JP2012212405A - Application authentication system, application authentication method, and program - Google Patents
Application authentication system, application authentication method, and program Download PDFInfo
- Publication number
- JP2012212405A JP2012212405A JP2011078714A JP2011078714A JP2012212405A JP 2012212405 A JP2012212405 A JP 2012212405A JP 2011078714 A JP2011078714 A JP 2011078714A JP 2011078714 A JP2011078714 A JP 2011078714A JP 2012212405 A JP2012212405 A JP 2012212405A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- application
- key
- information
- conversion information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、オープン端末のアプリケーションにおいて、UIM等のユーザ識別モジュールカードを用いたアプリケーション認証システム、アプリケーション認証方法およびプログラムに関する。 The present invention relates to an application authentication system, an application authentication method, and a program using a user identification module card such as UIM in an open terminal application.
近年、アプリケーションの共通化や、PC(Personal Computer)のノウハウを生かすため、Android(登録商標)のようなオープンなプラットフォームに移行している。Android(登録商標)のようなオープンなプラットフォームが搭載された端末、言い換えると、スマートフォン等のオープン端末、においても、個人情報等の機密性の高い情報を有することや、ネットワークを介してやり取りする情報も機密性の高い内容のものであることから、強固なセキュリティ対策が求められている。現状、オープン端末におけるセキュリティ対策は、アプリケーションを設計する際に、プラットフォームのセキュリティ対応を調査、実施すること、および各アプリケーションにて追加のセキュリティ対応を実施することが殆どである。 In recent years, in order to make common use of applications and know-how of PC (Personal Computer), it has shifted to an open platform such as Android (registered trademark). Information having highly confidential information such as personal information or information exchanged via a network even in a terminal equipped with an open platform such as Android (registered trademark), in other words, an open terminal such as a smartphone. However, since the content is highly confidential, strong security measures are required. Currently, most security measures for open terminals are to investigate and implement platform security measures when designing applications, and to implement additional security measures for each application.
しかしながら、オープン端末においては、オープン環境であるが故に、新たな脆弱性が多々発見され、その都度何らかの対策しながら利用しなければならないという問題点があった。また、このような問題点があるために、現状のセキュリティ対策は強固でなく、モバイルバンキング等の高セキュリティが要求される分野のアプリケーションを、オープン端末で利用するのは望ましくないという問題点があった。 However, since open terminals have an open environment, many new vulnerabilities have been discovered, and each time they have to be used with some countermeasures. In addition, due to such problems, current security measures are not strong, and it is not desirable to use applications in fields requiring high security such as mobile banking on open terminals. It was.
そこで、本発明は、上述の課題に鑑みてなされたものであり、本発明は、UIM等のユーザ識別モジュールカードを用いることにより、オープン端末のアプリケーションをセキュアに利用することを可能とするアプリケーション認証システム、アプリケーション認証方法およびプログラムを提供することを目的とする。 Accordingly, the present invention has been made in view of the above-described problems, and the present invention uses application authentication that enables an open terminal application to be securely used by using a user identification module card such as UIM. It is an object to provide a system, an application authentication method, and a program.
本発明は、上記の課題を解決するために、以下の事項を提案している。なお、理解を容易にするために、本発明の実施形態に対応する符号を付して説明するが、これに限定されるものではない。 The present invention proposes the following matters in order to solve the above problems. In addition, in order to make an understanding easy, although the code | symbol corresponding to embodiment of this invention is attached | subjected and demonstrated, it is not limited to this.
(1) 本発明は、認証アプリケーションと連携して認証処理を行なうアプリケーションを有し、オープンプラットフォームが搭載されたオープン端末と、前記認証アプリケーションを有し、前記オープン端末に挿脱されるユーザ識別モジュールカードと、を用いたアプリケーション認証システムであって、前記認証アプリケーションは、第1の認証鍵、第2の認証鍵、および正規変換情報を記憶する鍵情報記憶手段(例えば、図2の鍵情報記憶部201)と、記憶されている第2の認証鍵を前記アプリケーションに送信する第1の送信手段(例えば、図2の認証鍵送信部202)と、を備え、前記アプリケーションは、前記第1の認証鍵および前記第2の認証鍵から生成された前処理情報を記憶する前処理情報記憶手段(例えば、図2の前処理情報記憶部101)と、受信した第2の認証鍵により、記憶されている前処理情報から前記第1の認証鍵が取得できるか否かにより前記ユーザ識別モジュールカードの認証可否を判定する認証手段(例えば、図2の認証部103)と、前記記憶されている前処理情報から前記第1の認証鍵が取得できたことにより認証可と判定する場合に、前記アプリケーションを一方向関数で変換し、変換情報を生成する変換情報生成手段(例えば、図2の変換情報生成部104)と、生成された変換情報を、前記認証手段で取得された第1の認証鍵により暗号化し、暗号化された変換情報を、前記認証アプリケーションに送信する認証鍵暗号化手段(例えば、図2の認証鍵暗号化部105)と、を備え、前記認証アプリケーションは、さらに、受信した前記暗号化された変換情報を、記憶されている第1の認証鍵にて復号化する認証鍵復号化手段(例えば、図2の認証鍵復号化部203)と、復号化された変換情報、および記憶されている正規変換情報を比較し、前記アプリケーションの改ざんの有無を判定する改ざん判定手段(例えば、図2の改ざん判定部204)と、前記復号化された変換情報と前記正規変換情報とが一致し、改ざんされていないと判定する場合に、乱数を2つ生成し、生成された2つの乱数それぞれを前記第1の認証鍵と前記第2の認証鍵として前記鍵情報記憶手段に記憶する認証鍵生成手段(例えば、図2の認証鍵生成部205)と、生成された第1の認証鍵および第2の認証鍵から前記前処理情報を生成し、生成した前処理情報を前記アプリケーションに送信する前処理情報生成手段(例えば、図2の前処理情報生成部206)と、を備え、前記アプリケーションは、受信した前処理情報を前記前処理情報記憶手段に記憶することを特徴とするアプリケーション認証システムを提案している。
(1) The present invention includes an application that performs authentication processing in cooperation with an authentication application, and includes an open terminal equipped with an open platform, and a user identification module that includes the authentication application and is inserted into and removed from the open terminal. A key information storage means for storing a first authentication key, a second authentication key, and normal conversion information (for example, the key information storage of FIG. 2). Unit 201) and a first transmission means (for example, the authentication
この発明によれば、鍵情報記憶手段は、第1の認証鍵、第2の認証鍵、および正規変換情報を記憶する。第1の送信手段は、鍵情報記憶手段に記憶されている第2の認証鍵をアプリケーションに送信する。前処理情報記憶手段は、第1の認証鍵および第2の認証鍵から生成された前処理情報を記憶する。認証手段は、受信した第2の認証鍵により、記憶されている前処理情報から第1の認証鍵が取得できるか否かによりユーザ識別モジュールカードの認証可否を判定する。変換情報生成手段は、記憶されている前処理情報から第1の認証鍵が取得できたことにより認証可と判定する場合に、アプリケーションを一方向関数で変換し、変換情報を生成する。認証鍵暗号化手段は、生成された変換情報を、認証手段で取得された第1の認証鍵により暗号化し、暗号化された変換情報を、認証アプリケーションに送信する。認証鍵復号化手段は、受信した暗号化された変換情報を、記憶されている第1の認証鍵にて復号化する。改ざん判定手段は、復号化された変換情報、および記憶されている正規変換情報を比較し、アプリケーションの改ざんの有無を判定する。認証鍵生成手段は、復号化された変換情報と正規変換情報とが一致し、改ざんされていないと判定する場合に、乱数を2つ生成し、生成された2つの乱数それぞれを第1の認証鍵と第2の認証鍵として鍵情報記憶手段に記憶する。前処理情報生成手段は、生成された第1の認証鍵および第2の認証鍵から前処理情報を生成し、生成した前処理情報をアプリケーションに送信する。アプリケーションは、受信した前処理情報を前処理情報記憶手段に記憶する。したがって、オープン端末のアプリケーションに予め記憶されている前処理情報を用いて、ユーザ識別モジュールカードを認証した上で、ユーザ識別モジュールカードの認証アプリケーションに予め記憶されている正規のアプリケーションを一方向関数で変換した結果(正規変換情報)とアプリケーションを一方向関数で変換した結果(変換情報)と、を照合し、オープン端末のアプリケーションが改ざんされていないことを保証することにより、ユーザ識別モジュールカードを用いて、オープン端末のアプリケーションをセキュアに利用することが可能となる。 According to this invention, the key information storage means stores the first authentication key, the second authentication key, and the normal conversion information. The first transmission unit transmits the second authentication key stored in the key information storage unit to the application. The preprocessing information storage unit stores preprocessing information generated from the first authentication key and the second authentication key. The authentication unit determines whether or not the user identification module card can be authenticated based on whether or not the first authentication key can be acquired from the stored pre-processing information using the received second authentication key. The conversion information generation unit converts the application with a one-way function and generates conversion information when determining that authentication is possible because the first authentication key has been acquired from the stored preprocessing information. The authentication key encryption unit encrypts the generated conversion information with the first authentication key acquired by the authentication unit, and transmits the encrypted conversion information to the authentication application. The authentication key decryption means decrypts the received encrypted conversion information with the stored first authentication key. The tampering determination means compares the decrypted conversion information and the stored normal conversion information to determine whether the application has been tampered with. The authentication key generation unit generates two random numbers when the decrypted conversion information matches the normal conversion information and determines that the information has not been tampered with, and each of the two generated random numbers is subjected to the first authentication. The key and the second authentication key are stored in the key information storage means. The preprocessing information generation unit generates preprocessing information from the generated first authentication key and second authentication key, and transmits the generated preprocessing information to the application. The application stores the received preprocessing information in the preprocessing information storage unit. Therefore, after authenticating the user identification module card using the preprocessing information stored in advance in the application of the open terminal, the regular application stored in advance in the authentication application of the user identification module card is expressed by a one-way function. The user identification module card is used by comparing the result of conversion (regular conversion information) with the result of conversion of the application with a one-way function (conversion information) to ensure that the application on the open terminal has not been tampered with. Thus, it is possible to use the open terminal application securely.
(2) 本発明は、(1)のアプリケーション認証システムにおいて、前記記憶されている前処理情報は、前記前処理情報生成手段により、前記生成された第1の認証鍵および前記第2の認証鍵を、パスワードにより演算処理することにより生成され、前記認証手段は、前記受信した第2の認証鍵、およびユーザから受け付けた前記パスワードにより、前記記憶されている前処理情報から前記第1の認証鍵が取得できるか否かにより前記ユーザ識別モジュールカードの認証可否を判定し、前記認証鍵暗号化手段は、前記取得された変換情報、および前記ユーザから受け付けたパスワードを組み合わせて、前記認証手段で取得された第1の認証鍵により暗号化し、前記認証鍵復号化手段は、受信した、パスワードが組み合わされた変換情報の暗号化を、前記記憶されている第1の認証鍵にて復号化し、前記変換情報と前記パスワードとを抽出することを特徴とするアプリケーション認証システムを提案している。 (2) The present invention provides the application authentication system according to (1), wherein the stored preprocessing information includes the first authentication key and the second authentication key generated by the preprocessing information generation unit. Is generated by computing with a password, and the authentication means uses the received second authentication key and the password received from the user to store the first authentication key from the stored preprocessing information. Whether the user identification module card can be authenticated or not, and the authentication key encryption unit acquires the authentication information by combining the acquired conversion information and the password received from the user. The authentication key decrypting means encrypts the received conversion information combined with the password by using the first authentication key. The, and decoded by the first authentication key that is the storage, proposes an application authentication system characterized by extracting and said and said conversion information password.
この発明によれば、記憶されている前処理情報は、前処理情報生成手段により、生成された第1の認証鍵および第2の認証鍵を、パスワードにより演算処理することにより生成される。認証手段は、受信した第2の認証鍵、およびユーザから受け付けたパスワードにより、記憶されている前処理情報から第1の認証鍵が取得できるか否かによりユーザ識別モジュールカードの認証可否を判定し、認証鍵暗号化手段は、取得された変換情報、およびユーザから受け付けたパスワードを組み合わせて、認証手段で取得された第1の認証鍵により暗号化し、認証鍵復号化手段は、受信した、パスワードが組み合わされた変換情報の暗号化を、記憶されている第1の認証鍵にて復号化し、変換情報とパスワードとを抽出する。したがって、ユーザから受け付けたパスワードを前処理情報の生成に用いることにより、前処理のユーザと現処理のユーザとが一致するか否か照合し、異なるユーザの使用を防ぐことができるので、オープン端末のアプリケーションをセキュアに利用することが可能となる。 According to the present invention, the stored preprocessing information is generated by computing the first authentication key and the second authentication key generated by the preprocessing information generating means using the password. The authentication means determines whether or not the user identification module card can be authenticated based on whether or not the first authentication key can be acquired from the stored preprocessing information based on the received second authentication key and the password received from the user. The authentication key encryption means combines the acquired conversion information and the password received from the user, and encrypts the first authentication key acquired by the authentication means. The authentication key decryption means receives the received password Encryption of the conversion information combined with is decrypted with the stored first authentication key, and the conversion information and the password are extracted. Therefore, by using the password received from the user for generating the preprocessing information, it is possible to check whether the preprocessing user and the current processing user match and prevent the use of different users. It is possible to use these applications securely.
(3) 本発明は、(1)または(2)のアプリケーション認証システムにおいて、前記鍵情報記憶手段は、さらに、秘密鍵、前記秘密鍵に対応する公開鍵、および共通鍵を記憶し、前記認証アプリケーションは、前記公開鍵を前記共通鍵で暗号化し、暗号化した公開鍵を送信する共通鍵暗号化手段(例えば、図6の共通鍵暗号化部227)を備え、前記アプリケーションは、前記アプリケーションに分散保存された複数個の前記共通鍵の断片を回収して、前記共通鍵を復元する共通鍵復元手段(例えば、図6の共通鍵復元部126)と、受信した暗号化された公開鍵を、復元された共通鍵で復号化する共通鍵復号化手段(例えば、図6の共通鍵復号化部127)と、を備え、前記第1の送信手段は、前記記憶されている第2の認証鍵を前記秘密鍵で暗号化して、前記アプリケーションに送信し、前記認証手段は、前記受信した暗号化された第2の認証鍵を、復号化された公開鍵で復号し、復号化された第2の認証鍵により、前記記憶されている前処理情報から前記第1の認証鍵が取得できるか否かにより前記ユーザ識別モジュールカードの認証可否を判定することを特徴とするアプリケーション認証システムを提案している。
(3) In the application authentication system according to (1) or (2), the key information storage unit further stores a secret key, a public key corresponding to the secret key, and a common key. The application includes a common key encryption unit (for example, the common
この発明によれば、鍵情報記憶手段は、さらに、秘密鍵、秘密鍵に対応する公開鍵、および共通鍵を記憶する。共通鍵暗号化手段は、公開鍵を共通鍵で暗号化し、暗号化した公開鍵を送信する。共通鍵復元手段は、アプリケーションに分散保存された複数個の共通鍵の断片を回収して、共通鍵を復元する。第1の送信手段は、記憶されている第2の認証鍵を秘密鍵で暗号化して、アプリケーションに送信する。認証手段は、受信した暗号化された第2の認証鍵を、復号化された公開鍵で復号し、復号化された第2の認証鍵により、記憶されている前処理情報から第1の認証鍵が取得できるか否かによりユーザ識別モジュールカードの認証可否を判定する。したがって、ユーザ識別モジュールカードとオープン端末との間での第2の認証鍵を送受信するために共通鍵暗号方式および公開鍵暗号方式を用いることにより、また、共通鍵をアプリケーションに分散保存することにより、オープン端末のアプリケーションをよりセキュアに利用することが可能となる。 According to this invention, the key information storage means further stores a secret key, a public key corresponding to the secret key, and a common key. The common key encryption means encrypts the public key with the common key and transmits the encrypted public key. The common key recovery means recovers the common key by collecting a plurality of common key fragments distributed and stored in the application. The first transmission means encrypts the stored second authentication key with a secret key and transmits it to the application. The authentication means decrypts the received encrypted second authentication key with the decrypted public key, and uses the decrypted second authentication key to perform the first authentication from the stored preprocessing information Whether or not the user identification module card can be authenticated is determined based on whether or not the key can be acquired. Therefore, by using the common key encryption method and the public key encryption method to transmit and receive the second authentication key between the user identification module card and the open terminal, and by distributing and storing the common key in the application Thus, it becomes possible to use the open terminal application more securely.
(4) 本発明は、(3)のアプリケーション認証システムにおいて、前記認証アプリケーションは、乱数を生成する乱数生成手段を備え、前記共通鍵暗号化手段は、前記暗号化した公開鍵、および生成された乱数を前記アプリケーションに送信し、前記共通鍵復元手段は、受信した乱数の偶奇応じて、前記アプリケーションに分散保存された複数個の前記共通鍵の断片を回収し、前記共通鍵を復元することを特徴とするアプリケーション認証システムを提案している。 (4) In the application authentication system according to (3), the authentication application includes a random number generation unit that generates a random number, and the common key encryption unit includes the encrypted public key and the generated public key A random number is transmitted to the application, and the common key recovery means recovers the plurality of pieces of the common key distributed and stored in the application according to the even / odd of the received random number, and recovers the common key. A feature application authentication system is proposed.
この発明によれば、乱数生成手段は、乱数を生成する。共通鍵暗号化手段は、暗号化した公開鍵、および生成された乱数をアプリケーションに送信する。共通鍵復元手段は、受信した乱数の偶奇応じて、アプリケーションに分散保存された複数個の共通鍵の断片を回収し、共通鍵を復元する。したがって、認証アプリケーションで生成された乱数を用いて共通鍵を復元することにより、オープン端末のアプリケーションをよりセキュアに利用することが可能となる。 According to the present invention, the random number generation means generates a random number. The common key encryption means transmits the encrypted public key and the generated random number to the application. The common key recovery means recovers the common key by collecting a plurality of pieces of the common key distributed and stored in the application according to the even or odd number of the received random number. Therefore, the application of the open terminal can be used more securely by restoring the common key using the random number generated by the authentication application.
(5) 本発明は、(1)または(2)のアプリケーション認証システムにおいて、前記アプリケーションが最初に起動された場合には、前記変換情報生成手段は、前記アプリケーションを一方向関数で変換し、変換情報を生成し、生成した変換情報を前記認証アプリケーションに送信し、前記改ざん判定手段は、受信した変換情報、および記憶されている正規変換情報を比較し、前記アプリケーションの改ざんの有無を判定し、前記認証鍵生成手段は、前記受信した変換情報と前記正規変換情報とが一致し、改ざんされていないと判定する場合に、乱数を2つ生成し、生成された2つの乱数それぞれを前記第1の認証鍵と前記第2の認証鍵として前記鍵情報記憶手段に記憶することを特徴とするアプリケーション認証システムを提案している。 (5) In the application authentication system according to (1) or (2), when the application is started for the first time, the conversion information generation unit converts the application with a one-way function and converts the application. Information is generated, the generated conversion information is transmitted to the authentication application, and the tampering determination means compares the received conversion information and stored regular conversion information to determine whether the application has been tampered with, The authentication key generation means generates two random numbers when the received conversion information matches the regular conversion information and determines that the conversion information has not been tampered with, and each of the two generated random numbers is the first random number. An application authentication system is proposed in which the authentication information and the second authentication key are stored in the key information storage means. .
この発明によれば、変換情報生成手段は、アプリケーションが最初に起動された場合、アプリケーションを一方向関数で変換し、変換情報を生成し、生成した変換情報を認証アプリケーションに送信する。改ざん判定手段は、アプリケーションが最初に起動された場合、受信した変換情報、および記憶されている正規変換情報を比較し、アプリケーションの改ざんの有無を判定する。認証鍵生成手段は、アプリケーションが最初に起動された場合、受信した変換情報と正規変換情報とが一致し、改ざんされていないと判定する場合に、乱数を2つ生成し、生成された2つの乱数それぞれを第1の認証鍵と第2の認証鍵として鍵情報記憶手段に記憶する。したがって、アプリケーションが最初に起動された場合、ユーザ識別モジュールカードの認証アプリケーションに予め記憶されている正規のアプリケーションを一方向関数で変換した結果(正規変換情報)とアプリケーションを一方向関数で変換した結果(変換情報)と、を照合し、オープン端末のアプリケーションが改ざんされていないことを保証し、アプリケーションが次回起動された場合に、オープン端末のアプリケーションでユーザ識別モジュールカードを認証するための認証鍵を生成することにより、ユーザ識別モジュールカードを用いて、次回以降もオープン端末のアプリケーションをセキュアに利用することが可能となる。 According to this invention, when the application is started for the first time, the conversion information generation means converts the application with a one-way function, generates conversion information, and transmits the generated conversion information to the authentication application. When the application is started for the first time, the falsification determination unit compares the received conversion information and the stored normal conversion information to determine whether the application has been falsified. The authentication key generation means generates two random numbers when the application is started for the first time and when the received conversion information matches the normal conversion information and it is determined that the application has not been tampered with. Each random number is stored in the key information storage means as a first authentication key and a second authentication key. Therefore, when the application is started for the first time, the result of converting the normal application stored in the authentication application of the user identification module card with the one-way function (normal conversion information) and the result of converting the application with the one-way function (Conversion information) and verify that the application of the open terminal has not been tampered with, and the authentication key for authenticating the user identification module card with the application of the open terminal when the application is started next time By generating, it becomes possible to use the application of the open terminal securely using the user identification module card from the next time onward.
(6) 本発明は、(5)のアプリケーション認証システムにおいて、前記鍵情報記憶手段は、秘密鍵、前記秘密鍵に対応する公開鍵、および共通鍵を記憶し、前記認証アプリケーションは、前記公開鍵を前記共通鍵で暗号化し、暗号化した公開鍵を送信する共通鍵暗号化手段(例えば、図6の共通鍵暗号化部227)と、前記アプリケーションから受信した、前記公開鍵で暗号化された変換情報を、記憶されている秘密鍵にて復号化する公開鍵復号化手段(例えば、図6の公開鍵復号化部228)と、を備え、前記アプリケーションは、前記アプリケーションに分散保存された複数個の共通鍵の断片を回収して、前記共通鍵を復元する共通鍵復元手段(例えば、図6の共通鍵復元部126)と、前記認証アプリケーションから受信した、暗号化された公開鍵を、復元された共通鍵で復号化する共通鍵復号化手段(例えば、図6の共通鍵復号化部127)と、生成された変換情報を、復号化された公開鍵により暗号化し、前記認証アプリケーションに送信する公開鍵暗号化手段(例えば、図6の公開鍵暗号化部128)と、を備えることを特徴とするアプリケーション認証システムを提案している。
(6) In the application authentication system according to (5), the key information storage unit stores a secret key, a public key corresponding to the secret key, and a common key, and the authentication application stores the public key. Is encrypted with the common key and the encrypted public key is transmitted (for example, the common
この発明によれば、鍵情報記憶手段は、秘密鍵、秘密鍵に対応する公開鍵、および共通鍵を記憶する。共通鍵暗号化手段は、公開鍵を共通鍵で暗号化し、暗号化した公開鍵を送信する。公開鍵復号化手段は、アプリケーションから受信した、公開鍵で暗号化された変換情報を、記憶されている秘密鍵にて復号化する。共通鍵復元手段は、アプリケーションに分散保存された複数個の共通鍵の断片を回収して、共通鍵を復元する。共通鍵復号化手段は、認証アプリケーションから受信した、暗号化された公開鍵を、復元された共通鍵で復号化する。公開鍵暗号化手段は、生成された変換情報を、復号化された公開鍵により暗号化し、認証アプリケーションに送信する。したがって、ユーザ識別モジュールカードとオープン端末との間での変換情報の送受信するために共通鍵暗号方式および公開鍵暗号方式を用いることにより、また、共通鍵をアプリケーションに分散保存することにより、初回起動であっても、オープン端末のアプリケーションをセキュアに利用することが可能となる。 According to this invention, the key information storage means stores a secret key, a public key corresponding to the secret key, and a common key. The common key encryption means encrypts the public key with the common key and transmits the encrypted public key. The public key decryption means decrypts the conversion information received from the application and encrypted with the public key, using the stored secret key. The common key recovery means recovers the common key by collecting a plurality of common key fragments distributed and stored in the application. The common key decryption unit decrypts the encrypted public key received from the authentication application with the restored common key. The public key encryption means encrypts the generated conversion information with the decrypted public key and transmits it to the authentication application. Therefore, by using a common key cryptosystem and a public key cryptosystem to send and receive conversion information between the user identification module card and the open terminal, and by sharing and storing the common key in the application, the first activation Even so, it is possible to use the open terminal application securely.
(7) 本発明は、(1)から(6)のアプリケーション認証システムにおいて、前記一方向関数は、SHA−1ハッシュ関数であることを特徴とするアプリケーション認証システムを提案している。 (7) The present invention proposes an application authentication system according to (1) to (6), wherein the one-way function is a SHA-1 hash function.
この発明によれば、一方向関数は、SHA−1ハッシュ関数である。したがって、高速な演算処理を実現することができる。 According to the invention, the one-way function is a SHA-1 hash function. Therefore, high-speed arithmetic processing can be realized.
(8) 本発明は、(2)のアプリケーション認証システムにおいて、前記演算処理は、前記第1の認証鍵および第2の認証鍵それぞれと、前記抽出されたパスワードとの排他的論理和演算処理であることを特徴とするアプリケーション認証システムを提案している。 (8) In the application authentication system according to (2), the calculation process is an exclusive-OR calculation process of each of the first authentication key and the second authentication key and the extracted password. We propose an application authentication system that is characterized by a certain feature.
この発明によれば、演算処理は、第1の認証鍵および第2の認証鍵それぞれと、抽出されたパスワードとの排他的論理和演算処理である。したがって、第1の認証鍵および第2の認証鍵それぞれと、パスワードとに論理和演算処理を行うことにより、簡単な暗号化方法である論理和演算処理を使用し、解読が困難な結果を生成することができる。 According to the present invention, the calculation process is an exclusive OR calculation process of each of the first authentication key and the second authentication key and the extracted password. Therefore, by performing an OR operation on each of the first authentication key and the second authentication key and the password, an OR operation that is a simple encryption method is used to generate a result that is difficult to decipher. can do.
(9) 本発明は、認証アプリケーションと連携して認証処理を行なうアプリケーションを有し、オープンプラットフォームが搭載されたオープン端末と、前記認証アプリケーションを有し、前記オープン端末に挿脱されるユーザ識別モジュールカードと、を用いたアプリケーション認証方法であって、前記認証アプリケーションが、第1の認証鍵、第2の認証鍵、および正規変換情報を、前記アプリケーションが、前記第1の認証鍵および前記第2の認証鍵から生成された前処理情報を、予め記憶しており、前記認証アプリケーションが、記憶されている第2の認証鍵を前記アプリケーションに送信する第1のステップ(例えば、図3のステップS1)と、前記アプリケーションが、受信した第2の認証鍵により、記憶されている前処理情報から前記第1の認証鍵が取得できるか否かにより前記ユーザ識別モジュールカードの認証可否を判定する第2のステップ(例えば、図3のステップS2、S3)と、前記アプリケーションが、前記第2のステップで前記第1の認証鍵が取得できたことにより認証可と判定する場合に、前記アプリケーションを不可逆関数で変換し、変換情報を生成する第3のステップ(例えば、図3のステップS4)と、前記アプリケーションが、生成された変換情報を、前記第2のステップで取得された第1の認証鍵により暗号化し、暗号化された変換情報を前記認証アプリケーションに送信する第4のステップ(例えば、図3のステップS5)と、前記認証アプリケーションが、受信した前記暗号化された変換情報を、記憶されている第1の認証鍵にて復号化する第5のステップ(例えば、図3のステップS6)と、前記認証アプリケーションが、復号化された変換情報、および記憶されている正規変換情報を比較し、前記アプリケーションの改ざんの有無を判定する第6のステップ(例えば、図3のステップS7、S8)と、前記認証アプリケーションが、前記復号化された変換情報と前記正規変換情報とが一致し、改ざんされていないと判定する場合に、乱数を2つ生成し、生成された2つの乱数それぞれを前記第1の認証鍵と前記第2の認証鍵として記憶する第7のステップ(例えば、図3のステップS9)と、前記認証アプリケーションが、生成された第1の認証鍵および第2の認証鍵から前記前処理情報を生成し、生成された前処理情報を前記アプリケーションに送信する第8のステップ(例えば、図3のステップS10)と、前記アプリケーションが、受信した前処理情報を記憶する第9のステップ(例えば、図3のステップS11)と、を有することを特徴とするアプリケーション認証方法を提案している。 (9) The present invention includes an application that performs authentication processing in cooperation with an authentication application, and includes an open terminal equipped with an open platform, and a user identification module that includes the authentication application and is inserted into and removed from the open terminal. An application authentication method using a card, wherein the authentication application includes a first authentication key, a second authentication key, and normal conversion information, and the application includes the first authentication key and the second authentication key. The pre-processing information generated from the authentication key is stored in advance, and the authentication application transmits the stored second authentication key to the application in the first step (for example, step S1 in FIG. 3). ) And the preprocessing information stored by the application using the received second authentication key. A second step (for example, steps S2 and S3 in FIG. 3) for determining whether or not the user identification module card can be authenticated based on whether or not the first authentication key can be obtained from the application, A third step of converting the application with an irreversible function and generating conversion information (eg, step S4 in FIG. 3) when it is determined that authentication is possible because the first authentication key has been acquired in the step; In the fourth step (for example, the application encrypts the generated conversion information with the first authentication key acquired in the second step, and transmits the encrypted conversion information to the authentication application (for example, Step S5) of FIG. 3 and the authentication application receives the received encrypted conversion information using the stored first authentication key. The authentication application compares the decrypted conversion information and the stored normal conversion information to determine whether or not the application has been tampered with, for example, a fifth step of encoding (for example, step S6 in FIG. 3). When the authentication application determines that the decrypted conversion information matches the regular conversion information and has not been tampered with (for example, steps S7 and S8 in FIG. 3) A seventh step (for example, step S9 in FIG. 3) for generating two random numbers and storing the two generated random numbers as the first authentication key and the second authentication key, respectively, Generating the preprocessing information from the generated first authentication key and second authentication key, and transmitting the generated preprocessing information to the application. An application authentication method comprising: a first step (for example, step S10 in FIG. 3) and a ninth step (for example, step S11 in FIG. 3) in which the application stores received preprocessing information. is suggesting.
この発明によれば、認証アプリケーションが、第1の認証鍵、第2の認証鍵、および正規変換情報を、アプリケーションが、第1の認証鍵および第2の認証鍵から生成された前処理情報を、予め記憶している。まず、第1のステップにおいて、認証アプリケーションは、記憶されている第2の認証鍵をアプリケーションに送信する。次に、第2のステップにおいて、アプリケーションは、受信した第2の認証鍵により、記憶されている前処理情報から第1の認証鍵が取得できるか否かによりユーザ識別モジュールカードの認証可否を判定する。次に、第3のステップにおいて、アプリケーションは、第2のステップで第1の認証鍵が取得できたことにより認証可と判定する場合に、アプリケーションを不可逆関数で変換し、変換情報を生成する。次に、第4のステップにおいて、アプリケーションは、生成された変換情報を、第2のステップで取得された第1の認証鍵により暗号化し、暗号化された変換情報を認証アプリケーションに送信する。次に、第5のステップにおいて、認証アプリケーションは、受信した暗号化された変換情報を、記憶されている第1の認証鍵にて復号化する。次に、第6のステップにおいて、認証アプリケーションが、復号化された変換情報、および記憶されている正規変換情報を比較し、アプリケーションの改ざんの有無を判定する。次に、第7のステップにおいて、認証アプリケーションは、復号化された変換情報と正規変換情報とが一致し、改ざんされていないと判定する場合に、乱数を2つ生成し、生成された2つの乱数それぞれを第1の認証鍵と第2の認証鍵として記憶する。次に、第8のステップにおいて、認証アプリケーションは、生成された第1の認証鍵および第2の認証鍵から前処理情報を生成し、生成された前処理情報をアプリケーションに送信する。次に、第9のステップにおいて、アプリケーションは、受信した前処理情報を記憶する。したがって、オープン端末のアプリケーションに予め記憶されている前処理情報を用いて、ユーザ識別モジュールカードを認証した上で、ユーザ識別モジュールカードの認証アプリケーションに予め記憶されている正規のアプリケーションを一方向関数で変換した結果(正規変換情報)とアプリケーションを一方向関数で変換した結果(変換情報)と、を照合し、オープン端末のアプリケーションが改ざんされていないことを保証することにより、ユーザ識別モジュールカードを用いて、オープン端末のアプリケーションをセキュアに利用することが可能となる。 According to the present invention, the authentication application uses the first authentication key, the second authentication key, and the normal conversion information, and the application uses the pre-processing information generated from the first authentication key and the second authentication key. , Stored in advance. First, in the first step, the authentication application transmits the stored second authentication key to the application. Next, in the second step, the application determines whether or not the user identification module card can be authenticated based on whether or not the first authentication key can be acquired from the stored pre-processing information using the received second authentication key. To do. Next, in the third step, the application converts the application with an irreversible function and generates conversion information when determining that the authentication is possible because the first authentication key has been acquired in the second step. Next, in the fourth step, the application encrypts the generated conversion information with the first authentication key acquired in the second step, and transmits the encrypted conversion information to the authentication application. Next, in a fifth step, the authentication application decrypts the received encrypted conversion information with the stored first authentication key. Next, in a sixth step, the authentication application compares the decrypted conversion information and the stored normal conversion information to determine whether the application has been tampered with. Next, in the seventh step, when the authentication application determines that the decrypted conversion information and the normal conversion information match and has not been tampered with, the authentication application generates two random numbers. Each random number is stored as a first authentication key and a second authentication key. Next, in an eighth step, the authentication application generates preprocessing information from the generated first authentication key and second authentication key, and transmits the generated preprocessing information to the application. Next, in a ninth step, the application stores the received preprocessing information. Therefore, after authenticating the user identification module card using the preprocessing information stored in advance in the application of the open terminal, the regular application stored in advance in the authentication application of the user identification module card is expressed by a one-way function. The user identification module card is used by comparing the result of conversion (regular conversion information) with the result of conversion of the application with a one-way function (conversion information) to ensure that the application on the open terminal has not been tampered with. Thus, it is possible to use the open terminal application securely.
(10) 本発明は、認証アプリケーションと連携して認証処理を行なうアプリケーションを有し、オープンプラットフォームが搭載されたオープン端末と、前記認証アプリケーションを有し、前記オープン端末に挿脱されるユーザ識別モジュールカードと、を用いたアプリケーション認証方法をコンピュータに実行させるためのプログラムであって、前記認証アプリケーションが、第1の認証鍵、第2の認証鍵、および正規変換情報を、前記アプリケーションが、前記第1の認証鍵および前記第2の認証鍵から生成された前処理情報を、予め記憶しており、前記認証アプリケーションが、記憶されている第2の認証鍵を前記アプリケーションに送信する第1のステップ(例えば、図3のステップS1)と、前記アプリケーションが、受信した第2の認証鍵により、記憶されている前処理情報から前記第1の認証鍵が取得できるか否かにより前記ユーザ識別モジュールカードの認証可否を判定する第2のステップ(例えば、図3のステップS2、S3)と、前記アプリケーションが、前記第2のステップで前記第1の認証鍵が取得できたことにより認証可と判定する場合に、前記アプリケーションを不可逆関数で変換し、変換情報を生成する第3のステップ(例えば、図3のステップS4)と、前記アプリケーションが、生成された変換情報を、前記第2のステップで取得された第1の認証鍵により暗号化し、暗号化された変換情報を前記認証アプリケーションに送信する第4のステップ(例えば、図3のステップS5)と、前記認証アプリケーションが、受信した前記暗号化された変換情報を、記憶されている第1の認証鍵にて復号化する第5のステップ(例えば、図3のステップS6)と、前記認証アプリケーションが、復号化された変換情報、および記憶されている正規変換情報を比較し、前記アプリケーションの改ざんの有無を判定する第6のステップ(例えば、図3のステップS7、S8)と、前記認証アプリケーションが、前記復号化された変換情報と前記正規変換情報とが一致し、改ざんされていないと判定する場合に、乱数を2つ生成し、生成された2つの乱数それぞれを前記第1の認証鍵と前記第2の認証鍵として記憶する第7のステップ(例えば、図3のステップS9)と、前記認証アプリケーションが、生成された第1の認証鍵および第2の認証鍵から前記前処理情報を生成し、生成された前処理情報を前記アプリケーションに送信する第8のステップ(例えば、図3のステップS10)と、前記アプリケーションが、受信した前処理情報を記憶する第9のステップ(例えば、図3のステップS11)と、をコンピュータに実行させるためのプログラムを提案している。 (10) The present invention includes an application that performs authentication processing in cooperation with an authentication application, and includes an open terminal on which an open platform is mounted, and a user identification module that includes the authentication application and is inserted into and removed from the open terminal. A program for causing a computer to execute an application authentication method using a card, wherein the authentication application receives a first authentication key, a second authentication key, and normal conversion information, and the application A first step in which pre-processing information generated from one authentication key and the second authentication key is stored in advance, and the authentication application transmits the stored second authentication key to the application; (For example, step S1 in FIG. 3) and the application receives A second step of determining whether or not the user identification module card can be authenticated based on whether or not the first authentication key can be acquired from the stored pre-processing information using the second authentication key (for example, the step of FIG. 3) S2, S3), and when the application determines that authentication is possible because the first authentication key has been acquired in the second step, the application is converted with an irreversible function to generate conversion information. Third step (for example, step S4 in FIG. 3), and the application encrypts the generated conversion information with the first authentication key acquired in the second step, and the converted conversion information is encrypted. A fourth step (e.g., step S5 in FIG. 3) to send the authentication application to the authentication application, and the authentication application received the encrypted A fifth step of decrypting the conversion information with the stored first authentication key (for example, step S6 in FIG. 3), and the authentication application stores the decrypted conversion information and A sixth step (for example, steps S7 and S8 in FIG. 3) for comparing the normal conversion information and determining whether or not the application has been tampered with, and the authentication application includes the decrypted conversion information and the normal conversion information. Are determined, and two random numbers are generated, and the two generated random numbers are stored as the first authentication key and the second authentication key, respectively. (For example, step S9 in FIG. 3), the authentication application generates the preprocessing information from the generated first authentication key and second authentication key, and the generated preprocessing information. And an eighth step (for example, step S10 in FIG. 3) for transmitting the received information to the application, and a ninth step (for example, step S11 in FIG. 3) for storing the received preprocessing information by the application. Has proposed a program to be executed.
この発明によれば、認証アプリケーションが、第1の認証鍵、第2の認証鍵、および正規変換情報を、アプリケーションが、第1の認証鍵および第2の認証鍵から生成された前処理情報を、予め記憶している。まず、第1のステップにおいて、認証アプリケーションは、記憶されている第2の認証鍵をアプリケーションに送信する。次に、第2のステップにおいて、アプリケーションは、受信した第2の認証鍵により、記憶されている前処理情報から第1の認証鍵が取得できるか否かによりユーザ識別モジュールカードの認証可否を判定する。次に、第3のステップにおいて、アプリケーションは、第2のステップで第1の認証鍵が取得できたことにより認証可と判定する場合に、アプリケーションを不可逆関数で変換し、変換情報を生成する。次に、第4のステップにおいて、アプリケーションは、生成された変換情報を、第2のステップで取得された第1の認証鍵により暗号化し、暗号化された変換情報を認証アプリケーションに送信する。次に、第5のステップにおいて、認証アプリケーションは、受信した暗号化された変換情報を、記憶されている第1の認証鍵にて復号化する。次に、第6のステップにおいて、認証アプリケーションが、復号化された変換情報、および記憶されている正規変換情報を比較し、アプリケーションの改ざんの有無を判定する。次に、第7のステップにおいて、認証アプリケーションは、復号化された変換情報と正規変換情報とが一致し、改ざんされていないと判定する場合に、乱数を2つ生成し、生成された2つの乱数それぞれを第1の認証鍵と第2の認証鍵として記憶する。次に、第8のステップにおいて、認証アプリケーションは、生成された第1の認証鍵および第2の認証鍵から前処理情報を生成し、生成された前処理情報をアプリケーションに送信する。次に、第9のステップにおいて、アプリケーションは、受信した前処理情報を記憶する。したがって、オープン端末のアプリケーションに予め記憶されている前処理情報を用いて、ユーザ識別モジュールカードを認証した上で、ユーザ識別モジュールカードの認証アプリケーションに予め記憶されている正規のアプリケーションを一方向関数で変換した結果(正規変換情報)とアプリケーションを一方向関数で変換した結果(変換情報)と、を照合し、オープン端末のアプリケーションが改ざんされていないことを保証することにより、ユーザ識別モジュールカードを用いて、オープン端末のアプリケーションをセキュアに利用することが可能となる。 According to the present invention, the authentication application uses the first authentication key, the second authentication key, and the normal conversion information, and the application uses the pre-processing information generated from the first authentication key and the second authentication key. , Stored in advance. First, in the first step, the authentication application transmits the stored second authentication key to the application. Next, in the second step, the application determines whether or not the user identification module card can be authenticated based on whether or not the first authentication key can be acquired from the stored pre-processing information using the received second authentication key. To do. Next, in the third step, the application converts the application with an irreversible function and generates conversion information when determining that the authentication is possible because the first authentication key has been acquired in the second step. Next, in the fourth step, the application encrypts the generated conversion information with the first authentication key acquired in the second step, and transmits the encrypted conversion information to the authentication application. Next, in a fifth step, the authentication application decrypts the received encrypted conversion information with the stored first authentication key. Next, in a sixth step, the authentication application compares the decrypted conversion information and the stored normal conversion information to determine whether the application has been tampered with. Next, in the seventh step, when the authentication application determines that the decrypted conversion information and the normal conversion information match and has not been tampered with, the authentication application generates two random numbers. Each random number is stored as a first authentication key and a second authentication key. Next, in an eighth step, the authentication application generates preprocessing information from the generated first authentication key and second authentication key, and transmits the generated preprocessing information to the application. Next, in a ninth step, the application stores the received preprocessing information. Therefore, after authenticating the user identification module card using the preprocessing information stored in advance in the application of the open terminal, the regular application stored in advance in the authentication application of the user identification module card is expressed by a one-way function. The user identification module card is used by comparing the result of conversion (regular conversion information) with the result of conversion of the application with a one-way function (conversion information) to ensure that the application on the open terminal has not been tampered with. Thus, it is possible to use the open terminal application securely.
本発明によれば、UIM等のユーザ識別モジュールカードを用いることにより、オープン環境にある端末のアプリケーションをセキュアに利用することが可能となる。 According to the present invention, by using a user identification module card such as a UIM, it is possible to securely use an application of a terminal in an open environment.
以下、図面を用いて、本発明の実施形態について詳細に説明する。なお、本実施形態における構成要素は適宜、既存の構成要素等との置き換えが可能であり、また、他の既存の構成要素との組み合わせを含むさまざまなバリエーションが可能である。したがって、本実施形態の記載をもって、特許請求の範囲に記載された発明の内容を限定するものではない。 Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings. Note that the components in the present embodiment can be appropriately replaced with existing components and the like, and various variations including combinations with other existing components are possible. Therefore, the description of the present embodiment does not limit the contents of the invention described in the claims.
<第1の実施形態>
<アプリケーション認証システムのシステム構成>
図1は、本発明の第1の実施形態にかかるアプリケーション認証システム1を用いたモバイルバンキングシステムのシステム構成図である。オープン端末は、オープンなプラットフォーム、例えば、Andoroid(登録商標)が搭載された端末であって、ネットワークを介してサーバと接続される。モバイルバンキングシステムを想定した場合、オープン端末は、例えば、携帯電話機10であり、サーバは銀行サーバ30である。
<First Embodiment>
<System configuration of application authentication system>
FIG. 1 is a system configuration diagram of a mobile banking system using an
携帯電話機10は、本実施形態において、モバイルバンキングシステムのアプリケーション(以下、アプリという)100を有しており、このアプリ100と銀行サーバ30とがデータの送受信をおこなうことによって、各種取引が実行される。なお、アプリは、銀行サーバ30または、各種アプリケーションを提供するアプリケーションサーバ(図示せず)からダウンロードされる。また、携帯電話機10には、ユーザ識別モジュールカードが挿入される。
In the present embodiment, the
ユーザ識別モジュールカードは、例えば、UIM(User Identity Module)カード20である。UIMカードは、携帯電話通信事業者が発行する、契約者情報(例えば固有識別子)を記録したICカードであって、携帯電話機に差し込んで利用される。UIMカードは、契約者情報以外に、アドレス帳のようなプライベート情報や、クレジット決済用の個人識別情報も、暗号化して登録することができる。また、UIMカードは、異なる携帯電話機に挿脱可能である。ユーザ識別モジュールカードは、UIMカードに限られず、SIM(Subscriber Identity Module Card)カードであってもよいし、USIM(Universal SIM)カードまたはR−UIM(Removable UIM)と称されるものであってもよい。
The user identification module card is, for example, a UIM (User Identity Module)
UIMカード20は、本実施形態において、アプリ100の認証を行うための認証アプリケーション(以下、単に認証アプリという)200を有する。
In the present embodiment, the
<アプリケーション認証システムの機能構成>
図2は、本発明の第1の実施形態にかかる携帯電話機10が有するアプリ100およびUIMカード20が有する認証アプリ200の機能構成を示す図である。なお、アプリ100が有するモバイルバンキングシステムを利用するための機能構成については省略し、アプリケーション認証システムに用いられる機能構成のみを示す。
<Functional configuration of application authentication system>
FIG. 2 is a diagram illustrating a functional configuration of the
図2に示すように、アプリ100と認証アプリ200とは、携帯電話機10の通信部11およびUIMカード20の通信部21とを介して、データの送受信を行う。アプリ100は、前処理情報記憶部101、起動制御部102、認証部103、変換情報生成部104、および認証鍵暗号化部105から構成される。一方。認証アプリ200は、鍵情報記憶部201、認証鍵送信部202、認証鍵復号化部203、改ざん判定部204、認証鍵生成部205、および前処理情報生成部206から構成される。
As shown in FIG. 2, the
図3は、本発明の第1の実施形態にかかるアプリケーション認証システム1における認証処理のシーケンスを示す図である。アプリ100および認証アプリ200の各部について、図3の認証処理のシーケンスを用いて説明する。
FIG. 3 is a diagram showing a sequence of authentication processing in the
まず、認証処理が開始する際に、鍵情報記憶部201および前処理情報記憶部101が記憶している情報について説明する。
First, information stored in the key
鍵情報記憶部201は、第1の認証鍵、第2の認証鍵、および正規変換情報を予め記憶している。ここで、正規変換情報は、銀行サーバ30またはアプリケーションサーバが保持する正規のアプリ100を一方向関数で変換した結果であって、携帯電話機10が有するアプリ100が改ざんされていないかをチェックするために用いられる。なお、正規変換情報は、認証アプリ200に最初から格納されている。第1の認証鍵および第2の認証鍵については後述する。
The key
前処理情報記憶部101は、前回の認証処理において生成された前処理情報を予め記憶している。前処理情報は、第1の認証鍵と第2の認証鍵を含み、詳細については後述する。
The preprocessing
最初に、ステップS0において、起動制御部102は、携帯電話機10のユーザによりアプリ100が起動されたことによって、アプリ100が認証鍵要求を認証アプリ200に送信する。これにより、認証処理が開始する。
First, in step S <b> 0, the
次に、ステップS1において、認証鍵送信部202は、アプリ100から認証鍵要求を受信すると、鍵情報記憶部201から第2の認証鍵を取得し、アプリ100に送信する。
Next, in step S <b> 1, upon receiving an authentication key request from the
次に、ステップS2において、認証部103は、認証アプリ200から第2の認証鍵を受信すると、前処理情報記憶部101から前処理情報を取得し、受信した第2の認証鍵で、取得した前処理情報から第1の認証鍵が取得できるか否かを判定する。
Next, in step S <b> 2, upon receiving the second authentication key from the
次に、ステップS3において、認証部103(ステップS2)で第1の認証鍵が取得できた場合(YES)に、認証部103は、UIMカード20を認証し、ステップS4に処理を進める。一方、認証部103(ステップS2)で第1の認証鍵が取得できなかった場合(NO)には、認証部103は、UIMカード20が認証せず、処理を終了する。
Next, in Step S3, when the first authentication key can be acquired by the authentication unit 103 (Step S2) (YES), the
次に、ステップS4において、変換情報生成部104は、アプリ100を一方向関数で変換し、変換情報を生成する。ここで、一方向関数として、例えば、SHA−1ハッシュ関数を用いる。変換情報生成部104でSHA−1ハッシュ関数を用いて、変換情報を生成する場合には、上述した正規変換情報も当然SHA−1ハッシュ関数を用いて生成される。
Next, in step S4, the conversion
次に、ステップS5において、認証鍵暗号化部105は、変換情報生成部104(ステップS3)で生成された変換情報を、認証部103(ステップS2)で取得された第1の認証鍵により暗号化し、暗号化した変換情報を、認証アプリ200に送信する。
Next, in step S5, the authentication
次に、ステップS6において、認証鍵復号化部203は、アプリ100から暗号化された変換情報を受信すると、鍵情報記憶部201から第1の認証鍵を取得し、取得した認証鍵で、受信した暗号化された変換情報を復号化する。
Next, in step S6, when receiving the conversion information encrypted from the
次に、ステップS7において、改ざん判定部204は、認証鍵復号化部203(ステップS6)で復号化された変換情報、および鍵情報記憶部201に記憶されている正規変換情報を比較し、アプリ100が改ざんされているか否かを判定する。
Next, in step S7, the
次に、ステップS8において、復号化された変換情報と、正規変換情報とが一致する場合に(YES)、改ざん判定部204は、アプリ100が改ざんされていないと判定し、アプリ100のモバイルバンキングシステムに関する機能を使用可能にし、また、ステップS9へ処理を進める。一方、復号化された変換情報と、正規変換情報とが一致しない場合に(NO)、改ざん判定部204は、アプリ100が改ざんされていると判定し、ステップS12に処理を進める。
Next, in step S8, when the decrypted conversion information matches the regular conversion information (YES), the
次に、ステップS9において、認証鍵生成部205は、乱数を2つ生成し、生成された乱数それぞれを第1の認証鍵および第2の認証鍵として、鍵情報記憶部201に記憶する。具体的には、認証鍵生成部205は、鍵情報記憶部201に記憶されている第1の認証鍵および第2の認証鍵を、新たに生成した第1の認証鍵および第2の認証鍵で置き換える。なお、第1の認証鍵および第2の認証鍵は、AES暗号化方式の鍵であって、鍵長は128ビットである。
Next, in step S9, the authentication
次に、ステップS10において、前処理情報生成部206は、認証鍵生成部205(ステップS9)で生成された第1の認証鍵および第2の認証鍵を含む前処理情報を生成し、生成した前処置情報をアプリ100に送信する。
Next, in step S10, the preprocessing
次にステップS11において、前処理情報記憶部101は、認証アプリ200から前処理情報を受信すると、受信した前処理情報を記憶する。ここで、前処理情報記憶部101に記憶された前処理情報は、次回、アプリ100が起動された場合に認証に用いられる。
Next, in step S <b> 11, when the preprocessing
次に、ステップS12において、改ざん判定部204は、復号化された変換情報と、正規変換情報とが一致しない旨のエラー情報をアプリ100に送信し、処理を終了する。エラー情報を受信したアプリ100は、携帯電話機10のUI部12に受信したエラー情報を表示する。
Next, in step S12, the
以上、アプリ100の前処理情報記憶部101に前処理情報が記憶されている場合、すなわち、アプリ100の起動が2回目以降の起動である場合について説明した。次に、図4を用いて、アプリ100の起動が初回である場合、すなわち、アプリ100の前処理情報記憶部101に前処理情報が記憶されていない場合について説明する。
The case where the preprocessing information is stored in the preprocessing
図4は、本発明の第1の実施形態にかかるアプリケーション認証システム1における初回認証処理のシーケンスを示す図である。なお図3と同一の符号を付すステップについては、同一機能部により同一処理であることから、その詳細な説明は省略する。
FIG. 4 is a diagram showing a sequence of initial authentication processing in the
まず、ステップS21において、起動制御部102は、携帯電話機10のユーザによりアプリ100が起動されると、初回起動であるか否かを判定する。初回起動であると判定した場合には、ステップS22の処理に進む。一方、2回目以降の起動であると判定した場合には、上述した図3のステップS0に処理を進める。
First, in step S <b> 21, when the
次に、ステップS22において、変換情報生成部104は、アプリケーションを一方向関数で変換し、変換情報を生成し、生成した変換情報を認証アプリケーションに送信する。
Next, in step S22, the conversion
次に、ステップS23において、改ざん判定部204は、アプリ100から受信した変換情報、および鍵情報記憶部201に記憶されている正規変換情報を比較し、アプリ100が改ざんされているか否かを判定する。
Next, in step S <b> 23, the
次に、ステップS24において、改ざん判定部204は、受信した変換情報と、正規変換情報とが一致する場合に(YES)、改ざん判定部204は、アプリ100が改ざんされていないと判定し、ステップS9へ処理を進める。一方、復号化された変換情報と、正規変換情報とが一致しない場合に(NO)、改ざん判定部204は、アプリ100が改ざんされていると判定し、ステップS12に処理を進める。
Next, in step S24, the
以上説明したように、本実施形態によれば、UIMカード20を用いることにより、オープン端末の1つである携帯電話機10が有するアプリケーションをセキュアに利用することが可能となる。
As described above, according to the present embodiment, by using the
<第2の実施形態>
図5を用いて、本発明の第2の実施形態について説明する。なお、本実施形態におけるアプリケーション認証システム2は、携帯電話機10のアプリ110にユーザ認証のため入力されたパスワードを利用するものである。なお、本実施形態に係るアプリケーション認証システムのシステム構成は、第1の実施形態と同様であるので、省略する。
<Second Embodiment>
A second embodiment of the present invention will be described with reference to FIG. Note that the
<アプリケーション認証システムの機能構成>
図5は、本発明の第2の実施形態に係る携帯電話機10が有するアプリ110およびUIMカード20が有する認証アプリ210の機能構成を示す図である。図5に示すように、アプリ110と認証アプリ210とは、携帯電話機10の通信部11およびUIMカード20の通信部21とを介して、データの送受信を行う。アプリ110は、前処理情報記憶部101、起動制御部112、認証部113、変換情報生成部104、および認証鍵暗号化部115から構成される。一方。認証アプリ210は、鍵情報記憶部201、認証鍵送信部202、認証鍵復号化部213、改ざん判定部204、認証鍵生成部205、および前処理情報生成部216から構成される。なお、第1の実施形態と同一の符号を付す構成要素については、同一の機能を有することから、その詳細な説明は省略する。
<Functional configuration of application authentication system>
FIG. 5 is a diagram illustrating a functional configuration of the
起動制御部112は、アプリ110が起動された際に、UI部12を介してユーザにパスワードの入力を要求する。そして、起動制御部112は、UI部12を介してユーザにより入力されたパスワードを受け付ける。
The
前処理情報生成部216は、認証鍵生成部205で生成された第1の認証鍵および第2の認証鍵を、後述する認証鍵復号化部213で取得されたパスワードにより演算処理することにより前処理情報を生成し、生成した前処理情報をアプリ110に送信する。具体的には、前処理情報生成部216は、第1の認証鍵および第2の認証鍵それぞれとパスワードとの排他的論理和演算処理を行うことにより、前処理情報を生成する。
The preprocessing
認証部113は、認証アプリ210から第2の認証鍵を受信すると、前処理情報記憶部101から前処理情報を取得し、受信した第2の認証鍵および起動制御部112で受け付けたパスワードにより、取得した前処理情報から第1の認証鍵が取得できるか否かを判定する。第1の認証鍵が取得できた場合には、認証部113は、UIMカード20を認証する。一方、第1の認証鍵が取得できなかった場合には、認証部113は、UIMカード20が認証しない。
Upon receiving the second authentication key from the
認証鍵暗号化部115は、変換情報生成部104で生成された変換情報、および起動制御部112で受け付けたパスワードを組み合わせて、認証部113で取得された第1の認証鍵により暗号化し、暗号化したパスワードが組み合わされた変換情報を認証アプリ210に送信する。なお、認証鍵暗号化部115は、例えば、パスワードおよび変換情報を連結することにより、変換情報およびパスワードを組み合わせる。
The authentication
認証鍵復号化部213は、アプリ110から暗号化されたパスワードが組み合わされた変換情報を受信すると、鍵情報記憶部201から第1の認証鍵を取得し、取得した認証鍵で復号化し、変換情報およびパスワードを抽出する。
Upon receiving the conversion information in which the encrypted password is combined from the
以上説明したように、本実施形態によれば、ユーザから受け付けたパスワードを前処理情報の生成に用いることにより、前処理のユーザと現処理のユーザとが一致するか否か照合し、異なるユーザの使用を防ぐことができるので、オープン端末のアプリケーションをセキュアに利用することが可能となる。 As described above, according to the present embodiment, by using the password received from the user for generating the preprocessing information, it is checked whether the preprocessing user and the current processing user match, and different users. Therefore, it is possible to use an open terminal application securely.
<第3の実施形態>
図6を用いて、本発明の第3の実施形態について説明する。なお、本実施形態におけるアプリケーション認証システム3は、公開鍵暗号および共通鍵暗号を用いるものである。なお、本実施形態に係るアプリケーション認証システムのシステム構成は、第1の実施形態と同様であるので、省略する。
<Third Embodiment>
A third embodiment of the present invention will be described with reference to FIG. Note that the
<アプリケーション認証システムの機能構成>
図6は、本発明の第3の実施形態に係る携帯電話機10が有するアプリ120およびUIMカード20が有する認証アプリ220の機能構成を示す図である。図6に示すように、アプリ120と認証アプリ220とは、携帯電話機10の通信部11およびUIMカードの通信部21とを介して、データの送受信を行う。なお、図6において、通信部11および通信部21を図示していないが、図2と同様に携帯電話機10およびUIMカード20それぞれに備えられている。
<Functional configuration of application authentication system>
FIG. 6 is a diagram illustrating a functional configuration of the
アプリ120は、前処理情報記憶部101、起動制御部122、共通鍵復元部126、共通鍵復号化部127、認証部123、変換情報生成部104、認証鍵暗号化部105、および公開鍵暗号化部128から構成される。一方。認証アプリ200は、鍵情報記憶部221、共通鍵暗号化部227、認証鍵送信部222、認証鍵復号化部203、公開鍵復号化部228、改ざん判定部204、認証鍵生成部205、および前処理情報生成部206から構成される。なお、第1の実施形態と同一の符号を付す構成要素については、同一の機能を有することから、その詳細な説明は省略する。
The
鍵情報記憶部221は、第1の認証鍵、第2の認証鍵、および正規変換情報とともに、秘密鍵、秘密鍵に対応する公開鍵、および共通鍵を予め記憶している。秘密鍵および公開鍵は、RSA方式の秘密鍵および公開鍵であって、共通鍵は、AES暗号化方式の共通鍵である。なお、秘密鍵、公開鍵、および共通鍵は、認証アプリ220に最初から格納されている。
The key
起動制御部122は、携帯電話機10のユーザによりアプリ120が起動されると、起動通知を認証アプリ220に送信する。また、起動制御部122は、アプリ120が起動されると、初回起動であるか否かを判定する。初回起動であると判定した場合には、後述する共通鍵復号化部127で公開鍵が取得されると、上述した図4のステップS21の処理に進む。一方、2回目以降の起動であると判定した場合には、後述する共通鍵復号化部127で公開鍵が取得されると、上述した図3のステップS0の処理に進む。
When the
共通鍵暗号化部227は、アプリ120から起動通知を受信すると、鍵情報記憶部221に格納されている公開鍵を、同じく鍵情報記憶部221に格納されている共通鍵で暗号化し、暗号化した公開鍵をアプリ120に送信する。
When the common
共通鍵復元部126は、認証アプリ220から暗号化された公開鍵を受信すると、アプリ120に分散保存された複数個の共通鍵の断片を回収して、共通鍵を復元する。
When the common
共通鍵復号化部127は、共通鍵復元部126で共通鍵が復元されると、認証アプリ220から暗号化された公開鍵を、共通鍵復元部126で復元された共通鍵で復号化する。
When the common key is restored by the common
認証鍵送信部222は、認証鍵要求を受信すると、鍵情報記憶部221から第2の認証鍵および秘密鍵を取得し、取得した第2の認証鍵を、同じく取得した秘密鍵で暗号化し、暗号化した第2の認証鍵を送信する。
Upon receiving the authentication key request, the authentication
認証部123は、認証アプリ220から暗号化された第2の認証鍵を受信すると、共通鍵復号化部127で復号化された公開鍵で復号し、前処理情報記憶部101から前処理情報を取得する。そして、認証部123は、復号化された第2の認証鍵で、取得した前処理情報から第1の認証鍵が取得できるか否かを判定する。第1の認証鍵が取得できた場合には、認証部123はUIMカード20を認証し、一方、第1の認証鍵が取得できなかった場合には、認証部123はUIMカード20が認証しない。
Upon receiving the second authentication key encrypted from the
公開鍵暗号化部128は、アプリ120の起動が初回である場合に、変換情報生成部104で生成された変換情報を、共通鍵復号化部127で復号化された公開鍵により暗号化し、認証アプリに送信する。
When the
公開鍵復号化部228は、アプリ120の起動が初回である場合、アプリ120から受信した公開鍵で暗号化された変換情報を、鍵情報記憶部221に記憶されている秘密鍵にて復号化する。
When the
以上説明したように、本実施形態によれば、UIMカード20を認証するために用いる第2の認証鍵の携帯電話機10のアプリ120とUIM20の認証アプリ220との間での送受信に公開鍵暗号方式および共通鍵暗号方式を用いることにより、また、共通鍵を分散保存することにより、オープン端末のアプリケーションをよりセキュアに利用することが可能となる。
As described above, according to the present embodiment, public key encryption is used for transmission / reception between the
なお、アプリケーション認証システムの処理をコンピュータ読み取り可能な記録媒体に記録し、この記録媒体に記録されたプログラムをアプリケーション認証システムを構成する各機器に読み込ませ、実行することによって本発明のアプリケーション認証システムを実現することができる。ここでいうコンピュータシステムとは、OSや周辺装置等のハードウェアを含む。 Note that the application authentication system of the present invention is recorded by recording the processing of the application authentication system on a computer-readable recording medium, causing each device constituting the application authentication system to read and execute the program recorded on the recording medium. Can be realized. The computer system here includes an OS and hardware such as peripheral devices.
また、「コンピュータシステム」は、WWW(World Wide Web)システムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されても良い。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。 Further, the “computer system” includes a homepage providing environment (or display environment) if a WWW (World Wide Web) system is used. The program may be transmitted from a computer system storing the program in a storage device or the like to another computer system via a transmission medium or by a transmission wave in the transmission medium. Here, the “transmission medium” for transmitting the program refers to a medium having a function of transmitting information, such as a network (communication network) such as the Internet or a communication line (communication line) such as a telephone line.
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。 The program may be for realizing a part of the functions described above. Furthermore, what can implement | achieve the function mentioned above in combination with the program already recorded on the computer system, and what is called a difference file (difference program) may be sufficient.
以上、この発明の実施形態につき、図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。 The embodiments of the present invention have been described in detail with reference to the drawings. However, the specific configuration is not limited to the embodiments, and includes designs and the like that do not depart from the gist of the present invention.
(変形形態1)
第3の実施形態において、予め共通鍵を復元するための鍵の種を、認証アプリ220で生成される乱数の偶奇により分散の仕方を違えておき、乱数の偶奇に応じて、異なった処理により、共通鍵を復元してもよい。例えば、乱数が偶数の場合には、アプリ120に分散保存された複数個の共通鍵の断片を回収して、鍵の種K、Ceの2つを用いて共通鍵を復元する。具体的には、まず、第1のステップとして、アプリ100に分散保存された複数個の共通鍵の断片を回収して、鍵の種K、Ceを復元する。次に、第2のステップとして、復元された鍵の種Kを同じく鍵の種Kで2回暗号化した値Lを求める。次に、第3のステップとして、鍵の種Ceを、第2のステップで求められた値Lで復号化することにより、共通鍵を復元する。一方、乱数が奇数の場合には、アプリ120に分散保存された複数個の共通鍵の断片を回収して、鍵の種K、Coの2つを用いて共通鍵を復元する。具体的には、まず、第1のステップとして、アプリ100に分散保存された複数個の共通鍵の断片を回収して、鍵の種K、Coを復元する。次に、第2のステップとして、復元された鍵の種Kを同じく鍵の種Kで3回暗号化した値Mを求める。次に、第3のステップとして、鍵の種Coを、第2のステップで求められた値Mで復号化することにより、共通鍵を復元する。なお、この場合、認証アプリ220は、乱数を生成する乱数生成部を備え、共通鍵暗号化部227は、暗号化した公開鍵、および乱数生成部で生成された乱数をアプリ120に送信する。
(Modification 1)
In the third embodiment, the key seed for restoring the common key in advance is distributed differently depending on the random number even and odd numbers generated by the
なお、各実施形態および変形形態は、適宜組み合わせて用いることもできるが、詳細な説明は省略する。 Each embodiment and modification may be used in appropriate combination, but detailed description is omitted.
1 アプリケーション認証システム
10 携帯電話機
11 通信部
12 UI部
100 アプリ
101 前処理情報記憶部
102 起動制御部
103 認証部
104 変換情報生成部
105 認証鍵暗号化部
20 UIMカード
21 通信部
200 認証アプリ
201 鍵情報記憶部
202 認証鍵送信部
203 認証鍵復号化部
204 改ざん判定部
205 認証鍵生成部
206 前処理情報生成部
DESCRIPTION OF
Claims (10)
前記認証アプリケーションは、
第1の認証鍵、第2の認証鍵、および正規変換情報を記憶する鍵情報記憶手段と、
記憶されている第2の認証鍵を前記アプリケーションに送信する第1の送信手段と、
を備え、
前記アプリケーションは、
前記第1の認証鍵および前記第2の認証鍵から生成された前処理情報を記憶する前処理情報記憶手段と、
受信した第2の認証鍵により、記憶されている前処理情報から前記第1の認証鍵が取得できるか否かにより前記ユーザ識別モジュールカードの認証可否を判定する認証手段と、
前記記憶されている前処理情報から前記第1の認証鍵が取得できたことにより認証可と判定する場合に、前記アプリケーションを一方向関数で変換し、変換情報を生成する変換情報生成手段と、
生成された変換情報を、前記認証手段で取得された第1の認証鍵により暗号化し、暗号化された変換情報を、前記認証アプリケーションに送信する認証鍵暗号化手段と、
を備え、
前記認証アプリケーションは、
さらに、
受信した前記暗号化された変換情報を、記憶されている第1の認証鍵にて復号化する認証鍵復号化手段と、
復号化された変換情報、および記憶されている正規変換情報を比較し、前記アプリケーションの改ざんの有無を判定する改ざん判定手段と、
前記復号化された変換情報と前記正規変換情報とが一致し、改ざんされていないと判定する場合に、乱数を2つ生成し、生成された2つの乱数それぞれを前記第1の認証鍵と前記第2の認証鍵として前記鍵情報記憶手段に記憶する認証鍵生成手段と、
生成された第1の認証鍵および第2の認証鍵から前記前処理情報を生成し、生成した前処理情報を前記アプリケーションに送信する前処理情報生成手段と、
を備え、前記アプリケーションは、受信した前処理情報を前記前処理情報記憶手段に記憶することを特徴とするアプリケーション認証システム。 An application using an open terminal equipped with an open platform having an application that performs authentication processing in cooperation with an authentication application, and a user identification module card that has the authentication application and is inserted into and removed from the open terminal An authentication system,
The authentication application is
Key information storage means for storing a first authentication key, a second authentication key, and normal conversion information;
First transmitting means for transmitting a stored second authentication key to the application;
With
The application is
Preprocessing information storage means for storing preprocessing information generated from the first authentication key and the second authentication key;
Authentication means for determining whether or not the user identification module card can be authenticated based on whether or not the first authentication key can be acquired from the stored preprocessing information by the received second authentication key;
Conversion information generating means for converting the application with a one-way function and generating conversion information when determining that authentication is possible because the first authentication key has been acquired from the stored preprocessing information;
Authentication key encryption means for encrypting the generated conversion information with the first authentication key acquired by the authentication means and transmitting the encrypted conversion information to the authentication application;
With
The authentication application is
further,
Authentication key decryption means for decrypting the received encrypted conversion information with the stored first authentication key;
Tampering determination means that compares the decrypted conversion information and stored regular conversion information and determines whether the application has been tampered with;
When it is determined that the decrypted conversion information and the regular conversion information match and are not falsified, two random numbers are generated, and each of the two generated random numbers is set to the first authentication key and the Authentication key generation means for storing the second authentication key in the key information storage means;
Pre-processing information generating means for generating the pre-processing information from the generated first authentication key and second authentication key, and transmitting the generated pre-processing information to the application;
And the application stores the received preprocessing information in the preprocessing information storage means.
前記認証手段は、前記受信した第2の認証鍵、およびユーザから受け付けた前記パスワードにより、前記記憶されている前処理情報から前記第1の認証鍵が取得できるか否かにより前記ユーザ識別モジュールカードの認証可否を判定し、
前記認証鍵暗号化手段は、前記取得された変換情報、および前記ユーザから受け付けたパスワードを組み合わせて、前記認証手段で取得された第1の認証鍵により暗号化し、
前記認証鍵復号化手段は、受信した、パスワードが組み合わされた変換情報の暗号化を、前記記憶されている第1の認証鍵にて復号化し、前記変換情報と前記パスワードとを抽出することを特徴とする請求項1の記載のアプリケーション認証システム。 The stored preprocessing information is generated by computing the generated first authentication key and the second authentication key with a password by the preprocessing information generation means,
The authentication means determines whether or not the first authentication key can be obtained from the stored preprocessing information by the received second authentication key and the password received from the user. To determine whether or not
The authentication key encryption means combines the acquired conversion information and the password received from the user, and encrypts with the first authentication key acquired by the authentication means,
The authentication key decryption means decrypts the received conversion information combined with the password with the stored first authentication key, and extracts the conversion information and the password. The application authentication system according to claim 1, wherein:
前記認証アプリケーションは、
前記公開鍵を前記共通鍵で暗号化し、暗号化した公開鍵を送信する共通鍵暗号化手段を備え、
前記アプリケーションは、
前記アプリケーションに分散保存された複数個の前記共通鍵の断片を回収して、前記共通鍵を復元する共通鍵復元手段と、
受信した暗号化された公開鍵を、復元された共通鍵で復号化する共通鍵復号化手段と、を備え、
前記第1の送信手段は、前記記憶されている第2の認証鍵を前記秘密鍵で暗号化して、前記アプリケーションに送信し、
前記認証手段は、前記受信した暗号化された第2の認証鍵を、復号化された公開鍵で復号し、復号化された第2の認証鍵により、前記記憶されている前処理情報から前記第1の認証鍵が取得できるか否かにより前記ユーザ識別モジュールカードの認証可否を判定することを特徴とする請求項1または2に記載のアプリケーション認証システム。 The key information storage means further stores a secret key, a public key corresponding to the secret key, and a common key,
The authentication application is
A common key encryption means for encrypting the public key with the common key and transmitting the encrypted public key;
The application is
A common key recovery means for recovering the common key by collecting a plurality of pieces of the common key distributed and stored in the application;
A common key decryption means for decrypting the received encrypted public key with the restored common key,
The first transmission means encrypts the stored second authentication key with the secret key and transmits the encrypted second authentication key to the application,
The authentication means decrypts the received encrypted second authentication key with a decrypted public key, and uses the decrypted second authentication key from the stored preprocessing information to 3. The application authentication system according to claim 1, wherein whether or not the user identification module card can be authenticated is determined based on whether or not the first authentication key can be acquired.
乱数を生成する乱数生成手段を備え、
前記共通鍵暗号化手段は、前記暗号化した公開鍵、および生成された乱数を前記アプリケーションに送信し、
前記共通鍵復元手段は、受信した乱数の偶奇応じて、前記アプリケーションに分散保存された複数個の前記共通鍵の断片を回収し、前記共通鍵を復元することを特徴とする請求項3に記載のアプリケーション認証システム。 The authentication application is
A random number generating means for generating a random number;
The common key encryption means transmits the encrypted public key and the generated random number to the application,
The said common key restoration | recovery means collect | recovers the fragment | piece of the said some common key distributedly preserve | saved in the said application according to the even / odd of the received random number, The said common key is restored | restored, Application authentication system.
前記変換情報生成手段は、前記アプリケーションを一方向関数で変換し、変換情報を生成し、生成した変換情報を前記認証アプリケーションに送信し、
前記改ざん判定手段は、受信した変換情報、および記憶されている正規変換情報を比較し、前記アプリケーションの改ざんの有無を判定し、
前記認証鍵生成手段は、前記受信した変換情報と前記正規変換情報とが一致し、改ざんされていないと判定する場合に、乱数を2つ生成し、生成された2つの乱数それぞれを前記第1の認証鍵と前記第2の認証鍵として前記鍵情報記憶手段に記憶することを特徴とする請求項1または2に記載のアプリケーション認証システム。 When the application is first launched,
The conversion information generation means converts the application with a one-way function, generates conversion information, transmits the generated conversion information to the authentication application,
The falsification determination means compares the received conversion information and stored regular conversion information, determines whether the application has been falsified,
The authentication key generation means generates two random numbers when the received conversion information matches the regular conversion information and determines that the conversion information has not been tampered with, and each of the two generated random numbers is the first random number. 3. The application authentication system according to claim 1, wherein the authentication information and the second authentication key are stored in the key information storage unit.
前記認証アプリケーションは、
前記公開鍵を前記共通鍵で暗号化し、暗号化した公開鍵を送信する共通鍵暗号化手段と、
前記アプリケーションから受信した、前記公開鍵で暗号化された変換情報を、記憶されている秘密鍵にて復号化する公開鍵復号化手段と、
を備え、
前記アプリケーションは、
前記アプリケーションに分散保存された複数個の共通鍵の断片を回収して、前記共通鍵を復元する共通鍵復元手段と、
前記認証アプリケーションから受信した、暗号化された公開鍵を、復元された共通鍵で復号化する共通鍵復号化手段と、
生成された変換情報を、復号化された公開鍵により暗号化し、前記認証アプリケーションに送信する公開鍵暗号化手段と、
を備えることを特徴とする請求項5に記載のアプリケーション認証システム。 The key information storage means stores a secret key, a public key corresponding to the secret key, and a common key;
The authentication application is
A common key encryption means for encrypting the public key with the common key and transmitting the encrypted public key;
Public key decryption means for decrypting conversion information received from the application and encrypted with the public key with a stored secret key;
With
The application is
A plurality of common key fragments distributed and stored in the application, and a common key restoring means for restoring the common key;
Common key decryption means for decrypting the encrypted public key received from the authentication application with the restored common key;
Public key encryption means for encrypting the generated conversion information with the decrypted public key and transmitting it to the authentication application;
The application authentication system according to claim 5, further comprising:
前記認証アプリケーションが、第1の認証鍵、第2の認証鍵、および正規変換情報を、前記アプリケーションが、前記第1の認証鍵および前記第2の認証鍵から生成された前処理情報を、予め記憶しており、
前記認証アプリケーションが、記憶されている第2の認証鍵を前記アプリケーションに送信する第1のステップと、
前記アプリケーションが、受信した第2の認証鍵により、記憶されている前処理情報から前記第1の認証鍵が取得できるか否かにより前記ユーザ識別モジュールカードの認証可否を判定する第2のステップと、
前記アプリケーションが、前記第2のステップで前記第1の認証鍵が取得できたことにより認証可と判定する場合に、前記アプリケーションを不可逆関数で変換し、変換情報を生成する第3のステップと、
前記アプリケーションが、生成された変換情報を、前記第2のステップで取得された第1の認証鍵により暗号化し、暗号化された変換情報を前記認証アプリケーションに送信する第4のステップと、
前記認証アプリケーションが、受信した前記暗号化された変換情報を、記憶されている第1の認証鍵にて復号化する第5のステップと、
前記認証アプリケーションが、復号化された変換情報、および記憶されている正規変換情報を比較し、前記アプリケーションの改ざんの有無を判定する第6のステップと、
前記認証アプリケーションが、前記復号化された変換情報と前記正規変換情報とが一致し、改ざんされていないと判定する場合に、乱数を2つ生成し、生成された2つの乱数それぞれを前記第1の認証鍵と前記第2の認証鍵として記憶する第7のステップと、
前記認証アプリケーションが、生成された第1の認証鍵および第2の認証鍵から前記前処理情報を生成し、生成された前処理情報を前記アプリケーションに送信する第8のステップと、
前記アプリケーションが、受信した前処理情報を記憶する第9のステップと、
を有することを特徴とするアプリケーション認証方法。 An application using an open terminal equipped with an open platform having an application that performs authentication processing in cooperation with an authentication application, and a user identification module card that has the authentication application and is inserted into and removed from the open terminal An authentication method,
The authentication application preliminarily generates a first authentication key, a second authentication key, and normal conversion information, and the application preprocesses information generated from the first authentication key and the second authentication key. Remember,
A first step in which the authentication application sends a stored second authentication key to the application;
A second step in which the application determines whether or not the user identification module card can be authenticated based on whether or not the first authentication key can be acquired from the stored pre-processing information with the received second authentication key; ,
A third step of converting the application with an irreversible function and generating conversion information when the application determines that authentication is possible because the first authentication key has been acquired in the second step;
A fourth step in which the application encrypts the generated conversion information with the first authentication key acquired in the second step, and transmits the encrypted conversion information to the authentication application;
A fifth step in which the authentication application decrypts the received encrypted conversion information with a stored first authentication key;
A sixth step in which the authentication application compares the decrypted conversion information and the stored normal conversion information to determine whether the application has been tampered with;
When the authentication application determines that the decrypted conversion information and the normal conversion information match and has not been tampered with, two random numbers are generated, and each of the two generated random numbers is converted into the first random number. A seventh step of storing the authentication key and the second authentication key;
An eighth step in which the authentication application generates the preprocessing information from the generated first authentication key and second authentication key, and transmits the generated preprocessing information to the application;
A ninth step in which the application stores the received preprocessing information;
An application authentication method characterized by comprising:
前記認証アプリケーションが、第1の認証鍵、第2の認証鍵、および正規変換情報を、前記アプリケーションが、前記第1の認証鍵および前記第2の認証鍵から生成された前処理情報を、予め記憶しており、
前記認証アプリケーションが、記憶されている第2の認証鍵を前記アプリケーションに送信する第1のステップと、
前記アプリケーションが、受信した第2の認証鍵により、記憶されている前処理情報から前記第1の認証鍵が取得できるか否かにより前記ユーザ識別モジュールカードの認証可否を判定する第2のステップと、
前記アプリケーションが、前記第2のステップで前記第1の認証鍵が取得できたことにより認証可と判定する場合に、前記アプリケーションを不可逆関数で変換し、変換情報を生成する第3のステップと、
前記アプリケーションが、生成された変換情報を、前記第2のステップで取得された第1の認証鍵により暗号化し、暗号化された変換情報を前記認証アプリケーションに送信する第4のステップと、
前記認証アプリケーションが、受信した前記暗号化された変換情報を、記憶されている第1の認証鍵にて復号化する第5のステップと、
前記認証アプリケーションが、復号化された変換情報、および記憶されている正規変換情報を比較し、前記アプリケーションの改ざんの有無を判定する第6のステップと、
前記認証アプリケーションが、前記復号化された変換情報と前記正規変換情報とが一致し、改ざんされていないと判定する場合に、乱数を2つ生成し、生成された2つの乱数それぞれを前記第1の認証鍵と前記第2の認証鍵として記憶する第7のステップと、
前記認証アプリケーションが、生成された第1の認証鍵および第2の認証鍵から前記前処理情報を生成し、生成された前処理情報を前記アプリケーションに送信する第8のステップと、
前記アプリケーションが、受信した前処理情報を記憶する第9のステップと、
をコンピュータに実行させるためのプログラム。 An application using an open terminal equipped with an open platform having an application that performs authentication processing in cooperation with an authentication application, and a user identification module card that has the authentication application and is inserted into and removed from the open terminal A program for causing a computer to execute an authentication method,
The authentication application preliminarily generates a first authentication key, a second authentication key, and normal conversion information, and the application preprocesses information generated from the first authentication key and the second authentication key. Remember,
A first step in which the authentication application sends a stored second authentication key to the application;
A second step in which the application determines whether or not the user identification module card can be authenticated based on whether or not the first authentication key can be acquired from the stored pre-processing information with the received second authentication key; ,
A third step of converting the application with an irreversible function and generating conversion information when the application determines that authentication is possible because the first authentication key has been acquired in the second step;
A fourth step in which the application encrypts the generated conversion information with the first authentication key acquired in the second step, and transmits the encrypted conversion information to the authentication application;
A fifth step in which the authentication application decrypts the received encrypted conversion information with a stored first authentication key;
A sixth step in which the authentication application compares the decrypted conversion information and the stored normal conversion information to determine whether the application has been tampered with;
When the authentication application determines that the decrypted conversion information and the normal conversion information match and has not been tampered with, two random numbers are generated, and each of the two generated random numbers is converted into the first random number. A seventh step of storing the authentication key and the second authentication key;
An eighth step in which the authentication application generates the preprocessing information from the generated first authentication key and second authentication key, and transmits the generated preprocessing information to the application;
A ninth step in which the application stores the received preprocessing information;
A program that causes a computer to execute.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2011078714A JP2012212405A (en) | 2011-03-31 | 2011-03-31 | Application authentication system, application authentication method, and program |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2011078714A JP2012212405A (en) | 2011-03-31 | 2011-03-31 | Application authentication system, application authentication method, and program |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2012212405A true JP2012212405A (en) | 2012-11-01 |
Family
ID=47266278
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2011078714A Pending JP2012212405A (en) | 2011-03-31 | 2011-03-31 | Application authentication system, application authentication method, and program |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2012212405A (en) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004265026A (en) * | 2003-02-28 | 2004-09-24 | Matsushita Electric Ind Co Ltd | Application authentication system and device |
| JP2010009268A (en) * | 2008-06-26 | 2010-01-14 | Murata Mach Ltd | Information communication system and authentication program thereof |
| WO2010041464A1 (en) * | 2008-10-10 | 2010-04-15 | パナソニック株式会社 | Information processing device, authentication system, authentication device, information processing method, information processing program, recording medium, and integrated circuit |
| JP2010186240A (en) * | 2009-02-10 | 2010-08-26 | Kddi Corp | Portable radio communication terminal, authentication system, authentication method for portable radio communication terminal, and authentication program for portable radio communication terminal |
-
2011
- 2011-03-31 JP JP2011078714A patent/JP2012212405A/en active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004265026A (en) * | 2003-02-28 | 2004-09-24 | Matsushita Electric Ind Co Ltd | Application authentication system and device |
| JP2010009268A (en) * | 2008-06-26 | 2010-01-14 | Murata Mach Ltd | Information communication system and authentication program thereof |
| WO2010041464A1 (en) * | 2008-10-10 | 2010-04-15 | パナソニック株式会社 | Information processing device, authentication system, authentication device, information processing method, information processing program, recording medium, and integrated circuit |
| JP2010186240A (en) * | 2009-02-10 | 2010-08-26 | Kddi Corp | Portable radio communication terminal, authentication system, authentication method for portable radio communication terminal, and authentication program for portable radio communication terminal |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| AU2021203184B2 (en) | Transaction messaging | |
| CN111079128B (en) | Data processing method and device, electronic equipment and storage medium | |
| CN107210914B (en) | Method for secure credential provisioning | |
| EP2991267B1 (en) | Apparatus for providing puf-based hardware otp and method for authenticating 2-factor using same | |
| CN101765996B (en) | Device and method for remote authentication and transaction signatures | |
| CN103546289A (en) | USB (universal serial bus) Key based secure data transmission method and system | |
| CN104125064B (en) | A kind of dynamic cipher authentication method, client and Verification System | |
| CN103516524A (en) | Security authentication method and system | |
| CN200993803Y (en) | Internet banking system safety terminal | |
| CN115276978A (en) | Data processing method and related device | |
| CN100583174C (en) | Data safety processing method using online banking system safety terminal | |
| CN107548542B (en) | User authentication method with enhanced integrity and security | |
| CN109412799B (en) | System and method for generating local key | |
| Nosrati et al. | A review of mobile banking security | |
| KR101146509B1 (en) | Internet banking transaction system and the method that use maintenance of public security card to be mobile | |
| EP3515010A1 (en) | Transmission and reception system, transmission device, reception device, method, and computer program | |
| JP2012212405A (en) | Application authentication system, application authentication method, and program | |
| KR101210411B1 (en) | Transaction Protection System and Method using Connection of Certificate and OTP Generated by Keystream | |
| KR20180089951A (en) | Method and system for processing transaction of electronic cash | |
| Oliveira | Dynamic QR codes for Ticketing Systems | |
| US20190334707A1 (en) | Transmission/reception system, transmission device, reception device, method, and computer program | |
| CN116188009A (en) | National cipher soft encryption mode key acquisition method, system, terminal and readable storage medium | |
| KR101228857B1 (en) | Symmetrical Key Encode and Decode Method Using Double Passwords | |
| Yang et al. | A secure data access method based on eID for mobile Internet | |
| Sadeghi et al. | Securing Financial Sector Applications in the Quantum Era: A Comprehensive Evaluation of Nist's Recommended Algorithms Through Use-Case Analysis |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20130829 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140527 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140603 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20141021 |