JP2007336506A - 真性乱数発生素子あるいは擬似乱数発生素子を用いた認証用デバイス、認証装置及び認証方法 - Google Patents

真性乱数発生素子あるいは擬似乱数発生素子を用いた認証用デバイス、認証装置及び認証方法 Download PDF

Info

Publication number
JP2007336506A
JP2007336506A JP2006202895A JP2006202895A JP2007336506A JP 2007336506 A JP2007336506 A JP 2007336506A JP 2006202895 A JP2006202895 A JP 2006202895A JP 2006202895 A JP2006202895 A JP 2006202895A JP 2007336506 A JP2007336506 A JP 2007336506A
Authority
JP
Japan
Prior art keywords
authentication
code
mail
encrypted
authentication device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2006202895A
Other languages
English (en)
Other versions
JP4954628B2 (ja
Inventor
Osamu Kameda
修 亀田
Masakazu Sato
雅一 佐藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to JP2006202895A priority Critical patent/JP4954628B2/ja
Priority to PCT/JP2007/060471 priority patent/WO2007132946A1/ja
Priority to EP07743905.7A priority patent/EP2026494A4/en
Priority to US12/301,168 priority patent/US8756421B2/en
Publication of JP2007336506A publication Critical patent/JP2007336506A/ja
Application granted granted Critical
Publication of JP4954628B2 publication Critical patent/JP4954628B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/068Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0863Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0877Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Storage Device Security (AREA)

Abstract

【課題】真性乱数発生素子あるいは擬似乱数発生素子を用いた認証用デバイス、例えばUSBトークン、及び、これを用いた認証装置、認証方法、認証システム等を提供する。
【解決手段】認証システムでは、ユーザ側に認証用デバイスを用意し、この認証用デバイス内で生成した一方のコードで他方のコードを暗号化する。認証側装置では、前記コードを登録しておき、認証用デバイスからの暗号化されたコードを、この登録したコードを使用して復号化し、認証を行う。
【選択図】 図2

Description

本発明は、真性乱数発生素子あるいは擬似乱数発生素子を用いた認証用デバイス、例えばUSBトークン、及び、これを用いた認証装置、認証方法、認証システム等に関する。
認証のたびごとに変化するコード(パスワード)を生成するものとして、ワンタイム・トークンと呼ばれるパスワード生成器が知られている。このワンタイム・トークンを利用した認証システムでは、トークンで発生した一回しか使用できないコード(パスワード)を認証するために、事前に認証する側と、される側でハードウエアやアルゴリズムを共有しておく。
例えば、ユーザーに配布されるトークンに、時計を内蔵し、かつトークン固有の数値(以下 シード)を格納する。トークンはその時計から得られた時刻データとシード(seed)の値から特定の計算(アルゴリズム)を行い、特定の時刻にそのトークンにのみ有効なトークンコードを生成する。生成されたトークンコードはあらかじめトークン毎に決められている時間間隔で更新される。
認証側のサーバー(認証マネージャ)は、送られて来たユーザーのID(暗証番号)とトークンコードを受け取ってそのIDとトークンコードを検証してアクセス元が正規ユーザーか否か判断する。
しかし、こうしたワンタイム・トークンを利用した認証システムには次のような問題点が指摘されている。
(1)ワンタイム・トークンと認証管理側は時間軸を同期させなければならないので、もし認証管理側に障害が発生した場合は時間軸がずれ認証不能となるおそれがある。そこで、かかる不都合を生じさせないように管理を徹底させる必要があり、管理コストの増大を招く。
(2)ワンタイム・トークンはシードを基にして変更されていくが、そのシードの数には限界があり、ユーザー数を限定してしまう。
(3)シードは或るアルゴリズムにしたがって変動していくので解読される可能性がある。
本発明は、こうした従来の欠陥を解消するために開発されたものである。
本発明に係る認証用デバイスは、真性又は擬似乱数を生成する乱数生成部と、この乱数生成部から少なくとも二つのコードを、また必要に応じ他のコードも読み込み、一方のコードで他方のコードを暗号化する制御部とを有する。
また本発明に係る認証システムは、上記認証用デバイスと、前記二つ又はそれ以上のコードを登録し、認証用デバイスからの暗号化されたコードを、前記登録したコードを使用して復号化し、認証を行う認証装置とからなる。
また本発明に係るメール認証システムは、前記認証用デバイスをそれぞれ取り外し自在に装着できる送信側端末と受信側端末と、前記二つ又はそれ以上のコードを登録し、認証用デバイスからの暗号化されたコードを、前記登録したコードを使用して復号化し、認証を行うメールサーバーとからなる。
また本発明に係る映像配信システムは、前記認証用デバイスを取り外し自在に装着できるユーザー側端末と、前記少なくとも二つのコードを予め登録し、認証用デバイスからの暗号化されたコードを、前記登録したコードを使用して復号化し、認証を行う認証装置とからなる。
また本発明に係る認証方法は、前記認証用デバイスを用意し、前記二つ又はそれ以上のコードを登録し、認証用デバイスからの暗号化されたコードを、前記登録したコードを使用して復号化し、認証を行う。
また発明に係るメール認証方法は、前記認証用デバイスを、メールの送信側及び受信側にそれぞれ用意し、前記二つ又はそれ以上のコードを登録し、送信側の認証用デバイスからの暗号化されたコードを、前記登録したコードを使用して復号化し、認証を行う。
また本発明に係る映像配信方法は、前記認証用デバイスを、映像の配信を受けるユーザ側に用意し、前記少なくとも二つのコードを予め登録し、認証用デバイスからの暗号化されたコードを、前記登録したコードを使用して復号化し、認証を行う。
以下添付図面を参照して、本発明の実施の形態のいくつかを説明する。
実施形態1
まず、真性又は擬似乱数の発生装置(以下RPGという)で発生させた2個のコード(使用するコードの個数は2個に限定されない)を使って認証を行うシステムを説明する。このシステムは、USBトークン(USBトークン)、ローカル(local)側(PC)及び認証管理側等で構成される。ここでは、トークン(コード生成用デバイス)は、USBトークンを使用するが、その形状はカード型のもの、キーフォブ型のもの等でもよく、形状は特に限定するものではない。後述する他の実施形態でも同様である。
図1は、本実施形態で使用するトークンのブロック図を示す。この例では、インターフェイスはUSBであるが、他のインターフェイスでもよい。
真性ないしは擬似乱数発生素子で発生した2個のコードは、制御部によって読み込まれ、不揮発性メモリに記憶される。制御部は、CPU、I/O、メモリ・コントローラ等で構成される。不揮発性メモリとしては、フラッシュ(Flash)メモリ 、EEPROM、SRAM 等が使用される。
詳細は後述するが、制御部は、上述の機能の他に、コードを暗号化すること、コードをUSBコントローラ、USBコネクタを介しローカル側であるPCに送信すること、PCからの指示に従い所定の作業をすること等の機能を有する。なお、RPGは、例えば特許2926539号に開示のものを使用する。
本実施形態における認証の手順は次のようにして行われる。
1.初期設定
認証側にUSBトークンで生成された初期の二つのコードRPG1,RPG2を設定する。同時にユーザー名も登録する。
USBトークンもそのコードRPG1,RPG2を記録しておく。
USBトークンをユーザーに渡す。
ユーザーが多数(無限でもOK)の場合はユーザー数分のUSBトークンで同じ作業を行う。
2.認証
ステップ1: USBトークン内において、コードRPG1(共通鍵)でRPG2を暗号化する。
ステップ2: 暗号化されたコードRPG2(EN)(認証コード)を、ローカル側を経由して認証管理側に送信する。
ステップ3: 認証管理側では、暗号化されたコードRPG2(EN)を、コードRPG1で復号化する(コードRPG2(DE))。そしてこの復号化されたコードがRPG2に等しいか否か検証する。
ステップ4: コードRPG2(DE)がRPG2に一致したとき、認証管理側は、ユーザーによるローカル側へのログ・インを許可し、コードRPG2(DE)がRPG2に一致しないときはログ・インを拒否する。
3.新しいコードの設定
ステップ1: 前記「2 認証」のステップ4で、ローカル側のログ・インが完了した後、USBトークン内で新たなコードRPG3を発生させ(RPGからの読み込み)、これをメモリに記録するとともにコードRPG1を削除する。USBトークン内ではコードRPG2,RPG3が記録される。
ステップ2: USBトークン内でコードRPG2(新しい共通鍵)でコードRPG3を暗号化する(暗号化されたコードRPG3(EN)を生成)。
ステップ3: 暗号化されたRPG3(EN)を認証管理側に送信する。
ステップ4: 認証管理側で、コードRPG2(新しい共通鍵)で、暗号化されたコードRPG3(EN)を復号化する。
ステップ5: 復号化されたRPG3(EN)をコードRPG3として登録する。認証側にはコードRPG2,RPG3が登録される(RPG1は削除)。
以後は上記の1乃至3の作業を繰り返す。
このように、本実施形態では、共通鍵も認証コードも、USBトークン側と認証管理側とで毎回アクセスされるたびに更新され、かつその更新された同じ共通鍵、認証コードを保有することになるので、高い秘匿性を有した認証システムを実現できる。
また真性乱数を用いることにより、誰にも予測がつかない(誰にも制御できない)コードを使用することができ、完全な秘匿性を有した認証システムを実現できる。
更に、認証コードをUSBトークン内部で暗号化しているので、どのPC(ローカル側)を利用しても認証が可能であり、かつどのPCからも安全なサーバー閲覧が行える。
また、本実施形態では、2個のコードを利用していること、認証が終了した瞬間次の新規のコードが登録されること、またUSBトークン内部でのみ2個のコードを保有しUSBトークン内部で暗号化しているのでPCを通じて認証請求してもPC内部には復号化鍵が存在しないこと等のため、少なくとも3重のセキュリティーが施され、安全である。
図2は、本実施形態の上述した認証手順をフローチャートとして示したものである。なお図示のフローチャートでは、
(1)System code (例えば64byte)およびClient code (例えば64byte)は記載していない。
(2)Client Codeは便宜上#1および#2と記述する。
(3)#1RPG1、#1 RPG2等・・・・暗号化されていないコードを示す。
(4)#1RPG(EN)1、#2RPG(EN)2等・・・・暗号化されたコードを示す。
(5)#1RPG(DE)1、#2RPG(DE)2等・・・・復号化されたコードを示す。
実施形態2
次に、真性又は擬似乱数発生装置(RPG)で生成された2個のコードを使って、本人認証及び平文の暗号化・復号化を行い、完全な秘匿性を確保できるメールサーバーシステムについて説明する。このシステムは、メールの送信者、受信者である2名のクライアント(それぞれが認証用USBトークンを所有する)、及びメールサーバー(受信用のSMTPサーバー及び送信用のPOPサーバー)等で構成される。
まず、このシステムを構成するため、次のような前提条件が設定されているものとする。
(1)あらかじめクライアント(ここでは2名)Client A 、Client Bについて、それぞれ二つのコードRPGA1(初回の共通鍵)、RPGA2(初回のID)およびRPGB1(初回の共通鍵)、RPGB2(初回のID)がメールサーバー側に登録されている。もちろんClient A 、Client Bのメールアドレスのも登録されている。
(2)メールサーバー上に、平文暗号化・復号化アルゴリズムFXと、暗号化鍵生成アルゴリズムFYがインストールされている。Client A 、Client B の側にもそれぞれ同じ暗号化アルゴリズムがインストールされている。
(3)メールサーバーには認証管理機能がインストールされている。
(4)Client A 、Client B のUSBトークンには、メール本文、添付ファイルを暗号化、復号化するため、充分なメモリ容量、例えば1ギガバイト程度のメモリ空間が確保されている。
(5)必要に応じ、新たに専用のメールアプリケーション(メーラー)を開発する。
本実施形態で使用するUSBトークンは図1のブロック図で示されるものと同様である。
次の本実施形態のシステムの動作について、送信側ユーザー(Client A)、SMTPサーバー、POPサーバー、受信側ユーザー(Client B)に分けて説明する。
1.送信側ユーザー(Client A)
(1)コードRPGA1でコードRPGA2を暗号化する(認証コードRPGA2(EN)の生成)。
(2)コードRPGA2からアルゴリズムFYで暗号化鍵を生成し、送信したいメール本文と添付ファイル(平文)を、この暗号化鍵を使用し、アルゴリズムFXによって暗号化する。
(3)暗号化されたコードRPGA2(EN)と、暗号化されたメール本文、添付ファイルをSMTPサーバーに送信する。
2.SMTPサーバー
(1)受信したRPGA2(EN)をコードRPGA1で復号化し、本人認証を行う(実施形態1と同様)。
(2)送信側と同様にコードRPGA2からアルゴリズムFYで暗号化鍵を生成し、受信した、暗号化されたメール本文、添付ファイルを、この暗号化鍵とアルゴリズムFXによって復号化する。
(3)送信先のメールアドレスからClient Bが受信者であることを確認する。
(4)Client BのIDコードRPGB2からアルゴリズムFYで暗号化鍵を生成し、復号化されたメール本文、添付ファイルを、この暗号化鍵とアルゴリズムFXによって暗号化する。
(5)暗号化したメール本文、添付ファイルをPOPサーバーに転送する。
3.POPサーバー
(1)受信側のClient Bからのメール要求(Client Bが端末に自身のUSBトークンを挿入し、メーラー・ソフトを立ち上げることによって発生)をまって、暗号化したメール本文、添付ファイルを受信側ユーザー(Client B)の端末に送信する。
4.受信側ユーザー
(1)コードRPGB2とアルゴリズムFYで暗号化鍵を生成する。
(2)POPサーバーに対しメール要求を行って、暗号化したメール本文、添付ファイルを受信する。
(3)暗号化鍵とアルゴリズムFXによって、暗号化したメール本文、添付ファイルを復号化する。
なお、受信側ユーザーとメールサーバーとの間の本人認証は、送信側ユーザーとメールサーバーとの間の本人認証と同様に行うことができる。
5.コードの更新
(1)送信側では、暗号化したメールをメールサーバーに送付した後、USBトークン内で、新たなコードRPGA3を発生させ(RPGからの読み込み)、これをメモリに記録するとともにコードRPGA1を削除する。USBトークン内でコードRPGA2,RPGA3を記録させる。
(2)次いで、コードRPGA2でコードRPGA3を暗号化し(コードRPGA3(EN)を生成)、これをメールサーバーに送信する。
(3)メールサーバーは、コードRPGA2でRPGA3(EN)を復号化する。復号化されたRPGA3(EN)をコードRPGA3として登録する。サーバーにはコードRPGA2,RPGA3が登録される(RPGA1は削除)。
(4)受信側では、暗号化されたメール本文、添付ファイルを復号化した後、USBトークン内で、新たなコードRPGB3を発生させ(RPGからの読み込み)、これをメモリに記録するとともにコードRPGB1を削除する。USBトークン内でコードRPGB2,RPGB3を記録させる。
(5)次いで、コードRPGB2でコードRPGB3を暗号化し(コードRPGB3(EN)を生成)、これをメールサーバーに送信する。
(6)メールサーバーは、コードRPGB2でRPGB3(EN)を復号化する。復号化されたRPGB3(EN)をコードRPGB3として登録する。サーバーにはコードRPGB2,RPGB3が登録される(RPGB1は削除)。
このように、本実施形態では、認証鍵も暗号鍵も、ユーザー側とメールサーバー側で毎回アクセスされるたびに更新されるから、コードの複製、改ざんは不可能で、秘匿性の高く安全なメールシステムが実現できる。また真性乱数を用いることにより、誰にも予測がつかない(誰にも制御できない)コードを使用することができ、かつ認証と暗号化を同時に行っているので、いわゆる「成りすまし」は不可能である。また各ユーザーが他のユーザーの暗号鍵を知ることは不可能であり、人為的な漏洩を完全に防ぐことができる。
更に、認証コードをUSBトークン内部で暗号化しているので、どのPC(ユーザーの端末)を利用しても認証が可能で、かつどのPCからも安全なメール取得が行える(使用したPC内部のメールは削除する必要がある)。またUSBトークン内で暗号化されるのでPCがインターネットにつながっていても安心である。
更に、メールサーバー側でRPGコードを各ユーザーのRPGコードに変換してくれるので、端末側で全員の共通鍵を有する必要がなく簡便である。
このように、本実施形態では、2個のコードを利用していること、認証が終了した瞬間次の新規のコードが登録されること、またUSBトークン内部でのみ2個のコードを保有しUSBトークン内部で暗号化しているのでPCを通じて認証請求してもPC内部には復号化鍵が存在しないこと等のため、少なくとも3重のセキュリティーが施され、安全である。
図3は、本実施形態の上述した認証手順をフローチャートとして示したものである。
実施形態3
次に真性又は擬似真性乱数発生装置(RPG)によって生成された2個のコードを使った認証を、CATVあるいはインターネット等のネットワークを経由してストリーミング映像を配信するシステムに応用する場合の実施形態を説明する。
図4は、本発明に係る認証手段を適用する映像配信システムの概要を示すブロック図である。図示のシステムは、ユーザー側端末(CATVのセット・トップ・ボックスあるいはストリーミング受信装置(PC))、ビデオ・ストリーミング・サーバー(以下サーバーという)、認証マネージャで構成されている。認証マネージャの認証管理機能はサーバーにインストールすることができる。サーバーは、CATVではケーブルTVの放送局が対応する。
このシステムにおける認証プロセスは以下の通りである。
(1)ユーザー側から、サーバーに対しログ・オンする。例えば、電源のONと同時にこのプロセスは実行される。
(2)サーバーから、認証マネージャに対しログ・オンの許可を要請する(認証開始)。
(3)認証マネージャは認証の結果、ログ・オンの許可又は拒否の判断をする。
(4)サーバーは、認証の結果、許可の判断がなされると、ユーザー側に対し、ログ・オンを許可し、併せてビデオ・ストリーミング用の暗号を復号するための復号キーを送る。
(5)ユーザー側は、復号キーによって暗号を復号し、ビデオ・ストリーミングのサービスを受けることができる。
図5は、ストリーミング映像を受信するための端末(PC)の構成を示すブロック図である。この装置は、CPU、メイン・メモリ、外部記憶装置、制御ユニット、映像表示装置等で構成されている。制御ユニットは、USBやイーサネット(登録商標)等の各種インターフェイス、ストリーム映像処理回路、暗号化/復号化回路、各種デコーダ回路等を含む。
図6は、本発明に係る認証手段を適用した映像配信システムにおける認証手順を示すフローチャートである。
図6は、破線で囲った部分を除き、図2のフローチャートと同様である。ただし、図2の「Local側」は、図6の「Client側」に対応し、前者の「認証管理側」は、後者の「認証管理側+ビデオ・ストリ−ミング(ビデオ・ストリーミング)側」に対応する(以下、後者においても「認証管理側」と略称する)。また、図6のLocal PCは、ストリーミング受信装置(PC)を示すが、CATVのセット・トップ・ボックスに置き換え可能である。以下、図6の破線で囲った部分についてのみ説明する。その他の部分の手順は、実施形態1と同様であるので省略する。
ユーザーのUSBトークンをLocal PCに挿入することによって開始された本人認証が済むと、認証管理側は、RPG1で、ビデオ・ストリ−ミング用の暗号鍵を暗号化してClient側に送信し、ビデオ・ストリーミングを開始する。
なお、ビデオ・ストリーミング用の暗号鍵(スクランブルコード)も、ビデオ・ストリーミング・サーバー(又はCATVの放送局)で、真性又は擬似乱数発生器(RPG)から得ることができ、かつ毎日あるいは在る一定時間ごとに更新することができる。またビデオ・ストリーミング用の暗号鍵を暗号化するため使用するコードは、RPG2であってもよい(ユーザー側の端末はRPG1とRPG2を持っているので、いずれのコードを使用して暗号鍵を暗号化してもでも、ユーザー側で復号化できる)。
一方、Local側のログ・インが完了すると、Client側では、USBトークンにRPG1を要求して得たRPG1で、認証側から送られてきたビデオ・ストリーミング用の暗号鍵を復号化する。これによって、映像鑑賞を開始することができる。次いで、暗号の復号に使用したRPG1を破棄し、新しいコードRPG3の発生をUSBトークンに要求する。
本実施形態は、実施形態1における認証システムと同様に、本人コード(ID)と共通鍵は、ログインするたびに更新され、かつサーバー側のスクランブルコードも毎回あるいは一定時間毎に更新され、かつ誰も予測がつかず制御できないので、完全にセキュアなシステムを提供できる。
その他、本実施形態のシステムは以下の様な特徴を有する。
(1)CATVあるいはインターネットを利用したビデオ・ストリーミングで有料のコンテンツを視聴する場合、ユーザーの認証を行う必要があるが、その認証はユーザーの端末が変更された場合、例えば郵送で再度認証の申請を行う必要があった。本実施形態では、一回登録すれば、再度認証の申請する必要がなく、どの端末(PC又はセット・トップ・ボックス(set top box))でも、例えばUSBトークンを挿入することにより使用可能となる。ユーザーは、単にUSBトークンを持ち歩くだけでよい。
(2)このシステムでは他人がなりすましで他人のアカウントでビデオ・ストリーミングのサービスを受けることもできない。
(3)本実施形態のシステムでは、毎回安全な認証を行いかつ毎日1回はビデオ・ストリーミングの暗号鍵を変更できる、またビデオ・ストリーミング用の暗号を解くコードは、ビデオ・ストリーミング用の暗号が復号化されてサービスが開始された直後PC内部、USBトークン、更に認証側でも破棄されて新しいコードが登録されるので安全である。
(4)認証用のコードをUSBトークン内部で暗号化しているのでどのPCを利用しても認証が可能であり、かつどのPCからも安全にサービスをうけることができる。
このように、本実施形態では、2個のコードを利用していること、認証が終了した瞬間次の新規のコードが登録されること、またUSBトークン内部でのみ2個のコードを保有しUSBトークン内部で暗号化しているのでPCを通じて認証請求してもPC内部には復号化鍵が存在しないこと等のため、少なくとも3重のセキュリティーが施され、安全である。
実施形態4
本発明の認証機構を利用した、ビル内の鍵を一括管理する方法について述べる。
1:ひとつのビル(複数でも可)の鍵を全てサーバーで管理することを想定する。
2:トークンの形状はカードタイプでもUSBタイプでも可能である。
3:実施形態1のコードの認証手段を、実際のドアあるいは書庫等の鍵に応用する。
4:ドア番号あるいは書庫番号をあらかじめ設定しておき、真性乱数で発生したコードRPG1,RPG2 と組み合わせることにより場所の特定ができ、かつ100%偽造できない鍵システムが実現可能となる。
5:スペアキーが必要な場合は、場所の特定コードの組み合わせでなく“スペアキー”のコードを設定しておきどこでも使用可能な鍵を実現できる。かつスペアキーにセキュアポリシーを設定することによりどこでも使用可能な鍵、部屋のドアのみあるいは書庫のみとスペアキーを管理できる。
6:この機構を利用して入退出管理・サーバーログイン管理等との連携も可能になる。7:UHF帯のRFIDと組み合わせるとともに、ビル全体にアンテナを張り巡らせば、どこに誰がいるかも管理可能となる。またトークンを物に張れば重要書類等の保管管理も可能になる。
この実施形態のシステムは100%偽造不可のであるので完全なセキュアな鍵システムが実現できる。
実施形態5
本発明の認証機構を、デジタル家電における相互機器間の認証に利用できる。ホーム・サーバー、家庭外部からのPC等からのアクセス認証は、デジタル家電内部に、真性乱数発生素子(RPG)で生成したコードを実装し、内部のCPUで相互の認証作業を行う、あるいは制御ソフトを含んだマイコン+真性乱数発生素子(RPG)をデジタル家電内部に実装する事で相互認証を行う。
上述した実施形態の多くでは、トークンは、USBトークンを使用しているが、その認証機構を、GSM携帯電話あるいはFOMA携帯電話等で使用されているSIMカードの形状にして実現することもできる。
本願発明に係る認証機構を、ICカードの形状にして、かつ非接触ICカードの機能との組み合わせによって実現することもできる。
本願発明に係る認証機構を、指輪あるいは腕時計の形状にしてかつ非接触で実現することもできる。
上述した実施形態では、真性乱数を2個生成し、これらを認証に利用したが、2個以上の乱数を使用しても、本発明の認証機構を実現することができる。
また真性乱数+PIN(数字あるいは名前あるいは指紋)の組み合わせでも本発明の認証機構を実現することができる。
また、特に各システム固有のシステムコードを例えば128バイトのシステムコード領域を設定して、真性乱数と組み合わせることによっても、本発明の認証機構を実現することが可能である。
また、本発明では、各ユーザーごとにセキュアポリシーの設定を可能にすることもできる。
実施形態6
次に、3個のコードを使用して認証を行うシステムを説明する。このシステムは、実施形態1と同様に、USBトークン(USB Token)、ローカル(Local)側(PC)及び認証管理側等で構成される。ただし、PCは、実施形態1を参照すれば容易に適用可能であるので、ここでは、説明を簡便にするため、USBトークンと認証管理側との間でコードを転送するものとして説明する。
まず、本実施例の前提となる状況を説明する。
a)個人の識別コードを#1、#2、・・・、#nとする(個人認証ではなく、例えば機器認証であれば、シリアル番号等を識別コードとする)。
b)真性乱数あるいは擬似乱数として発生される最初のコードを、R1、R2、R3と表現する。
c)暗号化のアルゴリズムとして排他的論理和を例にして説明する。もちろん、他の方式を採用することは可能である。
以下、本実施形態における認証の手順を説明する。
1)初期設定 識別コード#1として乱数発生装置からUSBトークンに保存された初期コード3個R1、R2、R3を認証管理側に登録する。
2)USBトークン側で、コードR1とR2とを、コードR3を鍵(キー・コード)としてそれぞれ暗号化(R1とR2の排他的論理和を演算)し、暗号化したR1のコード及び暗号化したR2のコードを認証管理側に転送する。
3)認証管理側では、暗号化したこれらのコードを、キー・コードR3を使用して復号化(暗号化したコードとR3の排他的論理和を演算)し、R1、R2を得る。これにより、認証管理側は、USBトークン側との間で、同じR1、R2、R3を有することを確認する。
4)認証管理側は、USBトークン側に対し、新たなコードR4を生成するよう要求する。
5)USBトークンは、乱数発生装置からコードR4を得て、このコードR4を、コードR2、R3をそれぞれ使用して暗号化し、これらの暗号化したR4のコードを認証管理側に転送する。
6)認証管理側は、これらの暗号化したR4のコードを、それぞれコードR2、R3を使用して復号化し、その復号化した二つの値が一致したとき、これをR4として登録するとともに、USBトークン側に認証許可を発行する。
7)次回の認証には、コードR2、R3、R4が使用されて、上記の手順が繰り返される。
図7は、上記の手順を示す説明図である。なお、図7において、十の字を丸で包んだ記号は、排他的論理和の演算子を示す。
本実施形態の認証の特徴は、以下の通りである。
1回目のコード転送で相手が同じ3つのコードを有していることの確認を行い、2回目のコード転送で相手が正しいR2、R3を所持していることを確認することによって認証を行い、同時に新たなコードR4を登録するので、たとえ通信路で上記2回のコード転送を盗聴されたとしても、なりすましは不可能であり、また乱数R1乃至R4の間には、何ら関数的な関係がないため解読も不可能である。
実施形態7
実施形態6の機器認証手段を応用したメールサーバーシステムについて説明する。基本的な構成は、実施形態2のメールシステムと同様である。
まず本実施形態の前提となる状況を説明する。
a)識別コード#1、#2を有する2人のクライアント(#1さんと#2さん)がメールを行う。
b)#1さんも#2さんは、初期の識別コードとしてそれぞれ3つのコード(#1R1、#1R2、#1R3)(#2R1、#2R2、#2R3)を保存したUSBトークンを所持している。
c)メールサ−バー内にも#1さんと#2さんの初期の3つのコードをそれぞれ登録してある。
d)#1さん、#2さん及びメールサーバー内には、充分長い平文を暗号化するための充分長い鍵(キー・コード)を生成するアプリケーション(以下関数Fで表す)が組み込まれており、それぞれが同じシード(SEDD)で同じ鍵を生成する。
以下、#1さんが#2さんにメールを送信する場合の、本実施形態におけるシステムの動作を説明する。
1)#1さん(初期コード#1R1、#1R2、#1R3を所有)とメールサーバー(認証管理機能がインストールされている)との間で、実施形態6と同様の認証を行う。
2)メールサーバーが#1さん本人の認証を終えると、#1さん側は、#1R3をSEEDにしたF(#1R3)で生成した平文と同じ長さの暗号鍵で、「メール文章+添付File+認識コード#2(メールアドレスでも可)」を暗号化(例えば排他的論理和による)してメールサーバーに送信する。
3)メールサーバーも#1さんの#1R3を有しており、#1R3をSEEDにしたF(#1R3)で同じ鍵を生成し、この鍵で一旦「メール文章+添付File+認識コード#2」を復号化する。
4)メールサーバーは、上記3)の復号化により得た認識コード#2(メールアドレス)により、当該メールが#2さん向けのメールであることを確認する。
5)#2R3をSEEDにしたF(#2R3)で平文と同じ長さの鍵を生成し、この鍵により、復号化された「メール文章+添付File+認識コード#2」を再度暗号化する。
6)#2さんがメールを取得する際は、前述と同様の本人認証手続きを行う。
7)本人認証後、#2さんは、#2R3で暗号化された「メール文章+添付File」を取得する。
8)#2さん自身も#2R3をSEEDにしたF(#2R3)で生成した同じ鍵で、「メール文章+添付File」を復号化する。
図8A乃至図8Bは、上記の手順を示す説明図である。図8Aは初期設定時における#1さん、#2さん、メールサーバーそれぞれに登録されているコード及び関数F(X)(XはSEED)等を示す。図8Bは、#1さんの認証終了後における手順を説明するもので、#1さんには、自身の認証に際し認証管理側(メールサーバ)からの要求に応じて乱数発生装置から得た新たなコード#1R4が登録されている(実施例6参照)。#2さんは、自身の認証終了前の状態である。
このシステムはサーバー側で認証に使用した各個人の認証コード(#1R3)をSEEDにしたF(#1R3)で平文を暗号化してサーバーに送信する。サーバー側は送信者の認証と同時に送信者の認証に使用した認証コード(#1R3)をSEEDにしてF(#1R3)を生成し復号化する。復号化した後、#2さんの認証コード#2R3をSEEDにしてF(#2R3)で生成した鍵で暗号化する。#2さんが認証終了後メールを受け取り、認証に使用した認証コード(#2R3)をSEEDにしたでF(#2R3)で鍵を生成し、その後メールを復号化する。
このように、このシステムは、暗号化・復号化に使用する鍵の生成関数(アプリケーション)F(X)のSEEDをメールサーバーで交換している。
以上述べた本実施形態のメールシステムは以下の特徴を有する。
(i)3個の認証コードを使用することにより安全、確実な本人認証を行うことができる。
(ii)サーバーのみがクライアントそれぞれの認証コード(3個)を有しているので、サーバで、#1さん、#2さん用にSEEDを交換することができる。従って、たとえ通信路で暗号化された文章を盗聴されても復号SEEDはなく非常に安全なメールシステムが構築できる。
実施形態8
次に実施形態6の認証システムを利用した映像配信システムを説明する。基本的な構成は実施形態3のシステムと同様である。
本システムにおける前提となる状況は以下の通りである。
a)顧客#1乃至#nの認証用の3個のコードストリーミング・サーバー(認証サーバーを兼務)が所有している。
b)瞬時に充分長い暗号鍵を生成する機構をサーバー側および#1乃至#nのクライアントが所有している(関数F(X))。かつ同じSEEDで同じ充分長い暗号鍵を生成できる。
c)ビデオ等のコンテンツは、毎日変化するコードをSEEDxにしてF(SEEDx)で暗号化されて送信される。
d)認証終了後、サーバーは#1R3、#2R3、・・・で復号化用の、毎日変化する鍵生成用のSEEDxを暗号化して、各クライアントに送付する。
e)クライアント側はそのSEEDxを復号化し、これを用いて復号化鍵F(SEEDx)を生成する。
f)ストリーミング開始後、送られてきたコンテンツをF(SEEDx)で復号化を行い再生する。
図9は上記の手順を示す説明図である。
このシステムでは、常時、認証時に変化する認証用のコードをサーバー側とクライアント側が共通して所持し、またコンテンツの暗号化用に提供される関数F(X)もサーバー側と認証側が共通して所持する。そして、認証用に利用した共通のコードで、当日のコンテンツ暗号化用の関数F(X)のSEEDを暗号化してクライアント側に送るから、極めて安全な映像配信システムが構築できる。
実施形態9
次に、2個のコードを使用して認証を行うシステムの別の実施形態を説明する。このシステムは、実施形態1と同様に、USBトークン(USB Token)、ローカル(Local)側(PC)及び認証管理側等で構成される。ただし、PCは、実施形態1を参照すれば容易に適用可能であるので、ここでは、説明を簡便にするため、USBトークンと認証管理側との間でコードを転送するものとして説明する。
まず、本実施例の前提となる状況を説明する。
a)個人の識別コードを#1、#2、・・・、#nとする(個人認証ではなく、例えば機器認証であれば、シリアル番号等を識別コードとする)。
b)真性乱数あるいは擬似乱数として発生される最初のコードを、R1、R2と表現する。
c)暗号化のアルゴリズムとして排他的論理和を例にして説明する。もちろん、他の方式を採用することは可能である。
以下、本実施形態における認証の手順を説明する。
1)初期設定 識別コード#1として乱数発生装置からUSBトークンに保存された初期コード2個R1、R2を認証管理側に登録する。
2)USBトークン側で新たなコードR3を生成し、コードR1とR2とを、コードR3を鍵(キー・コード)としてそれぞれ暗号化(R1とR3、R2とR3のそれぞれの排他的論理和を演算)し、暗号化したR1のコード及び暗号化したR2のコードをマージして認証管理側に同時転送する。
3)認証管理側では、暗号化したこれらのコードを、コードR1、R2を使用してそれぞれ復号化(排他的論理和を演算)する。その結果が同じR3であることを確認すると、認証管理側は、R3を登録するとともに、USBトークン側に認証許可を発行し、R3に更新を許可する。
4)次回の認証には、コードR2、R3が使用されて、上記の手順が繰り返される。
図10は上記手順を示す説明図である。
この実施形態は、2つのコードと認証時に新たに生成される1つのコードとの合計3つのコードを使用して認証を1回で行うシステムである。このシステムでは、通信路でコード転送を盗聴されても、R1/R2/R3の間には何ら関数的な関係がないため、解読も、なりすましもできない。
この実施形態の認証方法は、実施形態7のメールシステムにも、また、実施形態8の映像配信システムにも適用できることは勿論である。
実施形態10
次に、3個のコードを使用して認証を行うシステムの別の実施形態を説明する。このシステムは、実施形態1と同様に、USBトークン(USB Token)、ローカル(Local)側(PC)及び認証管理側等で構成される。ただし、PCは、実施形態1を参照すれば容易に適用可能であるので、ここでは、説明を簡便にするため、USBトークンと認証管理側との間でコードを転送するものとして説明する。
まず、本実施例の前提となる状況を説明する。
a)個人の識別コードを#1、#2、・・・、#nとする(個人認証ではなく、例えば機器認証であれば、シリアル番号等を識別コードとする)。
b)真性乱数あるいは擬似乱数として発生される最初のコードを、R1、R2、R3と表現する。
c)暗号化のアルゴリズムとして排他的論理和を例にして説明する。もちろん、他の方式を採用することは可能である。
以下、本実施形態における認証の手順を説明する。
1)初期設定 識別コード#1として乱数発生装置からUSBトークンに保存された初期コード3個R1、R2、R3を認証管理側に登録する。
2)USBトークン側で、コードR1とR2とを、コードR3を鍵(キー・コード)としてそれぞれ暗号化(R1とR2の排他的論理和を演算)し、暗号化したR1のコード及び暗号化したR2のコードをマージして又は別個に認証管理側に送る。
3)認証管理側では、暗号化したこれらのコードを、キー・コードR3を使用して復号化(暗号化したコードとR3の排他的論理和を演算)し、R1、R2を得る。これにより、認証管理側は、USBトークン側との間で、同じR1、R2、R3を有することを確認する。
4)USBトークン側で生成した新たなコードR4を、コードR2とR3をそれぞれ鍵(キー・コード)として暗号化(R4とR2、R4とR3のそれぞれの排他的論理和を演算)し、二つの暗号化したR4のコードをマージしてまたは別個に認証管理側に送る。
5)認証管理側では、暗号化したこれらのコードを、コードR2、R3を使用してそれぞれ復号化(排他的論理和を演算)する。その結果が同じR4であることを確認すると、認証管理側は、R4を登録するとともに、USBトークン側に認証許可を発行し、R4に更新を許可する。
6)次回の認証には、コードR2、R3、R4が使用されて、上記の手順が繰り返される。
なお、上記2)及び4)で得た暗号化したコードは、マージして一緒に認証管理側に送るようにしてもよい。これにより、コード転送の回数を減らすことができる。
図11は、上記手順を示す説明図である。
本システムでは、上記3)において、R4=R4であればR2およびR3が正しいことを示していることを利用し機器認証を行っており、R2とR3は何の数学的な関係がなく(真性乱数又は擬似乱数を使用しているので)、計算上的安全が確保されている。言い換えれば通信路でコード転送を盗聴されても、R1/R2/R3の間には何ら関数的な関係がないため、解読も、なりすましもできない。
この実施形態の認証方法は、実施形態7のメールシステムにも、また、実施形態8の映像配信システムにも適用できることは勿論である。
実施形態11
本発明に使用する認証用デバイスとして、USBインターフェイスを備えたカード型のトークンを使用できる。例えば、USBインターフェイスの接続端子をカードの周縁部に埋設したクレジット・カード又は個人認証カードが考えられる。この場合、PCで認証を行うときは、PCとこのカードをインターフェイス・ケーブル(カスタム仕様の延長ケーブル又はコネクタ)で接続する。従来のクレジット・カード型の認証カードを使用する場合は、非接触型・接触型を問わず常にカード・リーダが必要であり、これは形状が大きく携行に不便であり、また高価であったが、本実施形態の場合は、延長ケーブル又はコネクタでよく、サイズは小さく、また安価であるから、きわめて利便性に良い。
また、このUSBインターフェイスを備えたカードは、例えば、eコマース(電子商取引)で商品を購入する場合等にも利用でき、カード番号をPCから入力させないので、情報漏洩の恐れがない(それ故、かかるUDBインターフェイスを備えたカードは銀行カード、クレジット・カード等に応用可能である)。
本発明で使用するUSBトークンのブロック図を示す。 本発明の第1の実施形態の認証手順を示すフローチャートである。 本発明の第2の実施形態の認証手順を示すフローチャートである。 本発明の第3の実施形態での映像配信システムの概要を示すブロック図である 本発明の第3の実施形態における、ストリーミング映像を受信するための装置(PC)の概要を示すブロック図である。 本発明の第3の実施形態の認証手順を示すフローチャートである。 本発明の第6の実施形態の認証手順を示す説明図である。 本発明の第7の実施形態の認証手順を示す説明図である。 本発明の第7の実施形態の認証手順を示す説明図である。 本発明の第8の実施形態の認証手順を示す説明図である。 本発明の第9の実施形態の認証手順を示す説明図である。 本発明の第10の実施形態の認証手順を示す説明図である。

Claims (19)

  1. 真性又は擬似乱数を生成する乱数生成部と、この乱数生成部によって生成された少なくとも一つのコードで他のコードを暗号化する制御部とを有する、認証用デバイス。
  2. 前記認証用デバイスは、USB型又はカード型等のトークンであることを特徴とする請求項1に記載の認証用デバイス。
  3. 前記認証用デバイスは、USBインターフェイスを備えたカード型のトークンであることを特徴とする請求項2に記載の認証用デバイス。
  4. 請求項1、2又は3に記載の認証用デバイスと、前記認証用デバイスで生成されたコードと同じコードを予め又は認証中あるいは認証後に確認することによって登録し、前記認証用デバイス側から送られた暗号化されたコードを、前記登録したコードを使用して復号化し、認証を行う認証装置とからなる認証システム。
  5. 前記認証システムは、更に、前記認証用デバイスを取り外し自在に装着可能であってその認証用デバイスを制御する端末を有することを特徴とする、請求項4に記載の認証システム。
  6. 前記認証用デバイスは、認証中又は認証の完了後、前記乱数発生部によって生成した新たなコードを暗号化することを特徴とする請求項5に記載の認証システム。
  7. 前記認証装置は、認証中又は認証の完了後、前記認証用デバイス側から送られた暗号化された新たなコードを、前記登録したコードを使用して復号化することを特徴とする、請求項6に記載の認証システム。
  8. 請求項1、2又は3に記載の認証用デバイスを取り外し自在に装着できるメールの送信側及び受信側の端末と、メールの送信側及び受信側の前記認証用デバイスで生成されたコードと同じコードを予め又は認証中あるいは認証後に確認することによって登録し、メールの送信側及び受信側から送られた暗号化されたコードを、前記登録したコードを使用して復号化し、認証を行うメールサーバーとからなるメール認証システム。
  9. 認証中又は認証の終了後、メールの送信側では、前記認証用デバイスで生成されたコードを用いてメール本文又はメール本文と添付ファイルを暗号化するために使用するキーを生成し、このキーを使用してメール本文等を暗号化してメールサーバーに送り、前記メールサーバーは、前記登録した送信側のコードを用いてメール本文等を復号化するために使用する前記キーを生成し、このキーを使用して送信側から送られた暗号化されたメール本文等を復号化することを特徴とする請求項8に記載のメール認証システム。
  10. 前記メールサーバーは、復号化したメール本文等からメールの受信者を確認し、復号化したメール本文等を、前記登録した受信側のコードを用いてメール本文等を暗号化するために使用するキーを生成し、このキーを使用してメール本文等を暗号化し、受信側からのメール送付の要求をまって受信側に送ることを特徴とする請求項9に記載のメール認証システム。
  11. メールの送信側及び/又は受信側では、認証中又は認証の完了後、前記乱数発生部によって生成した新たなコードを暗号化することを特徴とする請求項8乃至10のいずれかに記載のメール認証システム。
  12. 前記メールサーバーは、認証中又は認証の完了後、前記送信側及び/又は受信側から送られた、暗号化された新たなコードを前記登録したコードを使用して復号化することを特徴とする、請求項11に記載のメール認証システム。
  13. 請求項1、2又は3に記載の認証用デバイスを取り外し自在に装着できるユーザー側端末と、前記認証用デバイスで生成されたコードと同じコードを予め又は認証中あるいは認証後に確認することによって登録し、前記ユーザー側から送られた暗号化されたコードを、前記登録したコードを使用して復号化し、認証を行う認証装置とからなる映像等配信システム。
  14. 配信される映像等のコンテンツは、当日又は一定の期間ごとに更新されるコードを用いて生成されるキーを使用して暗号化されて、ユーザーに配信され、前記認証装置は、認証後、映像の配信を許可するときに、前記の当日又は一定の期間ごとに更新されるコードを、前記登録したコードを使用して暗号化してユーザー側に送り、ユーザー側は送られてきた暗号化したコードを復号化し、これを使用して前記キーを生成し、このキーを使用して配信された映像等のコンテンツを復号化することを特徴とする請求項13に記載の映像等配信システム。
  15. ユーザー側は、認証中又は認証の完了後、前記乱数生成部で生成した新たなコードを暗号化することを特徴とする請求項12又は13に記載の映像配信システム。
  16. 前記認証装置は、認証中または認証の完了後、ユーザー側から送られた暗号化された新たなコードを復号化することを特徴とする、請求項15に記載の映像認証システム。
  17. 請求項1、2又は3に記載の認証用デバイスを用意し、前記認証用デバイスで生成されたコードと同じコードを予め又は認証中あるいは認証後に確認することによって登録し、前記認証用デバイス側から送られた暗号化されたコードを、前記登録したコードを使用して復号化し、認証を行う認証方法。
  18. 請求項1、2又は3に記載の認証用デバイスを、メールの送信側及び受信側にそれぞれ用意し、前記認証用デバイスで生成されたコードと同じコードを予め又は認証中あるいは認証後に確認することによって登録し、送信側から送られた暗号化されたコードを、前記登録したコードを使用して復号化し、認証を行うメール認証方法。
  19. 請求項1、2又は3に記載の認証用デバイスを、映像の配信を受けるユーザ側に用意し、前記認証用デバイスで生成されたコードと同じコードを予め又は認証中あるいは認証後に確認することによって登録し、前記認証側から送られた暗号化されたコードを、前記登録したコードを使用して復号化し、認証を行う映像等配信方法。
JP2006202895A 2006-05-16 2006-07-26 真性乱数発生素子あるいは擬似乱数発生素子を用いた認証用デバイス、認証装置及び認証方法 Active JP4954628B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2006202895A JP4954628B2 (ja) 2006-05-16 2006-07-26 真性乱数発生素子あるいは擬似乱数発生素子を用いた認証用デバイス、認証装置及び認証方法
PCT/JP2007/060471 WO2007132946A1 (ja) 2006-05-16 2007-05-16 真性乱数発生素子あるいは擬似乱数発生素子を用いた認証用デバイス、認証装置及び認証方法
EP07743905.7A EP2026494A4 (en) 2006-05-16 2007-05-16 AUTHENTICATION APPARATUS USING AN INTRINSIC RANDOM PAYMENT GENERATOR OR A PSEUDO RANDOM NUMBER GENERATOR, AUTHENTICATION APPARATUS, AND AUTHENTICATION METHOD
US12/301,168 US8756421B2 (en) 2006-05-16 2007-05-16 Authentication device using true random number generating element or pseudo-random number generating element, authentication apparatus, and authentication method

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2006136484 2006-05-16
JP2006136484 2006-05-16
JP2006202895A JP4954628B2 (ja) 2006-05-16 2006-07-26 真性乱数発生素子あるいは擬似乱数発生素子を用いた認証用デバイス、認証装置及び認証方法

Publications (2)

Publication Number Publication Date
JP2007336506A true JP2007336506A (ja) 2007-12-27
JP4954628B2 JP4954628B2 (ja) 2012-06-20

Family

ID=38694027

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006202895A Active JP4954628B2 (ja) 2006-05-16 2006-07-26 真性乱数発生素子あるいは擬似乱数発生素子を用いた認証用デバイス、認証装置及び認証方法

Country Status (4)

Country Link
US (1) US8756421B2 (ja)
EP (1) EP2026494A4 (ja)
JP (1) JP4954628B2 (ja)
WO (1) WO2007132946A1 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009110107A1 (ja) * 2008-03-03 2009-09-11 メテオーラ・システム株式会社 共有情報の不正使用を検出し予防する情報システム
JP2009230482A (ja) * 2008-03-24 2009-10-08 Univ Of Aizu ワンタイムパスワード認証システム、ワンタイムパスワード認証方法、ワンタイムパスワード生成プログラム、ワンタイムパスワード認証プログラムおよびワンタイムパスワード生成装置。
DE102012209249A1 (de) 2011-07-15 2013-01-17 Fujitsu Semiconductor Limited Sicherheitsvorrichtung

Families Citing this family (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8515996B2 (en) * 2008-05-19 2013-08-20 Emulex Design & Manufacturing Corporation Secure configuration of authentication servers
FR2937204B1 (fr) * 2008-10-15 2013-08-23 In Webo Technologies Systeme d'authentification
DE102009012687B4 (de) * 2009-03-11 2011-04-07 Continental Automotive Gmbh Verfahren und Vorrichtung zur Generierung einer Berechtigungsinformation für ein Berechtigungssystem
US8959604B2 (en) * 2011-11-25 2015-02-17 Synchronoss Technologies, Inc. System and method of verifying a number of a mobile terminal
US9411948B1 (en) 2012-06-19 2016-08-09 Emc Corporation Shuffled passcode authentication for cryptographic devices
NO335081B1 (no) * 2012-08-02 2014-09-08 Cypod Tech As Fremgangsmåte, system og anordning for smart tilgangskontroll for e-handelbetaling
US20140230017A1 (en) * 2013-02-12 2014-08-14 Appsense Limited Programmable security token
CN103647648B (zh) * 2013-12-10 2017-01-18 飞天诚信科技股份有限公司 一种安全通讯的方法
TWM478323U (zh) * 2014-01-17 2014-05-11 Linktel Inc 手持式通訊裝置之支撐座
TWI581598B (zh) * 2014-09-17 2017-05-01 國立成功大學 通訊認證方法
US9684689B2 (en) * 2015-02-03 2017-06-20 Ca, Inc. Distributed parallel processing system having jobs processed by nodes based on authentication using unique identification of data
KR102450295B1 (ko) * 2016-01-04 2022-10-04 한국전자통신연구원 암호 데이터의 중복 제거 방법 및 장치
US20170300673A1 (en) * 2016-04-19 2017-10-19 Brillio LLC Information apparatus and method for authorizing user of augment reality apparatus
CN107786326A (zh) * 2016-08-25 2018-03-09 大连楼兰科技股份有限公司 应用在车联网动态密码校验中的共享方法
CN107786338B (zh) * 2016-08-25 2021-04-27 大连楼兰科技股份有限公司 动态密码校验中的共享平台
CN110647310B (zh) * 2018-06-26 2021-09-03 西安电子科技大学 一种用于生成Android设备真随机数的方法
CN109495259A (zh) * 2018-12-20 2019-03-19 成都三零瑞通移动通信有限公司 一种便携式移动终端加密器
US11171949B2 (en) 2019-01-09 2021-11-09 EMC IP Holding Company LLC Generating authentication information utilizing linear feedback shift registers
US10951412B2 (en) 2019-01-16 2021-03-16 Rsa Security Llc Cryptographic device with administrative access interface utilizing event-based one-time passcodes
US11165571B2 (en) 2019-01-25 2021-11-02 EMC IP Holding Company LLC Transmitting authentication data over an audio channel
US11651066B2 (en) 2021-01-07 2023-05-16 EMC IP Holding Company LLC Secure token-based communications between a host device and a storage system
CN113111991B (zh) * 2021-04-21 2022-07-26 深圳市合力思科技有限公司 一种防伪码生成方法和系统及套装唯一码生成方法

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH01284037A (ja) * 1988-05-10 1989-11-15 Nec Corp 回線暗号化装置
JPH07200286A (ja) * 1993-11-15 1995-08-04 At & T Corp ソフトウエア保護システムおよびソフトウエア検証方法
JP2000101564A (ja) * 1998-09-18 2000-04-07 Fujitsu Fip Corp 暗号化方式および記録媒体
JP2002261755A (ja) * 2001-02-27 2002-09-13 Sony Corp 認証システム及び認証方法、並びに暗号入力装置及び暗号入力方法、並びに携帯端末
JP2002300151A (ja) * 2001-03-29 2002-10-11 Fujitsu Fip Corp 暗号キー管理方法、暗号キー管理プログラム、及び記録媒体
JP2005174113A (ja) * 2003-12-12 2005-06-30 Hmi:Kk コンピュータの使用者認証システム
JP2006018545A (ja) * 2004-07-01 2006-01-19 Fdk Corp Usbモジュール

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2926539B2 (ja) 1995-07-24 1999-07-28 典平 露崎 微弱放射性物質を利用した数値特定装置と確率が変更可能なパルス発生装置
US7774603B2 (en) * 2003-03-04 2010-08-10 Sony Corporation Wireless device registration
US20050204008A1 (en) * 2004-03-09 2005-09-15 Marc Shinbrood System and method for controlling the downstream preservation and destruction of electronic mail
JP2006136484A (ja) 2004-11-11 2006-06-01 Kinoshita Seimitsu Kogyo Kk 刺繍紐用の押え装置
JP2006202895A (ja) 2005-01-19 2006-08-03 Densei Lambda Kk 板金配線の実装構造

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH01284037A (ja) * 1988-05-10 1989-11-15 Nec Corp 回線暗号化装置
JPH07200286A (ja) * 1993-11-15 1995-08-04 At & T Corp ソフトウエア保護システムおよびソフトウエア検証方法
JP2000101564A (ja) * 1998-09-18 2000-04-07 Fujitsu Fip Corp 暗号化方式および記録媒体
JP2002261755A (ja) * 2001-02-27 2002-09-13 Sony Corp 認証システム及び認証方法、並びに暗号入力装置及び暗号入力方法、並びに携帯端末
JP2002300151A (ja) * 2001-03-29 2002-10-11 Fujitsu Fip Corp 暗号キー管理方法、暗号キー管理プログラム、及び記録媒体
JP2005174113A (ja) * 2003-12-12 2005-06-30 Hmi:Kk コンピュータの使用者認証システム
JP2006018545A (ja) * 2004-07-01 2006-01-19 Fdk Corp Usbモジュール

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009110107A1 (ja) * 2008-03-03 2009-09-11 メテオーラ・システム株式会社 共有情報の不正使用を検出し予防する情報システム
JP2009212725A (ja) * 2008-03-03 2009-09-17 Meteora System Co Ltd 共有情報の不正使用を検出し予防する情報システム
JP2009230482A (ja) * 2008-03-24 2009-10-08 Univ Of Aizu ワンタイムパスワード認証システム、ワンタイムパスワード認証方法、ワンタイムパスワード生成プログラム、ワンタイムパスワード認証プログラムおよびワンタイムパスワード生成装置。
DE102012209249A1 (de) 2011-07-15 2013-01-17 Fujitsu Semiconductor Limited Sicherheitsvorrichtung
US9152805B2 (en) 2011-07-15 2015-10-06 Socionext Inc. Security device

Also Published As

Publication number Publication date
JP4954628B2 (ja) 2012-06-20
US8756421B2 (en) 2014-06-17
US20120210127A1 (en) 2012-08-16
EP2026494A1 (en) 2009-02-18
WO2007132946A1 (ja) 2007-11-22
EP2026494A4 (en) 2014-04-09

Similar Documents

Publication Publication Date Title
JP4954628B2 (ja) 真性乱数発生素子あるいは擬似乱数発生素子を用いた認証用デバイス、認証装置及び認証方法
TWI486045B (zh) 使用機密視覺信息以用於螢幕上認證的方法及系統
JP4617763B2 (ja) 機器認証システム、機器認証サーバ、端末機器、機器認証方法、および機器認証プログラム
KR102514429B1 (ko) 생체인식 데이터 템플레이트의 업데이트
EP1866873B1 (en) Method, system, personal security device and computer program product for cryptographically secured biometric authentication
CN111615105B (zh) 信息提供、获取方法、装置及终端
DK2481230T3 (en) A method for authentication, method of payment authorization, and similar electronic devices
US10089627B2 (en) Cryptographic authentication and identification method using real-time encryption
KR102477000B1 (ko) 신뢰받는 키 서버
WO1998045975A9 (en) Bilateral authentication and information encryption token system and method
EP1129541A1 (en) Method and system for authenticating and utilizing secure resources in a computer system
US7581246B2 (en) System for secure communication
JP3824297B2 (ja) 外部記憶装置とシステム装置との間でなされる認証方法、認証システム、および外部記憶装置
CN1808975B (zh) 一种网络帐号防盗系统及其方法
JP4794970B2 (ja) 秘密情報の保護方法及び通信装置
KR20100114321A (ko) 디지털 콘텐츠 거래내역 인증확인 시스템 및 그 방법
KR101856530B1 (ko) 사용자 인지 기반 암호화 프로토콜을 제공하는 암호화 시스템 및 이를 이용하는 온라인 결제 처리 방법, 보안 장치 및 거래 승인 서버
KR102053993B1 (ko) 인증서를 이용한 사용자 인증 방법
JP2010034967A (ja) 三値認証法及びそのシステム
KR101379854B1 (ko) 공인인증서 패스워드를 보호하는 장치 및 방법
JP2022064688A (ja) IoT機器認証システム、IoT機器認証方法、鍵配信用サーバおよびICチップ
KR101577059B1 (ko) 서버형 오티피 처리 방법
JP2003309552A (ja) 携帯端末による電子証明書の管理システム
JP2002300153A (ja) 認証方法、端末内機能要素、端末装置、サーバ、及び、認証システム
JPH09326789A (ja) 携帯無線端末間通信における相手認証方法及びシステム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090724

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100723

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20111221

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120216

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120305

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120314

R150 Certificate of patent or registration of utility model

Ref document number: 4954628

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150323

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250