JP2004013374A - Unidirectional authentication system - Google Patents
Unidirectional authentication system Download PDFInfo
- Publication number
- JP2004013374A JP2004013374A JP2002163787A JP2002163787A JP2004013374A JP 2004013374 A JP2004013374 A JP 2004013374A JP 2002163787 A JP2002163787 A JP 2002163787A JP 2002163787 A JP2002163787 A JP 2002163787A JP 2004013374 A JP2004013374 A JP 2004013374A
- Authority
- JP
- Japan
- Prior art keywords
- time information
- public key
- access
- terminal
- time
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
【0001】
【発明の属する技術分野】
本発明は、一方向認証システムに関し、特に、可変情報を用いてアクセス要求者の認証を行う一方向認証システムに関する。
【0002】
【従来の技術】
従来の一方向認証システムの一例として、IDおよびパスワードによる認証システムがある。この従来のIDおよびパスワードによる認証システムでは、予め、アクセス認証サーバにて利用者データベースを構築しておく必要がある。また、別の従来の一方向認証システムの一例として、ワンタイムパスワードによる認証システムがある。この従来のワンタイムパスワードによる認証システムでは、アクセスの度にパスワードを変更することで不正利用を防ぐシステムである。
【0003】
【発明が解決しようとする課題】
このように、従来のIDおよびパスワードによる認証システムでは、予めアクセス認証サーバにて利用者データベースを構築しておく必要があるため、データベース管理者による不正利用を防ぐことはできなかった。また、この場合、通信網を流れるアクセス情報は一定値であるため、通信網の盗聴によりアクセス情報が横取りされ、これを使用した第三者による不正アクセスを防ぐことは困難であった。
【0004】
また、従来のワンタイムパスワードによる認証システムでは、アクセスの度にパスワードを変更することで不正利用を防ぐシステムであるため、利用者データベースの構築が必要であり、また、アクセス要求者側にパスワード生成機を用意することが必要であった。また、この場合、パスワードはランダムに生成されるが、パスワード生成アルゴリズムの暴露に対する不正利用の可能性が存在している。
【0005】
本発明はこのような状況に鑑みてなされたものであり、時間情報を用いてアクセス要求者を認証し、第三者による不正アクセスを抑制することができるようにするものである。
【0006】
【課題を解決するための手段】
請求項1に記載の一方向認証システムは、端末から送信されてきた、秘密鍵を用いてデジタル署名が行われた時間情報と、秘密鍵に対応する公開鍵とを用いて、認証サーバがアクセス要求者の認証を行う一方向認証システムであって、端末は、時間情報を取得する第1の時間情報取得手段と、第1の時間情報取得手段によって取得された時間情報に対して、アクセス要求者の秘密鍵を用いてデジタル署名を行う署名手段と、署名手段によってデジタル署名された時間情報と、秘密鍵に対応する公開鍵を認証サーバに送信する送信手段とを備え、認証サーバは、端末から送信されてきたデジタル署名された時間情報と、公開鍵を受信する受信手段と、公開鍵を用いて端末から送信されてきたデジタル署名された時間情報を復号する復号手段と、時間情報を取得する第2の時間情報取得手段と、復号手段によって復号された時間情報と、第2の時間情報取得手段によって取得された時間情報とを比較する比較手段と、比較手段による比較結果に応じて、アクセス要求者によるアクセスの可否を判定する判定手段とを備えることを特徴とする。
また、時間情報を提供する時間情報提供サーバをさらに備え、第1の時間情報取得手段と、第2の時間情報取得手段は、時間情報提供サーバから時間情報を取得するようにすることができる。
また、比較手段は、復号手段によって復号された時間情報と、第2の時間情報取得手段によって取得された時間情報とを比較し、その時間差を求め、判定手段は、時間差が所定の基準時間の範囲内であれば、アクセス要求者によるアクセスを許可するようにすることができる。
また、公開鍵は公開鍵の正当性を証明する公開鍵証明書とともに、アクセス要求者に配布され、公開鍵証明書の妥当性を検証する検証手段をさらに備えるようにすることができる。
また、公開鍵証明書は、アクセス要求者を審査した上で発行されるようにすることができる。
請求項6に記載の一方向認証方法は、端末から送信されてきた、秘密鍵を用いてデジタル署名が行われた時間情報と、秘密鍵に対応する公開鍵とを用いて、認証サーバがアクセス要求者の認証を行う一方向認証方法であって、端末は、時間情報を取得する第1の時間情報取得ステップと、第1の時間情報取得ステップにおいて取得された時間情報に対して、アクセス要求者の秘密鍵を用いてデジタル署名を行う署名ステップと、署名ステップにおいてデジタル署名された時間情報と、秘密鍵に対応する公開鍵を認証サーバに送信する送信ステップとを備え、認証サーバは、端末から送信されてきたデジタル署名された時間情報と、公開鍵を受信する受信ステップと、公開鍵を用いて端末から送信されてきたデジタル署名された時間情報を復号する復号ステップと、時間情報を取得する第2の時間情報取得ステップと、復号ステップにおいて復号された時間情報と、第2の時間情報取得ステップにおいて取得された時間情報とを比較する比較ステップと、比較ステップにおける比較結果に応じて、アクセス要求者によるアクセスの可否を判定する判定ステップとを備えることを特徴とする。
また、第1の時間情報取得ステップと、第2の時間情報取得ステップにおいては、時間情報を提供する所定の時間情報提供サーバから時間情報を取得するようにすることができる。
また、比較ステップにおいては、復号ステップにおいて復号された時間情報と、第2の時間情報取得ステップにおいて取得された時間情報とを比較し、その時間差を求め、判定ステップにおいては、時間差が所定の基準時間の範囲内であれば、アクセス要求者によるアクセスを許可するようにすることができる。
また、公開鍵は公開鍵の正当性を証明する公開鍵証明書とともに、アクセス要求者に配布され、認証サーバは、公開鍵証明書の妥当性を検証する検証ステップをさらに備えるようにすることができる。
また、公開鍵証明書は、アクセス要求者を審査した上で発行されるようにすることができる。
請求項11に記載の一方向認証プログラムは、端末から送信されてきた、秘密鍵を用いてデジタル署名が行われた時間情報と、秘密鍵に対応する公開鍵とを用いて、認証サーバがアクセス要求者の認証を行う一方向認証システムを制御する一方向認証プログラムであって、端末に、時間情報を取得する第1の時間情報取得ステップと、第1の時間情報取得ステップにおいて取得された時間情報に対して、アクセス要求者の秘密鍵を用いてデジタル署名を行う署名ステップと、署名ステップにおいてデジタル署名された時間情報と、秘密鍵に対応する公開鍵を認証サーバに送信する送信ステップとを実行させ、認証サーバに、端末から送信されてきたデジタル署名された時間情報と、公開鍵を受信する受信ステップと、公開鍵を用いて端末から送信されてきたデジタル署名された時間情報を復号する復号ステップと、時間情報を取得する第2の時間情報取得ステップと、復号ステップにおいて復号された時間情報と、第2の時間情報取得ステップにおいて取得された時間情報とを比較する比較ステップと、比較ステップにおける比較結果に応じて、アクセス要求者によるアクセスの可否を判定する判定ステップとを実行させることを特徴とする。
また、第1の時間情報取得ステップと、第2の時間情報取得ステップにおいては、時間情報を提供する所定の時間情報提供サーバから時間情報を取得するようにすることができる。
また、比較ステップにおいては、復号ステップにおいて復号された時間情報と、第2の時間情報取得ステップにおいて取得された時間情報とを比較し、その時間差を求め、判定ステップにおいては、時間差が所定の基準時間の範囲内であれば、アクセス要求者によるアクセスを許可するようにすることができる。
また、公開鍵は公開鍵の正当性を証明する公開鍵証明書とともに、アクセス要求者に配布され、認証サーバは、公開鍵証明書の妥当性を検証する検証ステップをさらに備えるようにすることができる。
また、公開鍵証明書は、アクセス要求者を審査した上で発行されるようにすることができる。
【0007】
【発明の実施の形態】
本発明は、サーバがクライアントからのアクセスを認証するプロセスにおいて、アクセス要求者が時間情報に対してデジタル署名を行うことにより、アクセス認証者とアクセス要求者の間の通信を、アクセス要求者からアクセス認証者への一方向へ簡便化できるようにするものである。
【0008】
図1は、本発明の一方向認証システムの一実施の形態の構成例を示すブロック図である。図1を参照すると、本実施の形態は、アクセス要求端末1と、NTP(Network Time Protocol)サーバ2と、アクセス認証サーバ3と、これらを相互に接続するインターネット等の通信ネットワーク4と、認証局システム5から構成されている。
【0009】
アクセス要求端末1は、時間情報取得部11と署名部12を備えている。時間情報取得部11は、通信網4を介してNTPサーバ2から時間情報の取得を行う。署名部12は、時間情報取得部11が取得した時間情報に対してデジタル署名を施し、通信網4を介してアクセス情報としてアクセス認証サーバ3に送信する。
【0010】
NTPサーバ2は、送受信部21と、時間情報取得部22と、時間をはかり、現在の時刻を時間情報として出力するクロックソース23を備えている。時間情報取得部22は、クロックソース23から信頼できる時間情報を取得し、取得した時間情報をアクセス要求端末1およびアクセス認証サーバ3に送信する。
【0011】
送受信部21は、アクセス要求サーバ1の時間情報取得部11からの要求を受け、時間情報取得部22を介してクロックソース23から取得した時間情報を時間情報取得部11に送信する。同様に、アクセス認証サーバ3の時間情報取得部32からの要求を受け、時間情報取得部22を介してクロックソース23から取得した時間情報を時間情報取得部32に送信する。
【0012】
アクセス認証サーバ3は、時間情報読取部31と、時間情報取得部32と、相手認証部33を備えている。時間情報読取部31は、アクセス要求端末1から受け取ったデジタル署名が施された時間情報を解読する。相手認証部33は、時間情報読取部31が解読した時間情報と、時間情報取得部32がNTPサーバ2から取得した時間情報を比較し、アクセス要求者の認証を行う。
【0013】
認証局システム5は、登録部51と、発行部52を備えている。登録部51は、一方向認証システムの利用者の登録情報に基づいて、証明書発行要求を発行部52に通知する。発行部52は登録部51からの証明書発行要求に対して、公開鍵証明書を発行する。
【0014】
次に、図2、図3、および図4のフローチャートを参照して、本実施の形態の全体の動作について説明する。
【0015】
まず、図2のフローチャートを参照して、一方向認証システムを利用するにあたっての利用者登録の動作について説明する。認証局システム5の登録部51は、利用者データを含む公開鍵証明書の発行を発行部52に申請する(ステップA1)。認証局システム5の発行部52は、公開鍵証明書を発行し(ステップA2)、アクセス要求者に配布する(ステップA3)。このとき、認証局システム5の登録局の担当者は、アクセス要求者を審査し、正当な利用者であることが判明した場合に、公開鍵証明書を発行する。また、アクセス要求者に固有の秘密鍵がアクセス要求者に配布される。
【0016】
公開鍵証明書の発行の発行部52への申請方法、公開鍵証明書のアクセス要求者への配布方法、および秘密鍵のアクセス要求者への配布方法は、認証局システム5に依存する部分であり、それらの方法については問わない。
【0017】
次に、図3のフローチャートを参照して、アクセス要求端末1がアクセス情報をアクセス認証サーバ3に送付する動作について説明する。アクセス要求端末1の時間情報取得部11は、NTPサーバ2の送受信部21に対して時間情報を要求する(ステップB1)。送受信部21は、NTPサーバ2の時間情報取得部22に対して時間情報の要求を行う(ステップB2)。時間情報取得部22は、クロックソース23から信頼できる時間情報を取得して送受信部21に送付し(ステップB3)、送受信部21はアクセス要求端末1の時間情報取得部11に時間情報を送信する(ステップB4)。
【0018】
アクセス要求端末1の時間情報取得部11は、署名部12に対して、取得した時間情報に対するデジタル署名を依頼する(ステップB5)。署名部12は、アクセス要求者の秘密鍵を用いて時間情報に対してデジタル署名を施す(ステップB6)。時間情報取得部11は、アクセス情報として署名値(アクセス要求者の秘密鍵を用いてデジタル署名が施された時間情報)と、アクセス要求者の公開鍵証明書をアクセス認証サーバ3の時間情報読取部31に送付する(ステップB7)。
【0019】
次に、図4のフローチャートを参照して、アクセス認証サーバ3が、アクセス要求端末1からのアクセス要求の可否を判断する動作について説明する。まず最初に、アクセス認証サーバ3の時間情報読取部31は、アクセス要求端末1から送信されてきた署名値とアクセス要求者の公開鍵証明書とを受信すると、受信したアクセス要求者の公開鍵証明書の妥当性を検証する(ステップC1)。
【0020】
アクセス要求者の公開鍵証明書の妥当性の検証は、rfc2459として公開されているアルゴリズムを使用して行う。基本的な検証項目は、例えば以下の通りである。
(1)公開鍵証明書として、正しいフォーマットの証明書であるか。
(2)公開鍵証明書に記載されている有効期限の範囲内であるか(検証時に有効であるか)。
(3)公開鍵証明書のシリアルナンバーが、認証局システム5が発行する公開鍵証明書失効リストに記載されていないか。
【0021】
次に、公開鍵証明書から公開鍵を取り出し、署名値を公開鍵で復号してアクセス要求者が送信した時間情報を得て(ステップC2)、時間情報を相手認証部33に渡す(ステップC3)。
【0022】
アクセス認証サーバ3の時間情報取得部32は、NTPサーバ2の送受信部21に対して時間情報を要求する(ステップC4)。送受信部21は、NTPサーバ2の時間情報取得部22に対して時間情報の要求を行う(ステップC5)。NTPサーバ2の時間情報取得部22は、クロックソース23から信頼できる時間情報を取得して送受信部21に送付し(ステップC6)、送受信部21は、アクセス認証サーバ3の時間情報取得部32に時間情報を送信する(ステップC7)。
【0023】
アクセス認証サーバ3の時間情報取得部32は、受信した時間情報をアクセス認証サーバ3の相手認証部33に渡す(ステップC8)。相手認証部33は、アクセス要求端末1の時間情報取得部11から送信された時間情報と、アクセス認証サーバ3の時間情報取得部32が受信した時間情報との間で発生する時間差に対してアクセスを許可する時間差の範囲を、認証パラメータとして設定する(ステップC9)。
【0024】
相手認証部33は、アクセス要求端末1から送信された時間情報と、アクセス認証サーバ3が取得した時間情報を比較し、アクセス要求端末1から送信された時間情報と、アクセス認証サーバ3が取得した時間情報との間で発生した時間差が、認証パラメータとして設定された時間差の範囲内の値であれば、アクセスを許可する(ステップC10)。
【0025】
以上説明したように、本実施の形態により、次のような効果が得られる。第一に、信頼できる認証局システム5を設置し、予め利用者データを含む公開鍵証明書を配布することによって、アクセス認証サーバ3は、利用者データベースを保持せずとも、アクセス要求者本人を認証することが可能となることである。その理由は、信頼できる認証局システム5の登録局の担当者が、アクセス要求者を審査した上で公開鍵証明書を発行しているために、公開鍵証明書の検証によって正当な利用者であるか否かが判断できるからである。
【0026】
第二に、信頼できるNTPサーバ2を設置し、アクセス要求端末1が取得した時間情報に対してデジタル署名を施すことによって、署名値と公開鍵証明書を、改竄検出可能なアクセス情報とすることが可能となることである。その理由は、アクセス要求端末1を使用するアクセス要求者のみが保持する秘密鍵で暗号化(デジタル署名)を行うために、時間情報の署名値はアクセス要求者に固有かつアクセス要求の度に異なる値であり、また、アクセス要求者の秘密鍵に対応する公開鍵証明書から取り出した公開鍵のみが、署名値の復号を行えるからである。また、秘密鍵が通信網4を流れることは無いため、漏洩や複製される可能性が非常に低く、また、送信中のアクセス情報が改竄された場合には、復号が行えないために改竄が検出できるからである。
【0027】
第三に、アクセス認証サーバ3が、通信網4の回線速度や品質を考慮した認証パラメータを設定することが可能となることである。その理由は、アクセス認証サーバ3が時間情報を取得するNTPサーバ2と、アクセス要求端末1が時間情報を取得するNTPサーバ2を同一とすることにより、本システムで取り扱う時間情報は厳密に正確な値として識別できるからである。
【0028】
なお、上記実施の形態の構成および動作は例であって、本発明の趣旨を逸脱しない範囲で適宜変更することができることは言うまでもない。
【0029】
【発明の効果】
以上の如く、本発明に係る一方向認証システムによれば、端末は、第1の時間情報取得手段が、時間情報を取得し、署名手段が、第1の時間情報取得手段によって取得された時間情報に対して、アクセス要求者の秘密鍵を用いてデジタル署名を行い、送信手段が、署名手段によってデジタル署名された時間情報と、秘密鍵に対応する公開鍵を認証サーバに送信する。認証サーバは、受信手段が、端末から送信されてきたデジタル署名された時間情報と、公開鍵を受信し、復号手段が、公開鍵を用いて端末から送信されてきたデジタル署名された時間情報を復号し、第2の時間情報取得手段が、時間情報を取得し、比較手段が、復号手段によって復号された時間情報と、第2の時間情報取得手段によって取得された時間情報とを比較し、判定手段が、比較手段による比較結果に応じて、アクセス要求者によるアクセスの可否を判定するようにしたので、時間情報と公開鍵の改竄を抑制し、第三者による不正なアクセスを抑制することができる。
また、時間情報を提供する時間情報提供サーバをさらに備え、第1の時間情報取得手段と、第2の時間情報取得手段は、時間情報提供サーバから時間情報を取得するようにすれば、正確な時間情報に基づいてアクセス要求者のアクセスの可否を判定することができる。
また、比較手段は、復号手段によって復号された時間情報と、第2の時間情報取得手段によって取得された時間情報とを比較し、その時間差を求め、判定手段は、時間差が所定の基準時間の範囲内であれば、アクセス要求者によるアクセスを許可するようにすれば、アクセス要求者に固有かつアクセスの度に異なる時間情報に基づいてアクセス要求者によるアクセスの可否を判定することができるので、第三者による不正アクセスを抑制することができる。
また、公開鍵は公開鍵の正当性を証明する公開鍵証明書とともに、アクセス要求者に配布され、認証サーバは公開鍵証明書の妥当性を検証する検証手段をさらに備えるようにすれば、認証サーバは、アクセス要求者のデータベースを保持せずとも、アクセス要求者本人を認証することができる。
また、公開鍵証明書は、アクセス要求者を審査した上で発行されるようにすれば、公開鍵証明書の検証によってアクセス要求者が正当な利用者であるか否かを判断することができる。
【図面の簡単な説明】
【図1】本発明の一方向認証システムの一実施の形態の構成例を示すブロック図である。
【図2】利用者を登録する手順を説明するためのフローチャートである。
【図3】アクセス要求端末がアクセス情報をアクセス認証サーバに送付する手順を説明するためのフローチャートである。
【図4】アクセス認証サーバがアクセス要求端末からのアクセス要求の可否を判断する手順を説明するためのフローチャートである。
【符号の説明】
1 アクセス要求端末
2 NTPサーバ
3 アクセス認証サーバ
4 通信網
5 認証局システム
11,22,32 時間情報取得部
12 署名部
21 送受信部
23 クロックソース
31 時間情報読取部
33 相手認証部
51 登録部
52 発行部[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a one-way authentication system, and more particularly to a one-way authentication system that authenticates an access requester using variable information.
[0002]
[Prior art]
An example of a conventional one-way authentication system is an authentication system using an ID and a password. In this conventional authentication system using an ID and a password, it is necessary to construct a user database in an access authentication server in advance. An example of another conventional one-way authentication system is an authentication system using a one-time password. This conventional one-time password authentication system prevents unauthorized use by changing the password each time it is accessed.
[0003]
[Problems to be solved by the invention]
As described above, in the conventional authentication system using an ID and a password, it is necessary to construct a user database in the access authentication server in advance, and thus it was not possible to prevent unauthorized use by a database administrator. Also, in this case, since the access information flowing through the communication network is a constant value, the access information is intercepted by wiretapping of the communication network, and it has been difficult to prevent unauthorized access by a third party using the access information.
[0004]
In addition, since the conventional one-time password authentication system prevents unauthorized use by changing the password each time it is accessed, it is necessary to build a user database, and a password is generated on the access requester side. It was necessary to prepare a machine. In this case, the password is randomly generated, but there is a possibility that the password generation algorithm is illegally used for disclosure.
[0005]
The present invention has been made in view of such a situation, and it is an object of the present invention to authenticate an access requester using time information and to suppress unauthorized access by a third party.
[0006]
[Means for Solving the Problems]
The one-way authentication system according to
The information processing apparatus may further include a time information providing server that provides time information, and the first time information obtaining means and the second time information obtaining means may obtain the time information from the time information providing server.
The comparing means compares the time information decoded by the decoding means with the time information obtained by the second time information obtaining means to obtain a time difference, and the determining means determines that the time difference is equal to a predetermined reference time. Within the range, access by the access requester can be permitted.
In addition, the public key is distributed to the access requestor together with the public key certificate for certifying the validity of the public key, and the public key certificate may further include verification means for verifying the validity of the public key certificate.
The public key certificate can be issued after examining the access requester.
The one-way authentication method according to claim 6, wherein the authentication server accesses the time information transmitted from the terminal, the time being digitally signed using the secret key, and the public key corresponding to the secret key. A one-way authentication method for authenticating a requester, wherein a terminal obtains time information by a first time information obtaining step, and performs an access request to the time information obtained in the first time information obtaining step. A digital signature using a private key of the user, a time step of digitally signing in the signature step, and a transmitting step of transmitting a public key corresponding to the private key to an authentication server, wherein the authentication server comprises a terminal Receiving the digitally signed time information transmitted from the terminal, a receiving step of receiving the public key, and decrypting the digitally signed time information transmitted from the terminal using the public key A decoding step, a second time information obtaining step of obtaining time information, a comparing step of comparing the time information decoded in the decoding step with the time information obtained in the second time information obtaining step, And a judging step of judging whether or not the access by the access requestor is permitted according to the comparison result in the comparing step.
Further, in the first time information obtaining step and the second time information obtaining step, time information can be obtained from a predetermined time information providing server that provides time information.
In the comparing step, the time information decoded in the decoding step is compared with the time information obtained in the second time information obtaining step, and the time difference is obtained. The access by the access requester can be permitted within the time range.
The public key may be distributed to the access requestor together with the public key certificate proving the validity of the public key, and the authentication server may further include a verification step for verifying the validity of the public key certificate. it can.
The public key certificate can be issued after examining the access requester.
The one-way authentication program according to
Further, in the first time information obtaining step and the second time information obtaining step, time information can be obtained from a predetermined time information providing server that provides time information.
In the comparing step, the time information decoded in the decoding step is compared with the time information obtained in the second time information obtaining step, and the time difference is obtained. The access by the access requester can be permitted within the time range.
The public key may be distributed to the access requestor together with the public key certificate proving the validity of the public key, and the authentication server may further include a verification step for verifying the validity of the public key certificate. it can.
The public key certificate can be issued after examining the access requester.
[0007]
BEST MODE FOR CARRYING OUT THE INVENTION
According to the present invention, in a process in which a server authenticates an access from a client, a communication between the access authenticator and the access requester is performed by the access requester by digitally signing the time information by the access requester. It is intended to simplify the one-way operation for the authenticator.
[0008]
FIG. 1 is a block diagram showing a configuration example of an embodiment of the one-way authentication system of the present invention. Referring to FIG. 1, the present embodiment includes an
[0009]
The
[0010]
The
[0011]
The transmission /
[0012]
The
[0013]
The
[0014]
Next, the overall operation of the present embodiment will be described with reference to the flowcharts of FIGS. 2, 3, and 4.
[0015]
First, the operation of user registration when using the one-way authentication system will be described with reference to the flowchart of FIG. The
[0016]
The method of applying the issuance of the public key certificate to the
[0017]
Next, an operation in which the
[0018]
The time
[0019]
Next, an operation of the
[0020]
Verification of the validity of the public key certificate of the access requester is performed using an algorithm published as rfc2459. The basic verification items are, for example, as follows.
(1) Is the certificate in the correct format as the public key certificate?
(2) Whether it is within the validity period described in the public key certificate (whether it is valid at the time of verification).
(3) Is the serial number of the public key certificate listed in the public key certificate revocation list issued by the
[0021]
Next, the public key is extracted from the public key certificate, the signature value is decrypted with the public key, the time information transmitted by the access requestor is obtained (step C2), and the time information is passed to the partner authentication unit 33 (step C3). ).
[0022]
The time
[0023]
The time
[0024]
The
[0025]
As described above, according to the present embodiment, the following effects can be obtained. First, by installing a reliable
[0026]
Second, by installing a
[0027]
Third, the
[0028]
It should be noted that the configuration and operation of the above embodiment are examples, and it is needless to say that the configuration and operation can be appropriately changed without departing from the spirit of the present invention.
[0029]
【The invention's effect】
As described above, according to the one-way authentication system of the present invention, the terminal is configured such that the first time information obtaining means obtains the time information, and the signature means obtains the time obtained by the first time information obtaining means. The information is digitally signed using the private key of the access requestor, and the transmitting means transmits to the authentication server time information digitally signed by the signature means and a public key corresponding to the private key. In the authentication server, the receiving unit receives the digitally signed time information transmitted from the terminal and the public key, and the decryption unit transmits the digitally signed time information transmitted from the terminal using the public key. Decoding, the second time information obtaining means obtains time information, and the comparing means compares the time information decoded by the decoding means with the time information obtained by the second time information obtaining means, The determining means determines whether or not access by the access requestor is permitted in accordance with the comparison result by the comparing means, so that tampering of the time information and the public key is suppressed, and unauthorized access by a third party is suppressed. Can be.
In addition, a time information providing server for providing time information is further provided, and the first time information obtaining means and the second time information obtaining means obtain accurate time information from the time information providing server. It is possible to determine whether or not the access requester can access based on the time information.
The comparing means compares the time information decoded by the decoding means with the time information obtained by the second time information obtaining means to obtain a time difference, and the determining means determines that the time difference is equal to a predetermined reference time. If it is within the range, if the access by the access requestor is permitted, it is possible to determine whether or not the access by the access requestor is possible based on time information unique to the access requester and different at each access, Unauthorized access by a third party can be suppressed.
In addition, the public key is distributed to the access requestor together with the public key certificate proving the validity of the public key, and if the authentication server is further provided with a verification means for verifying the validity of the public key certificate, the authentication can be performed. The server can authenticate the access requester without maintaining a database of the access requester.
Further, if the public key certificate is issued after examining the access requester, it is possible to determine whether the access requester is a valid user by verifying the public key certificate. .
[Brief description of the drawings]
FIG. 1 is a block diagram showing a configuration example of an embodiment of a one-way authentication system of the present invention.
FIG. 2 is a flowchart illustrating a procedure for registering a user.
FIG. 3 is a flowchart illustrating a procedure in which an access request terminal sends access information to an access authentication server.
FIG. 4 is a flowchart illustrating a procedure in which an access authentication server determines whether or not an access request from an access request terminal is permitted;
[Explanation of symbols]
1
Claims (15)
前記端末は、
前記時間情報を取得する第1の時間情報取得手段と、
前記第1の時間情報取得手段によって取得された前記時間情報に対して、前記アクセス要求者の秘密鍵を用いてデジタル署名を行う署名手段と、
前記署名手段によってデジタル署名された前記時間情報と、前記秘密鍵に対応する公開鍵を前記認証サーバに送信する送信手段と
を備え、
前記認証サーバは、
前記端末から送信されてきたデジタル署名された前記時間情報と、前記公開鍵を受信する受信手段と、
前記公開鍵を用いて前記端末から送信されてきたデジタル署名された前記時間情報を復号する復号手段と、
時間情報を取得する第2の時間情報取得手段と、
前記復号手段によって復号された前記時間情報と、前記第2の時間情報取得手段によって取得された前記時間情報とを比較する比較手段と、
前記比較手段による比較結果に応じて、前記アクセス要求者によるアクセスの可否を判定する判定手段と
を備えることを特徴とする一方向認証システム。A one-way authentication system in which an authentication server authenticates an access requester using time information transmitted from a terminal and digitally signed using a secret key and a public key corresponding to the secret key. So,
The terminal is
First time information acquisition means for acquiring the time information;
Signature means for digitally signing the time information acquired by the first time information acquisition means using a secret key of the access requestor;
The time information digitally signed by the signature unit, and a transmission unit that transmits a public key corresponding to the secret key to the authentication server,
The authentication server,
The time information digitally signed transmitted from the terminal, receiving means for receiving the public key,
Decryption means for decrypting the digitally signed time information transmitted from the terminal using the public key,
Second time information acquisition means for acquiring time information;
Comparing means for comparing the time information decoded by the decoding means with the time information obtained by the second time information obtaining means;
A one-way authentication system comprising: a determination unit configured to determine whether or not the access requestor can perform an access according to a comparison result by the comparison unit.
前記第1の時間情報取得手段と、前記第2の時間情報取得手段は、前記時間情報提供サーバから前記時間情報を取得する
ことを特徴とする請求項1に記載の一方向認証システム。Further comprising a time information providing server for providing the time information,
The one-way authentication system according to claim 1, wherein the first time information obtaining unit and the second time information obtaining unit obtain the time information from the time information providing server.
ことを特徴とする請求項1または2に記載の一方向認証システム。The comparing means compares the time information decoded by the decoding means with the time information obtained by the second time information obtaining means to obtain a time difference, and the determination means determines that the time difference is The one-way authentication system according to claim 1 or 2, wherein the access by the access requester is permitted within a predetermined reference time range.
ことを特徴とする請求項1,2、または3に記載の一方向認証システム。The public key is distributed to the access requestor together with a public key certificate that certifies the validity of the public key, and the authentication server further includes a verification unit that verifies the validity of the public key certificate. The one-way authentication system according to claim 1, 2, or 3, wherein:
ことを特徴とする請求項1乃至4のいずれかに記載の一方向認証システム。The one-way authentication system according to claim 1, wherein the public key certificate is issued after examining the access requester.
前記端末は、
前記時間情報を取得する第1の時間情報取得ステップと、
前記第1の時間情報取得ステップにおいて取得された前記時間情報に対して、前記アクセス要求者の秘密鍵を用いてデジタル署名を行う署名ステップと、
前記署名ステップにおいてデジタル署名された前記時間情報と、前記秘密鍵に対応する公開鍵を前記認証サーバに送信する送信ステップと
を備え、
前記認証サーバは、
前記端末から送信されてきたデジタル署名された前記時間情報と、前記公開鍵を受信する受信ステップと、
前記公開鍵を用いて前記端末から送信されてきたデジタル署名された前記時間情報を復号する復号ステップと、
時間情報を取得する第2の時間情報取得ステップと、
前記復号ステップにおいて復号された前記時間情報と、前記第2の時間情報取得ステップにおいて取得された前記時間情報とを比較する比較ステップと、
前記比較ステップにおける比較結果に応じて、前記アクセス要求者によるアクセスの可否を判定する判定ステップと
を備えることを特徴とする一方向認証方法。A one-way authentication method in which an authentication server authenticates an access requester using time information transmitted from a terminal and digitally signed using a secret key and a public key corresponding to the secret key. So,
The terminal is
A first time information acquisition step of acquiring the time information;
A signature step of digitally signing the time information acquired in the first time information acquisition step using a secret key of the access requester;
The time information digitally signed in the signature step, and a transmission step of transmitting a public key corresponding to the secret key to the authentication server,
The authentication server,
The digitally signed time information transmitted from the terminal, and a receiving step of receiving the public key;
A decryption step of decrypting the digitally signed time information transmitted from the terminal using the public key,
A second time information obtaining step of obtaining time information;
A comparing step of comparing the time information decoded in the decoding step with the time information obtained in the second time information obtaining step;
A determining step of determining whether or not the access requestor can access according to a result of the comparison in the comparing step.
ことを特徴とする請求項6に記載の一方向認証方法。7. The method according to claim 6, wherein in the first time information obtaining step and the second time information obtaining step, the time information is obtained from a predetermined time information providing server that provides the time information. One-way authentication method.
ことを特徴とする請求項6または7に記載の一方向認証方法。In the comparing step, the time information decoded in the decoding step is compared with the time information obtained in the second time information obtaining step, a time difference is obtained, and in the determining step, 8. The one-way authentication method according to claim 6, wherein if the time difference is within a range of a predetermined reference time, the access by the access requester is permitted.
ことを特徴とする請求項6,7、または8に記載の一方向認証方法。The public key is distributed to the access requestor together with a public key certificate proving the validity of the public key, and the authentication server further includes a verification step of verifying the validity of the public key certificate. The one-way authentication method according to claim 6, 7, or 8, wherein:
ことを特徴とする請求項6乃至9のいずれかに記載の一方向認証方法。10. The one-way authentication method according to claim 6, wherein the public key certificate is issued after examining the access requestor.
前記端末に、
前記時間情報を取得する第1の時間情報取得ステップと、
前記第1の時間情報取得ステップにおいて取得された前記時間情報に対して、前記アクセス要求者の秘密鍵を用いてデジタル署名を行う署名ステップと、
前記署名ステップにおいてデジタル署名された前記時間情報と、前記秘密鍵に対応する公開鍵を前記認証サーバに送信する送信ステップと
を実行させ、
前記認証サーバに、
前記端末から送信されてきたデジタル署名された前記時間情報と、前記公開鍵を受信する受信ステップと、
前記公開鍵を用いて前記端末から送信されてきたデジタル署名された前記時間情報を復号する復号ステップと、
時間情報を取得する第2の時間情報取得ステップと、
前記復号ステップにおいて復号された前記時間情報と、前記第2の時間情報取得ステップにおいて取得された前記時間情報とを比較する比較ステップと、
前記比較ステップにおける比較結果に応じて、前記アクセス要求者によるアクセスの可否を判定する判定ステップと
を実行させる
ことを特徴とする一方向認証プログラム。A one-way authentication system in which an authentication server authenticates an access requester using time information transmitted from a terminal and digitally signed using a secret key and a public key corresponding to the secret key is used. A one-way authentication program to control,
In the terminal,
A first time information acquisition step of acquiring the time information;
A signature step of digitally signing the time information acquired in the first time information acquisition step using a secret key of the access requester;
Transmitting the time information digitally signed in the signing step and transmitting a public key corresponding to the secret key to the authentication server,
In the authentication server,
The digitally signed time information transmitted from the terminal, and a receiving step of receiving the public key;
A decryption step of decrypting the digitally signed time information transmitted from the terminal using the public key,
A second time information obtaining step of obtaining time information;
A comparing step of comparing the time information decoded in the decoding step with the time information obtained in the second time information obtaining step;
A determination step of determining whether or not the access requestor can access the document according to the comparison result in the comparison step.
ことを特徴とする請求項11に記載の一方向認証プログラム。The method according to claim 11, wherein in the first time information obtaining step and the second time information obtaining step, the time information is obtained from a predetermined time information providing server that provides the time information. One-way authentication program.
ことを特徴とする請求項11または12に記載の一方向認証プログラム。In the comparing step, the time information decoded in the decoding step is compared with the time information obtained in the second time information obtaining step, a time difference is obtained, and in the determining step, 13. The one-way authentication program according to claim 11, wherein the access by the access requester is permitted if the time difference is within a predetermined reference time range.
ことを特徴とする請求項11,12、または13に記載の一方向認証プログラム。The public key is distributed to the access requestor together with a public key certificate proving the validity of the public key, and the authentication server further includes a verification step of verifying the validity of the public key certificate. The one-way authentication program according to claim 11, 12, or 13, wherein
ことを特徴とする請求項11乃至14のいずれかに記載の一方向認証プログラム。15. The one-way authentication program according to claim 11, wherein the public key certificate is issued after examining the access requester.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002163787A JP2004013374A (en) | 2002-06-05 | 2002-06-05 | Unidirectional authentication system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002163787A JP2004013374A (en) | 2002-06-05 | 2002-06-05 | Unidirectional authentication system |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2004013374A true JP2004013374A (en) | 2004-01-15 |
Family
ID=30432113
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2002163787A Pending JP2004013374A (en) | 2002-06-05 | 2002-06-05 | Unidirectional authentication system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2004013374A (en) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006094141A (en) * | 2004-09-24 | 2006-04-06 | Fuji Xerox Co Ltd | Image forming apparatus, terminal device and access control method |
JP2013042331A (en) * | 2011-08-15 | 2013-02-28 | Kddi Corp | Unidirectional communication system, method, and program |
JP2015230520A (en) * | 2014-06-03 | 2015-12-21 | ヤフー株式会社 | Authentication device, authentication method, authentication program and authentication system |
US9467323B2 (en) * | 2014-05-19 | 2016-10-11 | Seiko Epson Corporation | Communication device and a control method therefor that perform authentication using digital certificates |
JP2019134333A (en) * | 2018-01-31 | 2019-08-08 | キヤノン株式会社 | Information processing system, client device, authentication and authorization server, control method, and program thereof |
CN111464837A (en) * | 2020-04-10 | 2020-07-28 | 洪镒 | Video terminal access verification method and server of online live broadcast system |
-
2002
- 2002-06-05 JP JP2002163787A patent/JP2004013374A/en active Pending
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006094141A (en) * | 2004-09-24 | 2006-04-06 | Fuji Xerox Co Ltd | Image forming apparatus, terminal device and access control method |
JP4506378B2 (en) * | 2004-09-24 | 2010-07-21 | 富士ゼロックス株式会社 | Computer system and terminal device |
JP2013042331A (en) * | 2011-08-15 | 2013-02-28 | Kddi Corp | Unidirectional communication system, method, and program |
US9467323B2 (en) * | 2014-05-19 | 2016-10-11 | Seiko Epson Corporation | Communication device and a control method therefor that perform authentication using digital certificates |
JP2015230520A (en) * | 2014-06-03 | 2015-12-21 | ヤフー株式会社 | Authentication device, authentication method, authentication program and authentication system |
JP2019134333A (en) * | 2018-01-31 | 2019-08-08 | キヤノン株式会社 | Information processing system, client device, authentication and authorization server, control method, and program thereof |
CN111464837A (en) * | 2020-04-10 | 2020-07-28 | 洪镒 | Video terminal access verification method and server of online live broadcast system |
CN111464837B (en) * | 2020-04-10 | 2021-04-02 | 杭州秋茶网络科技有限公司 | Video terminal access verification method and server of online live broadcast system |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4617763B2 (en) | Device authentication system, device authentication server, terminal device, device authentication method, and device authentication program | |
US6993652B2 (en) | Method and system for providing client privacy when requesting content from a public server | |
US7461250B1 (en) | System and method for certificate exchange | |
US8024488B2 (en) | Methods and apparatus to validate configuration of computerized devices | |
WO2010067812A1 (en) | Self-authentication communication equipment and equipment authentication system | |
AU2010327295B2 (en) | System and methods for identity attribute validation | |
WO2020062668A1 (en) | Identity authentication method, identity authentication device, and computer readable medium | |
CN104753881B (en) | A kind of WebService safety certification access control method based on software digital certificate and timestamp | |
US20090144541A1 (en) | Method and apparatus of mutual authentication and key distribution for downloadable conditional access system in digital cable broadcasting network | |
US20040078573A1 (en) | Remote access system, remote access method, and remote access program | |
US20060206433A1 (en) | Secure and authenticated delivery of data from an automated meter reading system | |
KR101686167B1 (en) | Apparatus and Method for Certificate Distribution of the Internet of Things Equipment | |
JPH08106437A (en) | Logon certificate | |
JP2009541817A (en) | Single sign-on between systems | |
CA2551113A1 (en) | Authentication system for networked computer applications | |
US20070168293A1 (en) | Method and apparatus for authorizing rights issuers in a content distribution system | |
US20220116230A1 (en) | Method for securely providing a personalized electronic identity on a terminal | |
JP2005276122A (en) | Access source authentication method and system | |
JP2003188874A (en) | System for secure data transmission | |
CN110929231A (en) | Digital asset authorization method and device and server | |
JP2004236254A (en) | Electronic data storage system and its method | |
JP2004013374A (en) | Unidirectional authentication system | |
WO2014187208A1 (en) | Method and system for backing up private key in electronic signature token | |
KR20010079161A (en) | The equipment authentication and communication encryption key distribution method in a wireless local area network environments | |
JP2004140636A (en) | System, server, and program for sign entrustment of electronic document |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20040426 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20070330 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070508 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20071002 |