JP2005208841A - Communication system, portable terminal and program - Google Patents

Communication system, portable terminal and program Download PDF

Info

Publication number
JP2005208841A
JP2005208841A JP2004013483A JP2004013483A JP2005208841A JP 2005208841 A JP2005208841 A JP 2005208841A JP 2004013483 A JP2004013483 A JP 2004013483A JP 2004013483 A JP2004013483 A JP 2004013483A JP 2005208841 A JP2005208841 A JP 2005208841A
Authority
JP
Japan
Prior art keywords
distributed data
distributed
data
application
secret information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2004013483A
Other languages
Japanese (ja)
Other versions
JP4028849B2 (en
Inventor
Toru Iino
徹 飯野
Tomohisa Nakamura
智久 中村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Data Group Corp
Original Assignee
NTT Data Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Data Corp filed Critical NTT Data Corp
Priority to JP2004013483A priority Critical patent/JP4028849B2/en
Publication of JP2005208841A publication Critical patent/JP2005208841A/en
Application granted granted Critical
Publication of JP4028849B2 publication Critical patent/JP4028849B2/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Landscapes

  • Storage Device Security (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide a communication system for enabling a portable terminal to safely use secret information. <P>SOLUTION: A management server 1 generates a plurality of distributed data by arithmetic processing by a secret distribution method for the secret information of a user, and integrates a portion of distributed data into an application, and transmits it. Also, the management server 1 transmits the distributed data other than the distributed data integrated into the application and distribution key vector information or the like to a portable terminal 2. The portable terminal 2 receives and stores the application into which the distributed data are integrated. Also, the portable terminal 2 receives the distributed data other than the distributed data integrated into the application and the distribution key vector information or the like from the management server 1, and associates them with the application for storage. At the time of executing the application, the distributed data are selected at random from the distributed data set as the program and relevant data of the application, and the secret information is restored from the selected distributed data and the distribution key vector information, and transmitted to the service providing terminal. <P>COPYRIGHT: (C)2005,JPO&NCIPI

Description

この発明は、個人情報等の重要なデータを携帯端末に送信するシステムにおいて、送信データを安全に保護するための通信システム等に関する。   The present invention relates to a communication system for safely protecting transmission data in a system for transmitting important data such as personal information to a portable terminal.

近年、携帯電話やPDA等の携帯端末では、ダウンロードしたアプリケーションに対して、例えば、クレジットカード情報、個人情報等のデータを設定することによりアプリケーションのパーソナライズを行い、そのパーソナライズされたアプリケーションを用いて、各種サービスをユーザに提供するサービス提供端末とデータ通信を行い、個別的なサービスの提供を受けることができるシステムが実現されている。
クレジットカード情報、個人情報等の重要なデータ(秘密情報)をコンピュータ間で送受信するシステムでは、個人情報等を第三者に不正に取得されないようなセキュリティ対策が必要であり、例えば、パスワードによる認証や暗号化等の技術を用いた種々の仕組みが考案されている。 In recent years, mobile terminals such as mobile phones and PDAs have personalized applications by setting data such as credit card information and personal information for downloaded applications, and using the personalized applications, A system that can perform data communication with a service providing terminal that provides various services to a user and receive provision of individual services has been realized.
In a system that sends and receives important data (secret information) such as credit card information and personal information between computers, security measures are necessary to prevent unauthorized acquisition of personal information etc. by a third party. Various mechanisms using techniques such as encryption and encryption have been devised.

例えば、一つのパスワードに基づいて記憶単位毎に異なるキーデータを生成し、生成したキーデータにより各記憶単位のデータを暗号化するデータ保護方法もある(特許文献1参照)。
特開平11−272561号公報(第4、5頁、第1図) For example, there is a data protection method in which different key data is generated for each storage unit based on one password, and the data of each storage unit is encrypted using the generated key data (see Patent Document 1).
Japanese Patent Laid-Open No. 11-272561 (4th, 5th page, FIG. 1)

例えば、データを安全に送受信するためにDES(Data Encryption Standard)やトリプルDES等の計算量が膨大な暗号演算を頻繁に行うシステムの場合、暗号演算専用のコプロセッサなどを持たない通常の携帯端末では演算処理に長時間を要してしまい実用的ではなかった。   For example, in the case of a system that frequently performs cryptographic operations such as DES (Data Encryption Standard) and triple DES in order to send and receive data safely, an ordinary mobile terminal that does not have a coprocessor dedicated to cryptographic operations However, it took a long time for the arithmetic processing and was not practical.

本発明は、上記実状に鑑みてなされたものであり、携帯端末等の比較的簡易な端末においても、ユーザの秘密情報を安全に利用することができる通信システム等を提供することを目的とする。   The present invention has been made in view of the above circumstances, and an object of the present invention is to provide a communication system and the like that can safely use a user's confidential information even in a relatively simple terminal such as a portable terminal. .

上記目的を達成するため、この発明の第1の観点に係る通信システムは、
各ユーザの秘密情報を記憶する秘密情報記憶手段と、
携帯端末からの要求に応答して、指定されたユーザの秘密情報を前記秘密情報記憶手段から読み出す手段と、
前記読み出した秘密情報について秘密分散法による演算処理を行って複数の分散データを生成する手段と、
前記生成された分散データをアプリケーションのプログラムに組み込んで前記ユーザの携帯端末に送信する手段と、
前記アプリケーションのプログラムに組み込んだ分散データ以外の分散データと、分散データの生成に使用された分散鍵ベクトル情報と、を前記ユーザの携帯端末に送信する送信手段と、を備えるサーバと、
ユーザの指定を含む要求を前記サーバに送信し、前記分散データが組み込まれたアプリケーションのプログラムを受信する手段と、
前記受信したアプリケーションのプログラムを記憶する記憶手段と、
前記受信したアプリケーションのプログラムに組み込まれた分散データ以外の分散データと、前記分散データの生成に使用された分散鍵ベクトル情報と、を前記サーバから受信して、前記受信したアプリケーションに関連付けて前記記憶手段に記憶する受信手段と、
前記記憶手段に記憶されているアプリケーションの実行時に、当該アプリケーションのプログラム及び当該アプリケーションに関するデータに設定されている分散データから、分散データをランダムに選出する手段と、
前記選出された分散データと、前記分散鍵ベクトル情報と、を用いて秘密情報を復元する復元手段と、
前記復元された秘密情報をサービス提供端末に送信する手段と、を備える携帯端末と、
前記携帯端末から受信した秘密情報を用いて携帯端末の認証を行い、認証結果に基づいて、サービスを提供するための処理を行うサービス提供端末と、
を備えることを特徴とする。 In order to achieve the above object, a communication system according to the first aspect of the present invention provides:
Secret information storage means for storing the secret information of each user;
Means for reading out secret information of the designated user from the secret information storage means in response to a request from the portable terminal;
Means for generating a plurality of distributed data by performing arithmetic processing by a secret sharing method on the read secret information;
Means for incorporating the generated distributed data into an application program and transmitting it to the mobile terminal of the user;
A server comprising: transmission means for transmitting distributed data other than the distributed data incorporated in the application program; and distributed key vector information used for generating the distributed data to the mobile terminal of the user;
Means for transmitting a request including a user designation to the server and receiving a program of an application in which the distributed data is embedded;
Storage means for storing the program of the received application;
The distributed data other than the distributed data incorporated in the received application program and the distributed key vector information used to generate the distributed data are received from the server and associated with the received application and stored. Receiving means for storing in the means;
Means for randomly selecting distributed data from the distributed data set in the program of the application and data related to the application when executing the application stored in the storage means;
Restoring means for restoring secret information using the selected shared data and the distributed key vector information;
Means for transmitting the restored secret information to a service providing terminal, and a portable terminal comprising:
A service providing terminal that authenticates the portable terminal using the secret information received from the portable terminal, and performs processing for providing a service based on the authentication result;
It is characterized by providing.

このような構成によれば、膨大な暗号演算処理を行うことなく秘密情報を安全に携帯端末に供給することができる。また、アプリケーションの実行時に秘密情報を復元して利用するため、耐タンパ性のハードウェア等に依存することなく秘密情報を保護することができる。また、秘密情報を復元するための分散データを複数のタイミングで分割して供給し、また、携帯端末における分散データの格納場所を複数設けているため、システムのセキュリティを向上させることができる。   According to such a configuration, secret information can be safely supplied to the mobile terminal without performing enormous cryptographic computation processing. Further, since the secret information is restored and used when the application is executed, the secret information can be protected without depending on tamper-resistant hardware or the like. Also, distributed data for restoring secret information is divided and supplied at a plurality of timings, and a plurality of distributed data storage locations are provided in the portable terminal, so that the security of the system can be improved.

前記サーバの前記送信手段は、前記分散鍵ベクトル情報を暗号鍵で暗号化したデータと、ユーザのパスワードに基づいて生成したパスワードベース鍵で暗号化した前記暗号鍵のデータと、を送信してもよく、
前記サーバは、前記携帯端末からユーザのパスワードの変更要求を受信した場合、当該ユーザに関する分散鍵ベクトル情報を、変更後のパスワードに基づいて生成したパスワードベース鍵で暗号化して、前記携帯端末に送信する手段をさらに備えてもよい。 The transmission means of the server may transmit data obtained by encrypting the distributed key vector information with an encryption key and data of the encryption key encrypted with a password base key generated based on a user password. Often,
When the server receives a request to change a user's password from the mobile terminal, the server encrypts the distributed key vector information related to the user with a password-based key generated based on the changed password and transmits the encrypted information to the mobile terminal. There may be further provided means.

前記携帯端末の受信手段は、暗号鍵で暗号化された分散鍵ベクトル情報と、ユーザのパスワードに基づくパスワードベース鍵で暗号化された暗号鍵のデータと、を受信してもよく、
前記携帯端末は、
パスワードの入力を受け付け、入力されたパスワードに基づくパスワードベース鍵を生成する手段と、
前記パスワードベース鍵で前記暗号化された暗号鍵を復号化し、当該復号化された暗号鍵で前記暗号化された分散鍵ベクトル情報を復号化することにより、分散鍵ベクトル情報を取得する手段と、
同一の分散鍵ベクトル情報の復号化回数を計数する計数手段と、
前記計数された復号化回数を前記サービス提供端末に送信する手段と、を備え、
前記サービス提供端末は、受信した復号化回数が一定値を超えている場合、前記携帯端末に記憶されている分散鍵ベクトル情報を更新する手段を備えてもよい。 The receiving means of the mobile terminal may receive distributed key vector information encrypted with an encryption key and encryption key data encrypted with a password base key based on a user password,
The portable terminal is
Means for accepting a password and generating a password-based key based on the entered password;
Means for obtaining distributed key vector information by decrypting the encrypted encryption key with the password-based key and decrypting the encrypted distributed key vector information with the decrypted encryption key;
Counting means for counting the number of times of decryption of the same distributed key vector information;
Means for transmitting the counted number of times of decoding to the service providing terminal,
The service providing terminal may include means for updating the distributed key vector information stored in the mobile terminal when the received number of decryption times exceeds a certain value.

前記サーバの前記送信手段は、前記アプリケーションのプログラムに組み込んだ分散データ以外の分散データの一部を前記携帯端末に送信してもよく、
前記サーバは、
前記アプリケーションのプログラムに組み込んだ分散データ以外の分散データであって、前記送信手段により送信される分散データ以外の分散データを記憶する分散データ保持手段と、
携帯端末からの要求に応じて、前記分散データ保持手段により記憶される分散データを前記携帯端末に送信する手段と、を備えてもよく、
前記携帯端末は、秘密情報を復元するときに、前記サーバが保持する分散データを前記サーバに要求してもよい。 The transmission means of the server may transmit a part of the distributed data other than the distributed data incorporated in the application program to the mobile terminal,
The server
Distributed data other than the distributed data incorporated in the application program, the distributed data holding means for storing the distributed data other than the distributed data transmitted by the transmitting means;
In response to a request from the portable terminal, the distributed data stored by the distributed data holding unit may be transmitted to the portable terminal,
The mobile terminal may request the shared data held by the server from the server when restoring the secret information.

また、この発明の第2の観点に係る携帯端末は、
ユーザの秘密情報を記憶するサーバにユーザの指定を含む要求を送信し、前記ユーザの秘密情報から生成された分散データが組み込まれたアプリケーションのプログラムを受信する手段と、
前記受信したアプリケーションのプログラムを記憶する記憶手段と、
前記サーバにより生成された分散データのうち、前記受信したアプリケーションのプログラムに組み込まれた分散データ以外の分散データと、前記分散データの生成に使用された分散鍵ベクトル情報と、を前記サーバから受信して、前記受信したアプリケーションに関連付けて前記記憶手段に記憶する受信手段と、
前記記憶手段に記憶されているアプリケーションの実行時に、当該アプリケーションのプログラム及び当該アプリケーションに関するデータに設定されている分散データから、分散データをランダムに選出する手段と、
前記選出された分散データと、前記分散鍵ベクトル情報と、を用いて秘密情報を復元する手段と、
前記復元された秘密情報をサービスの提供を受けるためにサービス提供端末に送信する手段と、
を備えることを特徴とする。 A portable terminal according to the second aspect of the present invention is
Means for transmitting a request including a user designation to a server storing user secret information and receiving a program of an application in which distributed data generated from the user secret information is embedded;
Storage means for storing the program of the received application;
Of the distributed data generated by the server, distributed data other than the distributed data incorporated in the received application program and the distributed key vector information used to generate the distributed data are received from the server. Receiving means for storing in the storage means in association with the received application;
Means for randomly selecting distributed data from the distributed data set in the program of the application and data related to the application when executing the application stored in the storage means;
Means for restoring secret information using the selected shared data and the distributed key vector information;
Means for transmitting the restored secret information to a service providing terminal for receiving the service;
It is characterized by providing.

また、この発明の第3の観点に係るプログラムは、
コンピュータに、
ユーザの秘密情報を記憶するサーバにユーザの指定を含む要求を送信し、前記ユーザの秘密情報から生成された分散データが組み込まれたアプリケーションのプログラムを受信するステップ、
前記受信したアプリケーションのプログラムを所定の記憶領域に記憶するステップ、
前記サーバにより生成された分散データのうち、前記受信したアプリケーションのプログラムに組み込まれた分散データ以外の分散データと、前記分散データの生成に使用された分散鍵ベクトル情報と、を前記サーバから受信して、前記受信したアプリケーションに関連付けて前記記憶領域に記憶するステップ、
前記記憶領域に記憶されているアプリケーションの実行時に、当該アプリケーションのプログラム及び当該アプリケーションに関するデータに設定されている分散データから、分散データをランダムに選出するステップ、
前記選出された分散データと、前記分散鍵ベクトル情報と、を用いて秘密情報を復元するステップ、
前記復元された秘密情報をサービスの提供を受けるためにサービス提供端末に送信するステップ、
を実行させる。 A program according to the third aspect of the present invention is:
On the computer,
Transmitting a request including a user designation to a server storing user secret information, and receiving a program of an application in which distributed data generated from the user secret information is embedded;
Storing the received application program in a predetermined storage area;
Of the distributed data generated by the server, distributed data other than the distributed data incorporated in the received application program and the distributed key vector information used to generate the distributed data are received from the server. Storing in the storage area in association with the received application,
A step of randomly selecting distributed data from the distributed data set in the program of the application and the data related to the application when the application stored in the storage area is executed;
Restoring secret information using the selected shared data and the distributed key vector information;
Transmitting the restored secret information to a service providing terminal to receive service provision;
Is executed.

本発明によれば、携帯端末等の比較的簡易な端末においても、ユーザの秘密情報を安全に利用することができる。   According to the present invention, the secret information of the user can be safely used even in a relatively simple terminal such as a portable terminal.

以下、本発明の実施の形態を、ユーザの携帯端末が、ユーザの個人情報やクレジット情報等の秘密情報を管理サーバから受信した情報に基づいて復元し、その復元した秘密情報をサービス提供端末に送信することにより、ユーザが各種サービスの提供を受けることができる通信システムを例に図面を参照して説明する。   Hereinafter, according to the embodiment of the present invention, the user's mobile terminal restores the secret information such as the user's personal information and credit information based on the information received from the management server, and the restored secret information is stored in the service providing terminal. A communication system that allows a user to receive various services by transmission will be described with reference to the drawings.

本発明の実施形態に係る通信システムの構成例を図1に示す。この通信システムは、管理サーバ1と、携帯端末2と、サービス提供端末3と、を備える。管理サーバ1と携帯端末2はネットワーク10を介して接続される。また、携帯端末2とサービス提供端末3は、例えば、Bluethooth用インタフェース(I/F)、赤外線I/F、接触型ICカードI/F、非接触型ICカードI/F等の各種ローカルI/Fにより接続される。   A configuration example of a communication system according to an embodiment of the present invention is shown in FIG. This communication system includes a management server 1, a mobile terminal 2, and a service providing terminal 3. The management server 1 and the mobile terminal 2 are connected via the network 10. In addition, the mobile terminal 2 and the service providing terminal 3 include various local I / Fs such as a Bluetooth interface (I / F), an infrared I / F, a contact IC card I / F, and a non-contact IC card I / F. Connected by F.

管理サーバ1の構成例を図2に示す。管理サーバ1は、制御部11と、記憶部12と、通信制御部13と、を備えるコンピュータから構成される。
制御部11は、CPU(Central Processing Unit)、ROM(Read Only Memory)、RAM(Random Access Memory)等から構成され、記憶部12に予め記憶された動作プログラム等を読み出して、ダウンロード要求に応じてアプリケーションのプログラム等を携帯端末2に供給するアプリケーション供給処理、分散データ要求に応じて、携帯端末2に分散データ等を供給する分散データ供給処理等を実行する。 A configuration example of the management server 1 is shown in FIG. The management server 1 includes a computer that includes a control unit 11, a storage unit 12, and a communication control unit 13.
The control unit 11 includes a CPU (Central Processing Unit), a ROM (Read Only Memory), a RAM (Random Access Memory), and the like, reads an operation program stored in the storage unit 12 in advance, and responds to a download request. An application supply process for supplying an application program or the like to the mobile terminal 2, a distributed data supply process for supplying distributed data or the like to the mobile terminal 2 is executed in response to the distributed data request.

アプリケーション供給処理では、制御部11は、携帯端末2から例えばユーザID、アプリケーション名等を含むダウンロード要求を受信すると、記憶部12のユーザDBから要求元のユーザの秘密情報を検索して読み出し、読み出した秘密情報について、秘密分散法に従って複数の分散データを生成(算出)する。
具体的には、制御部11は、例えば任意に生成した乱数などを用いて互いに線形独立な複数の秘密鍵を生成し、この秘密鍵を列として並べた分散鍵ベクトル群を生成する。なお、この分散鍵ベクトル群は事前に生成してもよい。次に、制御部11は、ユーザの秘密情報(16進の元データ)からnバイト(nは秘密鍵の長さ)ずつ取り出し、分散鍵ベクトル群とベクトルの掛け算を行い、その結果を列として並べたデータ群において、行毎に集めたデータを分散データとして生成する。例えば、図3(a)に示すようなユーザの秘密情報について分散データを生成する場合、図3(b)に示すような鍵ベクトルから、図3(c)に示すような鍵ベクトル群を生成し、図3(d)に示すように、秘密情報を2バイトずつ取り出して分散鍵ベクトル群とベクトルの掛け算を行い、その結果を列として並べたデータ群について、行毎にデータを集めなおすことにより、各分散データを生成する。 In the application supply process, when receiving a download request including, for example, a user ID, an application name, and the like from the portable terminal 2, the control unit 11 searches and reads out the confidential information of the requesting user from the user DB in the storage unit 12. For the secret information, a plurality of shared data is generated (calculated) according to the secret sharing method.
Specifically, the control unit 11 generates a plurality of linearly independent secret keys using, for example, arbitrarily generated random numbers, and generates a distributed key vector group in which the secret keys are arranged as a column. Note that this distributed key vector group may be generated in advance. Next, the control unit 11 extracts n bytes (n is the length of the secret key) from the user's secret information (hexadecimal original data), multiplies the distributed key vector group and the vector, and sets the result as a column. In the arranged data group, data collected for each row is generated as distributed data. For example, when generating shared data for the user's secret information as shown in FIG. 3A, a key vector group as shown in FIG. 3C is generated from the key vector as shown in FIG. 3B. Then, as shown in FIG. 3 (d), the secret information is taken out by 2 bytes, the distributed key vector group is multiplied by the vector, and the data is recollected for each row for the data group in which the result is arranged as a column. Thus, each distributed data is generated.

そして、制御部11は、生成した分散データ等を、ユーザID、要求されたアプリケーションのアプリケーション名等のデータと関連付けて記憶部12に記憶する。なお、この分散データの生成処理では、例えば、「Shamir,A:How to Share a Share aSecret, Comm. Assoc. Comput. March., vol.22, no.11, pp.612-613(Nov.1979)」に示されるShamirの多項式を利用した秘密分散法を用いる。
また、制御部11は、生成した複数の分散データのうちの少なくとも1つの分散データと、秘密情報を復元する際に利用される多項式演算の行列テーブル(復元用テーブル)のデータと、をダウンロード対象のアプリケーションのプログラムデータに埋め込む。アプリケーションに埋め込む分散データの数は予め定められた数でもよく、また、ランダムに決定してもよい。また、復元用テーブルは、行列演算をする際に参照される加算用テーブルと積算用テーブルであり、例えば、各テーブルは縦と横に0〜15の数をとり、加算用テーブルは、縦と横の値を加算した値をそれぞれ設定したものであり、また、積算用テーブルは、縦と横の値を積算した値をそれぞれ設定したものである。多項式演算の加算処理や乗算処理は処理時間が長くかかるため、このようなテーブルを用いることで演算処理時間を短縮することができる。なお、上記の分散データの生成処理において、制御部11がこの復元用テーブルを用いて、行列演算を行うようにしてもよい。
そして、制御部11は、分散データと復元用テーブルが埋め込まれたアプリケーションのプログラムとアプリケーション名等データを要求元の携帯端末2に送信する。 Then, the control unit 11 stores the generated distributed data and the like in the storage unit 12 in association with data such as a user ID and an application name of the requested application. In this distributed data generation process, for example, `` Shamir, A: How to Share a Share a Secret, Comm. Assoc. Comput. March., Vol. 22, no. 11, pp. 612-613 (Nov. 1979 The secret sharing method using Shamir's polynomial shown in “)” is used.
Further, the control unit 11 downloads at least one shared data among the plurality of generated shared data and data of a matrix table (restoration table) for polynomial operation used when restoring the secret information. Embed in the program data of the application. The number of distributed data embedded in the application may be a predetermined number or may be determined randomly. Further, the restoration table is an addition table and an integration table that are referred to when performing a matrix operation. For example, each table takes a number of 0 to 15 in the vertical and horizontal directions, and the addition table is in the vertical and horizontal directions. The values obtained by adding the horizontal values are set, and the integration table is set by adding the values obtained by integrating the vertical and horizontal values. Since addition processing and multiplication processing of polynomial operations take a long processing time, the processing time can be reduced by using such a table. In the distributed data generation process, the control unit 11 may perform a matrix operation using the restoration table.
Then, the control unit 11 transmits the application program and the application name data in which the distributed data and the restoration table are embedded to the requesting mobile terminal 2.

また、分散データ供給処理では、制御部11は、携帯端末2から例えばユーザIDとアプリケーション名等を含む分散データ要求を受信すると、要求元のユーザのパスワードを記憶部12のユーザDBから読み出し、読み出したパスワードに基づくパスワードベース鍵を生成する。パスワードベース鍵は、例えば、パスワードとパラメータ(鍵生成用パラメータ)を組み合わせたデータについてハッシュ演算を行うことにより生成する。そして、制御部11は、要求元のユーザについて先に生成した分散データや分散データの生成に使用した分散鍵ベクトル群のデータ等を記憶部12から読み出し、所定の暗号鍵(ルート鍵)を用いて、分散鍵ベクトル群を暗号化する。そして、読み出した分散データのうち、先にアプリケーションに埋め込んだ分散データ以外の複数の分散データと、暗号化した分散鍵ベクトル群と、ユーザのパスワードベース鍵でルート鍵を暗号化したデータと、ルート鍵のメッセージ認証コード(MAC:メッセージ認証コード)、鍵生成用パラメータ等のデータを携帯端末2に送信し、携帯端末2においてアプリケーションにより利用されるデータ内に設定させる。なお、ルート鍵は、分散鍵ベクトル群を暗号化する毎に生成してもよく、また、予め定められた暗号鍵を用いてもよい。   In the distributed data supply process, when the control unit 11 receives a distributed data request including, for example, a user ID and an application name from the mobile terminal 2, the control unit 11 reads out and reads out the password of the requesting user from the user DB of the storage unit 12. Generate a password-based key based on the password. The password base key is generated, for example, by performing a hash operation on data obtained by combining a password and a parameter (key generation parameter). Then, the control unit 11 reads out from the storage unit 12 the shared data previously generated for the requesting user and the data of the distributed key vector group used to generate the distributed data, and uses a predetermined encryption key (root key). Thus, the distributed key vector group is encrypted. Among the read distributed data, a plurality of distributed data other than the distributed data previously embedded in the application, the encrypted distributed key vector group, the data obtained by encrypting the root key with the user's password base key, the root Data such as a key message authentication code (MAC: message authentication code) and a key generation parameter is transmitted to the mobile terminal 2 and set in data used by the application in the mobile terminal 2. The root key may be generated every time the distributed key vector group is encrypted, or a predetermined encryption key may be used.

記憶部12は、例えば、ハードディスク装置等から構成され、制御部11が実行するための動作プログラム及び処理に必要な各種データ等が記憶される。また、記憶部12は、各ユーザの秘密情報(例えば、クレジット情報、認証用鍵、個人情報等)、パスワード等のデータがユーザIDに関連付けられてユーザ毎に登録されているユーザDB等を備える。
通信制御部13は、ネットワーク10を介した携帯端末2とのデータ通信を行う。なお、ネットワーク10は、例えば、インターネット、専用線、公衆回線網、移動体通信網等を含む。 The storage unit 12 is composed of, for example, a hard disk device or the like, and stores an operation program to be executed by the control unit 11 and various data necessary for processing. In addition, the storage unit 12 includes a user DB or the like in which each user's secret information (for example, credit information, authentication key, personal information, etc.) and data such as a password are associated with the user ID and registered for each user. .
The communication control unit 13 performs data communication with the mobile terminal 2 via the network 10. The network 10 includes, for example, the Internet, a dedicated line, a public line network, a mobile communication network, and the like.

携帯端末2の構成例を図4に示し、サービス提供端末3の構成例を図5に示す。また、携帯端末2とサービス提供端末3の機能ブロック図を図6に示す。
携帯端末2は、例えば、CPU21と、メモリ22と、入力部23と、表示部24と、通信部25と、ローカルI/F26と、を備えるコンピュータから構成され、携帯電話機、PDA(Personal Digital Assistance)等を含む。 A configuration example of the mobile terminal 2 is shown in FIG. 4, and a configuration example of the service providing terminal 3 is shown in FIG. 5. Moreover, the functional block diagram of the portable terminal 2 and the service provision terminal 3 is shown in FIG.
The mobile terminal 2 includes, for example, a computer including a CPU 21, a memory 22, an input unit 23, a display unit 24, a communication unit 25, and a local I / F 26, and includes a mobile phone, a PDA (Personal Digital Assistance). ) Etc.

CPU21は、メモリ22に記憶されるプログラムを実行することにより、ダウンロード要求部211、分散データ要求部212、検証部213、情報復元部214、認証部215、サービス実行部216等を論理的に実現する。   The CPU 21 logically implements a download request unit 211, a distributed data request unit 212, a verification unit 213, an information restoration unit 214, an authentication unit 215, a service execution unit 216, and the like by executing a program stored in the memory 22. To do.

ダウンロード要求部211は、アプリケーションのダウンロード要求を管理サーバ1に送信して、アプリケーションのダウンロードを行う。具体的には、ユーザID、アプリケーション名等のデータをダウンロード要求とともに送信し、ユーザの秘密情報から生成された複数の分散データのうちの少なくとも1つの分散データと、秘密データの復元に使用される復元用テーブルと、が埋め込まれたアプリケーションのプログラムデータとアプリケーション名等を受信し、メモリ22に記憶する。   The download request unit 211 transmits an application download request to the management server 1 to download the application. Specifically, data such as a user ID and an application name is transmitted together with a download request, and is used to restore at least one of the plurality of distributed data generated from the user's secret information and the secret data. The program data and application name of the application in which the restoration table is embedded are received and stored in the memory 22.

分散データ要求部212は、ダウンロードしたアプリケーションのパーソナライズに必要な分散データを取得するために、管理サーバ1に分散データ要求を送信する。具体的には、ユーザID、アプリケーション名等のデータを分散データ要求とともに管理サーバ1に送信し、ダウンロードしたアプリケーションに埋め込まれた分散データ以外の複数の分散データ、暗号化された分散鍵ベクトル群、暗号化されたルート鍵、MAC、鍵生成用パラメータ等のデータを受信し、メモリ22に記憶されている、そのアプリケーションが利用するデータ領域に記憶することにより、アプリケーションをパーソナライズする。   The distributed data request unit 212 transmits a distributed data request to the management server 1 in order to acquire distributed data necessary for personalization of the downloaded application. Specifically, data such as a user ID and an application name is transmitted to the management server 1 together with the distributed data request, and a plurality of distributed data other than the distributed data embedded in the downloaded application, an encrypted distributed key vector group, Data such as the encrypted root key, MAC, and key generation parameters are received and stored in the data area used by the application stored in the memory 22 to personalize the application.

検証部213は、アプリケーションプログラムの起動時にメモリ22に記憶されているMAC(メッセージ認証コード)の検証を行う。具体的には、ユーザによるパスワードの入力を受け付け、入力されたパスワードからパスワードベース鍵を生成し、生成したパスワードベース鍵を用いて、そのアプリケーションが利用するデータ領域に記憶されている、暗号化されたルート鍵を復号化する。なお、パスワードベース鍵は、例えば、入力されたパスワードと、アプリケーションが利用するデータ領域に記憶されている鍵生成用パラメータと、を組み合わせたデータについてハッシュ演算を行うことにより生成する。そして、復号化したルート鍵についてMACを生成し、アプリケーションが利用するデータ領域に記憶されている認証コード(MAC)と照合する。なお、MAC(メッセージ認証コード)の生成方法は任意であり、例えばルート鍵についてハッシュ演算を行うことにより生成してもよい。そして、照合データが一致した場合には、メモリ22に記憶されている認証コードは正しいと判定し、ローカルI/F26を制御してサービス提供端末3との通信を開始する。   The verification unit 213 verifies the MAC (message authentication code) stored in the memory 22 when the application program is activated. Specifically, the password input by the user is accepted, a password base key is generated from the input password, and the encrypted password stored in the data area used by the application is generated using the generated password base key. Decrypt the root key. Note that the password base key is generated by performing a hash operation on data that is a combination of the input password and the key generation parameters stored in the data area used by the application, for example. Then, a MAC is generated for the decrypted root key, and verified with an authentication code (MAC) stored in a data area used by the application. Note that a method for generating a MAC (message authentication code) is arbitrary, and for example, it may be generated by performing a hash operation on the root key. If the collation data match, it is determined that the authentication code stored in the memory 22 is correct, and the local I / F 26 is controlled to start communication with the service providing terminal 3.

情報復元部214は、起動されたアプリケーション及びそのアプリケーションで利用するデータに設定されている分散データから秘密情報を復元する。この秘密情報の復元処理では、乱数を生成し、生成した乱数を用いて、秘密情報の復元に使用する複数の分散データを決定する。例えば、乱数1、5、8・・・を生成した場合、分散データW1、W2、・・・、WnからW1、W5、W8・・・を復元に使用する分散データとして選択してもよい。また、乱数の生成方法は任意であり、メモリ22に記憶されている乱数生成用の関数式を用いて生成してもよく、また、管理サーバ1から受信してメモリ22に記憶された乱数生成用パラメータと内部タイマから取得した時間情報などを組み合わせたデータを一方向関数等により算出した値を乱数として用いてもよい。次に、情報復元部214は、検証部213により復号化されたルート鍵を用いて、メモリ22に記憶されている、暗号化された分散鍵ベクトル群を復号化する。そして、アプリケーション及びアプリケーションで利用するデータに設定されている分散データから、復元に使用する分散データとして先に選択した複数の分散データと、復元用テーブルと、を取得するとともに、分散ベクトル群の逆行列を算出し、選択した分散データと、復元用テーブルと、分散ベクトル群の逆行列と、を用いた行列演算を行い秘密情報を復元する。復元された秘密情報は、例えば、ユーザのクレジット情報や認証用鍵等のデータを含む。   The information restoration unit 214 restores the secret information from the distributed data set in the activated application and data used by the application. In this secret information restoration process, a random number is generated, and a plurality of distributed data to be used for restoring the secret information is determined using the generated random number. For example, when random numbers 1, 5, 8,... Are generated, the distributed data W1, W2,..., Wn to W1, W5, W8. The random number generation method is arbitrary, and it may be generated using a random number generation function expression stored in the memory 22, or the random number generation received from the management server 1 and stored in the memory 22 A value calculated by using a one-way function or the like, which is a combination of time parameters acquired from an internal parameter and an internal timer, may be used as a random number. Next, the information restoration unit 214 decrypts the encrypted distributed key vector group stored in the memory 22 using the root key decrypted by the verification unit 213. Then, from the distributed data set in the application and the data used in the application, a plurality of distributed data previously selected as distributed data to be used for restoration and a restoration table are acquired, and the inverse of the distributed vector group is obtained. The matrix is calculated, and the secret information is restored by performing a matrix operation using the selected shared data, the restoration table, and the inverse matrix of the distributed vector group. The restored secret information includes, for example, data such as user credit information and an authentication key.

なお、本発明で利用する秘密分散法について、拡大体GF(2)の場合を例に示すと、xiを分散鍵、rを任意の変数とした場合に、(数1)に示される、n個に分散した分散情報f(xi)のうち、k個の分散情報から秘密情報Sを復元することができる。 As for the secret sharing scheme used in the present invention, the case of the extension field GF (2 m ) is shown as an example. When xi is a distributed key and r is an arbitrary variable, The secret information S can be restored from k pieces of distributed information among the n pieces of distributed information f (xi).

(数1)

Figure 2005208841
(Equation 1)
Figure 2005208841

例えば、n=3、k=2とすると、分散情報は以下のようになる。
f(x1)=S+r1・x1+r2・x1
f(x2)=S+r1・x2+r2・x2
f(x3)=S+r1・x3+r2・x3
この場合、分散情報と鍵ベクトルを含む2変数の連立方程式の3つのうち2つから、連立方程式を解くことにより、Sを復元することができる。連立方程式は行列演算で解くことも可能であり、鍵ベクトルを2次元、分散データを2要素ずつ組にした場合、(数2)に示すような行列演算で求めることができる。 For example, when n = 3 and k = 2, the distributed information is as follows.
f (x1) = S + r1 · x1 + r2 · x1
f (x2) = S + r1 · x2 + r2 · x2
f (x3) = S + r1 * x3 + r2 * x3
In this case, S can be restored by solving simultaneous equations from two of the three simultaneous equations of two variables including the shared information and the key vector. The simultaneous equations can also be solved by matrix calculation. When the key vector is two-dimensional and the distributed data is two elements each, it can be calculated by matrix calculation as shown in (Equation 2).

(数2)

Figure 2005208841
(Equation 2)
Figure 2005208841

より具体的に説明すると、情報復元部214は、例えば、複数の分散データのうち、復元に利用する分散データとして1つ目と3つ目の分散データを選択した場合、図7(a)に示すように、分散鍵ベクトル群Aから対応する鍵ベクトルを取り出し、取り出したベクトルからなる分散鍵ベクトル群Bの逆行列B−1を生成する。そして、図7(b)に示すように、生成した逆行列B−1と、選択した分散データを組み合わせたベクトルとの積算を行う。なお、このベクトル演算での加算・積算の際に復元用テーブルを利用する。そして、情報復元部214は、演算結果のベクトルの各要素を連結して秘密情報を復元する。 More specifically, for example, when the first and third shared data are selected as the shared data to be used for restoration from among a plurality of shared data, the information restoring unit 214 in FIG. As shown, a corresponding key vector is extracted from the distributed key vector group A, and an inverse matrix B −1 of the distributed key vector group B composed of the extracted vectors is generated. Then, as shown in FIG. 7B, integration of the generated inverse matrix B −1 and a vector combining the selected distributed data is performed. Note that a restoration table is used for addition and integration in the vector calculation. Then, the information restoration unit 214 restores the secret information by connecting the elements of the calculation result vector.

認証部215は、サービス提供端末3との間で認証処理を行う。具体的には、例えば、アプリケーションの起動に応じてローカルI/F26がサービス提供端末3に通信要求を送信する等してサービス提供端末3との通信が確立した後、サービス提供端末3から受信した乱数を、復元した秘密情報に含まれる認証用鍵で暗号化してサービス提供端末3に送信する。そして携帯端末4による認証が完了すると、以後サービスの利用が可能となる。
なお、例えば、送信した認証データについてOK信号をサービス提供端末3から受信した後、認証部215が、携帯端末2側の乱数を生成してサービス提供端末3に送信し、サービス提供端末3から認証コード等を受信し、受信した認証コードを認証用鍵で復号化したデータに、送信した乱数が含まれているかを確認する等して、相互認証を行うようにしてもよい。 The authentication unit 215 performs authentication processing with the service providing terminal 3. Specifically, for example, the local I / F 26 transmits a communication request to the service providing terminal 3 in response to the activation of the application, and the communication with the service providing terminal 3 is established, and then received from the service providing terminal 3. The random number is encrypted with the authentication key included in the restored secret information and transmitted to the service providing terminal 3. When authentication by the portable terminal 4 is completed, the service can be used thereafter.
For example, after receiving an OK signal for the transmitted authentication data from the service providing terminal 3, the authentication unit 215 generates a random number on the mobile terminal 2 side and transmits it to the service providing terminal 3. Mutual authentication may be performed by receiving a code or the like and confirming whether or not the transmitted random number is included in the data obtained by decrypting the received authentication code with the authentication key.

サービス実行部216は、認証部215による認証処理が正しく完了した後、秘密情報やその他のサービスに関する各種データをサービス提供端末3との間で送受信して、サービスの提供を受けるための処理を行う。サービスの内容は任意であり、例えば、自動販売機やPOS端末等におけるクレジット決済や電子マネー決済等の決済サービスでもよく、ATM端末等における引き出し、預け入れ、口座振替等の口座処理サービス等でもよい。   After the authentication processing by the authentication unit 215 is correctly completed, the service execution unit 216 performs processing for receiving and receiving service provision by transmitting and receiving secret information and various data related to other services to and from the service providing terminal 3. . The content of the service is arbitrary. For example, it may be a payment service such as credit payment or electronic money payment in a vending machine or a POS terminal, or may be an account processing service such as withdrawal, deposit, or account transfer in an ATM terminal.

メモリ22は、ROM、RAM等から構成され、CPU21が実行するための動作プログラム及び処理に必要な各種データ、ユーザID等が記憶される。また、メモリ22には、例えば図8に示すように、少なくとも1つの分散データと復元用テーブルが埋め込まれているアプリケーションのプログラムデータと、そのアプリケーションに関するデータ(アプリケーションで利用するデータ)と、がアプリケーション毎に記憶されている。アプリケーションで利用するデータには、例えば、分散データ、暗号化された分散鍵ベクトル群、暗号化されたルート鍵、MAC、鍵生成用パラメータ等が設定されている。   The memory 22 includes a ROM, a RAM, and the like, and stores an operation program to be executed by the CPU 21, various data necessary for processing, a user ID, and the like. Further, for example, as shown in FIG. 8, the memory 22 stores program data of an application in which at least one distributed data and a restoration table are embedded, and data related to the application (data used in the application). It is memorized every time. For example, distributed data, an encrypted distributed key vector group, an encrypted root key, a MAC, a key generation parameter, and the like are set in the data used in the application.

入力部23は、例えばキーボードやポインティングデバイスを含む入力装置から構成され、入力されたデータをCPU21に通知する。
表示部24は、液晶ディスプレイ等から構成され、各種画面表示を行う。
通信部25は、ネットワーク10を介した管理サーバ1とのデータ通信を行う。
ローカルI/F26は、所定の通信方式に従ってサービス提供端末3との近距離データ通信を行うI/Fであり、例えば、CPU、ROM、RAM、受信機、送信機等から構成される。なお、ローカルI/F26の通信方法の種別は任意である。例えば、Bluethooth用インタフェース(I/F)、赤外線I/F、接触型ICカードI/F、非接触型ICカードI/F等でもよい。 The input unit 23 is composed of an input device including a keyboard and a pointing device, for example, and notifies the CPU 21 of input data.
The display unit 24 includes a liquid crystal display and the like, and performs various screen displays.
The communication unit 25 performs data communication with the management server 1 via the network 10.
The local I / F 26 is an I / F that performs short-range data communication with the service providing terminal 3 in accordance with a predetermined communication method, and includes, for example, a CPU, a ROM, a RAM, a receiver, a transmitter, and the like. Note that the type of communication method of the local I / F 26 is arbitrary. For example, a Bluetooth interface (I / F), an infrared I / F, a contact IC card I / F, a non-contact IC card I / F, or the like may be used.

サービス提供端末3は、制御部31、記憶部32、入力部33と、表示部34と、通信部35と、ローカルI/F36等を備えるコンピュータから構成される。   The service providing terminal 3 includes a computer including a control unit 31, a storage unit 32, an input unit 33, a display unit 34, a communication unit 35, a local I / F 36, and the like.

制御部31は、記憶部32に記憶される動作プログラムを実行することにより、携帯端末認証部311、サービス実行部312等を論理的に実現する。
携帯端末認証部311は、ローカルI/F36を介して携帯端末2との通信が確立した後、乱数を生成し、生成した乱数を認証データの要求とともに携帯端末2に送信する。そして、携帯端末2から認証データを受信し、受信した認証データを認証用鍵で復号化したデータに、生成した乱数が含まれるかをチェック等することにより、認証データの正当性をチェックする。
サービス実行部312は、認証データが正しい場合には、サービスに関する各種データを携帯端末2と送受信し、サービスを提供するための処理を行う。 The control unit 31 logically implements the portable terminal authentication unit 311, the service execution unit 312, and the like by executing the operation program stored in the storage unit 32.
The mobile terminal authentication unit 311 generates a random number after establishing communication with the mobile terminal 2 via the local I / F 36, and transmits the generated random number to the mobile terminal 2 together with a request for authentication data. Then, the authentication data is received from the portable terminal 2, and the validity of the authentication data is checked by checking whether the generated random number is included in the data obtained by decrypting the received authentication data with the authentication key.
When the authentication data is correct, the service execution unit 312 transmits / receives various data related to the service to / from the mobile terminal 2 and performs processing for providing the service.

記憶部32は、ROM、RAM、ハードディスク装置等から構成され、CPU21が実行するための動作プログラム及び処理に必要な各種データ、認証データをチェックするための情報(認証用鍵等)等が記憶されている。
入力部33は、例えばキーボードやポインティングデバイスを含む入力装置から構成され、入力されたデータを制御部31に通知する。
表示部34は、液晶ディスプレイ等から構成され、各種画面表示を行う。
通信部35は、ネットワーク10を介した管理サーバ1とのデータ通信を行う。 The storage unit 32 includes a ROM, a RAM, a hard disk device, and the like, and stores an operation program to be executed by the CPU 21, various data necessary for processing, information for checking authentication data (such as an authentication key), and the like. ing.
The input unit 33 is composed of an input device including a keyboard and a pointing device, for example, and notifies the control unit 31 of input data.
The display unit 34 includes a liquid crystal display or the like, and performs various screen displays.
The communication unit 35 performs data communication with the management server 1 via the network 10.

ローカルI/F36は、所定の通信方式に従って携帯端末2との近距離データ通信を行うI/Fであり、例えば、CPU、ROM、RAM、受信機、送信機等から構成される。なお、ローカルI/F36の通信方法の種別は任意である。例えば、Bluethooth用インタフェース(I/F)、赤外線I/F、接触型ICカードI/F、非接触型ICカードI/F等でもよい。   The local I / F 36 is an I / F that performs short-range data communication with the mobile terminal 2 according to a predetermined communication method, and includes, for example, a CPU, a ROM, a RAM, a receiver, a transmitter, and the like. Note that the type of communication method of the local I / F 36 is arbitrary. For example, a Bluetooth interface (I / F), an infrared I / F, a contact IC card I / F, a non-contact IC card I / F, or the like may be used.

次に、この発明の実施形態に係る通信システムにおいて、携帯端末2がサービスの提供を受けるために、秘密情報を復元してサービス提供端末3に送信し、認証を受ける際のシステム動作について図9を参照して説明する。
まず、携帯端末2は、所定の入力操作に応じて、サービスの提供を受けるためのアプリケーションプログラムを起動すると(ステップS1)、パスワードの入力を受け付ける(ステップS2)。そして、携帯端末2は、入力されたパスワードからパスワードベース鍵を生成し(ステップS3)、パスワードベース鍵を用いて暗号化されたルート鍵の復号化を行い(ステップS4)、MACの検証を行う(ステップS5)。 Next, in the communication system according to the embodiment of the present invention, in order for the portable terminal 2 to receive the provision of service, the secret information is restored and transmitted to the service providing terminal 3, and the system operation when receiving authentication is shown in FIG. Will be described with reference to FIG.
First, in response to a predetermined input operation, the mobile terminal 2 starts an application program for receiving service provision (step S1), and accepts an input of a password (step S2). Then, the mobile terminal 2 generates a password base key from the input password (step S3), decrypts the root key encrypted using the password base key (step S4), and verifies the MAC. (Step S5).

検証結果がNGの場合(ステップS5:NO)、携帯端末2は、エラーメッセージを表示して処理を終了する等のエラー処理を行う(ステップS6)。また、検証結果がOKの場合(ステップS5:YES)、携帯端末2は、復号化されたルート鍵で、暗号化された分散ベクトル群の復号化を行うとともに(ステップS7)、ローカルI/F26を利用して所定の通信手続きを行い、サービス提供端末3との通信を確立する(ステップS8)。   If the verification result is NG (step S5: NO), the mobile terminal 2 performs an error process such as displaying an error message and terminating the process (step S6). If the verification result is OK (step S5: YES), the mobile terminal 2 decrypts the encrypted distributed vector group with the decrypted root key (step S7) and the local I / F 26. A predetermined communication procedure is performed by using the to establish communication with the service providing terminal 3 (step S8).

一方、サービス提供端末3は、所定のタイミング(例えば、業務開始時等)でプログラムを起動し(ステップS9)、ローカルI/F36を利用して所定の通信手続きを行い、携帯端末2との通信を確立する(ステップS10)。具体的には、例えば、所定の周波数の無線信号等を送信し、携帯端末2からの応答信号を受信し、通信速度等のネゴシエーション等を行って通信を確立する。   On the other hand, the service providing terminal 3 activates a program at a predetermined timing (for example, at the start of business) (step S9), performs a predetermined communication procedure using the local I / F 36, and communicates with the mobile terminal 2. Is established (step S10). Specifically, for example, a wireless signal of a predetermined frequency is transmitted, a response signal from the mobile terminal 2 is received, and communication speed is negotiated to establish communication.

次に、携帯端末2は、乱数を生成し、生成した乱数を用いて、秘密情報の復元に使用する分散データを選択し(ステップS11)、選択された分散データと、復号化した分散鍵ベクトル群の逆行列と復元用テーブルを用いて、秘密情報を復元する演算処理を行う(ステップS12)。
一方、サービス提供端末3は、通信の確立後、乱数を生成し、生成した乱数と認証データ要求とを携帯端末2に送信する(ステップS13)。
携帯端末2は、サービス提供端末3から受信した乱数と、復元した秘密情報に含まれる認証鍵等を用いて認証データを生成し、サービス提供端末3に送信する(ステップS14)。 Next, the mobile terminal 2 generates a random number, uses the generated random number to select shared data to be used for restoring the secret information (step S11), and selects the distributed data and the decrypted distributed key vector. Using the group inverse matrix and the restoration table, a calculation process for restoring the secret information is performed (step S12).
On the other hand, after establishing communication, the service providing terminal 3 generates a random number, and transmits the generated random number and an authentication data request to the portable terminal 2 (step S13).
The portable terminal 2 generates authentication data using the random number received from the service providing terminal 3 and the authentication key included in the restored secret information, and transmits it to the service providing terminal 3 (step S14).

サービス提供端末3は、携帯端末2から認証データを受信し、受信した認証データを記憶部32に記憶されている認証用鍵を用いて復号化し、復号化したデータに、先に生成した乱数が含まれていることを確認することで、認証データの正当性を確認する(ステップS15)。認証データの確認結果がNGの場合には、エラーメッセージを携帯端末2に送信し、サービス提供用プログラムをロックする等のエラー処理を行い(ステップS16)、認証データの確認結果がOKの場合には、認証OKである旨の通知を携帯端末2に送信するとともに、秘密情報やその他のサービスに関する各種データを携帯端末2との間で送受信して、サービスを提供するための処理を行う(ステップS17)。   The service providing terminal 3 receives the authentication data from the portable terminal 2, decrypts the received authentication data using the authentication key stored in the storage unit 32, and the previously generated random number is added to the decrypted data. The validity of the authentication data is confirmed by confirming that it is included (step S15). If the verification result of the authentication data is NG, error processing such as sending an error message to the mobile terminal 2 and locking the service providing program is performed (step S16). If the verification result of the authentication data is OK Transmits a notification indicating that the authentication is OK to the mobile terminal 2 and transmits / receives various kinds of data related to secret information and other services to / from the mobile terminal 2 to perform a process for providing the service (step) S17).

以上説明したように、本発明によれば、膨大な暗号演算処理を行うことなく秘密情報を安全に携帯端末に供給することができる。また、アプリケーションの実行時に秘密情報を復元して利用するため、耐タンパ性のハードウェア等に依存することなく秘密情報を保護することができる。また、秘密情報を復元するための分散データを複数のタイミングで分割して供給し、また、携帯端末における分散データの格納場所を複数設けているため、システムのセキュリティを向上させることができる。   As described above, according to the present invention, secret information can be safely supplied to a mobile terminal without performing enormous cryptographic computation processing. Further, since the secret information is restored and used when the application is executed, the secret information can be protected without depending on tamper-resistant hardware or the like. Also, distributed data for restoring secret information is divided and supplied at a plurality of timings, and a plurality of distributed data storage locations are provided in the portable terminal, so that the security of the system can be improved.

なお、本発明は種々の変形及び応用が可能である。
例えば、携帯端末2が秘密情報の復元に使用する分散データを選択する処理において、携帯端末2が生成した乱数を用いてアプリケーションのプログラム化領域内の分散データを選択し、サービス提供端末3から乱数を受信し、その受信した乱数を用いてアプリケーションに関するデータ内の分散データを選択するようにしてもよい。 The present invention can be variously modified and applied.
For example, in the process of selecting the shared data used by the portable terminal 2 to restore the secret information, the distributed data in the application programming area is selected using the random number generated by the portable terminal 2, and the random number is received from the service providing terminal 3. And the distributed data in the data related to the application may be selected using the received random number.

また、ユーザがパスワードを更新する場合、例えば、携帯端末2はユーザに変更前のパスワードを入力させ、メモリ22に予め記憶されているパスワードと照合する認証を行った後、管理サーバ1にネットワーク10を介して接続し、新規のパスワードの入力を受け付け、入力されたパスワード、ユーザID等のデータをパスワード変更要求とともに管理サーバ1に送信する。これに応じて、管理サーバ1は、新規のパスワードからパスワードベース鍵を生成し、生成したパスワードベース鍵で、そのユーザIDに関連付けて記憶部12に記憶されている各分散鍵ベクトル情報を暗号化し、暗号化された分散鍵ベクトル情報等のデータを携帯端末2に送信し、ユーザDBにおいて該当するユーザのパスワードを受信したパスワードで更新する。携帯端末2は、新たなパスワードに基づくパスワードベース鍵で暗号化されたルート鍵やルート鍵で暗号化された分散鍵ベクトル群等のデータを受信し、メモリ22の該当する記憶領域に更新記憶する。なお、このパスワードの変更処理は、アプリケーション毎に行うようにしてもよく、この場合、携帯端末2からはアプリケーション名等のアプリケーションを指定するデータを送信し、管理サーバ1も、暗号化された分散鍵ベクトル群にアプリケーションを指定する情報を付与して携帯端末2に送信する。また、各アプリケーションでパスワード、分散鍵ベクトル群が共通する場合には、特にアプリケーションを指定しなくてもよく、この場合、携帯端末2は受信した、暗号化された分散鍵ベクトル群を、各アプリケーションについてそれぞれ該当する記憶領域に更新記憶する。   Further, when the user updates the password, for example, the mobile terminal 2 allows the user to input the password before the change, performs authentication for checking the password stored in the memory 22 in advance, and then sends the network 10 to the management server 1. And accepts input of a new password, and transmits the input password, user ID and other data to the management server 1 together with a password change request. In response to this, the management server 1 generates a password base key from the new password, and encrypts each distributed key vector information stored in the storage unit 12 in association with the user ID with the generated password base key. Then, the encrypted data such as the distributed key vector information is transmitted to the portable terminal 2, and the password of the corresponding user is updated in the user DB with the received password. The mobile terminal 2 receives data such as a root key encrypted with a password base key based on a new password and a distributed key vector group encrypted with the root key, and updates and stores the data in a corresponding storage area of the memory 22. . The password changing process may be performed for each application. In this case, data specifying an application such as an application name is transmitted from the portable terminal 2, and the management server 1 is also encrypted and distributed. Information specifying an application is assigned to the key vector group and transmitted to the portable terminal 2. In addition, when the password and the distributed key vector group are common to each application, the application need not be specified. In this case, the mobile terminal 2 uses the received encrypted distributed key vector group for each application. Are updated and stored in the corresponding storage areas.

また、携帯端末2において同一の分散鍵ベクトル群の復号化回数が一定数を超えた場合には、携帯端末2に記憶されている、暗号化された分散鍵ベクトル群のデータを更新するようにしてもよい。この場合、例えば、携帯端末2は、同一の分散鍵ベクトル群について、その復号化の回数をメモリ22に記憶し、復号化処理を行う毎に、復号化回数に1を加算する。そして、例えば、サービス提供端末3との通信において、メモリ22に記憶されている復号化回数の値を送信する。サービス提供端末3は、携帯端末2から復号化回数のデータを受信すると、その回数が記憶部32に予め設定されている上限値を超えているかを判別し、超えている場合には、新たな暗号化された分散鍵ベクトル群のデータ等を、更新要求とともに携帯端末2に送信する。携帯端末2は、サービス提供端末3から受信した分散鍵ベクトル群のデータ等をメモリ22に更新記憶する。この場合、例えば、サービス提供端末3が、ユーザを指定する情報(ユーザID等)を分散ベクトル群データの更新要求とともに管理サーバ1に送信し、これに応じて、管理サーバ1が、サービス提供端末3からの分散ベクトル群データの更新要求に応じて、分散鍵ベクトル群を新たなルート鍵で暗号化し、暗号化された分散鍵ベクトル群と、新たなルート鍵を指定されたユーザのパスワードで暗号化したデータと、をサービス提供端末3に送信し、サービス提供端末3が、暗号化された分散鍵ベクトル群のデータと暗号化されたルート鍵のデータを管理サーバ1から受信し、受信したデータを更新要求とともに携帯端末2に送信してもよい。   In addition, when the number of times of decryption of the same distributed key vector group exceeds a certain number in the mobile terminal 2, the data of the encrypted distributed key vector group stored in the mobile terminal 2 is updated. May be. In this case, for example, the portable terminal 2 stores the number of times of decryption of the same distributed key vector group in the memory 22 and adds 1 to the number of times of decryption each time decryption processing is performed. For example, in communication with the service providing terminal 3, the value of the number of times of decoding stored in the memory 22 is transmitted. When the service providing terminal 3 receives the data of the number of times of decryption from the mobile terminal 2, the service providing terminal 3 determines whether the number of times exceeds the upper limit value set in advance in the storage unit 32. The encrypted distributed key vector group data and the like are transmitted to the portable terminal 2 together with the update request. The portable terminal 2 updates and stores the data of the distributed key vector group received from the service providing terminal 3 in the memory 22. In this case, for example, the service providing terminal 3 transmits information specifying the user (user ID or the like) to the management server 1 together with the update request for the distribution vector group data, and the management server 1 responds accordingly. In response to the update request of the distributed vector group data from 3, the distributed key vector group is encrypted with the new root key, and the encrypted distributed key vector group and the new root key are encrypted with the designated user password. The service providing terminal 3 receives the encrypted distributed key vector group data and the encrypted root key data from the management server 1 and receives the received data. May be transmitted to the portable terminal 2 together with the update request.

なお、生成された分散データを管理サーバ1にも保持させておき、携帯端末2で秘密情報を復元する際に、管理サーバ1に接続して、管理サーバ1に保有されている分散データを取得して秘密情報の復元を行うようにしてもよい。この場合、例えば、管理サーバ1が、アプリケーションのプログラムに組み込んだ分散データ以外の分散データについて、携帯端末2に送信する分散データと、管理サーバ1で保有する分散データに分け、前者の分散データについては携帯端末2に送信し、後者の分散データは記憶部12にユーザID、アプリケーション名等とともに記憶する。そして、携帯端末2が、秘密情報を復元する際に管理サーバ1に接続して、ユーザIDとアプリケーション名等を指定した分散データ要求を送信し、これに応じて、管理サーバ1が、記憶部12から該当する分散データを読み出して携帯端末2に送信するようにしてもよい。   The generated distributed data is also stored in the management server 1, and when the portable terminal 2 restores the secret information, the distributed data held in the management server 1 is acquired by connecting to the management server 1. Then, the secret information may be restored. In this case, for example, the distributed data other than the distributed data incorporated in the application program by the management server 1 is divided into the distributed data to be transmitted to the mobile terminal 2 and the distributed data held by the management server 1. Is transmitted to the portable terminal 2 and the latter distributed data is stored in the storage unit 12 together with the user ID, application name, and the like. And when the portable terminal 2 restores the secret information, it connects to the management server 1 and transmits a distributed data request specifying the user ID, application name, etc., and in response to this, the management server 1 The corresponding distributed data may be read out from 12 and transmitted to the mobile terminal 2.

また、管理サーバ1は、復元用テーブルをユーザ毎に変えて携帯端末2に送信してもよい。
また、分散鍵ベクトル情報群を一つの鍵データとして管理してもよく、管理サーバ1は、この鍵データで生成した各分散データを暗号化して携帯端末2に送信してもよい。 In addition, the management server 1 may change the restoration table for each user and transmit it to the mobile terminal 2.
Further, the distributed key vector information group may be managed as one key data, and the management server 1 may encrypt each distributed data generated by this key data and transmit it to the portable terminal 2.

また、携帯端末2に、データの偽造や改竄が困難なUIM等のICチップを装着した場合に、ICチップと携帯端末2との間の認証や暗号通信の際に必要な鍵などの秘密情報についても管理サーバ1が分散データを生成して携帯端末2とICチップに供給してそれぞれ格納させ、秘密情報を使用する際に携帯端末2又はICチップが復元してもよい。この場合、復元に使用する分散データを選択するための乱数をICチップが生成してもよい。また、携帯端末2側に記憶されている分散データについて改竄等の不正処理がなされたことが判明した場合、ICチップ内で分散鍵ベクトル群や分散データ等を生成するか、ICチップを介して管理サーバ1から分散鍵ベクトル群や分散データ等を取得して携帯端末2に設定し直す処理を行ってもよい。   In addition, when an IC chip such as a UIM that is difficult to forge or tamper with data is attached to the mobile terminal 2, secret information such as a key required for authentication or encryption communication between the IC chip and the mobile terminal 2 Also, the management server 1 may generate the distributed data, supply it to the portable terminal 2 and the IC chip, and store them, respectively, and restore the portable terminal 2 or the IC chip when using the secret information. In this case, the IC chip may generate a random number for selecting distributed data to be used for restoration. In addition, when it is determined that unauthorized processing such as falsification has been performed on the distributed data stored on the mobile terminal 2 side, a distributed key vector group, distributed data, or the like is generated in the IC chip, or via the IC chip. You may perform the process which acquires a distributed key vector group, distributed data, etc. from the management server 1, and resets to the portable terminal 2. FIG.

なお、この発明のシステムは、専用のシステムによらず、通常のコンピュータシステムを用いて実現可能である。例えば、上述の動作を実行するためのプログラムをコンピュータ読み取り可能な記録媒体(FD、CD−ROM、DVD等)に格納して配布し、該プログラムをコンピュータにインストールすることにより、上述の処理を実行する管理サーバ1、携帯端末2、サービス提供端末3等を構成してもよい。また、インターネット等のネットワーク10上のサーバ装置が有するディスク装置に格納しておき、例えばコンピュータにダウンロード等するようにしてもよい。
また、上述の機能を、OSが分担又はOSとアプリケーションの共同により実現する場合等には、OS以外の部分のみを媒体に格納して配布してもよく、また、コンピュータにダウンロード等してもよい。 The system of the present invention can be realized using a normal computer system, not a dedicated system. For example, a program for executing the above operation is stored in a computer-readable recording medium (FD, CD-ROM, DVD, etc.) and distributed, and the program is installed in the computer to execute the above processing. The management server 1, the mobile terminal 2, the service providing terminal 3 and the like may be configured. Alternatively, it may be stored in a disk device of a server device on the network 10 such as the Internet and downloaded to a computer, for example.
In addition, when the OS realizes the above functions by sharing the OS or jointly with the OS and the application, etc., only the part other than the OS may be stored and distributed in the medium, or may be downloaded to the computer. Good.

本発明の実施形態の通信システムの構成を示す図である。It is a figure which shows the structure of the communication system of embodiment of this invention. 管理サーバの構成例を示す図である。It is a figure which shows the structural example of a management server. 分散データを生成する処理を説明するための図である。It is a figure for demonstrating the process which produces | generates distributed data. 携帯端末の構成例を示す図である。It is a figure which shows the structural example of a portable terminal. サービス提供端末の構成例を示す図である。It is a figure which shows the structural example of a service provision terminal. 携帯端末とサービス提供端末の機能ブロック図である。It is a functional block diagram of a portable terminal and a service provision terminal. 秘密情報を復元する処理を説明するための図である。It is a figure for demonstrating the process which decompress | restores secret information. 携帯端末のメモリに記憶されるデータを説明するための図である。It is a figure for demonstrating the data memorize | stored in memory of a portable terminal. 携帯端末が秘密情報を復元してサービス提供端末に送信する際のシステム動作を説明するための図である。It is a figure for demonstrating the system operation | movement when a portable terminal restore | restores secret information and transmits to a service provision terminal.

符号の説明Explanation of symbols

1 管理サーバ
2 携帯端末
3 サービス提供端末
10 ネットワーク
11 制御部
12 記憶部
13 通信制御部
21 CPU
22 メモリ
23、33 入力部
24、34 表示部
25、35 通信部
26、36 ローカルI/F
31 制御部
32 記憶部
211 ダウンロード要求部
212 分散データ要求部
213 検証部
214 情報復元部
215 認証部
216 サービス実行部
311 携帯端末認証部
312 サービス実行部 DESCRIPTION OF SYMBOLS 1 Management server 2 Portable terminal 3 Service provision terminal 10 Network 11 Control part 12 Storage part 13 Communication control part 21 CPU
22 Memory 23, 33 Input unit 24, 34 Display unit 25, 35 Communication unit 26, 36 Local I / F
31 control unit 32 storage unit 211 download request unit 212 distributed data request unit 213 verification unit 214 information restoration unit 215 authentication unit 216 service execution unit 311 portable terminal authentication unit 312 service execution unit

Claims (6)

各ユーザの秘密情報を記憶する秘密情報記憶手段と、
携帯端末からの要求に応答して、指定されたユーザの秘密情報を前記秘密情報記憶手段から読み出す手段と、
前記読み出した秘密情報について秘密分散法による演算処理を行って複数の分散データを生成する手段と、
前記生成された分散データをアプリケーションのプログラムに組み込んで前記ユーザの携帯端末に送信する手段と、
前記アプリケーションのプログラムに組み込んだ分散データ以外の分散データと、分散データの生成に使用された分散鍵ベクトル情報と、を前記ユーザの携帯端末に送信する送信手段と、を備えるサーバと、
ユーザの指定を含む要求を前記サーバに送信し、前記分散データが組み込まれたアプリケーションのプログラムを受信する手段と、
前記受信したアプリケーションのプログラムを記憶する記憶手段と、
前記受信したアプリケーションのプログラムに組み込まれた分散データ以外の分散データと、前記分散データの生成に使用された分散鍵ベクトル情報と、を前記サーバから受信して、前記受信したアプリケーションに関連付けて前記記憶手段に記憶する受信手段と、
前記記憶手段に記憶されているアプリケーションの実行時に、当該アプリケーションのプログラム及び当該アプリケーションに関するデータに設定されている分散データから、分散データをランダムに選出する手段と、
前記選出された分散データと、前記分散鍵ベクトル情報と、を用いて秘密情報を復元する復元手段と、
前記復元された秘密情報をサービス提供端末に送信する手段と、を備える携帯端末と、
前記携帯端末から受信した秘密情報を用いて携帯端末の認証を行い、認証結果に基づいて、サービスを提供するための処理を行うサービス提供端末と、
を備えることを特徴とする通信システム。 Secret information storage means for storing the secret information of each user;
Means for reading out secret information of the designated user from the secret information storage means in response to a request from the portable terminal;
Means for generating a plurality of distributed data by performing arithmetic processing by a secret sharing method on the read secret information;
Means for incorporating the generated distributed data into an application program and transmitting it to the mobile terminal of the user;
A server comprising: transmission means for transmitting distributed data other than the distributed data incorporated in the application program; and distributed key vector information used for generating the distributed data to the mobile terminal of the user;
Means for transmitting a request including a user designation to the server and receiving a program of an application in which the distributed data is embedded;
Storage means for storing the program of the received application;
The distributed data other than the distributed data incorporated in the received application program and the distributed key vector information used to generate the distributed data are received from the server and associated with the received application and stored. Receiving means for storing in the means;
Means for randomly selecting distributed data from the distributed data set in the program of the application and data related to the application when executing the application stored in the storage means;
Restoring means for restoring secret information using the selected shared data and the distributed key vector information;
Means for transmitting the restored secret information to a service providing terminal, and a portable terminal comprising:
A service providing terminal that authenticates the portable terminal using the secret information received from the portable terminal, and performs processing for providing a service based on the authentication result;
A communication system comprising: 前記サーバの前記送信手段は、前記分散鍵ベクトル情報を暗号鍵で暗号化したデータと、ユーザのパスワードに基づいて生成したパスワードベース鍵で暗号化した前記暗号鍵のデータと、を送信し、
前記サーバは、前記携帯端末からユーザのパスワードの変更要求を受信した場合、当該ユーザに関する分散鍵ベクトル情報を、変更後のパスワードに基づいて生成したパスワードベース鍵で暗号化して、前記携帯端末に送信する手段をさらに備える、
ことを特徴とする請求項1に記載の通信システム。 The transmission unit of the server transmits data obtained by encrypting the distributed key vector information with an encryption key, and data of the encryption key encrypted with a password base key generated based on a user password,
When the server receives a request to change a user's password from the mobile terminal, the server encrypts the distributed key vector information related to the user with a password-based key generated based on the changed password and transmits the encrypted information to the mobile terminal. Further comprising means for
The communication system according to claim 1. 前記携帯端末の受信手段は、暗号鍵で暗号化された分散鍵ベクトル情報と、ユーザのパスワードに基づくパスワードベース鍵で暗号化された暗号鍵のデータと、を受信し、
前記携帯端末は、
パスワードの入力を受け付け、入力されたパスワードに基づくパスワードベース鍵を生成する手段と、
前記パスワードベース鍵で前記暗号化された暗号鍵を復号化し、当該復号化された暗号鍵で前記暗号化された分散鍵ベクトル情報を復号化することにより、分散鍵ベクトル情報を取得する手段と、
同一の分散鍵ベクトル情報の復号化回数を計数する計数手段と、
前記計数された復号化回数を前記サービス提供端末に送信する手段と、を備え、
前記サービス提供端末は、受信した復号化回数が一定値を超えている場合、前記携帯端末に記憶されている分散鍵ベクトル情報を更新する手段を備える、
ことを特徴とする請求項1又は2に記載の通信システム。 The receiving means of the mobile terminal receives the distributed key vector information encrypted with the encryption key and the encryption key data encrypted with the password base key based on the user password,
The portable terminal is
Means for accepting a password and generating a password-based key based on the entered password;
Means for obtaining distributed key vector information by decrypting the encrypted encryption key with the password-based key and decrypting the encrypted distributed key vector information with the decrypted encryption key;
Counting means for counting the number of times of decryption of the same distributed key vector information;
Means for transmitting the counted number of times of decoding to the service providing terminal,
The service providing terminal includes means for updating the distributed key vector information stored in the mobile terminal when the received number of decryption times exceeds a certain value.
The communication system according to claim 1 or 2. 前記サーバの前記送信手段は、前記アプリケーションのプログラムに組み込んだ分散データ以外の分散データの一部を前記携帯端末に送信し、
前記サーバは、
前記アプリケーションのプログラムに組み込んだ分散データ以外の分散データであって、前記送信手段により送信される分散データ以外の分散データを記憶する分散データ保持手段と、
携帯端末からの要求に応じて、前記分散データ保持手段により記憶される分散データを前記携帯端末に送信する手段と、を備え、
前記携帯端末は、秘密情報を復元するときに、前記サーバが保持する分散データを前記サーバに要求する、
ことを特徴とする請求項1乃至3のいずれか1項に記載の通信システム。 The transmission means of the server transmits a part of distributed data other than the distributed data incorporated in the application program to the mobile terminal,
The server
Distributed data other than the distributed data incorporated in the application program, the distributed data holding means for storing the distributed data other than the distributed data transmitted by the transmitting means;
Means for transmitting the distributed data stored by the distributed data holding means to the portable terminal in response to a request from the portable terminal,
The mobile terminal requests the shared data held by the server from the server when restoring the secret information.
The communication system according to any one of claims 1 to 3. ユーザの秘密情報を記憶するサーバにユーザの指定を含む要求を送信し、前記ユーザの秘密情報から生成された分散データが組み込まれたアプリケーションのプログラムを受信する手段と、
前記受信したアプリケーションのプログラムを記憶する記憶手段と、
前記サーバにより生成された分散データのうち、前記受信したアプリケーションのプログラムに組み込まれた分散データ以外の分散データと、前記分散データの生成に使用された分散鍵ベクトル情報と、を前記サーバから受信して、前記受信したアプリケーションに関連付けて前記記憶手段に記憶する受信手段と、
前記記憶手段に記憶されているアプリケーションの実行時に、当該アプリケーションのプログラム及び当該アプリケーションに関するデータに設定されている分散データから、分散データをランダムに選出する手段と、
前記選出された分散データと、前記分散鍵ベクトル情報と、を用いて秘密情報を復元する手段と、
前記復元された秘密情報をサービスの提供を受けるためにサービス提供端末に送信する手段と、
を備えることを特徴とする携帯端末。 Means for transmitting a request including a user designation to a server storing user secret information and receiving a program of an application in which distributed data generated from the user secret information is embedded;
Storage means for storing the program of the received application;
Of the distributed data generated by the server, distributed data other than the distributed data incorporated in the received application program and the distributed key vector information used to generate the distributed data are received from the server. Receiving means for storing in the storage means in association with the received application;
Means for randomly selecting distributed data from the distributed data set in the program of the application and data related to the application when executing the application stored in the storage means;
Means for restoring secret information using the selected shared data and the distributed key vector information;
Means for transmitting the restored secret information to a service providing terminal for receiving the service;
A portable terminal comprising: コンピュータに、
ユーザの秘密情報を記憶するサーバにユーザの指定を含む要求を送信し、前記ユーザの秘密情報から生成された分散データが組み込まれたアプリケーションのプログラムを受信するステップ、
前記受信したアプリケーションのプログラムを所定の記憶領域に記憶するステップ、
前記サーバにより生成された分散データのうち、前記受信したアプリケーションのプログラムに組み込まれた分散データ以外の分散データと、前記分散データの生成に使用された分散鍵ベクトル情報と、を前記サーバから受信して、前記受信したアプリケーションに関連付けて前記記憶領域に記憶するステップ、
前記記憶領域に記憶されているアプリケーションの実行時に、当該アプリケーションのプログラム及び当該アプリケーションに関するデータに設定されている分散データから、分散データをランダムに選出するステップ、
前記選出された分散データと、前記分散鍵ベクトル情報と、を用いて秘密情報を復元するステップ、
前記復元された秘密情報をサービスの提供を受けるためにサービス提供端末に送信するステップ、
を実行させるプログラム。
On the computer,
Transmitting a request including a user designation to a server storing user secret information, and receiving a program of an application in which distributed data generated from the user secret information is embedded;
Storing the received application program in a predetermined storage area;
Of the distributed data generated by the server, distributed data other than the distributed data incorporated in the received application program and the distributed key vector information used to generate the distributed data are received from the server. Storing in the storage area in association with the received application,
A step of randomly selecting distributed data from the distributed data set in the program of the application and the data related to the application when the application stored in the storage area is executed;
Restoring secret information using the selected shared data and the distributed key vector information;
Transmitting the restored secret information to a service providing terminal to receive service provision;
A program that executes
JP2004013483A 2004-01-21 2004-01-21 Communication system, portable terminal, and program Expired - Lifetime JP4028849B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004013483A JP4028849B2 (en) 2004-01-21 2004-01-21 Communication system, portable terminal, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004013483A JP4028849B2 (en) 2004-01-21 2004-01-21 Communication system, portable terminal, and program

Publications (2)

Publication Number Publication Date
JP2005208841A true JP2005208841A (en) 2005-08-04
JP4028849B2 JP4028849B2 (en) 2007-12-26

Family

ID=34899529

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004013483A Expired - Lifetime JP4028849B2 (en) 2004-01-21 2004-01-21 Communication system, portable terminal, and program

Country Status (1)

Country Link
JP (1) JP4028849B2 (en)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005293114A (en) * 2004-03-31 2005-10-20 Nifty Corp Authentication method in computer network
JP2006148668A (en) * 2004-11-22 2006-06-08 Ntt Data Corp Utilization frequency limitation information transfer system, and utilization frequency limitation information transfer program
JP2007248990A (en) * 2006-03-17 2007-09-27 Taito Corp Incorporating device, execution data generation method, execution data generation program, and authentication server
JP2009181153A (en) * 2008-01-29 2009-08-13 Dainippon Printing Co Ltd User authentication system and method, program, medium
JP2010011109A (en) * 2008-06-27 2010-01-14 Kddi Corp Authentication unit, authentication terminal, authentication system, authentication method, and program
JP2010055593A (en) * 2008-08-28 2010-03-11 Jacobian Innovation Unlimited Llc Pass code supply
JP2016153951A (en) * 2015-02-20 2016-08-25 西日本電信電話株式会社 Authentication cooperation system and authentication method
JP2018121334A (en) * 2017-01-26 2018-08-02 ウィッカー・インコーポレイテッド Safe transfer of user information between applications
JP6760631B1 (en) * 2019-12-28 2020-09-23 国立大学法人千葉大学 Authentication request system and authentication request method
WO2024063047A1 (en) * 2022-09-20 2024-03-28 株式会社Nttドコモ Mobile communication apparatus

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005293114A (en) * 2004-03-31 2005-10-20 Nifty Corp Authentication method in computer network
JP4676158B2 (en) * 2004-03-31 2011-04-27 ニフティ株式会社 Authentication method in computer network
JP4652025B2 (en) * 2004-11-22 2011-03-16 株式会社エヌ・ティ・ティ・データ The number of times of use limited information transfer system, and the number of times of use limited information transfer program
JP2006148668A (en) * 2004-11-22 2006-06-08 Ntt Data Corp Utilization frequency limitation information transfer system, and utilization frequency limitation information transfer program
JP2007248990A (en) * 2006-03-17 2007-09-27 Taito Corp Incorporating device, execution data generation method, execution data generation program, and authentication server
JP2009181153A (en) * 2008-01-29 2009-08-13 Dainippon Printing Co Ltd User authentication system and method, program, medium
JP2010011109A (en) * 2008-06-27 2010-01-14 Kddi Corp Authentication unit, authentication terminal, authentication system, authentication method, and program
JP2010055593A (en) * 2008-08-28 2010-03-11 Jacobian Innovation Unlimited Llc Pass code supply
JP2016153951A (en) * 2015-02-20 2016-08-25 西日本電信電話株式会社 Authentication cooperation system and authentication method
JP2018121334A (en) * 2017-01-26 2018-08-02 ウィッカー・インコーポレイテッド Safe transfer of user information between applications
JP7086327B2 (en) 2017-01-26 2022-06-20 アマゾン テクノロジーズ インコーポレイテッド Securely transfer user information between applications
JP6760631B1 (en) * 2019-12-28 2020-09-23 国立大学法人千葉大学 Authentication request system and authentication request method
JP2021108088A (en) * 2019-12-28 2021-07-29 国立大学法人千葉大学 Authentication request system and authentication request method
WO2024063047A1 (en) * 2022-09-20 2024-03-28 株式会社Nttドコモ Mobile communication apparatus

Also Published As

Publication number Publication date
JP4028849B2 (en) 2007-12-26

Similar Documents

Publication Publication Date Title
JP4866863B2 (en) Security code generation method and user device
CN106878245B (en) Graphic code information providing and obtaining method, device and terminal
CN110138744B (en) Method, device and system for replacing communication number, computer equipment and storage medium
US10848304B2 (en) Public-private key pair protected password manager
RU2584500C2 (en) Cryptographic authentication and identification method with real-time encryption
WO2017202025A1 (en) Terminal file encryption method, terminal file decryption method, and terminal
JP2009510644A (en) Method and configuration for secure authentication
KR20210046357A (en) Method and apparatus for key storing and recovery for blockchain based system
CN108199847B (en) Digital security processing method, computer device, and storage medium
KR20130131682A (en) Method for web service user authentication
US20020018570A1 (en) System and method for secure comparison of a common secret of communicating devices
TW201223225A (en) Method for personal identity authentication utilizing a personal cryptographic device
JP4028849B2 (en) Communication system, portable terminal, and program
EP2215553A1 (en) System and method for authenticating one-time virtual secret information
CN111008400A (en) Data processing method, device and system
JP2007020065A (en) Decryption backup method, decryption restoration method, attestation device, individual key setting machine, user terminal, backup equipment, encryption backup program, decryption restoration program
JP4522098B2 (en) Application personalization system
CN110968878B (en) Information transmission method, system, electronic equipment and readable medium
KR20070062632A (en) Mobile message and file security implementation by cryptography
EP3236631B1 (en) Data checking device and data checking method using the same
JP6701011B2 (en) Terminal registration method and terminal registration system
EP3902197A1 (en) Confidential data management device, program and recording medium
JP2003309552A (en) Control system for electronic certificate by portable telephone
CN113162766B (en) Key management method and system for key component
JP2006197640A (en) Encrypted data distribution service system

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20071009

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20071012

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101019

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4028849

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111019

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121019

Year of fee payment: 5

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131019

Year of fee payment: 6

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313111

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

EXPY Cancellation because of completion of term