JP2002198955A - ネットワーク通信の加重的セキュリティシステム - Google Patents
ネットワーク通信の加重的セキュリティシステムInfo
- Publication number
- JP2002198955A JP2002198955A JP2000398171A JP2000398171A JP2002198955A JP 2002198955 A JP2002198955 A JP 2002198955A JP 2000398171 A JP2000398171 A JP 2000398171A JP 2000398171 A JP2000398171 A JP 2000398171A JP 2002198955 A JP2002198955 A JP 2002198955A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- security system
- network communication
- client
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Storage Device Security (AREA)
Abstract
(57)【要約】
【課題】 ネットワーク通信に対する通信効率を自動的
に最大化し、ネットワーク通信を必要以上に制限した
り、トランザクションを無駄に散逸するような効率低下
を招くことなく、簡易なシステム構成で安全性の最大化
を図る。 【解決手段】 基本的セキュリティシステムに従うネッ
トワーク通信に対して加重的に付加するセキュリティシ
ステムであって、送信データをデータ変換する暗号手段
からなり、この暗号手段は前記送信データに対してリア
ルタイムに鍵の生成又は付加をするネットワーク通信の
加重的セキュリティシステムである。
に最大化し、ネットワーク通信を必要以上に制限した
り、トランザクションを無駄に散逸するような効率低下
を招くことなく、簡易なシステム構成で安全性の最大化
を図る。 【解決手段】 基本的セキュリティシステムに従うネッ
トワーク通信に対して加重的に付加するセキュリティシ
ステムであって、送信データをデータ変換する暗号手段
からなり、この暗号手段は前記送信データに対してリア
ルタイムに鍵の生成又は付加をするネットワーク通信の
加重的セキュリティシステムである。
Description
【0001】
【発明の属する技術分野】本発明は、基本的セキュリテ
ィシステムに従うネットワーク通信に対して加重的に付
加するセキュリティシステムに関する。
ィシステムに従うネットワーク通信に対して加重的に付
加するセキュリティシステムに関する。
【0002】
【従来の技術】近年、個別に構築されたコンピュータネ
ットワーク(以下ネットワークと略する)がインターネッ
トに接続され、互いに見えない状況下で、多数のコンピ
ュータ間でデータ送受信される。このようなネットワー
クを介したデータ送受信は、ネットワーク通信と呼ぶこ
とができる。このネットワーク通信の安全性(完全性、
機密性)を図る場合、例えばセッション確立に際してサ
ーバとクライアントとが互いを正規と認証するため、パ
スワード認証を用いる。具体的には、利用者ID及びパス
ワードの送受信にSSLを加え、一方向認証だけではな
く、(1)双方公認証(利用者側の設定が必要)及び(2)暗号
化通信を図り、サーバと利用者とが互いに正規であるか
どうかを確認する。RFC2828 Internet Security Glossa
ry 等で定義されているようにSSLはSecure Socket Laye
rの略で、クライアントとサーバ間のトラフィックのた
めに、データの秘匿性サービス及びデータの完備性サー
ビスを用意する接続指向のコンピュータ間に暗号を使用
するインターネットのプロトコルである。
ットワーク(以下ネットワークと略する)がインターネッ
トに接続され、互いに見えない状況下で、多数のコンピ
ュータ間でデータ送受信される。このようなネットワー
クを介したデータ送受信は、ネットワーク通信と呼ぶこ
とができる。このネットワーク通信の安全性(完全性、
機密性)を図る場合、例えばセッション確立に際してサ
ーバとクライアントとが互いを正規と認証するため、パ
スワード認証を用いる。具体的には、利用者ID及びパス
ワードの送受信にSSLを加え、一方向認証だけではな
く、(1)双方公認証(利用者側の設定が必要)及び(2)暗号
化通信を図り、サーバと利用者とが互いに正規であるか
どうかを確認する。RFC2828 Internet Security Glossa
ry 等で定義されているようにSSLはSecure Socket Laye
rの略で、クライアントとサーバ間のトラフィックのた
めに、データの秘匿性サービス及びデータの完備性サー
ビスを用意する接続指向のコンピュータ間に暗号を使用
するインターネットのプロトコルである。
【0003】こうしたパスワード認証に対し、予めクラ
イアントの利用者に関連する個人情報をサーバに記憶し
ておき、所定タイミングで個人情報及びパスワード入力
をそれぞれ利用者に要求し、入力された個人情報とサー
バに予め記憶した個人情報とを照合し、パスワード照合
の一致及び個人情報の一致の判定を得る装置又は方法が
提案されている(例えば特許第3046001号「認証装置およ
び方法」)。サーバ及びクライアントが双方同じ利用者I
D及びパスワードを用い、個人情報の一致の判定(零知識
認証法)を加えてサーバがクライアントを認証するわけ
である。このほか、対応するチャレンジコード及びレス
ポンスコードの突き合せを図る認証も見られる。
イアントの利用者に関連する個人情報をサーバに記憶し
ておき、所定タイミングで個人情報及びパスワード入力
をそれぞれ利用者に要求し、入力された個人情報とサー
バに予め記憶した個人情報とを照合し、パスワード照合
の一致及び個人情報の一致の判定を得る装置又は方法が
提案されている(例えば特許第3046001号「認証装置およ
び方法」)。サーバ及びクライアントが双方同じ利用者I
D及びパスワードを用い、個人情報の一致の判定(零知識
認証法)を加えてサーバがクライアントを認証するわけ
である。このほか、対応するチャレンジコード及びレス
ポンスコードの突き合せを図る認証も見られる。
【0004】
【発明が解決しようとする課題】しかし、上記技術の零
知識認証法や対応するチャレンジコード及びレスポンス
コードの突き合せでは、例えばサーバから送信するチャ
レンジコードを読み込んだクライアント上で、その値か
ら更に利用者が計算を積み重ねた結果としてのレスポン
スコードを認証する高度な認証手法は利用されていなか
った。また、通信効率最高で安全性の高い状態を維持す
ることが可能な方式が、まだ見つかっていないという問
題が存在していた。
知識認証法や対応するチャレンジコード及びレスポンス
コードの突き合せでは、例えばサーバから送信するチャ
レンジコードを読み込んだクライアント上で、その値か
ら更に利用者が計算を積み重ねた結果としてのレスポン
スコードを認証する高度な認証手法は利用されていなか
った。また、通信効率最高で安全性の高い状態を維持す
ることが可能な方式が、まだ見つかっていないという問
題が存在していた。
【0005】本発明はかかる背景に鑑み、ネットワーク
通信に対する通信効率を自動的に最大化し、ネットワー
ク通信を必要以上に制限したり、トランザクションを無
駄に散逸することなく、簡易なシステム構成で安全性の
最大化を図ることを目的として、ネットワーク通信の安
全性について検討した。ここで、仮に送受信データの暗
号手段に問題がなくても、毎回同じ暗号手段を用いて通
信すると、盗まれた送受信データから解読される問題が
生じうることに着目し、ネットワークを介した認証やそ
の後のネットワーク通信における安全性を高めることを
主眼として、ネットワーク通信におけるセキュリティシ
ステムの構築を目指した。
通信に対する通信効率を自動的に最大化し、ネットワー
ク通信を必要以上に制限したり、トランザクションを無
駄に散逸することなく、簡易なシステム構成で安全性の
最大化を図ることを目的として、ネットワーク通信の安
全性について検討した。ここで、仮に送受信データの暗
号手段に問題がなくても、毎回同じ暗号手段を用いて通
信すると、盗まれた送受信データから解読される問題が
生じうることに着目し、ネットワークを介した認証やそ
の後のネットワーク通信における安全性を高めることを
主眼として、ネットワーク通信におけるセキュリティシ
ステムの構築を目指した。
【0006】
【課題を解決するための手段】検討の結果開発したもの
が、基本的セキュリティシステムに従うネットワーク通
信に対して加重的に付加するセキュリティシステムであ
って、送信データをデータ変換する暗号手段からなり、
この暗号手段は前記送信データに対してリアルタイムに
鍵の生成又は付加をするネットワーク通信の加重的セキ
ュリティシステムである。ここで、基本的セキュリティ
システムとは、主としてTCPによるサーバからの暗号セ
ッションからなる暗号手段、例えばSSLを例示できる。
これから、本発明が対象とするネットワークは、主とし
てTCP/IPベースのネットワーク一般となり、インターネ
ット、イントラネット、ダイアルアップ、VANサービ
ス、エクストラネット、パソコン通信、会員制ネットワ
ーク通信サービス、専用線等を例示できる。
が、基本的セキュリティシステムに従うネットワーク通
信に対して加重的に付加するセキュリティシステムであ
って、送信データをデータ変換する暗号手段からなり、
この暗号手段は前記送信データに対してリアルタイムに
鍵の生成又は付加をするネットワーク通信の加重的セキ
ュリティシステムである。ここで、基本的セキュリティ
システムとは、主としてTCPによるサーバからの暗号セ
ッションからなる暗号手段、例えばSSLを例示できる。
これから、本発明が対象とするネットワークは、主とし
てTCP/IPベースのネットワーク一般となり、インターネ
ット、イントラネット、ダイアルアップ、VANサービ
ス、エクストラネット、パソコン通信、会員制ネットワ
ーク通信サービス、専用線等を例示できる。
【0007】具体的には、ネットワーク通信はクライア
ントが備える通信用クライアントソフトウェアに組み込
まれた基本的セキュリティシステムを経て送受信され、
この通信用クライアントソフトウェアの基本的セキュリ
ティシステムを通過前又は通過後の送信データに対して
リアルタイムに鍵の生成又は付加をする。このとき、鍵
がこの送信データの送信毎に異なるようにするとよりよ
い。鍵を異ならせる手法としては、(1)暗号手段そのも
のを変更する場合と、(2)暗号手段は同じにしながら生
成又は付加する鍵そのものを変更する場合とが考えられ
る。また、送信毎に異なる鍵は、チャレンジコードに対
するレスポンスコード又はセッションキーの一方向関数
値とする、好ましくはレスポンスコード及びセッション
キーを一体に一方向関数値にするとよい。
ントが備える通信用クライアントソフトウェアに組み込
まれた基本的セキュリティシステムを経て送受信され、
この通信用クライアントソフトウェアの基本的セキュリ
ティシステムを通過前又は通過後の送信データに対して
リアルタイムに鍵の生成又は付加をする。このとき、鍵
がこの送信データの送信毎に異なるようにするとよりよ
い。鍵を異ならせる手法としては、(1)暗号手段そのも
のを変更する場合と、(2)暗号手段は同じにしながら生
成又は付加する鍵そのものを変更する場合とが考えられ
る。また、送信毎に異なる鍵は、チャレンジコードに対
するレスポンスコード又はセッションキーの一方向関数
値とする、好ましくはレスポンスコード及びセッション
キーを一体に一方向関数値にするとよい。
【0008】また、暗号手段は携帯型プログラムとし、
クライアント側のプログラミングインターフェースを用
いてサーバからオンデマンドに暗号手段をダウンロード
し、実行するシステムを構成するとよい。ここにいう
「携帯型プログラム」は、主にJavaを指し、例えば暗号
手段をJava Appletにより構成し、サーバからオンデマ
ンドにクライアントへとダウンロードして実行する。ク
ライアントとは、ネットワーク通信できる電子又は電気
機器を意味し、基本的にはコンピュータを指すが、この
ほかPDA、Webクライアント、インターネットを利用可能
な携帯電話又は専用機器等を例示できる。Javaを用いる
ことで、クライアントにおけるハードウェアの違いを吸
収でき、本発明の適用範囲を広げることができる。
クライアント側のプログラミングインターフェースを用
いてサーバからオンデマンドに暗号手段をダウンロード
し、実行するシステムを構成するとよい。ここにいう
「携帯型プログラム」は、主にJavaを指し、例えば暗号
手段をJava Appletにより構成し、サーバからオンデマ
ンドにクライアントへとダウンロードして実行する。ク
ライアントとは、ネットワーク通信できる電子又は電気
機器を意味し、基本的にはコンピュータを指すが、この
ほかPDA、Webクライアント、インターネットを利用可能
な携帯電話又は専用機器等を例示できる。Javaを用いる
ことで、クライアントにおけるハードウェアの違いを吸
収でき、本発明の適用範囲を広げることができる。
【0009】
【発明の実施の形態】以下、本発明についてまず基本概
念を説明した後、具体的な例として、セッション確立に
際する認証と、認証に続くネットワーク通信(より具体
的にはデータ送信)について説明する。図1は本発明を
適用する一般的なネットワーク形態におけるハード構成
図、図2は本発明を用いたサーバとクライアントとのや
りとりを表した全体フローチャート図、図3はセッショ
ン確立に際する認証をモデルとした本発明のネットワー
ク通信を説明するデータ送受信相関図で、図4はクライ
アントにおけるデータ送受信の流れを表した論理説明図
である。各例は、最も簡易な例として基本的セキュリテ
ィシステムにSSLを利用しているが、SSLに代えて別のセ
キュリティシステムを用いてもよい。基本的セキュリテ
ィシステムの種類を問わないのは、本発明が基本的セキ
ュリティシステムに対して付加的に用いる加重的セキュ
リティシステムだからであり、本発明の汎用性を示す特
徴である。
念を説明した後、具体的な例として、セッション確立に
際する認証と、認証に続くネットワーク通信(より具体
的にはデータ送信)について説明する。図1は本発明を
適用する一般的なネットワーク形態におけるハード構成
図、図2は本発明を用いたサーバとクライアントとのや
りとりを表した全体フローチャート図、図3はセッショ
ン確立に際する認証をモデルとした本発明のネットワー
ク通信を説明するデータ送受信相関図で、図4はクライ
アントにおけるデータ送受信の流れを表した論理説明図
である。各例は、最も簡易な例として基本的セキュリテ
ィシステムにSSLを利用しているが、SSLに代えて別のセ
キュリティシステムを用いてもよい。基本的セキュリテ
ィシステムの種類を問わないのは、本発明が基本的セキ
ュリティシステムに対して付加的に用いる加重的セキュ
リティシステムだからであり、本発明の汎用性を示す特
徴である。
【0010】本例は、インターネット1を介して、利用
者がクライアント2,3,4,5(デスクトップ型コンピュ
ータ2、ノート型コンピュータ3、PDA又はWebパッド
4、インターネット利用可能な携帯電話5や専用機器6
等、以下クライアント2で代表)に搭載するブラウザ(通
信用クライアントソフトウェア)を用いてサービス提供
サーバ7に接続する例で、クライアント2は認証サーバ
9を介してサービス提供サーバ7にアクセスする。認証
サーバ9は、認証データベース8から利用者情報を参照
して、認証にかかる処理を実行する。ここで、本例に示
すサービス提供サーバ7は、Webサーバ、mailサーバ又
はFTPサーバ等を指し、単一のハードである必要はな
く、提供するサービス内容によって、各種データベース
や他システムと組み合わせて構成する。
者がクライアント2,3,4,5(デスクトップ型コンピュ
ータ2、ノート型コンピュータ3、PDA又はWebパッド
4、インターネット利用可能な携帯電話5や専用機器6
等、以下クライアント2で代表)に搭載するブラウザ(通
信用クライアントソフトウェア)を用いてサービス提供
サーバ7に接続する例で、クライアント2は認証サーバ
9を介してサービス提供サーバ7にアクセスする。認証
サーバ9は、認証データベース8から利用者情報を参照
して、認証にかかる処理を実行する。ここで、本例に示
すサービス提供サーバ7は、Webサーバ、mailサーバ又
はFTPサーバ等を指し、単一のハードである必要はな
く、提供するサービス内容によって、各種データベース
や他システムと組み合わせて構成する。
【0011】本発明を適用するハード構成図は、図1に
見られるように、インターネット1を介したサーバ(認
証サーバ9、サービス提供サーバ7)とクライアント2
とを接続する。クライアント2は、インターネット1を
介してルータ10に至り、ファイアウォール11を経て認証
サーバ9に接続し、認証データベース8を参照した認証
サーバ9による接続認証及び利用認証を受けた後、サー
ビス提供サーバ7にアクセスできる(図2参照)。本例で
は、アクセス間隔に時間制限(Time Out値の設定)を設
け、認証後一定時間(Time Out値)内に利用がない場合に
再認証を要することとして、安全性を高めている。
見られるように、インターネット1を介したサーバ(認
証サーバ9、サービス提供サーバ7)とクライアント2
とを接続する。クライアント2は、インターネット1を
介してルータ10に至り、ファイアウォール11を経て認証
サーバ9に接続し、認証データベース8を参照した認証
サーバ9による接続認証及び利用認証を受けた後、サー
ビス提供サーバ7にアクセスできる(図2参照)。本例で
は、アクセス間隔に時間制限(Time Out値の設定)を設
け、認証後一定時間(Time Out値)内に利用がない場合に
再認証を要することとして、安全性を高めている。
【0012】本発明を適用したサーバ及びクライアント
間では、図3及び図4に見られるように、まずブラウザ
を用いてSSLによる基本的なセッションを確立し、ユー
ザーID等を用いたパスワード認証を経て、チャレンジコ
ード及びレスポンスコードの突き合せにより高い安全性
を確保したセッションを確立する。これらのセッション
に必要なプログラムは、最初のクライアントからサーバ
に向けてのSSLセッション確立を除いて、サーバからク
ライアントへダウンロードする携帯型プログラム(Java
Applet)に従う。そして、認証後は、再びサーバからク
ライアントへ鍵生成のための携帯型プログラム(Java Ap
plet)をダウンロードし、クライアントは前記携帯型プ
ログラムに従ってデータ送信することになる。
間では、図3及び図4に見られるように、まずブラウザ
を用いてSSLによる基本的なセッションを確立し、ユー
ザーID等を用いたパスワード認証を経て、チャレンジコ
ード及びレスポンスコードの突き合せにより高い安全性
を確保したセッションを確立する。これらのセッション
に必要なプログラムは、最初のクライアントからサーバ
に向けてのSSLセッション確立を除いて、サーバからク
ライアントへダウンロードする携帯型プログラム(Java
Applet)に従う。そして、認証後は、再びサーバからク
ライアントへ鍵生成のための携帯型プログラム(Java Ap
plet)をダウンロードし、クライアントは前記携帯型プ
ログラムに従ってデータ送信することになる。
【0013】次に、セッション確立に際する認証を具体
的に説明する。図5は本発明の(1)基本システムを用い
た接続認証及び利用認証の部分フローチャート図であ
る。利用者は、クライアント2に搭載したブラウザを用
いてSSLによる認証サーバ9(図1参照、以下同じ)への
アクセスを図る。本発明は、ブラウザが有するSSLのサ
ーバ認証手段(基本設定機能として予め設定され、特に
新たな設定を要しない)を基本的セキュリティ手段に付
加して用い、利用者の利便性を高めると共にデータ送受
信に関わる通信上の安全性(完全性、機密性)を高めてい
る。本例のサーバ認証はこのSSLに基づき、図5に見ら
れるように、利用者認証は従来公知の利用者ID及びパス
ワードに基づく接続認証と、サービス提供サーバ7利用
に際する基本システムを用いた利用認証とを用いる。
的に説明する。図5は本発明の(1)基本システムを用い
た接続認証及び利用認証の部分フローチャート図であ
る。利用者は、クライアント2に搭載したブラウザを用
いてSSLによる認証サーバ9(図1参照、以下同じ)への
アクセスを図る。本発明は、ブラウザが有するSSLのサ
ーバ認証手段(基本設定機能として予め設定され、特に
新たな設定を要しない)を基本的セキュリティ手段に付
加して用い、利用者の利便性を高めると共にデータ送受
信に関わる通信上の安全性(完全性、機密性)を高めてい
る。本例のサーバ認証はこのSSLに基づき、図5に見ら
れるように、利用者認証は従来公知の利用者ID及びパス
ワードに基づく接続認証と、サービス提供サーバ7利用
に際する基本システムを用いた利用認証とを用いる。
【0014】まず、クライアント2で認証サーバ9にア
クセスを開始すると、処理手順送信プログラムが識別コ
ード(利用者ID(及びパスワード))入力要求プログラム及
び識別コード返信プログラムをクライアント2へ送信
し、利用者に利用者ID(及びパスワード)を求める。利用
者は、識別コード入力要求プログラムに従って利用者ID
及びパスワードを入力すると、続いて識別コード返信プ
ログラムが前記利用者ID(及びパスワード)を認証サーバ
9に返信する。そして、認証サーバ9が利用者ID(及び
パスワード)を確認すると、利用者認証(接続認証)され
る。例えば、クライアント2がサーバ管理者から貸与さ
れた専用機器6である場合、各専用機器6に固有利用者
ID等を内蔵させておき、自動的に固有利用者IDを認証す
るようにしておけば、接続認証にかかる利用者の手続は
省略可能である。
クセスを開始すると、処理手順送信プログラムが識別コ
ード(利用者ID(及びパスワード))入力要求プログラム及
び識別コード返信プログラムをクライアント2へ送信
し、利用者に利用者ID(及びパスワード)を求める。利用
者は、識別コード入力要求プログラムに従って利用者ID
及びパスワードを入力すると、続いて識別コード返信プ
ログラムが前記利用者ID(及びパスワード)を認証サーバ
9に返信する。そして、認証サーバ9が利用者ID(及び
パスワード)を確認すると、利用者認証(接続認証)され
る。例えば、クライアント2がサーバ管理者から貸与さ
れた専用機器6である場合、各専用機器6に固有利用者
ID等を内蔵させておき、自動的に固有利用者IDを認証す
るようにしておけば、接続認証にかかる利用者の手続は
省略可能である。
【0015】接続認証を終えると、続く利用認証のため
のアクセスがクライアント2に許される。まず、認証サ
ーバ9は利用者情報を認証データベース8から検索し、
利用者毎に登録したチャレンジコード群を取得し、前記
チャレンジコード群からランダムに1つのチャレンジコ
ードを選択する。前記一連の処理は、(a)コード選択手
段を構成するコード選択プログラムに基づく。コード選
択プログラムの実行は認証サーバ9上であるため、プロ
グラム言語の種類は問わない。チャレンジコードは、予
めサーバに登録された複数のチャレンジコード及びレス
ポンスコードの組から選択する。
のアクセスがクライアント2に許される。まず、認証サ
ーバ9は利用者情報を認証データベース8から検索し、
利用者毎に登録したチャレンジコード群を取得し、前記
チャレンジコード群からランダムに1つのチャレンジコ
ードを選択する。前記一連の処理は、(a)コード選択手
段を構成するコード選択プログラムに基づく。コード選
択プログラムの実行は認証サーバ9上であるため、プロ
グラム言語の種類は問わない。チャレンジコードは、予
めサーバに登録された複数のチャレンジコード及びレス
ポンスコードの組から選択する。
【0016】次に、(b)データ送信手段を構成するデー
タ送信プログラムにより、特定したチャレンジコード、
(C)入力要求手段を構成する入力要求プログラム、(d)受
信コード作成手段を構成する受信コード作成プログラ
ム、(e)データ返信手段を構成するデータ返信プログラ
ム、変換手段を構成するデータ変換プログラム、現在ア
クセスを試みている利用者のカウンタ(アクセス累積数)
とタイムスタンプ(アクセス開始時間)とをクライアント
2へ送信する。これらの送信にはSSLを利用し、送信上
の完全性、機密性を確保している。データ変換プログラ
ムは受信コード作成プログラムと一体でもよい。いずれ
のプログラムも、クライアント2の機種の違いに依存し
ないJava(Java Applet)で形成する。携帯電話5等、一
度に多くのJavaを受信できないものは、各プログラムを
順次送信してもよい。この場合、前の処理プログラム
に、処理終了を通知する機能を付加しておく。
タ送信プログラムにより、特定したチャレンジコード、
(C)入力要求手段を構成する入力要求プログラム、(d)受
信コード作成手段を構成する受信コード作成プログラ
ム、(e)データ返信手段を構成するデータ返信プログラ
ム、変換手段を構成するデータ変換プログラム、現在ア
クセスを試みている利用者のカウンタ(アクセス累積数)
とタイムスタンプ(アクセス開始時間)とをクライアント
2へ送信する。これらの送信にはSSLを利用し、送信上
の完全性、機密性を確保している。データ変換プログラ
ムは受信コード作成プログラムと一体でもよい。いずれ
のプログラムも、クライアント2の機種の違いに依存し
ないJava(Java Applet)で形成する。携帯電話5等、一
度に多くのJavaを受信できないものは、各プログラムを
順次送信してもよい。この場合、前の処理プログラム
に、処理終了を通知する機能を付加しておく。
【0017】(C)入力要求プログラム、(d)受信コード作
成プログラム、(e)データ返信プログラム、データ変換
プログラム、カウンタ及びタイムスタンプを受信したク
ライアント2は、まず(c)入力要求プログラムに従っ
て、クライアント2の画面上にチャレンジコードを表示
又は発声し、対応するレスポンスコードの入力を促す。
このレスポンスコードの入力は、通常キーボードを用い
た文字入力であるが、音声入力による声紋認証(携帯電
話5等)、手書き文字入力による筆跡認証(PDA又はWebパ
ッド4等)、個人の身体的特徴を利用するバイオメトリ
ックス認証、ICカード等を利用した保有者認証等を、個
別又は組み合わせて利用できる。
成プログラム、(e)データ返信プログラム、データ変換
プログラム、カウンタ及びタイムスタンプを受信したク
ライアント2は、まず(c)入力要求プログラムに従っ
て、クライアント2の画面上にチャレンジコードを表示
又は発声し、対応するレスポンスコードの入力を促す。
このレスポンスコードの入力は、通常キーボードを用い
た文字入力であるが、音声入力による声紋認証(携帯電
話5等)、手書き文字入力による筆跡認証(PDA又はWebパ
ッド4等)、個人の身体的特徴を利用するバイオメトリ
ックス認証、ICカード等を利用した保有者認証等を、個
別又は組み合わせて利用できる。
【0018】利用者によりレスポンスコードが入力され
ると、(d)受信コード作成プログラムが、前記レスポン
スコードとカウンタ及びタイムスタンプとを一体にデー
タ変換プログラムによりデータ変換して受信コード(鍵)
を作成する。この認証における「鍵」は、あくまでセッ
ション確立のためのものである。本例では、データ変換
プログラムとしてHASH関数(一方向関数)を用い、MDから
なる受信コード(鍵)を作成する。カウンタやタイムスタ
ンプはアクセスの度に数値が異なるセッションキー(経
時的変数)であり、例えば前回同様のレスポンスコード
からでも送信毎に異なる受信コードを作ることができ
る。これにより、返信段階で受信コードが盗まれても、
次回のアクセスにおける認証の真正性が保証できる。ま
た、受信コードは認証を図る双方のみが知る正しいHASH
関数でなければ確認が取れないため、完全性が高い。本
例では、更に受信コードをSSLで返信することで安全性
を高めている。
ると、(d)受信コード作成プログラムが、前記レスポン
スコードとカウンタ及びタイムスタンプとを一体にデー
タ変換プログラムによりデータ変換して受信コード(鍵)
を作成する。この認証における「鍵」は、あくまでセッ
ション確立のためのものである。本例では、データ変換
プログラムとしてHASH関数(一方向関数)を用い、MDから
なる受信コード(鍵)を作成する。カウンタやタイムスタ
ンプはアクセスの度に数値が異なるセッションキー(経
時的変数)であり、例えば前回同様のレスポンスコード
からでも送信毎に異なる受信コードを作ることができ
る。これにより、返信段階で受信コードが盗まれても、
次回のアクセスにおける認証の真正性が保証できる。ま
た、受信コードは認証を図る双方のみが知る正しいHASH
関数でなければ確認が取れないため、完全性が高い。本
例では、更に受信コードをSSLで返信することで安全性
を高めている。
【0019】こうして得られた受信コード(鍵)は、(e)
データ返信プログラムによってクライアント2から自動
的に返信され、認証サーバ9が受信する。認証のみを目
的とした場合、(C)入力要求プログラム、(d)受信コード
作成プログラム、(e)データ返信プログラム、データ変
換プログラム、カウンタ及びタイムスタンプは、受信コ
ード返信後消滅することが望ましい。こうした消滅処理
を担うプログラムは、(e)データ返信プログラムに含
め、受信コード返信後自動的に実行させるとよい。この
ように、本発明の認証システムでは、クライアント2に
認証のための特別なプログラムを搭載しなくてもよい利
点がある。本例では、受信コードの返信にSSLを利用し
ている。
データ返信プログラムによってクライアント2から自動
的に返信され、認証サーバ9が受信する。認証のみを目
的とした場合、(C)入力要求プログラム、(d)受信コード
作成プログラム、(e)データ返信プログラム、データ変
換プログラム、カウンタ及びタイムスタンプは、受信コ
ード返信後消滅することが望ましい。こうした消滅処理
を担うプログラムは、(e)データ返信プログラムに含
め、受信コード返信後自動的に実行させるとよい。この
ように、本発明の認証システムでは、クライアント2に
認証のための特別なプログラムを搭載しなくてもよい利
点がある。本例では、受信コードの返信にSSLを利用し
ている。
【0020】クライアント2より受信コードを受信した
認証サーバ9は、(f)認証コード作成手段を構成する認
証コード作成プログラムにより、先に(b)データ送信プ
ログラムによりクライアント2へ送信したチャレンジコ
ードに対応するレスポンスコードと同じくクライアント
2へ送信したカウンタ及びタイムスタンプとを一体に、
同じくクライアント2へ送信したデータ変換プログラム
を用いてデータ変換、すなわち認証コード(鍵)を作成す
る。このデータ変換処理は認証サーバ9上で実施するた
め、プログラム言語は問わないが、データ変換アルゴリ
ズム自体はクライアント2へ送信したデータ変換プログ
ラムと一致しておく必要がある。これから分かるよう
に、どのようなデータ変換プログラムを用いるかは認証
サーバに決定権があり、例えばクライアント2が同じで
もアクセス毎にデータ変換プログラムを変更することも
できる(後述図7参照)。
認証サーバ9は、(f)認証コード作成手段を構成する認
証コード作成プログラムにより、先に(b)データ送信プ
ログラムによりクライアント2へ送信したチャレンジコ
ードに対応するレスポンスコードと同じくクライアント
2へ送信したカウンタ及びタイムスタンプとを一体に、
同じくクライアント2へ送信したデータ変換プログラム
を用いてデータ変換、すなわち認証コード(鍵)を作成す
る。このデータ変換処理は認証サーバ9上で実施するた
め、プログラム言語は問わないが、データ変換アルゴリ
ズム自体はクライアント2へ送信したデータ変換プログ
ラムと一致しておく必要がある。これから分かるよう
に、どのようなデータ変換プログラムを用いるかは認証
サーバに決定権があり、例えばクライアント2が同じで
もアクセス毎にデータ変換プログラムを変更することも
できる(後述図7参照)。
【0021】認証サーバ9及びクライアント2が共に正
規であれば、クライアント2から返信されてきた受信コ
ード(鍵)と、認証サーバ9が作成した認証コード(鍵)と
は一致する(完全性がある)。(g)相手方認証手段を構成
する相手方認証プログラムは前記完全性判断を担う。利
用者が正規であれば、認証サーバ9が示したチャレンジ
コードに正しく対応したレスポンスコードにより受信コ
ードが構成されており、当然に認証コードと完全一致す
るはずである。これにより、認証サーバ9はクライアン
ト2を正規利用者利用のクライアントと認証できる。こ
うして、接続認証、利用認証が正規に終了すれば、認証
サーバ9は自身を介したクライアント2のサービス提供
サーバ7へのアクセスを許可する(図2参照)。
規であれば、クライアント2から返信されてきた受信コ
ード(鍵)と、認証サーバ9が作成した認証コード(鍵)と
は一致する(完全性がある)。(g)相手方認証手段を構成
する相手方認証プログラムは前記完全性判断を担う。利
用者が正規であれば、認証サーバ9が示したチャレンジ
コードに正しく対応したレスポンスコードにより受信コ
ードが構成されており、当然に認証コードと完全一致す
るはずである。これにより、認証サーバ9はクライアン
ト2を正規利用者利用のクライアントと認証できる。こ
うして、接続認証、利用認証が正規に終了すれば、認証
サーバ9は自身を介したクライアント2のサービス提供
サーバ7へのアクセスを許可する(図2参照)。
【0022】図6は(2)拡張システムを用いた接続認証
及び利用認証の部分フローチャート図である。基本的な
処理の流れは基本システムと変わりはないが、複数のレ
スポンスコードとカウンタ及びタイムスタンプとを一体
にデータ変換した1つの受信コード(鍵)は、前記レスポ
ンスコードがすべて正しくないと、認証コード(鍵)と一
致しない(完全性がない)ことになり、安全性が高められ
る。また、(a)コード選択手段が選択する複数のチャレ
ンジコードは、必ずしも一定数でなくてもよく、安全性
向上のために選択個数nを変更することが可能である。
選択個数nをランダムにするには、例えば乱数を用い
る。
及び利用認証の部分フローチャート図である。基本的な
処理の流れは基本システムと変わりはないが、複数のレ
スポンスコードとカウンタ及びタイムスタンプとを一体
にデータ変換した1つの受信コード(鍵)は、前記レスポ
ンスコードがすべて正しくないと、認証コード(鍵)と一
致しない(完全性がない)ことになり、安全性が高められ
る。また、(a)コード選択手段が選択する複数のチャレ
ンジコードは、必ずしも一定数でなくてもよく、安全性
向上のために選択個数nを変更することが可能である。
選択個数nをランダムにするには、例えば乱数を用い
る。
【0023】図7は(2)拡張システムに対して(3)応用シ
ステムを用いた接続認証及び利用認証の部分フローチャ
ート図である。予め認証サーバ9に複数のデータ変換プ
ログラム(同種又は異種データ変換プログラムを複数)を
搭載しており、(a)コード選択プログラムが予め登録さ
れているチャレンジコード群の中から複数のチャレンジ
コードを選択するのと同様に、(a')変換選択プログラム
が予め登録されているデータ変換プログラム群の中から
1つのデータ変換プログラムを選択する。
ステムを用いた接続認証及び利用認証の部分フローチャ
ート図である。予め認証サーバ9に複数のデータ変換プ
ログラム(同種又は異種データ変換プログラムを複数)を
搭載しており、(a)コード選択プログラムが予め登録さ
れているチャレンジコード群の中から複数のチャレンジ
コードを選択するのと同様に、(a')変換選択プログラム
が予め登録されているデータ変換プログラム群の中から
1つのデータ変換プログラムを選択する。
【0024】(3)応用システムにおいて、アクセスの度
にデータ変換プログラムの変更可能なのは、本システム
が認証サーバ9に必要な処理プログラムをすべて有し、
利用者認証に際して認証サーバ9からクライアント2へ
送信するからである。これにより、認証サーバ9におい
て、データ変換プログラム群を適宜更新又は変更して、
常に最新のデータ変換プログラムを用いた高い機密性を
得ることができる。従来一般に見られるようにクライア
ント2にも同種のデータ変換プログラムを要するとすれ
ば、認証サーバ9及びクライアント2双方がデータ変換
プログラムを一致させておかなければならず、適宜更新
又は変更が難しい。このように、本発明はデータ変換プ
ログラムの管理又はメンテナンスの観点からも好ましい
システムとなっている。
にデータ変換プログラムの変更可能なのは、本システム
が認証サーバ9に必要な処理プログラムをすべて有し、
利用者認証に際して認証サーバ9からクライアント2へ
送信するからである。これにより、認証サーバ9におい
て、データ変換プログラム群を適宜更新又は変更して、
常に最新のデータ変換プログラムを用いた高い機密性を
得ることができる。従来一般に見られるようにクライア
ント2にも同種のデータ変換プログラムを要するとすれ
ば、認証サーバ9及びクライアント2双方がデータ変換
プログラムを一致させておかなければならず、適宜更新
又は変更が難しい。このように、本発明はデータ変換プ
ログラムの管理又はメンテナンスの観点からも好ましい
システムとなっている。
【0025】本発明は、上述のように認証に際して安全
なセッションの確立を図ることができるほか、そのまま
ネットワーク通信の基本セキュリティ手段(上記ではSS
L)に付加してデータ送受信の加重的な安全性確保に利用
できる。つまり、繰り返されるネットワーク通信におけ
る過去の送信データから推測される攻撃を防ぐため、送
信データに対して生成又は付加する鍵を送信毎に異なら
せるわけである。上記例に即して説明すれば、認証後の
データ送受信(実際にはデータ送信)において、サーバか
らクライアントへ送信した(d)受信コード作成プログラ
ム、(e)データ返信プログラム、データ変換プログラ
ム、カウンタ及びタイムスタンプを利用する。具体的に
は、クライアントからサーバへの送信データに対し、
(d)受信コード作成プログラムにより(1)レスポンスコー
ド、(2)カウンタ又は(3)タイムスタンプを個別又は選択
的に選んでデータ変換プログラムに従ってデータ変換
し、鍵を生成する。すなわち、データ送信に際しては、
(d)受信コード作成プログラムが鍵生成プログラムとな
る。こうして生成した鍵を用いて更に暗号化した送信デ
ータを(e)データ返信プログラムがサーバへと送信す
る。
なセッションの確立を図ることができるほか、そのまま
ネットワーク通信の基本セキュリティ手段(上記ではSS
L)に付加してデータ送受信の加重的な安全性確保に利用
できる。つまり、繰り返されるネットワーク通信におけ
る過去の送信データから推測される攻撃を防ぐため、送
信データに対して生成又は付加する鍵を送信毎に異なら
せるわけである。上記例に即して説明すれば、認証後の
データ送受信(実際にはデータ送信)において、サーバか
らクライアントへ送信した(d)受信コード作成プログラ
ム、(e)データ返信プログラム、データ変換プログラ
ム、カウンタ及びタイムスタンプを利用する。具体的に
は、クライアントからサーバへの送信データに対し、
(d)受信コード作成プログラムにより(1)レスポンスコー
ド、(2)カウンタ又は(3)タイムスタンプを個別又は選択
的に選んでデータ変換プログラムに従ってデータ変換
し、鍵を生成する。すなわち、データ送信に際しては、
(d)受信コード作成プログラムが鍵生成プログラムとな
る。こうして生成した鍵を用いて更に暗号化した送信デ
ータを(e)データ返信プログラムがサーバへと送信す
る。
【0026】「鍵を用いて更に暗号化した送信データ」
は、単にデータを暗号化するのみならず、既述した認証
同様の突き合わせる鍵として機能したり、データの改竄
確認の役割も果たす。暗号化した送信データは、通信時
における改竄確認を図るほか、サーバに保管しておくこ
とで、事後に改竄の有無を確認できるようにするわけで
ある。従来も同様な役割を果たす鍵(例えば公開鍵方式
による暗号化)も存在するが、これらは鍵の生成又は暗
号化のためのプログラムをクライアントが持っている必
要があり、プログラムの管理又はメンテナンスが難しい
問題を有している。これに対し、本発明はサーバがすべ
ての手段を有しているので、前記問題が存在しない利点
がある。
は、単にデータを暗号化するのみならず、既述した認証
同様の突き合わせる鍵として機能したり、データの改竄
確認の役割も果たす。暗号化した送信データは、通信時
における改竄確認を図るほか、サーバに保管しておくこ
とで、事後に改竄の有無を確認できるようにするわけで
ある。従来も同様な役割を果たす鍵(例えば公開鍵方式
による暗号化)も存在するが、これらは鍵の生成又は暗
号化のためのプログラムをクライアントが持っている必
要があり、プログラムの管理又はメンテナンスが難しい
問題を有している。これに対し、本発明はサーバがすべ
ての手段を有しているので、前記問題が存在しない利点
がある。
【0027】ここで、送信毎に(1)新たなデータ変換プ
ログラムを用いたり、(2)カウンタ又は(3)タイムスタン
プを更新して鍵を生成すると、送信毎に用いる鍵を異な
らせることができ、ネットワーク通信における安全性を
より高めることができる。また、決済情報等のように、
毎回類似の内容を有するデータを送信する場合、各デー
タの略同位置に類似のデータが並ぶことになりやすい
が、例えば(d)受信コード作成プログラムにおいてデー
タの並びを変更する機能(一種の暗号化)を付加し、生成
した鍵により前記変更後のデータを暗号化するとよい。
こうしたデータの取扱いについての柔軟性は、各プログ
ラムはすべてサーバが有しており、必要に応じて仕様や
内容を適宜変更してクライアントへダウンロードできる
運用の柔軟性に基づく効果と言える。
ログラムを用いたり、(2)カウンタ又は(3)タイムスタン
プを更新して鍵を生成すると、送信毎に用いる鍵を異な
らせることができ、ネットワーク通信における安全性を
より高めることができる。また、決済情報等のように、
毎回類似の内容を有するデータを送信する場合、各デー
タの略同位置に類似のデータが並ぶことになりやすい
が、例えば(d)受信コード作成プログラムにおいてデー
タの並びを変更する機能(一種の暗号化)を付加し、生成
した鍵により前記変更後のデータを暗号化するとよい。
こうしたデータの取扱いについての柔軟性は、各プログ
ラムはすべてサーバが有しており、必要に応じて仕様や
内容を適宜変更してクライアントへダウンロードできる
運用の柔軟性に基づく効果と言える。
【0028】
【発明の効果】本発明により、ネットワーク通信におけ
る送信データの完全性(盗用者による割込みや送受信デ
ータの置換の防止)、機密性(盗用者のよる送受信データ
の解析防止)を高め、安全性の高いセキュリティシステ
ムを提供できるようになる。特徴として、完全性及び機
密性確保に必要な各手段をすべてサーバが有するので、
クライアントになんら搭載せずにシステム構成を一括又
は部分的(特にデータ変換手段)に更新可能な点を挙げる
ことができる。これは、従来のセキュリティシステムが
更新を含むシステム管理にあった不便さを解消する利点
である。
る送信データの完全性(盗用者による割込みや送受信デ
ータの置換の防止)、機密性(盗用者のよる送受信データ
の解析防止)を高め、安全性の高いセキュリティシステ
ムを提供できるようになる。特徴として、完全性及び機
密性確保に必要な各手段をすべてサーバが有するので、
クライアントになんら搭載せずにシステム構成を一括又
は部分的(特にデータ変換手段)に更新可能な点を挙げる
ことができる。これは、従来のセキュリティシステムが
更新を含むシステム管理にあった不便さを解消する利点
である。
【0029】一方向関数を用いた処理は高速で通信効率
の低下を招かず、機密性が高い点も利点である。また、
レスポンスコードはデータ変換するため、コードのその
ものが通信路上に現れることがなく、機密性が高い。更
に、受信コードは経時的に変化するセッションキーを加
えてデータ変換しているために経時的特異性を有し、更
に通信上の機密性を高めている。こうして、本発明は正
規利用者のみが正しいサーバとセッションを確立し、完
全性及び機密性を保ってデータ送信できるというネット
ワーク上の信頼性を実現する。
の低下を招かず、機密性が高い点も利点である。また、
レスポンスコードはデータ変換するため、コードのその
ものが通信路上に現れることがなく、機密性が高い。更
に、受信コードは経時的に変化するセッションキーを加
えてデータ変換しているために経時的特異性を有し、更
に通信上の機密性を高めている。こうして、本発明は正
規利用者のみが正しいサーバとセッションを確立し、完
全性及び機密性を保ってデータ送信できるというネット
ワーク上の信頼性を実現する。
【0030】上記例示では、サーバに対してクライアン
トを接続する場合を示したが、本発明はサーバを媒介と
してクライアント相互を接続する場合や、このクライア
ント相互のデータ送信にも利用可能である。サーバを媒
介とするクライアント相互では、サーバが本発明に必要
な各手段を搭載し、各利用者が正規であることの確認を
図る態様となる。すなわち、利用者は各手段を必要とせ
ず、各利用者は適宜異なるクライアントを用いて接続及
びデータ送信が可能となる。
トを接続する場合を示したが、本発明はサーバを媒介と
してクライアント相互を接続する場合や、このクライア
ント相互のデータ送信にも利用可能である。サーバを媒
介とするクライアント相互では、サーバが本発明に必要
な各手段を搭載し、各利用者が正規であることの確認を
図る態様となる。すなわち、利用者は各手段を必要とせ
ず、各利用者は適宜異なるクライアントを用いて接続及
びデータ送信が可能となる。
【図面の簡単な説明】
【図1】本発明を適用する一般的なネットワーク形態に
おけるハード構成図である。
おけるハード構成図である。
【図2】サーバと利用者とのやりとりを表した全体フロ
ーチャート図である。
ーチャート図である。
【図3】セッション確立に際する認証をモデルとした本
発明のネットワーク通信を説明するデータ送受信相関図
である。
発明のネットワーク通信を説明するデータ送受信相関図
である。
【図4】クライアントにおけるデータ送受信の流れを表
した論理説明図である。
した論理説明図である。
【図5】(1)基本システムを用いた接続認証及び利用認
証の部分フローチャート図である。
証の部分フローチャート図である。
【図6】(2)拡張システムを用いた接続認証及び利用認
証の部分フローチャート図である。
証の部分フローチャート図である。
【図7】(3)拡張システムに対して応用システムを用い
た接続認証及び利用認証の部分フローチャート図であ
る。
た接続認証及び利用認証の部分フローチャート図であ
る。
1 インターネット 2 デスクトップ型コンピュータ 3 ノート型コンピュータ 4 PDA又はWebパッド 5 インターネット利用可能な携帯電話 6 専用機器 7 サービス提供サーバ 8 認証データベース 9 認証サーバ 10 ルータ 11 ファイアウォール
───────────────────────────────────────────────────── フロントページの続き (72)発明者 白井 力 東京都渋谷区代官山町17−1 代官山アド レスタワー912号 (72)発明者 宮崎 裕司 東京都狛江市和泉本町1−6−10 パーク スクエア狛江103 (72)発明者 飯嶋 鉄志 東京都八王子市暁町2−17−6 (72)発明者 水野 健生 神奈川県横浜市神奈川区三ツ沢南町4−5 (72)発明者 馬場 芳美 神奈川県横浜市港北区太尾町644 Fターム(参考) 5B017 AA03 BA07 BB09 5J104 AA07 AA11 AA16 AA41 EA04 EA16 KA01 KA06 KA09 KA21 NA03 NA05 NA11 NA12 PA07
Claims (7)
- 【請求項1】 基本的セキュリティシステムに従うネッ
トワーク通信に対して加重的に付加するセキュリティシ
ステムであって、送信データをデータ変換する暗号手段
からなり、該暗号手段は前記送信データに対してリアル
タイムに鍵の生成又は付加をしてなるネットワーク通信
の加重的セキュリティシステム。 - 【請求項2】 基本的セキュリティシステムが、TCPに
よるサーバからの暗号セッションからなる請求項1記載
のネットワーク通信の加重的セキュリティシステム。 - 【請求項3】 ネットワーク通信が、クライアントが備
える通信用クライアントソフトウェアに組み込まれた基
本的セキュリティシステムを経て送受信されてなり、該
通信用クライアントソフトウェアの基本的セキュリティ
システムを通過前又は通過後の送信データに対してリア
ルタイムに鍵の生成又は付加をする請求項1記載のネッ
トワーク通信の加重的セキュリティシステム。 - 【請求項4】 鍵が該送信データの送信毎に異なる請求
項1記載のネットワーク通信の加重的セキュリティシス
テム。 - 【請求項5】 送信毎に異なる鍵が、チャレンジコード
に対するレスポンスコード又はセッションキーの一方向
関数値である請求項4記載のネットワーク通信の加重的
セキュリティシステム。 - 【請求項6】 暗号手段が、携帯型プログラムである請
求項1記載のネットワーク通信の加重的セキュリティシ
ステム。 - 【請求項7】 クライアント側のプログラミングインタ
ーフェースを用いて、サーバからオンデマンドに暗号手
段をダウンロードし、実行する請求項1記載のネットワ
ーク通信の加重的セキュリティシステム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000398171A JP2002198955A (ja) | 2000-12-27 | 2000-12-27 | ネットワーク通信の加重的セキュリティシステム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000398171A JP2002198955A (ja) | 2000-12-27 | 2000-12-27 | ネットワーク通信の加重的セキュリティシステム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2002198955A true JP2002198955A (ja) | 2002-07-12 |
Family
ID=18863191
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000398171A Pending JP2002198955A (ja) | 2000-12-27 | 2000-12-27 | ネットワーク通信の加重的セキュリティシステム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2002198955A (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006515486A (ja) * | 2002-10-03 | 2006-05-25 | ノキア コーポレイション | セルラ通信システムにおいて再認証を可能にする方法および装置 |
| JP2009525647A (ja) * | 2006-01-30 | 2009-07-09 | シーメンス アクチエンゲゼルシヤフト | 第1の通信機と第2の通信機とのあいだでの共通鍵の指定方法、および、第1の通信機と第2の通信機とのあいだでの共通鍵の指定装置 |
| WO2018150931A1 (ja) * | 2017-02-17 | 2018-08-23 | ソニー株式会社 | サーバ及び認証方法 |
-
2000
- 2000-12-27 JP JP2000398171A patent/JP2002198955A/ja active Pending
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006515486A (ja) * | 2002-10-03 | 2006-05-25 | ノキア コーポレイション | セルラ通信システムにおいて再認証を可能にする方法および装置 |
| JP4713338B2 (ja) * | 2002-10-03 | 2011-06-29 | ノキア コーポレイション | セルラ通信システムにおいて再認証を可能にする方法および装置 |
| US8972582B2 (en) | 2002-10-03 | 2015-03-03 | Nokia Corporation | Method and apparatus enabling reauthentication in a cellular communication system |
| JP2009525647A (ja) * | 2006-01-30 | 2009-07-09 | シーメンス アクチエンゲゼルシヤフト | 第1の通信機と第2の通信機とのあいだでの共通鍵の指定方法、および、第1の通信機と第2の通信機とのあいだでの共通鍵の指定装置 |
| US8261076B2 (en) | 2006-01-30 | 2012-09-04 | Siemens Aktiengesellschsft | Method and device for agreeing shared key between first communication device and second communication device |
| WO2018150931A1 (ja) * | 2017-02-17 | 2018-08-23 | ソニー株式会社 | サーバ及び認証方法 |
| JPWO2018150931A1 (ja) * | 2017-02-17 | 2019-12-12 | ソニー株式会社 | サーバ及び認証方法 |
| JP7024738B2 (ja) | 2017-02-17 | 2022-02-24 | ソニーグループ株式会社 | サーバ及び認証方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7281128B2 (en) | One pass security | |
| US7555655B2 (en) | Apparatus, system, and method for generating and authenticating a computer password | |
| US7240192B1 (en) | Combining a browser cache and cookies to improve the security of token-based authentication protocols | |
| US20060294023A1 (en) | System and method for secure online transactions using portable secure network devices | |
| US9088561B2 (en) | Method and system for authentication in a computer network | |
| US20100217975A1 (en) | Method and system for secure online transactions with message-level validation | |
| US20030163691A1 (en) | System and method for authenticating sessions and other transactions | |
| CN101997824A (zh) | 基于移动终端的身份认证方法及其装置和系统 | |
| CN101577917A (zh) | 一种安全的基于手机的动态密码验证方法 | |
| JP2002521962A (ja) | 認証トークンを使用して共有秘密を確立する方法及びシステム | |
| CA2503271A1 (en) | A method and system for recovering password protected private data via a communication network without exposing the private data | |
| JP2002215582A (ja) | 認証方法及び装置 | |
| TW201424316A (zh) | 使用瀏覽器認證線上交易的方法 | |
| JP3362780B2 (ja) | 通信システムにおける認証方法、センタ装置、認証プログラムを記録した記録媒体 | |
| CN101355555A (zh) | 认证系统及认证方法 | |
| WO2011037226A1 (ja) | アクセス制御システム、認証サーバシステムおよびアクセス制御プログラム | |
| JP2001186122A (ja) | 認証システム及び認証方法 | |
| JP2001344212A (ja) | バイオメトリクス情報によるコンピュータファイルの利用制限方法、コンピュータシステムへのログイン方法および記録媒体 | |
| US20090319778A1 (en) | User authentication system and method without password | |
| CN112383401B (zh) | 一种提供身份鉴别服务的用户名生成方法及系统 | |
| KR100750214B1 (ko) | 공인 인증서를 이용한 로그인 방법 | |
| JP2002198955A (ja) | ネットワーク通信の加重的セキュリティシステム | |
| KR19990038925A (ko) | 분산 환경에서 안전한 양방향 인증 방법 | |
| KR100993333B1 (ko) | 인터넷 접속 도구를 고려한 사용자 인증 방법 및 시스템 | |
| KR100901279B1 (ko) | 챕 챌린지 메시지를 이용한 네트워크 액세스 인증 방법 및시스템. |