JP2009116677A - Network authentication system, ic chip, access device, and network authentication method - Google Patents

Network authentication system, ic chip, access device, and network authentication method Download PDF

Info

Publication number
JP2009116677A
JP2009116677A JP2007289869A JP2007289869A JP2009116677A JP 2009116677 A JP2009116677 A JP 2009116677A JP 2007289869 A JP2007289869 A JP 2007289869A JP 2007289869 A JP2007289869 A JP 2007289869A JP 2009116677 A JP2009116677 A JP 2009116677A
Authority
JP
Japan
Prior art keywords
access device
authentication
chip
terminal
mutual authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2007289869A
Other languages
Japanese (ja)
Inventor
Ryoji Ono
良司 小野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2007289869A priority Critical patent/JP2009116677A/en
Publication of JP2009116677A publication Critical patent/JP2009116677A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide a system capable of achieving user authentication at an access to a network under safety equivalent to the use of an authentication server without using the authentication server. <P>SOLUTION: A user authentication part 52 of an IC chip 13 loaded on a terminal 2 authenticates a user 1 without performing communication with an AP 3 by using user authentication information 16 stored in a terminal side memory 51. A mutual authentication part 53 of the IC chip 13 performs mutual authentication with the AP 3 by performing prescribed communication with the AP 3 by using terminal side mutual authentication information 17 stored in the terminal side memory 51. Also an AP side authentication part 19 of the AP 3 similarly performs mutual authentication with the IC chip 13. Only when the success of authentication of a user 1 is reported from the IC chip 13 and mutual authentication between the IC chip 13 and the AP 3 succeeds, a communication part 18 permits the terminal 2 to access the network 4 via the AP 3. <P>COPYRIGHT: (C)2009,JPO&INPIT

Description

本発明は、ネットワーク認証システム及びICチップ及びアクセス装置及びネットワーク認証方法に関するものである。   The present invention relates to a network authentication system, an IC chip, an access device, and a network authentication method.

パーソナルコンピュータ(PC)などの情報機器を始めとする任意の端末機器をネットワークに接続して稼働させるシステムにおいては、接続された端末機器もしくはそのユーザが、当該ネットワークに接続することを許可されている端末機器もしくはユーザであるか否かを、ネットワークの入り口にあたるネットワーク機器(アクセスポイント)において接続時に判定(認証)し、許可されていない端末機器もしくはユーザを排除することが一般に行われる。また、同時に、端末機器と上記入り口にあたるネットワーク機器の間で、通信データを暗号技術で保護(秘匿、改竄検知、送信元認証など。以下、単に暗号化と呼ぶ)することも一般に行われる。   In a system in which an arbitrary terminal device such as an information device such as a personal computer (PC) is connected to a network and operated, the connected terminal device or its user is permitted to connect to the network. In general, it is determined (authenticated) whether or not a terminal device or a user is connected at a network device (access point) at the entrance of the network, and unauthorized terminal devices or users are excluded. At the same time, the communication data is generally protected (encryption, tampering detection, source authentication, etc., hereinafter simply referred to as encryption) between the terminal device and the network device at the entrance.

このような手法の典型例として、非特許文献1がある。非特許文献1では、無線LAN(ローカルエリアネットワーク)端末が無線LANアクセスポイントを経由してネットワークに接続する際に、無線LANアクセスポイントにおいて上記認証を行い、かつ、無線LAN端末と無線LANアクセスポイントとの間の通信データを暗号化して、認証されない無線LAN端末が無線LANアクセスポイントを介した通信を行えないようにする。   Non-patent document 1 is a typical example of such a method. In Non-Patent Document 1, when a wireless LAN (local area network) terminal connects to a network via a wireless LAN access point, the wireless LAN access point performs the above authentication, and the wireless LAN terminal and the wireless LAN access point Communication data between the wireless LAN terminal and the wireless LAN terminal that is not authenticated cannot be communicated via the wireless LAN access point.

図13に示すように、非特許文献1にしたがって、端末902を利用するユーザ1を認証しようとする場合、従来は、ネットワーク4に認証サーバ905を配置し、ユーザ1の認証に必要な情報であるユーザ認証情報16を認証サーバ905に置く。認証手続は、AP903(アクセスポイント)を経由して、ユーザ1及び端末902と、認証サーバ905との間で実行され、実行結果がAP903へ伝達される。AP903と認証サーバ905との間では、例えば同一の共有鍵を設定するなどして、予め信頼関係が構築されている。   As shown in FIG. 13, when trying to authenticate the user 1 using the terminal 902 according to Non-Patent Document 1, conventionally, an authentication server 905 is arranged on the network 4 and information necessary for the authentication of the user 1 is used. Some user authentication information 16 is placed in the authentication server 905. The authentication procedure is executed between the user 1 and the terminal 902 and the authentication server 905 via the AP 903 (access point), and the execution result is transmitted to the AP 903. A trust relationship is established in advance between the AP 903 and the authentication server 905, for example, by setting the same shared key.

このように、従来の技術では、ユーザ認証情報を認証サーバに集約し、認証サーバがユーザ認証を実行する手法が用いられる。   As described above, in the conventional technique, a method is used in which user authentication information is collected in an authentication server, and the authentication server executes user authentication.

また、従来の技術として、ユーザ認証にIC(集積回路)カードを用いるものがある(例えば、特許文献1、2参照)。
特開2006−58970号公報 特開2004−272828号公報 IEEE Std 802.11i−2004, IEEE Standard for Information technology, Telecommunications and information exchange between systems, Local and metropolitan area networks, Specific requirements, Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) specifications, Amendment 6: Medium Access Control (MAC) Security Enhancements Further, as a conventional technique, there is a technique using an IC (integrated circuit) card for user authentication (for example, see Patent Documents 1 and 2).
JP 2006-58970 A JP 2004-272828 A IEEE Std 802.11i-2004, IEEE Standard for Information technology, Telecommunications and information exchange between systems, Local and metropolitan area networks, Specific requirements, Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) specifications, Amendment 6: Medium Access Control (MAC) Security Enhancements

近年、ネットワークの利用が急速に広がり、設置スペースなどの物理的制約や、環境的要因や、コスト的な要因から、ネットワーク接続時の認証を必要とする全てのシステムにおいて、必ずしも認証サーバを設置できるとは限らない。認証サーバを設置できなければ、個々のユーザや端末機器を識別する認証は、従来の技術では実現できないという課題があった。   In recent years, the use of networks has expanded rapidly, and authentication servers can always be installed in all systems that require authentication when connected to the network due to physical constraints such as installation space, environmental factors, and cost factors. Not necessarily. If an authentication server cannot be installed, there is a problem that authentication for identifying individual users and terminal devices cannot be realized by the conventional technology.

本発明は、認証サーバを使用しなくとも、認証サーバを使用したのと同等の安全性をもってネットワークアクセス時のユーザ認証を実現することができるシステムを提供することを目的とする。   An object of the present invention is to provide a system capable of realizing user authentication at the time of network access with the same level of security as using an authentication server without using an authentication server.

本発明の一の態様に係るネットワーク認証システムは、
ネットワークに接続されたアクセス装置と、
IC(集積回路)チップを搭載し、前記アクセス装置を経由して前記ネットワークへアクセスする端末とを備え、
前記ICチップは、
前記端末のユーザ認証のためのユーザ認証情報と、前記アクセス装置との相互認証のための端末側相互認証情報とを記憶する端末側メモリと、
前記端末側メモリに記憶されたユーザ認証情報を用いることにより、前記アクセス装置と通信を行うことなくユーザ認証を行うユーザ認証部と、
前記端末側メモリに記憶された端末側相互認証情報を用いて前記アクセス装置と所定の通信を行うことにより、前記アクセス装置との相互認証を行うとともに、前記ユーザ認証部によるユーザ認証の成否を前記アクセス装置に通知する相互認証部とを具備し、
前記アクセス装置は、
前記ICチップとの相互認証のためのアクセス装置側相互認証情報を記憶するアクセス装置側メモリと、
前記アクセス装置側メモリに記憶されたアクセス装置側相互認証情報を用いて前記ICチップと所定の通信を行うことにより、前記ICチップとの相互認証を行うアクセス装置側認証部と、
前記ユーザ認証部によるユーザ認証が成功したことが前記ICチップから通知され、かつ、前記相互認証部と前記アクセス装置側認証部との間で相互認証が成功した場合にのみ、前記端末が前記アクセス装置を経由して前記ネットワークへアクセスすることを許可する通信部とを具備することを特徴とする。 A network authentication system according to an aspect of the present invention includes:
An access device connected to the network;
An IC (integrated circuit) chip, and a terminal for accessing the network via the access device;
The IC chip is
A terminal-side memory for storing user authentication information for user authentication of the terminal and terminal-side mutual authentication information for mutual authentication with the access device;
By using user authentication information stored in the terminal-side memory, a user authentication unit that performs user authentication without communicating with the access device;
By performing predetermined communication with the access device using the terminal-side mutual authentication information stored in the terminal-side memory, mutual authentication with the access device is performed, and success or failure of user authentication by the user authentication unit is determined. A mutual authentication unit for notifying the access device,
The access device is:
An access device side memory for storing access device side mutual authentication information for mutual authentication with the IC chip;
An access device side authentication unit that performs mutual authentication with the IC chip by performing predetermined communication with the IC chip using the access device side mutual authentication information stored in the access device side memory;
Only when the IC chip notifies that the user authentication by the user authentication unit is successful and the mutual authentication is successful between the mutual authentication unit and the access device side authentication unit, And a communication unit that permits access to the network via the device.

本発明の一の態様によれば、端末に搭載されたICチップのユーザ認証部が、端末側メモリに記憶されたユーザ認証情報を用いることにより、アクセス装置と通信を行うことなくユーザ認証を行い、ICチップの相互認証部とアクセス装置のアクセス装置側認証部とが、所定の通信を行うことにより、相互認証を行い、アクセス装置の通信部が、ICチップのユーザ認証部によるユーザ認証が成功したことがICチップから通知され、かつ、ICチップの相互認証部とアクセス装置のアクセス装置側認証部との間で相互認証が成功した場合にのみ、端末がアクセス装置を経由してネットワークへアクセスすることを許可するため、認証サーバを使用しなくとも、認証サーバを使用したのと同等の安全性をもってネットワークアクセス時のユーザ認証を実現することができる。   According to one aspect of the present invention, the user authentication unit of the IC chip mounted on the terminal uses the user authentication information stored in the terminal-side memory to perform user authentication without communicating with the access device. The mutual authentication unit of the IC chip and the access device side authentication unit of the access device perform mutual authentication by performing predetermined communication, and the communication unit of the access device succeeds in user authentication by the user authentication unit of the IC chip. The terminal accesses the network via the access device only when the IC chip is informed and the mutual authentication between the IC chip mutual authentication unit and the access device side authentication unit succeeds. Therefore, even if an authentication server is not used, the user at the time of network access can be as secure as using the authentication server. It is possible to realize the authentication.

以下、本発明の実施の形態について、図を用いて説明する。   Hereinafter, embodiments of the present invention will be described with reference to the drawings.

本発明の実施の形態におけるネットワーク認証システム100の機器構成を図1に示す。   FIG. 1 shows a device configuration of a network authentication system 100 according to the embodiment of the present invention.

ネットワーク認証システム100において、端末2のユーザ1は、端末2を用いて、AP3(無線LANアクセスポイント)を介し、ネットワーク4へ接続する。AP3は、アクセス装置の一例である。   In the network authentication system 100, the user 1 of the terminal 2 uses the terminal 2 to connect to the network 4 via the AP 3 (wireless LAN access point). AP3 is an example of an access device.

本発明の実施の形態における端末2及びAP3の構成を図2に示す。   FIG. 2 shows the configuration of terminal 2 and AP 3 in the embodiment of the present invention.

端末2には、STA12(Station、無線LANクライアント)と、耐タンパ性を持つICチップ13が搭載される。ICチップ13は、端末2に予め内蔵されているものでも、ICカードやICチップ搭載メモリデバイスのような着脱可能な形態をとるものでもよい。また、STA12も、端末内蔵型、着脱可能なカード型など、いずれの形態でもよい。   The terminal 2 includes a STA 12 (Station, wireless LAN client) and an IC chip 13 having tamper resistance. The IC chip 13 may be built in the terminal 2 in advance or may be in a removable form such as an IC card or a memory device equipped with an IC chip. The STA 12 may be in any form such as a terminal built-in type or a removable card type.

STA12は、AP3との間で、無線LANによるデータ送受信を行う。STA12には、非特許文献1に規定されるような、送受信するデータを暗号化する機能が含まれる。   The STA 12 performs data transmission / reception with the AP 3 via a wireless LAN. The STA 12 includes a function for encrypting data to be transmitted / received as defined in Non-Patent Document 1.

ICチップ13は、端末側メモリ51、ユーザ認証部52、相互認証部53を具備する。また、図示していないが、ICチップ13は、処理装置として、例えばCPU(Central・Processing・Unit)を具備し、記憶装置として、例えばフラッシュメモリを具備する。端末側メモリ51は、記憶装置を兼ねていてもよい。   The IC chip 13 includes a terminal-side memory 51, a user authentication unit 52, and a mutual authentication unit 53. Although not shown, the IC chip 13 includes, for example, a CPU (Central Processing Unit) as a processing device, and includes, for example, a flash memory as a storage device. The terminal side memory 51 may also serve as a storage device.

端末側メモリ51は、端末2のユーザ1を認証するためのユーザ認証情報16と、AP3との相互認証をするための端末側相互認証情報17とを記憶する。端末側メモリ51は、ユーザ認証情報16や端末側相互認証情報17として、複数のデータを記憶していてもよく、この場合、複数のユーザ1、複数のAP3、複数の認証方式のそれぞれに異なる情報を用いて対応することができる。   The terminal-side memory 51 stores user authentication information 16 for authenticating the user 1 of the terminal 2 and terminal-side mutual authentication information 17 for mutual authentication with the AP 3. The terminal-side memory 51 may store a plurality of data as the user authentication information 16 and the terminal-side mutual authentication information 17. In this case, the terminal-side memory 51 is different for each of the plurality of users 1, the plurality of APs 3, and the plurality of authentication methods. This can be handled using information.

記憶装置は、プログラムとしてユーザ認証手順14と相互認証手順15とを記憶する。ユーザ認証部52は、後述する端末側認証部11の要求に応じて、記憶装置に記憶されたユーザ認証手順14を処理装置で動作させ、端末側メモリ51に記憶されたユーザ認証情報16を用いることにより、AP3と通信を行うことなくユーザ1の認証を行う。相互認証部53は、端末側認証部11の要求に応じて、記憶装置に記憶された相互認証手順15を処理装置で動作させ、端末側メモリ51に記憶された端末側相互認証情報17を用いてAP3と所定の通信を行うことにより、AP3との相互認証を行うとともに、ユーザ認証部52によるユーザ1の認証の成否をAP3に通知する。   The storage device stores a user authentication procedure 14 and a mutual authentication procedure 15 as programs. The user authentication unit 52 operates the user authentication procedure 14 stored in the storage device on the processing device in response to a request from the terminal side authentication unit 11 to be described later, and uses the user authentication information 16 stored in the terminal side memory 51. Thus, the user 1 is authenticated without communicating with the AP 3. The mutual authentication unit 53 operates the mutual authentication procedure 15 stored in the storage device on the processing device in response to a request from the terminal side authentication unit 11, and uses the terminal side mutual authentication information 17 stored in the terminal side memory 51. By performing predetermined communication with AP3, mutual authentication with AP3 is performed, and the success or failure of authentication of user 1 by user authentication unit 52 is notified to AP3.

端末2には、さらに、端末側認証部11が搭載される。端末側認証部11は、ICチップ13のユーザ認証手順14とデータをやりとりしつつ、表示装置(図示せず)による画面表示や入力装置(図示せず)による入力などのインタラクションをユーザ1と行って、ユーザ1の認証を行う。また、端末側認証部11は、ICチップ13の相互認証手順15とデータをやりとりしつつ、STA12を介してAP3と通信して、ICチップ13とAP3との間の相互認証を行う。   The terminal 2 further includes a terminal-side authentication unit 11. The terminal-side authentication unit 11 exchanges data with the user authentication procedure 14 of the IC chip 13 and performs interactions with the user 1 such as screen display by a display device (not shown) and input by an input device (not shown). Then, the user 1 is authenticated. The terminal-side authentication unit 11 communicates with the AP 3 via the STA 12 while exchanging data with the mutual authentication procedure 15 of the IC chip 13, and performs mutual authentication between the IC chip 13 and AP3.

AP3は、AP側メモリ54(アクセス装置側メモリ)、通信部18、AP側認証部19(アクセス装置側認証部)、ネットワーク接続部20を具備する。また、図示していないが、AP3は、処理装置として、例えばCPUを具備し、記憶装置として、例えばフラッシュメモリやハードディスクを具備する。AP側メモリ54は、記憶装置を兼ねていてもよい。   The AP 3 includes an AP side memory 54 (access device side memory), a communication unit 18, an AP side authentication unit 19 (access device side authentication unit), and a network connection unit 20. Although not shown, the AP 3 includes, for example, a CPU as a processing device, and includes, for example, a flash memory and a hard disk as storage devices. The AP side memory 54 may also serve as a storage device.

AP側メモリ54は、ICチップ13との相互認証をするためのAP側相互認証情報21(アクセス装置側相互認証情報)を記憶する。AP側メモリ54は、AP側相互認証情報21として、複数のデータを記憶していてもよく、この場合、複数のICチップ13、複数の認証方式のそれぞれに異なる情報を用いて対応することができる。   The AP side memory 54 stores AP side mutual authentication information 21 (access device side mutual authentication information) for mutual authentication with the IC chip 13. The AP-side memory 54 may store a plurality of data as the AP-side mutual authentication information 21. In this case, it is possible to correspond to the plurality of IC chips 13 and the plurality of authentication methods using different information. it can.

AP側認証部19は、通信部18を介して端末2と通信する。そして、AP側認証部19は、AP側メモリ54に記憶されたAP側相互認証情報21を用いてICチップ13と所定の通信を行うことにより、ICチップ13との相互認証を処理装置で行う。通信部18は、端末2(STA12)との間で、無線LANによるデータ送受信を行う。そして、通信部18は、ICチップ13のユーザ認証部52によるユーザ1の認証が成功したことがICチップ13から通知され、かつ、ICチップ13の相互認証部53とAP側認証部19との間で相互認証が成功した場合にのみ、端末2がAP3のネットワーク接続部20を経由してネットワーク4へアクセスすることを許可する。通信部18には、非特許文献1に規定されるような、送受信するデータを暗号化する機能と、正しく認証が行われた端末2とのデータ通信のみを許可する機能とが含まれる。また、AP側認証部19は、通信部18がICチップ13のユーザ認証部52によるユーザ1の認証の結果を端末2から受信すると、この結果に基づく動作を行う。ネットワーク接続部20は、ネットワーク4から受信したデータを、通信部18を介して端末2へ送信するとともに、通信部18を介して端末2から受信したデータをネットワーク4へ送信する。   The AP side authentication unit 19 communicates with the terminal 2 via the communication unit 18. Then, the AP-side authentication unit 19 performs mutual authentication with the IC chip 13 by the processing device by performing predetermined communication with the IC chip 13 using the AP-side mutual authentication information 21 stored in the AP-side memory 54. . The communication unit 18 transmits / receives data to / from the terminal 2 (STA 12) by wireless LAN. The communication unit 18 is notified from the IC chip 13 that the user authentication unit 52 of the IC chip 13 has been successfully authenticated, and the mutual authentication unit 53 of the IC chip 13 and the AP side authentication unit 19 The terminal 2 is allowed to access the network 4 via the network connection unit 20 of the AP 3 only when mutual authentication is successful. The communication unit 18 includes a function for encrypting data to be transmitted and received as defined in Non-Patent Document 1, and a function for permitting only data communication with the terminal 2 that has been correctly authenticated. Further, when the communication unit 18 receives from the terminal 2 the authentication result of the user 1 by the user authentication unit 52 of the IC chip 13, the AP-side authentication unit 19 performs an operation based on this result. The network connection unit 20 transmits data received from the network 4 to the terminal 2 via the communication unit 18, and transmits data received from the terminal 2 to the network 4 via the communication unit 18.

実施の形態1.
本実施の形態における端末2の詳細な構成を図3に示す。 Embodiment 1 FIG.
FIG. 3 shows a detailed configuration of terminal 2 in the present embodiment.

端末2として、Microsoft社のWindows XP(登録商標)を搭載したPCを想定する。同OS(オペレーティングシステム)には非特許文献1にしたがって無線LANにおける認証と鍵生成を行うソフトウェアであるサプリカント101が搭載される。ユーザ1とのインタラクションは、サプリカント101が実行する。本実施の形態では、サプリカント101には、EAP−TLS(Extensible・Authentication・Protocol−Transport・Level・Security、文献:RFC(Requests・for・Commments)2716)におけるサプリカント101に相当する動作が実装される。サプリカント101は、典型的には、CryptoAPI関数群102を用いて、EAP−TLSの動作のために必要な情報へのアクセスを行う。CryptoAPI関数群102による処理の実体は、CSP103(Cryptographic・Service・Provider)と呼ばれるモジュールが実行する。本実施の形態では、CSP103は、ICチップ13と通信するためのソフトウェア及びハードウェア(図示していないが、例えば、PC/SC(Personal・Computer/Smart・Card)ソフトウェア、ICチップ用ドライバ、ICカードリーダライタなど)を介してICチップ13と通信することにより、この処理を行う。端末側認証部11は、サプリカント101、CryptoAPI関数群102、CSP103によって構成される。   As the terminal 2, a PC equipped with Microsoft Windows XP (registered trademark) is assumed. The OS (operating system) is equipped with a supplicant 101 that is software for performing authentication and key generation in a wireless LAN according to Non-Patent Document 1. The supplicant 101 executes the interaction with the user 1. In the present embodiment, the supplicant 101 has an operation equivalent to the supplicant 101 in EAP-TLS (Extensible, Authentication, Protocol-Transport, Level, Security, literature: RFC (Requests for Comments) 2716). Is done. The supplicant 101 typically accesses information necessary for the operation of the EAP-TLS using the Crypt API function group 102. The entity of processing by the Crypt API function group 102 is executed by a module called CSP 103 (Cryptographic Service Provider). In the present embodiment, the CSP 103 includes software and hardware (not shown, for example, PC / SC (Personal Computer / Smart Card) software, IC chip driver, IC, and the like) for communicating with the IC chip 13. This processing is performed by communicating with the IC chip 13 via a card reader / writer or the like. The terminal-side authentication unit 11 includes a supplicant 101, a Crypt API function group 102, and a CSP 103.

ICチップ13は、例えば、ICカードリーダライタ(図示せず)に装着されたICカードである。   The IC chip 13 is, for example, an IC card mounted on an IC card reader / writer (not shown).

ICチップ13に搭載される端末側メモリ51に記憶されたユーザ認証情報16は、ユーザ1のユーザID201及びパスワード202である。また、同じくICチップ13に搭載される端末側メモリ51に記憶された端末側相互認証情報17は、公開鍵暗号技術に基づくICチップ13の秘密鍵204、ICチップ13の秘密鍵204と対になる公開鍵を含む、ICチップ13のデジタル証明書205、及び、本実施の形態におけるネットワーク認証システム100全体で共通して使用されるルート証明書206から構成される。ICチップ13のデジタル証明書205は、ルート証明書206に含まれる公開鍵と対になる秘密鍵によって生成されたデジタル署名を含む。当該デジタル署名は、ルート証明書206に含まれる公開鍵によって、その正当性を検証することができる。   The user authentication information 16 stored in the terminal-side memory 51 mounted on the IC chip 13 is the user ID 201 and password 202 of the user 1. Similarly, the terminal-side mutual authentication information 17 stored in the terminal-side memory 51 mounted on the IC chip 13 is paired with the secret key 204 of the IC chip 13 and the secret key 204 of the IC chip 13 based on the public key encryption technology. The digital certificate 205 of the IC chip 13 including the public key and the root certificate 206 commonly used in the entire network authentication system 100 according to the present embodiment. The digital certificate 205 of the IC chip 13 includes a digital signature generated by a private key that is paired with a public key included in the root certificate 206. The validity of the digital signature can be verified by the public key included in the root certificate 206.

STA12は、無線LANクライアントデバイスであり、端末側認証部11は、デバイスドライバ(図示せず)を介して無線LANクライアントデバイスであるSTA12とのデータのやりとりを行う。   The STA 12 is a wireless LAN client device, and the terminal-side authentication unit 11 exchanges data with the STA 12 that is a wireless LAN client device via a device driver (not shown).

本実施の形態におけるAP3の詳細な構成を図4に示す。   FIG. 4 shows a detailed configuration of AP3 in the present embodiment.

AP3には、非特許文献1にしたがって無線LANにおける認証と鍵生成を行うソフトウェアであるオーセンティケータ104が搭載される。オーセンティケータ104は、通信部18を介してサプリカント101との通信を行う。AP3には、さらに、ICチップ認証ソフトウェア105が搭載される。本実施の形態では、ICチップ認証ソフトウェア105には、EAP−TLSにおける認証サーバに相当する動作が実装される。ICチップ認証ソフトウェア105は、AP側相互認証情報21にアクセスできる。AP側認証部19は、オーセンティケータ104及びICチップ認証ソフトウェア105によって構成される。   Authenticator 104, which is software for performing authentication and key generation in a wireless LAN according to Non-Patent Document 1, is installed in AP3. The authenticator 104 communicates with the supplicant 101 via the communication unit 18. Further, IC chip authentication software 105 is installed in AP3. In the present embodiment, the IC chip authentication software 105 is implemented with an operation corresponding to an authentication server in EAP-TLS. The IC chip authentication software 105 can access the AP-side mutual authentication information 21. The AP-side authentication unit 19 includes an authenticator 104 and IC chip authentication software 105.

AP3に搭載されるAP側メモリ54に記憶されたAP側相互認証情報21は、公開鍵暗号技術に基づくAP3の秘密鍵208、AP3の秘密鍵208と対になる公開鍵を含む、AP3のデジタル証明書209、及び、本実施の形態におけるネットワーク認証システム100全体で共通して使用されるルート証明書206から構成される。AP3のデジタル証明書209は、ルート証明書206に含まれる公開鍵と対になる秘密鍵によって生成されたデジタル署名を含む。当該デジタル署名は、ルート証明書206に含まれる公開鍵によって、その正当性を検証することができる。   The AP-side mutual authentication information 21 stored in the AP-side memory 54 mounted on the AP 3 includes the AP 3 private key 208 based on the public key encryption technology, and the AP 3 digital key including the public key paired with the AP 3 private key 208. It consists of a certificate 209 and a root certificate 206 commonly used in the entire network authentication system 100 in the present embodiment. The AP3 digital certificate 209 includes a digital signature generated by a private key paired with a public key included in the root certificate 206. The validity of the digital signature can be verified by the public key included in the root certificate 206.

通信部18は、AP3に搭載される無線LANデバイスである。   The communication unit 18 is a wireless LAN device mounted on the AP 3.

本実施の形態におけるネットワーク認証システム100の動作(ネットワーク認証方法)を図5に示す。   FIG. 5 shows an operation (network authentication method) of the network authentication system 100 in the present embodiment.

STA12と通信部18とが無線LANの物理層及びMAC(Media・Access・Control)層の接続を確立すると、オーセンティケータ104はEAP(Extensible・Authentication・Protocol、文献:RFC3748)の手順にしたがい、EAP−Request/Identity(M1−1)を送信する(S1−1)。   When the STA 12 and the communication unit 18 establish a connection between the physical layer and the MAC (Media Access Control) layer of the wireless LAN, the authenticator 104 follows the procedure of EAP (Extensible Authentication Protocol, document: RFC3748). EAP-Request / Identity (M1-1) is transmitted (S1-1).

端末2ではこれをサプリカント101が受信し、予め設定されている端末IDを含むEAP−Response/Identity(M1−2)を送信する(S1−2)。   In the terminal 2, this is received by the supplicant 101, and EAP-Response / Identity (M1-2) including a preset terminal ID is transmitted (S1-2).

オーセンティケータ104は受信したEAP−Response/IdentityをICチップ認証ソフトウェア105へ渡す。ICチップ認証ソフトウェア105は、端末IDの如何によらず、EAP及びEAP−TLSの手順にしたがい、Startビットを設定し、かつ、EAPメソッドとしてEAP−TLSを指定したEAPメッセージ(M1−3)を送信する(S1−3)。   The authenticator 104 passes the received EAP-Response / Identity to the IC chip authentication software 105. The IC chip authentication software 105 sets an EAP message (M1-3) in which the Start bit is set and EAP-TLS is specified as the EAP method according to the procedures of EAP and EAP-TLS, regardless of the terminal ID. Transmit (S1-3).

サプリカント101は、EAPメッセージ(M1−3)を受信すると、EAP−TLSの手順にしたがい、ClientHello(M1−4)を送信する(S1−4)。   When the supplicant 101 receives the EAP message (M1-3), the supplicant 101 transmits ClientHello (M1-4) according to the EAP-TLS procedure (S1-4).

ICチップ認証ソフトウェア105は、ClientHello(M1−4)を受信すると、AP側相互認証情報21の中からAP3のデジタル証明書209を取り出し、EAP−TLSの手順にしたがって、ServerHello、AP3のデジタル証明書209を含むCertificate、CertificateRequest、ServerHelloDoneを含むEAPメッセージ(M1−5)を送信する(S1−5)。   Upon receiving ClientHello (M1-4), the IC chip authentication software 105 extracts the AP3 digital certificate 209 from the AP-side mutual authentication information 21, and follows the EAP-TLS procedure to obtain the ServerHello and AP3 digital certificates. An EAP message (M1-5) including Certificate 209, Certificate Request including 209, and ServerHelloDone is transmitted (S1-5).

サプリカント101は、EAPメッセージ(M1−5)を受信すると、パスワード入力ダイアログを表示装置により表示し(S1−6)、ユーザ1にユーザID201とパスワード202を入力装置により入力させ(S1−7)、ユーザID201とパスワード202をICチップ13へ渡す(S1−8)。   When the supplicant 101 receives the EAP message (M1-5), the supplicant 101 displays a password input dialog on the display device (S1-6), and causes the user 1 to input the user ID 201 and the password 202 using the input device (S1-7). The user ID 201 and password 202 are transferred to the IC chip 13 (S1-8).

ICチップ13のユーザ認証部52はユーザ認証手順14を処理装置で動作させ、渡されたユーザID201及びパスワード202と、ユーザ認証情報16との整合性を確認し、確認結果をサプリカント101へ返す(S1−9)。このとき整合性が確認されたならば、ICチップ13のユーザ認証部52は、以降、一定時間が経過するか、ICチップ13が端末2から除去されるまで、整合性が確認された事実を記憶装置に記憶する。   The user authentication unit 52 of the IC chip 13 operates the user authentication procedure 14 on the processing device, confirms the consistency between the passed user ID 201 and password 202 and the user authentication information 16, and returns the confirmation result to the supplicant 101. (S1-9). If the consistency is confirmed at this time, the user authentication unit 52 of the IC chip 13 subsequently confirms the fact that the consistency is confirmed until a certain time elapses or the IC chip 13 is removed from the terminal 2. Store in the storage device.

サプリカント101は、整合性が確認されたことを示す確認結果が得られたならば、ICチップ13から、端末側相互認証情報17に含まれるICチップ13のデジタル証明書205を得る。また、CertificateVerifyに搭載すべきデジタル署名(図示せず)の生成を、ICチップ13に依頼して得る。さらに、ICチップ13から、端末側相互認証情報17に含まれるルート証明書206を得て、AP3のデジタル証明書209の正当性を検証する。これら3つの処理のうち、ICチップ13側の処理はいずれも、ICチップ13の相互認証部53が相互認証手順15を処理装置で動作させることで行われる(S1−10、S1−11)。このときICチップ13の相互認証部53は、前述のように整合性が確認された事実が記憶装置に記憶されていなければ、相互認証手順15を動作させず、したがって、上記の各処理も失敗する。   The supplicant 101 obtains the digital certificate 205 of the IC chip 13 included in the terminal-side mutual authentication information 17 from the IC chip 13 when a confirmation result indicating that the consistency is confirmed is obtained. Further, the IC chip 13 is requested to generate a digital signature (not shown) to be mounted on the CertificateVerify. Further, the root certificate 206 included in the terminal-side mutual authentication information 17 is obtained from the IC chip 13, and the validity of the digital certificate 209 of AP3 is verified. Of these three processes, the process on the IC chip 13 side is performed by causing the mutual authentication unit 53 of the IC chip 13 to operate the mutual authentication procedure 15 on the processing device (S1-10, S1-11). At this time, the mutual authentication unit 53 of the IC chip 13 does not operate the mutual authentication procedure 15 if the fact that the consistency has been confirmed as described above is not stored in the storage device. To do.

サプリカント101は、さらに、EAP−TLSの手順にしたがって、ICチップ13のデジタル証明書205を含むCertificate、ClientKeyExchange、上記デジタル署名を含むCertificateVerify、ChangeCipherSpec、Finishedを含むEAPメッセージ(M1−6)を送信する(S1−12)。このときサプリカント101は、オーセンティケータ104とサプリカント101が共有すべき鍵PMK(Pairwise・Master・Key)の基となる鍵MSK(Master・Secret・Key)を生成し、これをAP3のデジタル証明書209に含まれていた公開鍵で暗号化して、ClientKeyExchangeに含める。   The supplicant 101 further sends an EAP message (M1-6) including Certificate, ClientKeyExchange including the digital certificate 205 of the IC chip 13, CertificateVerify including the digital signature, ChangeCipherSpec, Finished according to the EAP-TLS procedure. (S1-12). At this time, the supplicant 101 generates a key MSK (Master, Secret, Key) that is a base of a key PMK (Pairwise, Master, Key) that the authenticator 104 and the supplicant 101 should share, and this is generated as a digital of the AP3. It is encrypted with the public key included in the certificate 209 and included in the Client Key Exchange.

一方、整合性が確認されなかったことを示す確認結果が得られたり、AP3のデジタル証明書209の正当性の検証に失敗したりしたならば、サプリカント101は、EAP−TLSの手順にしたがって、エラー種別(access_deniedもしくはbad_cerfiticate)を含むAlertを送信し、認証手続を中断する。ただし、認証手続を中断する前に、S1−6からS1−11の手続の一部又は全部を、成功するまで所定の回数繰り返してもよい。   On the other hand, if a confirmation result indicating that the integrity has not been confirmed is obtained, or the verification of the validity of the digital certificate 209 of AP3 fails, the supplicant 101 follows the procedure of EAP-TLS. Then, the Alert including the error type (access_denied or bad_certificate) is transmitted, and the authentication procedure is interrupted. However, part or all of the procedures from S1-6 to S1-11 may be repeated a predetermined number of times before the authentication procedure is interrupted.

ICチップ認証ソフトウェア105は、上記Alertでないメッセージを受信した場合、その事実により、ユーザ1の認証が成功したことを知る。ただし、この時点ではまだ、AP3(ICチップ認証ソフトウェア105)は端末2(ICチップ13)を信頼していない。   When the IC chip authentication software 105 receives a message that is not an Alert, the IC chip authentication software 105 knows that the authentication of the user 1 is successful. However, at this point, AP3 (IC chip authentication software 105) still does not trust terminal 2 (IC chip 13).

ICチップ認証ソフトウェア105は、AP側相互認証情報21に含まれるルート証明書206を使ってICチップ13のデジタル証明書205の正当性を検証し、ICチップ13のデジタル証明書205に含まれる公開鍵を使って上記デジタル署名を検証する。いずれの検証にも成功したならば、ICチップ認証ソフトウェア105は、ChangeCipherSpec及びFinishedを含むEAPメッセージ(M1−7)を送信する(S1−13)。この時点で、AP3(ICチップ認証ソフトウェア105)は端末2(ICチップ13)を信頼し、ユーザ1の認証が成功したという事実を受け入れる。また、ICチップ認証ソフトウェア105は、AP側相互認証情報21に含まれるAP3の秘密鍵208を使って、ClientKeyExchangeに含まれるMSKを得て、これをオーセンティケータ104に渡す(S1−14)。いずれかの検証に失敗したならば、ICチップ認証ソフトウェア105は、EAP−TLSの手順にしたがって、エラー種別(bad_cerfiticate)を含むAlertを送信し、認証手続を中断する。   The IC chip authentication software 105 verifies the validity of the digital certificate 205 of the IC chip 13 using the root certificate 206 included in the AP-side mutual authentication information 21, and discloses the information included in the digital certificate 205 of the IC chip 13. The digital signature is verified using a key. If the verification is successful, the IC chip authentication software 105 transmits an EAP message (M1-7) including ChangeCipherSpec and Finished (S1-13). At this point, AP3 (IC chip authentication software 105) trusts terminal 2 (IC chip 13) and accepts the fact that user 1 has been successfully authenticated. Further, the IC chip authentication software 105 obtains the MSK included in the ClientKeyExchange using the AP3 private key 208 included in the AP-side mutual authentication information 21, and passes this to the authenticator 104 (S1-14). If any verification fails, the IC chip authentication software 105 transmits an Alert including an error type (bad_certificate) according to the EAP-TLS procedure, and interrupts the authentication procedure.

サプリカント101は、EAPメッセージ(M1−7)を受信すると、EAP−TLSの手順にしたがって、空のEAPメッセージ(M1−8)を送信する(S1−15)。   Upon receiving the EAP message (M1-7), the supplicant 101 transmits an empty EAP message (M1-8) according to the EAP-TLS procedure (S1-15).

ICチップ認証ソフトウェア105は、EAPメッセージ(M1−8)を受信すると、EAPの手順にしたがって、EAP−Successメッセージ(M1−9)を送信する(S1−16)。この段階に至ると、ICチップ認証ソフトウェア105は、EAP−TLSの手順が適切に完了したことを根拠に、ICチップ13とAP3とが互いに認証され、かつ、ICチップ13がユーザ1を適切に認証できたものと判断する。   When receiving the EAP message (M1-8), the IC chip authentication software 105 transmits an EAP-Success message (M1-9) according to the EAP procedure (S1-16). At this stage, the IC chip authentication software 105 authenticates the IC chip 13 and AP 3 with each other based on the appropriate completion of the EAP-TLS procedure, and the IC chip 13 properly authenticates the user 1. Judge that authentication was successful.

この後、サプリカント101とオーセンティケータ104とは、非特許文献1にしたがって、MSKからPMKを生成し、4−way・handshakeと呼ばれる手続を実施し、STA12及び通信部18が通信データの暗号化に用いる鍵PTK(Pairwise・Transient・Key)を生成して(S1−17)、STA12及びAP3の通信部18に設定し(S1−18)、正常に暗号化通信を開始する。つまり、端末2及びAP3は、ICチップ13の相互認証部53とAP3のAP側認証部19との間で相互認証が成功した場合、共通の暗号鍵であるPTKを生成し、PTKを用いて(PTKから派生した別の共通の暗号鍵を用いてもよい)互いに送受信するデータを暗号化する。   Thereafter, the supplicant 101 and the authenticator 104 generate a PMK from the MSK according to Non-Patent Document 1, and execute a procedure called 4-way handshake. The STA 12 and the communication unit 18 encrypt the communication data. A key PTK (Pairwise / Transient / Key) used for encryption is generated (S1-17), set in the communication unit 18 of the STA 12 and AP3 (S1-18), and normally encrypted communication is started. That is, when the mutual authentication is successful between the mutual authentication unit 53 of the IC chip 13 and the AP side authentication unit 19 of the AP 3, the terminal 2 and the AP 3 generate a common encryption key PTK and use the PTK. (Other common encryption keys derived from PTK may be used.) Data to be transmitted and received is encrypted.

もし端末側相互認証情報17及びAP側相互認証情報21に不整合があり、あるいは、これらの情報を持たない機器が詐称を行おうとした場合、端末2(サプリカント101)もしくはAP3(ICチップ認証ソフトウェア105)は、上述のように、これを検知して、相互認証に失敗したとみなし、手続を中断することができる。   If there is a mismatch between the terminal-side mutual authentication information 17 and the AP-side mutual authentication information 21 or a device that does not have such information tries to misrepresent, the terminal 2 (supplicant 101) or AP3 (IC chip authentication) As described above, the software 105) can detect this and consider that the mutual authentication has failed, and can interrupt the procedure.

また、もしサプリカント101がユーザ1を正しく認証できなければ、上述のように手続が中断されるので、AP3側はこれを知ることができる。つまり、本実施の形態では、ICチップ13の相互認証部53は、ユーザ認証部52によるユーザ1の認証が失敗した場合、AP3との相互認証を中断することにより、ユーザ1の認証が失敗したことをAP3に通知する。   Further, if the supplicant 101 cannot correctly authenticate the user 1, the procedure is interrupted as described above, so that the AP 3 can know this. That is, in the present embodiment, the mutual authentication unit 53 of the IC chip 13 fails to authenticate the user 1 by interrupting the mutual authentication with the AP 3 when the user authentication by the user authentication unit 52 fails. This is notified to AP3.

ここで、AP3(AP側認証部19のICチップ認証ソフトウェア105)は、ユーザ1に関する情報を一切持たず、ユーザ1を識別したり、認証したりしないことに留意されたい。ユーザ認証情報16はICチップ13にのみ存在し、ICチップ13(ユーザ認証手順14)がユーザ1の認証を実行する。このユーザ1の認証が成功した場合のみ、最終的に端末2とAP3との間の手続が完了することで、AP3へユーザ1の認証の成功が安全に伝達され、正常に暗号化通信が開始される。   Here, it should be noted that AP3 (the IC chip authentication software 105 of the AP-side authentication unit 19) has no information about the user 1 and does not identify or authenticate the user 1. The user authentication information 16 exists only in the IC chip 13, and the IC chip 13 (user authentication procedure 14) executes authentication of the user 1. Only when the user 1 authentication is successful, the procedure between the terminal 2 and the AP 3 is finally completed, so that the success of the user 1 authentication is securely transmitted to the AP 3 and the encrypted communication starts normally. Is done.

ICチップ13は耐タンパ性を持つので、ICチップ13に格納されているユーザ認証情報16が漏洩する危険性は非常に低い。また、ICチップ13とAP3との間の信頼関係の構築手続と、ICチップ13からAP3へのユーザ1の認証結果の伝達は、本実施の形態におけるEAP−TLSを利用した例のように、暗号技術を用いて安全に実行することができる。   Since the IC chip 13 has tamper resistance, the risk of leakage of the user authentication information 16 stored in the IC chip 13 is very low. Further, the procedure for establishing the trust relationship between the IC chip 13 and the AP 3 and the transmission of the authentication result of the user 1 from the IC chip 13 to the AP 3 are as in the example using the EAP-TLS in the present embodiment. It can be executed safely using cryptographic techniques.

このように、ユーザ認証情報16及びユーザ認証手順14をICチップ13に搭載して、AP3及びネットワーク4のリアルタイムの支援なしにユーザ1の認証をICチップ13に行わせ、かつ、ICチップ13とAP3とが互いを認証し、さらに、ICチップ13の行ったユーザ1の認証の結果をAP3へ伝達し、伝達されたユーザ1の認証結果に基づいてAP3がアクセスの可否を判定することで、ネットワーク4に接続された認証サーバを用いなくとも、ユーザ認証情報16の管理やユーザ1の認証の実行を端末2側で行えるため、ネットワーク4へのアクセス時のユーザ1の認証を安全に実現することができる。また、同時に、AP3と端末2との通信の暗号化に用いる鍵も安全に生成することができる。   In this way, the user authentication information 16 and the user authentication procedure 14 are mounted on the IC chip 13 to allow the IC chip 13 to authenticate the user 1 without real-time support of the AP 3 and the network 4. AP3 authenticates each other, further transmits the result of authentication of user 1 performed by IC chip 13 to AP3, and AP3 determines whether access is possible based on the transmitted authentication result of user 1, Even if an authentication server connected to the network 4 is not used, the user authentication information 16 can be managed and the authentication of the user 1 can be executed on the terminal 2 side, so that the authentication of the user 1 when accessing the network 4 can be realized safely. be able to. At the same time, a key used for encryption of communication between the AP 3 and the terminal 2 can be safely generated.

本実施の形態では、ユーザ認証情報16としてパスワード202を用いる例を示したが、ICチップ13が端末側認証部11を経由してユーザ1を認証できればよいため、認証方式は上記の例に限定されない。例えば、パスワード202を利用した認証の代わりに、指紋認証や静脈認証を用いることができる。   In the present embodiment, an example in which the password 202 is used as the user authentication information 16 has been described. However, since the IC chip 13 only needs to be able to authenticate the user 1 via the terminal side authentication unit 11, the authentication method is limited to the above example. Not. For example, fingerprint authentication or vein authentication can be used instead of authentication using the password 202.

以上説明したように、本実施の形態に係るネットワーク認証システムは、
ネットワークに接続されたアクセスポイントを経由して、端末がネットワークとの通信を行うネットワーク認証システムであって、
端末にICチップを装着し、
ICチップはユーザを認証し、ICチップはユーザの認証の過程でアクセスポイントとの通信を行わず、
ICチップとアクセスポイントとが通信を行って互いを認証し、
ICチップはユーザの認証が成功したか否かをアクセスポイントへ通知し、
アクセスポイントは、ICチップとの認証が成功し、かつ、ICチップからユーザの認証が成功したことを通知されたときのみ、ネットワークへの端末の接続を許可することを特徴とする。 As described above, the network authentication system according to the present embodiment is
A network authentication system in which a terminal communicates with a network via an access point connected to the network,
Attach an IC chip to the terminal,
The IC chip authenticates the user, the IC chip does not communicate with the access point during the user authentication process,
IC chip and access point communicate to authenticate each other,
The IC chip notifies the access point whether or not the user authentication is successful,
The access point is characterized by permitting the connection of the terminal to the network only when the authentication with the IC chip is successful and the IC chip is notified that the user authentication is successful.

また、ICチップは、ユーザの認証が失敗したときには、ICチップとアクセスポイントとの認証を中断し、これをもってユーザの認証が失敗したことの通知とすることを特徴とする。   Further, the IC chip is characterized in that when the user authentication fails, the authentication between the IC chip and the access point is interrupted, and this is used as a notification that the user authentication has failed.

また、ICチップとアクセスポイントとは、ICチップとアクセスポイントとの認証によって暗号鍵を共有し、端末とアクセスポイントはこの暗号鍵もしくはそこから派生した暗号鍵を用いて通信データを暗号化することを特徴とする。   The IC chip and the access point share an encryption key by authentication between the IC chip and the access point, and the terminal and the access point encrypt communication data using the encryption key or an encryption key derived therefrom. It is characterized by.

実施の形態2.
本実施の形態における端末2の詳細な構成を図6に示す。 Embodiment 2. FIG.
FIG. 6 shows a detailed configuration of terminal 2 in the present embodiment.

実施の形態1と同様に、端末2として、Microsoft社のWindows XP(登録商標)を搭載したPCを想定する。同OSには非特許文献1にしたがって無線LANにおける認証と鍵生成を行うソフトウェアであるサプリカント101が搭載される。ユーザ1とのインタラクションは、サプリカント101が実行する。本実施の形態では、サプリカント101には、本実施の形態特有の動作を行うEAPメソッドが実装される。本実施の形態では、サプリカント101は、ICチップ13と通信するためのソフトウェア及びハードウェア(図示していないが、例えば、PC/SCソフトウェア、ICチップ用ドライバ、ICカードリーダライタなど)を介してICチップ13と通信することにより、EAPメソッドの動作のために必要な処理を行う。端末側認証部11は、サプリカント101によって構成される。   As in the first embodiment, it is assumed that the terminal 2 is a PC equipped with Windows XP (registered trademark) of Microsoft Corporation. The OS is equipped with a supplicant 101 that is software for performing authentication and key generation in a wireless LAN according to Non-Patent Document 1. The supplicant 101 executes the interaction with the user 1. In the present embodiment, the supplicant 101 is mounted with an EAP method that performs an operation specific to the present embodiment. In the present embodiment, the supplicant 101 communicates with software and hardware (not shown, for example, PC / SC software, an IC chip driver, an IC card reader / writer, etc.) for communicating with the IC chip 13. By communicating with the IC chip 13, processing necessary for the operation of the EAP method is performed. The terminal side authentication unit 11 includes a supplicant 101.

ICチップ13は、例えば、ICカードリーダライタ(図示せず)に装着されたICカードである。   The IC chip 13 is, for example, an IC card mounted on an IC card reader / writer (not shown).

ICチップ13に搭載される端末側メモリ51に記憶されたユーザ認証情報16は、ユーザ1のユーザID201及びパスワード202である。ユーザ認証情報16は、さらに、ユーザ設定情報203を含んでもよい。ユーザ設定情報203とは、個々のユーザID201に固有のネットワーク4に対する設定情報、即ちAP3に対する端末2のユーザ1固有の設定情報である。例えば、ユーザ1の認証結果に基づきAP3にてVLAN(仮想ローカルエリアネットワーク)タグの設定を動的に行うような場合、ユーザ1に割り当てられるべきVLAN・IDがこれにあたる。また、同じくICチップ13に搭載される端末側メモリ51に記憶された端末側相互認証情報17は、共通鍵暗号技術に基づく共通鍵207である。   The user authentication information 16 stored in the terminal-side memory 51 mounted on the IC chip 13 is the user ID 201 and password 202 of the user 1. The user authentication information 16 may further include user setting information 203. The user setting information 203 is setting information for the network 4 unique to each user ID 201, that is, setting information unique to the user 1 of the terminal 2 for the AP3. For example, when a VLAN (virtual local area network) tag is dynamically set in the AP 3 based on the authentication result of the user 1, the VLAN ID to be assigned to the user 1 corresponds to this. Similarly, the terminal-side mutual authentication information 17 stored in the terminal-side memory 51 mounted on the IC chip 13 is a common key 207 based on a common key encryption technique.

本実施の形態では、ICチップ13の記憶装置は、プログラムとしてユーザ認証手順14と相互認証手順15とのほか、設定情報送信手順22を記憶する。相互認証部53は、端末側認証部11の要求に応じて、記憶装置に記憶された設定情報送信手順22を処理装置で動作させ、端末側メモリ51に記憶されたユーザ設定情報203をAP3に送信してもよい。   In the present embodiment, the storage device of the IC chip 13 stores the setting information transmission procedure 22 in addition to the user authentication procedure 14 and the mutual authentication procedure 15 as a program. The mutual authentication unit 53 operates the setting information transmission procedure 22 stored in the storage device on the processing device in response to a request from the terminal side authentication unit 11, and sets the user setting information 203 stored in the terminal side memory 51 to the AP 3. You may send it.

STA12は、無線LANクライアントデバイスであり、端末側認証部11は、デバイスドライバ(図示せず)を介して無線LANクライアントデバイスであるSTA12とのデータのやりとりを行う。   The STA 12 is a wireless LAN client device, and the terminal-side authentication unit 11 exchanges data with the STA 12 that is a wireless LAN client device via a device driver (not shown).

本実施の形態におけるAP3の詳細な構成を図7に示す。   FIG. 7 shows a detailed configuration of AP3 in the present embodiment.

実施の形態1と同様に、AP3には、非特許文献1にしたがって無線LANにおける認証と鍵生成を行うソフトウェアであるオーセンティケータ104が搭載される。オーセンティケータ104は、通信部18を介してサプリカント101との通信を行う。AP3には、さらに、ICチップ認証ソフトウェア105が搭載される。本実施の形態では、ICチップ認証ソフトウェア105には、本実施の形態特有の動作を行うEAPメソッドが実装される。ICチップ認証ソフトウェア105は、AP側相互認証情報21にアクセスできる。AP側認証部19は、オーセンティケータ104及びICチップ認証ソフトウェア105によって構成される。   As in the first embodiment, the authenticator 104, which is software for performing authentication and key generation in a wireless LAN according to Non-Patent Document 1, is mounted on the AP3. The authenticator 104 communicates with the supplicant 101 via the communication unit 18. Further, IC chip authentication software 105 is installed in AP3. In the present embodiment, the IC chip authentication software 105 is implemented with an EAP method that performs an operation specific to the present embodiment. The IC chip authentication software 105 can access the AP-side mutual authentication information 21. The AP-side authentication unit 19 includes an authenticator 104 and IC chip authentication software 105.

本実施の形態では、AP側認証部19は、さらに、ユーザ設定情報203をICチップ13から受信してもよい。この場合、AP3は、ユーザ設定情報203に基づいて所定の設定を行う。   In the present embodiment, the AP-side authentication unit 19 may further receive the user setting information 203 from the IC chip 13. In this case, the AP 3 performs a predetermined setting based on the user setting information 203.

AP3に搭載されるAP側メモリ54に記憶されたAP側相互認証情報21は、共通鍵暗号技術に基づく共通鍵207である。   The AP-side mutual authentication information 21 stored in the AP-side memory 54 mounted on the AP 3 is a common key 207 based on a common key encryption technique.

通信部18は、AP3に搭載される無線LANデバイスである。   The communication unit 18 is a wireless LAN device mounted on the AP 3.

本実施の形態におけるネットワーク認証システム100の動作(ネットワーク認証方法)を図8に示す。   The operation (network authentication method) of the network authentication system 100 in the present embodiment is shown in FIG.

STA12と通信部18とが無線LANの物理層及びMAC層の接続を確立すると、オーセンティケータ104はEAP(文献:RFC3748)の手順にしたがい、EAP−Request/Identity(M2−1)を送信する(S2−1)。   When the STA 12 and the communication unit 18 establish a connection between the physical layer and the MAC layer of the wireless LAN, the authenticator 104 transmits EAP-Request / Identity (M2-1) according to the procedure of EAP (Document: RFC3748). (S2-1).

端末2ではこれをサプリカント101が受信し、予め設定されている端末IDを含むEAP−Response/Identity(M2−2)を送信する(S2−2)。   In the terminal 2, the supplicant 101 receives this, and transmits EAP-Response / Identity (M2-2) including a preset terminal ID (S2-2).

オーセンティケータ104は受信したEAP−Response/IdentityをICチップ認証ソフトウェア105へ渡す。ICチップ認証ソフトウェア105は、端末IDの如何によらず、Startビットを設定し、かつ、EAPメソッドとして本実施の形態特有のEAPメソッドを指定したEAPメッセージ(M2−3)を送信する(S2−3)。   The authenticator 104 passes the received EAP-Response / Identity to the IC chip authentication software 105. The IC chip authentication software 105 transmits the EAP message (M2-3) in which the Start bit is set and the EAP method unique to the present embodiment is specified as the EAP method regardless of the terminal ID (S2- 3).

サプリカント101は、EAPメッセージ(M2−3)を受信すると、ICチップ13に乱数R1の生成を指示する(S2−4)。ICチップ13の相互認証部53は相互認証手順15を処理装置で動作させて乱数R1を生成し、一定時間が経過するか、ICチップ13が端末2から除去されるか、次に乱数の生成を指示されるまで、乱数R1を保持する(S2−5)。サプリカント101は、ICチップ13から乱数R1を取得し、乱数R1を含むEAPメッセージ(M2−4)を送信する(S2−6)。EAPメッセージ(M2−4)のフォーマット(データ部のみ)を図9に示す。   Upon receiving the EAP message (M2-3), the supplicant 101 instructs the IC chip 13 to generate a random number R1 (S2-4). The mutual authentication unit 53 of the IC chip 13 operates the mutual authentication procedure 15 on the processing device to generate a random number R1, and whether a certain period of time has elapsed, the IC chip 13 is removed from the terminal 2, or a random number is then generated. Is held until it is instructed (S2-5). The supplicant 101 acquires the random number R1 from the IC chip 13 and transmits an EAP message (M2-4) including the random number R1 (S2-6). The format of the EAP message (M2-4) (only the data part) is shown in FIG.

ICチップ認証ソフトウェア105は、EAPメッセージ(M2−4)を受信すると、乱数R2を生成し、AP側相互認証情報21から共通鍵207を取り出し、共通鍵207を用いて、乱数R2、乱数R1、端末IDの3つをこの順に結合したビット列の鍵付きハッシュ値H1aを生成する。鍵付きハッシュ値H1aの生成には、例えば、HMAC(Keyed−Hashing・for・Message・Authentication・Code、文献:RFC2104)やCMAC(Cipher−based・Message・Authentication・Code、文献:NIST(National・Institute・of・Standards・and・Technology)・SP(Special・Publication)800−38B)などが使用できる。ICチップ認証ソフトウェア105は、乱数R2と鍵付きハッシュ値H1aを含むEAPメッセージ(M2−5)を送信する(S2−7)。鍵付きハッシュ値H1aの生成の様子と、EAPメッセージ(M2−5)のフォーマット(データ部のみ)を図10に示す。   When receiving the EAP message (M2-4), the IC chip authentication software 105 generates a random number R2, extracts the common key 207 from the AP-side mutual authentication information 21, and uses the common key 207 to generate a random number R2, a random number R1, A keyed hash value H1a of a bit string obtained by combining the three terminal IDs in this order is generated. For generating the keyed hash value H1a, for example, HMAC (Keyed-Hashing for Message, Authentication Code, literature: RFC2104), CMAC (Cipher-based Message, Authentication Code, literature: NIST (National Institute) Of Standards and Technology) SP (Special Publication) 800-38B) can be used. The IC chip authentication software 105 transmits an EAP message (M2-5) including the random number R2 and the keyed hash value H1a (S2-7). FIG. 10 shows how the keyed hash value H1a is generated and the format of the EAP message (M2-5) (only the data portion).

サプリカント101は、EAPメッセージ(M2−5)を受信すると、乱数R2、端末ID、鍵付きハッシュ値H1aの3つをICチップ13に渡す(S2−8)。   When the supplicant 101 receives the EAP message (M2-5), it passes the random number R2, the terminal ID, and the keyed hash value H1a to the IC chip 13 (S2-8).

ICチップ13の相互認証部53は相互認証手順15を処理装置で動作させ、端末側相互認証情報17から共通鍵207を取り出し、S2−7と同じ方法で、共通鍵207を用いて、乱数R2、乱数R1、端末IDの3つをこの順に結合したビット列の鍵付きハッシュ値H1bを生成する。そして、鍵付きハッシュ値H1aとH1bとを比較する。このとき両者が一致したならば、ICチップ13の相互認証部53は、AP3との相互認証に成功したと判断し、以降、一定時間が経過するか、ICチップ13が端末2から除去されるまで、その事実(信頼関係が構築された事実)を記憶装置に記憶する。また、ICチップ13の相互認証部53は、共通鍵207を用いて、乱数R1、乱数R2、予め定められた文字列Sの3つをこの順に結合したビット列の鍵付きハッシュ値H3aを計算し、これを相互認証鍵Kとする。ICチップ13の相互認証部53は、さらに、共通鍵207を用いて、乱数R1、乱数R2の2つをこの順に結合したビット列の鍵付きハッシュ値H2aを生成する。ICチップ13の相互認証部53は、鍵付きハッシュ値H1aとH1bとの比較結果と、両者が一致したならば、鍵付きハッシュ値H2aを、サプリカント101へ返す(S2−9)。   The mutual authentication unit 53 of the IC chip 13 operates the mutual authentication procedure 15 on the processing device, extracts the common key 207 from the terminal-side mutual authentication information 17, and uses the common key 207 in the same manner as in S2-7 to use the random number R2 , A random number R1, and a terminal ID are combined to generate a keyed hash value H1b of a bit string. Then, the keyed hash values H1a and H1b are compared. If the two match at this time, the mutual authentication unit 53 of the IC chip 13 determines that the mutual authentication with the AP 3 is successful, and thereafter, the fixed time elapses or the IC chip 13 is removed from the terminal 2. Until the fact (the fact that the trust relationship has been established) is stored in the storage device. Further, the mutual authentication unit 53 of the IC chip 13 uses the common key 207 to calculate a keyed hash value H3a of a bit string obtained by combining the random number R1, the random number R2, and the predetermined character string S in this order. This is the mutual authentication key K. The mutual authentication unit 53 of the IC chip 13 further uses the common key 207 to generate a keyed hash value H2a of a bit string obtained by combining the random number R1 and the random number R2 in this order. If the comparison result between the keyed hash values H1a and H1b matches the comparison result, the mutual authentication unit 53 of the IC chip 13 returns the keyed hash value H2a to the supplicant 101 (S2-9).

サプリカント101は、鍵付きハッシュ値H1aとH1bとの一致を示す比較結果と鍵付きハッシュ値H2aをICチップ13から受け取ったならば、鍵付きハッシュ値H2aを含むEAPメッセージ(M2−6)を送信する(S2−10)。鍵付きハッシュ値H2aの生成の様子と、EAPメッセージ(M2−6)のフォーマット(データ部のみ)を図11に示す。サプリカント101は、鍵付きハッシュ値H1aとH1bとの一致を示す比較結果と鍵付きハッシュ値H2aをICチップ13から受け取らなかったならば、エラー発生を示すEAPメッセージを送信し、認証手続を中断する。   When the supplicant 101 receives the comparison result indicating the match between the keyed hash values H1a and H1b and the keyed hash value H2a from the IC chip 13, the supplicant 101 sends an EAP message (M2-6) including the keyed hash value H2a. Transmit (S2-10). FIG. 11 shows how the keyed hash value H2a is generated and the format of the EAP message (M2-6) (only the data portion). If the supplicant 101 does not receive the comparison result indicating the match between the keyed hash values H1a and H1b and the keyed hash value H2a from the IC chip 13, the supplicant 101 transmits an EAP message indicating the occurrence of an error and interrupts the authentication procedure. To do.

ICチップ認証ソフトウェア105は、EAPメッセージ(M2−6)を受信すると、AP側相互認証情報21から共通鍵207を取り出し、S2−9と同じ方法で、共通鍵207を用いて、乱数R1、乱数R2の2つをこの順に結合したビット列の鍵付きハッシュ値H2bを生成する。そして、鍵付きハッシュ値H2aとH2bとを比較する。このとき両者が一致したならば、ICチップ認証ソフトウェア105は、ICチップ13との相互認証に成功したと判断し、共通鍵207を用いて、乱数R1、乱数R2、予め定められた文字列Sの3つをこの順に結合したビット列の鍵付きハッシュ値H3bを計算し、これを相互認証鍵Kとする。また、相互認証に成功したことを示すEAPメッセージ(M2−7)を送信する(S2−11)。鍵付きハッシュ値H2aとH2bとが一致しなければ、エラー発生を示すEAPメッセージを送信し、認証手続を中断する。   Upon receiving the EAP message (M2-6), the IC chip authentication software 105 extracts the common key 207 from the AP-side mutual authentication information 21, and uses the common key 207 in the same manner as in S2-9 to use the random number R1, the random number. A keyed hash value H2b of a bit string obtained by combining the two R2s in this order is generated. Then, the keyed hash values H2a and H2b are compared. If the two match at this time, the IC chip authentication software 105 determines that mutual authentication with the IC chip 13 has succeeded, and uses the common key 207 to generate a random number R1, a random number R2, and a predetermined character string S. The keyed hash value H3b of the bit string obtained by combining the above three in this order is calculated and used as the mutual authentication key K. Also, an EAP message (M2-7) indicating that the mutual authentication is successful is transmitted (S2-11). If the keyed hash values H2a and H2b do not match, an EAP message indicating the occurrence of an error is transmitted, and the authentication procedure is interrupted.

サプリカント101は、EAPメッセージ(M2−7)を受信すると、パスワード入力ダイアログを表示装置により表示し(S2−12)、ユーザ1にユーザID201とパスワード202を入力装置により入力させ(S2−13)、ユーザID201とパスワード202をICチップ13へ渡す(S2−14)。   When the supplicant 101 receives the EAP message (M2-7), the supplicant 101 displays a password input dialog on the display device (S2-12), and causes the user 1 to input the user ID 201 and the password 202 using the input device (S2-13). The user ID 201 and password 202 are transferred to the IC chip 13 (S2-14).

ICチップ13のユーザ認証部52はユーザ認証手順14を処理装置で動作させ、渡されたユーザID201及びパスワード202と、ユーザ認証情報16との整合性を確認し、確認結果を表すユーザ認証結果Vと、乱数R1、乱数R2、ユーザ認証結果V、予め定められた文字列S(例えば「Authentication・Key」という文字列)の4つをこの順に結合したビット列の、相互認証鍵Kによる鍵付きハッシュ値H4aを計算し、サプリカント101へ返す(S2−15)。鍵付きハッシュ値H4aの生成の様子を図12に示す。ユーザ認証結果Vは、値として例えば「0」又は「1」をとり、「1」が整合、即ちユーザ1の認証の成功を、「0」が不整合、即ちユーザ1の認証の失敗を表す。このとき整合性が確認されたならば、ICチップ13のユーザ認証部52は、以降、一定時間が経過するか、ICチップ13が端末2から除去されるまで、整合性が確認された事実を記憶装置に記憶する。ただし、このときICチップ13のユーザ認証部52は、前述のように信頼関係が構築された事実が記憶装置に記憶されていなければ、ユーザ認証手順14を動作させず、したがって、上記の各処理も失敗する。   The user authentication unit 52 of the IC chip 13 operates the user authentication procedure 14 on the processing device, confirms the consistency between the passed user ID 201 and password 202, and the user authentication information 16, and the user authentication result V representing the confirmation result. And a random number R1, a random number R2, a user authentication result V, and a predetermined hashed character string S (for example, a character string “Authentication Key”) in this order, a keyed hash of a bit string using a mutual authentication key K The value H4a is calculated and returned to the supplicant 101 (S2-15). FIG. 12 shows how the keyed hash value H4a is generated. The user authentication result V takes, for example, “0” or “1” as a value. “1” indicates a match, that is, success of user 1 authentication, and “0” indicates a mismatch, that is, failure of user 1 authentication. . If the consistency is confirmed at this time, the user authentication unit 52 of the IC chip 13 subsequently confirms the fact that the consistency is confirmed until a certain time elapses or the IC chip 13 is removed from the terminal 2. Store in the storage device. However, at this time, the user authentication unit 52 of the IC chip 13 does not operate the user authentication procedure 14 unless the fact that the trust relationship has been established as described above is stored in the storage device. Also fails.

サプリカント101は、整合性が確認されたことを示す確認結果が得られたならば、ICチップ13の相互認証部53から、相互認証鍵Kを使って暗号化したMSKを得る(S2−16、S2−17)。このときICチップ13側の処理は、ICチップ13の相互認証部53が相互認証手順15を処理装置で動作させることで行われる。ICチップ13の相互認証部53はMSKを乱数に基づいて生成し、これを暗号化して返す。このときICチップ13の相互認証部53は、前述のように整合性が確認された事実が記憶装置に記憶されていなければ、相互認証手順15を動作させず、したがって、上記の各処理も失敗する。   When the confirmation result indicating that the consistency is confirmed is obtained, the supplicant 101 obtains the MSK encrypted using the mutual authentication key K from the mutual authentication unit 53 of the IC chip 13 (S2-16). , S2-17). At this time, the processing on the IC chip 13 side is performed by causing the mutual authentication unit 53 of the IC chip 13 to operate the mutual authentication procedure 15 on the processing device. The mutual authentication unit 53 of the IC chip 13 generates the MSK based on the random number, and encrypts it and returns it. At this time, the mutual authentication unit 53 of the IC chip 13 does not operate the mutual authentication procedure 15 if the fact that the consistency has been confirmed as described above is not stored in the storage device. To do.

また、サプリカント101はICチップ13から、相互認証鍵Kを使って暗号化したユーザ設定情報203´を得てもよい(S2−18、S2−19)。このときICチップ13側の処理は、ICチップ13の相互認証部53が設定情報送信手順22を処理装置で動作させることで行われる。ICチップ13の相互認証部53はユーザ認証情報16からユーザ設定情報203を得て、これを暗号化して返す。   Further, the supplicant 101 may obtain the user setting information 203 ′ encrypted using the mutual authentication key K from the IC chip 13 (S2-18, S2-19). At this time, the processing on the IC chip 13 side is performed by causing the mutual authentication unit 53 of the IC chip 13 to operate the setting information transmission procedure 22 on the processing device. The mutual authentication unit 53 of the IC chip 13 obtains the user setting information 203 from the user authentication information 16 and returns it after encrypting it.

サプリカント101は、ユーザ認証結果V、鍵付きハッシュ値H4a、暗号化したMSK、及び、(もしあれば)暗号化されたユーザ設定情報203´を含むEAPメッセージ(M2−8)を送信する(S2−20)。前述した鍵付きハッシュ値H4aの生成の様子のほか、EAPメッセージ(M2−8)のフォーマット(データ部のみ)を図12に示す。   The supplicant 101 transmits an EAP message (M2-8) including the user authentication result V, the keyed hash value H4a, the encrypted MSK, and the encrypted user setting information 203 '(if any) ( S2-20). FIG. 12 shows the format of the EAP message (M2-8) (only the data portion) in addition to the generation of the keyed hash value H4a described above.

ICチップ認証ソフトウェア105は、EAPメッセージ(M2−8)を受信すると、S2−15と同じ方法で、相互認証鍵Kを用いて、鍵付きハッシュ値H4bを生成する。そして、鍵付きハッシュ値H4aとH4bとを比較する。このとき両者が一致したならば、ICチップ認証ソフトウェア105は、受信したユーザ認証結果Vが正当であると判断する。ユーザ認証結果Vがユーザ1の認証の成功を示すならば、暗号化されたMSKと(もしあれば)暗号化されたユーザ設定情報203´を相互認証鍵Kで復号し、MSKと(もしあれば)ユーザ設定情報203を得る。ICチップ認証ソフトウェア105は、EAP−Successメッセージ(M2−9)を送信する(S2−21)。また、MSKをオーセンティケータ104に渡す(S2−22)。また、もしあれば、ユーザ設定情報203に基づき、通信部18やネットワーク接続部20などに対して適宜設定を行う(S2−23)。   When receiving the EAP message (M2-8), the IC chip authentication software 105 generates a keyed hash value H4b using the mutual authentication key K in the same manner as in S2-15. The keyed hash values H4a and H4b are then compared. If the two match at this time, the IC chip authentication software 105 determines that the received user authentication result V is valid. If the user authentication result V indicates that the user 1 has been successfully authenticated, the encrypted MSK and the encrypted user setting information 203 '(if any) are decrypted with the mutual authentication key K, and the MSK (if any) For example, user setting information 203 is obtained. The IC chip authentication software 105 transmits an EAP-Success message (M2-9) (S2-21). Also, the MSK is passed to the authenticator 104 (S2-22). In addition, if there is, settings are appropriately made for the communication unit 18 and the network connection unit 20 based on the user setting information 203 (S2-23).

この後、サプリカント101とオーセンティケータ104とは、非特許文献1にしたがって、MSKからPMKを生成し、4−way・handshakeと呼ばれる手続を実施し、STA12及び通信部18が通信データの暗号化に用いる鍵PTKを生成して(S2−24)、STA12及びAP3の通信部18に設定し(S2−25)、正常に暗号化通信を開始する。つまり、端末2及びAP3は、ICチップ13の相互認証部53とAP3のAP側認証部19との間で相互認証が成功した場合、共通の暗号鍵であるPTKを生成し、PTKを用いて(PTKから派生した別の共通の暗号鍵を用いてもよいし、MSKなどを用いてもよい)互いに送受信するデータを暗号化する。   Thereafter, the supplicant 101 and the authenticator 104 generate a PMK from the MSK according to Non-Patent Document 1, and execute a procedure called 4-way handshake. The STA 12 and the communication unit 18 encrypt the communication data. A key PTK used for conversion is generated (S2-24), set in the communication unit 18 of the STA 12 and AP3 (S2-25), and encrypted communication is normally started. That is, when the mutual authentication is successful between the mutual authentication unit 53 of the IC chip 13 and the AP side authentication unit 19 of the AP 3, the terminal 2 and the AP 3 generate a common encryption key PTK and use the PTK. (You may use another common encryption key derived from PTK, or you may use MSK etc.) The data transmitted / received mutually are encrypted.

もし端末側相互認証情報17及びAP側相互認証情報21に不整合があり、あるいは、これらの情報を持たない機器が詐称を行おうとした場合、端末2(サプリカント101)もしくはAP3(ICチップ認証ソフトウェア105)は、上述のように、これを検知して、相互認証に失敗したとみなし、手続を中断することができる。   If there is a mismatch between the terminal-side mutual authentication information 17 and the AP-side mutual authentication information 21 or a device that does not have such information tries to misrepresent, the terminal 2 (supplicant 101) or AP3 (IC chip authentication) As described above, the software 105) can detect this and consider that the mutual authentication has failed, and can interrupt the procedure.

また、もしサプリカント101がユーザ1を正しく認証できなければ、その結果は相互認証の結果生成される相互認証鍵Kに基づいて安全にAP3へ送信されるので、AP3もこれを知ることができる。   Further, if the supplicant 101 cannot correctly authenticate the user 1, the result is securely transmitted to the AP 3 based on the mutual authentication key K generated as a result of the mutual authentication, so that the AP 3 can also know this. .

ここで、AP3(AP側認証部19のICチップ認証ソフトウェア105)は、ユーザ1に関する情報を一切持たず、ユーザ1を識別したり、認証したりしないことに留意されたい。ユーザ認証情報16はICチップ13にのみ存在し、ICチップ13(ユーザ認証手順14)がユーザ1の認証を実行する。このユーザ1の認証が成功した場合のみ、最終的に端末2とAP3との間の手続が完了することで、AP3へユーザ1の認証の成功が安全に伝達され、正常に暗号化通信が開始される。   Here, it should be noted that AP3 (the IC chip authentication software 105 of the AP-side authentication unit 19) has no information about the user 1 and does not identify or authenticate the user 1. The user authentication information 16 exists only in the IC chip 13, and the IC chip 13 (user authentication procedure 14) executes authentication of the user 1. Only when the user 1 authentication is successful, the procedure between the terminal 2 and the AP 3 is finally completed, so that the success of the user 1 authentication is securely transmitted to the AP 3 and the encrypted communication starts normally. Is done.

上記のように、本実施の形態において、ICチップ13の相互認証部53及びAP3のAP側認証部19は、相互認証が成功した場合、共通の暗号鍵である相互認証鍵Kを生成する。ICチップ13の相互認証部53は、ユーザ認証部52によるユーザ1の認証の成否を通知するためのデータとしてユーザ認証結果Vを生成し、相互認証鍵Kを用いてユーザ認証結果Vをハッシュ化して鍵付きハッシュ値H4aを求めた上で、鍵付きハッシュ値H4aを付加したユーザ認証結果Vを、サプリカント101を介してEAPメッセージ(M2−8)の一部としてAP3に送信する。AP3のAP側認証部19は、EAPメッセージ(M2−8)の一部として鍵付きハッシュ値H4aが付加されたユーザ認証結果VをICチップ13から受信し、相互認証鍵Kを用いてユーザ認証結果Vをハッシュ化して鍵付きハッシュ値H4bを求めることにより、鍵付きハッシュ値H4aとH4bとを比較してユーザ認証結果Vの正当性を確認する。AP3の通信部18は、AP側認証部19によりユーザ認証結果Vが正当であることが確認された場合にのみ、端末2がAP3を経由してネットワーク4へアクセスすることを許可する。   As described above, in the present embodiment, the mutual authentication unit 53 of the IC chip 13 and the AP side authentication unit 19 of the AP 3 generate a mutual authentication key K that is a common encryption key when the mutual authentication is successful. The mutual authentication unit 53 of the IC chip 13 generates a user authentication result V as data for notifying success / failure of the user 1 authentication by the user authentication unit 52, and hashes the user authentication result V using the mutual authentication key K. After obtaining the keyed hash value H4a, the user authentication result V to which the keyed hash value H4a is added is transmitted to the AP3 as a part of the EAP message (M2-8) via the supplicant 101. The AP-side authentication unit 19 of AP3 receives the user authentication result V to which the keyed hash value H4a is added as a part of the EAP message (M2-8) from the IC chip 13, and uses the mutual authentication key K to perform user authentication. By hashing the result V to obtain the keyed hash value H4b, the keyed hash values H4a and H4b are compared to confirm the validity of the user authentication result V. The communication unit 18 of the AP 3 permits the terminal 2 to access the network 4 via the AP 3 only when the AP authentication unit 19 confirms that the user authentication result V is valid.

ICチップ13は耐タンパ性を持つので、ICチップ13に格納されているユーザ認証情報16が漏洩する危険性は非常に低い。また、ICチップ13とAP3との間の信頼関係の構築手続と、ICチップ13からAP3へのユーザ1の認証結果の伝達は、本実施の形態におけるEAPメソッドを利用した例のように、暗号技術を用いて安全に実行することができる。   Since the IC chip 13 has tamper resistance, the risk of leakage of the user authentication information 16 stored in the IC chip 13 is very low. Further, the procedure for establishing the trust relationship between the IC chip 13 and the AP 3 and the transmission of the authentication result of the user 1 from the IC chip 13 to the AP 3 are encrypted as in the example using the EAP method in the present embodiment. It can be performed safely using technology.

このように、ユーザ認証情報16及びユーザ認証手順14をICチップ13に搭載してユーザ1の認証をICチップ13に行わせ、かつ、ICチップ13とAP3とが互いを認証し、さらに、ICチップ13の行ったユーザ1の認証の結果をAP3へ伝達し、伝達されたユーザ1の認証結果に基づいてAP3がアクセスの可否を判定することで、ネットワーク4に接続された認証サーバを用いなくとも、ユーザ認証情報16の管理やユーザ1の認証の実行を端末2側で行えるため、ネットワーク4へのアクセス時のユーザ1の認証を安全に実現することができる。また、同時に、AP3と端末2との通信の暗号化に用いる鍵や、認証に付随してAP3で行われるVLANなどの設定に関する情報も、安全に共有することができる。   In this way, the user authentication information 16 and the user authentication procedure 14 are mounted on the IC chip 13 to cause the IC chip 13 to authenticate the user 1, and the IC chip 13 and the AP 3 authenticate each other. The authentication result of the user 1 performed by the chip 13 is transmitted to the AP 3, and the AP 3 determines whether or not access is possible based on the transmitted authentication result of the user 1, so that the authentication server connected to the network 4 is not used. In both cases, the management of the user authentication information 16 and the execution of the authentication of the user 1 can be performed on the terminal 2 side, so that the authentication of the user 1 when accessing the network 4 can be realized safely. At the same time, a key used for encryption of communication between the AP 3 and the terminal 2 and information related to settings such as a VLAN performed in the AP 3 accompanying authentication can be safely shared.

本実施の形態では、ユーザ認証情報16としてパスワード202を用いる例を示したが、ICチップ13が端末側認証部11を経由してユーザ1を認証できればよいため、認証方式は上記の例に限定されない。例えば、パスワード202を利用した認証の代わりに、指紋認証や静脈認証を用いることができる。   In the present embodiment, an example in which the password 202 is used as the user authentication information 16 has been described. However, since the IC chip 13 only needs to be able to authenticate the user 1 via the terminal side authentication unit 11, the authentication method is limited to the above example. Not. For example, fingerprint authentication or vein authentication can be used instead of authentication using the password 202.

以上説明したように、本実施の形態に係るネットワーク認証システムは、実施の形態1と同様に、
ネットワークに接続されたアクセスポイントを経由して、端末がネットワークとの通信を行うネットワーク認証システムであって、
端末にICチップを装着し、
ICチップはユーザを認証し、ICチップはユーザの認証の過程でアクセスポイントとの通信を行わず、
ICチップとアクセスポイントとが通信を行って互いを認証し、
ICチップはユーザの認証が成功したか否かをアクセスポイントへ通知し、
アクセスポイントは、ICチップとの認証が成功し、かつ、ICチップからユーザの認証が成功したことを通知されたときのみ、ネットワークへの端末の接続を許可することを特徴とする。 As described above, the network authentication system according to the present embodiment is similar to that of the first embodiment.
A network authentication system in which a terminal communicates with a network via an access point connected to the network,
Attach an IC chip to the terminal,
The IC chip authenticates the user, the IC chip does not communicate with the access point during the user authentication process,
IC chip and access point communicate to authenticate each other,
The IC chip notifies the access point whether or not the user authentication is successful,
The access point is characterized by permitting the connection of the terminal to the network only when the authentication with the IC chip is successful and the IC chip is notified that the user authentication is successful.

また、ICチップとアクセスポイントとは、ICチップとアクセスポイントとの認証によって暗号鍵を共有し、端末とアクセスポイントはこの暗号鍵もしくはそこから派生した暗号鍵を用いて通信データを暗号化することを特徴とする。   The IC chip and the access point share an encryption key by authentication between the IC chip and the access point, and the terminal and the access point encrypt communication data using the encryption key or an encryption key derived therefrom. It is characterized by.

また、ICチップとアクセスポイントとは、ICチップとアクセスポイントとの認証によって暗号鍵を共有し、
ICチップは、ユーザ認証の結果を示す通知をメッセージとして生成し、メッセージにこの暗号鍵を用いた処理を行ってアクセスポイントに送信し、
アクセスポイントは、メッセージの正当性をこの暗号鍵を用いた処理を行って確認することを特徴とする。 Further, the IC chip and the access point share an encryption key by authentication between the IC chip and the access point,
The IC chip generates a notification indicating the result of user authentication as a message, performs processing using this encryption key on the message, and transmits the message to the access point.
The access point is characterized in that the validity of the message is confirmed by performing processing using this encryption key.

また、ICチップとアクセスポイントとは、ICチップとアクセスポイントとの認証によって暗号鍵を共有し、ICチップはこの暗号鍵で別の暗号鍵を暗号化し、
端末は、暗号化された別の暗号鍵をアクセスポイントに送信し、
アクセスポイントは、共有する暗号鍵を用いて上記別の暗号鍵を復号し、
端末とアクセスポイントは、上記別の暗号鍵もしくはそこから派生した暗号鍵を用いて通信データを暗号化することを特徴とする。 Also, the IC chip and the access point share an encryption key by authentication between the IC chip and the access point, and the IC chip encrypts another encryption key with this encryption key,
The terminal sends another encrypted encryption key to the access point,
The access point decrypts the other encryption key using the shared encryption key,
The terminal and the access point encrypt communication data by using the above-described another encryption key or an encryption key derived therefrom.

また、ICチップとアクセスポイントとは、ICチップとアクセスポイントとの認証によって暗号鍵を共有し、
ICチップは、この暗号鍵で、アクセスポイントに設定すべきユーザ固有の設定情報を暗号化し、
端末は、暗号化された設定情報をアクセスポイントに送信し、
アクセスポイントは、共有する暗号鍵を用いて設定情報を復号して設定を行うことを特徴とする。 Further, the IC chip and the access point share an encryption key by authentication between the IC chip and the access point,
The IC chip encrypts user-specific setting information to be set in the access point with this encryption key,
The terminal sends the encrypted setting information to the access point,
The access point is characterized in that setting is performed by decrypting setting information using a shared encryption key.

以上、本発明の実施の形態について説明したが、これらのうち、2つ以上の実施の形態を組み合わせて実施しても構わない。あるいは、これらのうち、1つの実施の形態を部分的に実施しても構わない。あるいは、これらのうち、2つ以上の実施の形態を部分的に組み合わせて実施しても構わない。   As mentioned above, although embodiment of this invention was described, you may implement combining 2 or more embodiment among these. Alternatively, one of these embodiments may be partially implemented. Or you may implement combining two or more embodiment among these partially.

本発明の実施の形態におけるネットワーク認証システムの機器構成を示す概念図である。It is a conceptual diagram which shows the apparatus structure of the network authentication system in embodiment of this invention. 本発明の実施の形態における端末及びアクセス装置の構成を示すブロック図である。It is a block diagram which shows the structure of the terminal and access device in embodiment of this invention. 実施の形態1における端末の詳細な構成を示すブロック図である。FIG. 3 is a block diagram showing a detailed configuration of a terminal in the first embodiment. 実施の形態1におけるアクセス装置の詳細な構成を示すブロック図である。2 is a block diagram illustrating a detailed configuration of an access device according to Embodiment 1. FIG. 実施の形態1におけるネットワーク認証システムの動作(ネットワーク認証方法)を示すフローチャートである。4 is a flowchart showing an operation (network authentication method) of the network authentication system in the first embodiment. 実施の形態2における端末の詳細な構成を示すブロック図である。6 is a block diagram showing a detailed configuration of a terminal in Embodiment 2. FIG. 実施の形態2におけるアクセス装置の詳細な構成を示すブロック図である。6 is a block diagram showing a detailed configuration of an access device according to Embodiment 2. FIG. 実施の形態2におけるネットワーク認証システムの動作(ネットワーク認証方法)を示すフローチャートである。10 is a flowchart showing an operation (network authentication method) of the network authentication system in the second embodiment. 実施の形態2における通信メッセージのフォーマットの一例を示す図である。10 is a diagram illustrating an example of a format of a communication message according to Embodiment 2. FIG. 実施の形態2における通信メッセージのフォーマットの一例を示す図である。10 is a diagram illustrating an example of a format of a communication message according to Embodiment 2. FIG. 実施の形態2における通信メッセージのフォーマットの一例を示す図である。10 is a diagram illustrating an example of a format of a communication message according to Embodiment 2. FIG. 実施の形態2における通信メッセージのフォーマットの一例を示す図である。10 is a diagram illustrating an example of a format of a communication message according to Embodiment 2. FIG. 従来のネットワーク認証システムの機器構成を示す概念図である。It is a conceptual diagram which shows the apparatus structure of the conventional network authentication system.

符号の説明Explanation of symbols

1 ユーザ、2 端末、3 AP、4 ネットワーク、11 端末側認証部、12 STA、13 ICチップ、14 ユーザ認証手順、15 相互認証手順、16 ユーザ認証情報、17 端末側相互認証情報、18 通信部、19 AP側認証部、20 ネットワーク接続部、21 AP側相互認証情報、51 端末側メモリ、52 ユーザ認証部、53 相互認証部、54 AP側メモリ、100 ネットワーク認証システム、101 サプリカント、102 CryptoAPI関数群、103 CSP、104 オーセンティケータ、105 ICチップ認証ソフトウェア、201 ユーザID、202 パスワード、204 秘密鍵、205 デジタル証明書、206 ルート証明書、207 共通鍵、208 秘密鍵、209 デジタル証明書、902 端末、903 AP、905 認証サーバ。   1 user, 2 terminal, 3 AP, 4 network, 11 terminal side authentication unit, 12 STA, 13 IC chip, 14 user authentication procedure, 15 mutual authentication procedure, 16 user authentication information, 17 terminal side mutual authentication information, 18 communication unit , 19 AP side authentication unit, 20 network connection unit, 21 AP side mutual authentication information, 51 terminal side memory, 52 user authentication unit, 53 mutual authentication unit, 54 AP side memory, 100 network authentication system, 101 supplicant, 102 Crypt API Function group, 103 CSP, 104 Authenticator, 105 IC chip authentication software, 201 User ID, 202 Password, 204 Private key, 205 Digital certificate, 206 Root certificate, 207 Common key, 208 Private key, 209 Digital certificate , 90 Terminal, 903 AP, 905 authentication server.

Claims (9)

ネットワークに接続されたアクセス装置と、
IC(集積回路)チップを搭載し、前記アクセス装置を経由して前記ネットワークへアクセスする端末とを備え、
前記ICチップは、
前記端末のユーザ認証のためのユーザ認証情報と、前記アクセス装置との相互認証のための端末側相互認証情報とを記憶する端末側メモリと、
前記端末側メモリに記憶されたユーザ認証情報を用いることにより、前記アクセス装置と通信を行うことなくユーザ認証を行うユーザ認証部と、
前記端末側メモリに記憶された端末側相互認証情報を用いて前記アクセス装置と所定の通信を行うことにより、前記アクセス装置との相互認証を行うとともに、前記ユーザ認証部によるユーザ認証の成否を前記アクセス装置に通知する相互認証部とを具備し、
前記アクセス装置は、
前記ICチップとの相互認証のためのアクセス装置側相互認証情報を記憶するアクセス装置側メモリと、
前記アクセス装置側メモリに記憶されたアクセス装置側相互認証情報を用いて前記ICチップと所定の通信を行うことにより、前記ICチップとの相互認証を行うアクセス装置側認証部と、
前記ユーザ認証部によるユーザ認証が成功したことが前記ICチップから通知され、かつ、前記相互認証部と前記アクセス装置側認証部との間で相互認証が成功した場合にのみ、前記端末が前記アクセス装置を経由して前記ネットワークへアクセスすることを許可する通信部とを具備することを特徴とするネットワーク認証システム。 An access device connected to the network;
An IC (integrated circuit) chip, and a terminal for accessing the network via the access device;
The IC chip is
A terminal-side memory for storing user authentication information for user authentication of the terminal and terminal-side mutual authentication information for mutual authentication with the access device;
By using user authentication information stored in the terminal-side memory, a user authentication unit that performs user authentication without communicating with the access device;
By performing predetermined communication with the access device using the terminal-side mutual authentication information stored in the terminal-side memory, mutual authentication with the access device is performed, and success or failure of user authentication by the user authentication unit is determined. A mutual authentication unit for notifying the access device,
The access device is:
An access device side memory for storing access device side mutual authentication information for mutual authentication with the IC chip;
An access device side authentication unit that performs mutual authentication with the IC chip by performing predetermined communication with the IC chip using the access device side mutual authentication information stored in the access device side memory;
Only when the IC chip notifies that the user authentication by the user authentication unit is successful and the mutual authentication is successful between the mutual authentication unit and the access device side authentication unit, A network authentication system comprising: a communication unit that permits access to the network via a device. 前記相互認証部は、前記ユーザ認証部によるユーザ認証が失敗した場合、前記アクセス装置との相互認証を中断することにより、ユーザ認証が失敗したことを前記アクセス装置に通知することを特徴とする請求項1に記載のネットワーク認証システム。   The said mutual authentication part notifies the said access apparatus that user authentication failed by interrupting mutual authentication with the said access apparatus, when the user authentication by the said user authentication part fails. Item 4. The network authentication system according to Item 1. 前記相互認証部及び前記アクセス装置側認証部は、相互認証が成功した場合、共通の暗号鍵を生成し、
前記相互認証部は、前記ユーザ認証部によるユーザ認証の成否を通知するためのデータを生成し、前記共通の暗号鍵を用いて前記データに対し所定の処理を施した上で前記データを前記アクセス装置に送信し、
前記アクセス装置側認証部は、前記データを前記ICチップから受信し、前記共通の暗号鍵を用いて前記データに対し所定の処理を施すことにより、前記データの正当性を確認し、
前記通信部は、前記アクセス装置側認証部により前記データが正当であることが確認された場合にのみ、前記端末が前記アクセス装置を経由して前記ネットワークへアクセスすることを許可することを特徴とする請求項1に記載のネットワーク認証システム。 When the mutual authentication is successful, the mutual authentication unit and the access device side authentication unit generate a common encryption key,
The mutual authentication unit generates data for notifying success / failure of user authentication by the user authentication unit, performs a predetermined process on the data using the common encryption key, and then accesses the data To the device,
The access device-side authentication unit receives the data from the IC chip, performs a predetermined process on the data using the common encryption key, and confirms the validity of the data.
The communication unit allows the terminal to access the network via the access device only when the access device-side authentication unit confirms that the data is valid. The network authentication system according to claim 1. 前記端末及び前記アクセス装置は、前記相互認証部と前記アクセス装置側認証部との間で相互認証が成功した場合、共通の暗号鍵を生成し、当該共通の暗号鍵又は当該共通の暗号鍵から派生した別の共通の暗号鍵を用いて互いに送受信するデータを暗号化することを特徴とする請求項1から3までのいずれかに記載のネットワーク認証システム。   When the mutual authentication is successful between the mutual authentication unit and the access device side authentication unit, the terminal and the access device generate a common encryption key, and use the common encryption key or the common encryption key. 4. The network authentication system according to claim 1, wherein data transmitted and received with each other is encrypted using another derived common encryption key. 前記相互認証部及び前記アクセス装置側認証部は、相互認証が成功した場合、共通の暗号鍵を生成し、
前記相互認証部は、前記共通の暗号鍵を用いて前記共通の暗号鍵とは異なる所定の暗号鍵を暗号化した上で前記アクセス装置に送信し、
前記アクセス装置側認証部は、前記所定の暗号鍵を前記ICチップから受信し、前記共通の暗号鍵を用いて前記所定の暗号鍵を復号し、
前記端末及び前記アクセス装置は、前記所定の暗号鍵又は前記所定の暗号鍵から派生した暗号鍵を用いて互いに送受信するデータを暗号化することを特徴とする請求項1に記載のネットワーク認証システム。 When the mutual authentication is successful, the mutual authentication unit and the access device side authentication unit generate a common encryption key,
The mutual authentication unit encrypts a predetermined encryption key different from the common encryption key using the common encryption key, and transmits the encrypted encryption key to the access device.
The access device side authentication unit receives the predetermined encryption key from the IC chip, decrypts the predetermined encryption key using the common encryption key,
The network authentication system according to claim 1, wherein the terminal and the access device encrypt data transmitted / received to / from each other using the predetermined encryption key or an encryption key derived from the predetermined encryption key. 前記端末側メモリは、前記アクセス装置に対する前記端末のユーザ固有の設定情報を記憶し、
前記相互認証部及び前記アクセス装置側認証部は、相互認証が成功した場合、共通の暗号鍵を生成し、
前記相互認証部は、前記共通の暗号鍵を用いて前記端末側メモリに記憶された設定情報を暗号化した上で前記アクセス装置に送信し、
前記アクセス装置側認証部は、前記設定情報を前記ICチップから受信し、前記共通の暗号鍵を用いて前記設定情報を復号し、
前記アクセス装置は、前記アクセス装置側認証部により復号された設定情報に基づいて所定の設定を行うことを特徴とする請求項1に記載のネットワーク認証システム。 The terminal-side memory stores user-specific setting information of the terminal for the access device;
When the mutual authentication is successful, the mutual authentication unit and the access device side authentication unit generate a common encryption key,
The mutual authentication unit encrypts the setting information stored in the terminal-side memory using the common encryption key and transmits the encrypted setting information to the access device,
The access device-side authentication unit receives the setting information from the IC chip, decrypts the setting information using the common encryption key,
The network authentication system according to claim 1, wherein the access device performs a predetermined setting based on setting information decrypted by the access device-side authentication unit. ネットワークに接続されたアクセス装置を経由して前記ネットワークへアクセスする端末に搭載されるIC(集積回路)チップにおいて、
前記端末のユーザ認証のためのユーザ認証情報と、前記アクセス装置との相互認証のための端末側相互認証情報とを記憶する端末側メモリと、
前記端末側メモリに記憶されたユーザ認証情報を用いることにより、前記アクセス装置と通信を行うことなくユーザ認証を行うユーザ認証部と、
前記端末側メモリに記憶された端末側相互認証情報を用いて前記アクセス装置と所定の通信を行うことにより、前記アクセス装置との相互認証を行うとともに、前記ユーザ認証部によるユーザ認証の成否を前記アクセス装置に通知する相互認証部とを具備し、
前記ICチップは、
前記ユーザ認証部によるユーザ認証が成功したことを前記アクセス装置に通知し、かつ、前記相互認証部と前記アクセス装置との間で相互認証が成功した場合にのみ、前記端末に前記アクセス装置を経由して前記ネットワークへアクセスさせることを特徴とするICチップ。 In an IC (integrated circuit) chip mounted on a terminal that accesses the network via an access device connected to the network,
A terminal-side memory for storing user authentication information for user authentication of the terminal and terminal-side mutual authentication information for mutual authentication with the access device;
By using user authentication information stored in the terminal-side memory, a user authentication unit that performs user authentication without communicating with the access device;
By performing predetermined communication with the access device using the terminal-side mutual authentication information stored in the terminal-side memory, mutual authentication with the access device is performed, and success or failure of user authentication by the user authentication unit is determined. A mutual authentication unit for notifying the access device,
The IC chip is
Notifies the access device that user authentication by the user authentication unit is successful, and passes the access device to the terminal only when mutual authentication is successful between the mutual authentication unit and the access device. Then, the IC chip is made to access the network. ネットワークに接続されたアクセス装置であり、IC(集積回路)チップを搭載した端末が前記アクセス装置を経由して前記ネットワークへアクセスすることの許否を判断するアクセス装置において、
前記ICチップとの相互認証のためのアクセス装置側相互認証情報を記憶するアクセス装置側メモリと、
前記アクセス装置側メモリに記憶されたアクセス装置側相互認証情報を用いて前記ICチップと所定の通信を行うことにより、前記ICチップとの相互認証を行うアクセス装置側認証部と、
前記ICチップが前記ICチップに記憶されたユーザ認証情報を用いることにより、前記アクセス装置と通信を行うことなく行ったユーザ認証が成功したことが、前記ICチップから通知され、かつ、前記ICチップと前記アクセス装置側認証部との間で相互認証が成功した場合にのみ、前記端末が前記アクセス装置を経由して前記ネットワークへアクセスすることを許可する通信部とを具備することを特徴とするアクセス装置。 An access device connected to a network, wherein an access device that determines whether or not a terminal equipped with an IC (integrated circuit) chip can access the network via the access device,
An access device side memory for storing access device side mutual authentication information for mutual authentication with the IC chip;
An access device side authentication unit that performs mutual authentication with the IC chip by performing predetermined communication with the IC chip using the access device side mutual authentication information stored in the access device side memory;
When the IC chip uses the user authentication information stored in the IC chip, the IC chip notifies that the user authentication performed without communicating with the access device is successful, and the IC chip And a communication unit that allows the terminal to access the network via the access device only when mutual authentication is successful between the access device and the access device-side authentication unit. Access device. ネットワークに接続されたアクセス装置を経由して前記ネットワークへアクセスする端末に搭載されたIC(集積回路)チップが、自ら記憶するユーザ認証情報を用いることにより、前記アクセス装置と通信を行うことなくユーザ認証を行い、
前記ICチップが、自ら記憶する端末側相互認証情報を用いて前記アクセス装置と所定の通信を行うことにより、前記アクセス装置との相互認証を行い、
前記ICチップが、ユーザ認証の成否を前記アクセス装置に通知し、
前記アクセス装置が、自ら記憶するアクセス装置側相互認証情報を用いて前記ICチップと所定の通信を行うことにより、前記ICチップとの相互認証を行い、
前記アクセス装置が、前記ICチップによるユーザ認証が成功したことが前記ICチップから通知され、かつ、前記ICチップと前記アクセス装置との間で相互認証が成功した場合にのみ、前記端末が前記アクセス装置を経由して前記ネットワークへアクセスすることを許可することを特徴とするネットワーク認証方法。 By using user authentication information stored in an IC (integrated circuit) chip mounted on a terminal that accesses the network via an access device connected to the network, the user can communicate without communicating with the access device. Authenticate,
The IC chip performs mutual authentication with the access device by performing predetermined communication with the access device using the terminal-side mutual authentication information stored by itself,
The IC chip notifies the access device of success or failure of user authentication,
The access device performs mutual authentication with the IC chip by performing predetermined communication with the IC chip using the access device side mutual authentication information stored by itself,
Only when the access device is notified from the IC chip that the user authentication by the IC chip is successful, and the mutual authentication between the IC chip and the access device is successful, the terminal can access the access device. A network authentication method for permitting access to the network via a device.
JP2007289869A 2007-11-07 2007-11-07 Network authentication system, ic chip, access device, and network authentication method Pending JP2009116677A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007289869A JP2009116677A (en) 2007-11-07 2007-11-07 Network authentication system, ic chip, access device, and network authentication method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007289869A JP2009116677A (en) 2007-11-07 2007-11-07 Network authentication system, ic chip, access device, and network authentication method

Publications (1)

Publication Number Publication Date
JP2009116677A true JP2009116677A (en) 2009-05-28

Family

ID=40783753

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007289869A Pending JP2009116677A (en) 2007-11-07 2007-11-07 Network authentication system, ic chip, access device, and network authentication method

Country Status (1)

Country Link
JP (1) JP2009116677A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017139650A (en) * 2016-02-04 2017-08-10 Necプラットフォームズ株式会社 Authentication system, communication device and authentication data application method
JP2018196085A (en) * 2017-05-22 2018-12-06 ルネサスエレクトロニクス株式会社 Authentication method and authentication system

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017139650A (en) * 2016-02-04 2017-08-10 Necプラットフォームズ株式会社 Authentication system, communication device and authentication data application method
JP2018196085A (en) * 2017-05-22 2018-12-06 ルネサスエレクトロニクス株式会社 Authentication method and authentication system

Similar Documents

Publication Publication Date Title
CN108781163B (en) Method, system and computer readable medium for data communication
US8327143B2 (en) Techniques to provide access point authentication for wireless network
JP4746333B2 (en) Efficient and secure authentication of computing systems
US10931464B2 (en) Communication system, hardware security module, terminal device, communication method, and program
US12052243B2 (en) Personalized security system
US8397281B2 (en) Service assisted secret provisioning
JP2004508619A (en) Trusted device
CN112425114A (en) Password manager protected by public-private key pair
KR20150092719A (en) Device and method certificate generation
JP6627043B2 (en) SSL communication system, client, server, SSL communication method, computer program
KR100957044B1 (en) Method and system for providing mutual authentication using kerberos
CN102577301A (en) Method and apparatus for trusted authentication and logon
CN103368905A (en) Trustable cipher module chip-based network access authentication method
US8498617B2 (en) Method for enrolling a user terminal in a wireless local area network
JP2017152880A (en) Authentication system, key processing coordination method, and key processing coordination program
CN110929231A (en) Digital asset authorization method and device and server
JP2015039141A (en) Certificate issue request generation program, certificate issue request generation device, certificate issue request generation system, certificate issue request generation method, certificate issuing device, and authentication method
KR20180087543A (en) Key management method and fido authenticator software authenticator
US20210306306A1 (en) Method and system for secure communication
Hoeper et al. Where EAP security claims fail
JP2009116677A (en) Network authentication system, ic chip, access device, and network authentication method
JP2015170220A (en) Equipment authentication method and equipment authentication system
JP2009104509A (en) Terminal authentication system and terminal authentication method
US12088699B2 (en) Secure device pairing
KR101431010B1 (en) Access point authentication apparatus and method using hardware authentication module