JP2002169466A - Server system, application terminal and computer readable recording medium recorded with program - Google Patents

Server system, application terminal and computer readable recording medium recorded with program

Info

Publication number
JP2002169466A
JP2002169466A JP2000366940A JP2000366940A JP2002169466A JP 2002169466 A JP2002169466 A JP 2002169466A JP 2000366940 A JP2000366940 A JP 2000366940A JP 2000366940 A JP2000366940 A JP 2000366940A JP 2002169466 A JP2002169466 A JP 2002169466A
Authority
JP
Japan
Prior art keywords
information
user
unit
server device
secret key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2000366940A
Other languages
Japanese (ja)
Inventor
Tetsuo Sadakane
哲男 貞包
Yoshimasa Baba
義昌 馬場
Naonobu Okazaki
直宣 岡崎
Hiroshi Nakamura
浩 中村
Teruko Fujii
照子 藤井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2000366940A priority Critical patent/JP2002169466A/en
Publication of JP2002169466A publication Critical patent/JP2002169466A/en
Withdrawn legal-status Critical Current

Links

Landscapes

  • Storage Device Security (AREA)

Abstract

PROBLEM TO BE SOLVED: To lessen the burden of an application terminal by providing a server system which carries out asymmetric cipher and decipher processing through the network relating to a system for carrying out the asymmetric cipher and decipher processing necessary for digital authentication according to the request of the application terminal. SOLUTION: A user authentication section 4 carries out the authentication of a user by using data for the user authentication received in a server communication section 3 and a cipher processing section 6 reads out the secret key of the user authenticated from a secret key data base section 5 and makes cipher processing of the digest of the message received from the application terminal 11. The server communication section 3 returns the encrypted digest.

Description

【発明の詳細な説明】DETAILED DESCRIPTION OF THE INVENTION

【0001】[0001]

【発明の属する技術分野】この発明は、デジタル認証に
必要な非対称暗号・復号処理をサーバ端末で行うサーバ
型デジタル認証システムに関するものである。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a server type digital authentication system in which a server terminal performs asymmetric encryption / decryption processing required for digital authentication.

【0002】[0002]

【従来の技術】図4は、従来のICカードを用いたデジ
タル認証システムであり、アプリケーション端末11に
証明書を管理する証明書DB部8と、証明書の中の公開
鍵を使用して暗号処理を行う暗号処理部9と、復号を行
う復号処理部10を有している。ICカードは、ユーザ
IDとパスワードでユーザを認証するユーザ認証部4
と、秘密鍵を管理する秘密鍵DB部5と、秘密鍵を使用
して暗号を行う暗号処理部6と、秘密鍵を使用して復号
を行う復号処理部7を有している。2. Description of the Related Art FIG. 4 shows a digital authentication system using a conventional IC card. A certificate DB unit 8 for managing a certificate in an application terminal 11 and an encryption using a public key in the certificate are performed. It has an encryption processing unit 9 for performing processing and a decryption processing unit 10 for performing decryption. The IC card has a user authentication unit 4 for authenticating a user with a user ID and a password.
And a secret key DB unit 5 for managing a secret key, an encryption processing unit 6 for performing encryption using the secret key, and a decryption processing unit 7 for decrypting using the secret key.

【0003】次に動作について説明する。親展を行うに
は、証明書DB8より親展先の証明書の公開鍵を取り出
し、アプリケーション1から送られた親展用のデータを
暗号処理部9で暗号化し、アプリケーション1に返す。
親展を解除する場合には、まず、ICカード内のユーザ
認証部4でユーザ認証を行う。認証結果がOKである場
合のみ、次の処理が行える。秘密鍵DB部5よりユーザ
の秘密鍵を取り出し、アプリケーションから送られた親
展データを復号処理部7で復号し、アプリケーション1
に返す。Next, the operation will be described. To perform confidentiality, the public key of the confidential destination certificate is extracted from the certificate DB 8, the confidential data sent from the application 1 is encrypted by the encryption processing unit 9, and returned to the application 1.
To release confidentiality, first, user authentication is performed by the user authentication unit 4 in the IC card. Only when the authentication result is OK, the following processing can be performed. The user's secret key is extracted from the secret key DB unit 5, the confidential data sent from the application is decrypted by the decryption processing unit 7, and the application 1
To return.

【0004】署名を行うには、まず、ICカード15内
のユーザ認証部4でユーザ認証を行う。認証結果がOK
である場合のみ、次の処理が行える。秘密鍵DB部5よ
りユーザの秘密鍵を取り出し、アプリケーションから送
られた署名用のデータを暗号処理部6で暗号化し、アプ
リケーション1に返す。署名の検証を行う場合には、証
明書DB部11より署名先の証明書の公開鍵を取り出
し、アプリケーション1から送られた署名データを復号
処理部10で復号し、アプリケーション1に返す。[0004] In order to sign, first, user authentication is performed by the user authentication unit 4 in the IC card 15. Authentication result is OK
The following processing can be performed only when The secret key of the user is extracted from the secret key DB unit 5, the signature data sent from the application is encrypted by the encryption processing unit 6 and returned to the application 1. When verifying the signature, the public key of the certificate of the signature destination is extracted from the certificate DB unit 11, the signature data sent from the application 1 is decrypted by the decryption processing unit 10, and the decrypted data is returned to the application 1.

【0005】[0005]

【発明が解決しようとする課題】従来のICカードを用
いたデジタル認証システムは、秘密鍵を盗聴されないよ
うにするために、秘密鍵を用いた暗号、復号処理を行え
る高機能なICカードが必要であり、そのICカードが
アプリケーション端末ごとに必要で導入コストがかか
り、また、ICカード内部での暗号・復号の処理時間が
かかるという問題点があった。A conventional digital authentication system using an IC card requires a high-performance IC card capable of performing encryption and decryption processing using a secret key in order to prevent eavesdropping of the secret key. However, there is a problem in that the IC card is required for each application terminal, and the introduction cost is high, and the processing time for encryption / decryption inside the IC card is long.

【0006】この発明は上記のような問題点を解決する
ためになされたもので、秘密鍵を用いた暗号・復号処理
をセキュリティを強化したサーバで行うことにより、I
Cカードを不要とすることを目的とする。[0006] The present invention has been made to solve the above-mentioned problems, and an encryption / decryption process using a secret key is performed by a server with enhanced security.
The purpose is to eliminate the need for a C card.

【0007】[0007]

【課題を解決するための手段】この発明に係るサーバ装
置は、情報の暗号化を求めるアプリケーション端末にネ
ットワークを介して接続するサーバ装置であって、以下
の要素を有する。 (1)アプリケーション端末から、ユーザ認証用のデー
タと、暗号化する情報とを受信するサーバ受信部、
(2)受信したユーザ認証用のデータを用いて、ユーザ
の認証を行うユーザ認証部、(3)ユーザに対応して秘
密鍵を記憶する秘密鍵データベース部、(4)ユーザ認
証部により認証されたユーザに対応する秘密鍵を秘密鍵
データベースから読み出し、読み出した秘密鍵を用い
て、受信した暗号化する情報を暗号処理する暗号処理
部、(5)アプリケーション端末へ、暗号化した情報を
送信するサーバ送信部。A server device according to the present invention is a server device connected via a network to an application terminal for requesting information encryption, and has the following elements. (1) a server receiving unit that receives data for user authentication and information to be encrypted from an application terminal;
(2) a user authentication unit that authenticates a user using the received user authentication data; (3) a secret key database unit that stores a secret key corresponding to the user; and (4) a user authentication unit that authenticates the user. A secret key corresponding to the user who has read the encrypted information from the secret key database, encrypting the received information to be encrypted using the read secret key, and (5) transmitting the encrypted information to the application terminal. Server transmission unit.

【0008】また、暗号化する情報は、メッセージのダ
イジェストであることを特徴とする。Further, the information to be encrypted is a digest of a message.

【0009】また、サーバ装置は、更に、秘密鍵を用い
て復号を行う復号処理部を有することを特徴とする。Further, the server device further comprises a decryption processing unit for performing decryption using the secret key.

【0010】また、ユーザ認証用のデータは、ユーザI
Dとパスワードとであって、ユーザ認証部は、ユーザI
Dとパスワードとを用いて、ユーザの認証を行うことを
特徴とする。[0010] The data for user authentication is the user I
D and the password, and the user authentication unit
User authentication is performed using D and a password.

【0011】また、サーバ装置は、更に、親展先に対応
して証明書を記憶する証明書データベース部を有し、上
記サーバ受信部は、アプリケーション端末から、親展先
の情報とメッセージとを受信し、上記暗号処理部は、受
信した親展先の情報により特定される親展先に対応する
証明書を証明書データベース部から読み出し、読み出し
た証明書に含まれる公開鍵を用いて、受信したメッセー
ジを暗号処理し、上記サーバ送信部は、アプリケーショ
ン端末へ、暗号化したメッセージを送信することを特徴
とする。The server device further has a certificate database unit for storing a certificate corresponding to the confidential destination, and the server receiving unit receives confidential information and a message from the application terminal. The encryption processing unit reads a certificate corresponding to the confidential destination specified by the received confidential destination information from the certificate database unit, and encrypts the received message using a public key included in the read certificate. After processing, the server transmission unit transmits the encrypted message to the application terminal.

【0012】また、サーバ装置は、更に、証明書に含ま
れる公開鍵を用いて復号を行う復号処理部を有すること
を特徴とする。Further, the server device further comprises a decryption processing unit for decrypting using the public key included in the certificate.

【0013】また、ユーザ認証用のデータは、バイオメ
トリクス情報であって、ユーザ認証部は、バイオメトリ
クス情報を用いて、ユーザの認証を行うことを特徴とす
る。[0013] The data for user authentication is biometrics information, and the user authentication unit authenticates the user using the biometrics information.

【0014】また、バイオメトリクス情報は、指紋情報
であることを特徴とする。Further, the biometrics information is fingerprint information.

【0015】この発明に係るアプリケーション端末は、
ネットワークを介してサーバ装置に、情報の暗号化を求
めるアプリケーション端末であって、以下の要素を有す
ることを特徴とする。 (1)サーバ装置へ、ユーザ認証用のデータと、暗号化
する情報とを送信するクライアント送信部、(2)サー
バ装置から、暗号化された情報を受信するクライアント
受信部、(3)暗号化された情報を用いるアプリケーシ
ョン部。An application terminal according to the present invention comprises:
An application terminal for requesting information encryption from a server device via a network, the application terminal having the following elements. (1) a client transmitting unit that transmits data for user authentication and information to be encrypted to the server device, (2) a client receiving unit that receives encrypted information from the server device, and (3) encryption. Application part that uses the obtained information.

【0016】この発明に係るプログラムを記録したコン
ピュータ読み取り可能な記録媒体は、情報の暗号化を求
めるアプリケーション端末にネットワークを介して接続
するサーバ装置となるコンピュータに、以下の処理を実
行させるためのプログラムを記録したコンピュータ読み
取り可能な記録媒体であることを特徴とする。 (1)アプリケーション端末から、ユーザ認証用のデー
タと、暗号化する情報とを受信する処理、(2)受信し
たユーザ認証用のデータを用いて、ユーザの認証を行う
処理、(3)ユーザに対応して秘密鍵を記憶する処理、
(4)認証されたユーザに対応する秘密鍵を読み出し、
読み出した秘密鍵を用いて、受信した暗号化する情報を
暗号化する処理、(5)アプリケーション端末へ、暗号
化した情報を送信する処理。A computer-readable recording medium having recorded thereon a program according to the present invention is a program for causing a computer serving as a server device connected via a network to an application terminal for encrypting information to execute the following processing. Is recorded on a computer-readable recording medium. (1) a process of receiving data for user authentication and information to be encrypted from an application terminal; (2) a process of authenticating a user using the received data for user authentication; Correspondingly storing the secret key,
(4) read the secret key corresponding to the authenticated user,
A process of encrypting the received information to be encrypted using the read secret key; and (5) a process of transmitting the encrypted information to the application terminal.

【0017】[0017]

【発明の実施の形態】実施の形態1.図1はこの発明を
アプリケーションのメッセージの親展・署名に適用した
場合を示すシステム構成図である。図1において、1は
メッセージの親展・署名の機能を必要とするアプリケー
ション、2はサーバと暗号通信を行うクライアント通信
部、3は複数のクライアントと通信を行うサーバ通信
部、4はアプリケーションから渡されたユーザIDとパ
スワードを用いてユーザ認証を行うユーザ認証部、5は
ユーザに対応する秘密鍵を管理する秘密鍵DB部、6は
秘密鍵を使用して暗号を行う暗号処理部、7は秘密鍵を
使用して復号を行う復号処理部、8は証明書を管理する
証明書DB部、9は証明書の中の公開鍵を使用して暗号
を行う暗号処理部、10は証明書の中の秘密鍵を使用し
て復号を行う復号処理部、11はユーザが操作するアプ
リケーション端末、12は複数のアプリケーション端末
からの処理を受けるサーバ端末、13は複数のアプリケ
ーション端末とサーバ端末を接続するネットワークであ
る。アプリケーション端末11とサーバ端末12は、コ
ンピュータであり、各要素はプログラムにより処理を実
行することができる。また、プログラムを記憶媒体に記
憶させ、記憶媒体からコンピュータに読み取られるよう
にすることができる。DESCRIPTION OF THE PREFERRED EMBODIMENTS Embodiment 1 FIG. 1 is a system configuration diagram showing a case where the present invention is applied to confidentiality / signature of an application message. In FIG. 1, reference numeral 1 denotes an application that requires the function of confidentiality / signing of a message, 2 denotes a client communication unit that performs encrypted communication with a server, 3 denotes a server communication unit that performs communication with a plurality of clients, and 4 denotes a message passed from the application A user authentication unit for performing user authentication using a user ID and a password, a secret key DB unit for managing a secret key corresponding to the user, a cryptographic processing unit for performing encryption using a secret key, and a secret processing unit A decryption processing unit that performs decryption using a key, 8 is a certificate DB unit that manages a certificate, 9 is an encryption processing unit that performs encryption using a public key in the certificate, and 10 is a certificate processing unit that performs encryption. A decryption processing unit that performs decryption using the private key of the user, 11 is an application terminal operated by the user, 12 is a server terminal that receives processing from a plurality of application terminals, and 13 is a plurality of application terminals. Deployment is a terminal and a network that connects the server terminal. The application terminal 11 and the server terminal 12 are computers, and each element can execute processing by a program. Further, the program can be stored in a storage medium, and can be read by the computer from the storage medium.

【0018】次に動作について説明する。まず、署名の
処理について説明する。アプリケーション1よりメッセ
ージのダイジェスト(ハッシュ値)を作成し、ユーザか
ら入力されたユーザIDとパスワードをクライアント通
信部2に送る。クライアント通信部2はアプリケーショ
ン1から渡されたデータを暗号化して、サーバ通信部3
へ送る。Next, the operation will be described. First, the signature processing will be described. The application 1 creates a digest (hash value) of the message, and sends the user ID and password input by the user to the client communication unit 2. The client communication unit 2 encrypts the data passed from the application 1, and
Send to

【0019】サーバ通信部3で渡されたデータの中のユ
ーザIDとパスワードによりユーザ認証部4でユーザ認
証を行う。ユーザ認証が失敗した場合には、サーバ12
での処理を中断し、認証失敗をアプリケーションに返
す。ユーザ認証が成功した場合には、秘密鍵DB部5よ
り対応する秘密鍵を取得し、ダイジェストを暗号処理部
6で暗号化し、アプリケーション1に返す。アプリケー
ションは暗号化されたダイジェストをメッセージに追加
する。The user authentication unit 4 performs user authentication based on the user ID and password in the data passed by the server communication unit 3. If the user authentication fails, the server 12
Interrupts the process and returns authentication failure to the application. If the user authentication is successful, the corresponding secret key is obtained from the secret key DB unit 5, the digest is encrypted by the encryption processing unit 6, and the digest is returned to the application 1. The application adds the encrypted digest to the message.

【0020】次に、親展の処理について説明する。証明
書管理DBより親展先の証明書を取り出し、その証明書
の中の公開鍵を用いて暗号処理部9でメッセージを暗号
化し、アプリケーション1に返す。アプリケーション1
は暗号化されたメッセージを使用してアプリケーション
の処理を行う。Next, the confidential processing will be described. The confidential destination certificate is extracted from the certificate management DB, the message is encrypted by the encryption processing unit 9 using the public key in the certificate, and the message is returned to the application 1. Application 1
Performs application processing using the encrypted message.

【0021】以上のように、サーバで秘密鍵を使用した
暗号・復号処理を行うようにしているので、秘密鍵をア
プリケーション端末に置かずに、ICカードと同等のセ
キュリティレベルでICカードなしで署名・親展を実現
することができる。As described above, since the server performs the encryption / decryption processing using the secret key, the secret key is not placed on the application terminal, but is signed without the IC card at the same security level as that of the IC card.・ Privacy can be realized.

【0022】また、各アプリケーション端末にICカー
ドをつける必要がないので、管理コストの軽減が実現で
きる。さらに、ICカードは紛失した場合、再発行の手
続きが必要であるが、ICカードを用いないので、その
ような処理が必要なく、ユーザの利便性が向上する。Further, since it is not necessary to attach an IC card to each application terminal, the management cost can be reduced. Further, when the IC card is lost, a procedure for reissuing the IC card is necessary. However, since the IC card is not used, such processing is not required, and the convenience for the user is improved.

【0023】また、サーバで処理する部分は、処理内容
をログに取ることができ、不正なユーザのアクセスを検
出することができる。さらに、ユーザによるサーバの使
用を停止させたい場合に、ユーザ認証部でのユーザ情報
を削除することにより、すぐに停止させることができ
る。Further, the part to be processed by the server can record the processing contents in a log, and can detect unauthorized user access. Further, when the user wants to stop using the server, the server can be immediately stopped by deleting the user information in the user authentication unit.

【0024】実施の形態2.以上の実施の形態1では、
公開鍵による暗号・復号処理をアプリケーション端末で
行うようにしたものであるが、次にサーバ端末で公開鍵
による暗号・復号処理を行う実施の形態を示す。図2
は、このような場合のシステム構成図である。Embodiment 2 FIG. In the first embodiment,
The encryption / decryption process using the public key is performed by the application terminal. Next, an embodiment in which the server terminal performs the encryption / decryption process using the public key will be described. FIG.
Is a system configuration diagram in such a case.

【0025】図2において、1はメッセージの親展・署
名の機能を必要とするアプリケーション、2はサーバと
暗号通信を行うクライアント通信部、3は複数のクライ
アントと通信を行うサーバ通信部、4はアプリケーショ
ンから渡されたユーザIDとパスワードを用いてユーザ
認証を行うユーザ認証部、5はユーザに対応する秘密鍵
を管理する秘密鍵DB部、6は秘密鍵や証明書の中の公
開鍵を使用して暗号を行う暗号処理部、7は秘密鍵や証
明書の中の公開鍵を使用して復号を行う復号処理部、8
は証明書を管理する証明書DB部、11はユーザが操作
するアプリケーション端末、12は複数のアプリケーシ
ョン端末からの処理を受けるサーバ端末、13は複数の
アプリケーション端末とサーバ端末を接続するネットワ
ークである。In FIG. 2, reference numeral 1 denotes an application that requires a message confidentiality / signature function, 2 denotes a client communication unit that performs encrypted communication with a server, 3 denotes a server communication unit that communicates with a plurality of clients, and 4 denotes an application. A user authentication unit that performs user authentication using the user ID and password passed from the user, 5 is a secret key DB unit that manages a secret key corresponding to the user, and 6 is a secret key and a public key in a certificate. A decryption processing unit for performing decryption using a secret key or a public key in a certificate;
Is a certificate DB unit for managing certificates, 11 is an application terminal operated by a user, 12 is a server terminal receiving processing from a plurality of application terminals, and 13 is a network connecting the plurality of application terminals and the server terminal.

【0026】次に動作について説明する。署名の処理は
実施の形態1と同様である。Next, the operation will be described. The signature processing is the same as in the first embodiment.

【0027】次に、親展の処理について説明する。アプ
リケーション1より親展先の情報とメッセージをクライ
アント通信部2に渡す。クライアント通信部2では暗号
通信により、アプリケーション1から渡されたデータを
サーバ通信部3に渡す。親展先の情報より証明書DB部
5で対応する証明書を取り出し、その証明書の中の公開
鍵を使用して暗号処理部7よりアプリケーションより渡
されたメッセージを暗号化し、アプリケーション1に返
す。Next, the confidential processing will be described. The confidential information and the message are passed from the application 1 to the client communication unit 2. The client communication unit 2 passes the data passed from the application 1 to the server communication unit 3 by cryptographic communication. The corresponding certificate is extracted from the confidential information in the certificate DB unit 5, the message passed from the application by the encryption processing unit 7 is encrypted using the public key in the certificate, and the encrypted message is returned to the application 1.

【0028】以上のように、サーバで秘密鍵だけでなく
公開鍵を使用した暗号・復号処理を行うようにしている
ので、処理負担が大きい非対称暗号の演算機能をアプリ
ケーション端末に実装する必要がなく、携帯端末等にも
簡単に適用することができる。As described above, since the server performs the encryption / decryption processing using not only the private key but also the public key, it is not necessary to implement the asymmetric encryption operation function having a large processing load on the application terminal. It can be easily applied to portable terminals and the like.

【0029】さらに、アプリケーション端末で証明書の
管理を行わなくてよいのでメモリの節約ができる。ま
た、証明書が失効した場合、複数のアプリケーション端
末の設定は変更せずにサーバ端末の証明書管理DB部の
中の証明書を削除するだけで足りるので、管理コストを
軽減できる。Further, since it is not necessary to manage certificates in the application terminal, memory can be saved. Further, when the certificate is revoked, it is sufficient to delete the certificate in the certificate management DB of the server terminal without changing the settings of the plurality of application terminals, so that the management cost can be reduced.

【0030】実施の形態3.以上の実施の形態では、ユ
ーザ認証としてユーザIDとパスワードを用いていた
が、次にバイオメトリクスである指紋を用いる実施の形
態を示す。図3は、このような場合のシステム構成部で
ある。Embodiment 3 In the above embodiment, a user ID and a password are used for user authentication. Next, an embodiment using a fingerprint as biometrics will be described. FIG. 3 shows a system configuration unit in such a case.

【0031】図2において、1はメッセージの親展・署
名の機能を必要とするアプリケーション、2はサーバと
暗号通信を行うクライアント通信部、3は複数のクライ
アントと通信を行うサーバ通信部、4はアプリケーショ
ンから渡された指紋情報を用いてユーザ認証を行うユー
ザ認証部、5はユーザに対応する秘密鍵を管理する秘密
鍵DB部、6は秘密鍵や証明書の中の公開鍵を使用して
暗号を行う暗号処理部、7は秘密鍵や証明書の中の公開
鍵を使用して復号を行う復号処理部、8は証明書を管理
する証明書DB部、11はユーザが操作するアプリケー
ション端末、12は複数のアプリケーション端末からの
処理を受けるサーバ端末、13は複数のアプリケーショ
ン端末とサーバ端末を接続するネットワーク、14は指
紋情報を採取する指紋取得部である。In FIG. 2, reference numeral 1 denotes an application that requires a function of confidentiality and signature of a message, 2 denotes a client communication unit that performs encrypted communication with a server, 3 denotes a server communication unit that communicates with a plurality of clients, and 4 denotes an application. A user authentication unit for performing user authentication using fingerprint information passed from the user, 5 a secret key DB unit for managing a secret key corresponding to the user, and 6 a cipher using a secret key and a public key in a certificate. 7, a decryption processing unit for decrypting using a private key or a public key in a certificate, 8 a certificate DB unit for managing certificates, 11 an application terminal operated by a user, 12 is a server terminal receiving processing from a plurality of application terminals, 13 is a network connecting the plurality of application terminals and the server terminal, and 14 is collecting fingerprint information It is a fingerprint acquisition unit.

【0032】次に動作について説明する。まず、署名の
処理について説明する。アプリケーション1よりメッセ
ージのハッシュを作成し、指紋取得部14から採取した
指紋情報をクライアント通信部2に送る。クライアント
通信部2はアプリケーション1から渡されたデータを暗
号化して、サーバ通信部3へ送る。Next, the operation will be described. First, the signature processing will be described. The application 1 creates a hash of the message, and sends the fingerprint information collected from the fingerprint acquisition unit 14 to the client communication unit 2. The client communication unit 2 encrypts the data passed from the application 1 and sends it to the server communication unit 3.

【0033】サーバ通信部3で渡されたデータの中の指
紋情報によりユーザ認証部4でユーザ認証を行う。ユー
ザ認証部4に登録されている指紋情報と照合し、照合が
成功する指紋情報がなかった場合、サーバ12での処理
を中断し、認証失敗をアプリケーション1に返す。ユー
ザ認証が成功した場合には、秘密鍵DB部5より対応す
る秘密鍵を取得し、ハッシュ値のデータを暗号処理部6
で暗号化し、アプリケーション1に返す。アプリケーシ
ョンは暗号化されたハッシュ値をメッセージに追加す
る。User authentication is performed by the user authentication unit 4 based on the fingerprint information in the data passed by the server communication unit 3. The fingerprint information is collated with the fingerprint information registered in the user authentication unit 4, and if there is no fingerprint information for which the collation is successful, the processing in the server 12 is interrupted and the authentication failure is returned to the application 1. If the user authentication is successful, a corresponding secret key is obtained from the secret key DB unit 5 and the data of the hash value is
And returns to application 1. The application adds the encrypted hash value to the message.

【0034】次に、親展の処理について説明する。親展
の処理は実施の形態2と同様である。Next, the confidential processing will be described. The confidential processing is the same as in the second embodiment.

【0035】以上のように、ユーザIDとパスワードに
よる認証ではなく指紋認証を用いることによって、より
強固なセキュリティを実現できる。また、アプリケーシ
ョン端末で指紋情報を管理する必要がないので、サーバ
端末のセキュリティを保つだけで指紋情報の漏洩を防ぐ
ことができる。As described above, stronger security can be realized by using fingerprint authentication instead of authentication using a user ID and a password. Further, since there is no need to manage fingerprint information in the application terminal, leakage of fingerprint information can be prevented only by maintaining security of the server terminal.

【0036】また、サーバ端末で照合するのでサーバに
高速な処理ができる端末を用意することにより、複数の
バイオメトリクスの組み合わせによる照合も簡単に実現
できる。Also, since the matching is performed by the server terminal, by preparing a terminal capable of high-speed processing in the server, the matching by combining a plurality of biometrics can be easily realized.

【0037】[0037]

【発明の効果】以上のように、この発明によれば、サー
バ端末で秘密鍵を使用した暗号・復号を行うので、秘密
鍵をアプリケーション端末に置く必要がなく、ICカー
ドと同等のセキュリティレベルでかつICカードなしで
署名・親展を実現でき、アプリケーション端末が複数あ
る場合に導入コストの軽減を実現できるという効果と、
ICカードなしなので紛失することがなくユーザの利便
性が向上する効果と、サーバ端末でユーザ認証をするこ
とによりログをとることによって管理者が、不正アクセ
スを監視してすぐにユーザの使用を停止できる効果があ
る。As described above, according to the present invention, since encryption / decryption using the secret key is performed at the server terminal, there is no need to put the secret key in the application terminal, and the security level is the same as that of the IC card. In addition, the signature and confidentiality can be realized without an IC card, and the introduction cost can be reduced when there are a plurality of application terminals.
There is no IC card, so there is no loss and the user's convenience is improved. Also, by authenticating the user at the server terminal, the log is taken, so that the administrator can monitor the unauthorized access and immediately stop using the user. There is an effect that can be done.

【0038】また、サーバ端末で秘密鍵だけでなく、公
開鍵を使用した暗号・復号を行うことにより、処理負荷
の大きい非対称暗号の演算機能が必要なく、携帯端末等
にも実装することができる。さらに、アプリケーション
端末側で証明書の管理も必要ないので、複数のアプリケ
ーション端末を管理するコストの軽減とメモリの節約を
実現できる。Further, by performing encryption / decryption using not only the secret key but also the public key at the server terminal, the operation function of the asymmetric encryption having a large processing load is not required, and the server terminal can be mounted on a portable terminal or the like. . Furthermore, since certificate management is not required on the application terminal side, the cost for managing a plurality of application terminals and the memory can be saved.

【0039】また、ユーザIDとパスワードではなくバ
イオメトリクスでユーザを認証することにより強固なセ
キュリティと、ユーザがユーザIDとパスワード入力す
る必要がないのでユーザの利便性の向上と、高速な処理
を実現できるサーバ端末を用意することにより複数のバ
イオメトリクスの組み合わせによるユーザ認証を簡単に
実現できる。In addition, strong security is achieved by authenticating the user with biometrics instead of the user ID and password, and the user's convenience and the high-speed processing are realized because the user does not need to input the user ID and password. By preparing a server terminal capable of performing the above, user authentication by a combination of a plurality of biometrics can be easily realized.

【図面の簡単な説明】[Brief description of the drawings]

【図1】 実施の形態1におけるシステム構成を示すブ
ロック図である。FIG. 1 is a block diagram illustrating a system configuration according to a first embodiment.

【図2】 実施の形態2におけるシステム構成を示すブ
ロック図である。FIG. 2 is a block diagram showing a system configuration according to a second embodiment.

【図3】 実施の形態3におけるシステム構成を示すブ
ロック図である。FIG. 3 is a block diagram showing a system configuration according to a third embodiment.

【図4】 従来例を示すブロック図である。FIG. 4 is a block diagram showing a conventional example.

【符号の説明】[Explanation of symbols]

1 アプリケーション、2 クライアント通信部、3
サーバ通信部、4 ユーザ認証部、5 秘密鍵DB部、
6 復号処理部、7 暗号処理部、8 証明書DB部、
9 暗号処理部、10 復号処理部、11 アプリケー
ション端末、12 サーバ端末、13 ネットワーク、
14 指紋取得部、15 ICカード。1 application, 2 client communication section, 3
Server communication section, 4 user authentication section, 5 secret key DB section,
6 decryption processing unit, 7 encryption processing unit, 8 certificate DB unit,
9 encryption processing unit, 10 decryption processing unit, 11 application terminal, 12 server terminal, 13 network,
14 Fingerprint acquisition unit, 15 IC card.

───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.7 識別記号 FI テーマコート゛(参考) H04L 9/32 H04L 9/00 673A 673D 675D (72)発明者 岡崎 直宣 東京都千代田区丸の内二丁目2番3号 三 菱電機株式会社内 (72)発明者 中村 浩 東京都千代田区丸の内二丁目2番3号 三 菱電機株式会社内 (72)発明者 藤井 照子 東京都千代田区丸の内二丁目2番3号 三 菱電機株式会社内 Fターム(参考) 5B017 AA03 BA05 BA07 CA15 CA16 5B035 AA13 BB09 BC00 CA11 5B085 AE01 AE13 AE23 AE29 BG07 5J104 AA07 AA09 AA16 EA01 EA05 KA01 KA17 LA05 MA01 NA02 NA05 NA12 PA07 ──────────────────────────────────────────────────続 き Continued on the front page (51) Int.Cl. 7 Identification symbol FI Theme coat ゛ (Reference) H04L 9/32 H04L 9/00 673A 673D 675D (72) Inventor Naoyoshi Okazaki 2-chome, Marunouchi, Chiyoda-ku, Tokyo No. 3 Mitsubishi Electric Co., Ltd. (72) Hiroshi Nakamura 2-3-2 Marunouchi, Chiyoda-ku, Tokyo Mitsui Electric Co., Ltd. (72) Teruko Fujii 2-3-2 Marunouchi, Chiyoda-ku, Tokyo No. Mitsubishi Electric Corporation F term (reference) 5B017 AA03 BA05 BA07 CA15 CA16 5B035 AA13 BB09 BC00 CA11 5B085 AE01 AE13 AE23 AE29 BG07 5J104 AA07 AA09 AA16 EA01 EA05 KA01 KA17 LA05 MA01 NA02 NA05 PA07

Claims (10)

【特許請求の範囲】[Claims] 【請求項1】 情報の暗号化を求めるアプリケーション
端末にネットワークを介して接続するサーバ装置であっ
て、以下の要素を有するサーバ装置 (1)アプリケーション端末から、ユーザ認証用のデー
タと、暗号化する情報とを受信するサーバ受信部、
(2)受信したユーザ認証用のデータを用いて、ユーザ
の認証を行うユーザ認証部、(3)ユーザに対応して秘
密鍵を記憶する秘密鍵データベース部、(4)ユーザ認
証部により認証されたユーザに対応する秘密鍵を秘密鍵
データベースから読み出し、読み出した秘密鍵を用い
て、受信した暗号化する情報を暗号処理する暗号処理
部、(5)アプリケーション端末へ、暗号化した情報を
送信するサーバ送信部。1. A server device connected to an application terminal for requesting information encryption via a network, the server device having the following elements: (1) encrypting data for user authentication from the application terminal; A server receiving unit for receiving information and
(2) a user authentication unit that authenticates a user using the received user authentication data; (3) a secret key database unit that stores a secret key corresponding to the user; and (4) a user authentication unit that authenticates the user. A secret key corresponding to the user who has read the encrypted information from the secret key database, encrypting the received information to be encrypted using the read secret key, and (5) transmitting the encrypted information to the application terminal. Server transmission unit. 【請求項2】 暗号化する情報は、メッセージのダイジ
ェストであることを特徴とする請求項1記載のサーバ装
置。2. The server device according to claim 1, wherein the information to be encrypted is a digest of a message. 【請求項3】 サーバ装置は、更に、秘密鍵を用いて復
号を行う復号処理部を有することを特徴とする請求項1
記載のサーバ装置。3. The server device according to claim 1, further comprising a decryption processing unit that performs decryption using a secret key.
The server device according to the above. 【請求項4】 ユーザ認証用のデータは、ユーザIDと
パスワードとであって、 ユーザ認証部は、ユーザIDとパスワードとを用いて、
ユーザの認証を行うことを特徴とする請求項1記載のサ
ーバ装置。4. The data for user authentication is a user ID and a password, and the user authentication unit uses the user ID and the password to
The server device according to claim 1, wherein user authentication is performed. 【請求項5】 サーバ装置は、更に、親展先に対応して
証明書を記憶する証明書データベース部を有し、 上記サーバ受信部は、アプリケーション端末から、親展
先の情報とメッセージとを受信し、 上記暗号処理部は、受信した親展先の情報により特定さ
れる親展先に対応する証明書を証明書データベース部か
ら読み出し、読み出した証明書に含まれる公開鍵を用い
て、受信したメッセージを暗号処理し、 上記サーバ送信部は、アプリケーション端末へ、暗号化
したメッセージを送信することを特徴とする請求項1記
載のサーバ装置。5. The server device further includes a certificate database unit for storing a certificate corresponding to the confidential destination, wherein the server receiving unit receives confidential information and a message from the application terminal. The encryption processing unit reads a certificate corresponding to the confidential destination specified by the received confidential information from the certificate database unit, and encrypts the received message using the public key included in the read certificate. The server device according to claim 1, wherein the server transmission unit transmits the encrypted message to the application terminal. 【請求項6】 サーバ装置は、更に、証明書に含まれる
公開鍵を用いて復号を行う復号処理部を有することを特
徴とする請求項5記載のサーバ装置。6. The server device according to claim 5, wherein the server device further includes a decryption processing unit that performs decryption using a public key included in the certificate. 【請求項7】 ユーザ認証用のデータは、バイオメトリ
クス情報であって、 ユーザ認証部は、バイオメトリクス情報を用いて、ユー
ザの認証を行うことを特徴とする請求項1記載のサーバ
装置。7. The server device according to claim 1, wherein the data for user authentication is biometrics information, and the user authentication unit authenticates the user using the biometrics information. 【請求項8】 バイオメトリクス情報は、指紋情報であ
ることを特徴とする請求項7記載のサーバ装置。8. The server device according to claim 7, wherein the biometric information is fingerprint information. 【請求項9】 ネットワークを介してサーバ装置に、情
報の暗号化を求めるアプリケーション端末であって、以
下の要素を有することを特徴とするアプリケーション端
末。 (1)サーバ装置へ、ユーザ認証用のデータと、暗号化
する情報とを送信するクライアント送信部、(2)サー
バ装置から、暗号化された情報を受信するクライアント
受信部、(3)暗号化された情報を用いるアプリケーシ
ョン部。9. An application terminal for requesting a server device to encrypt information via a network, wherein the application terminal includes the following elements. (1) a client transmitting unit that transmits data for user authentication and information to be encrypted to the server device, (2) a client receiving unit that receives encrypted information from the server device, and (3) encryption. Application part that uses the obtained information. 【請求項10】 情報の暗号化を求めるアプリケーショ
ン端末にネットワークを介して接続するサーバ装置とな
るコンピュータに、以下の処理を実行させるためのプロ
グラムを記録したコンピュータ読み取り可能な記録媒体 (1)アプリケーション端末から、ユーザ認証用のデー
タと、暗号化する情報とを受信する処理、(2)受信し
たユーザ認証用のデータを用いて、ユーザの認証を行う
処理、(3)ユーザに対応して秘密鍵を記憶する処理、
(4)認証されたユーザに対応する秘密鍵を読み出し、
読み出した秘密鍵を用いて、受信した暗号化する情報を
暗号化する処理、(5)アプリケーション端末へ、暗号
化した情報を送信する処理。10. A computer-readable recording medium storing a program for causing a computer serving as a server device connected via a network to an application terminal requiring information encryption to execute the following processing: (1) Application terminal , A process of receiving user authentication data and information to be encrypted, (2) a process of authenticating a user using the received user authentication data, and (3) a secret key corresponding to the user. Processing to memorize,
(4) read the secret key corresponding to the authenticated user,
A process of encrypting the received information to be encrypted using the read secret key; and (5) a process of transmitting the encrypted information to the application terminal.
JP2000366940A 2000-12-01 2000-12-01 Server system, application terminal and computer readable recording medium recorded with program Withdrawn JP2002169466A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2000366940A JP2002169466A (en) 2000-12-01 2000-12-01 Server system, application terminal and computer readable recording medium recorded with program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2000366940A JP2002169466A (en) 2000-12-01 2000-12-01 Server system, application terminal and computer readable recording medium recorded with program

Publications (1)

Publication Number Publication Date
JP2002169466A true JP2002169466A (en) 2002-06-14

Family

ID=18837473

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000366940A Withdrawn JP2002169466A (en) 2000-12-01 2000-12-01 Server system, application terminal and computer readable recording medium recorded with program

Country Status (1)

Country Link
JP (1) JP2002169466A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005502217A (en) * 2000-12-15 2005-01-20 オラクル・インターナショナル・コーポレイション Method and apparatus for delegating a digital signature to a signature server

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005502217A (en) * 2000-12-15 2005-01-20 オラクル・インターナショナル・コーポレイション Method and apparatus for delegating a digital signature to a signature server

Similar Documents

Publication Publication Date Title
US5737419A (en) Computer system for securing communications using split private key asymmetric cryptography
US7698565B1 (en) Crypto-proxy server and method of using the same
KR100734162B1 (en) Method and apparatus for secure distribution of public/private key pairs
US5535276A (en) Yaksha, an improved system and method for securing communications using split private key asymmetric cryptography
CN111447214B (en) Method for centralized service of public key and cipher based on fingerprint identification
JP4869944B2 (en) User authentication methods and related architectures based on the use of biometric identification technology
US7293176B2 (en) Strong mutual authentication of devices
US20020176583A1 (en) Method and token for registering users of a public-key infrastructure and registration system
US20030074562A1 (en) Authentication receipt
US7076062B1 (en) Methods and arrangements for using a signature generating device for encryption-based authentication
JPH07325785A (en) Network user identifying method, ciphering communication method, application client and server
US20020018570A1 (en) System and method for secure comparison of a common secret of communicating devices
CN103905388A (en) Authentication method, authentication device, smart card, and server
JP2003143131A (en) Electronic information management device, portable information terminal device, management server device and program
JP3860280B2 (en) Communication system, IC card issuance registration system, key code generation device, and recording medium
JPH09147072A (en) Personal authentication system, personal authentication card and center equipment
US10764260B2 (en) Distributed processing of a product on the basis of centrally encrypted stored data
JPH11353280A (en) Identity confirmation method and system by means of encipherment of secret data
EP1040616A1 (en) System and method of authenticating a key and transmitting secure data
JP3872616B2 (en) User authentication method on the Internet using a shared key encryption IC card
JP3690237B2 (en) Authentication method, recording medium, authentication system, terminal device, and authentication recording medium creation device
WO2002103535A1 (en) Qualification certifying method using variable certification information
EP1263164A1 (en) Method and token for registering users of a public-key infrastuture and registration system
JP4140617B2 (en) Authentication system using authentication recording medium and method of creating authentication recording medium
JPH11239128A (en) Information protection method for remote diagnosing system and its system device

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20051018

A300 Application deemed to be withdrawn because no request for examination was validly filed

Free format text: JAPANESE INTERMEDIATE CODE: A300

Effective date: 20080205