JP2005175879A - 認証システム及び認証装置及び管理装置 - Google Patents
認証システム及び認証装置及び管理装置 Download PDFInfo
- Publication number
- JP2005175879A JP2005175879A JP2003412955A JP2003412955A JP2005175879A JP 2005175879 A JP2005175879 A JP 2005175879A JP 2003412955 A JP2003412955 A JP 2003412955A JP 2003412955 A JP2003412955 A JP 2003412955A JP 2005175879 A JP2005175879 A JP 2005175879A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- user device
- key
- authentication device
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Abstract
【課題】 認証装置における認証方法、鍵の更新方法及びその装置に係り、認証用の鍵を安全に更新でき、公開鍵暗号などの負荷の大きな処理を実行することなく認証できる方法及びその装置を提供することを課題とする。
【解決手段】 利用者装置1と認証装置2間での利用者装置認証(S201)の後、認証装置2は、乱数AR’と認証装置2の識別情報AIDを含む鍵更新依頼D1を管理装置3に送信する(S202)。管理装置3は、管理装置3固有の鍵MKを用いて、乱数AR’と認証装置の識別情報AIDを変換して認証装置固有の新しい鍵AK’を生成し、認証装置2に返信する(S203)。認証装置2は、新しい鍵AK’を用いて、利用者装置の識別情報SIDを変換して利用者装置固有の新しい鍵SK’を生成し、利用者装置1に送信する。(S204)。
【選択図】 図10
【解決手段】 利用者装置1と認証装置2間での利用者装置認証(S201)の後、認証装置2は、乱数AR’と認証装置2の識別情報AIDを含む鍵更新依頼D1を管理装置3に送信する(S202)。管理装置3は、管理装置3固有の鍵MKを用いて、乱数AR’と認証装置の識別情報AIDを変換して認証装置固有の新しい鍵AK’を生成し、認証装置2に返信する(S203)。認証装置2は、新しい鍵AK’を用いて、利用者装置の識別情報SIDを変換して利用者装置固有の新しい鍵SK’を生成し、利用者装置1に送信する。(S204)。
【選択図】 図10
Description
本発明は、認証装置における認証方法、鍵の更新方法及びその装置に関する。
認証に使用する鍵を、利用者識別情報を用いて生成する方法として、特開平03−82237号公報には管理装置が利用者装置の秘密鍵を生成する方法が提案されている。
特開平03−82237号公報に示されている方法においては、管理装置がすべての秘密鍵を発行するため、例えば、自動車キーのように複数の鍵が存在するシステムにおいては鍵を更新する場合には管理センタがすべての鍵を発行するのでは負荷がかかりすぎるという問題がある。
また、認証を行う際にべき乗剰余演算など負荷の大きな処理が必要となるため、資源の限られた装置では性能面で問題がある。
特開平03−82237号公報
本発明は、上記した従来技術の欠点を除くためになされたものであって、その目的とするところは、認証用の鍵を安全に更新でき、公開鍵暗号などの負荷の大きな処理を実行することなく認証できる方法及びその装置を提供することである。
本発明に係る認証システムは、
利用者装置と、当該利用者装置を認証する認証装置とからなり互いに通信可能な認証システムであって、
認証装置は、乱数を生成し、生成した乱数を利用者装置に送信し、
利用者装置は、乱数を受信し、利用者装置で保持する利用者装置固有の鍵を用いて、受信した乱数を変換して認証コードを生成し、利用者装置で保持する利用者装置の識別情報と当該認証コードを、認証装置に送信し、
認証装置は、利用者装置の識別情報と認証コードを受信し、認証装置で保持する認証装置固有の鍵を用いて、受信した利用者装置の識別情報を変換して利用者装置固有の鍵に相当する利用者装置相当鍵を生成し、当該利用者装置相当鍵を用いて、前記乱数を変換して認証コードを生成し、利用者装置から受信した認証コードと比較することにより利用者装置の認証を行うことを特徴とする。
利用者装置と、当該利用者装置を認証する認証装置とからなり互いに通信可能な認証システムであって、
認証装置は、乱数を生成し、生成した乱数を利用者装置に送信し、
利用者装置は、乱数を受信し、利用者装置で保持する利用者装置固有の鍵を用いて、受信した乱数を変換して認証コードを生成し、利用者装置で保持する利用者装置の識別情報と当該認証コードを、認証装置に送信し、
認証装置は、利用者装置の識別情報と認証コードを受信し、認証装置で保持する認証装置固有の鍵を用いて、受信した利用者装置の識別情報を変換して利用者装置固有の鍵に相当する利用者装置相当鍵を生成し、当該利用者装置相当鍵を用いて、前記乱数を変換して認証コードを生成し、利用者装置から受信した認証コードと比較することにより利用者装置の認証を行うことを特徴とする。
本発明においては、認証用の鍵を安全に更新でき、公開鍵暗号などの負荷の大きな処理を実行することなく認証できる。
実施の形態1.
以下本発明を図面に示す実施例に基づいて説明する。図1は、本発明の実施の形態1における認証システムの構成を示す説明図である。実施の形態1では自動車の例を用いて説明する。
以下本発明を図面に示す実施例に基づいて説明する。図1は、本発明の実施の形態1における認証システムの構成を示す説明図である。実施の形態1では自動車の例を用いて説明する。
図1において、1は自動車キー(キー装置の例)として用いられる利用者装置、2は車両側の認証装置である。利用者装置1と認証装置2は無線により通信を行う。
また、利用者装置1は、認証装置2と通信を行う通信手段11と、利用者装置の鍵および利用者装置の識別情報を格納する情報記憶手段12と、認証装置2との間で送受信するデータを認証するための認証コードを生成する認証コード生成手段13とを備える。利用者装置1として、例えば通信機能を備えたICカードなどを用いることが考えられる。
また、認証装置2は、利用者装置1と通信を行う通信手段21と、認証装置2の鍵を格納する情報記憶手段22と、利用者装置1との間で送受信するデータを認証するための認証コードを生成する認証コード生成手段23と、乱数生成手段24と、利用者装置の鍵を生成する鍵生成手段25とを備える。
図2は、実施の形態1において認証装置2が情報記憶手段22に保持する情報を示す図である。情報記憶手段22には認証装置2に固有の鍵AKが保持される。
図3は、実施の形態1において利用者装置1が情報記憶手段12に保持する情報を示す図である。情報記憶手段12には利用者装置1に固有の識別情報SID、鍵SKが保持される。鍵SKは識別情報SIDに対して認証装置2の保持する鍵AKを鍵として生成したメッセージ認証コード(以下認証コードと記す)とする。以下の説明においてMAC(K,D)はKを鍵としたデータDの認証コードを示す。MAC(Message Authentication Code)は共通鍵暗号を使用する方式や一方向性関数を使用する方法などにより生成するが、一般的に使用されている技術であり説明を省略する。
図4は、実施の形態1における認証装置2が利用者装置1を認証する動作シーケンスを示す説明図であり、以下に図4を用いて動作を説明する。
ステップS1において、認証装置2の乱数生成手段24は乱数Rを生成し、通信装置21は利用者装置に対して乱数R(データD1)を送信する。利用者装置1は、これを受信する。以下の説明においては通信手段の動作は省略する。
ステップS2において、利用者装置1は、認証コード生成手段13により鍵SKを鍵としてステップ1で受信した乱数Rに対して認証コードM=MAC(SK,R)を生成し、識別情報SIDと認証コードMからなるデータD2を認証装置2に送信する。認証装置2は、これを受信する。図5は、データD2を示す図である。
ステップS3で認証装置2はデータD2中の認証コードMを検証して、一致すれば正当な利用者装置からのアクセスと判断し、それ移行の操作を許可する。一致しなければ不正な利用者装置からのアクセスと判断する。
次に、図4のステップS3における認証装置2の詳細な動作について説明する。図6は、図4におけるステップS3の処理を示すフローチャートである。
ステップS31において、認証装置2はデータD2を受信する。
ステップS32において、鍵生成手段25はデータD2の識別情報SIDと情報記憶手段22に格納されている鍵AKを使用してSK=MAC(AK,SID)として利用者装置の鍵SKを生成する。
ステップS33において、認証コード生成手段23はデータD1で送信した乱数Rとステップ32で生成した利用者装置鍵SKを使用してMAC(SK,R)を生成する。
ステップS34において、ステップ33で生成した認証コードがデータD2中の認証コードMと比較して一致しない場合にはエラー終了する。一致した場合にはステップS35で認証成功処理を行う。
以上説明したように、利用者装置の保持する鍵を認証装置の鍵を使用した認証コードとすることにより、利用者装置の認証に使用する鍵を認証時に認証装置で生成することができ、個々の利用者装置の鍵を認証装置に保持することなく、かつ公開鍵暗号のように負荷の大きな処理を実行することなく、すべての利用者装置で異なる鍵を使用して認証することができるという効果を得ることができる。
また、利用者装置と認証装置は異なる鍵を保持しているため、認証装置の鍵は安全に管理することができる。
また、本実施の形態1では自動車キーを例に説明したが、住宅等のドアキーなど、上記のような機能を備えていればどのような装置であってもよく、これに限られない。
また、本実施の形態1では利用者装置の鍵の生成手段を認証装置の保持する鍵を使用したメッセージ認証コードとしたが、認証装置の保持する鍵から安全に導出可能な手段であればよく、これに限られない。
上述のように、認証装置2は、乱数Rを生成し、生成した乱数Rを利用者装置1に送信する。利用者装置1は、乱数Rを受信し、利用者装置で保持する利用者装置固有の鍵SKを用いて、受信した乱数を変換して認証コードMを生成し、利用者装置で保持する利用者装置の識別情報SIDと当該認証コードMを、認証装置2に送信する。認証装置2は、利用者装置の識別情報SIDと認証コードMを受信し、認証装置2で保持する認証装置固有の鍵AKを用いて、受信した利用者装置の識別情報SIDを変換して利用者装置固有の鍵に相当する利用者装置相当鍵SKを生成し、当該利用者装置相当鍵SKを用いて、前記乱数を変換して認証コードMを生成し、利用者装置から受信した認証コードMと比較することにより利用者装置の認証を行う。
実施の形態2.
実施の形態1では、利用者装置の認証について説明したが、本実施の形態2では、利用者装置の鍵を更新する場合について説明する。
実施の形態1では、利用者装置の認証について説明したが、本実施の形態2では、利用者装置の鍵を更新する場合について説明する。
図7において、1は自動車キーである利用者装置、2は車両側の認証装置、3は管理装置である。利用者装置1と認証装置2の間、および認証装置2と管理装置3の間は、それぞれ無線により通信を行う。
また、利用者装置1は、実施の形態1で示した図1の利用者装置1に、認証装置2から送信される暗号化データを復号する暗号処理手段14と、情報記憶手段12が保持する情報を更新する情報更新手段15とを備える。その他の手段は図1の利用者装置1と同様であり説明を省略する。
また、認証装置2は、実施の形態1で示した図1の認証装置2に、利用者装置1および管理装置3との間で送受信するデータを暗号化および復号する暗号手段26と、情報記憶手段22が保持する情報を更新する情報更新手段27とを備える。その他の手段は図1の認証装置2と同様であり説明を省略する。
また、管理装置3は、認証装置2と通信を行う通信手段31と、管理装置3の鍵を格納する情報記憶手段32と、認証装置2との間で送受信するデータを認証するための認証コードを生成する認証コード生成手段33と、認証装置の鍵を生成する鍵生成手段34と、認証装置2に送信するデータを暗号化する暗号手段35とを備える。
図8は、実施の形態2において管理装置3が情報記憶手段32に保持する情報を示す図である。情報記憶手段32には管理装置3の鍵MKが保持される。
図9は、実施の形態2において認証装置2が情報記憶手段22に保持する情報を示す図である。情報記憶手段22には認証装置2に固有の識別情報AID、乱数AR、鍵AKが保持される。鍵AKは識別情報AIDと乱数ARに対して管理装置3の保持する鍵MKを鍵として生成した認証コードMAC(MK,AID|AR)とする。”A|B”はAとBを連結したデータを示す。
実施の形態2における利用者装置1の情報記憶手段12に保持する情報は実施の形態1の図3と同一であり、説明を省略する。
図10は、実施の形態2において利用者装置の鍵を更新する動作シーケンスを示す説明図であり,図10を用いて動作を説明する。尚、各データ及び処理の詳細は、後述する。
ステップS201で認証装置2は鍵の更新を行う利用者装置1の認証を行う。ステップS201における認証処理は実施の形態1に示した処理と同一であり説明を省略する。
ステップS202において認証装置2は認証装置2の保持する鍵AKを更新するための鍵更新依頼を作成して、データD1を管理装置3に送信する。管理装置3は、これを受信する。
ステップS203において管理装置3は認証装置2の新たな鍵AK’を生成し、データD2を認証装置2に送信する。認証装置2は、これを受信する。
ステップS204において認証装置2はデータD2中の鍵AK’を使用して利用者装置の新たな鍵SK’を生成し、データD3を利用者装置1に送信する。利用者装置1は、これを受信する。
ステップS205で利用者装置1は保持している鍵SKをデータD3中の鍵SK’に更新し、データD4で完了メッセージを認証装置2に送信する。認証装置2は、これを受信する。
ステップS206で認証装置2は認証装置の保持している鍵AKを前記鍵AK’に更新する。
次に、図10におけるステップS202〜S206における詳細な動作について説明する。
ステップS202について説明する。認証装置2は、新しい乱数AR’を生成し、更に、認証装置2で保持している鍵AKを鍵として、認証コードM=MAC(AK,AID|AR|AR’)を生成する。そして、識別情報AID、元の乱数AR、新たな乱数AR’、及び認証コードMをデータD1として管理装置3に送信する。図11はデータD1の内容を示す図である。
ステップ203について説明する。図12は、ステップS3のフローチャートを示す図である。
ステップS31で管理装置3は認証装置2からデータD1を受信する。
ステップS32において、鍵生成手段34は、データD1に含まれる識別情報AIDと乱数AR、更に情報記憶手段32に格納されている鍵MKを使用してAK(認証装置の鍵)=MAC(MK,AID|AR)を生成する。
ステップS33において、認証コード生成手段33はデータD1に含まれる識別情報AIDと元の乱数ARと新しい乱数AR’、更にステップ32で生成した鍵AKを使用して、認証コードMAC(AK,AID|AR|AR’)を生成する。
ステップS34において、ステップ33で生成した認証コードがデータD1に含まれる認証コードMと比較して一致しない場合にはエラー終了する。一致した場合にはステップS35に進む。
ステップS35において、鍵生成手段34はデータD1に含まれる識別情報AIDと乱数AR’、更に情報記憶手段32に格納されている鍵MKを使用してAK’=MAC(MK,AID|AR’)を生成し、それを認証装置の新たな鍵AK’とする。
ステップS36において、認証コード生成手段33は鍵AKを鍵として鍵AK’の認証コードM=MAC(AK,AK’)を生成する。
ステップS37において、暗号処理手段35は、鍵AK’とステップS36で生成した認証コードMを併せて、鍵AKで暗号化する。
ステップS38においてデータD2を認証装置2に送信する。認証装置2は、これを受信する。図13はデータD2の内容を示す図である。
ステップS204について説明する。図14は、ステップS204のフローチャートを示す図である。
ステップS41で認証装置2は管理装置3からデータD2を受信する。
ステップS42において、暗号処理手段26は情報記憶手段22に保持している鍵AKを用いてデータD2を復号する。
ステップS43において、認証コード生成手段23は、ステップS42で復号したデータD2中のAK’に対して、鍵AKを鍵として認証コードMAC(AK,AK’)を生成する。
ステップS44において、ステップ43で生成した認証コードが、データD2中の認証コードMと比較して一致しない場合にはエラー終了する。一致した場合にはステップS45に進む。
ステップS45において、鍵生成手段25はステップS1で利用者装置から送信された利用者装置の識別情報SIDと鍵AK’を使用してSK’=MAC(AK’,SID)を生成し、これを利用者装置の新たな鍵SK’とする。
ステップS46において、認証コード生成手段23は鍵SKを鍵として鍵SK’の認証コードM=MAC(SK,SK’)を生成する。
ステップS47において、暗号処理手段26は鍵SK’とステップS46で生成した認証コードMを併せて、鍵SKで暗号化する。
ステップS48において、データD3を利用者装置1に送信する。利用者装置1は、これを受信する。図15はデータD3の内容を示す図である。
ステップS205について説明する。図16は、ステップS205のフローチャートを示す図である。
ステップS51で利用者装置1は認証装置2からデータD3を受信する。
ステップS52において、暗号処理手段14は情報記憶手段12に保持している鍵SKを用いてデータD3を復号する。
ステップS53において、認証コード生成手段13はステップS52で復号したデータD3中のSK’に対して、鍵SKを鍵とした認証コードMAC(SK,SK’)を生成する。
ステップS54において、ステップ53で生成した認証コードがデータD3中の認証コードMと比較して一致しない場合にはエラー終了する。一致した場合にはステップS55に進む。
ステップS55において、情報更新手段15は情報記憶手段12に格納されている鍵SKを鍵SK’に更新する。
ステップS56において、処理完了を示すデータD4を認証装置2に送信する。認証装置2は、これを受信する。
ステップS206では認証装置2の情報更新手段27は情報記憶手段22に保持されている鍵AKと乱数ARを、前記鍵AK’およびAR’に更新する。
本実施の形態では、1つの利用者装置の鍵を更新する例を用いて説明したが、複数の利用者装置の鍵を更新する場合には、図10に示した処理シーケンスのステップS201およびステップS204〜ステップ205を繰り返し、複数の利用者装置に対して実行することにより、複数の利用者装置の鍵を更新することが可能である。
以上説明したように、鍵の更新処理において利用者装置、認証装置が保持している鍵を使用して認証、暗号化通信を行うことにより、オンラインで安全に鍵の更新ができるという効果を得ることができる。
また、認証装置の鍵の生成に認証装置が保持する乱数を使用することにより、認証装置の識別情報を変更することなく認証装置の鍵を更新することができる。
また、利用者装置の鍵の更新に伴い、認証装置の鍵も更新されるため、鍵の更新処理を実行しない利用者装置は自動的に使用できなくなり、盗難あるいは紛失した利用者装置が不正に使用されることを防止できるという効果を得ることができる。
また、認証装置の保持する鍵を管理装置の鍵を使用した認証コードとすることにより、個々の認証装置の情報を管理装置に保持することなく、認証装置の鍵を生成することができるという効果を得ることができる。
また、本実施の形態2では認証装置と管理装置間を無線通信路による通信としたが、認証装置と管理装置間でデータの授受ができれば有線の通信路やフロッピー(登録商標)ディスクなどの媒体を用いてもよく、これに限られない。
上述のように、利用者装置1は、当該利用者装置の識別情報SIDを認証装置2に送信する。認証装置2は、利用者装置の識別情報SIDを受信し、乱数AR’を生成し、生成した乱数AR’と認証装置2で保持する認証装置の識別情報AIDを含む鍵更新依頼D1を、管理装置3に送信する。管理装置3は、乱数AR’と認証装置の識別情報AIDを含む鍵更新依頼D1を受信し、管理装置3で保持する管理装置固有の鍵MKを用いて、受信した乱数AR’と認証装置の識別情報AIDを変換して認証装置固有の新しい鍵AK’を生成し、生成した認証装置固有の新しい鍵AK’を認証装置2に返信する。認証装置2は、認証装置固有の新しい鍵AK’を受信し、受信した認証装置固有の新しい鍵AK’を用いて、利用者装置の識別情報SIDを変換して利用者装置固有の新しい鍵SK’を生成し、生成した利用者装置固有の新しい鍵SK’を利用者装置1に送信する。利用者装置1は、利用者装置固有の新しい鍵SK’を受信し、当該鍵を利用者装置固有の鍵として記憶し、認証装置2は、前記認証装置固有の新しい鍵AK’を認証装置固有の鍵として記憶する。
実施の形態3.
実施の形態2では、利用者装置の鍵の更新について説明したが、本実施の形態では、利用者装置を追加する場合について説明する。
実施の形態2では、利用者装置の鍵の更新について説明したが、本実施の形態では、利用者装置を追加する場合について説明する。
実施の形態3における構成は、実施の形態2の図7と同一であり説明を省略する。
図17は、実施の形態3において利用者装置1が情報記憶手段12に保持する情報を示す図である。情報記憶手段12には利用者装置の鍵SKが保持される。鍵SKは、識別情報SIDに対して管理装置3の保持する鍵MKを鍵として生成した認証コードとする。
実施の形態3における認証装置2の情報記憶手段22および管理装置3の情報記憶手段32に保持する情報は実施の形態2の図7と同一であり、説明を省略する。
図18は、実施の形態3において利用者装置を追加する動作シーケンスを示す説明図であり、図18を用いて動作を説明する。
図18においてステップS301とステップS302は実施の形態1の図4における処理と同一であり説明を省略する。
ステップS303において認証装置2は利用者装置1の保持する鍵SKを更新するための鍵更新依頼を作成してデータD3を管理装置3に送信する。
ステップS304において管理装置3は利用者装置1の新たな鍵SK’を生成し、認証装置2を経由してデータD4を利用者装置1に送信する。
ステップS305において利用者装置1は保持している鍵SKをデータD4中の鍵SK’に更新する。
次に、図18におけるステップS303〜S305における詳細な動作について説明する。図19はデータD2の内容を示す図である。
ステップS303について説明する。認証装置2は、認証装置2の保持する識別情報AIDと乱数AR、ステップS1で生成した乱数R、及びデータD2を併せた全体に対して、認証コードMA=MAC(AK,AID|AR|SID|R|MAC(SK,R))を生成する。そして、上記データ全体にMACを加えたデータD3を管理装置3に送信する。管理装置3は、これを受信する。図20はデータD3の内容を示す図である。
ステップ304について説明する。図21は、ステップ304のフローチャートを示す図である。
ステップS601で、管理装置3は認証装置2からデータD3を受信する。
ステップS602において、鍵生成手段34はデータD3の識別情報AIDおよび乱数AR、更に情報記憶手段32に格納されている鍵MKを使用して、AK=MAC(MK,AID|AR)を生成し、認証装置2の鍵AKとする。
ステップS603において、認証コード生成手段33はデータD3で受信したデータと、ステップ602で生成した鍵AKを使用して認証コードMAC(AK,AID|AR|SID|R|MAC(SK,R))を生成する。
ステップS604において、ステップ603で生成した認証コードがデータD3中の認証コードMAと比較して一致しない場合にはエラー終了する。一致した場合にはステップS605に進む。
ステップS605において、鍵生成手段34はデータD3に含まれている識別情報SIDと、情報記憶手段32に格納されている鍵MKを使用して、SK=MAC(MK,SID)を生成し、利用者装置1の鍵SKとする。
ステップS606において、認証コード生成手段33はデータD3で受信したRと、ステップS605で生成した鍵SKを使用して認証コードMAC(SK,R)を生成する。
ステップS607において、ステップ46で生成した認証コードがデータD3中の認証コードMSと比較して一致しない場合にはエラー終了する。一致した場合にはステップS608に進む。
ステップS608で鍵生成手段34は、データD3に含まれている識別情報SIDと鍵AKを使用してSK’=MAC(AK,SID)を生成しと利用者装置1の新たな鍵SK’とする。
ステップS609において、認証コード生成手段33は鍵SKを鍵として鍵SK’の認証コードM=MAC(SK,SK’)を生成する。
ステップS610において、暗号処理手段35は鍵SK’とステップS49で生成した認証コードMを、鍵SKで暗号化する。
ステップS611においてデータD4を認証装置2に送信する。図22はデータD4の内容を示す図である。データD4は認証装置2を経由して利用者装置1に送信される。利用者装置1は、これを受信する。
次に、図23のフローチャートを用いて図18におけるステップS305の動作を説明する。
ステップS71で利用者装置1は認証装置2からデータD4を受信する。
ステップS72において、暗号処理手段14は情報記憶手段12に保持している鍵SKを用いてデータD4を復号する。
ステップS73において、認証コード生成手段13はステップS52で復号したデータD4に含まれているSK’に対して、鍵SKを鍵として認証コードMAC(SK,SK’)を生成する。
ステップS74において、ステップ53で生成した認証コードがデータD3中の認証コードMと比較して一致しない場合にはエラー終了する。一致した場合にはステップS55に進む。
ステップS75において、情報更新手段15は情報記憶手段12に格納されている鍵SKを、鍵SK’に更新する。
以上説明したように、追加用の利用者装置の鍵を管理装置の鍵を使用して生成した認証コードを利用者装置の鍵とすることにより、特定の認証装置向けに限定することなく利用者装置をあらかじめ配布することができ、任意の認証装置で認証可能な利用者装置の鍵に更新でき、かつ更新するためには管理装置に依頼する必要があり、不正に鍵を更新することを防止できるという効果が得られる。
また、管理装置は管理装置の鍵を使用して発行した利用者装置かどうかの認証を行うことができるため、不正な利用者装置の鍵を更新することを防止することができるという効果が得られる。
また、処理の過程において利用者装置、認証装置、管理装置が保持している鍵を使用して認証、暗号化通信を行うことにより、オンラインで安全に鍵の更新ができるというという効果が得られる。
上述のように、利用者装置1は、当該利用者装置の識別情報SIDを認証装置2に送信する。認証装置2は、利用者装置の識別情報SIDを受信し、当該認証装置固有の乱数ARと、当該認証装置の識別情報AIDと、受信した利用者装置の識別情報SIDを含む鍵更新依頼D3を管理装置に送信する。管理装置3は、認証装置固有の乱数ARと、認証装置の識別情報AIDと、利用者装置の識別情報SIDを含む鍵更新依頼D3を受信し、管理装置3で保持する管理装置固有の鍵MKを用いて、前記受信した認証装置固有の乱数ARと認証装置の識別情報AIDを変換して、認証装置固有の鍵に相当する認証装置相当鍵AKを生成し、生成した認証装置相当鍵AKを用いて、前記受信した利用者装置の識別情報SIDを変換して、利用者装置固有の新しい鍵SK’を生成し、生成した利用者装置固有の新しい鍵SK’を利用者装置1に送信する。利用者装置1は、利用者装置固有の新しい鍵SK’を受信し、当該鍵を利用者装置固有の鍵として記憶する。
利用者装置1、認証装置2、及び管理装置3は、コンピュータであり、各要素はプログラムにより処理を実行することができる。また、プログラムを記憶媒体に記憶させ、記憶媒体からコンピュータに読み取られるようにすることができる。
1 利用者装置、2 認証装置、3 管理装置、11 通信手段、12 情報記憶手段、13 認証コード生成手段、14 暗号処理手段、15 情報更新手段、21 通信手段、22 情報記憶手段、23 認証コード生成手段、24 乱数生成手段、25 鍵生成手段、26 暗号処理手段、27 情報更新手段、31 通信手段、32 情報記憶手段、33 認証コード生成手段、34 鍵生成手段、35 暗号処理手段。
Claims (8)
- 利用者装置と、当該利用者装置を認証する認証装置とからなり互いに通信可能な認証システムであって、
認証装置は、乱数を生成し、生成した乱数を利用者装置に送信し、
利用者装置は、乱数を受信し、利用者装置で保持する利用者装置固有の鍵を用いて、受信した乱数を変換して認証コードを生成し、利用者装置で保持する利用者装置の識別情報と当該認証コードを、認証装置に送信し、
認証装置は、利用者装置の識別情報と認証コードを受信し、認証装置で保持する認証装置固有の鍵を用いて、受信した利用者装置の識別情報を変換して利用者装置固有の鍵に相当する利用者装置相当鍵を生成し、当該利用者装置相当鍵を用いて、前記乱数を変換して認証コードを生成し、利用者装置から受信した認証コードと比較することにより利用者装置の認証を行うことを特徴とする認証システム。 - 利用者装置と通信可能であり、当該利用者装置を認証する認証装置であって、
認証装置は、乱数を生成し、生成した乱数を利用者装置に送信し、
更に、認証装置は、利用者装置の識別情報と認証コードを利用者装置から受信し、認証装置で保持する認証装置固有の鍵を用いて、受信した利用者装置の識別情報を変換して利用者装置固有の鍵に相当する利用者装置相当鍵を生成し、当該利用者装置相当鍵を用いて、前記乱数を変換して認証コードを生成し、利用者装置から受信した認証コードと比較することにより利用者装置の認証を行うことを特徴とする認証装置。 - 利用者装置と、当該利用者装置を認証する認証装置と、当該利用者装置と当該認証装置を管理する管理装置とからなり、利用者装置と認証装置が通信可能であり、更に認証装置と管理装置が通信可能な認証システムであって、
利用者装置は、当該利用者装置の識別情報を認証装置に送信し、
認証装置は、利用者装置の識別情報を受信し、乱数を生成し、生成した乱数と認証装置で保持する認証装置の識別情報を含む鍵更新依頼を、管理装置に送信し、
管理装置は、乱数と認証装置の識別情報を含む鍵更新依頼を受信し、管理装置で保持する管理装置固有の鍵を用いて、受信した乱数と認証装置の識別情報を変換して認証装置固有の新しい鍵を生成し、生成した認証装置固有の新しい鍵を認証装置に返信し、
認証装置は、認証装置固有の新しい鍵を受信し、受信した認証装置固有の新しい鍵を用いて、前記受信した利用者装置の識別情報を変換して利用者装置固有の新しい鍵を生成し、生成した利用者装置固有の新しい鍵を利用者装置に送信し、
利用者装置は、利用者装置固有の新しい鍵を受信し、当該鍵を利用者装置固有の鍵として記憶し、
認証装置は、前記認証装置固有の新しい鍵を認証装置固有の鍵として記憶することを特徴とする認証システム。 - 利用者装置と管理装置と通信可能であり、当該利用者装置を認証する認証装置あって、
認証装置は、利用者装置の識別情報を受信し、乱数を生成し、生成した乱数と認証装置で保持する認証装置の識別情報を含む鍵更新依頼を、管理装置に送信し、
更に、認証装置は、認証装置固有の新しい鍵を管理装置から受信し、受信した認証装置固有の新しい鍵を用いて、前記受信した利用者装置の識別情報を変換して利用者装置固有の新しい鍵を生成し、生成した利用者装置固有の新しい鍵を利用者装置に送信し、
更に、認証装置は、前記認証装置固有の新しい鍵を認証装置固有の鍵として記憶することを特徴とする認証装置。 - 利用者装置を認証する認証装置と通信可能であり、当該利用者装置と当該認証装置を管理する管理装置であって、
管理装置は、乱数と認証装置の識別情報を含む鍵更新依頼を認証装置から受信し、管理装置で保持する管理装置固有の鍵を用いて、受信した乱数と認証装置の識別情報を変換して認証装置固有の新しい鍵を生成し、生成した認証装置固有の新しい鍵を認証装置に返信することを特徴とする管理装置。 - 利用者装置と、当該利用者装置を認証する認証装置と、当該利用者装置と当該認証装置を管理する管理装置とからなり、夫々が互いに通信可能な認証システムであって、
利用者装置は、当該利用者装置の識別情報を認証装置に送信し、
認証装置は、利用者装置の識別情報を受信し、当該認証装置固有の乱数と、当該認証装置の識別情報と、受信した利用者装置の識別情報を含む鍵更新依頼を管理装置に送信し、
管理装置は、認証装置固有の乱数と、認証装置の識別情報と、利用者装置の識別情報を含む鍵更新依頼を受信し、管理装置で保持する管理装置固有の鍵を用いて、前記受信した認証装置固有の乱数と認証装置の識別情報を変換して、認証装置固有の鍵に相当する認証装置相当鍵を生成し、生成した認証装置相当鍵を用いて、前記受信した利用者装置の識別情報を変換して、利用者装置固有の新しい鍵を生成し、生成した利用者装置固有の新しい鍵を利用者装置に送信し、
利用者装置は、利用者装置固有の新しい鍵を受信し、当該鍵を利用者装置固有の鍵として記憶することを特徴とする認証システム。 - 利用者装置と管理装置と通信可能であり、当該利用者装置を認証する認証装置あって、
認証装置は、利用者装置の識別情報を利用者装置から受信し、当該認証装置固有の乱数と、当該認証装置の識別情報と、受信した利用者装置の識別情報を含む鍵更新依頼を管理装置に送信することを特徴とする認証装置。 - 利用者装置と、当該利用者装置を認証する認証装置と通信可能であり、当該利用者装置と当該認証装置を管理する管理装置であって、
管理装置は、認証装置固有の乱数と、認証装置の識別情報と、利用者装置の識別情報を含む鍵更新依頼を認証装置から受信し、管理装置で保持する管理装置固有の鍵を用いて、前記受信した認証装置固有の乱数と認証装置の識別情報を変換して、認証装置固有の鍵に相当する認証装置相当鍵を生成し、生成した認証装置相当鍵を用いて、前記受信した利用者装置の識別情報を変換して、利用者装置固有の新しい鍵を生成し、生成した利用者装置固有の新しい鍵を利用者装置に送信することを特徴とする管理装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003412955A JP2005175879A (ja) | 2003-12-11 | 2003-12-11 | 認証システム及び認証装置及び管理装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003412955A JP2005175879A (ja) | 2003-12-11 | 2003-12-11 | 認証システム及び認証装置及び管理装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2005175879A true JP2005175879A (ja) | 2005-06-30 |
Family
ID=34733221
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003412955A Withdrawn JP2005175879A (ja) | 2003-12-11 | 2003-12-11 | 認証システム及び認証装置及び管理装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2005175879A (ja) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2008014655A1 (fr) * | 2006-07-24 | 2008-02-07 | Huawei Technologies Co., Ltd. | Procédé, terminal mobile et serveur destinés à mettre en oeuvre une clé de partage actualisée dans le système de communication mobile |
JP2013058079A (ja) * | 2011-09-08 | 2013-03-28 | Toppan Printing Co Ltd | 情報処理システム、情報処理装置、情報処理方法及びプログラム |
JP2013058080A (ja) * | 2011-09-08 | 2013-03-28 | Toppan Printing Co Ltd | 情報処理システム、情報処理装置、情報処理方法及びプログラム |
JP2014121076A (ja) * | 2012-12-19 | 2014-06-30 | Toshiba Corp | 鍵管理装置、通信装置、通信システムおよびプログラム |
WO2020199391A1 (zh) * | 2019-03-29 | 2020-10-08 | 广州小鹏汽车科技有限公司 | 基于终端设备的车辆解锁认证方法及装置 |
US11433853B2 (en) | 2019-03-29 | 2022-09-06 | Guangzhou Xiaopeng Motors Technology Co., Ltd. | Vehicle unlocking authentication method and apparatus based on terminal device |
-
2003
- 2003-12-11 JP JP2003412955A patent/JP2005175879A/ja not_active Withdrawn
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2008014655A1 (fr) * | 2006-07-24 | 2008-02-07 | Huawei Technologies Co., Ltd. | Procédé, terminal mobile et serveur destinés à mettre en oeuvre une clé de partage actualisée dans le système de communication mobile |
JP2013058079A (ja) * | 2011-09-08 | 2013-03-28 | Toppan Printing Co Ltd | 情報処理システム、情報処理装置、情報処理方法及びプログラム |
JP2013058080A (ja) * | 2011-09-08 | 2013-03-28 | Toppan Printing Co Ltd | 情報処理システム、情報処理装置、情報処理方法及びプログラム |
JP2014121076A (ja) * | 2012-12-19 | 2014-06-30 | Toshiba Corp | 鍵管理装置、通信装置、通信システムおよびプログラム |
WO2020199391A1 (zh) * | 2019-03-29 | 2020-10-08 | 广州小鹏汽车科技有限公司 | 基于终端设备的车辆解锁认证方法及装置 |
EP3806384A4 (en) * | 2019-03-29 | 2022-01-19 | Guangzhou Chengxing Zhidong Motors Technology Co., Ltd. | METHOD AND APPARATUS FOR VEHICLE UNLOCKING AUTHENTICATION BASED ON A TERMINAL DEVICE |
US11433853B2 (en) | 2019-03-29 | 2022-09-06 | Guangzhou Xiaopeng Motors Technology Co., Ltd. | Vehicle unlocking authentication method and apparatus based on terminal device |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4866863B2 (ja) | セキュリティコード生成方法及びユーザ装置 | |
EP1887730B1 (en) | Apparatus and method for managing stations associated with WPA-PSK wireless network | |
KR101982237B1 (ko) | 클라우드 컴퓨팅 환경에서의 속성 기반 암호화를 이용한 데이터 공유 방법 및 시스템 | |
CN102843232B (zh) | 生成安全装置密钥 | |
JP4987939B2 (ja) | 保安モードに応じる手動型rfid保安方法 | |
CN1910531B (zh) | 数据资源的密钥控制使用的方法和系统以及相关网络 | |
JP2006229948A (ja) | 記憶媒体に対するリモート・サービス・インターフェースのサービス担当ユーザを確実に認証する方法およびシステム | |
CN112565265B (zh) | 物联网终端设备间的认证方法、认证系统及通讯方法 | |
JP4823704B2 (ja) | 認証システムおよび同システムにおける認証情報委譲方法ならびにセキュリティデバイス | |
CN115066863A (zh) | 用于利益拒绝系统中的跨账户设备密钥转移的系统和技术 | |
JP5079479B2 (ja) | Idベース暗号システム、方法 | |
JP2005175879A (ja) | 認証システム及び認証装置及び管理装置 | |
US20100014673A1 (en) | Radio frequency identification (rfid) authentication apparatus having authentication function and method thereof | |
US8327148B2 (en) | Mobile system, service system, and key authentication method to manage key in local wireless communication | |
KR100726074B1 (ko) | 무선 인터넷 사용자 인증 방법 및 시스템 | |
CN113282945B (zh) | 智能锁权限管理方法、装置、电子设备及存储介质 | |
JP2001111539A (ja) | 暗号鍵生成装置および暗号鍵伝送方法 | |
KR101085849B1 (ko) | 유비쿼터스 컴퓨팅 네트워크 환경에서의 비밀 키 전달/생성 방법 | |
KR20100010010A (ko) | 보안 기능을 갖는 rfid 보안 장치 및 방법 | |
KR100737173B1 (ko) | 일회용 암호 발생기 및 일회용 암호 발생기를 이용한 인증장치 | |
WO2021181736A1 (ja) | 機密データ管理装置、プログラム及び記録媒体 | |
US8572383B2 (en) | Key exchange device, key exchange processing system, key exchange method, and program | |
JP4663315B2 (ja) | 認証システムおよび同システムにおける認証情報委譲方法ならびにセキュリティデバイス | |
JP4948789B2 (ja) | 認証システムにおける認証情報委譲方法およびセキュリティデバイス | |
JP6919484B2 (ja) | 暗号通信方法、暗号通信システム、鍵発行装置、プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20070306 |