JP2007115202A - Data communications system - Google Patents
Data communications system Download PDFInfo
- Publication number
- JP2007115202A JP2007115202A JP2005308908A JP2005308908A JP2007115202A JP 2007115202 A JP2007115202 A JP 2007115202A JP 2005308908 A JP2005308908 A JP 2005308908A JP 2005308908 A JP2005308908 A JP 2005308908A JP 2007115202 A JP2007115202 A JP 2007115202A
- Authority
- JP
- Japan
- Prior art keywords
- client
- authentication
- server
- key
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
本発明は、他人が本人になりすますことなく、確実にデータ回線を回線接続できる安全性を高めたデータ通信システムに関する。 The present invention relates to a data communication system with improved safety that can securely connect data lines without impersonating another person.
以下では、便宜上、接続要求を受ける側を「サーバ」、接続要求をする側を「クライアント」として接続する場合のデータ通信システムとして説明するが、本発明は前記サーバを一方のクライアント、前記クライアントを他方のクライアントとして、クライアント相互が接続する場合のデータ通信システムも含む。 Hereinafter, for convenience, the data communication system will be described in which the connection requesting side is connected as a “server” and the connection requesting side is set as a “client”. However, the present invention refers to the server as one client and the client as the client. As the other client, a data communication system in the case where the clients are connected to each other is also included.
データ通信システムでは、データの送受信における安全性を高めるため、回線接続時に本人ID及びパスワードを要求して、本人認証を図る。しかし、これでは本人ID及びパスワードを盗まれると、簡単に他人が本人になりすましてしまう。これを防ぐため、例えば特許文献1では、3つのパスワード(第1パスワード、第2パスワード及び第3パスワード)を用いて、回線接続時における安全な本人認証を図っている。 In a data communication system, in order to improve security in data transmission / reception, a personal ID and a password are requested at the time of line connection, and personal authentication is attempted. However, in this case, if the identity ID and password are stolen, another person can easily impersonate the identity. In order to prevent this, for example, Patent Document 1 uses three passwords (a first password, a second password, and a third password) to perform secure personal authentication at the time of line connection.
特許文献1のデータ通信システムは、サーバに設けたセキュリティ・モジュール及び許可モジュールに対するクライアントの送受信により、本人認証を図る。まず、クライアントがサーバのセキュリティ・モジュールへ第1パスワードを送信すると、このセキュリティ・モジュールが暗号化された鍵を生成し、クライアントへ返信する。次に、クライアントがサーバの許可モジュールへ第2パスワード及び前記鍵を送信すると、第2パスワードを本人認証して、複号された鍵から第3パスワードを生成し、クライアントへ返信する。そして、クライアントが前記第3パスワードをサーバのセキュリティ・モジュールへ送信して、回線接続が許可される。 The data communication system of Patent Document 1 attempts to authenticate a person by transmitting / receiving a client to / from a security module and a permission module provided in a server. First, when the client transmits the first password to the security module of the server, the security module generates an encrypted key and returns it to the client. Next, when the client transmits the second password and the key to the authorization module of the server, the second password is authenticated, and a third password is generated from the decrypted key and returned to the client. Then, the client transmits the third password to the security module of the server, and the line connection is permitted.
特許文献1のデータ通信システムは、クライアントに対して第1パスワード及び第2パスワードを付与し、第1パスワードの送信によって受ける暗号化された鍵と前記第2パスワードとを用いて、最終的な回線接続を許可する一次使用の第3パスワードを発行して、この第3パスワードにより回線接続の安全性を確保する構成と見ることができる。しかし、これは従来見られるパスワード認証を複雑にしたに過ぎず、クライアントを操作するユーザが第1パスワード及び第2パスワードを記憶しておかなければならない不便さがある。また、第1パスワード及び第2パスワードを盗まれれば、従来のパスワード認証同様、他人が本人になりすますことができる。そこで、パスワードを用いながら、より簡単かつ確実に安全性を高めた回線接続を実現するデータ通信システムを提供するため、検討した。 The data communication system of Patent Document 1 assigns a first password and a second password to a client, and uses the encrypted key received by transmission of the first password and the second password to obtain a final line. It can be regarded as a configuration in which a third password for primary use that permits connection is issued and the safety of the line connection is secured by this third password. However, this only complicates the conventional password authentication, and there is an inconvenience that the user operating the client has to memorize the first password and the second password. Also, if the first password and the second password are stolen, another person can impersonate the person as in the conventional password authentication. Therefore, we studied to provide a data communication system that realizes a simple and reliable line connection using a password.
検討の結果、認証サーバと接続された通信サーバと、認証クライアントと接続された通信クライアントとから構成され、認証サーバ及び認証クライアントは認証回線で結ばれ、通信サーバ及び通信クライアントはデータ回線で結ばれてなり、認証回線を通じて接続された認証サーバから認証クライアントへ、又は認証クライアントから認証サーバへ認証コードを送信させ、認証サーバ及び認証クライアントが有する共通の鍵条件に基づいて、認証サーバが前記認証コードからサーバ鍵を生成して通信サーバに受け渡し、また認証クライアントが前記認証コードからクライアント鍵を生成して通信クライアントに受け渡し、データ回線を通じて接続された通信サーバから通信クライアントへサーバ鍵を送信させ、又は通信クライアントから通信サーバへクライアント鍵を送信させて、この通信サーバ又は通信クライアントが前記サーバ鍵及びクライアント鍵を鍵照合することにより、通信サーバに対して通信クライアントをログインさせるデータ通信システムを開発した。 As a result of examination, it is composed of a communication server connected to the authentication server and a communication client connected to the authentication client. The authentication server and the authentication client are connected by an authentication line, and the communication server and the communication client are connected by a data line. The authentication server transmits the authentication code from the authentication server connected through the authentication line to the authentication client or from the authentication client to the authentication server, and based on the common key condition of the authentication server and the authentication client, the authentication server A server key is generated from the authentication code and passed to the communication server, and the authentication client generates a client key from the authentication code and passes it to the communication client, and the server key is transmitted from the communication server connected through the data line to the communication client, or Communication from communication client By sending the client key to the over bar, by the communication server or the communication client key match the server key and a client key, has developed a data communication system to log the communication client to the communication server.
本発明のデータ通信システムは、サーバ側とクライアント側とを二重の認証回線及びデータ回線により接続し、認証回線を通じて送受信される認証コードからサーバ側及びクライアント側に共通な鍵条件に基づいて同一又は一対の対応関係にあるサーバ鍵及びクライアント鍵を生成し、このサーバ鍵及びクライアント鍵の突き合わせにより、データ回線の安全な接続を実現する。ここで、認証コードは、認証サーバに対して認証クライアントの本人認証を図るデータであり、認証クライアントから自動的に認証サーバへ送信される特定データのほか、認証クライアントを操作するユーザの音声やキータイプ等による入力データでもよい。サーバ鍵及びクライアント鍵は、後述する鍵条件に基づいて、前記認証コードを測定して生成される。 In the data communication system of the present invention, the server side and the client side are connected by a double authentication line and data line, and the authentication code transmitted and received through the authentication line is the same based on key conditions common to the server side and the client side. Alternatively, a server key and a client key having a pair of correspondences are generated, and a secure connection of the data line is realized by matching the server key and the client key. Here, the authentication code is data for authenticating the authentication client to the authentication server. In addition to the specific data automatically transmitted from the authentication client to the authentication server, the voice or key of the user operating the authentication client is used. It may be input data by type. The server key and the client key are generated by measuring the authentication code based on a key condition described later.
まず、認証コードを安全に送信するには、認証回線の安全性が確保できることが望ましい。これから、認証コードを認証回線を通じた認証サーバ及び認証クライアントの接続は、認証クライアントからの接続要求に対する認証サーバによるコールバック接続にするとよい。同様に、クライアント鍵を安全に送信するため、認証回線の安全性が確保できるように、データ回線を通じた通信サーバ及び通信クライアントの接続は、通信クライアントからの接続要求に対する通信サーバによるコールバック接続にするとよい。 First, in order to transmit the authentication code safely, it is desirable that the security of the authentication line can be ensured. From now on, the connection between the authentication server and the authentication client through the authentication line with the authentication code may be a callback connection by the authentication server in response to a connection request from the authentication client. Similarly, in order to securely transmit the client key, the connection of the communication server and the communication client through the data line is a callback connection by the communication server for the connection request from the communication client so that the security of the authentication line can be secured. Good.
サーバ鍵及びクライアント鍵は、一次使用される同一又は一対の対応関係にあるデータが好ましい。しかし、このサーバ鍵又はクライアント鍵そのものをデータ回線で送受信すると、このデータ回線に介入した他人にサーバ鍵又はクライアント鍵を盗まれる虞が拭い去れない。そこで、本発明のサーバ鍵及びクライアント鍵は、認証サーバ及び認証クライアントの有する各アナログ測定回路を認証コードが通過する際に測定される特徴量とし、具体的には前記鍵条件に基づいて生成された同一又は一対の対応関係にある特徴量をそれぞれ一次使用のサーバ鍵及びクライアント鍵とした。同様に、サーバ鍵及びクライアント鍵は、認証サーバ及び認証クライアントの有する各ディジタル測定回路を認証コードが通過する際に測定される特徴量とし、具体的には前記鍵条件に基づいて生成された同一又は一対の対応関係にある特徴量をそれぞれサーバ鍵及びクライアント鍵としてもよい。いずれの場合も、サーバ鍵及びクライアント鍵は認証コードから測定される特徴量として回線接続の度に生成されるため、秘匿性が高められている。 The server key and the client key are preferably the same or a pair of data that is used primarily. However, if this server key or client key itself is transmitted / received via the data line, the possibility that the server key or the client key is stolen by another person who intervenes in the data line cannot be wiped out. Therefore, the server key and the client key of the present invention are feature quantities measured when the authentication code passes through the analog measurement circuits of the authentication server and the authentication client, and are specifically generated based on the key condition. The feature quantities having the same or a pair of correspondence relations were respectively used as the primary use server key and client key. Similarly, the server key and the client key are feature quantities measured when the authentication code passes through the digital measurement circuits of the authentication server and the authentication client. Specifically, the server key and the client key are identically generated based on the key condition. Alternatively, feature quantities having a pair of correspondence relationships may be used as a server key and a client key, respectively. In any case, since the server key and the client key are generated each time a line is connected as a feature quantity measured from the authentication code, confidentiality is enhanced.
ここで、「アナログ測定回路を認証コードが通過する際に測定される特徴量」とは、アナログ信号である認証コードがアナログ測定回路を通過する時間や、前記アナログ測定回路でのアナログ処理に要する時間のほか、前記アナログ処理によって得られる出力信号等を意味する。この場合、認証コードは音声等のアナログ信号が好ましいが、データ等のディジタル信号であっても、DA変換することによりアナログ測定回路を通過させることができる。同様に、「ディジタル測定回路を認証コードが通過する際に測定される特徴量」とは、ディジタル信号である認証コードがディジタル測定回路を通過する時間や、前記ディジタル測定回路でディジタル処理される時間のほか、前記ディジタル処理によって得られる出力信号等を意味する。この場合、認証コードはデータ等のディジタル信号が好ましいが、音声等のアナログ信号であっても、AD変換することによりディジタル測定回路を通過させることができる。 Here, the “characteristic amount measured when the authentication code passes through the analog measurement circuit” means the time required for the authentication code, which is an analog signal, to pass through the analog measurement circuit, and the analog processing in the analog measurement circuit. In addition to time, it means an output signal obtained by the analog processing. In this case, the authentication code is preferably an analog signal such as voice, but even a digital signal such as data can be passed through the analog measurement circuit by DA conversion. Similarly, the “feature value measured when the authentication code passes through the digital measurement circuit” means the time for the authentication code, which is a digital signal, to pass through the digital measurement circuit, or the time for digital processing in the digital measurement circuit. In addition, it means an output signal obtained by the digital processing. In this case, the authentication code is preferably a digital signal such as data, but even an analog signal such as voice can be passed through the digital measurement circuit by AD conversion.
鍵条件は複数用意して、回線接続の度に鍵条件を切り換えると、サーバ鍵及びクライアント鍵の秘匿性がより高められる。このため、本発明のデータ通信システムにおける通信サーバ及び通信クライアントは、ログインからログオフに至るまでの間に、新たな鍵条件を通信サーバから通信クライアントへ又は通信クライアントから通信サーバへ送信し、通信サーバは前記新たな鍵条件を認証サーバに受け渡し、そして通信クライアントは前記新たな鍵条件を認証クライアントに受け渡す構成にする。鍵条件は、認証サーバ又は認証クライアントが内部処理に利用するものなので、新たな鍵条件は、クライアント側のユーザが知らない間に、通信サーバ及び通信クライアント間で自動的に受け渡せばよい。 If a plurality of key conditions are prepared and the key conditions are switched each time the line is connected, the confidentiality of the server key and the client key can be further improved. For this reason, the communication server and the communication client in the data communication system of the present invention transmit a new key condition from the communication server to the communication client or from the communication client to the communication server during the period from login to logoff. Passes the new key condition to the authentication server, and the communication client passes the new key condition to the authentication client. Since the key condition is used by the authentication server or the authentication client for internal processing, the new key condition may be automatically passed between the communication server and the communication client without the user on the client side knowing it.
上記鍵条件の受け渡しを利用すれば、回線接続中の接続続行確認も可能となる。すなわち、本発明のデータ通信システムにおける認証サーバ及び認証クライアントは、通信サーバ及び通信クライアントから新たな鍵条件を受け渡された後、認証回線を通じて接続された認証サーバから認証クライアントへ、又は認証クライアントから認証サーバへ認証コードを送信させ、認証サーバ及び認証クライアントが有する新たな鍵条件に基づいて、認証サーバが前記認証コードからサーバ鍵を生成して通信サーバに受け渡し、また認証クライアントが前記認証コードからクライアント鍵を生成して通信クライアントに受け渡し、データ回線を通じて接続された通信サーバから通信クライアントへサーバ鍵を送信させ、又は通信クライアントから通信サーバへクライアント鍵を送信させて、この通信サーバ又は通信クライアントが前記サーバ鍵及びクライアント鍵を鍵照合することにより、通信サーバ及び通信クライアントの接続を続行させる構成にする。 If the above key condition delivery is used, it is possible to confirm connection continuation during line connection. That is, the authentication server and the authentication client in the data communication system of the present invention receive a new key condition from the communication server and the communication client, and then connect from the authentication server connected through the authentication line to the authentication client or from the authentication client. An authentication code is transmitted to the authentication server, the authentication server generates a server key from the authentication code based on a new key condition possessed by the authentication server and the authentication client, and passes the server key to the communication server. A client key is generated and delivered to a communication client, and the server key is transmitted from the communication server connected through the data line to the communication client, or the client key is transmitted from the communication client to the communication server. in front By the key collating the server key and a client key, a configuration to continue connecting the communication server and communication client.
本発明は、クライアント側のユーザにとって、簡便かつ安全な回線接続を可能にするデータ通信システムを提供する。まず、本発明のデータ通信システムは、クライアント側のユーザに、データ回線のログインに際して必要なパスワードを1つしか要求しない。認証回線の回線接続に際して認証コードが必要になるが、前記認証コードは認証クライアントが自動的に送信する内部データにしておくことで、クライアント側のユーザの負担を軽減できる。サーバ鍵及びクライアント鍵は、前記認証コードから生成されるが、鍵条件を切り換えていくことにより、同一の認証コードを用いながらサーバ鍵及びクライアント鍵の秘匿性は確保されている。 The present invention provides a data communication system that enables a simple and safe line connection for a user on the client side. First, the data communication system of the present invention requires only one password required for logging in to a data line from a client side user. An authentication code is required for connection of the authentication line. However, by placing the authentication code as internal data that is automatically transmitted by the authentication client, the burden on the user on the client side can be reduced. The server key and the client key are generated from the authentication code. By switching the key condition, the confidentiality of the server key and the client key is ensured while using the same authentication code.
また、鍵条件はデータ回線を通じて受け渡され、前記鍵条件に従ってサーバ鍵及びクライアント鍵を生成する基礎となる認証コードは認証回線を通じて送受信されることから、他人が本人になりすますための情報、すなわち認証コード、鍵条件、サーバ鍵及びクライアント鍵、そしてパスワードをすべて盗まれる危険性は極めて低い。しかも、鍵条件に従ってサーバ鍵及びクライアント鍵となる特徴量の測定は、認証サーバ及び認証クライアントが有するアナログ測定回路又はディジタル測定回路が必要になるため、回線接続の安全性が損なわれる虞はほとんどない。 In addition, key conditions are passed through the data line, and the authentication code that is the basis for generating the server key and client key in accordance with the key conditions is sent and received through the authentication line, so information for impersonating another person, that is, authentication The risk of stealing all codes, key conditions, server and client keys, and passwords is extremely low. In addition, the measurement of the feature quantity serving as the server key and the client key according to the key condition requires an analog measurement circuit or a digital measurement circuit included in the authentication server and the authentication client, so that there is almost no possibility that the safety of the line connection is impaired. .
更に、認証回線やデータ回線をコールバック接続により回線接続すれば、より確実ななりすまし防止を図ることができる。ここで、サーバ鍵及びクライアント鍵を生成する基礎となる認証コードを、前記コールバック接続に用いる認証クライアントの識別コードを利用すれば、コールバック接続により、同時にサーバ鍵及びクライアント鍵の生成が可能となり、本人認証も円滑に済ませることができる。このように、本発明は認証回線を通じて送信される認証コードを基礎として一次使用のサーバ鍵及びクライアント鍵を生成し、データ回線を通じて前記サーバ鍵及びクライアント鍵を送受信し、本人認証することを中心として、全体として回線接続の安全性を高めたデータ通信システムを提供する。 Furthermore, if the authentication line and the data line are connected by callback connection, it is possible to prevent spoofing more reliably. Here, if the authentication code used as the basis for generating the server key and the client key is the identification code of the authentication client used for the callback connection, the server key and the client key can be generated simultaneously by the callback connection. In addition, the identity authentication can be completed smoothly. As described above, the present invention mainly generates a server key and a client key for primary use based on an authentication code transmitted through an authentication line, transmits and receives the server key and the client key through a data line, and authenticates the user. The present invention provides a data communication system with improved line connection safety as a whole.
以下、本発明の実施形態について図を参照しながら説明する。図1は本発明のデータ通信システムの基本構成を表すブロック図、図2は認証回線3及びデータ回線4を兼用した応用構成を示すブロック図、図3は基本構成における標準的なデータ通信を表すタイムチャート、図4〜図8は標準的なデータ通信における認証回線3及びデータ回線4の接続状態を表す図1相当ブロック図であり、図4は認証クライアント21が認証回線3を通じて認証サーバ11に接続要求している段階、図5は認証クライアント21からの接続要求を受けて認証サーバ11が認証回線3を一度切断した段階、図6は認証サーバ11が認証回線3を通じて認証クライアント21にコールバック接続する段階、図7はデータ回線4を通じて通信サーバ12及び通信クライアント22でデータ送受信している段階、図8は通信クライアント22からのログオフ後にデータ回線4及び認証回線3を切断した段階であり、そして図9はデータ送受信中に接続続行確認する場合のタイムチャートである。
Hereinafter, embodiments of the present invention will be described with reference to the drawings. FIG. 1 is a block diagram showing the basic configuration of the data communication system of the present invention, FIG. 2 is a block diagram showing an application configuration using both the
本発明のデータ通信システムは、図1に見られるように、サーバ側にサーバ側内回線13で結ばれた通信サーバ12及び認証サーバ11を、クライアント側にクライアント側内回線23で結ばれた通信クライアント22及び認証クライアント21をそれぞれ配し、認証サーバ11及び認証クライアント21を認証回線3により、そして通信サーバ12及び通信クライアント22をデータ回線4により結んで構成される。サーバ側内回線13は、通信サーバ12及び認証サーバ11を接続したローカルネットワークでもよいし、通信サーバ12及び認証サーバ11を直結する接続コードでもよい。また、サーバ側内回線13は、一体に構成した通信サーバ12及び認証サーバ11の内部結線を指す場合もある。クライアント側内回線23も同様である。
As shown in FIG. 1, the data communication system of the present invention includes a
認証回線3及びデータ回線4は、公共又は専用のエリアネットワークやインターネットのほか、従来の電話回線でもよい。この認証回線3及びデータ回線4が同種の場合、例えば図2に見られるように、物理的な認証回線3及びデータ回線4を共通化し、通信サーバ12及び通信クライアント22はそれぞれ認証サーバ11及び認証クライアント21を通じて接続するようにしてもよい。この場合でも、論理的な認証回線3及びデータ回線4は別である。認証回線3が電話回線の場合、認証サーバ11及び認証クライアント21は電話機を用いることができ、後述する識別コードは電話機の識別番号、認証コードは音声又はダイヤル信号を利用できる。また、データ回線4が電話回線の場合、通常ディジタル信号であるデータを送受信するため、AD/DA変換を担うモデム等を介して通信サーバ12及び通信クライアント22を電話回線であるデータ回線4に接続する。
The
認証サーバ11は、ディジタル測定回路として、内蔵又は外付けのサーバ鍵生成部111を有する。認証回線3がアナログ信号を送受信する場合、前記サーバ鍵生成部111はアナログ測定回路から構成される。サーバ鍵生成部111は、通信サーバ12から受け渡された鍵条件に基づき、認証クライアント21から送信されてきた認証コードから特徴量を測定し、この特徴量をサーバ鍵として通信サーバ12に受け渡す。同様に、認証クライアント21も、ディジタル測定回路として、内蔵又は外付けのサーバ鍵生成部111を有し、このサーバ鍵生成部111が、通信クライアント22から受け渡された鍵条件に基づき、認証サーバ11へ送信した認証コードから特徴量を測定し、この特徴量をクライアント鍵として通信クライアント22に受け渡す。
The
通信サーバ12は、複数の鍵条件をデータベースからランダムに抽出する、又は複数の鍵条件を特定のアルゴリズムに従ってランダムに生成する鍵条件生成部121を有する。この鍵条件生成部121は、ソフトウェア的に構成でき、通常通信サーバ12に内蔵される。鍵条件は、サーバ側及びクライアント側で同一又は一対の対応関係にあるサーバ鍵及びクライアント鍵を生成することから、本例では通信サーバ12にのみ鍵条件生成部121を構成し、通信サーバ12で生成された鍵条件を、サーバ側内回線13を通じて認証サーバ11へ受け渡し、またデータ回線4を通じて通信クライアント22へ送信し、この通信クライアント22からクライアント側内回線23を通じて認証クライアント21へ受け渡す。
The
このほか、図1ほかの通信クライアント22内破線枠に見られるように、通信クライアント22に同じ鍵条件生成部221を構成し、通信サーバ12から通信クライアント22へ、又はその逆へ鍵条件の生成情報を送信し、通信サーバ12及び通信クライアント22それぞれに前記選択情報を元にして同じ鍵条件を生成させてもよい。また、認証サーバ11又は認証クライアント21に鍵条件生成部121,221を構成してもよいが、その場合でも鍵条件の生成情報は通信サーバ12又は通信クライアント22から認証サーバ11又は認証クライアント21の鍵条件生成部121,221に送信することが好ましい。
1, the same key
本発明のデータ通信システムによるデータ送受信について、図3〜図8により説明する。まず、図3及び図4に見られるように、認証回線3を通じて認証クライアント21から認証サーバ11へ接続要求が送信される。認証サーバ11は、前記接続要求を受けて認証回線3を通じた回線接続を許可する。そして、認証クライアント21は、認証回線3を通じて認証サーバ11へ識別コードを送信し、認証サーバ11は識別コードの受信後、図3及び図5に見られるように、一端認証回線3を回線切断する。認証サーバ11及び認証クライアント21が電話であれば、接続要求と同時に識別コード(電話番号)が認証クライアント21から認証サーバ11へ送信され、認証サーバ11は回線接続を許可すると同時に識別コードを受信する。
Data transmission / reception by the data communication system of the present invention will be described with reference to FIGS. First, as seen in FIGS. 3 and 4, a connection request is transmitted from the
識別コードは、認証サーバ11から認証クライアント21へのコールバック接続するために必要な認証クライアント21の識別データであり、認証サーバ11が備える識別コードデータベース(図示略)等で認証クライアント21の登録等が確認される。これにより、前記識別コードデータベースに登録されている認証クライアント21のみが認証サーバ11からのコールバック接続を受けてデータ回線4の回線接続に進むことができ、逆に識別コードデータベースに登録されていない認証クライアント21を除外することができる。
The identification code is identification data of the
認証クライアント21から認証サーバ11ヘの識別コードの送信と同時に、認証サーバ11は前記識別コードを通信クライアント22に受け渡し、通信クライアント22にデータ回線4を通じた回線接続を開始する許可を与え、また認証コードを受信した認証サーバ11は前記識別コードを通信サーバ12に受け渡し、通信サーバ12にデータ回線4を通じた回線接続を開始する許可を与える。すなわち、識別コードの送受信は、通信サーバ12及び通信クライアント22がデータ回線4を通じて回線接続するためのスイッチの役割を果たしている。
Simultaneously with the transmission of the identification code from the
識別コードの確認を終えた認証サーバ11は、図3及び図7に見られるように、この識別コードで識別コードデータベースに登録された認証クライアント21へ再接続要求(コールバック接続要求)して、この再接続要求を受けた認証クライアント21が認証回線3を通じて回線接続する。そして、認証サーバ11が認証回線3を通じて認証クライアント21に認証コード要求を送信する。これにより、クライアント側のユーザが、例えばキーボードやテンキーから英数字等からなる認証コードを認証クライアント21に入力し、認証回線3を通じて認証サーバ11へ前記認証コードを送信する。認証サーバ11及び認証クライアント21は、認証サーバ11によるコールバック接続により認証クライアント21の正当性が確保されているため、安全に認証コードを送受信できる。
After confirming the identification code, the
認証サーバ11は、まず認証コードそのものを認証コードデータベース(図示略)により、正しい認証コードが認証クライアント21から送信されてきているかを確認する。本発明では、鍵条件に基づいて認証コードからサーバ鍵及びクライアント鍵を生成するため、仮に間違った認証コードでも構わないが、より安全なデータ送受信を実現するには、認証コードそのものの正当性も確認することが好ましい。認証コードが間違いと確認されれば、認証サーバ11は認証回線3を通じて再度認証クライアント21に正しい認証コードを要求する。認証回線3は、認証コードの送信を終えれば回線切断してもよいが、後述するように、パスワードに基づいた別のサーバ鍵及びクライアント鍵の突き合わせや、データ送受信中の接続確認の際に必要になることから、回線接続を続行し、データ回線4と同時に回線切断するとよい。
The
認証サーバ11は、正当性が確認された認証コードがサーバ鍵生成部111を通過する際、予め与えられた鍵条件に従って測定される特徴量から、サーバ鍵を生成する。具体的なサーバ鍵は、サーバ鍵生成部111が有するアナログ測定回路又はディジタル測定回路の種類や、対象となる特徴量及びその特徴量を測定する鍵条件によって異なる。例えば、認証コードがアナログ信号の場合、鍵条件はアナログ測定回路における電気的特徴を測定条件とし、電流値又は電圧値の変化や通過時間をサーバ鍵とすることが考えられる。また、認証コードがディジタル信号の場合、鍵条件はディジタル測定回路において情報的特徴を測定条件とし、計数される「1(ON信号)」の数や、特定ビットの「1(ON信号)」又は「0(OFF信号)」の違いをサーバ鍵にすることが考えられる。
The
ここで、後述するように、鍵条件はデータ回線4が回線接続する度に異なるが、仮に同一の鍵条件であっても、生成されるサーバ鍵及びクライアント鍵は必ずしも同一にならない。例えば、認証コードがクライアント側のユーザによってテンキー入力されたアナログ信号(電話等)又はディジタル信号(コンピュータ等)の場合、テンキーを押すタイミングは入力の度に異なるため、テンキー入力された認証コードにおける信号間隔を鍵条件とすれば、同じ認証コード及び同じ鍵条件であっても、生成されるサーバ鍵及びクライアント鍵は毎回異なることになる。また、例えばソフトウェアにより、鍵条件に基づいて、認証コードがアナログ測定回路又はディジタル測定回路を通過する時間又は遅延時間を強制的に作り出してもよい。このように、本発明のデータ通信システムでは、本人認証に用いるサーバ鍵及びクライアント鍵は予測不可能かつ秘匿性の高い一次使用のデータである点に特徴がある。
Here, as will be described later, the key condition changes each time the
こうして、鍵条件に基づいて認証コードから生成されたサーバ鍵は、サーバ側内回線13を通じて認証サーバ11から通信サーバ12へ受け渡される。また、認証クライアント21は、認証サーバ11同様、クライアント鍵生成部211が鍵条件に基づいて認証コードからクライアント鍵を生成し、クライアント側内回線23を通じて認証クライアント21から通信クライアント22へ受け渡される。ここで、サーバ鍵生成部111及びクライアント鍵生成部211が同一で、また共通の鍵条件を用いていれば、サーバ鍵及びクライアント鍵は同一又は一対の対応関係にあることになる。これから、データ回線4を通じて通信サーバ12及び通信クライアント22が前記サーバ鍵及びクライアント鍵を付き合わせれば、通信サーバ12及び通信クライアント22は相互に認証することができる。
In this way, the server key generated from the authentication code based on the key condition is transferred from the
認証クライアント21からクライアント鍵を受け取った通信クライアント22は、図3及び図7に見られるように、データ回線4を通じて通信サーバ12に接続要求し、通信サーバ12はデータ回線4を回線接続した後、データ回線4における本人認証手続に移る。具体的には、従来同様、データ回線4を通じて通信サーバ12は通信クライアント22にパスワード要求し、これを受けてクライアント側のユーザが通信クライアント22にパスワードを入力し、このパスワードを通信サーバ12へ送信する。同時に、通信クライアント22は、ユーザの操作と別に、データ回線4を通じてクライアント鍵を通信サーバ12へ送信する。すなわち、本例の通信サーバ12は、パスワード及びクライアント鍵により、二重に本人認証する。
The
ここで、データ回線4を通じて送信されるパスワードに基づいて、通信サーバ12及び通信クライアント21が別のサーバ鍵及びクライアント鍵を作り出し、この別のサーバ鍵を通信サーバ12から認証サーバ11に受け渡し、また別のクライアント鍵を通信クライアント21から認証クライアント21に受け渡して、認証クライアント21から認証サーバ11へ送信した別のクライアント鍵を認証サーバ11が有する別のサーバ鍵と突き合わせることにより、三重の本人認証を図ることができる。これは、本発明のデータ通信システムを二重に用いる場合に相当する。こうした三重の本人認証を図る場合、上述したように、認証コードの送信後にも認証回線3の回線接続を続行している必要がある。
Here, based on the password transmitted through the
こうして、パスワード及びクライアント鍵により本人認証を終えれば、通信サーバ12は通信クライアント22のログインを許可し、通信サーバ12及び通信クライアント22のデータ送受信が始まる。必要なデータ送受信を終え、データ回線4を通じて通信クライアント22から通信サーバ12へログオフが要求されると、通信サーバ12は鍵条件生成部221が生成した新たな鍵条件を、データ回線4を通じて通信クライアント22に送信した後、データ回線4を回線切断する。認証回線3も回線接続されていれば、このデータ回線4の回線切断に合わせて認証回線3も回線切断する。
Thus, when the personal authentication is completed with the password and the client key, the
認証回線3及びデータ回線4の回線切断後、図3及び図8に見られるように、通信サーバ12は、サーバ側内回線13を通じて新たな鍵条件を認証サーバ11のサーバ鍵生成部111に受け渡す。また、前記鍵条件を受信した通信クライアント22は、クライアント側内回線23を通じて認証クライアント21のクライアント鍵生成部211へ新たな鍵条件を受け渡す。これにより、サーバ鍵生成部111及びクライアント鍵生成部211は、次回の利用時に新たなサーバ鍵及びクライアント鍵を生成することができ、データ回線4の安全性をより高めることができる。
After disconnecting the
データ回線4の安全性を高めるには、例えば図9に見られるように、データ回線4を通じたデータ送受信の途中に、通信サーバ12から通信クライアント22へ新たな鍵条件を送信し、改めてサーバ鍵及びクライアント鍵により本人認証することが考えられる。この場合、例えば通信サーバ12がデータ回線4を通じて通信クライアント22へ接続確認要求を送信する際、同時に新たな鍵条件を通信クライアント22へ送信する。接続確認要求は、クライアント側のユーザに接続確認することを明示すると共に、一時的にデータ送受信を遮断する働きを有する。
In order to increase the security of the
通信サーバ12が新たな鍵条件の送信を終えると、認証回線3を通じて認証サーバ11が改めて認証コードを要求する。そして、クライアント側のユーザが、改めて認証クライアント21に認証コードを入力すると、認証サーバ11は認証クライアント21から認証コードを受信してサーバ鍵生成部111により新たなサーバ鍵を生成し、また認証クライアント21は認証コードからクライアント鍵生成部211により新たなクライアント鍵を生成する。そして、サーバ側内回線13を通じて認証サーバ11は通信サーバ12にサーバ鍵を受け渡し、またクライアント側内回線23を通じて認証クライアント21は通信クライアント22にクライアント鍵を受け渡す。
When the
ここで、既にデータ回線4は回線接続の状態にあるため、通信クライアント22は自動的にクライアント鍵を通信サーバ12へ送信し、通信サーバ12はサーバ鍵及びクライアント鍵を突き合わせて鍵認証する。こうして、データ回線4の回線接続中に改めて本人認証されれば、通信サーバ12は通信クライアント22に接続確認を許可し、データ送受信を再開する。既述したように、認証コード及び鍵条件が同一でも、サーバ鍵及びクライアント鍵は生成される度に異なるため、本発明のデータ通信システムを利用し、かつ認証回線3及びデータ回線4が正当に回線接続されていないと鍵認証されないため、データ回線4の安全性は確保される。
Here, since the
11 認証サーバ
111 サーバ鍵生成部
12 通信サーバ
121 鍵条件生成部
13 サーバ側内回線
21 認証クライアント
211 クライアント鍵生成部
22 通信クライアント
221 鍵条件生成部
23 クライアント側内回線
3 認証回線
4 データ回線
11 Authentication server
111 Server key generator
12 Communication server
121 Key condition generator
13 Server side internal line
21 Authentication client
211 Client key generator
22 Communication client
221 Key condition generator
23 Client side
Claims (7)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005308908A JP4843802B2 (en) | 2005-10-24 | 2005-10-24 | Data communication system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005308908A JP4843802B2 (en) | 2005-10-24 | 2005-10-24 | Data communication system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2007115202A true JP2007115202A (en) | 2007-05-10 |
JP4843802B2 JP4843802B2 (en) | 2011-12-21 |
Family
ID=38097287
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005308908A Expired - Fee Related JP4843802B2 (en) | 2005-10-24 | 2005-10-24 | Data communication system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4843802B2 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2019040454A (en) * | 2017-08-25 | 2019-03-14 | 株式会社リコー | Equipment system, server, and data processing method |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH01307341A (en) * | 1988-06-06 | 1989-12-12 | Fujitsu Ltd | Mobile body data ciphered communication system |
JPH08130536A (en) * | 1994-10-28 | 1996-05-21 | N T T Data Tsushin Kk | Inter-terminal mutual authentication method and tone card system |
JPH1084340A (en) * | 1996-09-09 | 1998-03-31 | Nec Corp | Incorrect access preventing callback system |
JPH11306141A (en) * | 1998-04-23 | 1999-11-05 | Nec Eng Ltd | Qualified person decision device |
JP2001255819A (en) * | 2000-03-10 | 2001-09-21 | Tact:Kk | Device and method for transmitting and receiving information |
JP2002318785A (en) * | 2001-04-23 | 2002-10-31 | Osaka Gas Co Ltd | Device and method for authentication |
JP2005134478A (en) * | 2003-10-28 | 2005-05-26 | Sony Corp | Encryption processing device, encryption processing method, and computer program |
-
2005
- 2005-10-24 JP JP2005308908A patent/JP4843802B2/en not_active Expired - Fee Related
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH01307341A (en) * | 1988-06-06 | 1989-12-12 | Fujitsu Ltd | Mobile body data ciphered communication system |
JPH08130536A (en) * | 1994-10-28 | 1996-05-21 | N T T Data Tsushin Kk | Inter-terminal mutual authentication method and tone card system |
JPH1084340A (en) * | 1996-09-09 | 1998-03-31 | Nec Corp | Incorrect access preventing callback system |
JPH11306141A (en) * | 1998-04-23 | 1999-11-05 | Nec Eng Ltd | Qualified person decision device |
JP2001255819A (en) * | 2000-03-10 | 2001-09-21 | Tact:Kk | Device and method for transmitting and receiving information |
JP2002318785A (en) * | 2001-04-23 | 2002-10-31 | Osaka Gas Co Ltd | Device and method for authentication |
JP2005134478A (en) * | 2003-10-28 | 2005-05-26 | Sony Corp | Encryption processing device, encryption processing method, and computer program |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2019040454A (en) * | 2017-08-25 | 2019-03-14 | 株式会社リコー | Equipment system, server, and data processing method |
Also Published As
Publication number | Publication date |
---|---|
JP4843802B2 (en) | 2011-12-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102215221B (en) | Methods and systems for secure remote wake, boot, and login to a computer from a mobile device | |
CN101192926B (en) | Account protection method and system | |
US8438385B2 (en) | Method and apparatus for identity verification | |
US5491752A (en) | System for increasing the difficulty of password guessing attacks in a distributed authentication scheme employing authentication tokens | |
US7698565B1 (en) | Crypto-proxy server and method of using the same | |
US8769289B1 (en) | Authentication of a user accessing a protected resource using multi-channel protocol | |
US8621216B2 (en) | Method, system and device for synchronizing between server and mobile device | |
US20050021975A1 (en) | Proxy based adaptive two factor authentication having automated enrollment | |
US6892308B1 (en) | Internet protocol telephony security architecture | |
US20060005033A1 (en) | System and method for secure communications between at least one user device and a network entity | |
NO332479B1 (en) | Procedure and computer program for verifying one-time password between server and mobile device using multiple channels | |
WO2008019194A2 (en) | Mutual authentication and secure channel establichment between two parties using consecutive one-time passwords | |
JP2000222360A (en) | Method and system for authentication and authentication processing program recording medium | |
GB2505532A (en) | Password generating using trusted and un-trusted time modules. | |
WO2009118502A2 (en) | Devolved authentication | |
CA2942765C (en) | Persistent authentication system incorporating one time pass codes | |
US7512967B2 (en) | User authentication in a conversion system | |
CN114072796A (en) | Hardware authentication token with remote validation | |
US20220116385A1 (en) | Full-Duplex Password-less Authentication | |
WO2007067839A2 (en) | Method and system for managing secure access to data in a network | |
EP2514135B1 (en) | Systems and methods for authenticating a server by combining image recognition with codes | |
JP2006033780A (en) | Network authentication system using identification by calling-back | |
CN105187417B (en) | Authority acquiring method and apparatus | |
EP1320975B1 (en) | Internet protocol telephony security architecture | |
JP4843802B2 (en) | Data communication system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20081021 |
|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20081021 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20081024 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110616 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110621 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110819 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110913 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20110916 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110916 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20110920 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20141021 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4843802 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |