JP2015222552A - 認証システム、認証サーバ、装置及びプログラム - Google Patents

認証システム、認証サーバ、装置及びプログラム Download PDF

Info

Publication number
JP2015222552A
JP2015222552A JP2014107457A JP2014107457A JP2015222552A JP 2015222552 A JP2015222552 A JP 2015222552A JP 2014107457 A JP2014107457 A JP 2014107457A JP 2014107457 A JP2014107457 A JP 2014107457A JP 2015222552 A JP2015222552 A JP 2015222552A
Authority
JP
Japan
Prior art keywords
authentication
information
server
authentication request
generated
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2014107457A
Other languages
English (en)
Inventor
仁 川▲崎▼
Jin Kawasaki
仁 川▲崎▼
広泰 田畠
Hiroyasu Tabata
広泰 田畠
晃由 山口
Akiyoshi Yamaguchi
晃由 山口
信博 小林
Nobuhiro Kobayashi
信博 小林
朋興 浮穴
Tomooki Ukiana
朋興 浮穴
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Mitsubishi Electric Building Solutions Corp
Original Assignee
Mitsubishi Electric Corp
Mitsubishi Electric Building Techno Service Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp, Mitsubishi Electric Building Techno Service Co Ltd filed Critical Mitsubishi Electric Corp
Priority to JP2014107457A priority Critical patent/JP2015222552A/ja
Publication of JP2015222552A publication Critical patent/JP2015222552A/ja
Pending legal-status Critical Current

Links

Images

Abstract

【課題】認証目的のためでなく装置に本来設定されることになる装置固有の情報を有効利用して装置の認証を可能とする。【解決手段】情報書込装置10は、工場においてマスター鍵とMACアドレスとを用いて個別鍵を生成し、その個別鍵とMACアドレスを装置20に書き込む。装置20は、施設において個別鍵を用いてMACアドレスとMIC生成日時のメッセージ認証子を生成し、MACアドレス、MIC生成日時及びメッセージ認証子を含む認証要求情報を認証サーバ30へ送信して認証要求する。認証サーバ30は、マスター鍵と、受信した認証要求情報に含まれているMACアドレスを用いて個別鍵を生成し、その個別鍵を用いてMACアドレスとMIC生成日時のメッセージ認証子を生成し、この生成したメッセージ認証子で、受信した認証要求情報に含まれているメッセージ認証子を検証する認証処理部32を有する。【選択図】図1

Description

本発明は、認証システム、認証サーバ、装置及びプログラム、特に認証サーバにおける装置の認証に関する。
自社工場にて製造されたネットワーク通信機能搭載の装置をビル等の施設に設置し、その装置がネットワークを介して自社のサーバに接続して所定のサービスの提供を受ける場合、自社サーバに接続してきた装置が自社工場にて製造された装置であるかどうかを認証サーバにて認証する必要がある。
このような装置の認証を行う技術として、例えば特許文献1には、機器認証サーバにおける端末機器の認証に用いる機器認証情報(機器ID+パスフレーズ)の生成の元になる元情報(暗号化された機器認証情報)を端末機器に記憶させておき、機器認証時に、端末機器に記憶された固有鍵生成子及びMACアドレスを用いて機器固有の固有鍵を生成し、その固有鍵を用いて元情報を復号することで取得した機器認証情報を機器認証サーバに送信させる技術が提案されている。
特開2005−38411号公報 特開2013−25391号公報 特開2011−40805号公報
しかしながら、従来技術においては、端末機器の認証を行うために管理サーバが機器毎にパスフレーズを発行し、また管理する必要があった。
本発明は、認証目的のためでなく装置に本来設定されることになる装置固有の情報を有効利用して装置の認証を可能とすることを目的とする。
本発明に係る認証システムは、認証対象の装置と、前記装置の認証を行う認証サーバと、前記装置外に設けられ、共通鍵を記憶する装置外共通鍵記憶手段と、を有し、前記装置は、装置固有情報を記憶する装置固有情報記憶手段と、装置固有情報及び前記装置外共通鍵記憶手段に記憶された共通鍵を用いて生成された装置固有の個別鍵を記憶する個別鍵記憶手段と、前記認証サーバへの接続時に、装置固有情報及び個別鍵を用いて認証情報を生成し、その生成した認証情報及び装置固有情報を少なくとも含む認証要求情報を前記認証サーバへ送信することで認証を要求する認証要求処理手段と、を有し、前記認証サーバは、前記装置外共通鍵記憶手段に記憶されたのと同一の共通鍵を記憶するサーバ内共通鍵記憶手段と、前記装置から送信された認証要求情報を受け付ける受付手段と、前記受付手段により受け付けられた認証要求情報に含まれる装置固有情報及び前記サーバ内共通鍵記憶手段に記憶された共通鍵を用いて生成した個別鍵と、当該装置固有情報と、を用いて認証情報を生成し、その生成した認証情報で前記受付手段により受け付けられた認証要求情報に含まれる認証情報を検証することで前記装置の認証を行う認証処理手段と、を有するものである。
また、前記認証要求処理手段は、認証情報生成日時を更に含む認証要求情報を前記認証サーバへ送信し、前記認証処理手段は、前記受付手段により受け付けられた認証要求情報に含まれる認証情報生成日時と現在時刻とに所定時間以上の時間差がある場合には認証失敗と判定するものである。
また、前記認証サーバは、認証情報の検証結果及び当該検証結果を得た検証日時を含む認証結果情報を認証要求元の前記装置へ送信する結果送信手段を有し、前記認証要求処理手段は、認証要求に応じて前記認証サーバから送信されてきた認証結果情報に含まれる検証日時と現在時刻とに所定時間以上の時間差がある場合には当該検証結果を破棄するものである。
また、前記装置は、前記認証サーバとの間で暗号化通信を行うためのセッションを確立する確立手段を有し、前記認証要求処理手段は、前記個別鍵記憶手段により生成された個別鍵及び装置固有情報を含む認証要求情報を前記セッションを介して前記認証サーバへ送信し、前記認証処理手段は、装置固有情報及び個別鍵を用いて生成する認証情報による検証に代えて、当該認証要求情報に含まれる装置固有情報及び前記サーバ内共通鍵記憶手段に記憶された共通鍵を用いて生成した個別鍵で当該認証要求情報に含まれる個別鍵を検証することで前記装置の認証を行うものである。
本発明に係る認証サーバは、装置固有の個別鍵の生成に用いられたのと同一の共通鍵を記憶するサーバ内共通鍵記憶手段と、装置から送信された、認証情報及び装置固有情報を少なくとも含む認証要求情報を受け付ける受付手段と、前記受付手段により受け付けられた認証要求情報に含まれる装置固有情報及び前記サーバ内共通鍵記憶手段に記憶された共通鍵を用いて生成した個別鍵と、当該装置固有情報とを用いて認証情報を生成し、その生成した認証情報で前記受付手段により受け付けられた認証要求情報に含まれる認証情報を検証することで、認証要求情報を送信した装置の認証を行う認証処理手段と、を有するものである。
本発明に係る装置は、認証サーバに認証要求を行う装置において、装置固有情報を記憶する装置固有情報記憶手段と、前記装置の外部において前記装置固有情報及び共通鍵を用いて生成された装置固有の個別鍵を記憶する個別鍵記憶手段と、前記認証サーバへの接続時に、装置固有情報及び個別鍵を用いて認証情報を生成し、その生成した認証情報に装置固有情報を少なくとも含む認証要求情報を前記認証サーバへ送信することで認証を要求する認証要求手段と、を有するものである。
本発明に係るプログラムは、装置固有の個別鍵の生成に用いられたのと同一の共通鍵を記憶するサーバ内共通鍵記憶手段をアクセス可能なコンピュータを、装置から送信された、認証情報及び装置固有情報を少なくとも含む認証要求情報を受け付ける受付手段、前記受付手段により受け付けられた認証要求情報に含まれる装置固有情報及び前記サーバ内共通鍵記憶手段に記憶された共通鍵を用いて生成した個別鍵と、当該装置固有情報とを用いて認証情報を生成し、その生成した認証情報で前記受付手段により受け付けられた認証要求情報に含まれる認証情報を検証することで、認証要求情報を送信した装置の認証を行う認証処理手段、として機能させるためのものである。
本発明に係るプログラムは、装置固有情報を記憶する装置固有情報記憶手段と、前記装置の外部において前記装置固有情報及び共通鍵を用いて生成された装置固有の個別鍵を記憶する個別鍵記憶手段と、を有し、認証サーバに認証要求を行うコンピュータを、前記認証サーバへの接続時に、装置固有情報及び個別鍵を用いて認証情報を生成し、その生成した認証情報に装置固有情報を少なくとも含む認証要求情報を前記認証サーバへ送信することで認証を要求する認証要求手段として機能させるためのものである。
本発明によれば、認証目的のためでなく装置に本来設定されることになる装置固有の情報を有効利用して装置の認証を行うことができる。
また、認証情報が生成されてから所定時間経過した古い認証要求による認証を破棄することができる。
本発明に係る認証システムの実施の形態1を示した全体構成図である。 実施の形態1における認証サーバを形成するサーバコンピュータのハードウェア構成図である。 実施の形態1における認証処理部の内部構成を示したブロック構成図である。 実施の形態1における認証処理を示したフローチャートである。 実施の形態2における認証処理部の内部構成を示したブロック構成図である。 実施の形態2における認証処理を示したフローチャートである。
以下、図面に基づいて、本発明の好適な実施の形態について説明する。
実施の形態1.
図1は、本発明に係る認証システムの一実施の形態を示した全体構成図である。図1には、自社の工場に設置された情報書込装置10、施設に設置される装置20及び自社の管理センタに設置された認証サーバ30が示されている。情報書込装置10は、工場において装置20に必要な情報を書き込むための装置である。装置20は、工場において必要な情報が書き込まれた後、ビル等の施設に設置され使用される装置であり、ネットワーク2を介してサービスサーバ(図示せず)が提供するサービスを受ける際に認証サーバ30に事前に認証を受けることになる。認証サーバ30は、装置20からの認証要求に応じて認証を行い、その認証結果を装置20に返す。認証を要求した装置が自社の工場にて情報が書き込まれた正規な自社製品の装置20と認証サーバ30が認証すると、装置20は、サービスサーバが提供するサービスを利用できるようになる。なお、認証サーバ30における認証機能をサービスサーバに持たせてサービスサーバが装置20の認証を自ら行うようにしてもよい。
図2は、本実施の形態における認証サーバ30を形成するサーバコンピュータのハードウェア構成図である。本実施の形態において認証サーバ30を形成するサーバコンピュータは、従前から存在する汎用的なハードウェア構成で実現できる。すなわち、コンピュータは、図2に示したようにCPU41、ROM42、RAM43、ハードディスクドライブ(HDD)44、入力手段として設けられたマウス45とキーボード46、及び表示装置として設けられたディスプレイ47をそれぞれ接続する入出力コントローラ48、通信手段として設けられたネットワークコントローラ49を内部バス50に接続して構成される。
なお、情報書込装置10もコンピュータにより実現できるので、図2に示したのと同様の構成を有している。また、装置20は、装置の種類によって入出力手段の有無や付属する構成が異なってくるが、CPU及びROM、RAM又はHDD等の記憶手段を少なくとも有している。
図1に戻り、情報書込装置10は、個別鍵生成部11、書込部12、マスター鍵記憶部13及びMACアドレス記憶部14を有している。なお、本実施の形態の説明に用いない構成要素は省略している。装置20及び認証サーバ30においても同様である。マスター鍵は、工場で製造する各装置20の認証に必要な個別鍵の生成に用いられる共通鍵である。個別鍵生成部11は、このマスター鍵とMACアドレスとを用いて個別鍵を生成する。書込部12は、個別鍵生成部11により生成された個別鍵及びMACアドレスを装置20に書き込む。
個別鍵生成部11及び書込部12は、情報書込装置10を形成するコンピュータと、コンピュータに搭載されたCPUで動作するプログラムとの協調動作により実現される。また、各記憶部13,14は、情報書込装置10に搭載されたHDD若しくはRAM又は外部にある記憶手段をネットワーク経由で利用してもよい。
装置20は、認証要求処理部21、個別鍵記憶部22及びMACアドレス記憶部23を有している。認証要求処理部21は、認証要求処理手段として設けられ、認証を受けるために認証サーバ30に接続した時に、MACアドレス及び個別鍵を用いて認証情報(メッセージ認証子)を生成し、その生成した認証情報及びMACアドレスを少なくとも含む認証要求情報を認証サーバ30へ送信することで認証を要求する。認証要求処理部21は、MACアドレス及び個別鍵を用いてメッセージ認証子(メッセージ完全性符号(MIC):Message Integrity Code)を生成するMIC生成部211、認証要求情報を認証サーバ30へ送信する認証要求部212及び認証要求に応じて認証サーバ30から送信されてきた認証結果情報を受信する認証結果受信部213を含む。
認証要求処理部21は、装置20に搭載されたコンピュータと、コンピュータに搭載されたCPUで動作するプログラムとの協調動作により実現される。また、各記憶部22,23は、装置20に搭載されたHDD等不揮発性記憶手段で実現される。
認証サーバ30は、認証要求受付部31、認証処理部32、認証結果送信部33、マスター鍵記憶部34及び装置情報記憶部35を有している。認証要求受付部31は、受付手段として設けられ、装置20から送信された認証要求情報を受け付ける。認証処理部32は、認証処理手段として設けられ、認証要求受付部31により受け付けられた認証要求情報に含まれるMACアドレス及びマスター鍵記憶部34に記憶された共通鍵を用いて生成した個別鍵と、MACアドレスと、を用いてメッセージ認証子を生成し、その生成したメッセージ認証子で認証要求受付部31により受け付けられた認証要求情報に含まれるメッセージ認証子を検証することで装置20の認証を行う。認証処理部32はまた、認証に成功した装置20のMACアドレス等装置に関する情報を装置情報記憶部35に登録する。認証結果送信部33は、結果送信手段として設けられ、メッセージ認証子の検証結果及び検証結果の通知のために認証サーバ30においてメッセージ認証子を生成した日時を含む認証結果情報を認証要求元の装置20へ送信する。マスター鍵記憶部34は、マスター鍵記憶部13に記憶されているのと同一のマスター鍵を記憶するサーバ内共通鍵記憶手段である。
認証サーバ30における各構成要素31〜33は、認証サーバ30を形成するコンピュータと、コンピュータに搭載されたCPU41で動作するプログラムとの協調動作により実現される。また、各記憶部34,35は、認証サーバ30に搭載されたHDD44にて実現される。あるいは、RA4M3又は外部にある記憶手段をネットワーク経由で利用してもよい。
また、本実施の形態で用いるプログラムは、通信手段により提供することはもちろん、CD−ROMやDVD−ROM等のコンピュータ読み取り可能な記録媒体に格納して提供することも可能である。通信手段や記録媒体から提供されたプログラムはコンピュータにインストールされ、コンピュータのCPUがプログラムを順次実行することで各種処理が実現される。
図3は、本実施の形態における認証処理部32の内部構成を示したブロック構成図である。本実施の形態における認証処理部32は、個別鍵生成部321、MIC生成部322、MIC検証部323、時間検証部324、認証結果生成部325及び情報登録部326を有しているが、これらの構成の説明は、以下に説明する動作と合わせて説明する。
次に、本実施の形態において装置20が認証サーバ30に認証を受けるまでの本実施の形態における動作について説明する。
工場では、装置20を施設に設置するに先立ち、情報書込装置10を用いて装置20に認証に必要な情報としてMACアドレスと個別鍵を書き込む。具体的に説明すると、個別鍵生成部11は、マスター鍵とMACアドレスとを用いて個別鍵を生成する。マスター鍵は共通鍵であるが、装置固有情報として用いるMACアドレスは、ネットワーク上において各装置20を識別するために設定される装置固有の物理アドレスなので、各装置20に対して同じマスター鍵を用いて個別鍵を生成したとしても、その生成される個別鍵は、装置固有の鍵となる。書込部12は、個別鍵生成部11により生成された個別鍵を装置20の個別鍵記憶部22に、またMACアドレス記憶部14から読み出した当該装置20のMACアドレスを装置20のMACアドレス記憶部23に、それぞれ書き込む。
このように認証に必要な情報が書き込まれると、装置20は、所定の施設に設置され、利用されることになる。装置20がサービスサーバが提供するサービスを利用する際、認証サーバ30に認証を事前に要求する。認証サーバ30は、この認証要求をした装置20が、サービスの提供を受けるのに適合した自社製品であるかを認証する。この認証処理について図4に示したフローチャートを用いて説明する。
まず、装置20において、認証要求処理部21におけるMIC生成部211は、各記憶部22,23から個別鍵及びMACアドレスを読み出し、更に現在時刻を取得する。現在時刻は、メッセージ認証子を生成した日時を示す日時情報(MIC生成日時)として用いる。そして、MIC生成部211は、個別鍵を用いてMACアドレスと現在時刻のメッセージ認証子(MIC1)を認証情報として生成する(ステップ201)。続いて、認証要求部212は、MACアドレス、MIC生成日時及びメッセージ認証子(MIC1)を含む認証要求情報を認証サーバ30へ送信することで認証を要求する(ステップ202)。
装置20から送信されてきた認証要求情報を受信することで認証要求受付部31が装置20からの認証要求を受け付けると(ステップ301)、認証処理部32における個別鍵生成部321は、マスター鍵記憶部34から取り出したマスター鍵と、受信した認証要求情報に含まれているMACアドレスを用いて個別鍵を生成する(ステップ302)。続いて、MIC生成部322は、個別鍵生成部11により生成された個別鍵を用いて、受信した認証要求情報に含まれているMACアドレスとMIC生成日時のメッセージ認証子(MIC1)を認証情報として生成する(ステップ303)。MIC検証部323は、MIC生成部322により生成されたメッセージ認証子(MIC1)で、受信した認証要求情報に含まれているメッセージ認証子(MIC1)を検証する(ステップ304)。この検証により、MIC1が一致した場合は認証成功(True)、不一致の場合は認証失敗(False)と判定する。
続いて、時間検証部324は、現在時刻を取得し、受信した認証要求情報に含まれているMIC生成日時との差を求める。この時間差が所定時間以上の場合、認証要求情報が改ざんされた可能性があると推定する。あるいは認証要求情報の再送を禁止している場合には、受信した認証要求情報が再送された情報であると推定する。この場合、時間検証部324は、認証失敗(False)と判定する。なお、所定時間として、運用等に応じた適切な時間長を設定すればよい。この時間による検証に用いる日時情報は、メッセージ認証子の生成日時でなくても、認証要求情報の送信日時等装他の日時を示す情報を用いてもよい。
なお、本実施の形態では、前述したように認証情報による検証と時間による検証を実施するが、これらの検証はどちらを先に実施しても、同時並行して実施してもよい。また、認証情報による検証のみを実施するようにしてもよい。
ステップ304,305における検証にパスした場合、装置20の認証に成功したと判断して、情報登録部326は、装置20に関する情報、本実施の形態ではMACアドレスを当該装置20に関する情報として装置情報記憶部35に登録する(ステップ306)。なお、認証要求情報に、例えばCPUのIDやバイアスのシリアル番号等他の装置に関する情報が含まれていれば、MACアドレスと同様に登録する。
以上のようにして検証の結果(True/False)が得られると、続いて認証結果生成部325は現在時刻を取得する。現在時刻は、メッセージ認証子を生成した日時を示す日時情報(MIC生成日時)として用いる。あるいは検証結果が得られた日時として用いてもよい。そして、認証結果生成部325は、個別鍵を用いて検証結果と現在時刻のメッセージ認証子(MIC2)を認証情報として生成する(ステップ307)。続いて、認証結果送信部33は、検証結果、MIC生成日時及びメッセージ認証子(MIC2)を含む認証結果情報を認証要求元の装置20へ送信することで認証結果を返す(ステップ308)。
装置20における認証要求処理部21は、認証要求に応じて認証サーバ30から返信されてきた認証結果情報を認証結果受信部213により受信すると(ステップ203)、個別鍵を用いて、受信した認証結果情報に含まれている検証結果とMIC生成日時のメッセージ認証子(MIC2)を生成し、その生成したメッセージ認証子(MIC2)で、受信した認証要求情報に含まれているメッセージ認証子(MIC2)を検証する(ステップ204)。更に、認証要求処理部21は、現在時刻を取得し、受信した認証結果情報に含まれているMIC生成日時との差を求める。この時間差が所定時間以上の場合、認証結果情報が改ざんされた可能性があると推定する。あるいは認証結果情報の再送を禁止している場合には、受信した認証結果情報が再送された情報であると推定する。このような場合、認証要求処理部21は、認証失敗(False)と判定する。
本実施の形態によれば、以上説明したように装置20に記憶されている装置固有の情報であるMACアドレスを用いて認証情報(メッセージ認証子)を生成するので、各装置20のユニークな情報を管理センタ等で作成、管理させておくなどの情報管理は不要である。また、認証情報の生成に個別鍵を用いるが、この個別鍵の生成に用いるマスター鍵を装置20に記憶しておく必要がない。
実施の形態2.
本実施の形態は、上記実施の形態1と異なる認証処理を提供する。本実施の形態におけるシステム構成、ハードウェア構成は実施の形態1と同じでよいが、本実施の形態では、メッセージ認証子を利用しないので、装置20に認証要求処理部21におけるMIC生成部211は不要である。また、認証サーバ30における認証処理部32における処理(内部構成)が異なる。この実施の形態1の図3に対応する認証処理部32の内部構成を図4に示す。なお、実施の形態1と同じ構成要素には同じ符号を付ける。
本実施の形態における認証処理部32は、個別鍵生成部321、個別鍵検証部327、認証結果生成部325及び情報登録部326を有している。なお、これらの構成の説明は、以下に説明する動作と合わせて説明する。
次に、装置20が認証サーバ30に認証を受けるまでの本実施の形態における動作について説明するが、工場における情報書込装置10の動作、また装置20が施設に設置されるところまでは実施の形態1と同じでよいので説明を省略する。以下、本実施の形態における認証処理について図6に示したフローチャートを用いて説明する。
まず、装置20において、本実施の形態においては確立手段としても機能する認証要求部212は、認証サーバ30との間で暗号化通信を行うためのセッションとしてSSL(Secure Sockets Layer)セッションを確立する(ステップ221)。確立手順は従前と同様でよい。続いて、認証要求部212は、各記憶部22,23から個別鍵及びMACアドレスを読み出し、個別鍵及びMACアドレスを含む認証要求情報をセッションを介して認証サーバ30へ送信することで認証を要求する(ステップ222)。
装置20から送信されてきた認証要求情報を受信することで認証要求受付部31が装置20からの認証要求を受け付けると(ステップ321)、認証処理部32における個別鍵生成部321は、マスター鍵記憶部34から取り出したマスター鍵と、受信した認証要求情報に含まれているMACアドレスを用いて個別鍵を生成する(ステップ322)。続いて、個別鍵検証部327は、個別鍵生成部321により生成された個別鍵で、受信した認証要求情報に含まれている個別鍵を検証する(ステップ323)。この検証により、個別鍵が一致した場合は認証成功(True)、不一致の場合は認証失敗(False)と判定する。
この検証にパスした場合、装置20の認証に成功したと判断して、情報登録部326は、装置20に関する情報、本実施の形態ではMACアドレスを当該装置20に関する情報として装置情報記憶部35に登録する(ステップ324)。なお、認証要求情報に他の装置に関する情報が含まれていれば、MACアドレスと同様に登録する。
認証結果生成部325は、以上のようにして検証の結果(True/False)が得られると、検証結果を含む認証結果情報を生成する(ステップ325)。続いて、認証結果送信部33は、認証結果情報を認証要求元の装置20へ送信することで認証結果を返す(ステップ326)。
装置20において、認証結果受信部213が認証サーバ30から送信されてきた認証結果情報を受信することで、装置20は認証要求に応じた認証結果を得る。
以上説明したように、本実施の形態では、MACアドレスと個別鍵を用いて生成するメッセージ認証子に代えて個別鍵で検証を行うようにした。これは、個別鍵を認証情報として利用したということもできる。
なお、上記各実施の形態においては、装置固有情報としてMACアドレスを用いて説明したが、バイアスのシリアル番号や製造番号等装置固有の情報であれば他の情報を用いてもよい。
2 ネットワーク、10 情報書込装置、11 個別鍵生成部、12 書込部、13,34 マスター鍵記憶部、14,23 MACアドレス記憶部、20 装置、21 認証要求処理部、22 個別鍵記憶部、30 認証サーバ、31 認証要求受付部、32 認証処理部、33 認証結果送信部、35 装置情報記憶部、41 CPU、42 ROM、43 RAM、44 ハードディスクドライブ(HDD)、45 マウス、46 キーボード、47 ディスプレイ、48 入出力コントローラ、49 ネットワークコントローラ、50 内部バス、211 MIC生成部、212 認証要求部、213 認証結果受信部、321 個別鍵生成部、322 MIC生成部、323 MIC検証部、324 時間検証部、325 認証結果生成部、326 情報登録部、327 個別鍵検証部。

Claims (8)

  1. 認証対象の装置と、
    前記装置の認証を行う認証サーバと、
    前記装置外に設けられ、共通鍵を記憶する装置外共通鍵記憶手段と、
    を有し、
    前記装置は、
    装置固有情報を記憶する装置固有情報記憶手段と、
    装置固有情報及び前記装置外共通鍵記憶手段に記憶された共通鍵を用いて生成された装置固有の個別鍵を記憶する個別鍵記憶手段と、
    前記認証サーバへの接続時に、装置固有情報及び個別鍵を用いて認証情報を生成し、その生成した認証情報及び装置固有情報を少なくとも含む認証要求情報を前記認証サーバへ送信することで認証を要求する認証要求処理手段と、
    を有し、
    前記認証サーバは、
    前記装置外共通鍵記憶手段に記憶されたのと同一の共通鍵を記憶するサーバ内共通鍵記憶手段と、
    前記装置から送信された認証要求情報を受け付ける受付手段と、
    前記受付手段により受け付けられた認証要求情報に含まれる装置固有情報及び前記サーバ内共通鍵記憶手段に記憶された共通鍵を用いて生成した個別鍵と、当該装置固有情報と、を用いて認証情報を生成し、その生成した認証情報で前記受付手段により受け付けられた認証要求情報に含まれる認証情報を検証することで前記装置の認証を行う認証処理手段と、
    を有することを特徴とする認証システム。
  2. 前記認証要求処理手段は、認証情報生成日時を更に含む認証要求情報を前記認証サーバへ送信し、
    前記認証処理手段は、前記受付手段により受け付けられた認証要求情報に含まれる認証情報生成日時と現在時刻とに所定時間以上の時間差がある場合には認証失敗と判定することを特徴とする請求項1に記載の認証システム。
  3. 前記認証サーバは、認証情報の検証結果及び当該検証結果を得た検証日時を含む認証結果情報を認証要求元の前記装置へ送信する結果送信手段を有し、
    前記認証要求処理手段は、認証要求に応じて前記認証サーバから送信されてきた認証結果情報に含まれる検証日時と現在時刻とに所定時間以上の時間差がある場合には当該検証結果を破棄することを特徴とする請求項1に記載の認証システム。
  4. 前記装置は、前記認証サーバとの間で暗号化通信を行うためのセッションを確立する確立手段を有し、
    前記認証要求処理手段は、前記個別鍵記憶手段により生成された個別鍵及び装置固有情報を含む認証要求情報を前記セッションを介して前記認証サーバへ送信し、
    前記認証処理手段は、装置固有情報及び個別鍵を用いて生成する認証情報による検証に代えて、当該認証要求情報に含まれる装置固有情報及び前記サーバ内共通鍵記憶手段に記憶された共通鍵を用いて生成した個別鍵で当該認証要求情報に含まれる個別鍵を検証することで前記装置の認証を行うことを特徴とする請求項1に記載の認証システム。
  5. 装置固有の個別鍵の生成に用いられたのと同一の共通鍵を記憶するサーバ内共通鍵記憶手段と、
    装置から送信された、認証情報及び装置固有情報を少なくとも含む認証要求情報を受け付ける受付手段と、
    前記受付手段により受け付けられた認証要求情報に含まれる装置固有情報及び前記サーバ内共通鍵記憶手段に記憶された共通鍵を用いて生成した個別鍵と、当該装置固有情報とを用いて認証情報を生成し、その生成した認証情報で前記受付手段により受け付けられた認証要求情報に含まれる認証情報を検証することで、認証要求情報を送信した装置の認証を行う認証処理手段と、
    を有することを特徴とする認証サーバ。
  6. 認証サーバに認証要求を行う装置において、
    装置固有情報を記憶する装置固有情報記憶手段と、
    前記装置の外部において前記装置固有情報及び共通鍵を用いて生成された装置固有の個別鍵を記憶する個別鍵記憶手段と、
    前記認証サーバへの接続時に、装置固有情報及び個別鍵を用いて認証情報を生成し、その生成した認証情報に装置固有情報を少なくとも含む認証要求情報を前記認証サーバへ送信することで認証を要求する認証要求手段と、
    を有することを特徴とする装置。
  7. 装置固有の個別鍵の生成に用いられたのと同一の共通鍵を記憶するサーバ内共通鍵記憶手段をアクセス可能なコンピュータを、
    装置から送信された、認証情報及び装置固有情報を少なくとも含む認証要求情報を受け付ける受付手段、
    前記受付手段により受け付けられた認証要求情報に含まれる装置固有情報及び前記サーバ内共通鍵記憶手段に記憶された共通鍵を用いて生成した個別鍵と、当該装置固有情報とを用いて認証情報を生成し、その生成した認証情報で前記受付手段により受け付けられた認証要求情報に含まれる認証情報を検証することで、認証要求情報を送信した装置の認証を行う認証処理手段、
    として機能させるためのプログラム。
  8. 装置固有情報を記憶する装置固有情報記憶手段と、前記装置の外部において前記装置固有情報及び共通鍵を用いて生成された装置固有の個別鍵を記憶する個別鍵記憶手段と、を有し、認証サーバに認証要求を行うコンピュータを、
    前記認証サーバへの接続時に、装置固有情報及び個別鍵を用いて認証情報を生成し、その生成した認証情報に装置固有情報を少なくとも含む認証要求情報を前記認証サーバへ送信することで認証を要求する認証要求手段、
    として機能させるためのプログラム。
JP2014107457A 2014-05-23 2014-05-23 認証システム、認証サーバ、装置及びプログラム Pending JP2015222552A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014107457A JP2015222552A (ja) 2014-05-23 2014-05-23 認証システム、認証サーバ、装置及びプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014107457A JP2015222552A (ja) 2014-05-23 2014-05-23 認証システム、認証サーバ、装置及びプログラム

Publications (1)

Publication Number Publication Date
JP2015222552A true JP2015222552A (ja) 2015-12-10

Family

ID=54785513

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014107457A Pending JP2015222552A (ja) 2014-05-23 2014-05-23 認証システム、認証サーバ、装置及びプログラム

Country Status (1)

Country Link
JP (1) JP2015222552A (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023013219A1 (ja) * 2021-08-06 2023-02-09 株式会社デンソー データ真正証明システム及びデータ真正証明方法

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0677953A (ja) * 1992-08-27 1994-03-18 Kokusai Denshin Denwa Co Ltd <Kdd> 相互認証/暗号鍵配送方式
JPH08204702A (ja) * 1995-01-30 1996-08-09 Nec Corp 暗号鍵管理装置
JP2004120123A (ja) * 2002-09-24 2004-04-15 Yamaha Corp ネットワークシステム、ルータおよび管理サーバ
JP2006050148A (ja) * 2004-08-03 2006-02-16 Yamatake Corp 電文通信方法および電文通信装置
JP2006140881A (ja) * 2004-11-15 2006-06-01 Matsushita Electric Ind Co Ltd 認証情報付きネットワーク識別子生成装置および機器認証装置
JP2006270669A (ja) * 2005-03-25 2006-10-05 Nec Corp ポリシー配布方法、システム、プログラム、ポリシー配布サーバ、及び、クライアント端末
JP2008270884A (ja) * 2007-04-16 2008-11-06 Oki Electric Ind Co Ltd 通信装置収容装置、通信装置、認証状況推定装置、認証システム、認証プログラム及び認証方法
JP2008287321A (ja) * 2007-05-15 2008-11-27 Mitsubishi Heavy Ind Ltd ユーザ認証システム、認証サーバおよびネットワークのユーザ認証方法
JP2009098868A (ja) * 2007-10-16 2009-05-07 Fuji Xerox Co Ltd 情報処理装置及びプログラム
JP2010045542A (ja) * 2008-08-11 2010-02-25 Nippon Telegr & Teleph Corp <Ntt> 認証システム、接続制御装置、認証装置および転送装置
JP2010224022A (ja) * 2009-03-19 2010-10-07 Hitachi Ltd 真正性を保証する端末システム、端末及び端末管理サーバ

Patent Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0677953A (ja) * 1992-08-27 1994-03-18 Kokusai Denshin Denwa Co Ltd <Kdd> 相互認証/暗号鍵配送方式
JPH08204702A (ja) * 1995-01-30 1996-08-09 Nec Corp 暗号鍵管理装置
JP2004120123A (ja) * 2002-09-24 2004-04-15 Yamaha Corp ネットワークシステム、ルータおよび管理サーバ
JP2006050148A (ja) * 2004-08-03 2006-02-16 Yamatake Corp 電文通信方法および電文通信装置
JP2006140881A (ja) * 2004-11-15 2006-06-01 Matsushita Electric Ind Co Ltd 認証情報付きネットワーク識別子生成装置および機器認証装置
JP2006270669A (ja) * 2005-03-25 2006-10-05 Nec Corp ポリシー配布方法、システム、プログラム、ポリシー配布サーバ、及び、クライアント端末
JP2008270884A (ja) * 2007-04-16 2008-11-06 Oki Electric Ind Co Ltd 通信装置収容装置、通信装置、認証状況推定装置、認証システム、認証プログラム及び認証方法
JP2008287321A (ja) * 2007-05-15 2008-11-27 Mitsubishi Heavy Ind Ltd ユーザ認証システム、認証サーバおよびネットワークのユーザ認証方法
JP2009098868A (ja) * 2007-10-16 2009-05-07 Fuji Xerox Co Ltd 情報処理装置及びプログラム
JP2010045542A (ja) * 2008-08-11 2010-02-25 Nippon Telegr & Teleph Corp <Ntt> 認証システム、接続制御装置、認証装置および転送装置
JP2010224022A (ja) * 2009-03-19 2010-10-07 Hitachi Ltd 真正性を保証する端末システム、端末及び端末管理サーバ
US20100269153A1 (en) * 2009-03-19 2010-10-21 Hitachi, Ltd. Terminal system for guaranteeing authenticity, terminal, and terminal management server

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023013219A1 (ja) * 2021-08-06 2023-02-09 株式会社デンソー データ真正証明システム及びデータ真正証明方法

Similar Documents

Publication Publication Date Title
JP6684930B2 (ja) ブロックチェーンに基づくアイデンティティ認証方法、装置、ノード及びシステム
JP5576985B2 (ja) 署名に用いる暗号アルゴリズムの決定方法、検証サーバおよびプログラム
US10878080B2 (en) Credential synchronization management
US9680827B2 (en) Geo-fencing cryptographic key material
US10609070B1 (en) Device based user authentication
JP2010531516A (ja) 安全でないネットワークを介する装置のプロビジョニング及びドメイン加入エミュレーション
US10447467B2 (en) Revocable PKI signatures
JP6012888B2 (ja) 機器証明書提供装置、機器証明書提供システムおよび機器証明書提供プログラム
WO2014108993A1 (ja) 認証処理装置、認証処理システム、認証処理方法および認証処理プログラム
JP2017531951A (ja) セキュリティチェックのための方法、デバイス、端末およびサーバ
KR20150135032A (ko) Puf를 이용한 비밀키 업데이트 시스템 및 방법
JP2015194879A (ja) 認証システム、方法、及び提供装置
WO2020163223A1 (en) Methods, systems, and media for authenticating users using blockchains
WO2016091067A1 (zh) 一种数据操作方法及装置
TW201603576A (zh) 應用於遠端連線的驗證方法、驗證系統及其網路攝影機
JP2010086175A (ja) リモートアクセス管理システム及び方法
JP5624219B2 (ja) ネットワークアクセス制御方法およびシステム
CN110855442A (zh) 一种基于pki技术的设备间证书验证方法
CN115242471A (zh) 信息传输方法、装置、电子设备及计算机可读存储介质
WO2016137517A1 (en) Manufacturer-signed digital certificate for identifying a client system
JP2015222552A (ja) 認証システム、認証サーバ、装置及びプログラム
JP2015170220A (ja) 機器認証方法および機器認証システム
JP2019004289A (ja) 情報処理装置およびその制御方法、情報処理システム
JP6988525B2 (ja) 登録システムおよび登録方法
CN111212042B (zh) 数据传输方法、装置和系统

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160603

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170414

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170509

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170630

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20171107