JP2002328905A - Client authentication method, authentication device, program and storage medium - Google Patents

Client authentication method, authentication device, program and storage medium

Info

Publication number
JP2002328905A
JP2002328905A JP2001130777A JP2001130777A JP2002328905A JP 2002328905 A JP2002328905 A JP 2002328905A JP 2001130777 A JP2001130777 A JP 2001130777A JP 2001130777 A JP2001130777 A JP 2001130777A JP 2002328905 A JP2002328905 A JP 2002328905A
Authority
JP
Japan
Prior art keywords
client
auth
server
information
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2001130777A
Other languages
Japanese (ja)
Inventor
Yosuke Tabuchi
洋介 田淵
Tomoyuki Komuro
智之 小室
Hiroki Ueda
広樹 植田
Hikari Morita
光 森田
Original Assignee
Nippon Telegr & Teleph Corp <Ntt>
日本電信電話株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegr & Teleph Corp <Ntt>, 日本電信電話株式会社 filed Critical Nippon Telegr & Teleph Corp <Ntt>
Priority to JP2001130777A priority Critical patent/JP2002328905A/en
Publication of JP2002328905A publication Critical patent/JP2002328905A/en
Pending legal-status Critical Current

Links

Abstract

PROBLEM TO BE SOLVED: To provide a client authentication method which prevents an unauthorized access even when client authentication information is tapped or stolen, and avoids a bottleneck which may be caused during authentication processing. SOLUTION: The method encrypts a communication path and sends information of a client identification to a server in response to a request for a client authentication (1, 2, 3). The server authenticates the client using the client identification information received, and if the authentication is successful, generates and stores authenticated information AUTH and sends it to the client (4, 5, 6). The client stores the authenticated information AUTH received, and when the client whose authentication has been successful makes an access next time and thereafter, performs a shared operation f on the authenticated information AUTH and then transmits the authenticated information f (AUTH) (7, 8). The server executes the client authentication using the authenticated information f (AUTH) received, the authenticated information AUTH retained and the shared operation t (9, 10, 11).

Description

【発明の詳細な説明】DETAILED DESCRIPTION OF THE INVENTION

【0001】[0001]

【発明の属する技術分野】本発明は、分散コンピュータ
環境における分散ファイルシステムに接続可能なサーバ
が、クライアントの分散ファイルシステムへのアクセス
に対して正常に認証したことを示す認証済み情報をクラ
イアントに送信するクライアント認証技術に関する。
BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a server capable of connecting to a distributed file system in a distributed computer environment, and transmits to a client authenticated information indicating that the client has successfully authenticated access to the distributed file system. Related to client authentication technology.

【0002】[0002]

【従来の技術】サーバ/クライアントシステムにおい
て、サーバがクライアントを認証する方法、方式が数多
く利用されている。 簡易なクライアント認証方法としては、ID/パスワー
ドの利用が挙げられる。ID/パスワードがクライアント
からサーバに平文で送信される場合、ネットワークを盗
聴している第三者に知られてしまう可能性がある。ま
た、HTTP(Hypertext Transfar Protocol)のようにセッ
ション管理を行えないプロトコルを利用する場合、サー
バにアクセスするたびにクライアントを確認するために
ID/パスワードの入力を強要することになる。
2. Description of the Related Art In a server / client system, many methods and methods for a server to authenticate a client are used. An example of a simple client authentication method is to use an ID / password. If the ID / password is sent in clear text from the client to the server, there is a possibility that the third party eavesdropping on the network will know the ID / password. When using a protocol that cannot perform session management, such as HTTP (Hypertext Transfer Protocol), check the client every time the server is accessed.
You will be forced to enter your ID / password.

【0003】Webブラウザをクライアントアプリケー
ションとして利用する場合には、クライアントを識別す
る手段としてCookie(WWWサーバがユーザを識別する文
字列情報)と呼ばれる仕組みを利用することができる。
クライアントがCookieの設定をしているサーバにアクセ
スすると、クライアントにCookieファイルが送信され
る。このCookieファイルを用いることで、クライアント
が利用しているブラウザを特定することができる。Cook
ieの設定をしているサーバに初めてアクセスすると、サ
ーバがブラウザにCookieを受け入れるかどうかを問い合
わせる。ブラウザ側が了解すると、ユーザの端末の所定
のディレクトリにテキストデータとしてCookieのデータ
が書き込まれる。ユーザが次にそのサイトを訪れる(ア
クセスする)と、ブラウザ側からサーバ側にCookieを送
り出し、サーバ側はCookie内の情報からそのブラウザを
特定することができる。しかし、基本的にCookieはテキ
ストデータであるため、サーバからクライアントへの配
送途中の盗聴、ブラウザのセキュリティホールからCook
ieファイルの盗難などの危険にされされている。したが
って、クライアントを識別する情報をそのままCookieフ
ァイルに格納することはシステム全体のセキュリティレ
ベルを低下させることになる。この問題を解決するため
に、CookieにサーバにアクセスするためのID/パスワー
ドとは異なる機密情報を格納しクライアント認証を行う
方法が提案されている(特開平10-257048号公報)。上
記方法を用いるとユーザID/パスワードをネットワーク
を通じて繰り返し転送する必要はないが、前述したよう
にCookieの盗難などによる不正アクセスを防ぐことはで
きない。
When a Web browser is used as a client application, a mechanism called a cookie (character string information by which a WWW server identifies a user) can be used as a means for identifying a client.
When a client accesses a server that sets cookies, a cookie file is sent to the client. By using the Cookie file, the browser used by the client can be specified. Cook
The first time you access a server that has ie configured, it asks your browser if it accepts cookies. When the browser understands, the Cookie data is written as text data in a predetermined directory of the user terminal. The next time the user visits (accesses) the site, the browser sends a cookie to the server, and the server can identify the browser from the information in the cookie. However, since cookies are basically text data, eavesdropping during delivery from the server to the client, and the security hole of the browser
ie files have been in danger of being stolen. Therefore, storing the information for identifying the client in the Cookie file as it is reduces the security level of the entire system. In order to solve this problem, there has been proposed a method of performing client authentication by storing confidential information different from an ID / password for accessing a server in a cookie (JP-A-10-257048). With the above method, it is not necessary to repeatedly transfer the user ID / password through the network, but as described above, it is not possible to prevent unauthorized access due to theft of a Cookie or the like.

【0004】電子証明書を用いてクライアントを認証
する方法として、SSL(Secure SocketLayer)を利用する
ことができる。メジャーなブラウザはSSLをサポートし
ているため、ブラウザにクライアントの電子証明書をイ
ンポートすれば特別なソフトウェアをインストールする
ことなく、クライアント認証を行うことができる。しか
し、SSLは公開鍵暗号方式を利用して認証処理を行って
いるため、サーバにかかる負担が大きく、大量のアクセ
スが予想されるサーバではSSL専用アクセラレータ(acce
lerator)などハードウェア的な対策が必要である。
As a method for authenticating a client using an electronic certificate, SSL (Secure Socket Layer) can be used. Major browsers support SSL, so if you import the client's digital certificate into the browser, you can authenticate the client without installing any special software. However, since SSL performs authentication using public key cryptography, the load on the server is large, and SSL-only accelerators (acce
hardware measures such as lerator) are required.

【0005】[0005]

【発明が解決しようとする課題】インターネットを介し
てサーバとクライアントが接続する場合、インターネッ
ト上を流れるデータは盗聴される危険に常にさらされる
ことになる。したがって、Cookieに機密情報を格納する
ことは機密情報を盗聴、盗難の危険にさらすことにな
る。また、ブラウザのセキュリティホールからCookieの
盗難も考えられる。機密情報を含んだCookieを盗難し、
そのCookieを第三者がサーバに送信すれば不正アクセス
が可能となる。また、クライアントの認証にはSSLの利
用が可能である。しかし、SSLを利用する場合、公開鍵
を用いた処理が行われるため、アクセスが集中するサー
ビスではSSLの処理がシステム全体のボトルネックにな
る。
When a server and a client are connected via the Internet, data flowing on the Internet is always at risk of eavesdropping. Therefore, storing confidential information in a cookie exposes the confidential information to the risk of eavesdropping and theft. Cookies can also be stolen from browser security holes. Steal cookies containing confidential information,
If the third party sends the Cookie to the server, unauthorized access is possible. SSL can be used for client authentication. However, when using SSL, processing using a public key is performed, so in services where access is concentrated, SSL processing becomes a bottleneck of the entire system.

【0006】本発明では、初めてシステムにログインす
るときだけクライアント識別情報(ID/パスワード)を入
力させることによりブラウザを用いたデータアクセスを
可能にする。クライアント識別情報によって認証された
クライアントは次回のアクセスからCookieを利用してク
ライアント認証を行い、たとえCookieが盗聴、盗難にあ
ったとしてもCookie内に格納されている機密情報だけで
はデータにアクセスできない仕組みを提供する。更に、
処理速度が速い一方向性ハッシュ関数や共通鍵暗号方式
を適用することにより、本認証方式がシステムのボトル
ネックになることを防ぐ。
According to the present invention, data access using a browser is enabled by inputting client identification information (ID / password) only when logging in to the system for the first time. The client authenticated by the client identification information uses the cookie from the next access to perform client authentication, and even if the cookie is eavesdropped or stolen, the data cannot be accessed only with the confidential information stored in the cookie I will provide a. Furthermore,
By applying a one-way hash function or a common key cryptosystem with a high processing speed, this authentication system is prevented from becoming a bottleneck in the system.

【0007】[0007]

【課題を解決するための手段】インターネットを流れる
データは盗聴、盗難の危険性があり、クライアントの識
別情報など重要なデータをCookieに含めることは非常に
危険である。本発明では、Cookie(認証済み情報)を用
いてクライアント認証を行い、万一Cookieが盗聴、盗難
にあったとしてもサーバに対して不正アクセスを許さな
い仕組みを提供する。また、Webサーバへのアクセスを
想定する場合、SSLを用いたクライアント認証が一般的
に用いられる。しかし、Webサーバへのアクセスが集中
した場合、レスポンスが遅くなるなどの問題が生じてい
る。SSLの利点を活かし、かつレスポンスの問題を解決
する仕組みを提供する。上記課題を解決するために、本
発明は、以下の構成を備える。まず、クライアントがサ
ーバに最初にアクセスするとSSLなどの手段により通信
路が暗号化される。SSLにおける認証は片側認証(クラ
イアントがサーバを認証する)でもよい。
Means for Solving the Problems Data flowing through the Internet has a risk of eavesdropping and theft, and it is very dangerous to include important data such as client identification information in a cookie. The present invention provides a mechanism in which client authentication is performed using a cookie (authenticated information) and unauthorized access to the server is not permitted even if the cookie is intercepted or stolen. Also, when assuming access to a Web server, client authentication using SSL is generally used. However, when access to the Web server is concentrated, there are problems such as a slow response. Provide a mechanism to take advantage of SSL and solve the response problem. In order to solve the above problems, the present invention has the following configurations. First, when the client first accesses the server, the communication path is encrypted by means such as SSL. Authentication in SSL may be one-sided authentication (the client authenticates the server).

【0008】次に、クライアントはクライアント識別情
報(ID/パスワード)を入力し、サーバでクライアント
識別情報の認証処理が行われる。サーバは、クライアン
ト認証が成功した後、次回のアクセスに必要となる認証
済み情報AUTHを生成してCookieに格納し、クライアント
に送信する。Cookieを受信したクライアントは次回サー
バアクセス時にCookie内の認証済み情報に演算処理fを
施し、サーバに送信する。クライアントでCookie(認証
済み情報)を変更することによってCookieを不正に入手
したクライアント(第三者)による不正アクセスを防ぐ
ことができる。同一サービスを受けているユーザは認証
済み情報に対する演算処理を行うことが可能である。ク
ライアントAのアクセス終了時のCookieをクライアント
Bが入手し、認証済み情報を変更した後、サーバに送信
すればサーバへの不正アクセスが可能になる。これを防
ぐために前回のアクセス時間、アクセス回数の合計を認
証済み情報に含める。これにより、前回アクセスから一
定時間経過後はクライアントに対して再びID/パスワー
ドの入力を求めることができる。また、アクセス回数を
カウントすることによってID/パスワードの入力なしに
サーバにアクセスできる回数を制限することが可能にな
る。これによってクライアントの不正アクセスを防ぐこ
とができる。レスポンスの問題に関しては、毎回SSLに
よる認証を行うのではなく、処理速度の速い共通鍵暗号
方式、一方向性ハッシュ関数を組み合わせることでユー
ザ認証におけるWebサーバの負担を軽減することができ
る。
Next, the client inputs the client identification information (ID / password), and the server performs authentication processing of the client identification information. After the client authentication is successful, the server generates authenticated information AUTH necessary for the next access, stores the generated information in a Cookie, and transmits it to the client. Upon receiving the Cookie, the client performs an arithmetic processing f on the authenticated information in the Cookie at the next server access, and transmits it to the server. By changing the cookie (authenticated information) on the client, unauthorized access by the client (third party) who has obtained the cookie illegally can be prevented. Users receiving the same service can perform arithmetic processing on the authenticated information. If the client B obtains the cookie at the end of the access of the client A, changes the authenticated information, and then transmits the changed information to the server, unauthorized access to the server becomes possible. To prevent this, the previous access time and the total number of accesses are included in the authenticated information. As a result, after a lapse of a predetermined time from the previous access, the client can be requested to input the ID / password again. Also, by counting the number of accesses, it is possible to limit the number of times the server can be accessed without inputting an ID / password. Thus, unauthorized access of the client can be prevented. Regarding the response problem, the burden on the Web server in user authentication can be reduced by combining a common key encryption method with a high processing speed and a one-way hash function instead of performing authentication by SSL every time.

【0009】[0009]

【発明の実施の形態】以下、本発明の実施例を説明す
る。図1は、本発明のクライアント認証装置の概要構成
を示す。クライアント認証装置は、通信路を介して接続
されたクライアントとサーバから構成される。クライア
ントは、認証済み情報f(AUTH)演算・Cookie生成を行う
演算処理部と、演算fと認証済み情報AUTHを格納したCoo
kieを記憶するデータ保管部と、送受信部から構成さ
れ、また、サーバは、クライアント識別情報の認証・認
証済み情報AUTH生成・Cookie生成・認証済み情報f(AUT
H)の認証を行う演算処理部と、演算f・クライアント識
別情報・認証済み情報AUTHを記憶するデータ保管部と、
時刻管理部と、送受信部から構成される。
Embodiments of the present invention will be described below. FIG. 1 shows a schematic configuration of a client authentication device of the present invention. The client authentication device includes a client and a server connected via a communication path. The client includes an arithmetic processing unit that performs the operation of the authenticated information f (AUTH) and generates a cookie, and a Coo that stores the operation f and the authenticated information AUTH.
The server consists of a data storage unit that stores kie and a transmitting / receiving unit.The server also authenticates client identification information, generates authenticated information AUTH, generates Cookies, and generates authenticated information f (AUT
H) an operation processing unit for performing authentication, and a data storage unit for storing operation f, client identification information, and authenticated information AUTH,
It comprises a time management unit and a transmission / reception unit.

【0010】(実施例1)クライアントがサーバをアク
セスする手順を図2を参照して説明する。クライアント
がサーバに初めてアクセスする手順は以下の通りであ
る。 (ステップ1)クライアントはサーバに対して認証要求
を行う。 (ステップ2)SSLを用いてクライアントとサーバ間で
セキュアな(安全な)通信路を確立する。 (ステップ3)クライアントは予めサーバに登録してお
いたID/パスワード(クライアント識別情報)を入力す
る。この時、クライアントが入力するID/パスワードは
SSLで暗号化された通信路を用いて送信するため、その
内容を盗聴されることはない。 (ステップ4)サーバはクライアント識別情報認証手段
において、クライアントが入力したID/パスワードを確
認し、サーバのデータ保管部に保持しているクライアン
ト識別情報と一致すれば正当なクライアントと判断す
る。
(Embodiment 1) A procedure in which a client accesses a server will be described with reference to FIG. The procedure for the client accessing the server for the first time is as follows. (Step 1) The client makes an authentication request to the server. (Step 2) A secure (secure) communication path is established between the client and the server using SSL. (Step 3) The client inputs an ID / password (client identification information) registered in the server in advance. At this time, the ID / password entered by the client
Since the content is transmitted using a communication path encrypted by SSL, the content is not intercepted. (Step 4) The server checks the ID / password input by the client in the client identification information authentication means, and determines that the client is a legitimate client if it matches the client identification information stored in the data storage unit of the server.

【0011】(ステップ5)サーバは正当なクライアン
トに対し、認証済み情報AUTH生成手段とCookie生成手段
において、以下の認証済み情報{SID,K(1),T(1),C(1)}
を生成し、Cookieとして送信する。また、これらの情報
は全てサーバのデータ保管部にも保管される。 ・臨時ユーザID SID:ユーザを特定するためのIDで認
証時に用いたIDとは異なる。 ・共通鍵K(1):サーバの演算処理部で生成する。アクセ
ス毎に異なる共通鍵が生成される。 ・時刻情報T(1):時刻管理部で管理している時刻情報を
用いてユーザがアクセスした日時を特定する。 ・アクセス回数C(1):臨時ユーザID SIDを持ったユーザ
がアクセスした回数をデータ保管部で保管、管理する。
ここではC(1)=0に設定する。 (ステップ6)クライアントは受け取ったCookieをデー
タ保管部に保管する。2回目(n回目:n≧2)以降の
クライアントがサーバにアクセスする手順は以下の通り
である。 (ステップ7)クライアントの認証済み情報f(AUTH)演
算手段は、保管しているCookieから認証済み情報{SID,
K(1),T(1),C(1)}を抽出し、時刻情報T(1)とアクセス回
数C(2)(=C(1)+1)をCookieから抽出した共通鍵K(1)で暗
号化eK(1)(T(1),C(2))(eK(A)はAを鍵Kで暗号化するこ
とを示す)する。 (ステップ8)臨時ユーザID SIDと共通鍵K(1)で暗号化
した認証済み情報{SID,eK(1)(T(1),C(2))}をCookieに
格納しサーバに送信する。 (ステップ9)サーバはCookie内の臨時ユーザID SIDを
用いてサーバのデータ保管部から共通鍵K(1)を取り出
し、Cookie内の認証情報の復号処理を行い、前回アクセ
スした日付(時刻情報)T(1)とアクセス回数C(2)を取り
出す。 (ステップ10)復号された日付T(1)とアクセス回数C(2)
とサーバのデータ保管部に保管している認証情報とを比
較し一致した場合はステップ11へ移行し、一致しない場
合はクライアントからのアクセスを拒否し、ステップ1
に戻る。 (ステップ11)サーバは予め設定したアクセス許可期限
以後のアクセスの場合、あるいは、予め設定したアクセ
ス回数を越えているいる場合は、クライアントからのア
クセスを拒否し、ステップ1に戻る。日付、アクセス回
数に問題が無ければステップ12へ進む。
(Step 5) The server sends the authenticated information AUTH generating means and Cookie generating means the following authenticated information {SID, K (1), T (1), C (1)} to the legitimate client.
Is generated and sent as a Cookie. All of this information is also stored in the data storage unit of the server. -Temporary user ID SID: An ID for specifying a user, which is different from the ID used for authentication. -Common key K (1): Generated by the arithmetic processing unit of the server. A different common key is generated for each access. Time information T (1): Specifies the date and time when the user accessed using the time information managed by the time management unit. Access count C (1): The number of accesses by the user having the temporary user ID SID is stored and managed in the data storage unit.
Here, C (1) = 0 is set. (Step 6) The client stores the received Cookie in the data storage unit. The procedure in which the client accesses the server for the second time (n-th time: n ≧ 2) is as follows. (Step 7) The client's authenticated information f (AUTH) calculation means calculates the authenticated information {SID,
K (1), T (1), and C (1)} are extracted, and the time information T (1) and the number of access times C (2) (= C (1) +1) are extracted from the cookie. In 1), encryption eK (1) (T (1), C (2)) (eK (A) indicates that A is encrypted with the key K). (Step 8) Store the authenticated information {SID, eK (1) (T (1), C (2))} encrypted with the temporary user ID SID and the common key K (1) in the Cookie and send it to the server . (Step 9) The server retrieves the common key K (1) from the data storage unit of the server using the temporary user ID SID in the Cookie, decrypts the authentication information in the Cookie, and accesses the last access date (time information). Extract T (1) and access count C (2). (Step 10) Decrypted date T (1) and access count C (2)
Is compared with the authentication information stored in the data storage unit of the server. If they match, the process proceeds to step 11. If they do not match, the access from the client is rejected.
Return to (Step 11) The server rejects the access from the client if the access is after the preset access time limit or exceeds the preset access count, and returns to step 1. If there is no problem with the date and the number of times of access, go to step 12.

【0012】(ステップ12)サーバは、以下の認証済み
情報{SID,eK(n-1)(T(n),C(n),K(n)}を生成し保管す
る。 ・SID:ステップ5で設定した値と同じ値に設定する。 ・共通鍵K(n):次回のアクセス時に用いる共通鍵であ
り、サーバの演算処理部で生成する。 ・時刻情報T(n):時刻管理部で管理している時刻情報を
用いてユーザがアクセスした日時を特定する。ここで
は、認証済み情報を生成した時刻を設定する。 ・アクセス回数C(n):データ保管部に保管されているア
クセス回数を1つ増加させる。 (ステップ13)サーバは共通鍵K(n-1)でT(n),C(n),K(n)
を暗号化eK(n-1)(T(n),C(n),K(n))する。SIDと共に認証
済み情報{SID,eK(n-1)(T(n),C(n),K(n)}としてCookie
に格納し、クライアントに送信し、サーバへのアクセス
を許可する。
(Step 12) The server generates and stores the following authenticated information {SID, eK (n-1) (T (n), C (n), K (n)}. SID: Step Set to the same value as the value set in 5.-Common key K (n): This is a common key used for the next access and is generated by the arithmetic processing unit of the server-Time information T (n): Time management unit Specify the date and time when the user accessed using the time information managed in step 1. Here, set the time when the authenticated information was generated .. • Access count C (n): access stored in the data storage unit Increase the number by 1. (Step 13) The server uses T (n), C (n), and K (n) with the common key K (n-1)
Is encrypted eK (n-1) (T (n), C (n), K (n)). Cookie with authenticated information {SID, eK (n-1) (T (n), C (n), K (n)} together with SID
And send it to the client to allow access to the server.

【0013】(実施例2)実施例1において、共通鍵暗号
方式の代わりに一方向性ハッシュ関数を用いる。予め利
用する一方向性ハッシュ関数hをサーバクライアント間
で決めて共有する。本実施例では、サーバ及びクライア
ントにおいて、アクセス回数を管理する機構が必要であ
る。図3を参照してクライアントがサーバにアクセスす
る手順を説明する。 (ステップ1)クライアントはサーバに対して認証要求
を行う。 (ステップ2)SSL(Secure Socket Layer)を用いてクラ
イアント、サーバ間でセキュアな通信路を確立する。 (ステップ3)クライアントはサーバに予め登録してお
いたID,パスワード(クライアント識別情報)を入力す
る。この時、クライアントが入力するID,パスワードはS
SLで暗号化された通信路を用いて送信するため、その内
容を盗聴されることはない。 (ステップ4)サーバはクライアント識別情報認証手段
において、クライアントが入力したID,パスワードを確
認し、データ保管部で保持しているクライアント識別情
報と一致すれば正当なクライアントと判断する。
(Second Embodiment) In the first embodiment, a one-way hash function is used instead of the common key cryptosystem. The one-way hash function h to be used in advance is determined and shared between the server and the client. In this embodiment, the server and the client need a mechanism for managing the number of accesses. The procedure by which the client accesses the server will be described with reference to FIG. (Step 1) The client makes an authentication request to the server. (Step 2) A secure communication path is established between the client and the server using SSL (Secure Socket Layer). (Step 3) The client inputs an ID and a password (client identification information) registered in the server in advance. At this time, the ID and password entered by the client are S
Since the content is transmitted using the communication channel encrypted by SL, the content is not eavesdropped. (Step 4) The server confirms the ID and password input by the client in the client identification information authentication means, and determines that the client is valid if it matches the client identification information held in the data storage unit.

【0014】(ステップ5)サーバは正当なクライアン
トに対し、認証済み情報AUTH生成手段、Cookie生成手段
で以下の認証済み情報{SID,A,M,T}を生成し、Cookie
として送信する。また、これらの情報と時刻情報Tはサ
ーバのデータ保管部にも保管される。 ・臨時ユーザID SID:ユーザを特定するためのIDで認証
時に用いたIDとは異なる。 ・アクセス可能回数M:ID/パスワードなしでアクセス
を許可する予め設定した回数を示す。 ・認証情報A:ID/パスワードによってクライアントが
認証されたことを示す情報であり、ID/パスワードで認
証される度ごとに異なる。 (ステップ6)クライアントは受け取ったCookieをデー
タ保管部に保管する。2回目(n回目:n'=n−2に設定
する)以降のアクセスは以下の通りである。 (ステップ7)クライアントは認証済み情報f(AUTH)演
算手段において、保管しているCookieから認証済み情報
AUTHを抽出し、共有する一方向性ハッシュ関数hを用い
て認証情報hM-n'(A)(図3に例ではn'=0)を計算す
る。(ここで、hp(A)はAに対して一方向性ハッシュ関数
をp回施した結果を示す。) (ステップ8){SID,hM-n'(A)}をCookieに格納しサー
バに送信する。
(Step 5) The server generates the following authenticated information {SID, A, M, T} with the authenticated information AUTH generation means and Cookie generation means for the legitimate client, and
Send as The information and the time information T are also stored in the data storage unit of the server. -Temporary user ID SID: An ID for specifying a user, which is different from the ID used for authentication. Accessible frequency M: Indicates the preset number of times that access is permitted without ID / password. Authentication information A: information indicating that the client has been authenticated by the ID / password, which differs each time the client is authenticated by the ID / password. (Step 6) The client stores the received Cookie in the data storage unit. The access after the second time (the n-th time: n ′ = n−2) is performed as follows. (Step 7) The client uses the authenticated information f (AUTH) calculation means to authenticate the authenticated information from the stored Cookie.
AUTH is extracted, and authentication information hM -n ' (A) (n' = 0 in the example in FIG. 3) is calculated using the shared one-way hash function h. (Here, h p (A) indicates the result of applying the one-way hash function p times to A.) (Step 8) {SID, h M-n ′ (A)} is stored in the Cookie and stored in the server Send.

【0015】(ステップ9)サーバの認証済み情報f(AU
TH)認証手段は、Cookie内のSIDとサーバで管理している
アクセス回数mから一方向性ハッシュ関数hを用いてhM-m
(A)を計算し、クライアントが送信したhM-n'(A)と比較
する。 (ステップ10)hM-m(A)とhM-n'(A)が等しい場合はステ
ップ11へ進み、hM-m(A)とhM-n'(A)が異なる場合はクラ
イアントからのアクセスを拒否し、ステップ1へ戻る。 (ステップ11)サーバは自身が保持している時刻情報T
を確認し、予め設定したアクセス許可期間以後のアクセ
スの場合、あるいは、予め設定したアクセス回数を越え
ている場合(M-m<1の場合)は、クライアントからの
アクセスを拒否し、ステップ1へ戻る。時刻情報、アク
セス回数に問題が無ければクライアントの接続を許可す
る。 (ステップ12)クライアント及びサーバは自身で保管し
ているアクセス回数を1増加させる。
(Step 9) Server authenticated information f (AU
TH) The authentication means uses a one-way hash function h from the SID in the Cookie and the number of accesses m managed by the server to obtain h Mm
Calculate (A) and compare with h M-n ' (A) sent by the client. (Step 10) If h Mm (A) and h M-n ' (A) are equal, proceed to step 11. If h Mm (A) and h M-n' (A) are different, deny access from the client. Return to 1. (Step 11) The server keeps its own time information T
Is checked, and if the access is after the preset access permission period or if the number of accesses exceeds the preset access count (Mm <1), the access from the client is rejected, and the process returns to step 1. If there is no problem with the time information and the access count, the client connection is permitted. (Step 12) The client and the server increase the number of accesses stored by themselves by one.

【0016】(実施例3)実施例1において、認証済み
情報{SID,K(n),T(n),C(n)}を用いる代わりに認証済み
情報{SID,K,T(n),C(n)}を用いる。図4を参照してク
ライアントがサーバにアクセスする手順を説明する。 (ステップ1)クライアントはサーバに対して認証要求
を行う。 (ステップ2)SSL(Secure Socket Layer)を用いてクラ
イアント、サーバ間でセキュアな通信路を確立する。 (ステップ3)クライアントはサーバに予め登録してお
いたID,パスワード(クライアント識別情報)を入力す
る。この時、クライアントが入力するID,パスワードはS
SLで暗号化された通信路を用いて送信するため、その内
容を盗聴されることはない。 (ステップ4)サーバのクライアント識別情報認証手段
において、クライアントが入力したID,パスワードを確
認し、サーバで保持している情報と一致すれば正当なク
ライアントと判断する。
Third Embodiment In the first embodiment, instead of using the authenticated information {SID, K (n), T (n), C (n)}, the authenticated information {SID, K, T (n)} is used. , C (n)}. The procedure by which the client accesses the server will be described with reference to FIG. (Step 1) The client makes an authentication request to the server. (Step 2) A secure communication path is established between the client and the server using SSL (Secure Socket Layer). (Step 3) The client inputs an ID and a password (client identification information) registered in the server in advance. At this time, the ID and password entered by the client are S
Since the content is transmitted using the communication channel encrypted by SL, the content is not eavesdropped. (Step 4) In the client identification information authentication means of the server, the ID and password input by the client are confirmed, and if they match the information held in the server, it is determined that the client is valid.

【0017】(ステップ5)サーバは正当なクライアン
トに対し、認証済み情報AUTH生成手段、Cookie生成手段
は以下の認証済み情報{SID,K,T(0),C(0)}を生成し、C
ookieとして送信する。また、これらの情報はサーバの
データ保管部にも保管される。 ・臨時ユーザID SID:ユーザを特定するためのIDで認証
時に用いたIDとは異なる。 ・共通鍵K:サーバの演算処理部で生成する。 ・時刻情報T(n):時刻管理部で管理している時刻情報を
用いてクライアント認証が行われた時刻を特定する。 ・回数情報C(n):クライアント認証が行われた回数情報
であり、データ保管部に記憶する。
(Step 5) The server generates authenticated information AUTH generating means and Cookie generating means for a valid client, generating the following authenticated information {SID, K, T (0), C (0)}, C
Send as ookie. Further, such information is also stored in the data storage unit of the server. -Temporary user ID SID: An ID for specifying a user, which is different from the ID used for authentication. -Common key K: Generated by the arithmetic processing unit of the server. Time information T (n): The time at which the client authentication was performed is specified using the time information managed by the time management unit. Count information C (n): information on the number of times client authentication has been performed, and is stored in the data storage unit.

【0018】(ステップ6)クライアントは受け取った
Cookie(認証済み情報)をデータ保管部に保管する。 (ステップ7)クライアントは共通鍵KでT(0),C(1)(C
(n)=C(n-1)+1)として暗号化eK(T(0),C(1))する。 (ステップ8)SIDと暗号化情報(認証情報)、すなわ
ち、{SID,eK(T(0),C(1)}をCookieに格納してサーバに
送信する。 (ステップ9)サーバの認証済み情報f(AUTH)認証手段
は、Cookie内の臨時ユーザID SIDを用いてデータ保管部
に保管した共通鍵Kを取り出し、Cookie内の認証情報の
復号処理を行い、前回のクライアント認証が行われた時
刻T(0)と回数情報C(1)を取り出す。 (ステップ10)前回の時刻T(0)と回数情報C(1)とサーバ
のデータ保管部に保管している情報と比較し、前回のク
ライアント認証から予め設定された一定時間経過してい
る場合、あるいは回数情報が予め設定された一定回数を
越えている場合には認証を失敗としてアクセスを拒否
し、ステップ1に戻り、認証に成功すればステップ11へ
移行する。
(Step 6) The client has received
Cookies (authenticated information) are stored in the data storage unit. (Step 7) Client uses T (0), C (1) (C
(n) = C (n-1) +1) and perform encryption eK (T (0), C (1)). (Step 8) Store the SID and the encryption information (authentication information), that is, {SID, eK (T (0), C (1)}} in the Cookie and send it to the server (Step 9) The server has been authenticated The information f (AUTH) authentication unit extracts the common key K stored in the data storage unit using the temporary user ID SID in the Cookie, performs a decryption process on the authentication information in the Cookie, and performs the previous client authentication. Extract the time T (0) and the count information C (1) (Step 10) Compare the previous time T (0) with the count information C (1) with the information stored in the data storage unit of the server, and If a predetermined period of time has passed since the client authentication of, or if the count information exceeds a predetermined number of times, the access is denied as authentication failure, and the process returns to step 1 to succeed in authentication. Then, the process proceeds to Step 11.

【0019】(ステップ11)認証が成功した場合は今回
のクライアント認証時刻T(1)と回数情報C(1)を共通鍵K
で暗号化eK(T(1),C(1))して認証済み情報{SID,eK(T
(1),C(1))}を生成してデータ保管部に保管する。 (ステップ12)サーバは認証済み情報{SID,eK(T(1),C
(1))}をCookieに格納し、クライアントに送信する。ク
ライアントは認証済み情報をデータ保管部に保管し、次
回アクセス時にこの情報を用いる。
(Step 11) If the authentication is successful, the current client authentication time T (1) and the count information C (1) are stored in the common key K
Encrypted with eK (T (1), C (1)) and authenticated information {SID, eK (T
(1), C (1))} is generated and stored in the data storage unit. (Step 12) The server is authenticated information {SID, eK (T (1), C
(1)) Store} in a Cookie and send it to the client. The client stores the authenticated information in the data storage unit, and uses this information at the next access.

【0020】(実施例4)クライアントのCookie(認証
済み情報)認証要求に対してサーバは乱数を送信して認
証を行う。図5を参照してクライアントがサーバにアク
セスする手順を説明する。 (ステップ1)クライアントはサーバに対して認証要求
を行う。 (ステップ2)SSL(Secure Socket Layer)を用いてクラ
イアント、サーバ間でセキュアな通信路を確立する。 (ステップ3)クライアントはサーバに予め登録してお
いたID,パスワード(クライアント識別情報)を入力す
る。この時、クライアントが入力するID,パスワードはS
SLで暗号化された通信路を用いて送信するため、その内
容を盗聴されることはない。 (ステップ4)サーバのクライアント識別情報認証手段
において、クライアントが入力したID,パスワードを確
認し、データ保管部に保持している情報と一致すれば正
当なクライアントと判断する。
(Embodiment 4) In response to a Cookie (authenticated information) authentication request from a client, the server transmits a random number to perform authentication. The procedure by which the client accesses the server will be described with reference to FIG. (Step 1) The client makes an authentication request to the server. (Step 2) A secure communication path is established between the client and the server using SSL (Secure Socket Layer). (Step 3) The client inputs an ID and a password (client identification information) registered in the server in advance. At this time, the ID and password entered by the client are S
Since the content is transmitted using the communication channel encrypted by SL, the content is not eavesdropped. (Step 4) In the client identification information authentication means of the server, the ID and password input by the client are confirmed, and if they match the information held in the data storage unit, the client is determined to be a legitimate client.

【0021】(ステップ5)サーバは正当なクライアン
トに対し、認証済み情報AUTH生成手段、Cookie生成手段
は以下の認証済み情報{SID,K}を生成し、Cookieとし
て送信する。これらの情報はデータ保管部に記憶する。 ・臨時ユーザID SID:ユーザを特定するためのIDで認証
時に用いたIDとは異なる。 ・共通鍵K;サーバの演算部で生成する。 (ステップ6)クライアントは受け取ったCookieをデー
タ保管部に保管する。 (ステップ7)クライアントはCookieの認証要求を行
う。 (ステップ8)サーバは演算処理部で乱数R1を生成して
乱数R1をデータ保管部に記憶し、クライアントに送信す
る。 (ステップ9)クライアントの演算処理部は、Cookieか
ら抽出した共通鍵Kで乱数R1を暗号化eK(R1)する。 (ステップ10)クライアントの認証済み情報f(AUTH)生
成手段とCookie生成手段は、臨時ユーザID SIDと、共通
鍵Kで乱数R1を暗号化した情報、すなわち、認証済み情
報{SID,eK(R1)}をCookieに格納してサーバに送信す
る。 (ステップ11)サーバは認証済み情報f(AUTH)認証手段
において、Cookie内の臨時ユーザID SIDを用いてデータ
保管部に保管している共通鍵Kを取り出し、Cookie内の
認証情報を復号し乱数R1を取り出す。 (ステップ12)取り出した乱数R1とサーバのデータ保管
部に保管している乱数R1と比較し、一致していればクラ
イアントからのアクセスを許可し、不一致であればアク
セスを拒否してステップ1に戻る。なお、実施例1〜4
において、認証済み情報、乱数をCookieに格納して送信
しているが、これらの情報をCookieに格納することなく
送信することもできる。
(Step 5) The server generates authenticated information AUTH generating means and Cookie generating means to a valid client, generates the following authenticated information {SID, K}, and transmits it as a Cookie. These pieces of information are stored in the data storage unit. -Temporary user ID SID: An ID for specifying a user, which is different from the ID used for authentication. -Common key K: generated by the operation unit of the server. (Step 6) The client stores the received Cookie in the data storage unit. (Step 7) The client makes a Cookie authentication request. (Step 8) The server generates a random number R1 in the arithmetic processing unit, stores the random number R1 in the data storage unit, and transmits it to the client. (Step 9) The arithmetic processing unit of the client encrypts the random number R1 with the common key K extracted from the Cookie, eK (R1). (Step 10) The authenticated information f (AUTH) generating means and the cookie generating means of the client perform the processing of encrypting the random number R1 with the temporary user ID SID and the common key K, that is, the authenticated information {SID, eK (R1 )} Is stored in a Cookie and sent to the server. (Step 11) In the authenticated information f (AUTH) authentication means, the server extracts the common key K stored in the data storage unit using the temporary user ID SID in the Cookie, decrypts the authentication information in the Cookie, and generates a random number. Take out R1. (Step 12) The extracted random number R1 is compared with the random number R1 stored in the data storage unit of the server. If they match, the access from the client is permitted. Return. Examples 1-4
In, the authenticated information and the random number are stored in the Cookie and transmitted, but such information can be transmitted without being stored in the Cookie.

【0022】本発明のクライアント認証装置は、CPUや
メモリ等を有するコンピュータとアクセス主体となるユ
ーザが利用する利用者端末と記録媒体から構成される。
記録媒体は、CD-ROM、磁気ディスク装置、半導体メモリ
等の機械読み取り可能な記録媒体であり、ここに記録さ
れたプログラムは、コンピュータに読み取られ、コンピ
ュータの動作を制御し、コンピュータ上に前述した実施
の形態における各構成要素、すなわち、クライアントの
演算処理部、データ保管部、及びサーバの演算処理部、
データ保管部、時刻管理部及び各処理を実現する。
The client authentication device of the present invention comprises a computer having a CPU, a memory, and the like, a user terminal used by a user serving as an access subject, and a recording medium.
The recording medium is a machine-readable recording medium such as a CD-ROM, a magnetic disk device, and a semiconductor memory.The program recorded here is read by a computer, controls the operation of the computer, and is described above on the computer. Each component in the embodiment, that is, a processing unit of the client, a data storage unit, and a processing unit of the server,
A data storage unit, a time management unit, and each processing are realized.

【0023】[0023]

【発明の効果】以上説明したように、本発明によれば、
クライアントで演算処理を行うことにより第三者によっ
て認証済み情報内のクライアント認証情報が盗聴、盗難
されてもサーバに不正にアクセスされることを防ぎ、且
つ、従来から利用されているSSLと共通鍵暗号方式、一
方向性ハッシュ関数を組み合わせることにより、クライ
アント認証がシステムのボトルネックになることを防ぐ
ことができる。
As described above, according to the present invention,
Performing arithmetic processing on the client prevents unauthorized access to the server even if the client authentication information in the authenticated information is eavesdropped or stolen by a third party, and the SSL and common key that have been used in the past By combining the encryption method and the one-way hash function, it is possible to prevent client authentication from becoming a system bottleneck.

【図面の簡単な説明】[Brief description of the drawings]

【図1】本発明のクライアント認証装置の概略構成図。FIG. 1 is a schematic configuration diagram of a client authentication device of the present invention.

【図2】実施例1の処理フロー。FIG. 2 is a processing flow of the first embodiment.

【図3】実施例2の処理フロー。FIG. 3 is a processing flow according to the second embodiment.

【図4】実施例3の処理フロー。FIG. 4 is a processing flow of a third embodiment.

【図5】実施例4の処理フロー。FIG. 5 is a processing flow according to a fourth embodiment.

───────────────────────────────────────────────────── フロントページの続き (72)発明者 植田 広樹 東京都千代田区大手町二丁目3番1号 日 本電信電話株式会社内 (72)発明者 森田 光 東京都千代田区大手町二丁目3番1号 日 本電信電話株式会社内 Fターム(参考) 5B017 AA07 BA05 BA07 CA15 5B085 AE01 AE08 AE29 BC01 BG07 5J104 AA04 AA07 AA11 KA01 KA03 KA04 KA21 NA11 PA07  ──────────────────────────────────────────────────続 き Continuing on the front page (72) Inventor Hiroki Ueda 2-3-1 Otemachi, Chiyoda-ku, Tokyo Within Nippon Telegraph and Telephone Corporation (72) Inventor Hikaru Morita 2-3-3 Otemachi, Chiyoda-ku, Tokyo No. 1 F-term in Nippon Telegraph and Telephone Corporation (reference) 5B017 AA07 BA05 BA07 CA15 5B085 AE01 AE08 AE29 BC01 BG07 5J104 AA04 AA07 AA11 KA01 KA03 KA04 KA21 NA11 PA07

Claims (18)

【特許請求の範囲】[Claims] 【請求項1】クライアントとサーバが演算fを共有し、
分散コンピュータ環境における分散ファイルシステムに
接続可能なサーバが、クライアントの分散ファイルシス
テムへのアクセスに対してクライアントを正常に認証し
たことを示す認証済み情報をクライアントへ送信するク
ライアント認証方法において、 クライアントは、クライアント識別情報をサーバに送信
するステップ1と、 サーバは、受信したクライアント識別情報とサーバが保
持しているクライアント識別情報を用いてクライアント
を認証するステップ2と、 サーバは、認証が成功した場合にその結果を表す認証済
み情報AUTHをサーバにおいて生成し、記憶するステップ
3と、 サーバは、認証済み情報AUTHをクライアントに対して送
信するステップ4と、 クライアントは、受信した認証済み情報AUTHを記憶する
ステップ5と、 認証が成功しているクライアントが次回以降、サーバに
アクセスする際に認証済み情報AUTHに対して演算fを施
した後、認証済み情報f(AUTH)をサーバに送信するステ
ップ6と、 サーバは、認証済み情報f(AUTH)と、サーバが保持して
いる認証済み情報AUTHと演算fを用いてクライアントの
認証を行うステップ7と、 サーバは、認証が成功した場合にその結果を表す次回ア
クセスに用いる認証済み情報AUTHを生成し、記憶するス
テップ8と、 サーバは、次回アクセスに用いる認証済み情報AUTHをク
ライアントに対して送信するステップ9と、 クライアントは、受信した次回アクセスに用いる認証済
み情報AUTHを記憶するステップ10と、 を備えたことを特徴とするクライアント認証方法。
Claims: 1. A client and a server share an operation f,
In a client authentication method, a server connectable to a distributed file system in a distributed computer environment sends authenticated information to a client indicating that the client has successfully authenticated the client for access to the distributed file system. Step 1 of transmitting the client identification information to the server; Step 2 of authenticating the client using the received client identification information and the client identification information held by the server; and Step 2 if the authentication is successful. Step 3 in which the server generates and stores the authenticated information AUTH representing the result, Step 4 in which the server transmits the authenticated information AUTH to the client, and Step 3 in which the client stores the received authenticated information AUTH. Step 5 and authentication Step 6 in which the successful client performs an operation f on the authenticated information AUTH the next time the client accesses the server, and then transmits the authenticated information f (AUTH) to the server. Step 7 in which the client is authenticated using the information f (AUTH), the authenticated information AUTH held by the server and the operation f, and the server, if the authentication is successful, the authentication used for the next access indicating the result Step 8 of generating and storing authenticated information AUTH, the server transmitting authenticated information AUTH used for the next access to the client, and Step 9 of the client storing the authenticated information AUTH received for the next access. A client authentication method, comprising:
【請求項2】請求項1に記載のクライアント認証方法に
おいて、 ステップ1のクライアント識別情報とステップ4の認証
済み情報AUTHは、通信路を暗号化して送信することを特
徴とするクライアント認証方法。
2. The client authentication method according to claim 1, wherein the client identification information in step 1 and the authenticated information AUTH in step 4 are transmitted after encrypting a communication path.
【請求項3】請求項1または2に記載のクライアント認
証方法において、 演算fは共通鍵暗号方式を用い、 ステップ3は、サーバは認証が成功した場合に共通鍵K
を生成し、記憶するステップを有し、 ステップ4は、サーバは共通鍵Kをクライアントに送信
するステップを有し、 ステップ5は、クライアントは受信した共通鍵Kを記憶
し、サーバと共通鍵Kを共有するステップを有し、 ステップ6は、認証が成功しているクライアントが次回
以降、サーバにアクセスする際に認証済み情報AUTHに対
して保持している共通鍵Kを用いて演算fを施した認証済
み情報f(AUTH)をサーバに送信するステップを有し、 ステップ7は、サーバは認証済み情報f(AUTH)に対して
保持している共通鍵Kを用いて演算fの逆変換を施した認
証済み情報AUTHと、記憶している認証済み情報AUTHとを
比較し、比較結果によってクライアントを認証するステ
ップを有することを特徴とするクライアント認証方法。
3. The client authentication method according to claim 1 or 2, wherein the operation f uses a common key cryptosystem, and the step 3 comprises the step of:
Generating and storing the same. Step 4 includes a step in which the server transmits the common key K to the client. Step 5 includes a step in which the client stores the received common key K, and stores the common key K with the server. Step 6 is to perform an operation f using the common key K held for the authenticated information AUTH when the client who has been successfully authenticated accesses the server from the next time onward. And transmitting the authenticated information f (AUTH) to the server. In step 7, the server performs the inverse conversion of the operation f using the common key K held for the authenticated information f (AUTH). A client authentication method comprising: comparing the applied authenticated information AUTH with the stored authenticated information AUTH, and authenticating the client based on the comparison result.
【請求項4】請求項3に記載のクライアント認証方法に
おいて、 サーバは、クライアントの認証が成功した際、共有して
いる共通鍵Kiとは異なる共通鍵Ki+1を生成して記憶し、
共通鍵Kiで認証済み情報AUTHと共通鍵Ki+1を暗号化した
暗号化情報をクライアントに送信するステップを有し、 クライアントは、受信した共通鍵Kiで認証済み情報AUTH
と共通鍵Ki+1を暗号化した暗号化情報を記憶するステッ
プと、 クライアントは、サーバにアクセスする際、前回のクラ
イアントの認証時にサーバから受け取った暗号化情報
を、共有している共通鍵Kiで復号した共通鍵Ki+1を用い
て認証済み情報AUTHに対して演算fを施し、認証済み情
報f(AUTH)をサーバに送信するステップを有することを
特徴とするクライアント認証方法。
4. The client authentication method according to claim 3, wherein the server generates and stores a common key Ki + 1 different from the shared common key Ki when the authentication of the client is successful.
And transmitting, to the client, encrypted information AUTH authenticated with the common key Ki and the common key Ki + 1. The client uses the received common key Ki to obtain the authenticated information AUTH
And storing encrypted information obtained by encrypting the common key Ki + 1. When the client accesses the server, the client shares the encrypted information received from the server during the previous authentication of the client with the shared key Ki. A client authentication method, comprising: performing an operation f on authenticated information AUTH using the common key Ki + 1 decrypted in step 1, and transmitting the authenticated information f (AUTH) to a server.
【請求項5】請求項1または2に記載のクライアント認
証方法において、 演算fは、一方向性ハッシュ関数とし、予め共有するス
テップを有し、 ステップ6は、認証が成功しているクライアントが次回
以降、サーバにアクセスする際、認証済み情報AUTHに対
して一方向性ハッシュ関数を用いて演算fを施し、認証
済み情報f(AUTH)をサーバに送信するステップを有し、 ステップ7は、サーバが保持している認証済み情報AUTH
に対して共有している一方向性ハッシュ関数を用いて演
算fを行い、クライアントから受信した認証済み情報f(A
UTH)とを比較し、比較結果によってクライアントを認証
するステップを有することを特徴とするクライアント認
証方法。
5. The client authentication method according to claim 1, wherein the operation f is a one-way hash function and has a step of sharing in advance. Thereafter, when accessing the server, the method includes a step of performing an operation f on the authenticated information AUTH using a one-way hash function, and transmitting the authenticated information f (AUTH) to the server. Authenticated information held by AUTH
Performs operation f using the shared one-way hash function for the authenticated information f (A
UTH) and authenticating the client according to the comparison result.
【請求項6】請求項1または2に記載のクライアント認
証方法において、 演算fは、一方向性ハッシュ関数とし、予め共有するス
テップを有し、 ステップ3は、サーバはクライアントの認証が成功した
場合に共通鍵Kを生成し、記憶するステップを有し、 ステップ4は、サーバは共通鍵Kをクライアントに対し
て送信するステップを有し、 ステップ5は、クライアントは受信した共通鍵Kを記憶
し、サーバと共通鍵Kを共有するステップを有し、 ステップ6は、認証が成功しているクライアントが次回
以降、認証済み情報AUTH及び共通鍵Kに対して一方向性
ハッシュ関数を用いて演算fを施した認証済み情報f(AUT
H,K)を生成してサーバに送信するステップと、 ステップ7は、サーバは保持している認証済み情報AUTH
及び共有している共通鍵Kに対して一方向性ハッシュ関
数を用いて演算fを行い、クライアントから受信した認
証済み情報f(AUTH,K)と比較し、比較結果によってク
ライアントを認証するステップを有することを特徴とす
るクライアント認証方法。
6. The client authentication method according to claim 1, wherein the operation f is a one-way hash function and has a step of sharing in advance. Generating a common key K and storing the common key K, Step 4 includes a step of the server transmitting the common key K to the client, and Step 5 includes a step of storing the common key K received by the client. And a step of sharing the common key K with the server. In the step 6, after the next authentication, the client performs an operation f using the one-way hash function on the authenticated information AUTH and the common key K. Authenticated information f (AUT
(H, K) and transmitting the generated information to the server.
And performing an operation f on the shared common key K using a one-way hash function, comparing the authenticated information f (AUTH, K) received from the client, and authenticating the client based on the comparison result. A client authentication method comprising:
【請求項7】請求項6に記載のクライアント認証方法に
おいて、 サーバは、クライアントの認証が成功した際、共有して
いる共通鍵Kiとは異なる共通鍵Ki+1を生成して記憶し、
共有している共通鍵で認証済み情報AUTHと共通鍵Ki+1を
暗号化した暗号化情報をクライアントに送信するステッ
プを有することを特徴とするクライアント認証方法。
7. The client authentication method according to claim 6, wherein, when the authentication of the client succeeds, the server generates and stores a common key Ki + 1 different from the shared common key Ki,
A client authentication method, comprising transmitting encrypted information obtained by encrypting authenticated information AUTH and a common key Ki + 1 with a shared common key to a client.
【請求項8】請求項1乃至7のいずれか1項に記載のク
ライアント認証方法において、 ステップ3の認証済み情報AUTHは、クライアント認証が
行われた時刻情報を含み、 ステップ7は、前回のクライアントの認証が行われた時
刻から設定された一定時間が経過している場合、クライ
アント認証を失敗させるステップを含むことを特徴とす
るクライアント認証方法。
8. The client authentication method according to claim 1, wherein the authenticated information AUTH in step 3 includes time information when the client authentication was performed, and step 7 includes the previous client A client authentication method, wherein the client authentication fails when a set time has elapsed from the time when the authentication was performed.
【請求項9】請求項1乃至8のいずれか1項に記載のク
ライアント認証方法において、 ステップ3の認証済み情報AUTHは、クライアント認証が
行われた回数情報を含み、 ステップ4は、クライアントが認証情報(AUTH)をサーバ
に送信する際に回数情報を増加させるステップを有し、 ステップ7は、サーバは回数情報が設定された一定回数
を越えている場合、クライアント認証を失敗させるステ
ップを含むことを特徴とするクライアント認証方法。
9. The client authentication method according to claim 1, wherein the authenticated information AUTH in step 3 includes information on the number of times the client has been authenticated, and step 4 includes a step in which the client is authenticated. Includes a step of increasing the count information when transmitting the information (AUTH) to the server, and Step 7 includes a step of causing the server to fail the client authentication if the count information exceeds a set fixed number. A client authentication method.
【請求項10】クライアントとサーバが演算fを共有
し、分散コンピュータ環境における分散ファイルシステ
ムに接続可能なサーバが、クライアントの分散ファイル
システムへのアクセスに対してクライアントを正常に認
証したことを示す認証済み情報をクライアントへ送信す
るクライアント認証方法において、 クライアントは、クライアント識別情報をサーバに送信
するステップ1と、 サーバは、受信したクライアント識別情報とサーバが保
持しているクライアント識別情報を用いてクライアント
を認証するステップ2と、 サーバは、認証が成功した場合にその結果を表す共通鍵
Kを含む認証情報AUTHを生成し、記憶するステップ3
と、 サーバは、共通鍵Kを含む認証済み情報AUTHをクライア
ントに対して送信するステップ4と、 クライアントは、受信した共通鍵Kを含む認証済み情報A
UTHを記憶し、共通鍵Kを共有するステップ5と、 クライアントは、サーバに認証要求を送信するステップ
6と、 サーバは、乱数Rを生成し、記憶するステップ7と、 サーバは、乱数Rをクライアントに送信するステップ8
と、 クライアントは、共有している共通鍵Kで乱数Rを暗号化
した暗号化情報を生成してサーバに送信するステップ9
と、 サーバは、共有している共通鍵Kを用いて暗号化情報を
復号し乱数Rを取り出し、保持している乱数Rと比較し、
比較結果によってクライアントを認証するステップ10
と、を備えたことを特徴とするクライアント認証方法。
10. An authentication indicating that a client and a server share an operation f and a server connectable to a distributed file system in a distributed computer environment successfully authenticates the client to the client's access to the distributed file system. In the client authentication method of transmitting the authenticated information to the client, the client transmits the client identification information to the server in step 1; and the server uses the received client identification information and the client identification information held by the server to identify the client. Step 2 to authenticate and the server, if the authentication is successful, a secret key indicating the result
Step 3 of generating and storing authentication information AUTH including K
Step 4 in which the server transmits authenticated information AUTH including the common key K to the client, and the client transmits the authenticated information A including the received common key K to the client.
Step 5 in which the UTH is stored and the common key K is shared; Step 6 in which the client transmits an authentication request to the server; Step 7 in which the server generates and stores a random number R; Step 8 to send to client
Step 9: The client generates encryption information obtained by encrypting the random number R with the shared common key K and transmits it to the server.
And the server decrypts the encrypted information using the shared common key K, extracts the random number R, compares it with the held random number R,
Step 10 for authenticating the client according to the comparison result
And a client authentication method comprising:
【請求項11】分散コンピュータ環境における分散ファ
イルシステムに接続可能なサーバが、クライアントの分
散ファイルシステムへのアクセスに対してクライアント
を正常に認証したことを示す認証済み情報をクライアン
トへ送信するクライアント認証装置において、 クライアントとサーバは通信路を介して接続され、 クライアントは、演算fと認証済み情報AUTHを保管する
データ保管部と、認証済み情報f(AUTH)演算手段を有す
る演算処理部と、送受信手段から構成され、 サーバは、演算fとクライアント識別情報と認証済み情
報AUTHを保管するデータ保管部と、クライアント識別情
報認証手段と認証済み情報AUTH生成手段と認証済み情報
f(AUTH)認証手段を有する演算処理部と、送受信手段か
ら構成され、 クライアントは、クライアント識別情報をサーバに送信
し、 サーバのクライアント識別情報認証手段は、受信したク
ライアント識別情報とデータ保管部に保持しているクラ
イアント識別情報を用いてクライアントを認証し、 サーバ認証済み情報AUTH生成手段は、認証が成功した場
合にその結果を表す認証済み情報AUTHを生成し、データ
保管部に記憶し、認証済み情報AUTHをクライアントに対
して送信し、 クライアントは、受信した認証済み情報AUTHをデータ保
管部に記憶し、 クライアントの認証済み情報f(AUTH)生成手段は、次回
以降、サーバにアクセスする際に認証済み情報AUTHに対
して演算fを施した後、認証済み情報f(AUTH)を生成し、
サーバに送信し、 サーバの認証済み情報f(AUTH)認証手段は、受信した認
証済み情報f(AUTH)と、保管部に保持している認証済み
情報AUTHと演算fを用いてクライアントの認証を行い、
認証が成功した場合にその結果を表す次回アクセスに用
いる認証済み情報AUTHを生成してデータ保管部に記憶
し、次回アクセスに用いる認証済み情報AUTHをクライア
ントに対して送信し、 クライアントは、受信した次回アクセスに用いる認証済
み情報AUTHをデータ保管部に記憶することを特徴とする
クライアント認証装置。
11. A client authentication apparatus for transmitting, to a client, authenticated information indicating that a server connectable to a distributed file system in a distributed computer environment has successfully authenticated the client for access to the distributed file system by the client. , The client and the server are connected via a communication path, the client is a data storage unit for storing the operation f and the authenticated information AUTH, an operation processing unit having an authenticated information f (AUTH) operation unit, and a transmission / reception unit A server for storing the operation f, the client identification information, and the authenticated information AUTH, the client identification information authenticating means, the authenticated information AUTH generating means, and the authenticated information.
f (AUTH) An arithmetic processing unit having an authentication unit and a transmission / reception unit, wherein the client transmits the client identification information to the server, and the client identification information authentication unit of the server stores the received client identification information and the data in the data storage unit. The client is authenticated using the held client identification information, and the server authenticated information AUTH generation means generates authenticated information AUTH representing the result of the authentication when the authentication is successful, stores it in the data storage unit, and performs authentication. The authenticated information AUTH is transmitted to the client, and the client stores the received authenticated information AUTH in the data storage unit. After performing the operation f on the authenticated information AUTH, generate the authenticated information f (AUTH),
The authenticated information f (AUTH) of the server is transmitted to the server, and the authentication means authenticates the client using the received authenticated information f (AUTH), the authenticated information AUTH held in the storage unit, and the operation f. Do
If the authentication is successful, generate the authenticated information AUTH used for the next access indicating the result and store it in the data storage unit, transmit the authenticated information AUTH used for the next access to the client, and the client receives A client authentication device, wherein authenticated information AUTH used for next access is stored in a data storage unit.
【請求項12】請求項11に記載のクライアント認証装
置において、 クライアントとサーバの送受信手段は、クライアント識
別情報と認証済み情報AUTHを通信路を暗号化して送信す
ることを特徴とするクライアント認証装置。
12. The client authentication device according to claim 11, wherein the transmission / reception means between the client and the server transmits the client identification information and the authenticated information AUTH after encrypting the communication path.
【請求項13】請求項11または12に記載のクライア
ント認証装置において、 演算fは共通鍵暗号方式を用い、 サーバの演算処理部は、認証済み情報f(AUTH)認証手段
で認証が成功した場合に共通鍵Kを生成し、データ保管
部に記憶し、共通鍵Kをクライアントに送信し、 クライアントは、受信した共通鍵Kをデータ保管部に記
憶してサーバと共通鍵Kを共有し、 クライアント認証済み情報f(AUTH)演算手段は、次回以
降、サーバにアクセスする際に保持している認証済み情
報AUTHに対して共有している共通鍵Kを用いて演算fを施
した認証済み情報f(AUTH)をサーバに送信し、 サーバの認証済み情報f(AUTH)認証手段は、受信した認
証済み情報f(AUTH)に対して共有している共通鍵Kを用い
て演算fの逆変換を施した認証済み情報AUTHと、サーバ
のデータ保管部に保持している認証済み情報AUTHとを比
較し、比較結果によってクライアントを認証することを
特徴とするクライアント認証装置。
13. The client authentication device according to claim 11, wherein the operation f uses a common key cryptosystem, and the operation processing unit of the server performs the authentication if the authentication is successful by the authenticated information f (AUTH) authentication means. Generates a common key K in the data storage unit, transmits the common key K to the client, the client stores the received common key K in the data storage unit, shares the common key K with the server, Authenticated information f (AUTH) calculation means, after the next time, the authenticated information f which has been subjected to operation f using the shared key K shared with the authenticated information AUTH held when accessing the server (AUTH) to the server, and the authenticated information f (AUTH) authenticating means of the server performs the inverse conversion of the operation f using the common key K shared with the received authenticated information f (AUTH). Authenticated information AUTH performed and stored in the data storage unit of the server And which compares the authenticated information AUTH, client authentication apparatus characterized by authenticating the client by the comparison result.
【請求項14】請求項11または12に記載のクライア
ント認証装置において、 演算fは、一方向性ハッシュ関数とし、予めクライアン
トとサーバのデータ保管部に保管して共有し、 クライアントの認証済み情報f(AUTH)演算手段は、次回
以降、サーバにアクセスする際に、認証済み情報AUTHに
対して一方向性ハッシュ関数を用いて演算fを施した認
証済み情報f(AUTH)をサーバに送信し、 サーバの認証済み情報f(AUTH)認証手段は、データ保管
部に保持している認証済み情報AUTHに対して共有してい
る一方向性ハッシュ関数を用いて演算fを行い、クライ
アントから受信した認証済み情報f(AUTH)と比較し、比
較結果によってクライアントを認証することを特徴とす
るクライアント認証装置。
14. The client authentication device according to claim 11, wherein the operation f is a one-way hash function, which is stored and shared in advance in a data storage unit of the client and the server, and the authenticated information f of the client is obtained. (AUTH) calculating means, after the next time, when accessing the server, to the server, the authenticated information AUTH is subjected to a calculation f using a one-way hash function to the authenticated information f (AUTH) transmitted to the server, The authenticated information f (AUTH) authentication means of the server performs an operation f using a shared one-way hash function for the authenticated information AUTH held in the data storage unit, and performs authentication f received from the client. A client authentication device that compares the authentication result with the completed information f (AUTH) and authenticates the client based on the comparison result.
【請求項15】 クライアント識別情報をサーバに送信
する処理と、 サーバがクライアント識別情報の認証が成功した場合に
生成する認証済み情報AUTHを受信し、記憶する処理と、 クライアントが次回以降、サーバにアクセスする際に認
証済み情報AUTHに対してサーバと共有している演算fを
施した後、認証済み情報f(AUTH)をサーバに送信する処
理と、 サーバが認証済み情報f(AUTH)を用いてクライアントの
認証が成功した場合にその結果を表す次回アクセスに用
いる認証済み情報AUTHを受信する処理と、 次回アクセスに用いる認証済み情報AUTHを記憶する処理
と、 をコンピュータに実行させる分散コンピュータ環境にお
ける分散ファイルシステムに接続可能なサーバにクライ
アントの分散ファイルシステムへのアクセスに対してク
ライアントを正常に認証したことを示す認証済み情報を
受信するためのプログラム。
15. A process for transmitting client identification information to a server, a process for receiving and storing authenticated information AUTH generated when the server successfully authenticates the client identification information, When performing an operation f shared with the server on the authenticated information AUTH when accessing, a process of transmitting the authenticated information f (AUTH) to the server, and the server using the authenticated information f (AUTH). Receiving the authenticated information AUTH used for the next access indicating the result when the client is successfully authenticated, and storing the authenticated information AUTH used for the next access. Clients can access the distributed file system to the server that can connect to the distributed file system. A program for receiving authenticated information indicating that authentication has been performed.
【請求項16】クライアントからクライアント識別情報
を受信する処理と、 受信したクライアント識別情報とサーバが保持している
クライアント識別情報を用いてクライアントを認証する
処理と、 認証が成功した場合にその結果を表す認証済み情報AUTH
を生成し、記憶する処理と、 認証済み情報AUTHをクライアントに対して送信する処理
と、 認証が成功しているクライアントが次回以降、サーバに
アクセスする際に認証済み情報AUTHに対して共有してい
る演算fを施した認証済み情報f(AUTH)を受信する処理
と、 受信した認証済み情報f(AUTH)と、保持している認証済
み情報AUTHと共有している演算fを用いてクライアント
の認証を行う処理と、 認証が成功した場合にその結果を表す次回アクセスに用
いる認証済み情報AUTHを生成して記憶する処理と、 次回アクセスに用いる認証済み情報AUTHをクライアント
に対して送信する処理と、 をコンピュータに実行させる分散コンピュータ環境にお
ける分散ファイルシステムに接続可能なサーバが、クラ
イアントの分散ファイルシステムへのアクセスに対して
クライアントを認証したことを示す認証済み情報をクラ
イアントへ送信するためのプログラム。
16. A process for receiving client identification information from a client, a process for authenticating the client using the received client identification information and the client identification information held by the server, Authenticated information representing AUTH
Generating and storing the authentication information, transmitting the authenticated information AUTH to the client, and sharing the authenticated information AUTH with the authenticated information AUTH the next time the client who successfully authenticates accesses the server. Receiving the authenticated information f (AUTH) which has been subjected to the operation f, and the client using the received authenticated information f (AUTH) and the operation f shared with the held authenticated information AUTH. A process of performing authentication, a process of generating and storing authenticated information AUTH used for the next access indicating a result of the successful authentication, and a process of transmitting the authenticated information AUTH used for the next access to the client. A server that can connect to a distributed file system in a distributed computer environment that causes a computer to execute Program for transmitting the authenticated information indicating that the authentication Ant to the client.
【請求項17】クライアント識別情報をサーバに送信す
る処理と、 サーバがクライアント識別情報の認証が成功した場合に
生成する認証済み情報AUTHを受信し、記憶する処理と、 クライアントが次回以降、サーバにアクセスする際に認
証済み情報AUTHに対してサーバと共有している演算fを
施した後、認証済み情報f(AUTH)をサーバに送信する処
理と、 サーバが認証済み情報f(AUTH)を用いてクライアントの
認証が成功した場合にその結果を表す次回アクセスに用
いる認証済み情報AUTHを受信する処理と、 次回アクセスに用いる認証済み情報AUTHを記憶する処理
と、 をコンピュータに実行させる分散コンピュータ環境にお
ける分散ファイルシステムに接続可能なサーバにクライ
アントの分散ファイルシステムへのアクセスに対してク
ライアントを正常に認証したことを示す認証済み情報を
受信するためのプログラムを記録したコンピュータ読み
取り可能な記録媒体。
17. A process for transmitting client identification information to a server, a process for receiving and storing authenticated information AUTH generated when the server successfully authenticates the client identification information, When performing an operation f shared with the server on the authenticated information AUTH when accessing, a process of transmitting the authenticated information f (AUTH) to the server, and the server using the authenticated information f (AUTH). Receiving the authenticated information AUTH used for the next access indicating the result when the client is successfully authenticated, and storing the authenticated information AUTH used for the next access. Clients can access the distributed file system to the server that can connect to the distributed file system. A computer-readable recording medium a program for receiving the authenticated information indicating that the witness was.
【請求項18】クライアントからクライアント識別情報
を受信する処理と、 受信したクライアント識別情報とサーバが保持している
クライアント識別情報を用いてクライアントを認証する
処理と、 認証が成功した場合にその結果を表す認証済み情報AUTH
をサーバにおいて生成し、記憶する処理と、 認証済み情報AUTHをクライアントに対して送信する処理
と、 認証が成功しているクライアントが次回以降、サーバに
アクセスする際に認証済み情報AUTHに対して共有してい
る演算fを施した認証済み情報f(AUTH)を受信する処理
と、 受信した認証済み情報f(AUTH)と、保持している認証済
み情報AUTHと共有している演算fを用いてクライアント
の認証を行う処理と、 認証が成功した場合にその結果を表す次回アクセスに用
いる認証済み情報AUTHを生成して記憶する処理と、 次回アクセスに用いる認証済み情報AUTHをクライアント
に対して送信する処理と、 をコンピュータに実行させる分散コンピュータ環境にお
ける分散ファイルシステムに接続可能なサーバが、クラ
イアントの分散ファイルシステムへのアクセスに対して
クライアントを認証したことを示す認証済み情報をクラ
イアントへ送信するためのプログラムを記録したコンピ
ュータ読み取り可能な記録媒体。
18. A process for receiving client identification information from a client, a process for authenticating the client using the received client identification information and the client identification information held by the server, Authenticated information representing AUTH
Generates and stores the AUTH in the server, sends the authenticated information AUTH to the client, and shares the authenticated information AUTH the next time a successfully authenticated client accesses the server Receiving the authenticated information f (AUTH) that has been subjected to the operation f, and using the received authenticated information f (AUTH) and the operation f shared with the held authenticated information AUTH. A process of performing client authentication, a process of generating and storing authenticated information AUTH used for the next access indicating a result of the successful authentication, and transmitting the authenticated information AUTH used for the next access to the client. Processing and a server that can connect to the distributed file system in a distributed computer environment that causes a computer to execute A computer-readable recording medium a program for transmitting the authenticated information indicating that authenticates the client to the client to.
JP2001130777A 2001-04-27 2001-04-27 Client authentication method, authentication device, program and storage medium Pending JP2002328905A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2001130777A JP2002328905A (en) 2001-04-27 2001-04-27 Client authentication method, authentication device, program and storage medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2001130777A JP2002328905A (en) 2001-04-27 2001-04-27 Client authentication method, authentication device, program and storage medium

Publications (1)

Publication Number Publication Date
JP2002328905A true JP2002328905A (en) 2002-11-15

Family

ID=18979083

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001130777A Pending JP2002328905A (en) 2001-04-27 2001-04-27 Client authentication method, authentication device, program and storage medium

Country Status (1)

Country Link
JP (1) JP2002328905A (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006243924A (en) * 2005-03-01 2006-09-14 Nec Corp Secure session management program for website, session management method, and session management system
JP2007515015A (en) * 2003-12-19 2007-06-07 マイクロソフト コーポレーション Server architecture for network resource information routing
JP2009093482A (en) * 2007-10-10 2009-04-30 Obic Business Consultants Ltd Information processing system, information processor, authentication server, information processing method, and program
US8117246B2 (en) 2006-04-17 2012-02-14 Microsoft Corporation Registering, transfering, and acting on event metadata
JP2012191270A (en) * 2011-03-08 2012-10-04 Kddi Corp Authentication system, terminal apparatus, authentication server and program

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007515015A (en) * 2003-12-19 2007-06-07 マイクロソフト コーポレーション Server architecture for network resource information routing
JP2006243924A (en) * 2005-03-01 2006-09-14 Nec Corp Secure session management program for website, session management method, and session management system
US8117246B2 (en) 2006-04-17 2012-02-14 Microsoft Corporation Registering, transfering, and acting on event metadata
US9613032B2 (en) 2006-04-17 2017-04-04 Microsoft Technology Licensing, Llc Registering, transferring, and acting on event metadata
JP2009093482A (en) * 2007-10-10 2009-04-30 Obic Business Consultants Ltd Information processing system, information processor, authentication server, information processing method, and program
JP2012191270A (en) * 2011-03-08 2012-10-04 Kddi Corp Authentication system, terminal apparatus, authentication server and program

Similar Documents

Publication Publication Date Title
US9294288B2 (en) Facilitating secure online transactions
CA2463034C (en) Method and system for providing client privacy when requesting content from a public server
CN109088889B (en) SSL encryption and decryption method, system and computer readable storage medium
TWI429256B (en) Authentication delegation based on re-verification of cryptographic evidence
TWI288552B (en) Method for implementing new password and computer readable medium for performing the method
KR101265873B1 (en) Distributed single sign-on service
US8185942B2 (en) Client-server opaque token passing apparatus and method
JP4591897B2 (en) Key-based encryption
US20120284506A1 (en) Methods and apparatus for preventing crimeware attacks
US20060294366A1 (en) Method and system for establishing a secure connection based on an attribute certificate having user credentials
US20030081774A1 (en) Method and apparatus for dynamic generation of symmetric encryption keys and exchange of dynamic symmetric key infrastructure
US20060288230A1 (en) One time password integration with Kerberos
JP2004527938A (en) Authentication communication
JP2005102163A (en) Equipment authentication system, server, method and program, terminal and storage medium
MXPA04007547A (en) System and method for providing key management protocol with client verification of authorization.
CN109510802B (en) Authentication method, device and system
US8099602B2 (en) Methods for integrating security in network communications and systems thereof
JP2001186122A (en) Authentication system and authentication method
CN108809633B (en) Identity authentication method, device and system
EP2414983B1 (en) Secure Data System
JP5186648B2 (en) System and method for facilitating secure online transactions
JP2002328905A (en) Client authentication method, authentication device, program and storage medium
Hart et al. Website credential storage and two-factor web authentication with a Java SIM
Ozha Kerberos: An Authentication Protocol
Xu et al. Qrtoken: Unifying authentication framework to protect user online identity