JP2003330893A - ユーザ認証装置 - Google Patents

ユーザ認証装置

Info

Publication number
JP2003330893A
JP2003330893A JP2002140679A JP2002140679A JP2003330893A JP 2003330893 A JP2003330893 A JP 2003330893A JP 2002140679 A JP2002140679 A JP 2002140679A JP 2002140679 A JP2002140679 A JP 2002140679A JP 2003330893 A JP2003330893 A JP 2003330893A
Authority
JP
Japan
Prior art keywords
user
identifier
side equipment
session identifier
cryptographic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2002140679A
Other languages
English (en)
Inventor
Hidehiko Hamamura
秀彦 浜村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Heavy Industries Ltd
Original Assignee
Mitsubishi Heavy Industries Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Heavy Industries Ltd filed Critical Mitsubishi Heavy Industries Ltd
Priority to JP2002140679A priority Critical patent/JP2003330893A/ja
Publication of JP2003330893A publication Critical patent/JP2003330893A/ja
Withdrawn legal-status Critical Current

Links

Abstract

(57)【要約】 (修正有) 【課題】 少ない交信回数で高い精度のユーザ認証をす
ることができるユーザ認証装置を提供することである。 【解決手段】システム側設備1と利用者側端末2はネッ
トワーク3を介して通信可能に設置される。利用者側端
末2は文字列を暗号化する第1暗号化機能21を備え、
システム側設備1は、第1暗号化機能21と同じ機能を
有する第2暗号化機能12を備える。システム側設備1
は、ランダムな文字列であるセッション識別子を作成し
て、利用者側端末2に送信する。利用者側端末2は、第
1暗号化機能21でセッション識別子を暗号化して第1
暗号識別子を作成し、第1暗号識別子をシステム側設備
1へ送信する。システム側設備1は、第2暗号化機能1
2でセッション識別子を暗号化して第2暗号識別子を作
成し、第1暗号識別子と第2暗号識別子とを比較し、一
致した場合に通信を許可する。さらに、上記利用者側端
末2は、暗号識別子と、システム側設備2へ送信する送
信データとを合わせて送信する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、ユーザ認証装置に
関し、特に無線、インターネット、公衆回線で通信する
場合のユーザ認証装置に関する。
【0002】
【従来の技術】利用者の使用が制限されているシステム
へのアクセスが許可される場合、システムは、アクセス
した者が権限をもつ利用者か、もしくはどのレベルの権
限をもっているか判断し、アクセスを許可する必要があ
る。このため、システムはユーザの認証を行なう。通
常、ユーザ認証は、使用者が自分のユーザIDとパスワ
ードを送信し、システム側で記憶されたユーザIDとパ
スワードと一致するか判断することにより行なわれる。
【0003】しかし、利用者が無線、公衆回線、インタ
ーネット等の伝送路を利用してシステムにアクセスする
場合、ユーザIDとパスワードが他人に盗聴される危険
性がある。このようなシステムは、盗聴されたユーザI
Dとパスワードが使用された場合、アクセスを許可して
しまう。
【0004】また、通常、ユーザ認証は、通信開始時に
一度行なわれ、通信中は行なわれない。このため、権限
あるユーザが一度アクセスを許可された後、他人がその
通信に割込めば権限あるユーザになりすますことが可能
である。
【0005】このため、公知技術として、事前に暗号化
鍵を交換または配布して、ユーザID、パスワードを含
め通信する全てのデータを暗号化する技術が知られてい
る。
【0006】図3および図4を参照して、従来の暗号化
処理の一例が説明される。本例は、公開鍵配布システム
の一例である。
【0007】システム側設備は、システム側公開鍵を含
むサーバの証明書とシステム側秘密鍵を保持している。
利用者側端末は、利用者側公開鍵を含むクライアントの
証明書と利用者側秘密鍵を保持している。公開鍵を使っ
て暗号化されたものは、秘密鍵によって復号化される。
すなわち、システム側公開鍵で暗号化されたものは、シ
ステム側秘密鍵でのみ復号化され、利用者側公開鍵で暗
号化されたものは、利用者側秘密鍵でのみ復号化され
る。
【0008】利用者側端末はサーバへの接続を要求する
データ(d1)を送信する。システム側設備は、セッシ
ョン識別子を生成し(ステップSp1)、セッション識
別子およびサーバの証明書(d2)を利用者端末に送付
する。
【0009】利用者側端末は、乱数等を使用してセッシ
ョン用共通秘密鍵を生成し、セッション用共通秘密鍵
を、受信したサーバの証明書に含まれるシステム側公開
鍵を使用して暗号化する。さらに、クライアントの証明
書を使って現在までに送受信されたメッセージ(具体的
にはd1+d2)をデジタル署名する。(Sp2) 利用者端末から、クライアントの証明書、暗号化された
セッション用共有秘密鍵、デジタル署名されたメッセー
ジ(d3)が、システム側設備へ送信される。
【0010】システム側設備は、デジタル署名されたメ
ッセージとクライアントの証明書からクライアントを認
証する。さらに、システム側秘密鍵を使用して暗号化さ
れたセッション用共有秘密鍵を復号化する。システム側
設備は、セッション用共有秘密鍵の交換と認証処理が成
功したこと(d3)を利用者側端末に通知する。
【0011】利用者端末は、セッション用共有秘密鍵
で、システムへの要求を含む送信メッセージを暗号化す
る(Sp4)。利用者端末は、暗号化されたメッセージ
(d5)をシステム側設備に送信する。システム側設備
は、暗号化されたメッセージを受信し、セッション用共
有秘密鍵で復号化する(Sp5)。システム側設備は、
復号化に成功すれば正規のユーザからの要求とみなし、
要求に応じる(Sp6)。システム側設備は、必要に応
じセッション用共有秘密鍵で応答メッセージを暗号化し
(Sp7)、暗号化さらた応答メッセージ(d6)を、
利用者端末に送信する。以下、ステップSp4〜Sp8
と同様、Sp9〜Sp13のように繰り返す。
【0012】このように、公知技術では、共有秘密鍵の
交換に複雑な手順を必要とする。従来例では、メッセー
ジを送るために、メッセージの送信を含めて5回の送受
信を必要としている。
【0013】また、上記のように全てのデータを暗号化
する場合、送信側で暗号化処理されたデータを、受信側
で復号化処理する。このような暗号化処理では、復号可
能な暗号化処理に制限される。
【0014】また、通信するデータを盗聴されることが
問題ではなく、権限あるユーザになりすまされ、適当で
ない指示をされることが重大な問題である場合がある。
具体的には装置の遠隔操作、無線カードの使用、移動体
の自動料金徴収システムでの料金引落などである。この
ような場合は、通信内容の盗聴を防ぐための保護より、
ユーザ認証の精度を上げ、さらに迅速なユーザ認証を実
施することが必要である。
【0015】少ない通信回数で、安全性の高いユーザ認
証が可能なシステムが求められる。他人が通信の途中か
ら割込み、権限あるユーザに成りすますことができない
システムが求められる。パスワードが、公衆回線、無
線、インターネット等上で送信されないシステムが求め
られる。暗号化する手法が、制限されない手法が求めら
れる。
【0016】
【発明が解決しようとする課題】本発明の目的は、盗聴
されても認証用識別子が盗用されないユーザ認証装置を
提供することである。さらに、本発明の目的は、少ない
交信回数で高い精度のユーザ認証をすることができるユ
ーザ認証装置を提供することである。さらに、本発明の
目的は、通信の途中から他人が割込んで権限ある利用者
になりすますことを防止することができるユーザ認証装
置を提供することである。さらに、本発明の目的は、暗
号化方法の制約が少ないユーザ認証装置を提供すること
である。
【0017】
【課題を解決するための手段】以下に、[発明の実施の
形態]で使用する番号・符号を用いて、課題を解決する
ための手段を説明する。これらの番号・符号は、[特許
請求の範囲]の記載と[発明の実施の形態]の記載との
対応関係を明らかにするために付加されたものである
が、[特許請求の範囲]に記載されている発明の技術的
範囲の解釈に用いてはならない。
【0018】本発明によるユーザ認証装置は、アクセス
が制限されるシステム側設備(1)と、システム側設備
(1)にアクセスする利用者に使用される利用者側端末
(2)とを具備する。システム側設備(1)と利用者側
端末(2)はネットワーク(3)を介して通信可能に設
置される。システム側設備(1)は、ランダムな文字列
であるセッション識別子を作成して、利用者側端末
(2)に送信する。利用者側端末(2)は、受信したセ
ッション識別子を特定の法則で暗号化して暗号識別子を
作成し、暗号識別子を、システム側設備(1)に送信す
る。システム側設備(1)は、暗号識別子を受信し、暗
号識別子がセッション識別子をもとに特定の法則で暗号
化されたものであることを確認して通信を許可する、
【0019】上記利用者側端末は、利用者が入力するパ
スワードを使用してセッション識別子を暗号化すること
で、上記暗号識別子を作成する。上記システム側設備
(2)は、システム側設備(2)が記憶しているパスワ
ードを使用して、セッション識別子を暗号化し、暗号識
別子と一致した場合に通信を許可する。
【0020】さらに、上記利用者側端末(2)は、暗号
識別子と、システム側設備(2)へ送信する送信データ
とを合わせて送信する、
【0021】さらに、上記システム側設備(1)は、ユ
ーザIDとパスワードを関連付る情報を含むユーザ一覧
表(13)を記憶する。上記利用者側端末(2)は、利
用者のユーザIDとシステム側設備(1)へ送信する送
信データを、暗号識別子と合わせて送信する。さらに、
システム側設備(1)は、利用者側端末(2)から受信
したユーザIDから、ユーザ一覧表(13)を参照して
ユーザIDに対応するパスワードを検索して、使用す
る。
【0022】上記利用者側端末(2)は、2回目以降の
データ送信において、セッション識別子を、既定の法則
に基づき送信毎に異なるように変形し、変形されたセッ
ション識別子を暗号化して変形暗号識別子を作成し、さ
らに、送信毎に、システム側設備(1)へ送信する送信
データと、変形暗号識別子を合わせて送信する。上記シ
ステム側設備(1)は、さらに既定の法則を使用して、
変形暗号識別子がセッション識別子をもとに暗号化され
たものであるか確認する。
【0023】本発明によるユーザ認証装置は、アクセス
が制限されるシステム側設備(1)と、利用者に使用さ
れる利用者側端末(2)と、を具備する。システム側設
備(1)と利用者側端末(2)はネットワーク(3)を
介して通信可能に設置される。利用者側端末(2)は文
字列を暗号化する第1暗号化機能(21)を備え、シス
テム側設備(1)は、第1暗号化機能(21)と同じ機
能を有する第2暗号化機能(12)を備える。システム
側設備(1)は、ランダムな文字列であるセッション識
別子を作成して、利用者側端末(2)に送信する。利用
者側端末(2)は、第1暗号化機能(21)でセッショ
ン識別子を暗号化して第1暗号識別子を作成し、第1暗
号識別子をシステム側設備(1)へ送信する。システム
側設備(1)は、第2暗号化機能(12)でセッション
識別子を暗号化して第2暗号識別子を作成し、第1暗号
識別子と第2暗号識別子とを比較し、一致した場合に通
信を許可する。
【0024】第1暗号化機能(21)は、利用者が入力
したパスワードを使用してセッション識別子の暗号化を
行なう。第2暗号化機能(12)は、システム側設備
(1)が記憶している利用者のパスワードを使用してセ
ッション識別子の暗号化を行なう。
【0025】利用者側端末(2)は、第1暗号識別子
を、システム側設備(1)へ送信する送信データと合わ
せて送信する。
【0026】システム側設備(1)は、ユーザIDとパ
スワードを関連付る情報を含むユーザ一覧表(13)を
記憶している。利用者側端末(2)は、ユーザIDとシ
ステム側設備(1)へ送信する送信データを、暗号識別
子とを合わせて送信する。、さらに、システム側設備
(1)は、利用者側端末(2)から受信したユーザID
から、ユーザ一覧表(13)を参照してユーザIDに対
応するパスワードを検索して、使用する。
【0027】さらに、利用者側端末(2)は、2回目以
降のデータ送信において、セッション識別子を既定の法
則に基づき送信毎に異なるように変形し、変形されたセ
ッション識別子を暗号化して変形第1暗号識別子を作成
する。さらに、利用者側端末(2)は、送信毎に、シス
テム側設備へ送信する送信データと、変形暗号識別子を
合わせて送信する。システム側設備(1)は、セッショ
ン識別子を既定の法則に基づき変形し、変形されたセッ
ション識別子を暗号化して変形第2暗号識別子を作成
し、変形第1暗号識別子と変形第2暗号識別子が一致す
ることでユーザ認証を行なう。
【0028】本発明によるユーザ認証方法は以下のステ
ップを含む。 A)システム側設備(1)が、ランダムな文字列である
セッション識別子を作成し、利用者側端末(2)に送信
するAステップ。 B)利用者側端末(2)が、セッション識別子を暗号化
して、第1暗号識別子を作成し、第1暗号識別子をシス
テム側設備(1)へ送信する送信データと共に送信する
Bステップ。 C)システム側設備(1)が、セッション識別子を暗号
化して、第2暗号識別子を作成するCステップ。 D)システム側設備(1)が、第1暗号識別子と第2暗
号識別子を比較してユーザ認証を行なうDステップ。
【0029】上記Bステップにおいて、利用者側端末
(2)は、利用者が入力するパスワードを使用してセッ
ション識別子を暗号化する。上記Cステップにおいて、
システム側設備(1)は、システム側設備(1)が記憶
している利用者のパスワードを使用してセッション識別
子を暗号化する。
【0030】さらに、上記Bステップにおいて、利用者
側端末(2)は、ユーザIDを第1暗号識別子とシステ
ム側設備(1)へ送信する送信データと共に送信する。
さらに、上記Cステップにおいて、システム側設備
(1)は、受信したユーザIDにより、ユーザIDとパ
スワードを関連付ける情報を含むユーザ一覧表(13)
を参照して、ユーザIDに対応するパスワードを検索
し、使用する。
【0031】さらに、本発明によるユーザ認証方法は、
利用者側端末(2)の2回目以降のデータ送信におい
て、以下のステップをさらに含む。 E)利用者側端末(2)が、セッション識別子を、既定
の法則に基づいて変形し、変形したセッション識別子を
暗号化して、変形第1暗号識別子を作成し、システム側
設備(1)へ送信する情報と共に送信するEステップ。 F)システム側設備(1)が、セッション識別子を、既
定の法則に基づいて変形し、変形したセッション識別子
を暗号化して、変形第2暗号識別子を作成するFステッ
プ。 G)システム側設備(1)が、変形第1暗号識別子と変
形第2暗号識別子を比較してユーザ認証を行なうGステ
ップ。
【0032】本発明によるシステム側設備(1)で用い
られるユーザ認証プログラムは以下のステップをシステ
ム側設備(1)に実行させる。 a)利用者側端末(2)からのアクセス要求を受信した
時に、ランダムな文字列であるセッション識別子を作成
し、利用者側端末(2)に送信するaステップ。 b)利用者側端末(2)がセッション識別子を利用者の
パスワードを使用して暗号化した第1暗号識別子と、利
用者側端末(2)から送信される送信データと、ユーザ
IDと、を受信するbステップ。 c)ユーザIDとパスワードを関連付ける情報を含むユ
ーザ一覧表(13)を参照し、受信したユーザIDから
パスワードを検索するcステップ。 d)パスワードを使用し、セッション識別子を暗号化し
て第2暗号識別子を作成するdステップ。 e)第1暗号識別子と第2暗号識別子を比較してユーザ
認証を行なうeステップ。
【0033】さらに、2回目以降の利用者側端末(2)
から送信データの受信において、本発明のシステム側設
備(1)で用いられるユーザ認証プログラムは以下のス
テップをシステム側設備(1)に実行させる。 f)利用者側端末(2)がセッション識別子を既定の法
則に基づいて送信毎に変形し、変形したセッション識別
子を利用者のパスワードを使用して暗号化した変形第1
暗号識別子と、利用者側端末(2)から送信される送信
データと、ユーザIDと、を受信するfステップ。 g)セッション識別子を、既定の法則に基づいて受信毎
に変形し、変形した前記セッション識別子を、パスワー
ドを使用して暗号化した変形第2暗号識別子を作成する
gステップ。 h)変形第1暗号識別子と変形第2暗号識別子を比較し
ユーザ認証を行なうhステップ。
【0034】本発明による利用者側端末(2)で用いら
れるユーザ認証プログラムは以下のステップを利用者側
端末(2)に実行させる。 p)システム側設備(1)へアクセス要求を送信するp
ステップ。 q)システム側設備(1)から受信したセッション識別
子を利用者のパスワードを使用して暗号化し、第1暗号
識別子を作成するqステップ。 r)第1暗号識別子とユーザIDと利用者側端末から送
信する送信データをシステム側設備(1)へ送信するr
ステップ。
【0035】さらに、2回目以降の送信データの送信に
おいて、本発明の利用者側端末(2)で用いられるユー
ザ認証プログラムは以下のステップを利用者側端末
(2)に実行させる。 s)セッション識別子を既定の法則に基づいて送信毎に
変形し、変形したセッション識別子を利用者のパスワー
ドを使用して暗号化した変形第1暗号識別子と、システ
ム側設備(1)へ送信する送信データと、ユーザID
と、を送信するsステップ。
【0036】
【発明の実施の形態】添付図面を参照して、本発明によ
るユーザ認証装置の実施の形態が以下に説明される。図
1で、本発明のユーザ認証装置の構成が説明される。本
発明のユーザ認証装置は、システム側設備1と利用者側
端末2で構成される。システム側設備1と利用者側端末
2は、公衆回線、インターネット、無線に代表されるネ
ットワーク3で接続され、情報の送受信が可能である。
【0037】システム側設備1は、利用者によりアクセ
スが制限される設備である。システム側設備は、ネット
ワーク3を介して、他のシステムと通信可能である、具
体的には、システム側設備1は、インターネット上のサ
ーバーもしくはコンピュータ、遠隔制御される装置の制
御部、無線カードシステムの受信機、移動体の自動料金
徴収システムの固定側装置に代表される。
【0038】システム側設備1は、通信手段、コンピュ
ータなどの情報処理手段を備え、さらに、ユーザ認証機
能11を含み、ユーザ一覧表13を記憶している。ユー
ザ認証機能11は、暗号化機能12を有している。
【0039】利用者側端末2は、利用者が、ネットワー
ク3を介してシステム側設備1との通信に使用する端末
である。具体的には、利用者が使用するコンピュータ、
携帯情報端末、無線カード、移動体の自動料金徴収シス
テムの車載器に代表される。
【0040】利用者側端末2は、通信手段、コンピュー
タなどの情報処理手段を備え、さらに、暗号化機能2
1、セッション識別子一時記憶装置22を有している。
【0041】ユーザ認証機能11は、利用者側端末2か
らのアクセス要求に対して、ランダムに文字(数字を含
む)または記号を配列したセッション識別子を生成し、
ネットワーク3を介して、利用者側端末2へ送信するこ
とができる。また、ユーザ認証機能11は、暗号化機能
12が当該ユーザのパスワードを使用してセッション識
別しを暗号化した識別子と、利用者側端末2の暗号化機
能21が、当該ユーザが入力したパスワードを使用して
セッション識別を暗号化した暗号識別子であるユーザ識
別子とを比較し、同一であれば権限あるユーザと認証す
る。
【0042】システム側設備1の暗号化機能12と利用
者側端末2の暗号化機能21は同じ機能を有し、利用者
のパスワードを使用してセッション識別子を暗号化す
る。暗号化機能12、21は、同じセッション識別子を
同じパスワードを使用して暗号化した時、同じ暗号化さ
れた識別子を作成する。また、暗号化機能12、21
は、同じ規則に基づき、通信回数などに応じてセッショ
ン識別子を変形することができる。
【0043】システム側設備1に記憶されているユーザ
一覧表13は、アクセスする権限がある利用者のユーザ
IDとパスワードを関連付けて記憶している。
【0044】セッション識別子一時記憶装置22は、シ
ステム側設備1から送信されるセッション識別子を記憶
する記憶装置である。
【0045】(動作の説明)次に、図2を参照して、本
発明のユーザ認証装置の動作が説明される。
【0046】利用者側端末2から、システム側設備1へ
アクセスの開始を要求する信号D1が送信される。信号
D1を受信したシステム側設備1のユーザ認証機能11
は、セッション識別子を生成し(St1)、セッション
識別子D2を利用者側端末2へ送信する。
【0047】利用者側端末2はセッション識別子を受信
し、セッション識別子一時記憶装置22へ保存する(S
t2)。暗号化機能21は、セッション識別子を利用者
が入力したパスワードを使用して暗号化(St3)し
て、暗号化識別子であるユーザ識別子を作成する。利用
者側端末2は、ユーザ識別子にユーザIDとシステムへ
の要求などの情報を付加し(St4)、文字列としてシ
ステム側設備1へ送信する。
【0048】送信されたユーザID、ユーザ識別子、シ
ステムへの要求などの情報を含む情報D3は、システム
側設備1で受信される。ユーザ認証機能11は、受信し
た情報D3に含まれるユーザIDに関連付けられたパス
ワードをユーザ一覧表13から検索する(St5)。暗
号化機能12は、送信したセッション識別子を検索され
たパスワードを使用して暗号化して(St6)、別途識
別子を作成する。ユーザ認証機能11は、受信したユー
ザ識別子と、暗号化機能12で作成した識別子を比較
し、一致していれば権限ある利用者と認証する(St
7)。権限ある利用者と認証されれば、システム側設備
1は、ユーザの要求に応じる(St8)。システム側設
備1は、必要に応じて応答メッセージD4を利用者側端
末2へ送信する。
【0049】上記の場合、3回目の送受信で利用者側端
末2からシステム側設備1へ指令を送信することがで
き、ユーザ認証のための通信回数が少ない。
【0050】このように、上記システムでは、盗聴され
る可能性があるネットワーク3上でパスワードそのもの
は送受信されない。したがって、盗聴されても、他人が
盗聴した識別子を使って通信することができず、安全性
が高い。
【0051】また、システム側設備1、利用者側端末2
において、共に同じセッション識別子を、同じパスワー
ドを使用して暗号化処理し、比較することで、復号化処
理ができない暗号化処理を使用することができ、暗号化
処理の選択の制約が少なくなる。
【0052】また、事前の暗号化鍵の交換や配布が不要
なため、認証の手順や利用者側端末2のセキュリティ対
策が簡素化できる。
【0053】さらに、システム側設備1と利用者側端末
2が複数回送受信する場合が説明される。
【0054】上記の送受信(St1〜St8)の後、利
用者側端末2から続いてシステム側設備1へ、要求等を
送信したい場合が説明される。利用者側端末2の暗号化
機能21は、先に使用したセッション識別子を通信回数
に基づき既定の法則に従い変形する(St9)。暗号化
機能21は、変形されたセッション識別子を、利用者の
パスワードを使用して暗号化し(St10)、ユーザ識
別子がを作成する。このユーザ識別子は、St3で作成
されたユーザ識別子とは異なる。利用者側端末2は、ユ
ーザ識別子にユーザIDとシステムへの要求などの情報
を付加し(St11)、システム側設備1へ送信する。
【0055】送信されたユーザID、ユーザ識別子、シ
ステムへの要求などの情報を含む情報D5は、システム
側設備1で受信される。暗号化機能12は、最初に送信
したセッション識別子を、通信回数に基づき既定の法則
に従い変形し、変形されたセッション識別子を検索され
たパスワードを使用して暗号化して、別途識別子を作成
する(St12)。ユーザ認証機能11は、受信したユ
ーザ識別子と、暗号化機能12で作成した識別子を比較
し、一致していれば権限ある利用者と認証する(St1
3)。権限ある利用者と認証されれば、システム側設備
1は、ユーザの要求に応じる(St14)。以後、利用
者側端末2とシステム側設備1は送信毎に、上記のステ
ップ(St9〜St14)を繰り返す。
【0056】また、システム側設備1から応答メッセー
ジD4を送信する場合は、応答メッセージD4に新たな
セッション識別子を添付して送信し、ステップSt2〜
St8を繰り返すことで、ユーザ認証することも可能で
ある。
【0057】このように、送信する毎に、異なるユーザ
識別子と一緒にシステムへの要求等の情報が送信される
ことにより、盗聴されても次回はこのユーザ識別子が使
えないため、なりすましを防止できる。また、毎回ユー
ザ認証をするので安全性が向上する。
【0058】また、このように、複数回連続して送受信
する場合の利用者からの要求に対し、手順を増やすこと
なくユーザ識別子を付加するため、ユーザの負担がな
い。
【0059】上記のようなユーザ認証装置は、移動して
いる利用者が、無線を使って、特定のシステム側設備の
使用を要求する場合、ユーザ認証のための交信回数を少
なくでき、交信を迅速にすることができる。このことは
利用者の移動の速度制約を小さくする。具体的には、移
動体の自動料金徴収システムでの固定システムと車載器
との通信で認証速度を早くすることができ、車の速度制
限を緩和できる。
【0060】また、上記のようなユーザ認証装置は、少
ない通信回数と簡易なステップで、複雑な個人認証を行
なう公知技術と同レベルの高い安全性を実現できる。
【0061】なお、送受信する相手が特定されている場
合は、特定の暗号化機能のためのプログラムを、送受信
するメンバの暗号化機能にのみダウンロードすることで
さらに安全性を向上できる。
【0062】また、利用者側端末2の暗号化機能21を
複数種類の中から選択し、暗号化機能21の種類をユー
ザIDと関連つけて、システム側設備1のユーザ一覧表
で記憶し、システム側設備1は、受信したユーザIDに
応じて複数の暗号化機能12から選択して使用すること
により、安全性をさらに高めることができる。
【0063】
【発明の効果】本発明のユーザ認証装置は、盗聴されて
も認証用識別子が盗用されないシステムを提供すること
ができる。本発明のユーザ認証装置は、少ない交信回数
で高い精度のユーザ認証をすることができる。本発明の
ユーザ認証装置は、通信の途中から他人が割込んで権限
ある利用者になりすますことを防止することができる。
本発明のユーザ認証装置は、暗号化方法の制約が少ない
システムを提供することができる。
【図面の簡単な説明】
【図1】本発明のユーザ認証装置の構成を示すブロック
図である。
【図2】本発明のユーザ認証装置の動作を示すフロー図
である。
【図3】従来のユーザ認証方法を示すフロー図である。
【図4】従来のユーザ認証方法を示すフロー図である。
【符号の説明】
1 システム側設備 2 利用者側端末 3 ネットワーク 11 ユーザ認証機能 12 暗号化機能 13 ユーザ一覧表 21 暗号化機能 22 セッション識別子一時記憶装置

Claims (18)

    【特許請求の範囲】
  1. 【請求項1】アクセスが制限されるシステム側設備と、 前記システム側設備にアクセスする利用者に使用される
    利用者側端末と、を具備し、 前記システム側設備と前記利用者側端末はネットワーク
    を介して通信可能に設置され、 前記システム側設備は、ランダムな文字列であるセッシ
    ョン識別子を作成して、前記利用者側端末に送信し、 前記利用者側端末は、前記セッション識別子を特定の法
    則で暗号化して暗号識別子を作成し、前記暗号識別子
    を、前記システム側設備に送信し、 前記システム側設備は、前記暗号識別子を受信し、前記
    暗号識別子が前記セッション識別子をもとに前記特定の
    法則で暗号化されたものであることを確認して、通信を
    許可する、ユーザ認証装置。
  2. 【請求項2】前記利用者側端末は、前記利用者が入力す
    るパスワードを使用して前記セッション識別子を暗号化
    することで、前記暗号識別子を作成し、 前記システム側設備は、前記システム側設備が記憶して
    いる前記パスワードを使用して、前記セッション識別子
    を暗号化し、前記暗号識別子と一致した場合に通信を許
    可する請求項1に記載されたユーザ認証装置。
  3. 【請求項3】前記利用者側端末は、前記暗号識別子と、
    前記システム側設備へ送信する送信データとを合わせて
    送信する、請求項1または2のいずれかに記載されたユ
    ーザ認証装置。
  4. 【請求項4】前記システム側設備は、前記ユーザIDと
    前記パスワードを関連付る情報を含むユーザ一覧表を記
    憶し、 前記利用者側端末は、利用者のユーザIDと前記システ
    ム側設備へ送信する送信データを、前記暗号識別子と合
    わせて送信し、 さらに、前記システム側設備は、前記利用者側端末から
    受信した前記ユーザIDから、前記ユーザ一覧表を参照
    して前記ユーザIDに対応する前記パスワードを検索し
    て、前記パスワードを使用する、請求項2に記載された
    ユーザ認証装置。
  5. 【請求項5】前記利用者側端末は、2回目以降のデータ
    送信において、前記セッション識別子を、既定の法則に
    基づき送信毎に異なるように変形し、変形された前記セ
    ッション識別子を暗号化して変形暗号識別子を作成し、 さらに、前記利用者側端末は、送信毎に、前記システム
    側設備へ送信する送信データと、前記変形暗号識別子を
    合わせて送信し、 前記システム側設備は、さらに前記既定の法則を使用し
    て、前記変形暗号識別子が前記セッション識別子をもと
    に暗号化されたものであるか確認する、請求項1〜4の
    いずれかに記載されたユーザ認証装置。
  6. 【請求項6】アクセスが制限されるシステム側設備と、 利用者に使用される利用者側端末と、を具備し、 前記システム側設備と前記利用者側端末はネットワーク
    を介して通信可能に設置され、 前記利用者側端末は文字列を暗号化する第1暗号化機能
    を備え、 前記システム側設備は、前記第1暗号化機能と同じ機能
    を有する第2暗号化機能を備え、 前記システム側設備は、ランダムな文字列であるセッシ
    ョン識別子を作成して、前記利用者側端末に送信し、 前記利用者側端末は、前記第1暗号化機能で前記セッシ
    ョン識別子を暗号化して第1暗号識別子を作成し、前記
    第1暗号識別子を前記システム側設備へ送信し、 前記システム側設備は、前記第2暗号化機能で前記セッ
    ション識別子を暗号化して第2暗号識別子を作成し、前
    記第1暗号識別子と前記第2暗号識別子とを比較し、一
    致した場合に通信を許可する、ユーザ認証装置。
  7. 【請求項7】前記第1暗号化機能は、前記利用者が入力
    したパスワードを使用して前記セッション識別子の暗号
    化を行ない、 前記第2暗号化機能は、前記システム側設備が記憶して
    いる前記利用者のパスワードを使用して前記セッション
    識別子の暗号化を行なう、請求項6に記載されたユーザ
    認証装置。
  8. 【請求項8】前記利用者側端末は、前記第1暗号識別子
    を、前記システム側設備へ送信する送信データと合わせ
    て送信する、請求項6と7のいずれかに記載されたユー
    ザ認証装置。
  9. 【請求項9】前記システム側設備は、ユーザIDと前記
    パスワードを関連付る情報を含むユーザ一覧表を記憶
    し、 前記利用者側端末は、前記ユーザIDと前記システム側
    設備へ送信する送信データを、前記暗号識別子とを合わ
    せて送信し、 さらに、前記システム側設備は、前記利用者側端末から
    受信した前記ユーザIDから、前記ユーザ一覧表を参照
    して前記ユーザIDに対応する前記パスワードを検索し
    て、前記パスワードを使用する、請求項7に記載された
    ユーザ認証装置。
  10. 【請求項10】さらに、前記利用者側端末は、2回目以
    降のデータ送信において、前記セッション識別子を既定
    の法則に基づき送信毎に異なるように変形し、変形され
    た前記セッション識別子を暗号化して変形第1暗号識別
    子を作成し さらに、前記利用者側端末は、送信毎に、前記システム
    側設備へ送信する送信データと、前記変形暗号識別子を
    合わせて送信し、 前記システム側設備は、前記セッション識別子を前記既
    定の法則に基づき変形し、変形された前記セッション識
    別子を暗号化して変形第2暗号識別子を作成し、前記変
    形第1暗号識別子と前記変形第2暗号識別子が一致する
    ことでユーザ認証を行なう、請求項6〜9のいずれかに
    記載されたユーザ認証装置。
  11. 【請求項11】以下のステップを含むユーザ認証方法。 A)システム側設備が、ランダムな文字列であるセッシ
    ョン識別子を作成し、利用者側端末に送信するAステッ
    プ。 B)前記利用者側端末が、前記セッション識別子を暗号
    化して、第1暗号識別子を作成し、前記第1暗号識別子
    を前記システム側設備へ送信する送信データと共に送信
    するBステップ。 C)前記システム側設備が、前記セッション識別子を暗
    号化して、第2暗号識別子を作成するCステップ。 D)前記システム側設備が、前記第1暗号識別子と前記
    第2暗号識別子を比較してユーザ認証を行なうDステッ
    プ。
  12. 【請求項12】前記Bステップにおいて、前記利用者側
    端末は、利用者が入力するパスワードを使用して前記セ
    ッション識別子を暗号化し、 前記Cステップにおいて、前記システム側設備は、前記
    システム側設備が記憶している前記利用者のパスワード
    を使用して前記セッション識別子を暗号化する、 請求項11に記載されたユーザ認証方法。
  13. 【請求項13】さらに、前記Bステップにおいて、前記
    利用者側端末は、ユーザIDを前記第1暗号識別子と前
    記システム側設備へ送信する送信データと共に送信し、 さらに、前記Cステップにおいて、前記システム側設備
    は、受信した前記ユーザIDにより、ユーザIDとパス
    ワードを関連付ける情報を含むユーザ一覧表を参照し
    て、前記パスワードを検索し、検索された前記パスワー
    ドを使用する、 請求項12に記載されたユーザ認証方法。
  14. 【請求項14】さらに、前記利用者側端末の2回目以降
    のデータ送信において、以下のステップをさらに含む請
    求項11〜13に記載されたユーザ認証方法。 E)前記利用者側端末が、前記セッション識別子を、既
    定の法則に基づいて変形し、変形された前記セッション
    識別子を暗号化して、変形第1暗号識別子を作成し、シ
    ステム側設備へ送信する情報と共に送信するEステッ
    プ。 F)前記システム側設備が、前記セッション識別子を、
    前記既定の法則に基づいて変形し、変形した前記セッシ
    ョン識別子を暗号化して、変形第2暗号識別子を作成す
    るFステップ。 G)前記システム側設備が、前記変形第1暗号識別子と
    前記変形第2暗号識別子を比較してユーザ認証を行なう
    Gステップ。
  15. 【請求項15】以下のステップをシステム側設備に実行
    させるユーザ認証プログラム。 a)利用者側端末からのアクセス要求を受信した時に、
    ランダムな文字列であるセッション識別子を作成し、前
    記利用者側端末に送信するaステップ。 b)前記利用者側端末が前記セッション識別子を利用者
    のパスワードを使用して暗号化した第1暗号識別子と、
    前記利用者側端末から送信される送信データと、ユーザ
    IDと、を受信するbステップ。 c)前記ユーザIDと前記パスワードを関連付ける情報
    を含むユーザ一覧表を参照し、受信した前記ユーザID
    から前記パスワードを検索するcステップ。 d)前記パスワードを使用し、前記セッション識別子を
    暗号化して第2暗号識別子を作成するdステップ。 e)前記第1暗号識別子と前記第2暗号識別子を比較し
    てユーザ認証を行なうeステップ。
  16. 【請求項16】さらに、2回目以降の前記利用者側端末
    から送信データの受信において、以下のステップを含む
    請求項15に記載されたユーザ認証プログラム。 f)前記利用者側端末が前記セッション識別子を既定の
    法則に基づいて送信毎に変形し、変形された前記セッシ
    ョン識別子を利用者のパスワードを使用して暗号化した
    変形第1暗号識別子と、前記利用者側端末から送信され
    る送信データと、ユーザIDと、を受信するfステッ
    プ。 g)前記セッション識別子を、前記既定の法則に基づい
    て受信毎に変形し、変形した前記セッション識別子を、
    前記パスワードを使用して暗号化した変形第2暗号識別
    子を作成するgステップ。 h)前記変形第1暗号識別子と前記変形第2暗号識別子
    を比較しユーザ認証を行なうhステップ。
  17. 【請求項17】以下のステップを利用者側端末に実行さ
    せるユーザ認証プログラム。 p)システム側設備へアクセス要求を送信するpステッ
    プ。 q)前記システム側設備から受信したセッション識別子
    を利用者のパスワードを使用して暗号化し、第1暗号識
    別子を作成するqステップ。 r)前記第1暗号識別子とユーザIDと前記利用者側端
    末から送信する送信データをシステム側設備へ送信する
    rステップ。
  18. 【請求項18】さらに、2回目以降の前記システム側設
    備への送信データの送信において、以下のステップを含
    む請求項17に記載されたユーザ認証プログラム。 s)前記セッション識別子を既定の法則に基づいて送信
    毎に変形し、変形した前記セッション識別子を利用者の
    パスワードを使用して暗号化した変形第1暗号識別子
    と、前記システム側設備へ送信する送信データと、ユー
    ザIDと、を送信するsステップ。
JP2002140679A 2002-05-15 2002-05-15 ユーザ認証装置 Withdrawn JP2003330893A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002140679A JP2003330893A (ja) 2002-05-15 2002-05-15 ユーザ認証装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002140679A JP2003330893A (ja) 2002-05-15 2002-05-15 ユーザ認証装置

Publications (1)

Publication Number Publication Date
JP2003330893A true JP2003330893A (ja) 2003-11-21

Family

ID=29701499

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002140679A Withdrawn JP2003330893A (ja) 2002-05-15 2002-05-15 ユーザ認証装置

Country Status (1)

Country Link
JP (1) JP2003330893A (ja)

Similar Documents

Publication Publication Date Title
EP2351316B1 (en) Method and system for token-based authentication
CN1714529B (zh) 具有便利和安全设备注册的基于域的数字权利管理系统
KR101315670B1 (ko) 보안인증 디바이스에 접근하는 스마트폰 등록 방법 및 등록된 스마트폰의 접근 권한 인증방법
CN110990827A (zh) 一种身份信息验证方法、服务器及存储介质
WO1998037661A1 (en) Apparatus and method for authentification and encryption of a remote terminal over a wireless link
EP2544117A1 (en) Method and system for sharing or storing personal data without loss of privacy
US7051209B1 (en) System and method for creation and use of strong passwords
KR101706117B1 (ko) 휴대용 단말기에서 다른 휴대용 단말기를 인증하는 장치 및 방법
CN111159684B (zh) 一种基于浏览器的安全防护系统和方法
CN101163013A (zh) 网络中无线终端和设备之间建立安全会话的方法
CN113726734A (zh) 一种量子密钥分配网络、可穿戴设备和目标服务器
KR20210095093A (ko) 탈중앙화 아이디 앱을 이용하여 인증 서비스를 제공하는 방법 및 이를 이용한 탈중앙화 아이디 인증 서버
JPH05333775A (ja) ユーザ認証システム
KR20120072032A (ko) 모바일 단말의 상호인증 시스템 및 상호인증 방법
CN111080856A (zh) 蓝牙门禁开锁方法
CN103152326A (zh) 一种分布式认证方法及认证系统
CN108667800B (zh) 一种访问权限的认证方法及装置
KR100559958B1 (ko) 이동통신 단말기간의 인증도구 중계 서비스 시스템 및 방법
US8161295B2 (en) Storing of data in a device
KR20210095061A (ko) 탈중앙화 아이디 앱을 이용하여 인증 서비스를 제공하는 방법 및 이를 이용한 탈중앙화 아이디 인증 서버
CN114208113A (zh) 用于访问私钥的方法、第一设备、第一服务器、第二服务器和系统
JP2004013560A (ja) 認証システム、通信端末及びサーバ
WO2001011817A2 (en) Network user authentication protocol
KR19990038925A (ko) 분산 환경에서 안전한 양방향 인증 방법
WO2019216847A2 (en) A sim-based data security system

Legal Events

Date Code Title Description
A300 Application deemed to be withdrawn because no request for examination was validly filed

Free format text: JAPANESE INTERMEDIATE CODE: A300

Effective date: 20050802