JP2007115202A - Data communications system - Google Patents

Data communications system Download PDF

Info

Publication number
JP2007115202A
JP2007115202A JP2005308908A JP2005308908A JP2007115202A JP 2007115202 A JP2007115202 A JP 2007115202A JP 2005308908 A JP2005308908 A JP 2005308908A JP 2005308908 A JP2005308908 A JP 2005308908A JP 2007115202 A JP2007115202 A JP 2007115202A
Authority
JP
Japan
Prior art keywords
client
authentication
server
key
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2005308908A
Other languages
Japanese (ja)
Other versions
JP4843802B2 (en
Inventor
Makoto Yasunobu
誠 安延
Isamu Kamoi
勇 鴨井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to JP2005308908A priority Critical patent/JP4843802B2/en
Publication of JP2007115202A publication Critical patent/JP2007115202A/en
Application granted granted Critical
Publication of JP4843802B2 publication Critical patent/JP4843802B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide a data communications system for easily and surely attaining line connection in which security is enhanced. <P>SOLUTION: The data communications system makes a communication client 22 log in a communications server 12 by: transmitting an authentication code from an authentication client 21 connected through an authentication line 3 to an authentication server 11; generating a server key from the authentication code, to transfer it to a communications server 12 by the authentication server 11, based on common key conditions which the authentication server 11 and the authentication client 21 have; in addition, generating a client key from the authentication code, to transfer it to the communication client 22; transmitting the client key from the communication client 22, connected through a data line 4, to the communications server 12 by the authentication client 21 and performing key collation between the server key and the client key by the communications server 12. <P>COPYRIGHT: (C)2007,JPO&INPIT

Description

本発明は、他人が本人になりすますことなく、確実にデータ回線を回線接続できる安全性を高めたデータ通信システムに関する。   The present invention relates to a data communication system with improved safety that can securely connect data lines without impersonating another person.

以下では、便宜上、接続要求を受ける側を「サーバ」、接続要求をする側を「クライアント」として接続する場合のデータ通信システムとして説明するが、本発明は前記サーバを一方のクライアント、前記クライアントを他方のクライアントとして、クライアント相互が接続する場合のデータ通信システムも含む。   Hereinafter, for convenience, the data communication system will be described in which the connection requesting side is connected as a “server” and the connection requesting side is set as a “client”. However, the present invention refers to the server as one client and the client as the client. As the other client, a data communication system in the case where the clients are connected to each other is also included.

データ通信システムでは、データの送受信における安全性を高めるため、回線接続時に本人ID及びパスワードを要求して、本人認証を図る。しかし、これでは本人ID及びパスワードを盗まれると、簡単に他人が本人になりすましてしまう。これを防ぐため、例えば特許文献1では、3つのパスワード(第1パスワード、第2パスワード及び第3パスワード)を用いて、回線接続時における安全な本人認証を図っている。   In a data communication system, in order to improve security in data transmission / reception, a personal ID and a password are requested at the time of line connection, and personal authentication is attempted. However, in this case, if the identity ID and password are stolen, another person can easily impersonate the identity. In order to prevent this, for example, Patent Document 1 uses three passwords (a first password, a second password, and a third password) to perform secure personal authentication at the time of line connection.

特許文献1のデータ通信システムは、サーバに設けたセキュリティ・モジュール及び許可モジュールに対するクライアントの送受信により、本人認証を図る。まず、クライアントがサーバのセキュリティ・モジュールへ第1パスワードを送信すると、このセキュリティ・モジュールが暗号化された鍵を生成し、クライアントへ返信する。次に、クライアントがサーバの許可モジュールへ第2パスワード及び前記鍵を送信すると、第2パスワードを本人認証して、複号された鍵から第3パスワードを生成し、クライアントへ返信する。そして、クライアントが前記第3パスワードをサーバのセキュリティ・モジュールへ送信して、回線接続が許可される。   The data communication system of Patent Document 1 attempts to authenticate a person by transmitting / receiving a client to / from a security module and a permission module provided in a server. First, when the client transmits the first password to the security module of the server, the security module generates an encrypted key and returns it to the client. Next, when the client transmits the second password and the key to the authorization module of the server, the second password is authenticated, and a third password is generated from the decrypted key and returned to the client. Then, the client transmits the third password to the security module of the server, and the line connection is permitted.

特開2005-063439公報JP2005-063439

特許文献1のデータ通信システムは、クライアントに対して第1パスワード及び第2パスワードを付与し、第1パスワードの送信によって受ける暗号化された鍵と前記第2パスワードとを用いて、最終的な回線接続を許可する一次使用の第3パスワードを発行して、この第3パスワードにより回線接続の安全性を確保する構成と見ることができる。しかし、これは従来見られるパスワード認証を複雑にしたに過ぎず、クライアントを操作するユーザが第1パスワード及び第2パスワードを記憶しておかなければならない不便さがある。また、第1パスワード及び第2パスワードを盗まれれば、従来のパスワード認証同様、他人が本人になりすますことができる。そこで、パスワードを用いながら、より簡単かつ確実に安全性を高めた回線接続を実現するデータ通信システムを提供するため、検討した。   The data communication system of Patent Document 1 assigns a first password and a second password to a client, and uses the encrypted key received by transmission of the first password and the second password to obtain a final line. It can be regarded as a configuration in which a third password for primary use that permits connection is issued and the safety of the line connection is secured by this third password. However, this only complicates the conventional password authentication, and there is an inconvenience that the user operating the client has to memorize the first password and the second password. Also, if the first password and the second password are stolen, another person can impersonate the person as in the conventional password authentication. Therefore, we studied to provide a data communication system that realizes a simple and reliable line connection using a password.

検討の結果、認証サーバと接続された通信サーバと、認証クライアントと接続された通信クライアントとから構成され、認証サーバ及び認証クライアントは認証回線で結ばれ、通信サーバ及び通信クライアントはデータ回線で結ばれてなり、認証回線を通じて接続された認証サーバから認証クライアントへ、又は認証クライアントから認証サーバへ認証コードを送信させ、認証サーバ及び認証クライアントが有する共通の鍵条件に基づいて、認証サーバが前記認証コードからサーバ鍵を生成して通信サーバに受け渡し、また認証クライアントが前記認証コードからクライアント鍵を生成して通信クライアントに受け渡し、データ回線を通じて接続された通信サーバから通信クライアントへサーバ鍵を送信させ、又は通信クライアントから通信サーバへクライアント鍵を送信させて、この通信サーバ又は通信クライアントが前記サーバ鍵及びクライアント鍵を鍵照合することにより、通信サーバに対して通信クライアントをログインさせるデータ通信システムを開発した。   As a result of examination, it is composed of a communication server connected to the authentication server and a communication client connected to the authentication client. The authentication server and the authentication client are connected by an authentication line, and the communication server and the communication client are connected by a data line. The authentication server transmits the authentication code from the authentication server connected through the authentication line to the authentication client or from the authentication client to the authentication server, and based on the common key condition of the authentication server and the authentication client, the authentication server A server key is generated from the authentication code and passed to the communication server, and the authentication client generates a client key from the authentication code and passes it to the communication client, and the server key is transmitted from the communication server connected through the data line to the communication client, or Communication from communication client By sending the client key to the over bar, by the communication server or the communication client key match the server key and a client key, has developed a data communication system to log the communication client to the communication server.

本発明のデータ通信システムは、サーバ側とクライアント側とを二重の認証回線及びデータ回線により接続し、認証回線を通じて送受信される認証コードからサーバ側及びクライアント側に共通な鍵条件に基づいて同一又は一対の対応関係にあるサーバ鍵及びクライアント鍵を生成し、このサーバ鍵及びクライアント鍵の突き合わせにより、データ回線の安全な接続を実現する。ここで、認証コードは、認証サーバに対して認証クライアントの本人認証を図るデータであり、認証クライアントから自動的に認証サーバへ送信される特定データのほか、認証クライアントを操作するユーザの音声やキータイプ等による入力データでもよい。サーバ鍵及びクライアント鍵は、後述する鍵条件に基づいて、前記認証コードを測定して生成される。   In the data communication system of the present invention, the server side and the client side are connected by a double authentication line and data line, and the authentication code transmitted and received through the authentication line is the same based on key conditions common to the server side and the client side. Alternatively, a server key and a client key having a pair of correspondences are generated, and a secure connection of the data line is realized by matching the server key and the client key. Here, the authentication code is data for authenticating the authentication client to the authentication server. In addition to the specific data automatically transmitted from the authentication client to the authentication server, the voice or key of the user operating the authentication client is used. It may be input data by type. The server key and the client key are generated by measuring the authentication code based on a key condition described later.

まず、認証コードを安全に送信するには、認証回線の安全性が確保できることが望ましい。これから、認証コードを認証回線を通じた認証サーバ及び認証クライアントの接続は、認証クライアントからの接続要求に対する認証サーバによるコールバック接続にするとよい。同様に、クライアント鍵を安全に送信するため、認証回線の安全性が確保できるように、データ回線を通じた通信サーバ及び通信クライアントの接続は、通信クライアントからの接続要求に対する通信サーバによるコールバック接続にするとよい。   First, in order to transmit the authentication code safely, it is desirable that the security of the authentication line can be ensured. From now on, the connection between the authentication server and the authentication client through the authentication line with the authentication code may be a callback connection by the authentication server in response to a connection request from the authentication client. Similarly, in order to securely transmit the client key, the connection of the communication server and the communication client through the data line is a callback connection by the communication server for the connection request from the communication client so that the security of the authentication line can be secured. Good.

サーバ鍵及びクライアント鍵は、一次使用される同一又は一対の対応関係にあるデータが好ましい。しかし、このサーバ鍵又はクライアント鍵そのものをデータ回線で送受信すると、このデータ回線に介入した他人にサーバ鍵又はクライアント鍵を盗まれる虞が拭い去れない。そこで、本発明のサーバ鍵及びクライアント鍵は、認証サーバ及び認証クライアントの有する各アナログ測定回路を認証コードが通過する際に測定される特徴量とし、具体的には前記鍵条件に基づいて生成された同一又は一対の対応関係にある特徴量をそれぞれ一次使用のサーバ鍵及びクライアント鍵とした。同様に、サーバ鍵及びクライアント鍵は、認証サーバ及び認証クライアントの有する各ディジタル測定回路を認証コードが通過する際に測定される特徴量とし、具体的には前記鍵条件に基づいて生成された同一又は一対の対応関係にある特徴量をそれぞれサーバ鍵及びクライアント鍵としてもよい。いずれの場合も、サーバ鍵及びクライアント鍵は認証コードから測定される特徴量として回線接続の度に生成されるため、秘匿性が高められている。   The server key and the client key are preferably the same or a pair of data that is used primarily. However, if this server key or client key itself is transmitted / received via the data line, the possibility that the server key or the client key is stolen by another person who intervenes in the data line cannot be wiped out. Therefore, the server key and the client key of the present invention are feature quantities measured when the authentication code passes through the analog measurement circuits of the authentication server and the authentication client, and are specifically generated based on the key condition. The feature quantities having the same or a pair of correspondence relations were respectively used as the primary use server key and client key. Similarly, the server key and the client key are feature quantities measured when the authentication code passes through the digital measurement circuits of the authentication server and the authentication client. Specifically, the server key and the client key are identically generated based on the key condition. Alternatively, feature quantities having a pair of correspondence relationships may be used as a server key and a client key, respectively. In any case, since the server key and the client key are generated each time a line is connected as a feature quantity measured from the authentication code, confidentiality is enhanced.

ここで、「アナログ測定回路を認証コードが通過する際に測定される特徴量」とは、アナログ信号である認証コードがアナログ測定回路を通過する時間や、前記アナログ測定回路でのアナログ処理に要する時間のほか、前記アナログ処理によって得られる出力信号等を意味する。この場合、認証コードは音声等のアナログ信号が好ましいが、データ等のディジタル信号であっても、DA変換することによりアナログ測定回路を通過させることができる。同様に、「ディジタル測定回路を認証コードが通過する際に測定される特徴量」とは、ディジタル信号である認証コードがディジタル測定回路を通過する時間や、前記ディジタル測定回路でディジタル処理される時間のほか、前記ディジタル処理によって得られる出力信号等を意味する。この場合、認証コードはデータ等のディジタル信号が好ましいが、音声等のアナログ信号であっても、AD変換することによりディジタル測定回路を通過させることができる。   Here, the “characteristic amount measured when the authentication code passes through the analog measurement circuit” means the time required for the authentication code, which is an analog signal, to pass through the analog measurement circuit, and the analog processing in the analog measurement circuit. In addition to time, it means an output signal obtained by the analog processing. In this case, the authentication code is preferably an analog signal such as voice, but even a digital signal such as data can be passed through the analog measurement circuit by DA conversion. Similarly, the “feature value measured when the authentication code passes through the digital measurement circuit” means the time for the authentication code, which is a digital signal, to pass through the digital measurement circuit, or the time for digital processing in the digital measurement circuit. In addition, it means an output signal obtained by the digital processing. In this case, the authentication code is preferably a digital signal such as data, but even an analog signal such as voice can be passed through the digital measurement circuit by AD conversion.

鍵条件は複数用意して、回線接続の度に鍵条件を切り換えると、サーバ鍵及びクライアント鍵の秘匿性がより高められる。このため、本発明のデータ通信システムにおける通信サーバ及び通信クライアントは、ログインからログオフに至るまでの間に、新たな鍵条件を通信サーバから通信クライアントへ又は通信クライアントから通信サーバへ送信し、通信サーバは前記新たな鍵条件を認証サーバに受け渡し、そして通信クライアントは前記新たな鍵条件を認証クライアントに受け渡す構成にする。鍵条件は、認証サーバ又は認証クライアントが内部処理に利用するものなので、新たな鍵条件は、クライアント側のユーザが知らない間に、通信サーバ及び通信クライアント間で自動的に受け渡せばよい。   If a plurality of key conditions are prepared and the key conditions are switched each time the line is connected, the confidentiality of the server key and the client key can be further improved. For this reason, the communication server and the communication client in the data communication system of the present invention transmit a new key condition from the communication server to the communication client or from the communication client to the communication server during the period from login to logoff. Passes the new key condition to the authentication server, and the communication client passes the new key condition to the authentication client. Since the key condition is used by the authentication server or the authentication client for internal processing, the new key condition may be automatically passed between the communication server and the communication client without the user on the client side knowing it.

上記鍵条件の受け渡しを利用すれば、回線接続中の接続続行確認も可能となる。すなわち、本発明のデータ通信システムにおける認証サーバ及び認証クライアントは、通信サーバ及び通信クライアントから新たな鍵条件を受け渡された後、認証回線を通じて接続された認証サーバから認証クライアントへ、又は認証クライアントから認証サーバへ認証コードを送信させ、認証サーバ及び認証クライアントが有する新たな鍵条件に基づいて、認証サーバが前記認証コードからサーバ鍵を生成して通信サーバに受け渡し、また認証クライアントが前記認証コードからクライアント鍵を生成して通信クライアントに受け渡し、データ回線を通じて接続された通信サーバから通信クライアントへサーバ鍵を送信させ、又は通信クライアントから通信サーバへクライアント鍵を送信させて、この通信サーバ又は通信クライアントが前記サーバ鍵及びクライアント鍵を鍵照合することにより、通信サーバ及び通信クライアントの接続を続行させる構成にする。   If the above key condition delivery is used, it is possible to confirm connection continuation during line connection. That is, the authentication server and the authentication client in the data communication system of the present invention receive a new key condition from the communication server and the communication client, and then connect from the authentication server connected through the authentication line to the authentication client or from the authentication client. An authentication code is transmitted to the authentication server, the authentication server generates a server key from the authentication code based on a new key condition possessed by the authentication server and the authentication client, and passes the server key to the communication server. A client key is generated and delivered to a communication client, and the server key is transmitted from the communication server connected through the data line to the communication client, or the client key is transmitted from the communication client to the communication server. in front By the key collating the server key and a client key, a configuration to continue connecting the communication server and communication client.

本発明は、クライアント側のユーザにとって、簡便かつ安全な回線接続を可能にするデータ通信システムを提供する。まず、本発明のデータ通信システムは、クライアント側のユーザに、データ回線のログインに際して必要なパスワードを1つしか要求しない。認証回線の回線接続に際して認証コードが必要になるが、前記認証コードは認証クライアントが自動的に送信する内部データにしておくことで、クライアント側のユーザの負担を軽減できる。サーバ鍵及びクライアント鍵は、前記認証コードから生成されるが、鍵条件を切り換えていくことにより、同一の認証コードを用いながらサーバ鍵及びクライアント鍵の秘匿性は確保されている。   The present invention provides a data communication system that enables a simple and safe line connection for a user on the client side. First, the data communication system of the present invention requires only one password required for logging in to a data line from a client side user. An authentication code is required for connection of the authentication line. However, by placing the authentication code as internal data that is automatically transmitted by the authentication client, the burden on the user on the client side can be reduced. The server key and the client key are generated from the authentication code. By switching the key condition, the confidentiality of the server key and the client key is ensured while using the same authentication code.

また、鍵条件はデータ回線を通じて受け渡され、前記鍵条件に従ってサーバ鍵及びクライアント鍵を生成する基礎となる認証コードは認証回線を通じて送受信されることから、他人が本人になりすますための情報、すなわち認証コード、鍵条件、サーバ鍵及びクライアント鍵、そしてパスワードをすべて盗まれる危険性は極めて低い。しかも、鍵条件に従ってサーバ鍵及びクライアント鍵となる特徴量の測定は、認証サーバ及び認証クライアントが有するアナログ測定回路又はディジタル測定回路が必要になるため、回線接続の安全性が損なわれる虞はほとんどない。   In addition, key conditions are passed through the data line, and the authentication code that is the basis for generating the server key and client key in accordance with the key conditions is sent and received through the authentication line, so information for impersonating another person, that is, authentication The risk of stealing all codes, key conditions, server and client keys, and passwords is extremely low. In addition, the measurement of the feature quantity serving as the server key and the client key according to the key condition requires an analog measurement circuit or a digital measurement circuit included in the authentication server and the authentication client, so that there is almost no possibility that the safety of the line connection is impaired. .

更に、認証回線やデータ回線をコールバック接続により回線接続すれば、より確実ななりすまし防止を図ることができる。ここで、サーバ鍵及びクライアント鍵を生成する基礎となる認証コードを、前記コールバック接続に用いる認証クライアントの識別コードを利用すれば、コールバック接続により、同時にサーバ鍵及びクライアント鍵の生成が可能となり、本人認証も円滑に済ませることができる。このように、本発明は認証回線を通じて送信される認証コードを基礎として一次使用のサーバ鍵及びクライアント鍵を生成し、データ回線を通じて前記サーバ鍵及びクライアント鍵を送受信し、本人認証することを中心として、全体として回線接続の安全性を高めたデータ通信システムを提供する。   Furthermore, if the authentication line and the data line are connected by callback connection, it is possible to prevent spoofing more reliably. Here, if the authentication code used as the basis for generating the server key and the client key is the identification code of the authentication client used for the callback connection, the server key and the client key can be generated simultaneously by the callback connection. In addition, the identity authentication can be completed smoothly. As described above, the present invention mainly generates a server key and a client key for primary use based on an authentication code transmitted through an authentication line, transmits and receives the server key and the client key through a data line, and authenticates the user. The present invention provides a data communication system with improved line connection safety as a whole.

以下、本発明の実施形態について図を参照しながら説明する。図1は本発明のデータ通信システムの基本構成を表すブロック図、図2は認証回線3及びデータ回線4を兼用した応用構成を示すブロック図、図3は基本構成における標準的なデータ通信を表すタイムチャート、図4〜図8は標準的なデータ通信における認証回線3及びデータ回線4の接続状態を表す図1相当ブロック図であり、図4は認証クライアント21が認証回線3を通じて認証サーバ11に接続要求している段階、図5は認証クライアント21からの接続要求を受けて認証サーバ11が認証回線3を一度切断した段階、図6は認証サーバ11が認証回線3を通じて認証クライアント21にコールバック接続する段階、図7はデータ回線4を通じて通信サーバ12及び通信クライアント22でデータ送受信している段階、図8は通信クライアント22からのログオフ後にデータ回線4及び認証回線3を切断した段階であり、そして図9はデータ送受信中に接続続行確認する場合のタイムチャートである。   Hereinafter, embodiments of the present invention will be described with reference to the drawings. FIG. 1 is a block diagram showing the basic configuration of the data communication system of the present invention, FIG. 2 is a block diagram showing an application configuration using both the authentication line 3 and the data line 4, and FIG. 3 shows standard data communication in the basic configuration. 4 to 8 are block diagrams corresponding to FIG. 1 showing the connection state of the authentication line 3 and the data line 4 in standard data communication. FIG. 4 shows the authentication client 21 via the authentication line 3 to the authentication server 11. FIG. 5 shows a connection requesting stage, FIG. 5 shows a stage where the authentication server 11 disconnects the authentication line 3 once upon receiving a connection request from the authentication client 21, and FIG. 6 shows a call back to the authentication client 21 through the authentication line 3. FIG. 7 shows the stage of connection, FIG. 7 shows the stage of data transmission / reception between the communication server 12 and the communication client 22 through the data line 4, and FIG. 8 shows the log from the communication client 22. A step to cut the data line 4 and the authentication circuit 3 after full, and Figure 9 is a time chart of checking continuing connection during data transmission and reception.

本発明のデータ通信システムは、図1に見られるように、サーバ側にサーバ側内回線13で結ばれた通信サーバ12及び認証サーバ11を、クライアント側にクライアント側内回線23で結ばれた通信クライアント22及び認証クライアント21をそれぞれ配し、認証サーバ11及び認証クライアント21を認証回線3により、そして通信サーバ12及び通信クライアント22をデータ回線4により結んで構成される。サーバ側内回線13は、通信サーバ12及び認証サーバ11を接続したローカルネットワークでもよいし、通信サーバ12及び認証サーバ11を直結する接続コードでもよい。また、サーバ側内回線13は、一体に構成した通信サーバ12及び認証サーバ11の内部結線を指す場合もある。クライアント側内回線23も同様である。   As shown in FIG. 1, the data communication system of the present invention includes a communication server 12 and an authentication server 11 connected to the server side via a server side internal line 13 and a communication connected to the client side via a client side internal line 23. The client 22 and the authentication client 21 are respectively arranged, the authentication server 11 and the authentication client 21 are connected by the authentication line 3, and the communication server 12 and the communication client 22 are connected by the data line 4. The server-side internal line 13 may be a local network to which the communication server 12 and the authentication server 11 are connected, or may be a connection code that directly connects the communication server 12 and the authentication server 11. Further, the server-side internal line 13 may refer to an internal connection of the communication server 12 and the authentication server 11 that are integrally formed. The same applies to the client-side internal line 23.

認証回線3及びデータ回線4は、公共又は専用のエリアネットワークやインターネットのほか、従来の電話回線でもよい。この認証回線3及びデータ回線4が同種の場合、例えば図2に見られるように、物理的な認証回線3及びデータ回線4を共通化し、通信サーバ12及び通信クライアント22はそれぞれ認証サーバ11及び認証クライアント21を通じて接続するようにしてもよい。この場合でも、論理的な認証回線3及びデータ回線4は別である。認証回線3が電話回線の場合、認証サーバ11及び認証クライアント21は電話機を用いることができ、後述する識別コードは電話機の識別番号、認証コードは音声又はダイヤル信号を利用できる。また、データ回線4が電話回線の場合、通常ディジタル信号であるデータを送受信するため、AD/DA変換を担うモデム等を介して通信サーバ12及び通信クライアント22を電話回線であるデータ回線4に接続する。   The authentication line 3 and the data line 4 may be a public or dedicated area network, the Internet, or a conventional telephone line. When the authentication line 3 and the data line 4 are of the same type, for example, as shown in FIG. 2, the physical authentication line 3 and the data line 4 are shared, and the communication server 12 and the communication client 22 are respectively connected to the authentication server 11 and the authentication line. The connection may be made through the client 21. Even in this case, the logical authentication line 3 and the data line 4 are different. When the authentication line 3 is a telephone line, the authentication server 11 and the authentication client 21 can use telephones, the identification code described later can use the telephone identification number, and the authentication code can use voice or a dial signal. In addition, when the data line 4 is a telephone line, the communication server 12 and the communication client 22 are connected to the data line 4 as a telephone line through a modem or the like that performs AD / DA conversion in order to transmit / receive data that is usually a digital signal. To do.

認証サーバ11は、ディジタル測定回路として、内蔵又は外付けのサーバ鍵生成部111を有する。認証回線3がアナログ信号を送受信する場合、前記サーバ鍵生成部111はアナログ測定回路から構成される。サーバ鍵生成部111は、通信サーバ12から受け渡された鍵条件に基づき、認証クライアント21から送信されてきた認証コードから特徴量を測定し、この特徴量をサーバ鍵として通信サーバ12に受け渡す。同様に、認証クライアント21も、ディジタル測定回路として、内蔵又は外付けのサーバ鍵生成部111を有し、このサーバ鍵生成部111が、通信クライアント22から受け渡された鍵条件に基づき、認証サーバ11へ送信した認証コードから特徴量を測定し、この特徴量をクライアント鍵として通信クライアント22に受け渡す。   The authentication server 11 has a built-in or external server key generation unit 111 as a digital measurement circuit. When the authentication line 3 transmits / receives an analog signal, the server key generation unit 111 includes an analog measurement circuit. The server key generation unit 111 measures a feature amount from the authentication code transmitted from the authentication client 21 based on the key condition passed from the communication server 12, and passes this feature amount to the communication server 12 as a server key. . Similarly, the authentication client 21 also has a built-in or external server key generation unit 111 as a digital measurement circuit, and the server key generation unit 111 is based on the key condition passed from the communication client 22 and is used as an authentication server. The feature amount is measured from the authentication code transmitted to 11, and the feature amount is transferred to the communication client 22 as a client key.

通信サーバ12は、複数の鍵条件をデータベースからランダムに抽出する、又は複数の鍵条件を特定のアルゴリズムに従ってランダムに生成する鍵条件生成部121を有する。この鍵条件生成部121は、ソフトウェア的に構成でき、通常通信サーバ12に内蔵される。鍵条件は、サーバ側及びクライアント側で同一又は一対の対応関係にあるサーバ鍵及びクライアント鍵を生成することから、本例では通信サーバ12にのみ鍵条件生成部121を構成し、通信サーバ12で生成された鍵条件を、サーバ側内回線13を通じて認証サーバ11へ受け渡し、またデータ回線4を通じて通信クライアント22へ送信し、この通信クライアント22からクライアント側内回線23を通じて認証クライアント21へ受け渡す。   The communication server 12 includes a key condition generation unit 121 that randomly extracts a plurality of key conditions from a database, or randomly generates a plurality of key conditions according to a specific algorithm. The key condition generation unit 121 can be configured as software, and is normally built in the communication server 12. Since the key condition is to generate a server key and a client key having the same or a pair of correspondences on the server side and the client side, in this example, the key condition generation unit 121 is configured only in the communication server 12, and the communication server 12 The generated key condition is transferred to the authentication server 11 through the server-side internal line 13 and transmitted to the communication client 22 through the data line 4, and is transferred from the communication client 22 to the authentication client 21 through the client-side internal line 23.

このほか、図1ほかの通信クライアント22内破線枠に見られるように、通信クライアント22に同じ鍵条件生成部221を構成し、通信サーバ12から通信クライアント22へ、又はその逆へ鍵条件の生成情報を送信し、通信サーバ12及び通信クライアント22それぞれに前記選択情報を元にして同じ鍵条件を生成させてもよい。また、認証サーバ11又は認証クライアント21に鍵条件生成部121,221を構成してもよいが、その場合でも鍵条件の生成情報は通信サーバ12又は通信クライアント22から認証サーバ11又は認証クライアント21の鍵条件生成部121,221に送信することが好ましい。   1, the same key condition generation unit 221 is configured in the communication client 22 and the key condition is generated from the communication server 12 to the communication client 22 or vice versa, as seen in the broken frame in the other communication client 22 in FIG. Information may be transmitted to cause the communication server 12 and the communication client 22 to generate the same key condition based on the selection information. Further, the key condition generation units 121 and 221 may be configured in the authentication server 11 or the authentication client 21, but even in this case, the key condition generation information is transmitted from the communication server 12 or the communication client 22 to the key condition of the authentication server 11 or the authentication client 21. It is preferable to transmit to the generation units 121 and 221.

本発明のデータ通信システムによるデータ送受信について、図3〜図8により説明する。まず、図3及び図4に見られるように、認証回線3を通じて認証クライアント21から認証サーバ11へ接続要求が送信される。認証サーバ11は、前記接続要求を受けて認証回線3を通じた回線接続を許可する。そして、認証クライアント21は、認証回線3を通じて認証サーバ11へ識別コードを送信し、認証サーバ11は識別コードの受信後、図3及び図5に見られるように、一端認証回線3を回線切断する。認証サーバ11及び認証クライアント21が電話であれば、接続要求と同時に識別コード(電話番号)が認証クライアント21から認証サーバ11へ送信され、認証サーバ11は回線接続を許可すると同時に識別コードを受信する。   Data transmission / reception by the data communication system of the present invention will be described with reference to FIGS. First, as seen in FIGS. 3 and 4, a connection request is transmitted from the authentication client 21 to the authentication server 11 through the authentication line 3. The authentication server 11 accepts the connection request and permits line connection through the authentication line 3. Then, the authentication client 21 transmits an identification code to the authentication server 11 through the authentication line 3. After receiving the identification code, the authentication server 11 disconnects the authentication line 3 as shown in FIGS. . If the authentication server 11 and the authentication client 21 are telephones, an identification code (telephone number) is transmitted from the authentication client 21 to the authentication server 11 at the same time as the connection request, and the authentication server 11 receives the identification code at the same time as allowing the line connection. .

識別コードは、認証サーバ11から認証クライアント21へのコールバック接続するために必要な認証クライアント21の識別データであり、認証サーバ11が備える識別コードデータベース(図示略)等で認証クライアント21の登録等が確認される。これにより、前記識別コードデータベースに登録されている認証クライアント21のみが認証サーバ11からのコールバック接続を受けてデータ回線4の回線接続に進むことができ、逆に識別コードデータベースに登録されていない認証クライアント21を除外することができる。   The identification code is identification data of the authentication client 21 necessary for making a callback connection from the authentication server 11 to the authentication client 21, and the authentication client 21 is registered in an identification code database (not shown) provided in the authentication server 11, etc. Is confirmed. As a result, only the authentication client 21 registered in the identification code database can receive the callback connection from the authentication server 11 and proceed to the line connection of the data line 4, and conversely, it is not registered in the identification code database. The authentication client 21 can be excluded.

認証クライアント21から認証サーバ11ヘの識別コードの送信と同時に、認証サーバ11は前記識別コードを通信クライアント22に受け渡し、通信クライアント22にデータ回線4を通じた回線接続を開始する許可を与え、また認証コードを受信した認証サーバ11は前記識別コードを通信サーバ12に受け渡し、通信サーバ12にデータ回線4を通じた回線接続を開始する許可を与える。すなわち、識別コードの送受信は、通信サーバ12及び通信クライアント22がデータ回線4を通じて回線接続するためのスイッチの役割を果たしている。   Simultaneously with the transmission of the identification code from the authentication client 21 to the authentication server 11, the authentication server 11 passes the identification code to the communication client 22, grants the communication client 22 permission to start line connection through the data line 4, and authenticates. Upon receiving the code, the authentication server 11 passes the identification code to the communication server 12 and gives the communication server 12 permission to start line connection through the data line 4. That is, the transmission / reception of the identification code serves as a switch for connecting the communication server 12 and the communication client 22 via the data line 4.

識別コードの確認を終えた認証サーバ11は、図3及び図7に見られるように、この識別コードで識別コードデータベースに登録された認証クライアント21へ再接続要求(コールバック接続要求)して、この再接続要求を受けた認証クライアント21が認証回線3を通じて回線接続する。そして、認証サーバ11が認証回線3を通じて認証クライアント21に認証コード要求を送信する。これにより、クライアント側のユーザが、例えばキーボードやテンキーから英数字等からなる認証コードを認証クライアント21に入力し、認証回線3を通じて認証サーバ11へ前記認証コードを送信する。認証サーバ11及び認証クライアント21は、認証サーバ11によるコールバック接続により認証クライアント21の正当性が確保されているため、安全に認証コードを送受信できる。   After confirming the identification code, the authentication server 11 makes a reconnection request (callback connection request) to the authentication client 21 registered in the identification code database with this identification code, as shown in FIGS. The authentication client 21 that has received this reconnection request connects to the line through the authentication line 3. Then, the authentication server 11 transmits an authentication code request to the authentication client 21 through the authentication line 3. As a result, the user on the client side inputs an authentication code consisting of alphanumeric characters or the like from a keyboard or numeric keypad, for example, to the authentication client 21 and transmits the authentication code to the authentication server 11 through the authentication line 3. The authentication server 11 and the authentication client 21 can securely transmit and receive the authentication code because the authenticity of the authentication client 21 is ensured by the callback connection by the authentication server 11.

認証サーバ11は、まず認証コードそのものを認証コードデータベース(図示略)により、正しい認証コードが認証クライアント21から送信されてきているかを確認する。本発明では、鍵条件に基づいて認証コードからサーバ鍵及びクライアント鍵を生成するため、仮に間違った認証コードでも構わないが、より安全なデータ送受信を実現するには、認証コードそのものの正当性も確認することが好ましい。認証コードが間違いと確認されれば、認証サーバ11は認証回線3を通じて再度認証クライアント21に正しい認証コードを要求する。認証回線3は、認証コードの送信を終えれば回線切断してもよいが、後述するように、パスワードに基づいた別のサーバ鍵及びクライアント鍵の突き合わせや、データ送受信中の接続確認の際に必要になることから、回線接続を続行し、データ回線4と同時に回線切断するとよい。   The authentication server 11 first confirms whether the correct authentication code is transmitted from the authentication client 21 by using an authentication code database (not shown) as the authentication code itself. In the present invention, since the server key and the client key are generated from the authentication code based on the key condition, a wrong authentication code may be used. However, in order to realize safer data transmission / reception, the authentication code itself is also valid. It is preferable to confirm. If the authentication code is confirmed to be wrong, the authentication server 11 requests the authentication client 21 again for the correct authentication code through the authentication line 3. The authentication line 3 may be disconnected when the transmission of the authentication code is completed. However, as will be described later, when the server key and the client key are matched with each other based on the password or when the connection is confirmed during data transmission / reception. Since it becomes necessary, it is preferable to continue the line connection and disconnect the line simultaneously with the data line 4.

認証サーバ11は、正当性が確認された認証コードがサーバ鍵生成部111を通過する際、予め与えられた鍵条件に従って測定される特徴量から、サーバ鍵を生成する。具体的なサーバ鍵は、サーバ鍵生成部111が有するアナログ測定回路又はディジタル測定回路の種類や、対象となる特徴量及びその特徴量を測定する鍵条件によって異なる。例えば、認証コードがアナログ信号の場合、鍵条件はアナログ測定回路における電気的特徴を測定条件とし、電流値又は電圧値の変化や通過時間をサーバ鍵とすることが考えられる。また、認証コードがディジタル信号の場合、鍵条件はディジタル測定回路において情報的特徴を測定条件とし、計数される「1(ON信号)」の数や、特定ビットの「1(ON信号)」又は「0(OFF信号)」の違いをサーバ鍵にすることが考えられる。   The authentication server 11 generates a server key from a feature amount measured according to a predetermined key condition when an authentication code whose validity has been confirmed passes through the server key generation unit 111. The specific server key differs depending on the type of analog measurement circuit or digital measurement circuit included in the server key generation unit 111, the target feature quantity, and the key condition for measuring the feature quantity. For example, when the authentication code is an analog signal, the key condition may be that an electrical characteristic in the analog measurement circuit is a measurement condition, and a change in current value or voltage value or a transit time is a server key. When the authentication code is a digital signal, the key condition is that the information characteristic is measured in the digital measurement circuit, and the number of “1 (ON signal)” to be counted or “1 (ON signal)” of a specific bit or It is conceivable to use the difference of “0 (OFF signal)” as a server key.

ここで、後述するように、鍵条件はデータ回線4が回線接続する度に異なるが、仮に同一の鍵条件であっても、生成されるサーバ鍵及びクライアント鍵は必ずしも同一にならない。例えば、認証コードがクライアント側のユーザによってテンキー入力されたアナログ信号(電話等)又はディジタル信号(コンピュータ等)の場合、テンキーを押すタイミングは入力の度に異なるため、テンキー入力された認証コードにおける信号間隔を鍵条件とすれば、同じ認証コード及び同じ鍵条件であっても、生成されるサーバ鍵及びクライアント鍵は毎回異なることになる。また、例えばソフトウェアにより、鍵条件に基づいて、認証コードがアナログ測定回路又はディジタル測定回路を通過する時間又は遅延時間を強制的に作り出してもよい。このように、本発明のデータ通信システムでは、本人認証に用いるサーバ鍵及びクライアント鍵は予測不可能かつ秘匿性の高い一次使用のデータである点に特徴がある。   Here, as will be described later, the key condition changes each time the data line 4 is connected to the line, but even if the key condition is the same, the generated server key and client key are not necessarily the same. For example, when the authentication code is an analog signal (such as a telephone) or a digital signal (such as a computer) input by the user on the client side, the timing at which the numerical key is pressed differs for each input. If the interval is a key condition, the generated server key and client key will be different every time even if the same authentication code and the same key condition are used. Further, for example, software may forcibly create a time or delay time for the authentication code to pass through the analog measurement circuit or the digital measurement circuit based on the key condition. As described above, the data communication system of the present invention is characterized in that the server key and the client key used for the personal authentication are unpredictable and highly confidential primary use data.

こうして、鍵条件に基づいて認証コードから生成されたサーバ鍵は、サーバ側内回線13を通じて認証サーバ11から通信サーバ12へ受け渡される。また、認証クライアント21は、認証サーバ11同様、クライアント鍵生成部211が鍵条件に基づいて認証コードからクライアント鍵を生成し、クライアント側内回線23を通じて認証クライアント21から通信クライアント22へ受け渡される。ここで、サーバ鍵生成部111及びクライアント鍵生成部211が同一で、また共通の鍵条件を用いていれば、サーバ鍵及びクライアント鍵は同一又は一対の対応関係にあることになる。これから、データ回線4を通じて通信サーバ12及び通信クライアント22が前記サーバ鍵及びクライアント鍵を付き合わせれば、通信サーバ12及び通信クライアント22は相互に認証することができる。   In this way, the server key generated from the authentication code based on the key condition is transferred from the authentication server 11 to the communication server 12 through the server side internal line 13. Similarly to the authentication server 11, in the authentication client 21, the client key generation unit 211 generates a client key from the authentication code based on the key condition, and is passed from the authentication client 21 to the communication client 22 through the client-side internal line 23. Here, if the server key generation unit 111 and the client key generation unit 211 are the same and use a common key condition, the server key and the client key have the same or a pair of correspondences. From now on, if the communication server 12 and the communication client 22 associate the server key and the client key through the data line 4, the communication server 12 and the communication client 22 can authenticate each other.

認証クライアント21からクライアント鍵を受け取った通信クライアント22は、図3及び図7に見られるように、データ回線4を通じて通信サーバ12に接続要求し、通信サーバ12はデータ回線4を回線接続した後、データ回線4における本人認証手続に移る。具体的には、従来同様、データ回線4を通じて通信サーバ12は通信クライアント22にパスワード要求し、これを受けてクライアント側のユーザが通信クライアント22にパスワードを入力し、このパスワードを通信サーバ12へ送信する。同時に、通信クライアント22は、ユーザの操作と別に、データ回線4を通じてクライアント鍵を通信サーバ12へ送信する。すなわち、本例の通信サーバ12は、パスワード及びクライアント鍵により、二重に本人認証する。   The communication client 22 that has received the client key from the authentication client 21 requests connection to the communication server 12 through the data line 4 as shown in FIGS. 3 and 7, and the communication server 12 connects the data line 4 The process proceeds to the personal authentication procedure on the data line 4. Specifically, the communication server 12 requests a password from the communication client 22 through the data line 4 as in the past, and the user on the client side inputs the password to the communication client 22 and transmits this password to the communication server 12. To do. At the same time, the communication client 22 transmits a client key to the communication server 12 through the data line 4 separately from the user's operation. In other words, the communication server 12 of this example double authenticates the user by using the password and the client key.

ここで、データ回線4を通じて送信されるパスワードに基づいて、通信サーバ12及び通信クライアント21が別のサーバ鍵及びクライアント鍵を作り出し、この別のサーバ鍵を通信サーバ12から認証サーバ11に受け渡し、また別のクライアント鍵を通信クライアント21から認証クライアント21に受け渡して、認証クライアント21から認証サーバ11へ送信した別のクライアント鍵を認証サーバ11が有する別のサーバ鍵と突き合わせることにより、三重の本人認証を図ることができる。これは、本発明のデータ通信システムを二重に用いる場合に相当する。こうした三重の本人認証を図る場合、上述したように、認証コードの送信後にも認証回線3の回線接続を続行している必要がある。   Here, based on the password transmitted through the data line 4, the communication server 12 and the communication client 21 create another server key and client key, and passes this other server key from the communication server 12 to the authentication server 11. Triple client authentication by passing another client key from the communication client 21 to the authentication client 21 and matching another client key transmitted from the authentication client 21 to the authentication server 11 with another server key of the authentication server 11. Can be achieved. This corresponds to a case where the data communication system of the present invention is used twice. When performing such triple authentication, it is necessary to continue the connection of the authentication line 3 even after the authentication code is transmitted as described above.

こうして、パスワード及びクライアント鍵により本人認証を終えれば、通信サーバ12は通信クライアント22のログインを許可し、通信サーバ12及び通信クライアント22のデータ送受信が始まる。必要なデータ送受信を終え、データ回線4を通じて通信クライアント22から通信サーバ12へログオフが要求されると、通信サーバ12は鍵条件生成部221が生成した新たな鍵条件を、データ回線4を通じて通信クライアント22に送信した後、データ回線4を回線切断する。認証回線3も回線接続されていれば、このデータ回線4の回線切断に合わせて認証回線3も回線切断する。   Thus, when the personal authentication is completed with the password and the client key, the communication server 12 permits the communication client 22 to log in, and data transmission / reception between the communication server 12 and the communication client 22 starts. When the necessary data transmission / reception is completed and logoff is requested from the communication client 22 to the communication server 12 through the data line 4, the communication server 12 transmits the new key condition generated by the key condition generation unit 221 to the communication client through the data line 4. After transmitting to 22, the data line 4 is disconnected. If the authentication line 3 is also connected, the authentication line 3 is also disconnected when the data line 4 is disconnected.

認証回線3及びデータ回線4の回線切断後、図3及び図8に見られるように、通信サーバ12は、サーバ側内回線13を通じて新たな鍵条件を認証サーバ11のサーバ鍵生成部111に受け渡す。また、前記鍵条件を受信した通信クライアント22は、クライアント側内回線23を通じて認証クライアント21のクライアント鍵生成部211へ新たな鍵条件を受け渡す。これにより、サーバ鍵生成部111及びクライアント鍵生成部211は、次回の利用時に新たなサーバ鍵及びクライアント鍵を生成することができ、データ回線4の安全性をより高めることができる。   After disconnecting the authentication line 3 and the data line 4, as shown in FIGS. 3 and 8, the communication server 12 receives a new key condition from the server side internal line 13 to the server key generation unit 111 of the authentication server 11. hand over. In addition, the communication client 22 that has received the key condition passes a new key condition to the client key generation unit 211 of the authentication client 21 through the client-side internal line 23. Accordingly, the server key generation unit 111 and the client key generation unit 211 can generate a new server key and client key at the next use, and can further improve the security of the data line 4.

データ回線4の安全性を高めるには、例えば図9に見られるように、データ回線4を通じたデータ送受信の途中に、通信サーバ12から通信クライアント22へ新たな鍵条件を送信し、改めてサーバ鍵及びクライアント鍵により本人認証することが考えられる。この場合、例えば通信サーバ12がデータ回線4を通じて通信クライアント22へ接続確認要求を送信する際、同時に新たな鍵条件を通信クライアント22へ送信する。接続確認要求は、クライアント側のユーザに接続確認することを明示すると共に、一時的にデータ送受信を遮断する働きを有する。   In order to increase the security of the data line 4, for example, as shown in FIG. 9, a new key condition is transmitted from the communication server 12 to the communication client 22 in the middle of data transmission / reception through the data line 4, and the server key is renewed. In addition, it is conceivable to authenticate the user with the client key. In this case, for example, when the communication server 12 transmits a connection confirmation request to the communication client 22 through the data line 4, a new key condition is simultaneously transmitted to the communication client 22. The connection confirmation request clearly indicates to the user on the client side that the connection is confirmed, and has a function of temporarily blocking data transmission / reception.

通信サーバ12が新たな鍵条件の送信を終えると、認証回線3を通じて認証サーバ11が改めて認証コードを要求する。そして、クライアント側のユーザが、改めて認証クライアント21に認証コードを入力すると、認証サーバ11は認証クライアント21から認証コードを受信してサーバ鍵生成部111により新たなサーバ鍵を生成し、また認証クライアント21は認証コードからクライアント鍵生成部211により新たなクライアント鍵を生成する。そして、サーバ側内回線13を通じて認証サーバ11は通信サーバ12にサーバ鍵を受け渡し、またクライアント側内回線23を通じて認証クライアント21は通信クライアント22にクライアント鍵を受け渡す。   When the communication server 12 finishes sending a new key condition, the authentication server 11 requests an authentication code again through the authentication line 3. When the user on the client side again inputs the authentication code to the authentication client 21, the authentication server 11 receives the authentication code from the authentication client 21, generates a new server key by the server key generation unit 111, and also authenticates the authentication client. 21 generates a new client key by the client key generation unit 211 from the authentication code. The authentication server 11 passes the server key to the communication server 12 through the server-side internal line 13, and the authentication client 21 passes the client key to the communication client 22 through the client-side internal line 23.

ここで、既にデータ回線4は回線接続の状態にあるため、通信クライアント22は自動的にクライアント鍵を通信サーバ12へ送信し、通信サーバ12はサーバ鍵及びクライアント鍵を突き合わせて鍵認証する。こうして、データ回線4の回線接続中に改めて本人認証されれば、通信サーバ12は通信クライアント22に接続確認を許可し、データ送受信を再開する。既述したように、認証コード及び鍵条件が同一でも、サーバ鍵及びクライアント鍵は生成される度に異なるため、本発明のデータ通信システムを利用し、かつ認証回線3及びデータ回線4が正当に回線接続されていないと鍵認証されないため、データ回線4の安全性は確保される。   Here, since the data line 4 is already in a line connection state, the communication client 22 automatically transmits a client key to the communication server 12, and the communication server 12 matches the server key and the client key to perform key authentication. Thus, if the user is authenticated again while the data line 4 is connected, the communication server 12 allows the communication client 22 to confirm the connection and resumes data transmission / reception. As described above, even if the authentication code and the key condition are the same, the server key and the client key are different each time they are generated. Therefore, the data communication system of the present invention is used, and the authentication line 3 and the data line 4 are legitimately used. Since the key authentication is not performed unless the line is connected, the security of the data line 4 is ensured.

本発明のデータ通信システムの基本構成を表すブロック図である。It is a block diagram showing the basic composition of the data communications system of the present invention. 認証回線及びデータ回線を兼用した応用構成を示すブロック図である。It is a block diagram which shows the application structure which uses both an authentication line and a data line. 基本構成における標準的なデータ通信を表すタイムチャートである。It is a time chart showing the standard data communication in a basic composition. 認証クライアントが認証回線を通じて認証サーバに接続要求している段階を表す図1相当ブロック図である。FIG. 2 is a block diagram corresponding to FIG. 1 illustrating a stage in which an authentication client requests connection to an authentication server through an authentication line. 認証クライアントからの接続要求を受けて認証サーバが認証回線を一度切断した段階を表す図1相当ブロック図である。FIG. 2 is a block diagram corresponding to FIG. 1 showing a stage where an authentication server disconnects an authentication line once in response to a connection request from an authentication client. 認証サーバが認証回線を通じて認証クライアントにコールバック接続する段階を表す図1相当ブロック図である。FIG. 2 is a block diagram corresponding to FIG. 1 showing a stage in which an authentication server makes a callback connection to an authentication client through an authentication line. データ回線を通じて通信サーバ及び通信クライアントでデータ送受信している段階を表す図1相当ブロック図である。FIG. 2 is a block diagram corresponding to FIG. 1 illustrating a stage in which data is transmitted and received by a communication server and a communication client through a data line. 通信クライアントからのログオフ後にデータ回線及び認証回線を切断した段階を表す図1相当ブロック図である。FIG. 2 is a block diagram corresponding to FIG. 1 illustrating a stage in which a data line and an authentication line are disconnected after logoff from a communication client. データ送受信中に接続続行確認する場合のタイムチャートである。It is a time chart in the case of confirming connection continuation during data transmission / reception.

符号の説明Explanation of symbols

11 認証サーバ
111 サーバ鍵生成部
12 通信サーバ
121 鍵条件生成部
13 サーバ側内回線
21 認証クライアント
211 クライアント鍵生成部
22 通信クライアント
221 鍵条件生成部
23 クライアント側内回線
3 認証回線
4 データ回線 11 Authentication server
111 Server key generator
12 Communication server
121 Key condition generator
13 Server side internal line
21 Authentication client
211 Client key generator
22 Communication client
221 Key condition generator
23 Client side internal line 3 Authentication line 4 Data line

Claims (7)

認証サーバと接続された通信サーバと、認証クライアントと接続された通信クライアントとから構成され、認証サーバ及び認証クライアントは認証回線で結ばれ、通信サーバ及び通信クライアントはデータ回線で結ばれてなり、認証回線を通じて接続された認証サーバから認証クライアントへ、又は認証クライアントから認証サーバへ認証コードを送信させ、認証サーバ及び認証クライアントが有する共通の鍵条件に基づいて、認証サーバが前記認証コードからサーバ鍵を生成して通信サーバに受け渡し、また認証クライアントが前記認証コードからクライアント鍵を生成して通信クライアントに受け渡し、データ回線を通じて接続された通信サーバから通信クライアントへサーバ鍵を送信させ、又は通信クライアントから通信サーバへクライアント鍵を送信させて、該通信サーバ又は通信クライアントが前記サーバ鍵及びクライアント鍵を鍵照合することにより、通信サーバに対して通信クライアントをログインさせてなるデータ通信システム。 It consists of a communication server connected to the authentication server and a communication client connected to the authentication client. The authentication server and the authentication client are connected by an authentication line, and the communication server and the communication client are connected by a data line. An authentication code is transmitted from the authentication server connected through the line to the authentication client or from the authentication client to the authentication server, and the authentication server obtains a server key from the authentication code based on a common key condition of the authentication server and the authentication client. Generated and passed to the communication server, or the authentication client generates a client key from the authentication code and passes it to the communication client, and the server key is transmitted from the communication server connected through the data line to the communication client, or communicated from the communication client. To the server By sending an ant key, by said communication server or communication client key match the server key and a client key, comprising log the communication client to the communication server data communication system. 認証回線を通じた認証サーバ及び認証クライアントの接続は、認証クライアントからの接続要求に対する認証サーバによるコールバック接続である請求項1記載のデータ通信システム。 2. The data communication system according to claim 1, wherein the connection between the authentication server and the authentication client through the authentication line is a callback connection by the authentication server in response to a connection request from the authentication client. データ回線を通じた通信サーバ及び通信クライアントの接続は、通信クライアントからの接続要求に対する通信サーバによるコールバック接続である請求項1記載のデータ通信システム。 The data communication system according to claim 1, wherein the connection between the communication server and the communication client through the data line is a callback connection by the communication server in response to a connection request from the communication client. サーバ鍵及びクライアント鍵は、認証サーバ及び認証クライアントの有する各アナログ測定回路を認証コードが通過する際に測定される特徴量からなり、鍵条件に基づいて生成された同一又は一対の対応関係にある特徴量をそれぞれ一次使用のサーバ鍵及びクライアント鍵としてなる請求項1記載のデータ通信システム。 The server key and the client key are composed of feature quantities measured when the authentication code passes through the analog measurement circuits of the authentication server and the authentication client, and have the same or a pair of correspondences generated based on the key condition. The data communication system according to claim 1, wherein the feature amounts are a primary use server key and a client key, respectively. サーバ鍵及びクライアント鍵は、認証サーバ及び認証クライアントの有する各ディジタル測定回路を認証コードが通過する際に測定される特徴量からなり、鍵条件に基づいて生成された同一又は一対の対応関係にある特徴量をそれぞれ一次使用のサーバ鍵及びクライアント鍵としてなる請求項1記載のデータ通信システム。 The server key and the client key are composed of feature quantities measured when the authentication code passes through the digital measurement circuits of the authentication server and the authentication client, and have the same or a pair of correspondences generated based on the key condition. The data communication system according to claim 1, wherein the feature amounts are a primary use server key and a client key, respectively. 通信サーバ及び通信クライアントは、ログインからログオフに至るまでの間に、新たな鍵条件を通信サーバから通信クライアントへ又は通信クライアントから通信サーバへ送信し、通信サーバは前記新たな鍵条件を認証サーバに受け渡し、そして通信クライアントは前記新たな鍵条件を認証クライアントに受け渡してなる請求項1記載のデータ通信システム。 The communication server and the communication client transmit a new key condition from the communication server to the communication client or from the communication client to the communication server between the login and the logoff, and the communication server transmits the new key condition to the authentication server. The data communication system according to claim 1, wherein the communication client passes the new key condition to the authentication client. 認証サーバ及び認証クライアントは、通信サーバ及び通信クライアントから新たな鍵条件を受け渡された後、認証回線を通じて接続された認証サーバから認証クライアントへ、又は認証クライアントから認証サーバへ認証コードを送信させ、認証サーバ及び認証クライアントが有する新たな鍵条件に基づいて、認証サーバが前記認証コードからサーバ鍵を生成して通信サーバに受け渡し、また認証クライアントが前記認証コードからクライアント鍵を生成して通信クライアントに受け渡し、データ回線を通じて接続された通信サーバから通信クライアントへサーバ鍵を送信させ、又は通信クライアントから通信サーバへクライアント鍵を送信させて、該通信サーバ又は通信クライアントが前記サーバ鍵及びクライアント鍵を鍵照合することにより、通信サーバ及び通信クライアントの接続を続行させてなる請求項6記載のデータ通信システム。 The authentication server and the authentication client, after receiving a new key condition from the communication server and the communication client, transmit an authentication code from the authentication server connected through the authentication line to the authentication client, or from the authentication client to the authentication server, Based on the new key condition of the authentication server and the authentication client, the authentication server generates a server key from the authentication code and delivers it to the communication server, and the authentication client generates a client key from the authentication code and sends it to the communication client. The server key is transmitted from the communication server connected via the data line to the communication client, or the client key is transmitted from the communication client to the communication server, and the communication server or the communication client performs key verification on the server key and the client key. To do Ri, made by continuing the connection of the communication server and communication client claims 6 data communication system according.
JP2005308908A 2005-10-24 2005-10-24 Data communication system Expired - Fee Related JP4843802B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005308908A JP4843802B2 (en) 2005-10-24 2005-10-24 Data communication system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005308908A JP4843802B2 (en) 2005-10-24 2005-10-24 Data communication system

Publications (2)

Publication Number Publication Date
JP2007115202A true JP2007115202A (en) 2007-05-10
JP4843802B2 JP4843802B2 (en) 2011-12-21

Family

ID=38097287

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005308908A Expired - Fee Related JP4843802B2 (en) 2005-10-24 2005-10-24 Data communication system

Country Status (1)

Country Link
JP (1) JP4843802B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019040454A (en) * 2017-08-25 2019-03-14 株式会社リコー Equipment system, server, and data processing method

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH01307341A (en) * 1988-06-06 1989-12-12 Fujitsu Ltd Mobile body data ciphered communication system
JPH08130536A (en) * 1994-10-28 1996-05-21 N T T Data Tsushin Kk Inter-terminal mutual authentication method and tone card system
JPH1084340A (en) * 1996-09-09 1998-03-31 Nec Corp Incorrect access preventing callback system
JPH11306141A (en) * 1998-04-23 1999-11-05 Nec Eng Ltd Qualified person decision device
JP2001255819A (en) * 2000-03-10 2001-09-21 Tact:Kk Device and method for transmitting and receiving information
JP2002318785A (en) * 2001-04-23 2002-10-31 Osaka Gas Co Ltd Device and method for authentication
JP2005134478A (en) * 2003-10-28 2005-05-26 Sony Corp Encryption processing device, encryption processing method, and computer program

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH01307341A (en) * 1988-06-06 1989-12-12 Fujitsu Ltd Mobile body data ciphered communication system
JPH08130536A (en) * 1994-10-28 1996-05-21 N T T Data Tsushin Kk Inter-terminal mutual authentication method and tone card system
JPH1084340A (en) * 1996-09-09 1998-03-31 Nec Corp Incorrect access preventing callback system
JPH11306141A (en) * 1998-04-23 1999-11-05 Nec Eng Ltd Qualified person decision device
JP2001255819A (en) * 2000-03-10 2001-09-21 Tact:Kk Device and method for transmitting and receiving information
JP2002318785A (en) * 2001-04-23 2002-10-31 Osaka Gas Co Ltd Device and method for authentication
JP2005134478A (en) * 2003-10-28 2005-05-26 Sony Corp Encryption processing device, encryption processing method, and computer program

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019040454A (en) * 2017-08-25 2019-03-14 株式会社リコー Equipment system, server, and data processing method

Also Published As

Publication number Publication date
JP4843802B2 (en) 2011-12-21

Similar Documents

Publication Publication Date Title
CN102215221B (en) Methods and systems for secure remote wake, boot, and login to a computer from a mobile device
CN101192926B (en) Account protection method and system
US8438385B2 (en) Method and apparatus for identity verification
US5491752A (en) System for increasing the difficulty of password guessing attacks in a distributed authentication scheme employing authentication tokens
US7698565B1 (en) Crypto-proxy server and method of using the same
US8769289B1 (en) Authentication of a user accessing a protected resource using multi-channel protocol
US8621216B2 (en) Method, system and device for synchronizing between server and mobile device
US20050021975A1 (en) Proxy based adaptive two factor authentication having automated enrollment
US6892308B1 (en) Internet protocol telephony security architecture
US20060005033A1 (en) System and method for secure communications between at least one user device and a network entity
NO332479B1 (en) Procedure and computer program for verifying one-time password between server and mobile device using multiple channels
WO2008019194A2 (en) Mutual authentication and secure channel establichment between two parties using consecutive one-time passwords
JP2000222360A (en) Method and system for authentication and authentication processing program recording medium
GB2505532A (en) Password generating using trusted and un-trusted time modules.
WO2009118502A2 (en) Devolved authentication
CA2942765C (en) Persistent authentication system incorporating one time pass codes
US7512967B2 (en) User authentication in a conversion system
CN114072796A (en) Hardware authentication token with remote validation
US20220116385A1 (en) Full-Duplex Password-less Authentication
WO2007067839A2 (en) Method and system for managing secure access to data in a network
EP2514135B1 (en) Systems and methods for authenticating a server by combining image recognition with codes
JP2006033780A (en) Network authentication system using identification by calling-back
CN105187417B (en) Authority acquiring method and apparatus
EP1320975B1 (en) Internet protocol telephony security architecture
JP4843802B2 (en) Data communication system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20081021

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20081021

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20081024

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110616

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110621

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110819

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110913

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20110916

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110916

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20110920

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20141021

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4843802

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees