク鍵]を
得る。鍵配布装置3は、さらに、認証用データを一時使
用鍵[ク鍵]で暗号化することにより暗号化メッセージ
EM61を作成し、また、一時使用鍵[ク鍵]を親鍵で
暗号化することによりチケット交付チケットTGTを作
成する。鍵配布装置3は、暗号化メッセージEM61及
びチケット交付チケットTGTをクライアント装置1A
へ送信する。
【0128】〈チケット要求〉 ステップS6020:暗号化メッセージEM61及びチ
ケット交付チケットTGTを受信すると、クライアント
装置1Aは、暗号化メッセージEM61を一時使用鍵
[ク鍵]で復号化することにより認証用データを得る。
クライアント装置1Aは、得られた認証用データと元の
認証用データを比較することにより、鍵配布装置3を認
証する。クライアント装置1Aは、チケット交付チケッ
トTGTをそのまま保存する。
【0129】〈チケット要求〉 ステップS6030:クライアント装置1Aは、サーバ
識別番号SID及びチケット交付チケットTGTを鍵配
布装置3へ送信する。 ステップS6040:サーバ識別番号SID及びチケッ
ト交付チケットTGTを受信すると、鍵配布装置3は、
チケット交付チケットTGTを親鍵で復号化することに
より一時使用鍵[ク鍵]を得る。
【0130】〈チケット発行〉 ステップS6050:鍵配布装置3は、サーバ識別番号
SID及び一時使用鍵[クサ]を共通鍵[サ鍵]で暗号
化することによりサービスチケットSTを作成し、ま
た、サーバ識別番号SID及び一時使用鍵[クサ]を一
時使用鍵[ク鍵]で暗号化することにより暗号化メッセ
ージEM62を作成する。鍵配布装置3は、暗号化メッ
セージEM62及びサービスチケットSTをクライアン
ト装置1Aへ送信する。
【0131】ステップS6060:暗号化メッセージE
M62及びサービスチケットSTを受信すると、クライ
アント装置1Aは、暗号化メッセージEM62を一時使
用鍵[ク鍵]で復号化することにより一時使用鍵[ク
サ]及びサーバ識別番号SIDを得る。
【0132】〈サービス要求〉 ステップS6070:クライアント装置1Aは、現在の
時刻t1を一時使用鍵[クサ]で暗号化することにより
暗号化メッセージEM63を作成する。暗号化メッセー
ジEM63を作成すると、クライアント装置1Aは、暗
号化メッセージEM63及びサービスチケットSTをサ
ーバ装置2Bへ送信する。
【0133】ステップS6080:暗号化メッセージE
M63及びサービスチケットSTを受信すると、サーバ
装置2Bは、サービスチケットSTを共通鍵[サ鍵]で
復号化することによりサーバ識別番号SID及び一時使
用鍵[クサ]を得る。鍵配布装置3は、また、暗号化メ
ッセージEM63を一時使用鍵[クサ]で復号化するこ
とにより時刻t1を得る。サーバ装置2Bは、時刻t1
及び現在の時刻を比較することによりクライアント装置
1Aを認証する。
【0134】〈サービス応答〉 ステップS6090:認証を終了すると、サーバ装置2
Bは、時刻t1に1を加算することにより時刻t1+1
を作成する。さらに、時刻t1+1を一時使用鍵[ク
サ]で暗号化することにより暗号化メッセージEM64
を作成し、クライアント装置1Aへ送信する。
【0135】ステップS6100:暗号化メッセージE
M64を受信すると、クライアント装置1Aは、一時使
用鍵[クサ]で復号化することにより時刻t+1を得
る。クライアント装置1Aは、時刻t+1及び時刻t1
を比較することによりサーバ装置2Bを認証する。
【0136】上述したように、具体例6の認証システム
によれば、クライアント装置1Aは、鍵配布装置3を認
証するための認証用データ及び一時使用鍵[ク鍵]を暗
号用公開鍵[鍵]で暗号化することにより鍵配布装置3
へ送信し、また、鍵配布装置3は、その認証用データを
一時使用鍵[ク鍵]で暗号化することによりクライアン
ト装置1Aへ送信する。これにより、クライアント装置
1Aは、鍵配布装置3によって認証されることなく、即
ち匿名によりサーバ装置2Bからサービスを提供される
ことが可能になる。
【0137】上記の具体例6の認証システムでは、チケ
ット交付チケットTGTは、クライアント装置1Aから
鍵配布装置3へ送受信された一時使用鍵[ク鍵]を含ん
でいる。チケット交付チケットTGTの解読を困難にす
べく、チケット交付チケットTGTは、クライアント装
置1Aから鍵配布装置3へ送受信された鍵以外の鍵を含
むことが望ましい。
【0138】図18は、具体例6の認証システムの他の
動作を示す図である。以下、この図に沿って動作を説明
する。 〈鍵配布装置認証要求〉 ステップS6200:クライアント装置1Aが、認証用
データ及び仮鍵[ク鍵]を暗号用公開鍵[鍵]で暗号化
することにより暗号化メッセージEM65を作成し鍵配
布装置3へ送信する。 ステップS6210:暗号化メッセージEM65を受信
すると、鍵配布装置3は、復号用公開鍵[鍵]で復号化
することにより認証用データ及び仮鍵[ク鍵]を得る。
【0139】〈鍵配布装置認証応答〉 ステップS6220:認証用データ及び仮鍵[ク鍵]を
得ると、鍵配布装置3は、一時使用鍵[ク鍵]を作成す
る。鍵配布装置3は、さらに、認証用データ及び仮鍵
[ク鍵]を一時使用鍵[ク鍵]で暗号化することにより
暗号化メッセージEM66を作成し、また、一時使用鍵
[ク鍵]を親鍵で暗号化することによりチケット交付チ
ケットTGTを作成する。作成を終えると、鍵配布装置
3は、暗号化メッセージEM66及びチケット交付チケ
ットTGTをクライアント装置1Aへ送信する。以後の
動作は、具体例6の先の例の認証システムの動作と同様
である。
【0140】上述したように、鍵配布装置3は、クライ
アント装置1Aから仮鍵[ク鍵]を受信すると、仮鍵と
異なる一時使用鍵[ク鍵]を親鍵で暗号化することによ
りチケット交付チケットTGTを作成する。これによ
り、悪意の者が鍵配布装置3との間で鍵配布装置認証要
求及び鍵配布装置認証応答を繰り返すことにより親鍵を
解読するという攻撃から親鍵を守ることが可能になる。
【図面の簡単な説明】
【図1】具体例1の認証システムの構成を示す図であ
る。
【図2】クライアント装置の構成を示す図である。
【図3】サーバ装置の構成を示す図である。
【図4】鍵配布装置の構成を示す図である。
【図5】具体例1の認証システムの動作を示す図であ
る。
【図6】具体例1の他の認証システムの構成を示す図で
ある。
【図7】具体例1の他の認証システムの動作を示す図で
ある。
【図8】具体例2の認証システムの動作を示す図であ
る。
【図9】具体例3の認証システムの動作を示す図であ
る。
【図10】具体例4の認証システムの動作を示す図であ
る。
【図11】具体例4の認証システムの他の動作を示す図
である。
【図12】具体例5の認証システムの構成を示す図であ
る。
【図13】エージェント装置の構成を示す図である。
【図14】具体例5の認証システムの動作を示す図であ
る。
【図15】具体例5の認証システムの他の動作を示す図
である。
【図16】具体例5の認証システムの別な動作を示す図
である。
【図17】具体例6の認証システムの動作を示す図であ
る。
【図18】具体例6の認証システムの他の動作を示す図
である。
【符号の説明】
1A〜1C クライアント装置 2A〜2B サーバ装置 3 鍵配布装置 4 ネットワーク

Claims (6)

    【特許請求の範囲】
  1. 【請求項1】 クライアント装置にサービスを提供する
    サーバ装置、及び、前記クライアント装置の認証に用い
    る鍵を配布する鍵配布装置が前記クライアント装置を認
    証する認証方法であって、 前記鍵配布装置が前記クライアント装置を認証する第1
    のステップと、 前記鍵配布装置が前記クライアント装置を認証した後
    に、前記サーバ装置が前記クライアント装置を認証する
    第2のステップとを含み、 前記第1のステップは、 前記鍵配布装置が、前記鍵配布装置と前記クライアント
    装置との間での認証のために一時的に使用可能な一時使
    用鍵[ク鍵]を前記クライアント装置の復号用秘密鍵に
    対応する暗号用公開鍵で暗号化し、暗号化された一時使
    用鍵[ク鍵]を前記クライアント装置へ送信するステッ
    プと、 前記クライアント装置が、暗号化された一時使用鍵[ク
    鍵]を復号用秘密鍵で復号化することにより、一時使用
    鍵[ク鍵]を得るステップと、 前記クライアント装置が、前記鍵配布装置が前記クライ
    アント装置を認証するために用いる前記クライアント装
    置認証用データを一時使用鍵[ク鍵]で暗号化し、暗号
    化された前記クライアント装置認証用データを前記鍵配
    布装置へ送信するステップと、 前記鍵配布装置が、暗号化された前記クライアント装置
    認証用データを一時使用鍵[ク鍵]で復号化することに
    より、前記クライアント装置認証用データを得るステッ
    プと、 前記鍵配布装置が、復号化された前記クライアント装置
    認証用データに基づき前記クライアント装置を認証する
    ステップと、 前記鍵配布装置が前記クライアント装置を認証したとき
    に、前記鍵配布装置が、前記第2のステップで前記サー
    バ装置が前記クライアント装置を認証するために用い
    る、前記クライアント装置と前記サーバ装置との間で一
    時的に使用可能な一時使用鍵[クサ]を前記クライアン
    ト装置及び前記サーバ装置へ送信するステップとを含む
    ことを特徴とする認証方法。
  2. 【請求項2】 クライアント装置にサービスを提供する
    サーバ装置、及び、前記クライアント装置の認証に用い
    る鍵を配布する鍵配布装置が前記クライアント装置を認
    証する認証方法であって、 前記鍵配布装置が前記クライアント装置を認証する第1
    のステップと、 前記鍵配布装置が前記クライアント装置を認証した後
    に、前記サーバ装置が前記クライアント装置を認証する
    第2のステップとを含み、 前記第1のステップは、 前記鍵配布装置が、前記クライアント装置と前記鍵配布
    装置との間での認証のために一時的に使用可能な一時使
    用鍵[ク鍵]を前記クライアント装置と前記鍵配布装置
    との間の共通鍵[ク鍵]で暗号化し、暗号化された一時
    使用鍵[ク鍵]を前記クライアント装置へ送信するステ
    ップと、 前記クライアント装置が、暗号化された一時使用鍵[ク
    鍵]を共通鍵[ク鍵]で復号化することにより、一時使
    用鍵[ク鍵]を得るステップと、 前記クライアント装置が、前記鍵配布装置が所有する秘
    密鍵で暗号化された一時使用鍵[ク鍵]を前記鍵配布装
    置へ送信する送信ステップと、 前記鍵配布装置が、暗号化された一時使用鍵[ク鍵]を
    秘密鍵で復号化することにより、一時使用鍵[ク鍵]を
    得るステップと、 前記クライアント装置が、前記鍵配布装置が前記クライ
    アント装置を認証するために用いる前記クライアント装
    置認証用データを一時使用鍵[ク鍵]で暗号化し、暗号
    化された前記クライアント装置認証用データを前記鍵配
    布装置へ送信するステップと、 前記鍵配布装置が、暗号化された前記クライアント装置
    認証用データを、復号化された一時使用鍵[ク鍵]で復
    号化することにより、前記クライアント装置認証用デー
    タを得るステップと、 前記鍵配布装置が、復号化された前記クライアント装置
    認証用データに基づき前記クライアント装置を認証する
    ステップと、 前記鍵配布装置が、前記クライアント装置と前記サーバ
    装置との間での認証のために一時的に使用可能な一時使
    用鍵[クサ]を一時使用鍵[ク鍵]で暗号化し、暗号化
    された一時使用鍵[クサ]を前記クライアント装置へ送
    信するステップとを含み、 前記鍵配布装置が前記クライアント装置へ一時使用鍵
    [クサ]を送信するステップは、 前記鍵配布装置が前記クライアント装置へ、次回の前記
    送信ステップで前記クライアント装置が前記鍵配布装置
    へ送信すべき、秘密鍵で暗号化された一時使用鍵[ク
    鍵]を送信するステップを有することを特徴とする認証
    方法。
  3. 【請求項3】 クライアント装置、前記クライアント装
    置にサービスを提供するサーバ装置、及び、認証に用い
    る鍵を配布する鍵配布装置の間で互いに認証する認証方
    法であって、 前記鍵配布装置が前記クライアント装置を認証する第1
    のステップと、 前記鍵配布装置が前記クライアント装置を認証した後
    に、前記サーバ装置が前記クライアント装置を認証する
    第2のステップと、 前記サーバ装置が前記クライアント装置を認証した後
    に、前記クライアント装置が前記サーバ装置を認証する
    第3のステップとを含み、 前記第1のステップは、 前記鍵配布装置が、前記クライアント装置と前記鍵配布
    装置との間での認証のために一時的に使用可能な一時使
    用鍵[ク鍵]を前記クライアント装置と前記鍵配布装置
    との間の共通鍵[ク鍵]で暗号化し、暗号化された一時
    使用鍵[ク鍵]を前記クライアント装置へ送信するステ
    ップと、 前記クライアント装置が、暗号化された一時使用鍵[ク
    鍵]を共通鍵[ク鍵]で復号化することにより、一時使
    用鍵[ク鍵]を得るステップとを有し、 前記第2のステップは、 前記鍵配布装置が、前記クライアント装置と前記サーバ
    装置との間で認証のために一時的に使用可能な一時使用
    鍵[クサ]を一時使用鍵[ク鍵]で暗号化し、暗号化さ
    れた一時使用鍵[クサ]を前記クライアント装置へ送信
    するステップと、 前記クライアント装置が、暗号化された一時使用鍵[ク
    サ]を一時使用鍵[ク鍵]で復号化することにより、一
    時使用鍵[クサ]を得るステップと、 前記クライアント装置が、前記鍵配布装置と前記サーバ
    装置との間の共通鍵[サ鍵]で暗号化された一時使用鍵
    [クサ]を前記サーバ装置へ送信する送信ステップと、 前記サーバ装置が、暗号化された一時使用鍵[クサ]を
    共通鍵[サ鍵]で復号化することにより、一時使用鍵
    [クサ]を得るステップと、 前記クライアント装置が、前記クライアント装置を認証
    するための前記クライアント装置認証用データを一時使
    用鍵[クサ]で暗号化し、暗号化された前記クライアン
    ト装置認証用データを前記サーバ装置へ送信するステッ
    プと、 前記サーバ装置が、暗号化された前記クライアント装置
    認証用データを、一時使用鍵[クサ]で復号化すること
    により、前記クライアント装置認証用データを得るステ
    ップと、 前記サーバ装置が、前記クライアント装置認証用データ
    に基づき前記クライアント装置を認証するステップとを
    有し、 前記第3のステップは、 前記サーバ装置が、前記サーバ装置を認証するための前
    記サーバ装置認証用データを一時使用鍵[クサ]で暗号
    化し、暗号化された前記サーバ装置認証用データを前記
    クライアント装置へ送信するステップと、 前記クライアント装置が、暗号化された前記サーバ装置
    認証用データを一時使用鍵[クサ]で復号化することに
    より、前記サーバ装置認証用データを得るステップと、 前記クライアント装置が、前記サーバ装置認証用データ
    に基づき前記サーバ装置を認証するステップとを有し、 前記サーバ装置が前記クライアント装置に前記サーバ装
    置認証用データを送信するステップは、前記サーバ装置
    が前記クライアント装置に、次回の送信ステップで前記
    クライアント装置が前記サーバ装置へ送信すべき、共通
    鍵[サ鍵]で暗号化された一時使用鍵[クサ]を送信す
    るステップを有することを特徴とする認証方法。
  4. 【請求項4】 ネットワークを介してクライアント装置
    にサービスを提供するサーバ装置、及び、リンクを介し
    て前記サーバ装置に接続されており認証に用いる鍵をネ
    ットワーク及びリンクを介して配布する鍵配布装置が前
    記クライアント装置を認証する認証方法であって、 前記鍵配布装置が前記クライアント装置を認証する第1
    のステップと、 前記鍵配布装置が前記クライアント装置を認証した後
    に、前記サーバ装置が前記クライアント装置を認証する
    第2のステップとを含み、前記第1のステップは、 前記鍵配布装置が、前記クライアント装置と前記鍵配布
    装置との間での認証のために一時的に使用可能な一時使
    用鍵[ク鍵]を前記クライアント装置と前記鍵配布装置
    との間の共通鍵[ク鍵]で暗号化し、暗号化された一時
    使用鍵[ク鍵]を前記クライアント装置へ送信するステ
    ップと、 前記クライアント装置が、暗号化された一時使用鍵[ク
    鍵]を共通鍵[ク鍵]で復号化することにより、一時使
    用鍵[ク鍵]を得るステップと、 前記第2のステップは、 前記クライアント装置が、前記サーバ装置が前記クライ
    アント装置を認証するために用いる前記クライアント装
    置認証用データを一時使用鍵[ク鍵]で暗号化し、暗号
    化された前記クライアント装置認証用データを前記鍵配
    布装置へ送信するステップと、 前記鍵配布装置が、暗号化された前記クライアント装置
    認証用データを一時使用鍵[ク鍵]で復号化することに
    より、前記クライアント装置認証用データを得るステッ
    プと、 前記鍵配布装置が、前記クライアント装置認証用データ
    を共通鍵[サ鍵]で暗号化し、暗号化された前記クライ
    アント装置認証用データを前記サーバ装置へ送信するス
    テップと、 前記サーバ装置が、暗号化された前記クライアント装置
    認証用データを共通鍵[サ鍵]で復号化することによ
    り、前記クライアント装置認証用データを得るステップ
    と、 前記サーバ装置が、前記クライアント装置認証用データ
    に基づき前記クライアント装置を認証するステップとを
    含むことを特徴とする認証方法。
  5. 【請求項5】 エージェント装置が、クライアント装置
    にサービスを提供するサーバ装置、及び前記クライアン
    ト装置の認証に用いる鍵を配布する鍵配布装置と、前記
    クライアント装置との間での認証を代行するする認証方
    法であって、 前記エージェント装置が、前記クライアント装置を認証
    する第1のステップと、 前記エージェント装置が前記クライアント装置を認証し
    た後に、前記サーバ装置が、前記エージェント装置を認
    証する第2のステップとを含み、 前記第1のステップは、 前記鍵配布装置が、前記クライアント装置と前記エージ
    ェント装置との間での認証のために一時的に使用可能な
    一時使用鍵[クエ]を前記クライアント装置と前記鍵配
    布装置との間の共通鍵[ク鍵]で暗号化し、暗号化され
    た一時使用鍵[クエ]を前記クライアント装置へ送信す
    るステップと、 前記クライアント装置が、暗号化された一時使用鍵[ク
    エ]を共通鍵[ク鍵]で復号化することにより、一時使
    用鍵[クエ]を得るステップと、 前記鍵配布装置が、一時使用鍵[クエ]を前記エージェ
    ント装置と前記鍵配布装置との間の共通鍵[エ鍵]で暗
    号化し、暗号化された一時使用鍵[クエ]を前記エージ
    ェント装置へ送信するステップと、 前記エージェント装置が、暗号化された一時使用鍵[ク
    エ]を共通鍵[エ鍵]で復号化することにより、一時使
    用鍵[クエ]を得るステップと、 前記クライアント装置が、前記エージェント装置が前記
    クライアント装置を認証するために用いる前記クライア
    ント装置認証用データを一時使用鍵[クエ]で暗号化
    し、暗号化された前記クライアント装置認証用データを
    前記エージェント装置へ送信するステップと、 前記エージェント装置が、暗号化された前記クライアン
    ト装置認証用データを一時使用鍵[クエ]で復号化する
    ことにより、前記クライアント装置認証用データを得る
    ステップと、 前記エージェント装置が、前記クライアント装置認証用
    データに基づき前記クライアント装置を認証するステッ
    プと、 前記第2のステップは、 前記鍵配布装置が、前記エージェント装置と前記サーバ
    装置との間での認証のために一時的に使用可能な一時使
    用鍵[エサ]を前記鍵配布装置と前記エージェント装置
    との間の共通鍵[エ鍵]で暗号化し、暗号化された一時
    使用鍵[エサ]を前記エージェント装置へ送信するステ
    ップと、 前記エージェント装置が、暗号化された一時使用鍵[エ
    サ]を共通鍵[エ鍵]で復号化することにより、一時使
    用鍵[エサ]を得るステップと、 前記鍵配布装置が、一時使用鍵[エサ]を前記鍵配布装
    置と前記サーバ装置との間の共通鍵[サ鍵]で暗号化
    し、暗号化された一時使用鍵[エサ]を前記サーバ装置
    へ送信するステップと、 前記サーバ装置が、暗号化された一時使用鍵[エサ]を
    共通鍵[サ鍵]で復号化することにより、一時使用鍵
    [エサ]を得るステップと、 前記エージェント装置が、前記サーバ装置が前記エージ
    ェント装置を認証するために用いる前記エージェント装
    置認証用データを一時使用鍵[エサ]で暗号化し、暗号
    化された前記エージェント装置認証用データを前記サー
    バ装置へ送信するステップと、 前記サーバ装置が、暗号化された前記エージェント装置
    認証用データを一時使用鍵[エサ]で復号化することに
    より、前記エージェント装置認証用データを得るステッ
    プと、 前記サーバ装置が、前記エージェント装置認証用データ
    に基づき前記エージェント装置を認証するステップとを
    含むことを特徴とする認証方法。
  6. 【請求項6】 クライアント装置が、前記クライアント
    装置にサービスを提供するサーバ装置、及び、認証に用
    いる鍵を配布する鍵配布装置を認証する認証方法であっ
    て、 前記クライアント装置が前記鍵配布装置を認証する第1
    のステップと、 前記クライアント装置が前記鍵配布装置を認証した後
    に、前記クライアント装置が前記サーバ装置を認証する
    第2のステップとを含み、 前記第1のステップは、 前記クライアント装置が、前記クライアント装置と前記
    鍵配布装置との間での認証のために一時的に使用可能な
    一時使用鍵[ク鍵]を前記鍵配布装置の復号用秘密鍵に
    対応する暗号用公開鍵で暗号化し、暗号化された一時使
    用鍵[ク鍵]を前記鍵配布装置へ送信するステップと、 前記鍵配布装置が、暗号化された一時使用鍵[ク鍵]を
    復号用秘密鍵で復号化することにより、一時使用鍵[ク
    鍵]を得るステップと、 前記クライアント装置が、前記クライアント装置が前記
    鍵配布装置を認証するために用いる前記鍵配布装置認証
    用データを暗号用公開鍵で暗号化し、暗号化された前記
    鍵配布装置認証用データを前記鍵配布装置へ送信するス
    テップと、 前記鍵配布装置が、暗号化された前記鍵配布装置認証用
    データを復号用秘密鍵で復号化することにより、前記鍵
    配布装置認証用データを得るステップと、 前記鍵配布装置が、前記鍵配布装置認証用データを一時
    使用鍵[ク鍵]で暗号化し、暗号化された前記鍵配布装
    置認証用データを前記クライアント装置へ送信するステ
    ップと、 前記クライアント装置が、暗号化された前記鍵配布装置
    認証用データを一時使用鍵[ク鍵]で復号化することに
    より、前記鍵配布装置認証用データを得るステップと、 前記クライアント装置が、前記鍵配布装置認証用データ
    に基づき前記鍵配布装置を認証するステップとを有し、 前記第2のステップは、 前記鍵配布装置が、前記クライアント装置と前記サーバ
    装置との間での認証のために一時的に使用可能な一時使
    用鍵[クサ]を一時使用鍵[ク鍵]で暗号化し、暗号化
    された一時使用鍵[クサ]を前記クライアント装置へ送
    信するステップと、 前記クライアント装置が、暗号化された一時使用鍵[ク
    サ]を一時使用鍵[ク鍵]で復号化することにより、一
    時使用鍵[クサ]を得るステップと、 前記鍵配布装置が、一時使用鍵[クサ]を前記鍵配布装
    置と前記サーバ装置との間の共通鍵[サ鍵]で暗号化
    し、暗号化された一時使用鍵[クサ]を前記サーバ装置
    へ送信するステップと、 前記サーバ装置が、暗号化された一時使用鍵[クサ]を
    共通鍵[サ鍵]で復号化することにより、一時使用鍵
    [クサ]を得るステップと、 前記クライアント装置が、前記クライアント装置が前記
    サーバ装置を認証するために用いる前記サーバ装置認証
    用データを一時使用鍵[クサ]で暗号化し、暗号化され
    た前記サーバ装置認証用データを前記サーバ装置へ送信
    するステップと、 前記サーバ装置が、暗号化された前記サーバ装置認証用
    データを一時使用鍵[クサ]で復号化することにより、
    前記サーバ装置認証用データを得るステップと、 前記サーバ装置が、前記サーバ装置認証用データを一時
    使用鍵[クサ]で暗号化し、暗号化された前記サーバ装
    置認証用データを前記クライアント装置へ送信するステ
    ップと、 前記クライアント装置が、暗号化された前記サーバ装置
    認証用データを一時使用鍵[クサ]で復号化することに
    より、前記サーバ装置認証用データを得るステップと、 前記クライアント装置が、前記サーバ装置認証用データ
    に基づき前記サーバ装置を認証するステップとを含むこ
    とを特徴とする認証方法。
JP2000230380A 2000-07-31 2000-07-31 認証方法 Pending JP2002041474A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2000230380A JP2002041474A (ja) 2000-07-31 2000-07-31 認証方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2000230380A JP2002041474A (ja) 2000-07-31 2000-07-31 認証方法

Publications (1)

Publication Number Publication Date
JP2002041474A true JP2002041474A (ja) 2002-02-08

Family

ID=18723347

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000230380A Pending JP2002041474A (ja) 2000-07-31 2000-07-31 認証方法

Country Status (1)

Country Link
JP (1) JP2002041474A (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005269656A (ja) * 2004-03-19 2005-09-29 Microsoft Corp コンピューティングシステムの効率的かつセキュアな認証
JP2007110351A (ja) * 2005-10-12 2007-04-26 Murata Mach Ltd デジタル複合機
JP2011097635A (ja) * 2003-09-12 2011-05-12 Ricoh Co Ltd 通信装置、通信システム及び証明書設定方法

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011097635A (ja) * 2003-09-12 2011-05-12 Ricoh Co Ltd 通信装置、通信システム及び証明書設定方法
JP2005269656A (ja) * 2004-03-19 2005-09-29 Microsoft Corp コンピューティングシステムの効率的かつセキュアな認証
JP4746333B2 (ja) * 2004-03-19 2011-08-10 マイクロソフト コーポレーション コンピューティングシステムの効率的かつセキュアな認証
JP2007110351A (ja) * 2005-10-12 2007-04-26 Murata Mach Ltd デジタル複合機

Similar Documents

Publication Publication Date Title
JP4674044B2 (ja) クライアントが許可を検証できるキー管理プロトコルを設けるためのシステムおよび方法
JP4226665B2 (ja) ログオン証明書
CA2619420C (en) Distributed single sign-on service
JP5619019B2 (ja) 認証のための方法、システム、およびコンピュータ・プログラム(1次認証済み通信チャネルによる2次通信チャネルのトークンベースのクライアント・サーバ認証)
US7343014B2 (en) Method for sharing the authorization to use specific resources
CN101764803B (zh) 参与与计算系统的认证的方法
US8024575B2 (en) System and method for creation and use of strong passwords
JP4366037B2 (ja) 暗号化された媒体へのアクセス権を制御・行使するシステム及び方法
KR100990320B1 (ko) 공용 서버로부터 콘텐츠를 요청할 때 클라이언트프라이버시를 제공하는 방법 및 시스템
JP2005517347A5 (ja)
US8054975B2 (en) Method and system for managing key of home device in broadcast encryption (BE) system
CN101094062A (zh) 利用存储卡实现数字内容安全分发和使用的方法
JP2002041474A (ja) 認証方法
JP4437310B2 (ja) 公衆ネットワークを用いて専用仮想ネットワークを生成する方法
CN114598463A (zh) 一种数据认证系统
JP3914193B2 (ja) 認証を得て暗号通信を行う方法、認証システムおよび方法
KR100764882B1 (ko) 저성능 보안 단말기의 공개키 기반 싱글 사인온 인증 장치및 방법
JPH11187008A (ja) 暗号鍵の配送方法
JPH11331145A (ja) 情報共有システム、情報保管装置およびそれらの情報処理方法、並びに記録媒体
JP2007074745A (ja) 認証を得て暗号通信を行う方法、認証システムおよび方法
JPH11215122A (ja) データ暗号方法、データ暗号装置、及びデータ暗号システム
JP2007043750A (ja) 認証を得て暗号通信を行う方法、認証システムおよび方法
JPH06276188A (ja) 電子通信装置
JP2004164534A (ja) コンテンツ配信システム、および同システムにおける著作権管理方法、ならびに端末プログラム