JP2008165613A - 認証システム、認証装置、認証方法、ユーザ装置、およびデータ処理方法 - Google Patents
認証システム、認証装置、認証方法、ユーザ装置、およびデータ処理方法 Download PDFInfo
- Publication number
- JP2008165613A JP2008165613A JP2006356233A JP2006356233A JP2008165613A JP 2008165613 A JP2008165613 A JP 2008165613A JP 2006356233 A JP2006356233 A JP 2006356233A JP 2006356233 A JP2006356233 A JP 2006356233A JP 2008165613 A JP2008165613 A JP 2008165613A
- Authority
- JP
- Japan
- Prior art keywords
- solution
- user device
- authentication
- user
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
Abstract
【解決手段】認証システム1では、ユーザ装置12の正当性の判断に使用される解が、ユーザ装置12および認証装置11において、ユーザ装置12に固有の環境情報を使用して生成されるようになっている。このような認証システム1によれば、ユーザ装置12に固有の環境情報を知らない第三者によるユーザのなりすましを防止することができ、通信のセキュリティを高めることができる。
【選択図】図1
Description
このような認証技術によれば、認証装置と同一の解生成手段を有する正当なユーザ装置のみが正当なユーザ装置であると判定され、その後、送信対象となるデータの送受信が開始される。
このユーザ装置は、疑似乱数である解を順次生成するユーザ解生成手段と、前記認証装置に対して前記ユーザ解生成手段により生成された解を送信する解送信手段と、前記認証装置により正当であると判定された場合、前記認証装置との間で送信対象となるデータの送受信を行う送受信手段と、を備えており、前記ユーザ解生成手段は、前記ユーザ装置に固有の環境情報を使用して解を生成するようになっている。
また、認証装置は、前記ユーザ装置において生成される解と同一の解を、同一の順番で順次生成する認証解生成手段と、任意のユーザ装置から受け付けた解と、前記認証解生成手段により生成された前記解とを用いて、該ユーザ装置が正当であるか否かを判定する判定手段と、前記判定手段により前記ユーザ装置が正当であると判定された場合、前記ユーザ装置との間で送信対象となるデータの送受信を行う送受信手段と、を備えており、前記認証解生成手段は、前記認証装置内に予め登録されている前記ユーザ装置に固有の環境情報を使用して解を生成するようになっており、前記判定手段は、前記ユーザ装置との間で前記送信対象となるデータの送受信を行っている間に、順次生成される解を用いて前記解の判定を複数回実行するようになっている。
この認証システムでは、ユーザ装置との間で送信対象となるデータの送受信を行っている間に、順次生成される解を用いて前記解の判定を複数回実行するようになっている。すなわち、この認証システムは、いったんユーザ装置が正当なユーザ装置であると判定された場合にも、送信対象となるデータの送受信を行っている間に解の判定を複数回実行することで、ユーザ装置の正当性を何度も判定するようになっているため、この認証システムによれば、認証後における不正なアクセスの可能性を低減し、通信のセキュリティを高めることができる。また、ユーザ装置の正当性は、順次新たに生成される解を用いて判定、すなわち毎回異なる解を用いて判定されるため、通信のセキュリティをより高めることができる。
また、この認証システムでは、ユーザ装置の正当性の判断に使用される解が、ユーザ解生成手段および認証解生成手段により、ユーザ装置に固有の環境情報を使用して生成されるようになっているので、このユーザ装置に固有の環境情報を知らない第三者によるユーザのなりすましを防止することができ、通信のセキュリティをさらに高めることができる。なお、このユーザ装置に固有の環境情報は、認証装置内に予め登録されている。
すなわち、少なくとも2つのユーザ装置と、前記ユーザ装置が正当であるかを判定する認証装置と、を含んだ認証システムである。
このユーザ装置は、疑似乱数である解を順次生成する第1ユーザ解生成手段および第2ユーザ解生成手段と、前記認証装置に対して前記第1ユーザ解生成手段または前記第2ユーザ解生成手段により生成された解を送信する解送信手段と、前記認証装置により正当であると判定された場合、前記認証装置との間で送信対象となるデータの送受信を行う送受信手段と、を備えており、前記第1ユーザ解生成手段は、各ユーザ装置毎に異なる固有の解生成手段であるとともに、前記ユーザ装置に固有の環境情報を使用して解を生成するようになっており、前記第2ユーザ解生成手段は、所定のユーザ装置に共通する解生成手段であるとともに、前記所定のユーザ装置に共通の環境情報を使用して解を生成するようになっている。
また、この認証装置は、対応する前記ユーザ装置の前記第1ユーザ解生成手段において生成される解と同一の解を、同一の順番で順次生成する、前記ユーザ装置の数と同じ数の第1認証解生成手段と、前記ユーザ装置の前記第2ユーザ解生成手段において生成される解と同一の解を、同一の順番で順次生成する第2認証解生成手段と、任意のユーザ装置から受け付けた、前記ユーザ装置の前記第1ユーザ解生成手段において生成された解と、前記ユーザ装置に対応する前記第1認証解生成手段により生成された前記解とを用いて、該ユーザ装置が正当であるか否かを判定する第1判定手段と、任意のユーザ装置から受け付けた、前記ユーザ装置の前記第2ユーザ解生成手段において生成された解と、前記第2認証解生成手段により生成された前記解とを用いて、該ユーザ装置が正当であるか否かを判定する第2判定手段と、前記第1判定手段または前記第2判定手段により前記ユーザ装置が正当であると判定された場合、前記ユーザ装置との間で送信対象となるデータの送受信を行う送受信手段と、を備えており、前記第1認証解生成手段は、前記認証装置内に予め登録されている前記ユーザ装置に固有の環境情報を使用して解を生成するようになっており、前記第1判定手段または前記第2判定手段は、前記ユーザ装置との間で前記送信対象となるデータの送受信を行っている間に、順次生成される解を用いて前記解の判定を複数回実行するようになっている。
ユーザ装置に固有の環境情報は、該ユーザ装置以外の機器からは入手しづらいものであり、外部からは入手することができない情報である。したがって、このような認証システムによれば、第1ユーザ解生成手段および第1認証解生成手段は、ユーザ装置に固有の環境情報を使用してユーザ装置の正当性の判断に使用される解を生成するようになっているので、このユーザ装置に固有の環境情報を知らない第三者によるユーザのなりすましを防止することができ、通信のセキュリティをさらに高めることができる。なお、ユーザ装置に固有の環境情報については、後に具体的に説明する。
また、このような認証システムによれば、さらに、同一の第2ユーザ解生成手段を有する複数のユーザ装置から、同一のデータにアクセスすることができるようになる。
また、認証装置に固有の環境情報を使用すれば、認証装置のアドレス情報を偽装した悪意の第三者の認証装置等の偽の認証装置にユーザ装置がアクセスしてしまうことを防止することができる可能性がある。
なお、認証装置に固有の環境情報とは、例えば、前記認証装置に接続されている周辺機器の情報である。
認証装置に接続されている周辺機器の情報とは、例えば、認証装置に割りふられているルータのアドレス情報、MACアドレス情報、認証装置に接続されているプリンタの機種や製造番号の情報、認証装置に接続されているサーバ情報、または認証装置に接続されているマウス情報等である。
また、認証装置に固有の環境情報は、認証装置内の情報としてもよい。認証装置内の情報とは、例えば、認証装置における特定のデータが格納されているフォルダや認証装置内における所定のフォルダ等のフォルダ名情報や所定のファイル名情報、これらのフォルダやファイルのアドレス情報、階層情報、バイト数情報等である。
すなわち、本願の認証装置は、ユーザ装置において該装置に固有の環境情報を使用して順次生成される疑似乱数である解を前記ユーザ装置から受け付け、受け付けた解により、前記ユーザ装置が正当であるかを判定する認証装置である。
この認証装置は、前記ユーザ装置において生成される解と同一の解を、同一の順番で順次生成する解生成手段と、任意のユーザ装置から受け付けた解と、前記解生成手段により生成された前記解とを用いて、該ユーザ装置が正当であるか否かを判定する判定手段と、前記判定手段により前記ユーザ装置が正当であると判定された場合、前記ユーザ装置との間で送信対象となるデータの送受信を行う送受信手段と、を備えており、前記解生成手段は、前記認証装置内に予め登録されている前記ユーザ装置に固有の前記環境情報を使用して解を生成するようになっており、前記判定手段は、前記ユーザ装置との間で前記送信対象となるデータの送受信を行っている間に、順次生成される解を用いて前記解の判定を複数回実行するようになっている。
このような認証装置は、ユーザ装置との間で送信対象となるデータの送受信を行っている間に、順次生成される解を用いて前記解の判定を複数回実行するようになっている。すなわち、上述したように、いったんユーザ装置が正当なユーザ装置であると判定された場合も送信対象となるデータの送受信を行っている間にユーザ装置の正当性を複数回判定するようになっているので、この認証装置によれば、認証後における不正なアクセスの可能性を低減し、通信のセキュリティを高めることができる。
上述したように、ユーザ装置に固有の環境情報は、該ユーザ装置およびこの環境情報が登録されている認証装置以外の機器からは入手しづらいものであり、外部からは入手することができない情報である。すなわち、このような認証装置では、ユーザ装置の正当性の判断に使用される解が、このようなユーザ装置に固有の環境情報を使用して生成されるようになっているので、このユーザ装置に固有の環境情報を知らない第三者によるユーザのなりすましを防止することができ、通信のセキュリティをさらに高めることができる。なお、このユーザ装置に固有の環境情報は、認証装置内に予め登録されている。
具体的には、前記ユーザ装置において生成される前記解は、そのまま(暗号化されることなく)前記認証装置に送信されるようになっていてもよい。
また、前記ユーザ装置において生成される解は、所定のアルゴリズムおよび所定の鍵を用いて暗号化されてから前記認証装置に送信されるようになっており、前記認証装置は、前記解生成手段により生成された解を、所定のアルゴリズムおよび所定の鍵を用いて暗号化する解暗号化手段をさらに有しており、前記判定手段は、前記ユーザ装置から受け付け、暗号化された解を、前記解暗号化手段により暗号化された解と照合し、これらの解が一致する場合に、該ユーザ装置は正当であると判定するようになっていてもよい。
また、前記ユーザ装置において生成される解は、所定のアルゴリズムおよび所定の鍵を用いて暗号化されてから前記認証装置に送信されるようになっており、前記認証装置は、前記ユーザ装置から受け付けた暗号化された解を、その暗号化された解を暗号化するときに用いたアルゴリズムおよび所定の鍵を用いて復号化する解復号化手段をさらに有しており、前記判定手段は、前記解復号化手段により復号化された解を、前記解生成手段により生成された前記解と照合し、これらの解が一致する場合に、該ユーザ装置は正当であると判定するようになっていてもよい。
なお、所定のアルゴリズムまたは所定の鍵は、変化しない一定のアルゴリズムまたは鍵であってもよい。また、所定のアルゴリズムまたは所定の鍵の少なくとも一方は、ユーザ装置および認証装置において順次生成される解を用いて所定のタイミングで順次新たに生成されてもよい。
また、前記認証装置は、前記ユーザ装置の有する前記送信対象となるデータと同一のデータを有しているとともに、前記送信対象となるデータと同一のデータを所定のビット数毎に切断して切断データとする切断手段と、前記切断データを、所定のアルゴリズムまたは所定の鍵によって暗号化する暗号化手段と、をさらに有しており、前記判定手段は、前記ユーザ装置から受信した前記暗号化切断データを、前記暗号化手段により暗号化された前記切断データと照合し、これらの両データが一致する場合に、該ユーザ装置は正当であると判定するようになっていてもよい。
認証装置が、ユーザ装置の有する送信対象となるデータと同一のデータを有している場合には、このデータを利用してユーザ装置の正当性を判定することができる。
また、前記認証装置と、前記ユーザ装置との間に1つのデータ経路を確立する手段を備えており、前記1つのデータ経路は、前記ユーザ装置の正当性を判定すべく、前記解の送受信が実行されるとともに、前記送信対象となるデータの送受信が実行されるデータ経路であるものとしてもよい。具体的には、例えば、送信対象となるデータを含むそれぞれのパケットのヘッダ部分に解データを含ませて送信する場合が該当する。
以上のように、ユーザ装置の正当性の判定を行うための解をユーザ装置から受け取る経路は、送信対象となるデータの送受信が実行されるデータ経路と同じであってもよいし、別であってもよい。
この認証装置は、疑似乱数である解を順次生成する第1ユーザ解生成手段および第2ユーザ解生成手段と、認証装置に対して前記第1ユーザ解生成手段または前記第2ユーザ解生成手段により生成された解を送信する解送信手段と、前記認証装置により正当であると判定された場合、前記認証装置との間で送信対象となるデータの送受信を行う送受信手段と、を備えるユーザ装置であり、前記第1ユーザ解生成手段は、各ユーザ装置毎に異なる固有の解生成手段であるとともに、前記ユーザ装置に固有の環境情報を使用して解を生成するようになっており、前記第2ユーザ解生成手段は、所定のユーザ装置に共通する解生成手段であるとともに、前記所定のユーザ装置に共通の環境情報を使用して解を生成するようになっている、少なくとも2つのユーザ装置、と組み合わせて用いられる、前記ユーザ装置が正当であるかを判定する認証装置である。
前記認証装置は、対応する前記ユーザ装置の前記第1ユーザ解生成手段において生成される解と同一の解を、同一の順番で順次生成する、前記ユーザ装置の数と同じ数の第1認証解生成手段と、前記ユーザ装置の前記第2ユーザ解生成手段において生成される解と同一の解を、同一の順番で順次生成する第2認証解生成手段と、任意のユーザ装置から受け付けた、前記ユーザ装置の前記第1ユーザ解生成手段において生成された解と、前記ユーザ装置に対応する前記第1認証解生成手段により生成された前記解とを用いて、該ユーザ装置が正当であるか否かを判定する第1判定手段と、任意のユーザ装置から受け付けた、前記ユーザ装置の前記第2ユーザ解生成手段において生成された解と、前記第2認証解生成手段により生成された前記解とを用いて、該ユーザ装置が正当であるか否かを判定する第2判定手段と、前記第1判定手段または前記第2判定手段により前記ユーザ装置が正当であると判定された場合、前記ユーザ装置との間で送信対象となるデータの送受信を行う送受信手段と、を備えており、前記第1認証解生成手段は、前記認証装置内に予め登録されている前記ユーザ装置に固有の環境情報を使用して解を生成するようになっており、前記第1判定手段または前記第2判定手段は、前記ユーザ装置との間で前記送信対象となるデータの送受信を行っている間に、順次生成される解を用いて前記解の判定を複数回実行するようになっている。
このような認証装置を使用することにより、上述のように、同一の第2ユーザ解生成手段を有する複数のユーザ装置から、同一のデータにアクセスすることができるようになる。
この方法は、ユーザ装置において該装置に固有の環境情報を使用して順次生成される疑似乱数である解を前記ユーザ装置から受け付ける手段と、受け付けた解により、前記ユーザ装置が正当であるかを判定する判定手段と、を備える認証装置において実行される方法である。
そして、前記認証装置が実行する、前記ユーザ装置において生成される解と同一の解を、前記認証装置内に予め登録されている前記ユーザ装置に固有の環境情報を使用して、同一の順番で順次生成する過程と、任意のユーザ装置から受け付けた解と、前記認証装置において生成された前記解とを用いて、該ユーザ装置が正当であるか否かを判定する過程と、前記判定手段により前記ユーザ装置が正当であると判定された場合、前記ユーザ装置との間で送信対象となるデータの送受信を行う過程と、を含んでおり、前記ユーザ装置との間で前記送信対象となるデータの送受信を行っている間に、順次生成される解を用いて前記解の判定を複数回実行する。
そして、前記認証装置が実行する、前記ユーザ装置から、前記ユーザ装置に固有の環境情報を使用して生成された前記解を受け付けた場合に、前記ユーザ装置において生成される解と同一の解を、前記認証装置内に予め登録されている前記ユーザ装置に固有の環境情報を使用して、同一の順番で順次生成する過程と、前記ユーザ装置から、前記所定のユーザ装置に共通する環境情報を使用して生成された前記解を受け付けた場合に、前記ユーザ装置において生成される解と同一の解を、前記所定のユーザ装置に共通する環境情報を使用して、同一の順番で順次生成する過程と、任意のユーザ装置から受け付けた解と、前記認証装置において生成された前記解とを用いて、該ユーザ装置が正当であるか否かを判定する過程と、前記判定手段により前記ユーザ装置が正当であると判定された場合、前記ユーザ装置との間で送信対象となるデータの送受信を行う過程と、を含んでおり、前記ユーザ装置との間で前記送信対象となるデータの送受信を行っている間に、順次生成される解を用いて前記解の判定を複数回実行する。
すなわち、本願のユーザ装置は、ユーザ装置において順次生成される疑似乱数である解を前記ユーザ装置から受け付け、受け付けた解により、前記ユーザ装置が正当であるかを判定する認証装置であり、疑似乱数である解を順次生成させる認証解生成手段と、任意のユーザ装置から受け付けた解と、前記認証解生成手段により生成された前記解とを用いて、該ユーザ装置が正当であるか否かを判定する判定手段と、前記判定手段により前記ユーザ装置が正当であると判定された場合、前記ユーザ装置との間で送信対象となるデータの送受信を行う送受信手段と、を備えており、前記判定手段は、前記ユーザ装置との間で前記送信対象となるデータの送受信を行っている間に、順次生成される解を用いて前記解の判定を複数回実行するようになっている、認証装置、と組み合わせて用いられるユーザ装置である。
このユーザ装置は、前記認証装置において生成される解と同一の解を、同一の順番で順次生成するユーザ解生成手段と、前記認証装置に対して前記ユーザ解生成手段により生成された解を送信する解送信手段と、前記認証装置により正当であると判定された場合、前記認証装置との間で前記送信対象となるデータの送受信を行う送受信手段と、を有しており、前記ユーザ解生成手段は、前記認証装置および前記ユーザ装置内に予め登録されている前記ユーザ装置に固有の環境情報を使用して解を生成するようになっている。
このユーザ装置を認証装置と組み合わせて用いることにより、上述のように、認証装置との間で送信対象となるデータの送受信を行っている間に、順次生成される解を用いて前記解の判定を複数回実行することができるようになる。また、ユーザ装置に固有の環境情報を知らない第三者によるユーザのなりすましを防止することができ、通信のセキュリティをさらに高めることができる。
なお、このような本発明のユーザ装置は、上述のような認証装置のうちのいずれかと組み合わせて用いられる。
すなわち、本願のユーザ装置は、ユーザ装置において順次生成される疑似乱数である解を前記ユーザ装置から受け付け、受け付けた解により、前記ユーザ装置が正当であるかを判定する認証装置であり、疑似乱数である解を順次生成させる第1認証解生成手段および第2認証解生成手段と、任意のユーザ装置から受け付けた解と、第1認証解生成手段または前記第2認証解生成手段により生成された前記解とを用いて、該ユーザ装置が正当であるか否かを判定する判定手段と、前記判定手段により前記ユーザ装置が正当であると判定された場合、前記ユーザ装置との間で送信対象となるデータの送受信を行う送受信手段と、を備えており、前記第1認証解生成手段は、前記ユーザ装置の数と同じ数だけ設けられているとともに、予め登録されている対応するユーザ装置に固有の環境情報を使用して解を生成するようになっており、前記第2認証解生成手段は、所定のユーザ装置に共通の環境情報を使用して解を生成するようになっており、前記判定手段は、前記ユーザ装置との間で前記送信対象となるデータの送受信を行っている間に、順次生成される解を用いて前記解の判定を複数回実行するようになっている、認証装置、と組み合わせて用いられるユーザ装置である。
このユーザ装置は、各ユーザ装置毎に異なる固有の解生成手段であるとともに、対応する前記認証装置の前記第1認証解生成手段において生成される解と同一の解を、同一の順番で順次生成する、第1ユーザ解生成手段と、所定のユーザ装置に共通する解生成手段であるとともに、前記認証装置の前記第2認証解生成手段において生成される解と同一の解を、同一の順番で順次生成する第2ユーザ解生成手段と、前記認証装置に対して前記第1ユーザ解生成手段または前記第2ユーザ解生成手段により生成された解を送信する解送信手段と、前記認証装置により正当であると判定された場合、前記認証装置との間で前記送信対象となるデータの送受信を行う送受信手段と、を備える。
このユーザ装置を認証装置と組み合わせて用いることにより、上述のように、さらに、同一の第2ユーザ解生成手段を有する複数のユーザ装置から、同一のデータにアクセスすることができるようになる。
この方法は、ユーザ装置において順次生成される疑似乱数である解を前記ユーザ装置から受け付け、受け付けた解により、前記ユーザ装置が正当であるかを判定する認証装置であり、疑似乱数である解を順次生成させる認証解生成手段と、任意のユーザ装置から受け付けた解と、前記認証解生成手段により生成された前記解とを用いて、該ユーザ装置が正当であるか否かを判定する判定手段と、前記判定手段により前記ユーザ装置が正当であると判定された場合、前記ユーザ装置との間で送信対象となるデータの送受信を行う送受信手段と、を備えており、前記判定手段は、前記ユーザ装置との間で前記送信対象となるデータの送受信を行っている間に、順次生成される解を用いて前記解の判定を複数回実行するようになっている、認証装置、と組み合わせて用いられるユーザ装置において実行されるデータ処理方法である。
そして、前記ユーザ装置が実行する、前記認証装置において生成される解と同一の解を、前記認証装置および前記ユーザ装置内に予め登録されている前記ユーザ装置に固有の環境情報を使用して、同一の順番で順次生成する過程と、前記認証装置に対して生成した解を送信する過程と、前記認証装置により正当であると判定された場合、前記認証装置との間で前記送信対象となるデータの送受信を行う過程と、を有する。
そして、前記ユーザ装置が実行する、前記認証装置の前記第1認証解生成手段または前記第2認証解生成手段において生成される解と同一の解を、前記認証装置および前記ユーザ装置内に予め登録されている前記ユーザ装置に固有の環境情報または所定のユーザ装置に共通の環境情報を使用して、前記認証装置の前記第1認証解生成手段または前記第2認証解生成手段と同一の順番で順次生成する過程と、前記認証装置に対して生成した解を送信する過程と、前記認証装置により正当であると判定された場合、前記認証装置との間で前記送信対象となるデータの送受信を行う過程と、を有する。
なお、認証装置11とユーザ装置12を接続するネットワーク13は、例えばインターネットである。
もっともこれに代えて、他の手段、例えばイントラネットや専用線でネットワーク13を構成してもかまわない。
図2は、認証装置11のハードウェア構成を示している。この図に示すように、認証装置11は、この実施形態では、CPU(central processing unit)21、ROM(read only memory)22、HDD(hard disk drive)23、RAM(random access memory)24、入力装置25、表示装置26、暗号化装置27、通信装置28、判定装置29、バス30を含む構成とされている。CPU21、ROM22、HDD23、RAM24、入力装置25、表示装置26、暗号化装置27、通信装置28、判定装置29は、バス30を介してデータの交換が可能とされている。
ROM22、あるいはHDD23には、所定のプログラム、および所定のデータ(これには、送信対象となるデータが含まれる場合があり、本実施形態ではそのようにされている。また、所定のデータには、上記所定のプログラムを実行するために必要なデータが含まれる)が記録されている。
CPU21は、認証装置11全体の制御を行うものであり、ROM22、あるいはHDD23に記憶されたプログラムやデータに基づいて、後述する処理を実行するものである。RAM24は、CPU21で処理を行う際の作業用記憶領域として用いられる。
入力装置25は、キーボード、マウスなどから構成されており、コマンドやデータの入力に用いられる。表示装置26は、LCD(liquid crystal display)、CRT(cathode ray tube)などから構成されており、コマンドや入力されたデータや、後述する処理の状況などを表示するために用いられる。
暗号化装置27は、後述する、ユーザ装置12から受け付けた暗号化された送信対象となるデータである暗号化データの復号化、認証装置11自体が有する送信対象となるデータの暗号化、を行うものである。
通信装置28は、ネットワーク13を介してのユーザ装置12との通信を実行するものである。なお、ユーザ装置12の通信装置38は、ネットワーク13を介しての認証装置11との通信を実行する。
判定装置29は、ネットワーク13を介してユーザ装置12から受け付けた解と、暗号化装置27により生成された解とを照合し、これらの解が一致するか否かの判定を実行する。
通信装置28は、インタフェース部281、および通信部282から構成される。
インタフェース部281は、バス30と通信装置28との間におけるデータのやりとりを行うものである。インタフェース部281は、通信部282から受け付けたユーザ装置12からのアクセス要求信号、解データ、または暗号化データをバス30へ送り、バス30から受け付けた、ユーザ装置12に対して送信する後述の解要求信号、または暗号化データを、通信部282へ送るようになっている。
暗号化装置27は、インタフェース部271、前処理部272、暗号化・復号化部273、解生成部274、および接続部275から構成される。
インタフェース部271は、バス30を介して、ユーザ装置12に送信される解要求信号や、暗号化切断データ(平文である送信対象となるデータが所定のビット数毎に切断されて複数の平文切断データとされ、この平文切断データが暗号化されたデータ)を通信装置28から受け取るようになっているとともに、バス30を介してHDD23から送信対象となるデータを受け取るようになっており、受け取った暗号化切断データ、または送信対象となるデータを前処理部272に送るようになっている。
また、インタフェース部271は、解データを受け取った場合、その旨を示すデータを解生成部274に送るようになっている。
他方、インタフェース部271は、後述するように、接続部275から復号化された送信対象となるデータ、暗号化・復号化部273から暗号化データを受け取るようになっており、受け取ったこれらのデータをバス30に送るようになっている。
なお、本実施形態では、これらの暗号化および復号化の処理は、ユーザ装置12毎に固有の一定のアルゴリズムおよび一定の鍵を使用して行われるものとして記載するが、後述の変形例1のように、暗号化および復号化に使用するアルゴリズムまたは鍵の少なくとも一方が、ユーザ装置12および認証装置11において順次生成される解を用いて所定のタイミングで順次新たに生成されるようになっていてもよい。また、後述の変形例2のように、これらの暗号化および復号化の処理は、所定の複数のユーザ装置に共通の一定のアルゴリズムおよび一定の鍵を使用して行われるようになっていてもよい。また、所定の複数のユーザ装置および認証装置11において順次生成される解を用いて所定のタイミングで順次新たに生成されるようになっていてもよい。
認証装置11の解生成部274が生成する解は、後述するユーザ装置12における解生成部374が生成する解と、同じ順番で生成された解が同じものになるようにされている。この実施形態における解は、擬似乱数である。
生成された解は、インタフェース部271に送られ、バス30を介して、判定装置29に送られるようになっている。
接続部275はまた、暗号化・復号化部273で平文切断データを暗号化することによって生成された暗号化切断データを接続して一まとめの暗号化データとする機能を有している。この暗号化データは、インタフェース部271に送られ、そこから、バス30を介して通信装置28の通信部282に送られ、さらに、通信部282からユーザ装置12に送られるようになっている。なお、接続部275は、暗号化・復号化部273で平文切断データを暗号化することによって生成された暗号化切断データを接続する機能を有しなくてもよい。この場合には、暗号化切断データは暗号化された順に順次送り先となるユーザ装置12の通信装置に送られることになる。接続部275がそのようなものである場合、暗号化切断データは接続部275を通らずに通信部282に直接送られるようにすることができる。
なお、この暗号化装置27は、登録されているユーザ装置12の数に対応する数だけ存在し、それぞれの暗号化装置27は、登録されている各ユーザ装置12が有する暗号化装置と同一の構成となっている。
判定装置29は、インタフェース部291、判定部292、およびIDデータ記録部293から構成される。
また、インタフェース部291は、判定部292から該ユーザ装置12が正当であることを示す判定データを受け取るようになっており、この判定データは、バス30を介してHDD23等に送信され、ユーザ装置12と認証装置11との間でデータの送受信が開始されるようになっている。
さらに、インタフェース部291は、判定部292から、後述する解要求信号を受け取るようになっており、この解要求信号は、バス30を介して通信装置28に送信されるようになっている。
また、ユーザ装置12から送信された解データを暗号化装置27において生成された解データと照合し、これらの解データが一致する場合に、該ユーザ装置12は正当であると判定するようになっている。
さらに、判定部292は図示しないタイマーを有しており、該ユーザ装置12を正当なユーザ装置であると判定した後、所定の時間が経過する毎に、ユーザ装置12からの新たな解データの送信を求めるべく解要求信号を生成するようになっている。
なお、本実施形態では、認証装置11からユーザ装置12に対して解要求信号を送信し、これに対応してユーザ装置12から認証装置11に解データが送信されるようになっているものとして記載するが、これに限られず、認証装置11とユーザ装置12との間で予めアクセス認証後に解データを生成するタイミングを決めておき、ユーザ装置12で生成された解データが認証装置11に送信されるようになっていてもよい。
ユーザ装置12のハードウェア構成は、図6に示したとおりである。
ユーザ装置12のハードウェア構成は、基本的に認証装置11のそれと同一であるが、ユーザ装置12には、認証装置11の有する判定装置29が設けられていない点で、認証装置11と相違する。
ユーザ装置12における、CPU31、ROM32、HDD33、RAM34、入力装置35、表示装置36、通信装置38、およびバス39は、認証装置11におけるCPU21、ROM22、HDD23、RAM24、入力装置25、表示装置26、通信装置28、およびバス30と同様のものとされている。
なお、ROM32、あるいはHDD33に記録されている所定のデータには、このユーザ装置12に固有のIDデータ、送信対象となるデータ等が含まれる。
以下、暗号化装置37の構成について説明する。
暗号化装置37は、インタフェース部371、前処理部372、暗号化・復号化部373、解生成部374、および接続部375から構成される。
また、インタフェース部371は、解要求信号を受け取った場合、その旨を示すデータを解生成部374に送るようになっている。
他方、インタフェース部371は、後述するように、接続部375から復号化された送信対象となるデータ、暗号化・復号化部373から暗号化データを受け取るようになっており、受け取ったこれらのデータをバス39に送るようになっている。
本実施形態では、この暗号化および復号化の処理は、認証装置11と同じ、一定のアルゴリズムおよび一定の鍵を使用して行われるものとして記載する。
生成された解は、インタフェース部371に送られ、バス39を介して、通信装置38に送られるようになっている。
通信装置38は、インタフェース部381、IDデータ付加部382、および通信部383から構成される。
インタフェース部381は、バス39と通信装置38との間におけるデータのやりとりを行うものである。インタフェース部381は、通信部383から受け付けた認証装置11からの解要求信号、または暗号化データをバス39へ送り、バス39から受け付けた、認証装置11に対して送信する、後述のアクセス要求信号、解データ、または暗号化データを、IDデータ付加部382に送るようになっている。
IDデータ付加部382は、認証装置11に対して、アクセス要求信号、解データ、または暗号化データの送信が行われる場合に、送信されるアクセス要求信号等の例えばヘッダに、IDデータを付加するものである。このIDデータは、暗号化データ等を送信するユーザ装置12の特定をするものである。IDデータは、各ユーザ装置12を示す固有のIDであり、ROM32、あるいはHDD33に記録されている。IDデータ付加部382は、ROM32、或いはHDD33から読み出したIDデータを暗号化データ等に付加するようになっている。認証装置11は、受け付けた暗号化データ等に付加されたIDデータにより、その暗号化データ等がどのユーザ装置12から送られたものであるかを把握できる。IDデータ付加部382は、IDデータを付加した暗号化データ等を通信部383に送るようになっている。通信部383は、受け付けた暗号化データ等を認証装置11に送るようになっている。
図9を用いて概略で説明すると、この認証システム1で行われる処理の流れは以下のとおりである。
まず、認証装置11が、認証装置11にアクセスしたユーザ装置12の正当性を判定する(S110)。
アクセスしたユーザ装置12が正当でないと判定した場合(S110:No)、認証装置11とユーザ装置12との間で、暗号化データの送受信は開始されない。
一方、アクセスしたユーザ装置12が正当であると判定した場合(S110:Yes)、認証装置11とユーザ装置12との間で通信が開始され(S120)、暗号化された送信対象となるデータである暗号化データの送受信が開始される。
暗号化データの送受信が開始された後、認証装置11は、2回目以降のユーザ装置12の正当性の判定が必要である場合(S130:Yes)、認証装置11にアクセスしたユーザ装置12の正当性を判定する(S140)。なお、2回目以降のユーザ装置12の正当性の判定が必要である場合とは、本実施形態では、認証装置11へのアクセスが認証されてから所定の時間が経過した場合であるものとして説明するが、これに限られず、例えば認証装置11とユーザ装置12との間で送受信されるデータの量が所定のデータ量に達した場合であってもよい。なお、所定の時間(データ量)は、一定の時間(データ量)であってもよいし、そうでなくてもよい。
アクセスしたユーザ装置12が正当でないと判定した場合(S140:No)、認証装置11とユーザ装置12との間における暗号化データの送受信は続行されず、処理は終了する。
一方、アクセスしたユーザ装置12が正当であると判定した場合(S140:Yes)、認証装置11とユーザ装置12との間の通信が終了しなければ(S150:No)、ユーザ装置12の正当性の判定が再度必要となるまで暗号化データの送受信が続行される。
そして、認証装置11とユーザ装置12との間で通信が終了した場合(S150:Yes)、処理は終了する。
ユーザ装置12において、例えば入力装置35から認証装置11にアクセスせよという内容のコマンドが入力された場合、CPU31は、アクセス要求信号を生成するとともに、該ユーザ装置12のIDデータをROM32またはHDD33から読み出し、例えばRAM34に一時的に記録させる。このIDデータは、アクセス要求信号とともに、ROM32またはHDD33からバス39を経て、通信装置38に送られ、IDデータ付加部382においてアクセス要求信号にIDデータが付加された後、通信部383からネットワーク13を介して認証装置11の通信装置28に送信される。
具体的には、ユーザ装置12からIDデータが付加されたアクセス要求信号を通信装置28により受信した場合、アクセス要求信号に付されたIDデータは、通信装置28のインタフェース部281からバス30を介して、判定装置29の判定部292に送られる。判定部292は、受け取ったIDデータと一致するIDデータがIDデータ記録部293にあるか否かを判定する。
具体的には、判定装置29の判定部292が、ユーザ装置12からの解データの送信を求める解要求信号を生成し、この解要求信号は、インタフェース部291からバス30を介して通信装置28に送信される。この解要求信号は、通信装置28からユーザ装置12に送信される。
具体的には、通信装置38が受信した解要求信号は、バス39を介して暗号化装置37のインタフェース部371に送られる。暗号化装置37のインタフェース部371は、解要求信号を受け取った場合、その旨を示すデータを解生成部374に送り、解生成部374は、このデータを受け付ける。
一方、認証装置11の暗号化装置27のインタフェース部271は、解要求信号を受け取った場合、その旨を示すデータを解生成部274に送り、解生成部274は、このデータを受け付ける。
これを契機に解生成部374または解生成部274は、解の生成を開始する。
なお、認証装置11の解生成部274における解を生成させる手順は、ユーザ装置12の解生成部374と同じである。
非線形遷移するように解を連続して発生させるには、例えば、(1)解の生成の過程に、過去の解のべき乗の演算を含む、(2)解の生成の過程に、過去の2つ以上の解の掛け合わせを含む、あるいは、(1)と(2)を組み合わせるなどの手法が考えられる。
なお、認証装置11における暗号化装置27の解生成部274には、各ユーザ装置12が有するのと同じ初期行列が各IDデータと関連づけてHDD23やROM22などの所定のメモリに記録されている。
第1解(X1)=X02X01+α(本実施形態では、αは、8行8列の行列とする。)
これが最初に生成される解である。
次にインタフェース部371がバス39から解要求信号を受け付けた場合、解生成部374は、第2解(X2)を以下のように生成する。
第2解(X2)=X1X02+α
同様に、インタフェース部371がバス39から解要求信号を受け付ける度に、解生成部374は、第3解、第4解、……第N解を、以下のように生成する。
第3解(X3)=X2X1+α
第4解(X4)=X3X2+α
:
第N解(XN)=XN−1XN−2+α
なお、このように生成される解は、非線形遷移するカオス的なものとなり、擬似乱数となる。
例えば、上述したαを環境情報とすることができる。また、各ユーザ装置12の解生成部374および各ユーザ装置12に対応する認証装置11の解生成部274が有する初期行列である第01解(X01)または第02解(X02)を、環境情報とすることができる。要するに、ユーザ装置12に固有の環境情報を、行列(初期行列を含む)を作るために使用してもよいし、初期行列自体に使用してもよい。
また、環境情報であるαは、必ずしも、解を発生するすべての場合に用いる必要はない。例えば、αは、第1解(X1)=X02X01+αと、第1解を用いる場合のみに使われ、第2解以降は、第N解(XN)=XN−1XN−2という一般式により得られるようにしてもよい。
また、この各ユーザ装置12に固有の環境情報は、各ユーザ装置12内の情報とすることもできる。具体的には、例えば、各ユーザ装置12における送信対象となるデータなどの特定のデータが格納されているフォルダや各ユーザ装置12内における所定のフォルダ等のフォルダ名情報や所定のファイル名情報、これらのフォルダやファイルのアドレス情報、階層情報、バイト数情報等である。
この環境情報に所定の演算や所定の変換を行うことにより、環境情報を、α、第01解(X01)、または第02解(X02)等として使用可能な範囲の数字に変換して使用する。
第N解(XN)=XN−1XN−2(+α)
という式を用いる他に、以下のような式を用いることが考えられる。
なお、αに付けた括弧書きは、以下に例示される場合も含め、第2解以降の解を求める場合には、αが必ずしも必要ではないことを示している。
例えば、
(a)第N解(XN)=(XN−1)P(+α)
(b)第N解(XN)=(XN−1)P(XN−2)Q(XN−3)R(XN−4)S(+α)
(c)第N解(XN)=(XN−1)P+(XN−2)Q(+α)
などである。
なお、P、Q、R、Sはそれぞれ所定の定数である。また、数式(a)を用いる場合には1つ、数式(c)を用いる場合には2つ、数式(b)を用いる場合には4つの初期行列を、解生成部374は有している。
したがって、各ユーザ装置12固有の環境情報を、予め認証装置11における暗号化装置27の解生成部274、およびユーザ装置12における暗号化装置37の解生成部374に保存しておき、この環境情報をα等に使用して解データを生成することにすれば、このユーザ装置12に固有の環境情報を知らない第三者によるユーザのなりすましを防止することができ、通信のセキュリティをさらに高めることができる。
この特定情報は、時間の経過にしたがって次々と自然発生する情報であって離れた場所でも共通して取得できる情報とすることができる。例えば、特定地方の天気に基づいて定められる情報、特定の時間に放送されるあるテレビ局のテレビジョン放送の内容に基づいて定められる情報、特定のスポーツの結果によって定められる情報等である。
具体的には、ユーザ装置12から解データを通信装置28により受信した場合、解データは、通信装置28のインタフェース部281からバス30を介して、判定装置29の判定部292に送られる。判定部292は、ユーザ装置12から受信した解データを、認証装置11の暗号化装置27により生成された解データと照合し、一致するか否かを判定する。
また、ユーザ装置12から送信されたIDデータが認証装置11に登録されていない場合(一致するIDデータがない場合)(S1102:No)も同様に、該ユーザ装置12を正当ではないものと判定する(S1108)。
まず、ユーザ装置12からの要求に基づき、送信対象となるデータの読み出しが行われる。具体的には、CPU21は、送信対象となるデータをHDD23から読み出し、例えばRAM24に一時的に記録させる。この送信対象となるデータは、HDD23からバス30を経て、暗号化装置27に送られる。より詳細には、この送信対象となるデータは、インタフェース部271を介して、前処理部272に送られることになる。
前処理部272で、送信対象となるデータは、所定のビット数毎に切断され、平文切断データにされる。この平文切断データは、暗号化・復号化部273に送られ、一定のアルゴリズムおよび一定の鍵を用いて暗号化され、暗号化切断データにされる。この暗号化切断データは、接続部275に送られる。接続部275は、暗号化切断データを一まとめに接続し、暗号化データを生成する。このときの暗号化切断データの並び順は、元の平文切断データの並び順に対応したものとされる。
このようにして生成された暗号化データは、バス30を介して認証装置11内の通信装置28に送られる。暗号化データは、通信装置28内のインタフェース部281で受け取られ、通信部282へ送られる。通信部282は、その暗号化データをネットワーク13を介してユーザ装置12へ送る。
以上の過程は、ユーザ装置12内の送信対象となるデータを暗号化して認証装置11に送信する場合も同様である。
認証装置11からユーザ装置12に送られた暗号化データは、ユーザ装置12の通信装置38における通信部383が受け付け、インタフェース部381に送られる。インタフェース部381はこの暗号化データを、暗号化装置37に送る。
暗号化装置37内の前処理部372が、インタフェース部371を介してこの暗号化データを受け取る。前処理部372は、受け付けた暗号化データを所定のビット数毎に切断して、暗号化切断データを生成する。暗号化データを切断して暗号化切断データを生成する場合、前処理部372は、認証装置11の接続部275で行われたのと逆の処理を行う。つまり、暗号化データは、先頭から8ビット毎に切断され、複数の暗号化切断データに分けられる。
次いで、暗号化切断データは暗号化・復号化部373に送られ、そこで復号化され、平文切断データとされる。復号化は、認証装置11における暗号化において用いられた一定のアルゴリズムおよび一定の鍵を使用して実行される。
このようにして生成された平文切断データは、接続部375へ送られる。接続部375は、受け取った平文切断データを一まとめに接続し、認証装置11で暗号化される前の元の状態の送信対象となるデータに戻す。
以上の過程は、ユーザ装置12内の送信対象となるデータを暗号化して認証装置11に送信する場合も同様である。
なお、送信対象となるデータは、ユーザ装置12(認証装置11)から認証装置11(ユーザ装置12)に送信する必要のあるデータであればどのようなものでもよい。この実施形態では、送信対象となるデータは、HDD33(HDD23)に記録されているものとする。外部記録媒体などの他の記録媒体からユーザ装置12または認証装置11に読み込まれたデータを送信対象となるデータとしてもよい。
具体的には、判定装置29の判定部292は、暗号化データの送受信の開始から所定の時間(例えば30秒)が経過する毎に、ユーザ装置12からの新たな解データの送信を求めるべく、解要求信号を生成する。その後の過程は、図10のS1103ないしS1108と同様であり、この解要求信号に基づいて、ユーザ装置12および認証装置11において解データが生成される。
判定装置29の判定部292は、ユーザ装置12から受け取った解データが認証装置11において生成された解データと一致するか否か、判定する。
ユーザ装置12から受信した解データが、認証装置11の暗号化装置27により生成された解データと一致する場合、判定部292は、該ユーザ装置12を正当なものと判定し、暗号化データの送受信が続行される。
一方、ユーザ装置12から受信した解データが、認証装置11の暗号化装置27により生成された解データと一致しない場合、判定部292は、該ユーザ装置12を正当でないものと判定し、暗号化データの送受信が終了する。
しかしながら、これに限られず、暗号化データを含む送信対象となるデータの送受信および解の送受信は、交互に時分割で行われてもよい。具体的には、通信が開始された後、ユーザ装置12から認証装置11に解データを送信する間には、送信対象となるデータの送受信が行われないようになっていてもよい。具体的には、例えば、送信対象となるデータを含むそれぞれのパケットのヘッダ部分に解データを含ませて送信するようになっていてもよい。すなわち、認証システム1における認証装置11とユーザ装置12との間には、1つのデータ経路が確立されていてもよい。このデータ経路は、ユーザ装置12の正当性を判定すべく、解データの送受信が実行されるデータ経路であるとともに、暗号化データの送受信が実行されるデータ経路である。
以上のように、ユーザ装置12の正当性の判定を行うための解をユーザ装置12から受け取る経路は、送信対象となるデータの送受信が実行されるデータ経路と同じであってもよいし、別であってもよい。
このように、ユーザ装置12から暗号化された解データが送信されるようになっている場合、認証装置11において生成される解データも、暗号化装置27において所定のアルゴリズムおよび所定の鍵を用いて暗号化されるようにし、判定装置29において、暗号化された解データ同士が一致するか否かを比較するように構成することができる。この場合、認証装置11の暗号化装置27は、ユーザ装置12から受け付けた暗号化データの復号化、認証装置11自体が有する送信対象となるデータの暗号化に加えて、解生成部274により生成された解の暗号化を行うようになっている。
また、ユーザ装置12から暗号化された解データが送信されるようになっている場合、この暗号化された解データを復号化してから、判定装置29において暗号化された解データ同士が一致するか否かを比較するようになっていてもよい。この場合、認証装置11の暗号化装置27は、ユーザ装置12から受け付けた暗号化データの復号化、認証装置11自体が有する送信対象となるデータの暗号化に加えて、ユーザ装置12から受け付けた暗号化された解の復号化を行うようになっている。
例えば、認証装置11とユーザ装置12との間で送信対象となるデータの送受信を行っている間における認証装置11による解データの照合を、送受信されるデータの量が所定のデータ量に達する度に実行するようになっていてもよい。
認証装置11に送信済みのユーザ装置12内のデータは、そのままユーザ装置12内に残されるように構成してもよいし、ユーザ装置12内から消去されるように構成してもよい。
この認証システム1によれば、上述したように、認証装置11によりいったんユーザ装置12が正当なユーザ装置であると判定されてからも、ユーザ装置の正当性を何度も判定するようになっており、送信対象となるデータの送受信を行っている間の通信のセキュリティは非常に高いものとなる。このため、この認証システム1を使用すれば、該ユーザ装置12は、ユーザ装置12内にデータを保存するのと変わりのない安全性を保ったまま、バックアップすることができる。
以上の認証システム1では、ユーザ装置12において生成される解データを認証装置11で生成される解データと照合し、一致するか否かを判定することにより、ユーザ装置12の正当性を判定するようになっているが、認証装置11とユーザ装置12とが同一のデータである共通データ(例えばIDデータやユーザ装置12固有のパスワード等)を有している場合には、解データではなくこの共通データを利用して、ユーザ装置12の正当性を判定してもよい。
なお、ユーザ装置12における暗号化(および認証装置11における復号化)に使用されるアルゴリズムまたは鍵は一定ではなく、ユーザ装置12および認証装置11において順次生成される解を用いて順次新たに生成される。
この図に示すように、この暗号化装置47は、インタフェース部471、前処理部472、暗号化・復号化部473、解生成部474、接続部477のほか、アルゴリズム生成部475、および鍵生成部476を有する。
アルゴリズム生成部475は、解生成部474から受け付けた解に基づいてアルゴリズムを生成するものである。このアルゴリズムは、暗号化・復号化部473で、暗号化処理および復号化処理を行うときに使用されるものである。
鍵生成部476は、解生成部474から受け付けた解に基づいて鍵を生成するものである。この鍵は、暗号化・復号化部473で、暗号化処理および復号化処理を行うときに使用されるものである。ユーザ装置12における鍵生成部476が生成する鍵は、認証装置11における鍵生成部576で同じ順番で生成された鍵と同じものとなるようにされている。
なお、この変形例における認証装置11において使用される暗号化装置57は、暗号化装置47の構成と同一のものとなっており、図12に示すように、暗号化装置47のインタフェース部471、前処理部472、暗号化・復号化部473、解生成部474、アルゴリズム生成部475、鍵生成部476、および接続部477のそれぞれに対応する、インタフェース部571、前処理部572、暗号化・復号化部573、解生成部574、アルゴリズム生成部575、鍵生成部576、および接続部577を有している。
具体的には、判定装置29の判定部292が、ユーザ装置12からの共通データの送信を求める共通データ要求信号を生成し、この共通データ要求信号は、インタフェース部291からバス30を介して通信装置28および暗号化装置57に送信される。この共通データ要求信号は、通信装置28からユーザ装置12に送信される。
具体的には、通信装置38が受信した共通データ要求信号は、バス39を介してCPU31および暗号化装置47のインタフェース部471に送られる。
暗号化装置47のインタフェース部471は、共通データ要求信号を受け取った場合、その旨を示すデータを解生成部474に送り、解生成部474は、このデータを受け付ける。これを契機に解生成部474は、解の生成を開始する。解の生成の仕方は、上述したとおりである。なお、生成された解は、アルゴリズム生成部475および鍵生成部476に送られるとともに、解生成部474にも保存される。
また、CPU31により共通データの読み出しが行われる。具体的には、CPU31は、共通データをHDD33から読み出し、例えばRAM34に一時的に記録させる。この共通データは、HDD33からバス39を経て、暗号化装置47に送られる。より詳細には、この共通データは、インタフェース部471を介して、前処理部472に送られることになる。
前処理部472で、共通データは、所定のビット数毎に切断され、平文切断データにされる。このようにして生成された平文切断データは、生成された順番で、暗号化・復号化部473にストリーム的に送られる。
この実施形態におけるアルゴリズム生成部475は、アルゴリズムを、解に基づいて生成する。
この実施形態においては、アルゴリズム生成部475は、アルゴリズムを以下のようなものとして生成する。
この実施形態におけるアルゴリズムは、『8ビットのデータである平文切断データを1行8列の行列Yとした場合に、解である8行8列の行列Xをa乗してから、時計周りにn×90°だけ回転させた行列に、Yを掛け合わせて求められるもの』と定義される。
ここで、aは所定の定数とされる場合もあるが、この実施形態では、解に基づいて変化する数字である。つまり、この実施形態におけるアルゴリズムは、解に基づいて変化する。例えばaは、8行8列の行列である解に含まれている行列の要素である数すべてを足し合わせて得られる数を5で割った場合の余り(ただし、余りが0の場合はa=1とする)のように定めることができる。
また、上述のnは、鍵によって定められる所定の数である。鍵が一定の数であればnは固定であるが、以下に説明するように、鍵は解に基づいて変化する。つまり、この実施形態では、このnも解に基づいて変化するようになっている。
もっとも、アルゴリズムを他のものとして決定することもできる。
この実施形態では、アルゴリズム生成部475は、解生成部474から解を受取るたびにアルゴリズムを生成し、それを暗号化・復号化部473に送る。
鍵生成部476は、鍵を解に基づいて生成する。
この実施形態においては、鍵生成部476は、鍵を以下のようなものとして生成する。
この実施形態における鍵は、8行8列の行列である解に含まれている行列の要素である数すべてを足し合わせて得られる数とされる。したがって、鍵は、この実施形態では、解に基づいて変化する。
なお、鍵を他のものとして決定することもできる。
この実施形態では、鍵生成部476は、解生成部474から解を受け取るたびに鍵を生成し、それを暗号化・復号化部473に送る。
アルゴリズムは、上述したように、『8ビットのデータである平文切断データを1行8列の行列Yとした場合に、解である8行8列の行列Xをa乗してから、時計周りにn×90°だけ回転させた行列に、Yを掛け合わせて求められるもの』という決まりであり、鍵であるnは、上述したような数である。
例えば、aが3、nが6である場合には、Xを3乗して得られる8行8列の行列を、6×90°=540°だけ時計回りに回転させることによって得られた8行8列の行列に、平文切断データを掛け合わせて暗号化が行われる。
これにより生成されたデータが暗号化切断データである。
具体的には、認証装置11の通信装置28における通信部282が暗号化共通データを受け付ける。
通信部282は、この暗号化共通データをインタフェース部281に送る。インタフェース部281は、その暗号化共通データを、バス30を介して暗号化装置57に送る。
以下、この復号化について具体的に説明する。
まず、暗号化装置57内の前処理部572が、インタフェース部571を介してこの暗号化共通データを受け取る。
前処理部572は、受け付けた暗号化データを所定のビット数毎に切断して、暗号化切断データを生成する。
暗号化データを切断して暗号化切断データを生成する場合、前処理部572は、ユーザ装置12の接続部477で行われたのと逆の処理を行う。つまり、暗号化データは、先頭から8ビット毎に切断され、複数の暗号化切断データに分けられる。
復号化は、ユーザ装置12における暗号化・復号化部473で行われたのと逆の処理として実行される。そのために、認証装置11では、ユーザ装置12で暗号化を行う際に必要としたアルゴリズムと鍵を必要とする。
暗号化装置57のインタフェース部571が暗号化共通データを受け付けたという情報は、解生成部574へ送られる。解生成部574は、この情報を受け付けたのを契機として、この情報を受け付けるたびに解を生成する。
認証装置11の暗号化装置57内にある解生成部574で行われる解の生成は、ユーザ装置12の解生成部474で行われたのと同じ過程を経て行われる。なお、この解生成部574は、上述したように、ユーザ装置12のIDデータと対応付けられているユーザ装置12の解生成部474が持っているのと同様の初期行列と、解生成用アルゴリズムを持っている。したがって、認証装置11内で生成される解は、生成された順番が同じもの同士を比較すれば、データの送受信が行われている最中のユーザ装置12の暗号化装置47内で生成される解と同じになっている。
生成された解は、解生成部574から、前処理部572と、アルゴリズム生成部575と、鍵生成部576とに送られる。
アルゴリズム生成部575は、受け付けた解に基づいて、解を受け付けるたびにアルゴリズムを生成する。認証装置11のアルゴリズム生成部575がアルゴリズムを生成する過程は、ユーザ装置12のアルゴリズム生成部475がアルゴリズムを生成する過程と同じである。生成されたアルゴリズムは、アルゴリズム生成部575から暗号化・復号化部573へ送られる。
他方、鍵生成部476は、受け付けた解に基づいて、解を受け付けるたびに鍵を生成する。認証装置11の鍵生成部576が鍵を生成する過程は、ユーザ装置12の鍵生成部576が鍵を生成する過程と同じである。生成された鍵は、鍵生成部576から暗号化・復号化部573へ送られる。
ところで、この認証システムにおいては、ユーザ装置12で暗号化が行われるたびにユーザ装置12で新たな解が生成され、かつユーザ装置12で生成された暗号化データが認証装置11で復号化されるたびに認証装置11で新たな解が生成される。また、上述したように、認証装置11の暗号化装置57で生成される解は、生成された順番が同じもの同士を比較すれば、対応するユーザ装置12内の暗号化装置47で生成される解と同じになっている。したがって、ユーザ装置12において共通データを暗号化するときに生成された解と、その解に基づいて生成されたアルゴリズムおよび鍵はすべて、その解を用いて生成されたアルゴリズムおよび鍵を用いてユーザ装置12で生成された暗号化共通データを復号化するときに、認証装置11の暗号化装置57で生成される解と、その解に基づいて生成されたアルゴリズムおよび鍵に、常に一致することになる。
判定部292は、ユーザ装置12から受信し、復号化した復号化共通データを、認証装置11内の共通データと照合し、一致するか否かを判定する(S2106)。
なお、上述の実施形態において適用することができる変更例は、この変形例においても適用することができる。
また、本実施形態の認証システム1では、ユーザ装置12は、各ユーザ装置12に固有の暗号化装置37を有するようになっているが、各ユーザ装置に固有の暗号化装置の他に、認証装置とつながっている複数のユーザ装置に共通する暗号化装置を有するユーザ装置としてもよい。
このようなユーザ装置を含む本変形例について、以下に詳しく説明する。
この図に示すように、認証システム3は、ユーザ装置62A、62B、62Cを含む、n個のユーザ装置62と、認証装置61を含む。
図15は、ユーザ装置62のハードウェア構成を示している。
ユーザ装置62のハードウェア構成は、基本的にユーザ装置12のそれと同一であるが、ユーザ装置12では1つであった暗号化装置37が2種類とされ、暗号化装置37の代わりに第1暗号化装置37Aと第2暗号化装置37Bが設けられている点で、ユーザ装置12と相違する。
第1暗号化装置37Aは、ユーザ装置12の暗号化装置37と同様に、各ユーザ装置毎に異なる暗号化装置である。
第2暗号化装置37Bは、複数のユーザ装置62(本変形例では、n個のユーザ装置62)に共通の暗号化装置である。
これらの第1暗号化装置37Aにおける暗号化および復号化の処理は、本実施形態では、ユーザ装置62の第1暗号化装置37A毎にそれぞれ固有の一定のアルゴリズムおよび一定の鍵を使用して行われる。
本実施形態においては、第2暗号化装置37Bにおける暗号化および復号化の処理は、ユーザ装置62の第2暗号化装置37Bに共通する固有の一定のアルゴリズムおよび一定の鍵を使用して行われる。
なお、ユーザ装置62における、CPU31、ROM32、HDD33、RAM34、入力装置35、表示装置36、通信装置38、およびバス39は、ユーザ装置12におけるそれらと同様のものとされている。
認証装置61のハードウェア構成は、認証装置11では1つであった暗号化装置27が2種類とされ、暗号化装置27の代わりに第1暗号化装置27Aと第2暗号化装置27Bが設けられている点で、認証装置11と相違する。
第1暗号化装置27Aは、ユーザ装置62の数と同じ数だけ設けられており、それぞれ対応するユーザ装置62の第1暗号化装置37Aにおいて生成される解と同一の解を、同一の順番で順次生成するようになっている。
第2暗号化装置27Bは、ユーザ装置62の第2暗号化装置37Bにおいて生成される解と同一の解を、同一の順番で順次生成するようになっている。
なお、認証装置61における、CPU21、ROM22、HDD23、RAM24、入力装置25、表示装置26、通信装置28、判定装置29、およびバス30は、認証装置61におけるそれらと同様のものとされている。
第1暗号化装置37Aにおける解の生成は、上述の実施形態に記載したように、各ユーザ装置62に固有の環境情報を使用するようにしてもよい。この各ユーザ装置62に固有の環境情報は、該ユーザ装置62およびこの環境情報が登録されている認証装置61以外の機器からは入手しづらいものであり、外部からは入手することができない情報であるので、このユーザ装置62に固有の環境情報を知らない第三者によるユーザのなりすましを防止することができ、通信のセキュリティをさらに高めることができる。
また、第2暗号化装置27Bにおける解の生成は、認証装置61に固有の環境情報を使用するようにしてもよい。具体的には、認証装置61の環境情報を予め認証装置61の第2暗号化装置27Bと、ユーザ装置62の各第2暗号化装置37Bに登録しておき、登録したこの環境情報を使用して解を生成するようにする。
この認証装置61に固有の環境情報は、該認証装置61およびこの環境情報が登録されているユーザ装置62以外の機器からは入手しづらいものであり、外部からは入手することができない情報であるので、この認証装置61に固有の環境情報を知らない第三者によるユーザのなりすましを防止することができ、通信のセキュリティをさらに高めることができる。また、認証装置61に固有の環境情報を使用すれば、認証装置61のアドレス情報を偽装した悪意の第三者の認証装置61等の偽の認証装置にユーザ装置62がアクセスしてしまうことを防止することができる可能性がある。
なお、認証装置61に固有の環境情報としては、例えば、認証装置61に接続されている周辺機器の情報があげられる。認証装置61に接続されている周辺機器の情報とは、例えば、認証装置61に割りふられているルータのアドレス情報、MACアドレス情報、認証装置61に接続されているプリンタの機種や製造番号の情報、認証装置61に接続されているサーバ情報、または認証装置61に接続されているマウス情報等である。
また、認証装置61に固有の環境情報として、認証装置61内の情報を使用してもよい。認証装置61内の情報とは、例えば、認証装置61における特定のデータが格納されているフォルダや認証装置61内における所定のフォルダ等のフォルダ名情報や所定のファイル名情報、これらのフォルダやファイルのアドレス情報、階層情報、バイト数情報等である。
11,61 認証装置
12,62,62A,62B,62C ユーザ装置
13 ネットワーク
21,31 CPU
22,32 ROM
23,33 HDD
24,34 RAM
25,35 入力装置
26,36 表示装置
27,37,47,57 暗号化装置
28,38 通信装置
29 判定装置
30,39 バス
Claims (20)
- ユーザ装置と、
前記ユーザ装置が正当であるかを判定する認証装置と、を含んでおり、
前記ユーザ装置は、
疑似乱数である解を順次生成するユーザ解生成手段と、
前記認証装置に対して前記ユーザ解生成手段により生成された解を送信する解送信手段と、
前記認証装置により正当であると判定された場合、前記認証装置との間で送信対象となるデータの送受信を行う送受信手段と、を備えており、
前記ユーザ解生成手段は、前記ユーザ装置に固有の環境情報を使用して解を生成するようになっており、
前記認証装置は、
前記ユーザ装置において生成される解と同一の解を、同一の順番で順次生成する認証解生成手段と、
任意のユーザ装置から受け付けた解と、前記認証解生成手段により生成された前記解とを用いて、該ユーザ装置が正当であるか否かを判定する判定手段と、
前記判定手段により前記ユーザ装置が正当であると判定された場合、前記ユーザ装置との間で送信対象となるデータの送受信を行う送受信手段と、
を備えており、
前記認証解生成手段は、前記認証装置内に予め登録されている前記ユーザ装置に固有の環境情報を使用して解を生成するようになっており、
前記判定手段は、前記ユーザ装置との間で前記送信対象となるデータの送受信を行っている間に、順次生成される解を用いて前記解の判定を複数回実行するようになっている、
認証システム。 - 少なくとも2つのユーザ装置と、
前記ユーザ装置が正当であるかを判定する認証装置と、を含んでおり、
前記ユーザ装置は、
疑似乱数である解を順次生成する第1ユーザ解生成手段および第2ユーザ解生成手段と、
前記認証装置に対して前記第1ユーザ解生成手段または前記第2ユーザ解生成手段により生成された解を送信する解送信手段と、
前記認証装置により正当であると判定された場合、前記認証装置との間で送信対象となるデータの送受信を行う送受信手段と、を備えており、
前記第1ユーザ解生成手段は、各ユーザ装置毎に異なる固有の解生成手段であるとともに、前記ユーザ装置に固有の環境情報を使用して解を生成するようになっており、
前記第2ユーザ解生成手段は、所定のユーザ装置に共通する解生成手段であるとともに、前記所定のユーザ装置に共通の環境情報を使用して解を生成するようになっており、
前記認証装置は、
対応する前記ユーザ装置の前記第1ユーザ解生成手段において生成される解と同一の解を、同一の順番で順次生成する、前記ユーザ装置の数と同じ数の第1認証解生成手段と、
前記ユーザ装置の前記第2ユーザ解生成手段において生成される解と同一の解を、同一の順番で順次生成する第2認証解生成手段と、
任意のユーザ装置から受け付けた、前記ユーザ装置の前記第1ユーザ解生成手段において生成された解と、前記ユーザ装置に対応する前記第1認証解生成手段により生成された前記解とを用いて、該ユーザ装置が正当であるか否かを判定する第1判定手段と、
任意のユーザ装置から受け付けた、前記ユーザ装置の前記第2ユーザ解生成手段において生成された解と、前記第2認証解生成手段により生成された前記解とを用いて、該ユーザ装置が正当であるか否かを判定する第2判定手段と、
前記第1判定手段または前記第2判定手段により前記ユーザ装置が正当であると判定された場合、前記ユーザ装置との間で送信対象となるデータの送受信を行う送受信手段と、
を備えており、
前記第1認証解生成手段は、前記認証装置内に予め登録されている前記ユーザ装置に固有の環境情報を使用して解を生成するようになっており、
前記第1判定手段または前記第2判定手段は、前記ユーザ装置との間で前記送信対象となるデータの送受信を行っている間に、順次生成される解を用いて前記解の判定を複数回実行するようになっている、
認証システム。 - 前記第2ユーザ解生成手段および前記第2認証解生成手段は、前記認証装置に固有の環境情報を使用して解を生成するようになっている、
請求項2記載の認証システム。 - ユーザ装置において該装置に固有の環境情報を使用して順次生成される疑似乱数である解を前記ユーザ装置から受け付け、受け付けた解により、前記ユーザ装置が正当であるかを判定する認証装置であって、
前記ユーザ装置において生成される解と同一の解を、同一の順番で順次生成する解生成手段と、
任意のユーザ装置から受け付けた解と、前記解生成手段により生成された前記解とを用いて、該ユーザ装置が正当であるか否かを判定する判定手段と、
前記判定手段により前記ユーザ装置が正当であると判定された場合、前記ユーザ装置との間で送信対象となるデータの送受信を行う送受信手段と、
を備えており、
前記解生成手段は、前記認証装置内に予め登録されている前記ユーザ装置に固有の前記環境情報を使用して解を生成するようになっており、
前記判定手段は、前記ユーザ装置との間で前記送信対象となるデータの送受信を行っている間に、順次生成される解を用いて前記解の判定を複数回実行するようになっている、
認証装置。 - 前記ユーザ装置に固有の環境情報は、前記ユーザ装置に接続されている周辺機器の情報である、
請求項4記載の認証装置。 - 前記ユーザ装置に固有の環境情報は、前記ユーザ装置内の情報である、
請求項4記載の認証装置。 - 前記ユーザ装置において生成される前記解は、所定のアルゴリズムおよび所定の鍵を用いて暗号化されてから前記認証装置に送信されるようになっており、
前記認証装置は、前記解生成手段により生成された解を、所定のアルゴリズムおよび所定の鍵を用いて暗号化する解暗号化手段をさらに有しており、
前記判定手段は、前記ユーザ装置から受け付けた、暗号化された解を、前記解暗号化手段により暗号化された解と照合し、これらの解が一致する場合に、該ユーザ装置は正当であると判定するようになっている、
請求項4記載の認証装置。 - 前記ユーザ装置において生成される解は、所定のアルゴリズムおよび所定の鍵を用いて暗号化されてから前記認証装置に送信されるようになっており、
前記認証装置は、前記ユーザ装置から受け付けた暗号化された解を、その暗号化された解を暗号化するときに用いたアルゴリズムおよび所定の鍵を用いて復号化する解復号化手段をさらに有しており、
前記判定手段は、前記解復号化手段により復号化された解を、前記解生成手段により生成された前記解と照合し、これらの解が一致する場合に、該ユーザ装置は正当であると判定するようになっている、
請求項4ないし7のいずれかの項記載の認証装置。 - 前記認証装置と、前記ユーザ装置との間に2つのデータ経路を確立する手段を備えており、
前記2つのデータ経路の一方は、前記ユーザ装置の正当性を判定すべく、前記解の送受信が実行されるデータ経路であり、
前記2つのデータ経路の他方は、前記送信対象となるデータの送受信が実行されるデータ経路である、
請求項4ないし8のいずれかの項記載の認証装置。 - 前記認証装置と、前記ユーザ装置との間に1つのデータ経路を確立する手段を備えており、
前記1つのデータ経路は、前記ユーザ装置の正当性を判定すべく、前記解の送受信が実行されるとともに、前記送信対象となるデータの送受信が実行されるデータ経路である、
請求項4ないし8のいずれかの項記載の認証装置。 - 疑似乱数である解を順次生成する第1ユーザ解生成手段および第2ユーザ解生成手段と、認証装置に対して前記第1ユーザ解生成手段または前記第2ユーザ解生成手段により生成された解を送信する解送信手段と、前記認証装置により正当であると判定された場合、前記認証装置との間で送信対象となるデータの送受信を行う送受信手段と、を備えるユーザ装置であり、前記第1ユーザ解生成手段は、各ユーザ装置毎に異なる固有の解生成手段であるとともに、前記ユーザ装置に固有の環境情報を使用して解を生成するようになっており、前記第2ユーザ解生成手段は、所定のユーザ装置に共通する解生成手段であるとともに、前記所定のユーザ装置に共通の環境情報を使用して解を生成するようになっている、少なくとも2つのユーザ装置、と組み合わせて用いられる、前記ユーザ装置が正当であるかを判定する認証装置であって、
前記認証装置は、
対応する前記ユーザ装置の前記第1ユーザ解生成手段において生成される解と同一の解を、同一の順番で順次生成する、前記ユーザ装置の数と同じ数の第1認証解生成手段と、
前記ユーザ装置の前記第2ユーザ解生成手段において生成される解と同一の解を、同一の順番で順次生成する第2認証解生成手段と、
任意のユーザ装置から受け付けた、前記ユーザ装置の前記第1ユーザ解生成手段において生成された解と、前記ユーザ装置に対応する前記第1認証解生成手段により生成された前記解とを用いて、該ユーザ装置が正当であるか否かを判定する第1判定手段と、
任意のユーザ装置から受け付けた、前記ユーザ装置の前記第2ユーザ解生成手段において生成された解と、前記第2認証解生成手段により生成された前記解とを用いて、該ユーザ装置が正当であるか否かを判定する第2判定手段と、
前記第1判定手段または前記第2判定手段により前記ユーザ装置が正当であると判定された場合、前記ユーザ装置との間で送信対象となるデータの送受信を行う送受信手段と、
を備えており、
前記第1認証解生成手段は、前記認証装置内に予め登録されている前記ユーザ装置に固有の環境情報を使用して解を生成するようになっており、
前記第1判定手段または前記第2判定手段は、前記ユーザ装置との間で前記送信対象となるデータの送受信を行っている間に、順次生成される解を用いて前記解の判定を複数回実行するようになっている、
認証装置。 - 前記第2認証解生成手段および前記第2ユーザ解生成手段は、前記認証装置に固有の環境情報を使用して解を生成するようになっている、
請求項11記載の認証装置。 - ユーザ装置において該装置に固有の環境情報を使用して順次生成される疑似乱数である解を前記ユーザ装置から受け付ける手段と、受け付けた解により、前記ユーザ装置が正当であるかを判定する手段と、を備える認証装置において実行される方法であって、
前記認証装置が実行する、
前記ユーザ装置において生成される解と同一の解を、前記認証装置内に予め登録されている前記ユーザ装置に固有の環境情報を使用して、同一の順番で順次生成する過程と、
任意のユーザ装置から受け付けた解と、前記認証装置において生成された前記解とを用いて、該ユーザ装置が正当であるか否かを判定する過程と、
判定手段により前記ユーザ装置が正当であると判定された場合、前記ユーザ装置との間で送信対象となるデータの送受信を行う過程と、
を含んでおり、
前記ユーザ装置との間で前記送信対象となるデータの送受信を行っている間に、順次生成される解を用いて前記解の判定を複数回実行する、
認証方法。 - ユーザ装置において該装置に固有の環境情報を使用して順次生成される疑似乱数である解、または所定のユーザ装置に共通する環境情報を使用して順次生成される疑似乱数である解を、前記ユーザ装置から受け付ける手段と、受け付けた解により、前記ユーザ装置が正当であるかを判定する判定手段と、を備える認証装置において実行される方法であって、
前記認証装置が実行する、
前記ユーザ装置から、前記ユーザ装置に固有の環境情報を使用して生成された前記解を受け付けた場合に、前記ユーザ装置において生成される解と同一の解を、前記認証装置内に予め登録されている前記ユーザ装置に固有の環境情報を使用して、同一の順番で順次生成する過程と、
前記ユーザ装置から、前記所定のユーザ装置に共通する環境情報を使用して生成された前記解を受け付けた場合に、前記ユーザ装置において生成される解と同一の解を、前記所定のユーザ装置に共通する環境情報を使用して、同一の順番で順次生成する過程と、
任意のユーザ装置から受け付けた解と、前記認証装置において生成された前記解とを用いて、該ユーザ装置が正当であるか否かを判定する過程と、
前記判定手段により前記ユーザ装置が正当であると判定された場合、前記ユーザ装置との間で送信対象となるデータの送受信を行う過程と、
を含んでおり、
前記ユーザ装置との間で前記送信対象となるデータの送受信を行っている間に、順次生成される解を用いて前記解の判定を複数回実行する、
認証方法。 - ユーザ装置において順次生成される疑似乱数である解を前記ユーザ装置から受け付け、受け付けた解により、前記ユーザ装置が正当であるかを判定する認証装置であり、疑似乱数である解を順次生成させる認証解生成手段と、任意のユーザ装置から受け付けた解と、前記認証解生成手段により生成された前記解とを用いて、該ユーザ装置が正当であるか否かを判定する判定手段と、前記判定手段により前記ユーザ装置が正当であると判定された場合、前記ユーザ装置との間で送信対象となるデータの送受信を行う送受信手段と、を備えており、前記判定手段は、前記ユーザ装置との間で前記送信対象となるデータの送受信を行っている間に、順次生成される解を用いて前記解の判定を複数回実行するようになっている、認証装置、と組み合わせて用いられるユーザ装置であって、
前記認証装置において生成される解と同一の解を、同一の順番で順次生成するユーザ解生成手段と、
前記認証装置に対して前記ユーザ解生成手段により生成された解を送信する解送信手段と、
前記認証装置により正当であると判定された場合、前記認証装置との間で前記送信対象となるデータの送受信を行う送受信手段と、を有しており、
前記ユーザ解生成手段は、前記認証装置および前記ユーザ装置内に予め登録されている前記ユーザ装置に固有の環境情報を使用して解を生成するようになっている、
ユーザ装置。 - 前記ユーザ解生成手段により生成された解を、所定のアルゴリズムおよび所定の鍵を用いて暗号化する解暗号化手段をさらに有しており、
前記認証装置に対して、前記解暗号化手段により暗号化された解を送信するようになっている、
請求項15記載のユーザ装置。 - ユーザ装置において順次生成される疑似乱数である解を前記ユーザ装置から受け付け、受け付けた解により、前記ユーザ装置が正当であるかを判定する認証装置であり、疑似乱数である解を順次生成させる第1認証解生成手段および第2認証解生成手段と、任意のユーザ装置から受け付けた解と、前記第1認証解生成手段または前記第2認証解生成手段により生成された前記解とを用いて、該ユーザ装置が正当であるか否かを判定する判定手段と、前記判定手段により前記ユーザ装置が正当であると判定された場合、前記ユーザ装置との間で送信対象となるデータの送受信を行う送受信手段と、を備えており、前記第1認証解生成手段は、前記ユーザ装置の数と同じ数だけ設けられているとともに、予め登録されている対応するユーザ装置に固有の環境情報を使用して解を生成するようになっており、前記第2認証解生成手段は、所定のユーザ装置に共通の環境情報を使用して解を生成するようになっており、前記判定手段は、前記ユーザ装置との間で前記送信対象となるデータの送受信を行っている間に、順次生成される解を用いて前記解の判定を複数回実行するようになっている、認証装置、と組み合わせて用いられるユーザ装置であって、
各ユーザ装置毎に異なる固有の解生成手段であるとともに、対応する前記認証装置の前記第1認証解生成手段において生成される解と同一の解を、同一の順番で順次生成する、第1ユーザ解生成手段と、
所定のユーザ装置に共通する解生成手段であるとともに、前記認証装置の前記第2認証解生成手段において生成される解と同一の解を、同一の順番で順次生成する第2ユーザ解生成手段と、
前記認証装置に対して前記第1ユーザ解生成手段または前記第2ユーザ解生成手段により生成された解を送信する解送信手段と、
前記認証装置により正当であると判定された場合、前記認証装置との間で前記送信対象となるデータの送受信を行う送受信手段と、を備える、
ユーザ装置。 - 前記第2ユーザ解生成手段および前記第2認証解生成手段は、前記認証装置に固有の環境情報を使用して解を生成するようになっている、
請求項17記載のユーザ装置。 - ユーザ装置において順次生成される疑似乱数である解を前記ユーザ装置から受け付け、受け付けた解により、前記ユーザ装置が正当であるかを判定する認証装置であり、疑似乱数である解を順次生成させる認証解生成手段と、任意のユーザ装置から受け付けた解と、前記認証解生成手段により生成された前記解とを用いて、該ユーザ装置が正当であるか否かを判定する判定手段と、前記判定手段により前記ユーザ装置が正当であると判定された場合、前記ユーザ装置との間で送信対象となるデータの送受信を行う送受信手段と、を備えており、前記判定手段は、前記ユーザ装置との間で前記送信対象となるデータの送受信を行っている間に、順次生成される解を用いて前記解の判定を複数回実行するようになっている、認証装置、と組み合わせて用いられるユーザ装置において実行される方法であって、
前記ユーザ装置が実行する、
前記認証装置において生成される解と同一の解を、前記認証装置および前記ユーザ装置内に予め登録されている前記ユーザ装置に固有の環境情報を使用して、同一の順番で順次生成する過程と、
前記認証装置に対して生成した解を送信する過程と、
前記認証装置により正当であると判定された場合、前記認証装置との間で前記送信対象となるデータの送受信を行う過程と、を有する、
データ処理方法。 - ユーザ装置において順次生成される疑似乱数である解を前記ユーザ装置から受け付け、受け付けた解により、前記ユーザ装置が正当であるかを判定する認証装置であり、疑似乱数である解を順次生成させる第1認証解生成手段および第2認証解生成手段と、任意のユーザ装置から受け付けた解と、前記第1ユーザ解生成手段または前記第2ユーザ解生成手段により生成された前記解とを用いて、該ユーザ装置が正当であるか否かを判定する判定手段と、前記判定手段により前記ユーザ装置が正当であると判定された場合、前記ユーザ装置との間で送信対象となるデータの送受信を行う送受信手段と、を備えており、前記第1認証解生成手段は、前記ユーザ装置の数と同じ数だけ設けられているとともに、予め登録されている対応するユーザ装置に固有の環境情報を使用して解を生成するようになっており、前記第2認証解生成手段は、所定のユーザ装置に共通の環境情報を使用して解を生成するようになっており、前記判定手段は、前記ユーザ装置との間で前記送信対象となるデータの送受信を行っている間に、順次生成される解を用いて前記解の判定を複数回実行するようになっている、認証装置、と組み合わせて用いられるユーザ装置において実行される方法であって、
前記ユーザ装置が実行する、
前記認証装置の前記第1認証解生成手段または前記第2認証解生成手段において生成される解と同一の解を、前記認証装置および前記ユーザ装置内に予め登録されている前記ユーザ装置に固有の環境情報または所定のユーザ装置に共通の環境情報を使用して、前記認証装置の前記第1認証解生成手段または前記第2認証解生成手段と同一の順番で順次生成する過程と、
前記認証装置に対して生成した解を送信する過程と、
前記認証装置により正当であると判定された場合、前記認証装置との間で前記送信対象となるデータの送受信を行う過程と、を有する、
データ処理方法。
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006356233A JP2008165613A (ja) | 2006-12-28 | 2006-12-28 | 認証システム、認証装置、認証方法、ユーザ装置、およびデータ処理方法 |
TW096149701A TW200840301A (en) | 2006-12-28 | 2007-12-24 | Authentication system, device and method, user device and processing method |
PCT/JP2007/075370 WO2008081970A1 (ja) | 2006-12-28 | 2007-12-26 | 認証システム |
EP07860565A EP2117160A1 (en) | 2006-12-28 | 2007-12-26 | Authentication system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2006356233A JP2008165613A (ja) | 2006-12-28 | 2006-12-28 | 認証システム、認証装置、認証方法、ユーザ装置、およびデータ処理方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2008165613A true JP2008165613A (ja) | 2008-07-17 |
Family
ID=39588639
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2006356233A Pending JP2008165613A (ja) | 2006-12-28 | 2006-12-28 | 認証システム、認証装置、認証方法、ユーザ装置、およびデータ処理方法 |
Country Status (4)
Country | Link |
---|---|
EP (1) | EP2117160A1 (ja) |
JP (1) | JP2008165613A (ja) |
TW (1) | TW200840301A (ja) |
WO (1) | WO2008081970A1 (ja) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109618314B (zh) * | 2018-11-19 | 2020-02-14 | 中国地质大学(武汉) | 一种基于环境感知和生物识别的可扩展身份认证方法 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH04306760A (ja) * | 1991-04-03 | 1992-10-29 | Nippon Telegr & Teleph Corp <Ntt> | カード類の所有者確認方法 |
JPH0749839A (ja) * | 1993-08-06 | 1995-02-21 | Nri & Ncc Co Ltd | カオスを利用した認証システム、認証装置、被認証装置、および認証方法 |
JPH09130376A (ja) * | 1995-11-06 | 1997-05-16 | Nippon Telegr & Teleph Corp <Ntt> | 利用者パスワード認証方法 |
JPH11272613A (ja) * | 1998-03-23 | 1999-10-08 | Hitachi Information Systems Ltd | 利用者認証方法及びこの方法を実現するプログラムを格納した記録媒体並びに上記方法を用いる利用者認証システム |
JP2003198529A (ja) * | 2001-11-30 | 2003-07-11 | Stmicroelectronics Sa | 集積回路識別子からの秘密量の再生 |
JP2004157790A (ja) * | 2002-11-06 | 2004-06-03 | Fujitsu Ltd | 安全性判断方法、安全性判断システム、安全性判断装置、第1認証装置及びコンピュータプログラム |
JP2005065236A (ja) * | 2003-07-25 | 2005-03-10 | Ricoh Co Ltd | 通信装置、通信システム、証明書送信方法及びプログラム |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006253745A (ja) | 2005-03-08 | 2006-09-21 | N-Crypt Inc | データ処理装置、データ処理システム、及びデータ処理方法 |
JP2006253746A (ja) | 2005-03-08 | 2006-09-21 | N-Crypt Inc | データ処理装置、データ処理システム、及びデータ処理方法 |
-
2006
- 2006-12-28 JP JP2006356233A patent/JP2008165613A/ja active Pending
-
2007
- 2007-12-24 TW TW096149701A patent/TW200840301A/zh unknown
- 2007-12-26 EP EP07860565A patent/EP2117160A1/en not_active Withdrawn
- 2007-12-26 WO PCT/JP2007/075370 patent/WO2008081970A1/ja active Application Filing
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH04306760A (ja) * | 1991-04-03 | 1992-10-29 | Nippon Telegr & Teleph Corp <Ntt> | カード類の所有者確認方法 |
JPH0749839A (ja) * | 1993-08-06 | 1995-02-21 | Nri & Ncc Co Ltd | カオスを利用した認証システム、認証装置、被認証装置、および認証方法 |
JPH09130376A (ja) * | 1995-11-06 | 1997-05-16 | Nippon Telegr & Teleph Corp <Ntt> | 利用者パスワード認証方法 |
JPH11272613A (ja) * | 1998-03-23 | 1999-10-08 | Hitachi Information Systems Ltd | 利用者認証方法及びこの方法を実現するプログラムを格納した記録媒体並びに上記方法を用いる利用者認証システム |
JP2003198529A (ja) * | 2001-11-30 | 2003-07-11 | Stmicroelectronics Sa | 集積回路識別子からの秘密量の再生 |
JP2004157790A (ja) * | 2002-11-06 | 2004-06-03 | Fujitsu Ltd | 安全性判断方法、安全性判断システム、安全性判断装置、第1認証装置及びコンピュータプログラム |
JP2005065236A (ja) * | 2003-07-25 | 2005-03-10 | Ricoh Co Ltd | 通信装置、通信システム、証明書送信方法及びプログラム |
Also Published As
Publication number | Publication date |
---|---|
TW200840301A (en) | 2008-10-01 |
EP2117160A1 (en) | 2009-11-11 |
WO2008081970A1 (ja) | 2008-07-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US5751812A (en) | Re-initialization of an iterated hash function secure password system over an insecure network connection | |
US8966276B2 (en) | System and method providing disconnected authentication | |
US5497421A (en) | Method and apparatus for protecting the confidentiality of passwords in a distributed data processing system | |
JP4881119B2 (ja) | ユーザ認証方法、ユーザ側認証装置、および、プログラム | |
AU2003203712B2 (en) | Methods for remotely changing a communications password | |
US6061790A (en) | Network computer system with remote user data encipher methodology | |
WO2018025991A1 (ja) | 通信システム、通信用クライアント、通信用サーバ、通信方法、プログラム | |
JP2004282295A (ja) | ワンタイムidの生成方法、認証方法、認証システム、サーバ、クライアントおよびプログラム | |
KR100860573B1 (ko) | 사용자 인증 방법 | |
CN109684129B (zh) | 数据备份恢复方法、存储介质、加密机、客户端和服务器 | |
WO2018030289A1 (ja) | Ssl通信システム、クライアント、サーバ、ssl通信方法、コンピュータプログラム | |
Ku | A hash-based strong-password authentication scheme without using smart cards | |
Chen et al. | An efficient nonce-based authentication scheme with key agreement | |
US8307209B2 (en) | Universal authentication method | |
JP2008165612A (ja) | 認証システム、認証装置、認証方法、ユーザ装置、およびデータ処理方法 | |
JP2008124987A (ja) | 暗号通信装置及び暗号通信システム及び暗号通信方法及びプログラム | |
Chang et al. | A secure and efficient strong-password authentication protocol | |
JP2008165613A (ja) | 認証システム、認証装置、認証方法、ユーザ装置、およびデータ処理方法 | |
JP2012060366A (ja) | 通信システム、通信方法、およびコンピュータ・プログラム | |
CN112751858B (zh) | 数据加密通信终端方法、装置、终端、服务器及存储介质 | |
CN117134904A (zh) | 一种基于身份识别与动态加解密通信的方法 | |
KR20180125654A (ko) | 멀티미디어 데이터를 이용한 사용자 인증 방법 | |
JP2005217665A (ja) | 通信システム、送信装置、受信装置及び通信方法 | |
Borade et al. | Web Based Security Analysis of oPass Authentication System Using Mobile Application | |
Soni et al. | OTPAD Protocol Resistant to Password Attacks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20091228 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20100818 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20100819 |
|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20110422 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120105 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20120105 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120605 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20121009 |