JP2021170757A - Authentication verification system, device to be authenticated, authentication device, authentication verification method, authentication verification program, computer readable recording medium, and recorded apparatus - Google Patents

Authentication verification system, device to be authenticated, authentication device, authentication verification method, authentication verification program, computer readable recording medium, and recorded apparatus Download PDF

Info

Publication number
JP2021170757A
JP2021170757A JP2020087024A JP2020087024A JP2021170757A JP 2021170757 A JP2021170757 A JP 2021170757A JP 2020087024 A JP2020087024 A JP 2020087024A JP 2020087024 A JP2020087024 A JP 2020087024A JP 2021170757 A JP2021170757 A JP 2021170757A
Authority
JP
Japan
Prior art keywords
authentication
information
verification
unit
authenticated
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2020087024A
Other languages
Japanese (ja)
Inventor
安比古 足立
Yasuhiko Adachi
孝典 五十部
Takanori Isobe
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Payless Gate Corp
Original Assignee
Payless Gate Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Payless Gate Corp filed Critical Payless Gate Corp
Priority to JP2020087024A priority Critical patent/JP2021170757A/en
Priority to PCT/JP2021/015368 priority patent/WO2021210594A1/en
Publication of JP2021170757A publication Critical patent/JP2021170757A/en
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G09EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
    • G09CCIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
    • G09C1/00Apparatus or methods whereby a given sequence of signs, e.g. an intelligible text, is transformed into an unintelligible sequence of signs by transposing the signs or groups of signs or by replacing them by others according to a predetermined system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

To achieve secure authentication addressing vulnerability and attacks with simple processing.SOLUTION: A device to be authenticated 1 comprises: a transmission unit 14 that transmits, to an authentication device 2, an authentication request including encryption information repeatedly in an authentication period; an encryption unit 13 that encrypts unique information and a verification value with a cipher key to generate encryption information; an acquisition unit 11 that generates the unique information; a verification unit 15 that generates the verification value to verify if verification of the authentication device is proper one after the verification; and a storage unit 12 that stores the generated verification value. The authentication device 2 comprises: a receiving unit 21 that repeatedly receives, in the authentication period, the authentication request including the encryption information encrypted with the cipher key transmitted from the device to be authenticated 1; a decryption unit 23 that decrypts the encryption information to acquire decryption information; an authentication unit 24 that determines whether the device to be authenticated 1 is proper by using the plurality of authentication requests received in the authentication period including the encryption information that has been successfully decrypted, and after the determination of authentication, transmits verification data including the verification value to the device to be authenticated 1; and an output unit 25 that outputs a result of determination made by the authentication unit.SELECTED DRAWING: Figure 1

Description

本発明は、認証検証システム、被認証装置、認証装置、認証検証方法、認証検証プログラム及びコンピュータで読み取り可能な記録媒体並びに記録した機器に関する。 The present invention relates to an authentication verification system, a device to be authenticated, an authentication device, an authentication verification method, an authentication verification program, a computer-readable recording medium, and a recording device.

従来、スマートフォンなどの個人携帯端末を用いて認証を行い、クレジットカードなどを用いた支払を行うことができるシステムが知られている。そのようなシステムにより、ユーザは、自分の個人携帯端末を用いることによって、商品やサービス等の支払を行うことができる(例えば、特許文献1参照)。 Conventionally, there is known a system capable of performing authentication using a personal mobile terminal such as a smartphone and making payment using a credit card or the like. With such a system, the user can pay for goods, services, and the like by using his / her own personal mobile terminal (see, for example, Patent Document 1).

特表2017−501620号公報Special Table 2017-501620

そのような認証では、ユーザの利便性の向上や、処理負荷の低減のため、より簡単な処理によって認証を行うことができるようにすることが求められている。その一方で、なりすまし等を防止しつつ、スマートフォンが持つ逆コンパイルなどの脆弱性や攻撃に対応したセキュアな認証を実現できることも求められている。 In such authentication, in order to improve user convenience and reduce the processing load, it is required to enable authentication by simpler processing. On the other hand, it is also required to be able to realize secure authentication against vulnerabilities such as decompilation and attacks of smartphones while preventing spoofing.

本発明は、上記課題を解決するためになされたものであり、簡単な処理により、セキュアな認証を実現することができる認証検証システム、被認証装置、認証装置、認証検証方法、認証検証プログラム及びコンピュータで読み取り可能な記録媒体並びに記録した機器を提供する上で、スマートフォンが持つ逆コンパイルなどの脆弱性や攻撃に対応することを目的とする。 The present invention has been made to solve the above problems, and is an authentication verification system, an authenticated device, an authentication device, an authentication verification method, an authentication verification program, and an authentication verification system capable of realizing secure authentication by a simple process. The purpose is to respond to vulnerabilities such as reverse compilation and attacks of smartphones in providing computer-readable recording media and recording devices.

上記目的を達成するため、本発明である認証検証システムは、認証を受けようとする被認証装置と、被認証装置を認証する認証装置と、を備える認証システムであって、
被認証装置は、暗号情報を含む認証要求を、認証期間内に繰り返して認証装置に送信する送信部と、ユニーク情報と検証値を暗号鍵によって暗号化することで暗号情報を生成する暗号化部と、ユニーク情報を生成する取得部と、検証値を生成して、認証装置の認証後に、正当な認証であったかを検証する検証部と、生成した検証値を保存する記憶部と、を備え、認証装置は、被認証装置から送信された、暗号鍵によって暗号化された暗号情報を含む認証要求を、認証期間内に繰り返して受信する受信部と、暗号情報を復号して復号情報を取得する復号部と、復号できた暗号情報を含む、認証期間内に受信された複数の認証要求を用いて、被認証装置が正当かどうかを判断し、認証判断後に検証値を含む検証データを被認証装置に送信する認証部と、認証部による判断結果を出力する出力部と、を備えるものである。In order to achieve the above object, the authentication verification system of the present invention is an authentication system including an authenticated device for receiving authentication and an authentication device for authenticating the authenticated device.
The authenticated device is a transmitter that repeatedly sends an authentication request including encryption information to the authentication device within the authentication period, and an encryption unit that generates encryption information by encrypting unique information and verification values with an encryption key. It is provided with an acquisition unit that generates unique information, a verification unit that generates a verification value and verifies whether the authentication is valid after the authentication of the authentication device, and a storage unit that stores the generated verification value. The authentication device repeatedly receives an authentication request including encryption information encrypted by an encryption key sent from the authenticated device within the authentication period, and decrypts the encryption information to acquire decryption information. Using the decryption unit and multiple authentication requests received within the authentication period, including the decrypted encryption information, it is determined whether the device to be authenticated is valid, and after the authentication determination, the verification data including the verification value is authenticated. It includes an authentication unit that transmits to the device and an output unit that outputs a determination result by the authentication unit.

このような構成により、複数のユニーク情報が暗号化された暗号情報をそれぞれ含む複数の認証要求を認証装置に送信することができる。そして、その複数の認証要求を用いて、認証装置において、簡単な処理により、セキュアな認証を実現することができるようになる。また、暗号鍵が攻撃者に盗まれた場合の対策として認証の正当性を検証する機構も取り入れるこことで、安全性をより高めることができるようになる。 With such a configuration, it is possible to transmit a plurality of authentication requests including each of the encrypted information in which the plurality of unique information is encrypted to the authentication device. Then, using the plurality of authentication requests, the authentication device can realize secure authentication by a simple process. In addition, as a countermeasure against the theft of the encryption key by an attacker, a mechanism for verifying the validity of the authentication will be introduced here, which will make it possible to further enhance the security.

また、本発明による認証検証システムでは、検証値は、検証値を生成した時刻と、乱数値かハッシュ関数値のいずれかを含んでもよい。 Further, in the authentication verification system according to the present invention, the verification value may include the time when the verification value is generated and either a random number value or a hash function value.

このような構成により、暗号鍵が盗まれたとしても、攻撃者が推定することが困難な情報を含む検証値を簡単に取得することができる。 With such a configuration, even if the encryption key is stolen, it is possible to easily obtain a verification value including information that is difficult for an attacker to estimate.

また、本発明による認証検証システムでは、暗号鍵は、共通鍵暗号の鍵であってもよい。 Further, in the authentication verification system according to the present invention, the encryption key may be a common key encryption key.

このような構成により、被認証装置ごとに共通鍵暗号の異なる鍵を用いている場合には、攻撃者は、正当な被認証装置から送信された認証要求を受信し、その受信した認証要求を認証装置に送信することによる攻撃しか行うことができないことになる。したがって、攻撃の行われたことをより検出しやすくなる。 With such a configuration, when a key with a different common key encryption is used for each authenticated device, the attacker receives the authentication request transmitted from the legitimate authenticated device and sends the received authentication request. Only attacks by sending to the authentication device can be performed. Therefore, it becomes easier to detect that an attack has taken place.

また、本発明による被認証装置では、検証部は、記憶部に保存された検証値と認証装置から送信された検証値が整合するかを確認して正当かを判断してもよい。 Further, in the authenticated device according to the present invention, the verification unit may check whether the verification value stored in the storage unit and the verification value transmitted from the authentication device match to determine whether the verification value is valid.

このような構成により、簡単な処理により認証の正当性を検証することができる。 With such a configuration, the validity of authentication can be verified by a simple process.

また、本発明による認証検証システムは、さらに、
認証装置の認証後に、認証部からの検証値を受信して被認証装置の検証部に送信し、また認証結果や検証結果を受信するために、被認証装置、及び認証装置との通信を行うための回線通信部と、認証及び検証結果に応じてシステムの挙動をコントロールするサーバ認証部と、を備えるシステムサーバを備えるものである。Further, the authentication verification system according to the present invention further
After the authentication of the authentication device, the verification value from the authentication unit is received and transmitted to the verification unit of the authenticated device, and the authentication result and the verification result are communicated with the authenticated device and the authentication device in order to receive the verification result. It is provided with a system server including a line communication unit for the purpose and a server authentication unit that controls the behavior of the system according to the authentication and verification results.

このような構成により、システムサーバ上のユーザデータなどとの照合が可能となり、不正利用されているユーザへの通知や利用停止などの措置を速やかに取ることができるようになる。 With such a configuration, it is possible to collate with the user data on the system server, and it is possible to promptly take measures such as notifying the illegally used user and suspending the use.

また、本発明による認証装置では、認証部は、認証期間に受信された複数の認証要求からそれぞれ取得された複数の復号情報に含まれる検証値どうしの比較を行い、整合性が見られない場合に、前記被認証装置が正当でないと判断してもよい。 Further, in the authentication device according to the present invention, the authentication unit compares the verification values included in the plurality of decryption information acquired from the plurality of authentication requests received during the authentication period, and if no consistency is found. In addition, it may be determined that the authenticated device is not valid.

このような構成により、検証値そのものの妥当性も確認することで、場合によっては被認証側の確認を待たなくとも攻撃者の存在をより早急に察知できるようになる。 With such a configuration, by confirming the validity of the verification value itself, in some cases, the existence of an attacker can be detected more quickly without waiting for the confirmation of the authenticated side.

また、本発明による被認証装置では、送信部は、ユニーク情報と、検証値とを異なる手段で送信してもよい。 Further, in the authenticated device according to the present invention, the transmission unit may transmit the unique information and the verification value by different means.

このような構成により、送信する情報量の削減をすることができるようになる。例えば、検証値の送信頻度をユニーク値よりも小さくしシステムへの負荷を下げることができる。 With such a configuration, the amount of information to be transmitted can be reduced. For example, the transmission frequency of the verification value can be made smaller than the unique value to reduce the load on the system.

また、本発明による認証装置では、受信部は、間欠的に認証要求を受信してもよい。 Further, in the authentication device according to the present invention, the receiving unit may intermittently receive the authentication request.

このような構成により、認証要求の受信に関する負荷を軽減することができ、認証装置の消費電力を低減することができるようになる。 With such a configuration, the load related to receiving the authentication request can be reduced, and the power consumption of the authentication device can be reduced.

また、本発明による認証検証方法は、認証を受けようとする被認証装置と、被認証装置を認証する認証装置と、を備える認証システムにおいて、被認証装置の認証を検証する認証検証方法であって、被認証装置が、暗号情報を含む認証要求を、認証期間内に繰り返して認証装置に送信するステップと、被認証装置が、ユニーク情報と検証値を暗号鍵によって暗号化することで暗号情報を生成するステップと、被認証装置が、ユニーク情報を生成するステップと、被認証装置が、検証値を生成して、認証装置の認証後に、正当な認証であったかを検証するステップと、被認証装置が、生成した検証値を保存するステップと、認証装置が、被認証装置から送信された、暗号鍵によって暗号化された暗号情報を含む認証要求を、認証期間内に繰り返して受信するステップと、認証装置が、暗号情報を復号して復号情報を取得するステップと、認証装置が、復号できた暗号情報を含む、認証期間内に受信された複数の認証要求を用いて、被認証装置が正当かどうかを判断し、認証判断後に検証値を含む検証データを被認証装置に送信するステップと、認証装置が、認証部による判断結果を出力するステップと、を備えるものである。 Further, the authentication verification method according to the present invention is an authentication verification method for verifying the authentication of the authenticated device in an authentication system including an authenticated device to be certified and an authentication device that authenticates the authenticated device. Then, the authenticated device repeatedly sends an authentication request including the encrypted information to the authenticated device within the authentication period, and the authenticated device encrypts the unique information and the verification value with the encryption key to obtain the encrypted information. The step of generating unique information, the step of the authenticated device generating unique information, the step of the authenticated device generating a verification value, and the step of verifying whether or not the authentication was valid after the authentication of the authentication device, and the step of being authenticated. A step in which the device saves the generated verification value, and a step in which the authentication device repeatedly receives an authentication request including encryption information encrypted by an encryption key sent from the authenticated device within the authentication period. , The authenticated device uses a step of decrypting the encrypted information to obtain the decrypted information and a plurality of authentication requests received within the authentication period including the encrypted information that the authenticated device can decrypt. It includes a step of determining whether or not it is valid and transmitting verification data including a verification value to the authenticated device after the authentication determination, and a step of the authentication device outputting a determination result by the authentication unit.

本発明による認証検証システム、被認証装置、認証装置、認証検証方法、認証検証プログラム及びコンピュータで読み取り可能な記録媒体並びに記録した機器によれば、簡単な処理により、スマートフォンが持つ逆コンパイルなどの脆弱性や攻撃に対応したセキュアな認証を実現することができる。 According to the authentication verification system, the authenticated device, the authentication device, the authentication verification method, the authentication verification program, the computer-readable recording medium, and the recording device according to the present invention, the smartphone has vulnerabilities such as reverse compilation by simple processing. It is possible to realize secure authentication corresponding to sex and attacks.

本発明の実施の形態による被認証装置、認証装置及びシステムサーバの構成を示すブロック図A block diagram showing a configuration of an authenticated device, an authenticated device, and a system server according to an embodiment of the present invention. 同実施の形態による被認証装置の認証動作を示すフローチャートA flowchart showing the authentication operation of the authenticated device according to the same embodiment. 同実施の形態による認証装置の認証動作を示すフローチャートA flowchart showing the authentication operation of the authentication device according to the same embodiment. 同実施の形態によるシステムサーバの動作を示すフローチャートA flowchart showing the operation of the system server according to the same embodiment. 同実施の形態による被認証装置の検証動作を示すフローチャートA flowchart showing the verification operation of the authenticated device according to the same embodiment. 同実施の形態による認証装置の検証動作を示すフローチャートA flowchart showing the verification operation of the authentication device according to the same embodiment. 同実施の形態における認証要求の送受信について説明するための図The figure for demonstrating the transmission / reception of the authentication request in the same embodiment. 同実施の形態におけるコンピュータシステムの構成の一例を示す図The figure which shows an example of the configuration of the computer system in the same embodiment.

以下、本発明による認証検証システム、被認証装置、認証装置、認証検証方法、認証検証プログラム及びコンピュータで読み取り可能な記録媒体並びに記録した機器について、実施の形態を用いて説明する。なお、以下の実施の形態において、同じ符号を付した構成要素及びステップは同一または相当するものであり、再度の説明を省略することがある。本実施の形態による被認証装置は、複数のユニーク情報を暗号化した暗号情報を含む複数の認証要求を認証装置に送信する。また、本実施の形態による認証装置は、被認証装置から送信された複数の認証要求を用いて、被認証装置の認証を行う。また、本実施の形態による被認証装置は、検証値を認証装置に送信する。本実施の形態による認証装置は、受信した検証値を検証データとしてシステムサーバを介して、被認証装置にて認証の検証を行う。 Hereinafter, the authentication verification system, the authenticated device, the authentication device, the authentication verification method, the authentication verification program, the computer-readable recording medium, and the recording device according to the present invention will be described using embodiments. In the following embodiments, the components and steps having the same reference numerals are the same or correspond to each other, and the description thereof may be omitted again. The authenticated device according to the present embodiment transmits a plurality of authentication requests including encrypted information obtained by encrypting a plurality of unique information to the authentication device. Further, the authentication device according to the present embodiment authenticates the authenticated device by using a plurality of authentication requests transmitted from the authenticated device. Further, the authenticated device according to the present embodiment transmits a verification value to the authentication device. The authentication device according to the present embodiment verifies the authentication by the authenticated device via the system server using the received verification value as verification data.

図1は、本実施の形態による被認証装置1、認証装置2、及びシステムサーバ3の構成を示すブロック図である。本実施の形態による被認証装置1は、取得部11と、記憶部12と、暗号化部13と、送信部14と、検証部15と、回線通信部16とを備える。本実施の形態による認証装置2は、受信部21と、記憶部22と、復号部23と、認証部24と、出力部25と、回線通信部26とを備える。システムサーバ3は、サーバ認証部35と、回線通信部36とを備える。被認証装置1は、例えば、スマートフォンや、タブレット端末、PDA(Personal Digital Assistant)、ノートパソコン、トランシーバ等の通信機能を備えた携帯情報端末であってもよく、その他の機器であってもよい。認証装置2は、例えば、自動改札機、イベント等の会場へ入場するためのゲート、自動販売機、ホテルや貸し会議室のドアを施錠・解錠する制御装置、キャッシュレジスタ等であってもよく、スマートフォン等の通信機能を備えた携帯情報端末であってもよい。システムサーバ3は、例えば、クラウド上に設置のサーバシステムでもよいし、認証装置2内に設置されていてもよい。本実施の形態では、被認証装置1及び認証装置2が通信機能を有する携帯情報端末である場合について主に説明する。なお、図1では、1個の被認証装置1と、1個の認証装置2との間で通信を行う場合について示しているが、そうでなくてもよい。複数の被認証装置1と、1個の認証装置2との間で通信が行われてもよい。その通信は通常、無線通信である。 FIG. 1 is a block diagram showing the configurations of the authenticated device 1, the authentication device 2, and the system server 3 according to the present embodiment. The authenticated device 1 according to the present embodiment includes an acquisition unit 11, a storage unit 12, an encryption unit 13, a transmission unit 14, a verification unit 15, and a line communication unit 16. The authentication device 2 according to the present embodiment includes a receiving unit 21, a storage unit 22, a decoding unit 23, an authentication unit 24, an output unit 25, and a line communication unit 26. The system server 3 includes a server authentication unit 35 and a line communication unit 36. The authenticated device 1 may be, for example, a mobile information terminal having a communication function such as a smartphone, a tablet terminal, a PDA (Personal Digital Assistant), a notebook computer, a transceiver, or any other device. The authentication device 2 may be, for example, an automatic ticket gate, a gate for entering a venue such as an event, a vending machine, a control device for locking / unlocking the door of a hotel or a conference room for rent, a cash register, or the like. , A mobile information terminal having a communication function such as a smartphone. The system server 3 may be, for example, a server system installed on the cloud or may be installed in the authentication device 2. In the present embodiment, the case where the authenticated device 1 and the authenticated device 2 are mobile information terminals having a communication function will be mainly described. Note that FIG. 1 shows a case where one authenticated device 1 and one authenticated device 2 communicate with each other, but this may not be the case. Communication may be performed between the plurality of authenticated devices 1 and one authentication device 2. The communication is usually wireless communication.

まず、本実施の形態による被認証装置1について説明する。
取得部11は、ユニーク情報を取得する。各ユニーク情報は、例えば、異なる情報であってもよい。この場合には、取得部11が複数のユニーク情報を取得すると、その複数のユニーク情報は、それぞれ異なるものとなる。ユニーク情報は、後述するように、暗号化されて認証要求に含められ、送信される。したがって、各ユニーク情報が異なる情報である場合には、ユニーク情報は、認証要求に固有の情報であると言うこともできる。また、通常、ユニークな情報と、ユニークではない情報とから構成される情報(例えば、上位側ビットがユニークな情報であり、下位側ビットがユニークではない情報など)は、結果として、ユニーク情報となる。したがって、ユニーク情報は、そのように、ユニークな情報とユニークではない情報とから構成されてもよい。ユニーク情報と、そのユニーク情報に含まれるユニークな情報とを区別するため、以下、ユニーク情報に含まれるユニークな情報を、「ユニーク部分」と呼ぶこともある。また、ユニーク情報に含まれるユニークではない情報を、「非ユニーク部分」と呼ぶこともある。なお、非ユニーク部分は、必ずユニークな情報であるとは言えない情報であり、後述する位置情報のように、認証要求ごとに変化し得る情報であってもよい。First, the authenticated device 1 according to the present embodiment will be described.
The acquisition unit 11 acquires unique information. Each unique information may be, for example, different information. In this case, when the acquisition unit 11 acquires a plurality of unique information, the plurality of unique information will be different from each other. The unique information is encrypted, included in the authentication request, and transmitted, as described below. Therefore, when each unique information is different information, it can be said that the unique information is information unique to the authentication request. In addition, information usually composed of unique information and non-unique information (for example, information in which the upper bit is unique and the lower bit is not unique) is, as a result, unique information. Become. Therefore, unique information may thus be composed of unique information and non-unique information. In order to distinguish between the unique information and the unique information included in the unique information, the unique information included in the unique information may be referred to as a "unique part" below. In addition, non-unique information included in unique information may be referred to as "non-unique part". The non-unique part is information that cannot always be said to be unique information, and may be information that can change for each authentication request, such as location information described later.

ユニーク情報は、例えば、乱数値を含んでもよく、カウント値を含んでもよく、時刻を含んでもよく、ワンタイムパスワードを含んでもよく、その他のユニークな情報を含んでもよい。乱数値は、例えば、乱数表や、乱数を発生させる関数などを用いて生成されてもよい。カウント値は、例えば、あらかじめ決められた間隔で数値をインクリメントまたはデクリメントした値であってもよい。なお、認証要求ごとに異なるユニーク情報が用いられる場合には、その乱数値やカウント値は、重複がないことが好適である。時刻は、例えば、図示しない時計部から取得された時分秒や、分秒などであってもよい。また、認証要求ごとに異なるユニーク情報が用いられる場合には、その時刻の精度は、後述する認証要求の送信間隔よりも短い時間間隔の精度であることが好適である。そのようにすることで、例えば、ユニーク情報を認証要求に固有の情報とすることができる。例えば、認証要求の送信間隔が10ミリ秒程度である場合には、時刻の精度は、1ミリ秒であってもよい。なお、複数の認証要求について重複したユニーク情報が用いられてもよい場合には、乱数値やカウントに重複があってもよく、時刻の精度は、送信間隔よりも長い時間間隔の精度であってもよい。この場合であっても、後述するように、認証期間内には、異なるユニーク情報に対応する複数の認証要求が送信される必要があるため、そのような複数の認証要求を送信することができるユニーク情報の取得が行われることが好適である。 The unique information may include, for example, a random number value, a count value, a time, a one-time password, or other unique information. The random number value may be generated by using, for example, a random number table or a function for generating a random number. The count value may be, for example, a value obtained by incrementing or decrementing a numerical value at predetermined intervals. When different unique information is used for each authentication request, it is preferable that the random number values and count values do not overlap. The time may be, for example, hours, minutes, seconds, minutes, seconds, or the like acquired from a clock unit (not shown). Further, when different unique information is used for each authentication request, it is preferable that the accuracy of the time is shorter than the transmission interval of the authentication request described later. By doing so, for example, the unique information can be the information unique to the authentication request. For example, when the transmission interval of the authentication request is about 10 milliseconds, the accuracy of the time may be 1 millisecond. When duplicated unique information may be used for a plurality of authentication requests, duplicated random numbers and counts may be used, and the time accuracy is longer than the transmission interval. May be good. Even in this case, as will be described later, since it is necessary to send a plurality of authentication requests corresponding to different unique information within the authentication period, such a plurality of authentication requests can be transmitted. It is preferable that unique information is acquired.

取得部11は、ユニーク情報を生成してもよく、他の構成要素や装置から受け取ってもよい。ユニーク情報が、ユニーク部分と非ユニーク部分とから構成される場合には、取得部11は、乱数値やカウント値、時刻、ワンタイムパスワードなどのユニーク部分を取得し、そのユニーク部分と、自装置である被認証装置1のIDや送信先の認証装置2のID、自装置である被認証装置1の位置情報などの非ユニーク部分とを用いて、ユニーク情報を生成してもよい。自装置のIDは、例えば、記憶部12から読み出されて用いられてもよい。また、送信先の認証装置2のIDは、例えば、後述する送信指示に含まれていてもよく、記憶部12から読み出されて用いられてもよい。自装置の位置情報は、後述するように、位置取得部によって取得されてもよい。また、取得部11は、例えば、認証装置2からユニーク情報を受信してもよい。その場合には、そのユニーク情報を暗号化した暗号情報を含む認証要求が被認証装置1から認証装置2に送信されることによって、チャレンジ・レスポンス認証が行われることになる。この場合には、認証装置2において、上記のようなユニーク情報が生成されてもよい。なお、取得部11は、例えば、認証装置2からユニーク部分を受信し、そのユニーク部分を用いて、ユニーク情報を生成してもよい。この場合にも、ユニーク情報に含まれるユニーク部分を用いて、チャレンジ・レスポンス認証を行うことができる。 The acquisition unit 11 may generate unique information or may receive it from other components or devices. When the unique information is composed of a unique part and a non-unique part, the acquisition unit 11 acquires a unique part such as a random number value, a count value, a time, and a one-time password, and the unique part and its own device Unique information may be generated by using a non-unique part such as the ID of the authenticated device 1 which is the ID, the ID of the authentication device 2 of the transmission destination, and the position information of the authenticated device 1 which is the own device. The ID of the own device may be read from the storage unit 12 and used, for example. Further, the ID of the authentication device 2 at the transmission destination may be included in, for example, a transmission instruction described later, or may be read from the storage unit 12 and used. The position information of the own device may be acquired by the position acquisition unit, as will be described later. Further, the acquisition unit 11 may receive unique information from, for example, the authentication device 2. In that case, challenge-response authentication is performed by transmitting an authentication request including encrypted information obtained by encrypting the unique information from the authenticated device 1 to the authentication device 2. In this case, the authentication device 2 may generate the above-mentioned unique information. The acquisition unit 11 may receive, for example, a unique portion from the authentication device 2 and use the unique portion to generate unique information. In this case as well, challenge-response authentication can be performed using the unique portion included in the unique information.

記憶部12では、例えば、被認証装置1のIDが記憶されている。このIDは、被認証装置1の識別子であり、被認証装置1に固有な情報である。また、記憶部12では、例えば、後述する共通鍵暗号の鍵や、認証装置2の識別子であるID等が記憶されていてもよい。また、ユニーク情報に乱数値やカウント値が含まれる場合には、乱数値を取得するための乱数表や関数、カウント値を生成するための最新のカウント値等が記憶部12で記憶されていてもよい。 In the storage unit 12, for example, the ID of the authenticated device 1 is stored. This ID is an identifier of the authenticated device 1 and is information unique to the authenticated device 1. Further, the storage unit 12 may store, for example, a key for common key cryptography, which will be described later, an ID which is an identifier of the authentication device 2, and the like. When the unique information includes a random number value or a count value, the storage unit 12 stores a random number table or function for acquiring the random number value, the latest count value for generating the count value, and the like. May be good.

記憶部12に情報が記憶される過程は問わない。例えば、記録媒体を介して情報が記憶部12で記憶されるようになってもよく、通信回線等を介して送信された情報が記憶部12で記憶されるようになってもよく、または、入力デバイスを介して入力された情報が記憶部12で記憶されるようになってもよい。記憶部12は、不揮発性の記録媒体によって実現されることが好適であるが、揮発性の記録媒体によって実現されてもよい。記録媒体は、例えば、半導体メモリや磁気ディスク、光ディスクなどであってもよい。 The process of storing information in the storage unit 12 does not matter. For example, the information may be stored in the storage unit 12 via the recording medium, the information transmitted via the communication line or the like may be stored in the storage unit 12, or The information input via the input device may be stored in the storage unit 12. The storage unit 12 is preferably realized by a non-volatile recording medium, but may be realized by a volatile recording medium. The recording medium may be, for example, a semiconductor memory, a magnetic disk, an optical disk, or the like.

暗号化部13は、ユニーク情報と後述する検証部15で生成された検証値とを暗号鍵によって暗号化して暗号情報を生成する。暗号鍵は、例えば、共通鍵暗号の鍵であってもよく、または、認証要求の送信先の認証装置2に対応する公開鍵暗号の公開鍵であってもよい。暗号鍵が共通鍵暗号の鍵である場合には、共通鍵暗号の鍵は、被認証装置1に固有の鍵であってもよいし、認証装置2に固有の共通鍵であってもよいし、被認証装置1と認証装置2のペアに固有の共通鍵であってもよい。この場合には、被認証装置1ごとに共通鍵暗号の鍵は異なることになる。また、後述するように、この共通鍵暗号の鍵を、認証装置2も保持している。また、暗号鍵が公開鍵暗号の公開鍵である場合には、送信先の認証装置2の公開鍵暗号の公開鍵は、例えば、後述する送信指示に含まれていてもよい。なお、ユニーク情報をシステム共通の暗号鍵で暗号化してもよく、この暗号鍵は共通鍵であってもよいし、公開鍵および秘密鍵であってもよい。 The encryption unit 13 encrypts the unique information and the verification value generated by the verification unit 15 described later with the encryption key to generate the encryption information. The encryption key may be, for example, a common key encryption key, or a public key of public key encryption corresponding to the authentication device 2 to which the authentication request is sent. When the encryption key is a common key cryptographic key, the common key cryptographic key may be a key unique to the authenticated device 1 or a common key unique to the authentication device 2. , The common key unique to the pair of the authenticated device 1 and the authentication device 2 may be used. In this case, the key of the common key encryption is different for each authenticated device 1. Further, as will be described later, the authentication device 2 also holds the key of this common key cryptography. When the encryption key is the public key of the public key cryptography, the public key of the public key cryptography of the transmission destination authentication device 2 may be included in, for example, a transmission instruction described later. The unique information may be encrypted with an encryption key common to the system, and this encryption key may be a common key, a public key, and a private key.

送信部14は、暗号化部13で生成された暗号情報を含む認証要求を、認証期間内に繰り返して認証装置2に送信する。なお、複数のユニーク情報が暗号化された暗号情報をそれぞれ含む複数の認証要求が、認証期間内に送信されるものとする。上記のように、例えば、各ユニーク情報が異なる情報である場合には、正当な被認証装置1から送信される認証要求ごとに、異なるユニーク情報が暗号化された暗号情報が含まれることになる。一方、例えば、ユニーク情報に重複が存在する場合には、正当な被認証装置1から送信される少なくとも2個の認証要求に、同じユニーク情報が暗号化された暗号情報が含まれることもあり得る。この場合であっても、認証期間内には、異なるユニーク情報に対応する複数の認証要求が送信されるものとする。なお、認証期間に送信される複数の認証要求が、同じユニーク情報が暗号化された暗号情報をそれぞれ含む場合に、例えば、同じユニーク情報が暗号化された暗号情報を含む認証要求の個数は決まっていてもよい。例えば、あらかじめ決められた個数の認証要求に、同じユニーク情報が暗号化された暗号情報が含まれ、その決められた個数の認証要求ごとに、暗号情報に対応するユニーク情報が異なるものとなってもよい。また、認証要求には、暗号情報以外の情報が含まれていてもよい。例えば、認証要求の送信元の被認証装置1のIDが、その認証要求に含まれていてもよい。また、暗号情報に対応する各検証値は、正当な被認証装置1から送信される認証要求ごとに、異なる検証データが含まれていることが望ましい。なお、暗号情報に対応する認証要求と検証値は、送信手段が異なっていてもよい。 The transmission unit 14 repeatedly transmits an authentication request including the encryption information generated by the encryption unit 13 to the authentication device 2 within the authentication period. It is assumed that a plurality of authentication requests including each of the encrypted information in which the plurality of unique information is encrypted are transmitted within the authentication period. As described above, for example, when each unique information is different information, the encrypted information in which the different unique information is encrypted is included for each authentication request transmitted from the legitimate authenticated device 1. .. On the other hand, for example, when the unique information is duplicated, at least two authentication requests transmitted from the legitimate authenticated device 1 may include the encrypted information in which the same unique information is encrypted. .. Even in this case, a plurality of authentication requests corresponding to different unique information shall be transmitted within the authentication period. When a plurality of authentication requests sent during the authentication period include encrypted information in which the same unique information is encrypted, for example, the number of authentication requests including encrypted information in which the same unique information is encrypted is fixed. You may be. For example, a predetermined number of authentication requests include encrypted information in which the same unique information is encrypted, and the unique information corresponding to the encrypted information differs for each predetermined number of authentication requests. May be good. Further, the authentication request may include information other than the encrypted information. For example, the ID of the authenticated device 1 that is the source of the authentication request may be included in the authentication request. Further, it is desirable that each verification value corresponding to the encrypted information includes different verification data for each authentication request transmitted from the legitimate authenticated device 1. The authentication request and the verification value corresponding to the encrypted information may have different transmission means.

検証部15は、認証後の検証のための検証値を生成する。検証値は、検証値を生成した時刻と、例えば、乱数などの値を含む。生成された検証値は、暗号化部13で暗号化されて送信部14から認証装置2に送信され、復号される。後述の検証データとして回線通信部26から送信され、システムサーバ3を経由して回線通信部16で受信される。再度検証部15で被認証装置1自身が送信した検証値か検証される。例えば、認証装置2から送信されてきた、検証値を生成した時刻や乱数などの値が、保存されているものと一致するかなど、整合を確認する。なお、検証値を生成した時刻に該当する期間に保存された、乱数などの値のみ、一致するかどうかを確認してもよい。また、利用者が利用した認証であったかなどが検証されてもよい。検証値は、認証されるごとに送信される。また、例えば記憶部12などに、例えば、一日など、一定期間保存されてよく、保存される内容は、検証値を含んでいてよい。検証部15は、検証された検証結果をシステムサーバ3に送信する。なお、検証値に含まれる値は乱数でもよいし、暗号数理的性質を持つ何らかの暗号学的ハッシュ関数値でもよい。また、被認証装置1に保存されるデータ量を節約するために、生成した時刻のみ送信毎に異なるように送信し、検証値として生成される乱数などの値は送信毎に異ならず、1秒などの一定期間ごとに間引き、異なるものでもよい。この時、被認証装置1に保存する検証値は、間引かれた乱数などの値の更新タイミングの、検証値が生成した時刻だけを保存してもよい。なお、ユニーク情報と検証値に重なる情報があり、同じパケットで送信する場合、重なるデータを省略してもよい。 The verification unit 15 generates a verification value for verification after authentication. The verification value includes the time when the verification value is generated and a value such as a random number. The generated verification value is encrypted by the encryption unit 13, transmitted from the transmission unit 14 to the authentication device 2, and decrypted. It is transmitted from the line communication unit 26 as verification data to be described later, and is received by the line communication unit 16 via the system server 3. The verification unit 15 again verifies whether the verification value is transmitted by the authenticated device 1 itself. For example, the consistency is confirmed, such as whether the values such as the time when the verification value is generated and the random number transmitted from the authentication device 2 match the stored ones. It should be noted that it may be confirmed whether or not only the values such as random numbers stored in the period corresponding to the time when the verification value is generated match. In addition, it may be verified whether the authentication was used by the user. The verification value is sent each time it is authenticated. Further, it may be stored in a storage unit 12 or the like for a certain period of time, for example, one day, and the stored content may include a verification value. The verification unit 15 transmits the verified verification result to the system server 3. The value included in the verification value may be a random number or a cryptographic hash function value having some cryptographic property. Further, in order to save the amount of data stored in the authenticated device 1, only the generated time is transmitted so as to be different for each transmission, and the value such as the random number generated as the verification value does not differ for each transmission and is 1 second. It may be different by thinning out at regular intervals such as. At this time, as the verification value stored in the authenticated device 1, only the time when the verification value is generated, which is the update timing of the value such as the thinned out random number, may be stored. Note that there is information that overlaps with the unique information and the verification value, and when transmitting in the same packet, the overlapping data may be omitted.

回線通信部16は、システムサーバ3と通信するために利用されてもよいし、ほかの用途に利用されてもよい。システムサーバ3との通信では、検証値を含む検証データや検証結果、自身のID、暗号鍵などシステムの維持に必要な情報を通信してもよい。なお、この回線通信部16とシステムサーバ3の回線通信部36とは、専用回線で構築されていることが望ましく、通信手段は、例えば、携帯回線網や、有線回線網などでもよい。 The line communication unit 16 may be used for communicating with the system server 3 or may be used for other purposes. In the communication with the system server 3, information necessary for maintaining the system, such as verification data including verification values, verification results, own ID, and encryption key, may be communicated. It is desirable that the line communication unit 16 and the line communication unit 36 of the system server 3 are constructed with a dedicated line, and the communication means may be, for example, a mobile line network or a wired line network.

認証期間は、通常、あらかじめ決められた時間的な長さである。1個目の認証要求の送信から認証期間が開始されてもよい。そのため、送信部14は、例えば、1個目の認証要求の送信からタイマによる計時を開始し、あらかじめ決められた認証期間が経過すると、認証要求の送信を終了してもよい。認証期間は特に限定されるものではないが、例えば、200ミリ秒から10秒程度の範囲内の時間であってもよい。なお、後述するように、認証期間が終了するまでは認証装置2における認証の処理が開始されないため、認証期間は短いほうが好適である。そのため、認証時間は、3秒以下であることが好適であり、1秒以下であることがさらに好適である。なお、送信部14は、例えば、被認証装置1が所定の送信指示を受信した際に、認証要求の送信を開始してもよい。その送信指示は、例えば、認証装置2の付近に配置された発信機から送信されるビーコンであってもよい。 The certification period is usually a predetermined time length. The authentication period may start from the transmission of the first authentication request. Therefore, for example, the transmission unit 14 may start timing by the timer from the transmission of the first authentication request, and may end the transmission of the authentication request when the predetermined authentication period elapses. The authentication period is not particularly limited, but may be, for example, a time in the range of about 200 milliseconds to 10 seconds. As will be described later, since the authentication process in the authentication device 2 is not started until the authentication period ends, it is preferable that the authentication period is short. Therefore, the authentication time is preferably 3 seconds or less, and more preferably 1 second or less. The transmission unit 14 may start transmitting the authentication request when, for example, the authenticated device 1 receives a predetermined transmission instruction. The transmission instruction may be, for example, a beacon transmitted from a transmitter arranged near the authentication device 2.

送信部14は、通常、所定の時間間隔を空けて繰り返して認証要求を送信する。その時間間隔は、例えば、一定であってもよく、または、不定であってもよい。前者の場合には、その時間間隔は、設定されたものであってもよく、そうでなくてもよい。また、その時間間隔が不定の場合であっても、平均の時間間隔は設定できてもよい。例えば、認証要求がBluetooth(登録商標)の低消費電力(LE:Low Energy)によって通信される場合には、時間間隔は不定であるが、平均の時間間隔は決まっていることになる。いずれの場合であっても、その時間間隔は、送信部14が認証要求を送信する通信規格で定めされた最低の通信間隔以上の間隔となる。また、例えば、認証装置2が間欠的な受信を行う場合であっても、複数の認証要求のうち、少なくともいずれかの認証要求が認証装置2で受信されるように送信されることが好適である。そのため、例えば、認証要求の送信周期は、認証装置2の受信周期と異なっていてもよく、ランダムな送信間隔で認証要求の送信が行われてもよい。また、送信部14が認証期間に送信する認証要求の個数は、決まっていてもよく、または、そうでなくてもよい。後者の場合であっても、認証期間が決まっており、認証要求が所定の時間間隔を空けて送信されることによって、通常、認証期間内に送信される認証要求の個数、または個数の範囲は決まることになる。 The transmission unit 14 usually repeatedly transmits an authentication request at predetermined time intervals. The time interval may be, for example, constant or indefinite. In the former case, the time interval may or may not be set. Further, even if the time interval is indefinite, the average time interval may be set. For example, when the authentication request is communicated by Bluetooth Low Energy (LE), the time interval is indefinite, but the average time interval is fixed. In any case, the time interval is equal to or greater than the minimum communication interval defined by the communication standard for transmitting the authentication request by the transmission unit 14. Further, for example, even when the authentication device 2 performs intermittent reception, it is preferable that at least one of the plurality of authentication requests is transmitted so as to be received by the authentication device 2. be. Therefore, for example, the transmission cycle of the authentication request may be different from the reception cycle of the authentication device 2, and the authentication request may be transmitted at random transmission intervals. Further, the number of authentication requests transmitted by the transmission unit 14 during the authentication period may or may not be fixed. Even in the latter case, the authentication period is fixed, and the number of authentication requests sent within the authentication period, or the range of the number, is usually determined by sending the authentication requests at predetermined time intervals. It will be decided.

送信部14が認証要求を送信する無線の通信規格は問わない。認証要求は、例えば、Bluetoothの低消費電力(以下、「BLE」と呼ぶこともある。)によって通信されてもよく、BluetoothのBR(Basic Rate)/EDR(Enhanced Data Rate)によって通信されてもよく、無線LAN(IEEE802.11)によって通信されてもよく、ZigBee(登録商標)などのIEEE802.15.4によって通信されてもよく、その他の無線の通信規格によって通信されてもよい。認証要求は、例えば、BLEや、BluetoothのBR/EDR、無線LANなどの近距離無線通信によって送受信されることが好適である。本実施の形態では、認証要求BLEによって通信される場合について主に説明する。 The wireless communication standard to which the transmission unit 14 transmits the authentication request does not matter. The authentication request may be communicated by, for example, low power consumption of Bluetooth (hereinafter, also referred to as "BLE"), or may be communicated by BR (Basic Rate) / EDR (Enhanced Data Rate) of Bluetooth. Often, it may be communicated by wireless LAN (IEEE802.11), may be communicated by IEEE802.5.4 such as ZigBee®, or may be communicated by other wireless communication standards. It is preferable that the authentication request is transmitted and received by short-range wireless communication such as BLE, Bluetooth BR / EDR, and wireless LAN. In the present embodiment, a case where communication is performed by the authentication request BLE will be mainly described.

送信部14は、例えば、認証要求をブロードキャストで送信してもよく、ユニキャストで通信してもよい。通信相手を特定しないで認証要求を送信できることから、ブロードキャストで認証要求を送信することが好適である。本実施の形態では、送信部14が認証要求をブロードキャストで送信する場合について主に説明する。 The transmission unit 14 may transmit the authentication request by broadcasting or may communicate by unicast, for example. Since the authentication request can be transmitted without specifying the communication partner, it is preferable to transmit the authentication request by broadcasting. In the present embodiment, the case where the transmission unit 14 transmits the authentication request by broadcasting will be mainly described.

なお、送信部14は、送信を行うための無線の送信デバイス(例えば、アンテナなど)を含んでもよく、または含まなくてもよい。また、送信部14は、ハードウェアによって実現されてもよく、または送信デバイスを駆動するドライバ等のソフトウェアによって実現されてもよい。 The transmission unit 14 may or may not include a wireless transmission device (for example, an antenna) for performing transmission. Further, the transmission unit 14 may be realized by hardware, or may be realized by software such as a driver for driving a transmission device.

次に、本実施の形態による認証装置2について説明する。
受信部21は、被認証装置1から送信された、暗号鍵によって暗号化された暗号情報を含む認証要求を、認証期間内に繰り返して受信する。なお、認証要求の送信元は、通常、上記説明の被認証装置1である。一方、後述するように、攻撃者の装置が、被認証装置1から送信された認証要求を受信し、その受信した認証要求を再度、送信することや、ユニーク情報を独自に取得して暗号情報を生成し、その暗号情報を含む認証要求を送信することもあり得る。その場合に、受信部21は、認証要求が、正当な被認証装置1から送信されたのか、攻撃者の装置から送信されたのかを、その認証要求の受信時に判断することはできない。したがって、認証要求を送信した装置を、被認証装置1と呼ぶことにする。そして、後述するように、複数の認証要求が受信された後に、認証部24は、それらの認証要求を用いて、送信元が本来の被認証装置1、すなわち正当な被認証装置1であるのか、攻撃者の装置、すなわち正当でない被認証装置1であるのかを判断することになる。Next, the authentication device 2 according to the present embodiment will be described.
The receiving unit 21 repeatedly receives the authentication request including the encrypted information encrypted by the encryption key transmitted from the authenticated device 1 within the authentication period. The source of the authentication request is usually the authenticated device 1 described above. On the other hand, as will be described later, the attacker's device receives the authentication request transmitted from the authenticated device 1 and transmits the received authentication request again, or obtains unique information independently and encrypts the information. It is also possible to generate an authentication request containing the encrypted information. In that case, the receiving unit 21 cannot determine whether the authentication request is transmitted from the legitimate authenticated device 1 or the attacker's device at the time of receiving the authentication request. Therefore, the device that has transmitted the authentication request will be referred to as the authenticated device 1. Then, as will be described later, after the plurality of authentication requests are received, the authentication unit 24 uses the authentication requests to determine whether the source is the original authenticated device 1, that is, the legitimate authenticated device 1. , The attacker's device, that is, the unjustified authenticated device 1.

受信部21は、間欠的に認証要求を受信してもよい。間欠的な受信とは、情報を受信する期間と、情報を受信しない期間とが交互に繰り返されることであってもよい。例えば、認証要求がBLE通信によって、ブロードキャストで送信される場合には、そのような間欠的な受信が行われることになる。間欠的な受信を行うことによって、消費電力を低減することができる。なお、間欠的な受信が行われる場合に、例えば、情報を受信する期間の長さと、情報を受信しない期間の長さとは一定であってもよく、または、不定であってもよい。本実施の形態では、受信部21が、間欠的な受信を行う場合について主に説明する。 The receiving unit 21 may intermittently receive the authentication request. Intermittent reception may mean that the period for receiving information and the period for not receiving information are alternately repeated. For example, when the authentication request is transmitted by broadcast by BLE communication, such intermittent reception will be performed. Power consumption can be reduced by performing intermittent reception. When intermittent reception is performed, for example, the length of the period for receiving information and the length of the period for not receiving information may be constant or indefinite. In the present embodiment, a case where the receiving unit 21 performs intermittent reception will be mainly described.

なお、受信部21は、受信を行うための無線の受信デバイス(例えば、アンテナなど)を含んでもよく、または含まなくてもよい。また、受信部21は、ハードウェアによって実現されてもよく、または受信デバイスを駆動するドライバ等のソフトウェアによって実現されてもよい。 The receiving unit 21 may or may not include a wireless receiving device (for example, an antenna) for performing reception. Further, the receiving unit 21 may be realized by hardware, or may be realized by software such as a driver that drives the receiving device.

記憶部22では、復号鍵が記憶される。例えば、暗号鍵が共通鍵暗号の鍵である場合には、復号鍵は、その共通鍵暗号の鍵である。この場合には、被認証装置1ごとに復号鍵(共通鍵暗号の鍵)が記憶部22で記憶されていてもよい。記憶部22では、例えば、被認証装置1のIDと、そのIDで識別される被認証装置1の共通鍵暗号の鍵とを含む鍵対応情報が複数、記憶されていてもよい。また、例えば、暗号鍵が公開鍵暗号の公開鍵である場合には、復号鍵は、その公開鍵暗号の公開鍵とペアになる秘密鍵である。また、ユニーク情報に乱数値やカウント値が含まれる場合には、乱数値を取得するための乱数表や関数、カウント値を生成するための最新のカウント値等が記憶部22で記憶されていてもよい。また、記憶部22では、後述する処理で用いられる、受信回数の閾値や、受信の確率が閾値より低い受信間隔を示す情報などが記憶されていてもよい。 The storage unit 22 stores the decryption key. For example, when the encryption key is a key of common key cryptography, the decryption key is the key of the common key cryptography. In this case, the decryption key (common key cryptographic key) may be stored in the storage unit 22 for each authenticated device 1. The storage unit 22 may store a plurality of key correspondence information including, for example, the ID of the authenticated device 1 and the key of the common key encryption of the authenticated device 1 identified by the ID. Further, for example, when the encryption key is the public key of public key cryptography, the decryption key is a private key paired with the public key of the public key cryptography. When the unique information includes a random number value or a count value, the storage unit 22 stores a random number table or function for acquiring the random number value, the latest count value for generating the count value, and the like. May be good. Further, the storage unit 22 may store information such as a threshold value of the number of receptions and a reception interval in which the probability of reception is lower than the threshold value, which is used in the processing described later.

記憶部22に情報が記憶される過程は問わない。例えば、記録媒体を介して情報が記憶部22で記憶されるようになってもよく、通信回線等を介して送信された情報が記憶部22で記憶されるようになってもよく、または、入力デバイスを介して入力された情報が記憶部22で記憶されるようになってもよい。記憶部22は、不揮発性の記録媒体によって実現されることが好適であるが、揮発性の記録媒体によって実現されてもよい。記録媒体は、例えば、半導体メモリや磁気ディスク、光ディスクなどであってもよい。 The process of storing information in the storage unit 22 does not matter. For example, the information may be stored in the storage unit 22 via the recording medium, the information transmitted via the communication line or the like may be stored in the storage unit 22, or The information input via the input device may be stored in the storage unit 22. The storage unit 22 is preferably realized by a non-volatile recording medium, but may be realized by a volatile recording medium. The recording medium may be, for example, a semiconductor memory, a magnetic disk, an optical disk, or the like.

復号部23は、復号鍵を用いて暗号情報を復号して復号情報を取得する。例えば、復号鍵が共通鍵暗号の鍵であり、認証要求に、その認証要求の送信元の被認証装置1のIDが含まれる場合には、復号部23は、そのIDに対応付けられている共通鍵暗号の鍵を記憶部22から読み出し、その読み出した共通鍵暗号の鍵を用いて暗号情報を復号してもよい。また、例えば、復号鍵が秘密鍵である場合には、復号部23は、秘密鍵を記憶部22から読み出し、その読み出した秘密鍵を用いて暗号情報を復号してもよい。正当な被認証装置1から送信された認証要求に含まれる暗号情報が復号された復号情報はユニーク情報と検証値となる。したがって、暗号情報を復号できなかった場合や、復号した復号情報が、あらかじめ決められたユニーク情報と検証値の形式に合わなかった場合などには、その暗号情報を含む認証要求を送信した装置が、正当な被認証装置1ではないと判断することができる。 The decryption unit 23 decrypts the encryption information using the decryption key and acquires the decryption information. For example, when the decryption key is a common key encryption key and the authentication request includes the ID of the authenticated device 1 that is the source of the authentication request, the decryption unit 23 is associated with the ID. The key of the common key encryption may be read from the storage unit 22, and the encrypted information may be decrypted by using the read common key encryption key. Further, for example, when the decryption key is a secret key, the decryption unit 23 may read the secret key from the storage unit 22 and decrypt the encrypted information using the read secret key. The decrypted information in which the encrypted information included in the authentication request transmitted from the legitimate authenticated device 1 is decrypted becomes the unique information and the verification value. Therefore, if the encrypted information cannot be decrypted, or if the decrypted decryption information does not match the predetermined unique information and verification value format, the device that sent the authentication request including the encrypted information , It can be determined that the device is not a legitimate authenticated device 1.

認証部24は、復号鍵によって復号できた暗号情報を含む、認証期間内に受信された複数の認証要求を用いて、被認証装置1が正当かどうかを判断する。復号鍵が共通鍵暗号の鍵である場合には、認証期間に受信された複数の認証要求のうち、一の共通鍵暗号の鍵を用いて復号できた暗号情報を含んでいる複数の認証要求を用いて、被認証装置1の認証が行われることになる。上記のように、共通鍵暗号の鍵が被認証装置1ごとに異なる場合には、一の共通鍵暗号の鍵を用いて復号できた暗号情報を含む複数の認証要求は、一の被認証装置1から送信されたと考えることができ、その複数の認証要求を用いて認証を行うことによって、その被認証装置1についての認証を行うことができることになる。一方、復号鍵が秘密鍵である場合には、認証期間に受信された複数の認証要求のうち、認証装置2の秘密鍵を用いて復号できた暗号情報を含んでいる複数の認証要求を用いて、被認証装置1の認証が行われることになる。ここで、復号鍵が秘密鍵である場合には、秘密鍵を用いて復号できた暗号情報を含んでいる複数の認証要求に、複数の被認証装置1から送信された認証要求が含まれることがあり得る。そのため、例えば、認証要求に、その認証要求の送信元の被認証装置1のIDが含まれる場合には、認証部24は、認証期間内に受信された、同じIDを含む複数の認証要求を用いて、被認証装置1が正当かどうかを判断してもよい。なお、複数の認証要求を用いて、被認証装置1が正当かどうかを判断するとは、複数の認証要求そのものを用いることであってもよく、複数の認証要求に関連する情報を用いることであってもよい。複数の認証要求に関連する情報は、例えば、複数の認証要求からそれぞれ取得された複数の復号情報であってもよく、複数の認証要求の受信間隔であってもよく、複数の認証要求の個数であってもよく、複数の認証要求に関連するその他の情報であってもよい。また、認証要求に、その認証要求の送信元の被認証装置1のIDが含まれる場合には、通常、一の共通鍵暗号の鍵によって復号できる暗号情報を有している認証要求には、同じIDが含まれることになる。したがって、暗号鍵が共通鍵暗号の鍵である場合には、認証部24は、認証期間内に受信された、同じIDを含む複数の認証要求を用いて、被認証装置1が正当かどうかを判断してもよい。認証部24は、ある被認証装置1から1個目の認証要求が受信されてから、あらかじめ決められた認証期間内に、その被認証装置1から受信された複数の認証要求を用いて、被認証装置1の認証を行ってもよい。 The authentication unit 24 determines whether or not the authenticated device 1 is valid by using a plurality of authentication requests received within the authentication period, including the encrypted information that can be decrypted by the decryption key. When the decryption key is a common key encryption key, among a plurality of authentication requests received during the authentication period, a plurality of authentication requests including encryption information that can be decrypted using one common key encryption key. Will be used to authenticate the device to be authenticated 1. As described above, when the key of the common key encryption is different for each authenticated device 1, a plurality of authentication requests including the encryption information that can be decrypted by using the key of one common key encryption can be obtained by one authenticated device. It can be considered that it was transmitted from 1, and by performing authentication using the plurality of authentication requests, it is possible to authenticate the authenticated device 1. On the other hand, when the decryption key is a private key, among the plurality of authentication requests received during the authentication period, a plurality of authentication requests including the encryption information that can be decrypted using the private key of the authentication device 2 are used. Then, the authenticated device 1 is authenticated. Here, when the decryption key is a private key, the plurality of authentication requests including the encryption information that can be decrypted using the private key include the authentication requests transmitted from the plurality of authenticated devices 1. There can be. Therefore, for example, when the authentication request includes the ID of the authenticated device 1 that is the source of the authentication request, the authentication unit 24 makes a plurality of authentication requests including the same ID received within the authentication period. It may be used to determine whether the authenticated device 1 is legitimate. It should be noted that determining whether or not the authenticated device 1 is valid by using a plurality of authentication requests may mean using a plurality of authentication requests themselves, or using information related to the plurality of authentication requests. You may. The information related to the plurality of authentication requests may be, for example, a plurality of decryption information acquired from each of the plurality of authentication requests, a reception interval of the plurality of authentication requests, and the number of the plurality of authentication requests. It may be other information related to a plurality of authentication requests. Further, when the authentication request includes the ID of the authenticated device 1 that is the source of the authentication request, the authentication request that has the encryption information that can be decrypted by one common key cryptographic key is usually included in the authentication request. The same ID will be included. Therefore, when the encryption key is a symmetric key cryptographic key, the authentication unit 24 uses a plurality of authentication requests including the same ID received within the authentication period to determine whether the authenticated device 1 is valid or not. You may judge. After receiving the first authentication request from a certain authenticated device 1, the authentication unit 24 uses a plurality of authentication requests received from the authenticated device 1 within a predetermined authentication period to receive the authentication. The authentication device 1 may be authenticated.

なお、認証部24は、例えば、ある認証期間に受信された複数の認証要求のすべてが、正当ではない被認証装置1から送信された場合に、その被認証装置1が正当ではないと判断する。また、認証部24は、例えば、ある認証期間に受信された複数の認証要求に、正当ではない装置から送信された認証要求が含まれる場合にも、その複数の認証要求を送信した被認証装置1が正当ではないと判断する。すなわち、複数の認証要求が、正当な被認証装置1と、正当ではない被認証装置1とから送信された場合にも、その複数の認証要求の送信元の被認証装置1は、正当ではないと判断されることになる。この場合には、認証要求の送信元に、少なくとも攻撃者の装置が含まれることになり、仮に正当な被認証装置1が送信元に含まれるとしても、両者を区別することはできないため、両者共に正当でないと判断することになる。 The authentication unit 24 determines that the authenticated device 1 is not valid when, for example, all of the plurality of authentication requests received during a certain authentication period are transmitted from the invalid authenticated device 1. .. Further, for example, even if a plurality of authentication requests received during a certain authentication period include an authentication request transmitted from an invalid device, the authentication unit 24 transmits the plurality of authentication requests to the authenticated device. Judge that 1 is not valid. That is, even when a plurality of authentication requests are transmitted from a legitimate authenticated device 1 and an unauthorized authenticated device 1, the authenticated device 1 that is the source of the plurality of authentication requests is not valid. Will be judged. In this case, the source of the authentication request includes at least the attacker's device, and even if the legitimate authenticated device 1 is included in the source, it is not possible to distinguish between the two. Both will be judged to be unjustified.

また、認証部24は、認証後に認証内容と検証値を含めた検証データとして、回線通信部26を通じてシステムサーバ3を経由して送信する。なお、認証後の代わりに認証期間終了後であってもよい。また、検証データに認証内容を含めず、検証値だけでも良い。 Further, after the authentication, the authentication unit 24 transmits the verification data including the authentication content and the verification value through the line communication unit 26 via the system server 3. It should be noted that instead of after the certification, it may be after the certification period has expired. Further, the verification value alone may be used without including the authentication content in the verification data.

回線通信部26は、システムサーバ3と通信するために利用されてもよいし、ほかの用途に利用されてもよい。システムサーバ3との通信では、後述する検証データの送信や、被認証装置1のID、暗号鍵などシステムの維持に必要な情報を通信してもよい。なお、この回線通信部26とシステムサーバ3の回線通信部36とは、専用回線で構築されていることが望ましく、通信手段は、例えば、携帯回線網や、有線回線網などでもよい。 The line communication unit 26 may be used for communicating with the system server 3 or may be used for other purposes. In the communication with the system server 3, information necessary for maintaining the system such as transmission of verification data described later and ID of the authenticated device 1 and an encryption key may be communicated. It is desirable that the line communication unit 26 and the line communication unit 36 of the system server 3 are constructed with a dedicated line, and the communication means may be, for example, a mobile line network or a wired line network.

次に、本実施の形態によるシステムサーバ3について説明する。
システムサーバ3は、被認証装置1が認証装置2に認証されたことを、検証するものであり、システムの維持や保全をするためのものである。なお、そのほかの用途として利用してもよい。サーバ認証部35は、一般回路通信部36を経由する認証装置2から送信される検証データを被認証装置1に送信し、被認証装置1で検証された検証結果を用いて、システム全体の維持を決定する。例えば、被認証装置1から不正利用や不正利用の可能性を検証結果として受け取った場合、被認証装置1の暗号鍵を削除して停止したり、更新して新たなものを発行することなどができる。また、不正利用の検証をシステム管理者や被認証装置1の利用者、認証装置2の管理者に促すことができる。なお、システムサーバ3は、被認証装置1と認証装置2と独立している方が望ましいが、認証装置2内に設置されていてもよく、認証装置2が、システムサーバ3のサーバ認証部の機能を保有していてもよい。Next, the system server 3 according to the present embodiment will be described.
The system server 3 verifies that the authenticated device 1 has been authenticated by the authentication device 2, and is for maintaining and maintaining the system. It may be used for other purposes. The server authentication unit 35 transmits the verification data transmitted from the authentication device 2 via the general circuit communication unit 36 to the authenticated device 1, and uses the verification result verified by the authenticated device 1 to maintain the entire system. To determine. For example, when the possibility of unauthorized use or unauthorized use is received from the authenticated device 1 as a verification result, the encryption key of the authenticated device 1 may be deleted and stopped, or updated and a new one may be issued. can. In addition, verification of unauthorized use can be urged to the system administrator, the user of the authenticated device 1, and the administrator of the authentication device 2. It is desirable that the system server 3 is independent of the authenticated device 1 and the authentication device 2, but it may be installed in the authentication device 2, and the authentication device 2 is the server authentication unit of the system server 3. It may have a function.

[検証値と検証データとの整合に基づいた判断]
認証部24は、例えば、複数の復号情報に所定数以上の重複が存在する場合に、被認証装置1が正当でないと判断してもよいし、例えば、認証要求が所定の期間にあらかじめ決められた回数を超えて受信された場合に、被認証装置1が正当でないと判断してもよい。また、例えば、認証期間における認証要求の受信間隔に、確率が閾値より低い受信間隔が含まれる場合に、被認証装置1が正当でないと判断してもよいし、例えば、認証期間に受信された複数の認証要求からそれぞれ取得された複数の復号情報が、ユニーク情報と整合しない場合に、被認証装置1が正当でないと判断してもよい。また、認証部24は、複数の復号情報がユニーク情報と整合するかどうかを、例えば、複数の復号情報の集合について判断してもよい。例えば、ユニーク情報がカウント値である場合には、認証部24は、受信された順番に応じた複数の復号情報が、カウント値のルールに合うときに、複数の復号情報がユニーク情報と整合すると判断し、そうでないときに、複数の復号情報がユニーク情報と整合しないと判断してもよい。具体的には、複数の復号情報が、受信された順番に、「2」「4」「6」「8」…であり、ユニーク情報の生成ルールが、2ずつのインクリメントである場合に、複数の復号情報は、ユニーク情報の生成ルールに合っているため、認証部24は、複数の復号情報がユニーク情報と整合すると判断する。一方、例えば、複数の復号情報が、受信された順番に、「2」「4」「6」「6」「8」…であり、ユニーク情報の生成ルールが、2ずつのインクリメントである場合には、複数の復号情報は、ユニーク情報の生成ルールに合っていないため、認証部24は、複数の復号情報がユニーク情報と整合しないと判断する。また、例えば、ユニーク情報が時刻である場合には、認証部24は、複数の復号情報について、復号情報である時刻と、その復号情報に対応する認証要求の受信時刻との差である時刻差をそれぞれ取得し、取得した複数の時刻差が一定であるときに、複数の復号情報がユニーク情報と整合すると判断し、取得した複数の時刻差が一定でないときに、複数の復号情報がユニーク情報と整合しないと判断してもよい。このようにすることで、被認証装置1の時計部と、認証装置2の時計部とが完全に同期していない場合でも、復号情報が、時刻であるユニーク情報と整合しているかどうかを適切に判断することができる。被認証装置1と認証装置2とは通常、短距離で無線通信が行われ、その無線通信に起因する遅延が、複数の認証要求について略一定であると考えられるからである。なお、複数の時刻差が一定であるとは、例えば、複数の時刻差の最大値と最小値との差が、あらかじめ決められた閾値より小さいことであってもよく、複数の時刻差のばらつき(例えば、分散や標準偏差など)が、あらかじめ決められた閾値より小さいことであってもよい。また、例えば、ユニーク情報が時刻である場合には、認証部24は、受信の順番に応じて復号情報である時刻が増加しないとき、例えば、時点Aに受信された認証要求に対応する復号情報である時刻の方が、時点Aの後である時点Bに受信された認証要求に対応する復号情報である時刻よりも後の時点を示すときに、複数の復号情報がユニーク情報と整合しないと判断してもよい。その場合には、時刻Bに受信された認証要求は、時刻Aに受信された認証要求よりも以前に送信された認証要求を、攻撃者の装置がコピーして送信したものと考えられるからである。[Judgment based on consistency between verification value and verification data]
The authentication unit 24 may determine that the authenticated device 1 is not valid when, for example, a predetermined number or more of duplicates exist in a plurality of decrypted information, and for example, an authentication request is predetermined in a predetermined period. If it is received more than the number of times, it may be determined that the authenticated device 1 is not valid. Further, for example, when the reception interval of the authentication request in the authentication period includes a reception interval whose probability is lower than the threshold value, it may be determined that the authenticated device 1 is not valid, and for example, it is received during the authentication period. When the plurality of decryption information acquired from each of the plurality of authentication requests does not match the unique information, it may be determined that the authenticated device 1 is not valid. Further, the authentication unit 24 may determine whether or not the plurality of decrypted information is consistent with the unique information, for example, with respect to a set of the plurality of decrypted information. For example, when the unique information is a count value, the authentication unit 24 determines that the plurality of decrypted information matches the unique information when the plurality of decrypted information according to the received order meets the count value rule. It may be determined that the plurality of decrypted information is inconsistent with the unique information when it is not determined. Specifically, when a plurality of decryption information is "2", "4", "6", "8" ... In the order of reception, and the unique information generation rule is an increment of two, a plurality of decryption information is provided. Since the decrypted information of the above conforms to the unique information generation rule, the authentication unit 24 determines that the plurality of decrypted information is consistent with the unique information. On the other hand, for example, when a plurality of decrypted information are "2", "4", "6", "6", "8" ... In the order of reception, and the unique information generation rule is incremented by two. Since the plurality of decrypted information does not meet the unique information generation rule, the authentication unit 24 determines that the plurality of decrypted information does not match the unique information. Further, for example, when the unique information is a time, the authentication unit 24 has a time difference which is a difference between the time which is the decryption information and the reception time of the authentication request corresponding to the decryption information for a plurality of decryption information. When the acquired multiple time differences are constant, it is determined that the plurality of decoded information is consistent with the unique information, and when the acquired multiple time differences are not constant, the plurality of decoded information is the unique information. It may be determined that it is inconsistent with. By doing so, even if the clock unit of the authenticated device 1 and the clock unit of the authenticated device 2 are not completely synchronized, it is appropriate whether the decrypted information is consistent with the unique information which is the time. Can be judged. This is because the authenticated device 1 and the authentication device 2 usually perform wireless communication over a short distance, and the delay caused by the wireless communication is considered to be substantially constant for a plurality of authentication requests. The fact that the plurality of time differences are constant may mean that, for example, the difference between the maximum value and the minimum value of the plurality of time differences is smaller than a predetermined threshold value, and the variation of the plurality of time differences. The variance (eg, variance, standard deviation, etc.) may be less than a predetermined threshold. Further, for example, when the unique information is the time, the authentication unit 24 determines that the decryption information corresponding to the authentication request received at the time point A, for example, when the time of the decryption information does not increase according to the order of reception. When the time of time indicates a time point after the time point A, which is the decryption information corresponding to the authentication request received at the time point B, the plurality of decryption information must be consistent with the unique information. You may judge. In that case, it is considered that the authentication request received at time B is a copy and transmission of the authentication request sent before the authentication request received at time A by the attacker's device. be.

また、認証部24によって認証された場合、認証部24は、認証内容と検証値を含めた検証データとして、回線通信部26を通じてシステムサーバ3を経由して被認証装置1に送信する。検証値を含む検証データは、認証要求に含まれる検証値を選んでもよいし、認証期間中の複数の認証要求に含まれる検証値からランダムに一つ選んでもよいし、認証期間中の複数の認証要求の最初に受信したものに含まれる検証値を選んでもよい。また、検証データは認証期間や認証期間終了後に複数回送ってもよいし、一度だけ送ってもよい。なお、認証部24によって認証された場合でなくても、検証データを送信してもよい。なお、認証部24は、システムサーバ3を経由せず、直接、被認証装置1に送信してもよい。 When authenticated by the authentication unit 24, the authentication unit 24 transmits the verification data including the authentication content and the verification value to the authenticated device 1 via the line communication unit 26 via the system server 3. For the verification data including the verification value, the verification value included in the authentication request may be selected, one may be randomly selected from the verification values included in the plurality of authentication requests during the authentication period, or a plurality of verification values during the authentication period may be selected. You may choose the verification value included in the first received authentication request. Further, the verification data may be sent a plurality of times after the authentication period or the end of the authentication period, or may be sent only once. The verification data may be transmitted even if the authentication is not performed by the authentication unit 24. The authentication unit 24 may directly transmit to the authenticated device 1 without going through the system server 3.

なお、認証部24は、複数の復号情報が検証値と整合するかどうかを、例えば、複数の復号情報の集合について判断してもよい。例えば、認証部24は、複数の復号情報に含まれる検証値を生成した時刻について、検証値に含まれる検証値を生成した時刻と、その検証値を受信した時刻との差である時刻差をそれぞれ取得し、取得した複数の時刻差が一定であるときに、複数の復号情報が検証値と整合すると判断し、取得した複数の時刻差が一定でないときに、複数の復号情報が検証値と整合しないと判断してもよい。このようにすることで、被認証装置1の時計部と、認証装置2の時計部とが完全に同期していない場合でも、復号情報が、検証値に含まれる検証値を生成した時刻と整合しているかどうかを適切に判断することができる。被認証装置1と認証装置2とは通常、短距離で無線通信が行われ、その無線通信に起因する遅延が、複数の認証要求について略一定であると考えられるからである。なお、複数の時刻差が一定であるとは、例えば、複数の時刻差の最大値と最小値との差が、あらかじめ決められた閾値より小さいことであってもよく、複数の時刻差のばらつき(例えば、分散や標準偏差など)が、あらかじめ決められた閾値より小さいことであってもよい。また、例えば、認証部24は、受信の順番に応じて検証値に含まれる検証値を生成した時刻が増加しないとき、例えば、時点Aに受信された検証値に含まれる検証値を生成した時刻の方が、時点Aの後である時点Bに受信された検証値に含まれる検証値を生成した時刻よりも後の時点を示すときに、複数の復号情報が検証値と整合しないと判断してもよい。その場合には、時刻Bに受信された検証値は、時刻Aに受信された検証値よりも以前に送信された検証値を、攻撃者の装置がコピーして送信したものと考えられるからである。 The authentication unit 24 may determine whether or not the plurality of decryption information matches the verification value, for example, with respect to a set of the plurality of decryption information. For example, the authentication unit 24 determines the time difference, which is the difference between the time when the verification value included in the verification value is generated and the time when the verification value is received, with respect to the time when the verification value included in the plurality of decryption information is generated. When each of the acquired multiple time differences is constant, it is determined that the plurality of decoded information matches the verification value, and when the acquired multiple time differences are not constant, the plurality of decoded information is the verification value. It may be determined that they are inconsistent. By doing so, even if the clock unit of the authenticated device 1 and the clock unit of the authenticated device 2 are not completely synchronized, the decrypted information is matched with the time when the verification value included in the verification value is generated. You can properly judge whether or not you are doing it. This is because the authenticated device 1 and the authentication device 2 usually perform wireless communication over a short distance, and the delay caused by the wireless communication is considered to be substantially constant for a plurality of authentication requests. The fact that the plurality of time differences are constant may mean that, for example, the difference between the maximum value and the minimum value of the plurality of time differences is smaller than a predetermined threshold value, and the variation of the plurality of time differences. The variance (eg, variance, standard deviation, etc.) may be less than a predetermined threshold. Further, for example, when the time at which the verification value included in the verification value is generated does not increase according to the order of reception, for example, the authentication unit 24 generates the verification value included in the verification value received at time point A. Determines that the plurality of decoded information does not match the verification value when indicating a time point after the time point A and the time point in which the verification value included in the verification value received at a certain time point B is generated after the time point A. You may. In that case, it is considered that the verification value received at time B is a verification value transmitted before the verification value received at time A, which is copied and transmitted by the attacker's device. be.

出力部25は、認証部24による判断結果を出力する。この判断結果は、被認証装置1が正当であるか、正当でないのかの判断結果、すなわち被認証装置1が認証されたのか、認証されなかったのかを示す情報である。出力部25は、認証部24による判断結果を、認証結果に応じて処理を行う構成や装置等に出力することが好適である。 The output unit 25 outputs the determination result by the authentication unit 24. This determination result is information indicating whether the authenticated device 1 is legitimate or not, that is, whether the authenticated device 1 is authenticated or not. It is preferable that the output unit 25 outputs the determination result by the authentication unit 24 to a configuration or device that performs processing according to the authentication result.

システムサーバ3は認証装置2から受け取った検証データを、対象の被認証装置1に、例えば5分程度で回線通信部26、回線通信部36、および回線通信部16を経由して送信する。送信できなかった場合、例えば、3日程度の閾値を設けて送信を繰り返す。閾値までに送信できなかった場合、被認証装置1が利用されていないと判断し、システムサーバ3に不正利用の可能性を検証結果として通知する。例えば、安全のため一時利用停止の処理を行ってもよい。 The system server 3 transmits the verification data received from the authentication device 2 to the target authenticated device 1 via the line communication unit 26, the line communication unit 36, and the line communication unit 16 in, for example, about 5 minutes. If transmission is not possible, for example, transmission is repeated with a threshold value of about 3 days. If the transmission cannot be performed by the threshold value, it is determined that the authenticated device 1 is not being used, and the system server 3 is notified of the possibility of unauthorized use as a verification result. For example, for safety, a temporary suspension process may be performed.

被認証装置1は、検証データを受信した場合、検証値を保持しているデータと照合する。照合した結果、一致しなかった場合、システムサーバ3に不正利用を検証結果として通知する。例えば、安全のため利用停止の処理を行ってもよい。一致した場合、利用者の利用を確認してもよい。利用していないことが分かった場合、システムサーバ3に不正利用の可能性を検証結果として通知してもよい。利用を確認した場合、システムサーバ3に正当利用を検証結果として通知してもよい。なお、判断結果の確認のためには被認証装置1、および対象アプリケーションにログインをすることが必要となるため、被認証装置1が利用者の手元にない場合など、利用を制限することが可能となる。 When the authenticated device 1 receives the verification data, it collates with the data holding the verification value. If they do not match as a result of collation, the system server 3 is notified of unauthorized use as a verification result. For example, for safety reasons, the process of suspension of use may be performed. If they match, you may confirm the user's use. If it is found that the system server is not being used, the system server 3 may be notified of the possibility of unauthorized use as a verification result. When the use is confirmed, the system server 3 may be notified of the legitimate use as a verification result. Since it is necessary to log in to the authenticated device 1 and the target application in order to confirm the judgment result, it is possible to restrict the use when the authenticated device 1 is not in the user's hand. It becomes.

ここで、この利用者の利用の確認の出力は、例えば、表示デバイス(例えば、液晶ディスプレイや有機ELディスプレイなど)への表示でもよく、所定の機器への通信回線を介した送信でもよく、プリンタによる印刷でもよく、スピーカによる音声出力でもよく、バイブレーションで通知してもよく、記録媒体への蓄積でもよく、他の構成要素への引き渡しでもよい。なお、出力部25は、出力を行うデバイス(例えば、表示デバイスや通信デバイス、プリンタなど)を含んでもよく、または含まなくてもよい。また、出力部25は、ハードウェアによって実現されてもよく、または、それらのデバイスを駆動するドライバ等のソフトウェアによって実現されてもよい。 Here, the output of the confirmation of the user's use may be, for example, a display on a display device (for example, a liquid crystal display, an organic EL display, etc.), a transmission to a predetermined device via a communication line, or a printer. It may be printed by the printer, it may be output by a speaker, it may be notified by vibration, it may be stored in a recording medium, or it may be delivered to another component. The output unit 25 may or may not include a device that outputs (for example, a display device, a communication device, a printer, etc.). Further, the output unit 25 may be realized by hardware, or may be realized by software such as a driver that drives those devices.

次に、被認証装置1の動作について図2のフローチャートを用いて説明する。図2は、被認証装置1が認証要求の送信を開始すると判断した後の処理である認証要求送信方法について示すフローチャートである。上記のように、被認証装置1は、例えば、所定の送信指示を受信した際に、認証要求の送信を開始すると判断してもよい。 Next, the operation of the authenticated device 1 will be described with reference to the flowchart of FIG. FIG. 2 is a flowchart showing an authentication request transmission method, which is a process after the authenticated device 1 determines to start transmitting the authentication request. As described above, the authenticated device 1 may determine that, for example, when it receives a predetermined transmission instruction, it starts transmitting the authentication request.

(ステップS101)送信部14は、認証期間を開始させる。送信部14は、例えば、認証期間の終了を検知するために、タイマによる計時を開始してもよい。 (Step S101) The transmission unit 14 starts the authentication period. The transmission unit 14 may start timing by a timer, for example, in order to detect the end of the authentication period.

(ステップS102)送信部14は、認証要求を送信するかどうか判断する。そして、認証要求を送信する場合には、ステップS103に進み、そうでない場合には、ステップS107に進む。例えば、認証要求を所定の時間間隔で送信する場合には、送信部14は、その所定の時間間隔ごとに、認証要求を送信すると判断してもよい。 (Step S102) The transmission unit 14 determines whether to transmit the authentication request. Then, if the authentication request is transmitted, the process proceeds to step S103, and if not, the process proceeds to step S107. For example, when the authentication request is transmitted at a predetermined time interval, the transmission unit 14 may determine that the authentication request is transmitted at the predetermined time interval.

(ステップS103)取得部11は、ユニーク情報を取得する。このユニーク情報の取得は、例えば、ユニーク部分の取得と、取得したユニーク部分と、非ユニーク部分との結合とによって行われてもよい。 (Step S103) The acquisition unit 11 acquires unique information. The acquisition of the unique information may be performed, for example, by acquiring the unique portion and combining the acquired unique portion and the non-unique portion.

(ステップS104)検証部15は、認証後の検証のための検証値を生成する。検証値は、検証値を生成した時刻と、例えば、乱数などの値からなる。また、生成される検証値は送信毎に異なってもよいし、1秒などの一定期間ごとに異なるものでもよい。 (Step S104) The verification unit 15 generates a verification value for verification after authentication. The verification value consists of the time when the verification value is generated and a value such as a random number. Further, the generated verification value may be different for each transmission, or may be different for each fixed period such as 1 second.

(ステップS105)暗号化部13は、暗号鍵を用いて、ステップS103で取得されたユニーク情報と検証値とを暗号化して、暗号情報を生成する。 (Step S105) The encryption unit 13 uses the encryption key to encrypt the unique information acquired in step S103 and the verification value to generate encrypted information.

(ステップS106)送信部14は、ステップS105で生成された暗号情報を含む認証要求を送信する。なお、認証要求には、暗号情報以外の情報が含まれていてもよい。そして、ステップS102に戻る。 (Step S106) The transmission unit 14 transmits an authentication request including the encryption information generated in step S105. The authentication request may include information other than the encrypted information. Then, the process returns to step S102.

(ステップS107)送信部14は、認証要求の送信を終了するかどうか判断する。そして、終了する場合には、認証要求を送信する一連の処理が終了となり、そうでない場合には、ステップS102に戻る。なお、送信部14は、例えば、ステップS101で開始された認証期間が終了した場合に、認証要求の送信を終了すると判断してもよい。具体的には、送信部14は、ステップS101で計時を開始したタイマの値が、認証期間の時間的な長さを超えた場合に、認証要求の送信を終了すると判断し、そうでない場合に、終了しないと判断してもよい。 (Step S107) The transmission unit 14 determines whether or not to end the transmission of the authentication request. Then, when it ends, a series of processes for transmitting the authentication request ends, and if not, the process returns to step S102. The transmission unit 14 may determine that the transmission of the authentication request ends, for example, when the authentication period started in step S101 ends. Specifically, the transmission unit 14 determines that the transmission of the authentication request is terminated when the value of the timer that started the clock in step S101 exceeds the time length of the authentication period, and if not, the transmission unit 14 determines that the transmission of the authentication request is terminated. , You may decide that it will not end.

なお、図2のフローチャートでは、ユニーク情報の取得と、暗号情報の生成と、認証要求の送信とが繰り返される場合について示しているが、そうでなくてもよい。例えば、複数のユニーク情報が取得され、その複数のユニーク情報をそれぞれ暗号化した複数の暗号情報が生成された後に、各暗号情報を含む認証要求の送信が繰り返されてもよい。また、同じユニーク情報が暗号化された暗号情報が、複数の認証要求に含まれる場合には、ユニーク情報の重複数だけ、ユニーク情報の取得や、暗号情報の生成が行われず、同じユニーク情報や、同じ暗号情報が繰り返して用いられてもよい。また、ステップS101やステップS107における認証期間の管理は、送信部14以外の構成要素、例えば、取得部11等によって行われてもよい。また、図2のフローチャートにおける処理の順序は一例であり、同様の結果を得られるのであれば、各ステップの順序を変更してもよい。 The flowchart of FIG. 2 shows a case where acquisition of unique information, generation of encrypted information, and transmission of an authentication request are repeated, but this may not be the case. For example, after a plurality of unique information is acquired and a plurality of encrypted information in which the plurality of unique information is encrypted is generated, transmission of an authentication request including each encrypted information may be repeated. In addition, when the encrypted information in which the same unique information is encrypted is included in a plurality of authentication requests, the unique information is not acquired or the encrypted information is not generated, and the same unique information or the same unique information is used. , The same encrypted information may be used repeatedly. Further, the management of the authentication period in steps S101 and S107 may be performed by a component other than the transmission unit 14, for example, the acquisition unit 11. Further, the order of processing in the flowchart of FIG. 2 is an example, and the order of each step may be changed as long as the same result can be obtained.

次に、認証装置2の動作について図3のフローチャートを用いて説明する。図3は、認証装置2による複数の認証要求を用いた被認証装置1の認証に関する処理である認証方法について示すフローチャートである。 Next, the operation of the authentication device 2 will be described with reference to the flowchart of FIG. FIG. 3 is a flowchart showing an authentication method which is a process related to authentication of the authenticated device 1 using a plurality of authentication requests by the authentication device 2.

(ステップS201)受信部21は、認証要求を受信したかどうか判断する。そして、認証要求を受信した場合には、ステップS202に進み、そうでない場合には、ステップS203に進む。なお、受信部21が間欠的に認証要求を受信する場合には、受信部21は、受信期間にのみ認証要求を受信し、受信期間ではない期間には、認証要求を受信しなくてもよい。 (Step S201) The receiving unit 21 determines whether or not the authentication request has been received. Then, if the authentication request is received, the process proceeds to step S202, and if not, the process proceeds to step S203. When the receiving unit 21 receives the authentication request intermittently, the receiving unit 21 may receive the authentication request only during the receiving period and may not receive the authentication request during the period other than the receiving period. ..

(ステップS202)復号部23は、ステップS201で受信された認証要求に含まれる暗号情報を、復号鍵を用いて復号し、復号情報を取得する。そして、ステップS201に戻る。復号部23は、その復号情報を、認証要求の送信元である被認証装置1のIDに対応付けて記憶部22に蓄積してもよい。また、復号部23は、復号情報を、その復号情報に対応する認証要求の受信時刻に対応付けて記憶部22に蓄積してもよい。なお、ステップS201で受信された認証要求に含まれる暗号情報が、復号鍵を用いて復号できない場合には、復号部23は、復号を行うことなく、ステップS201に戻ってもよい。また、この場合には、認証部24は、復号できない暗号情報を含んでいる認証要求の送信元である被認証装置1について、正当ではないと判断してもよい。 (Step S202) The decryption unit 23 decrypts the encryption information included in the authentication request received in step S201 using the decryption key, and acquires the decryption information. Then, the process returns to step S201. The decoding unit 23 may store the decrypted information in the storage unit 22 in association with the ID of the authenticated device 1 that is the source of the authentication request. Further, the decoding unit 23 may store the decoding information in the storage unit 22 in association with the reception time of the authentication request corresponding to the decoding information. If the encryption information included in the authentication request received in step S201 cannot be decrypted using the decryption key, the decryption unit 23 may return to step S201 without decrypting. Further, in this case, the authentication unit 24 may determine that the authenticated device 1 that is the source of the authentication request containing the encryption information that cannot be decrypted is not valid.

(ステップS203)認証部24は、認証の処理を行うかどうか判断する。そして、認証の処理を行う場合には、ステップS204に進み、そうでない場合には、ステップS201に戻る。認証部24は、例えば、ある共通鍵暗号の鍵で復号できた暗号情報を含む1個目の認証要求が受信されてから認証期間が経過した際に、その共通鍵暗号の鍵で復号できた暗号情報を含む複数の認証要求を用いた認証の処理を行うと判断してもよい。また、認証部24は、例えば、あるIDの被認証装置1から1個目の認証要求を受信してから認証期間が経過した際に、そのIDの被認証装置1から送信された複数の認証要求を用いた認証の処理を行うと判断してもよい。 (Step S203) The authentication unit 24 determines whether or not to perform the authentication process. Then, if the authentication process is performed, the process proceeds to step S204, and if not, the process returns to step S201. For example, the authentication unit 24 could decrypt with the common key encryption key when the authentication period elapses after receiving the first authentication request including the encryption information that could be decrypted with the common key encryption key. It may be determined that the authentication process using a plurality of authentication requests including the encrypted information is performed. Further, the authentication unit 24, for example, receives a plurality of authentications transmitted from the authenticated device 1 of the ID when the authentication period elapses after receiving the first authentication request from the authenticated device 1 of the ID. It may be determined that the authentication process using the request is performed.

(ステップS204)認証部24は、複数の認証要求からそれぞれ取得された複数の復号情報に所定数以上の重複が存在するかどうか判断する。そして、複数の復号情報に所定数以上の重複が存在する場合には、ステップS209に進み、そうでない場合には、ステップS205に進む。 (Step S204) The authentication unit 24 determines whether or not a predetermined number or more of duplicates exist in the plurality of decryption information acquired from each of the plurality of authentication requests. Then, if there are a predetermined number or more of duplicates in the plurality of decoded information, the process proceeds to step S209, and if not, the process proceeds to step S205.

(ステップS205)認証部24は、所定の期間における認証要求の受信回数が、あらかじめ決められた閾値の回数を超えているかどうか判断する。そして、認証要求の受信回数があらかじめ決められた閾値の回数を超えている場合には、ステップS209に進み、そうでない場合には、ステップS206に進む。 (Step S205) The authentication unit 24 determines whether or not the number of times the authentication request is received in a predetermined period exceeds the number of times of the predetermined threshold value. Then, if the number of times the authentication request is received exceeds the number of times of the predetermined threshold value, the process proceeds to step S209, and if not, the process proceeds to step S206.

(ステップS206)認証部24は、認証期間における認証要求の受信間隔に、確率が閾値より低い受信間隔が含まれるかどうか判断する。そして、認証要求の受信間隔に、確率が閾値より低い受信間隔が含まれる場合には、ステップS209に進み、そうでない場合には、ステップS207に進む。 (Step S206) The authentication unit 24 determines whether or not the reception interval of the authentication request in the authentication period includes a reception interval whose probability is lower than the threshold value. Then, if the reception interval of the authentication request includes a reception interval whose probability is lower than the threshold value, the process proceeds to step S209, and if not, the process proceeds to step S207.

(ステップS207)認証部24は、認証期間に受信された複数の認証要求にそれぞれ対応する複数の復号情報が、ユニーク情報と整合するかどうか判断する。そして、複数の復号情報がユニーク情報と整合する場合には、ステップS208に進み、整合しない場合には、ステップS209に進む。 (Step S207) The authentication unit 24 determines whether or not the plurality of decryption information corresponding to each of the plurality of authentication requests received during the authentication period is consistent with the unique information. Then, if the plurality of decoded information matches the unique information, the process proceeds to step S208, and if they do not match, the process proceeds to step S209.

なお、ステップS204からステップS207までの処理は、例えば、復号鍵によって復号できた暗号情報を含む、認証期間内に受信された複数の認証要求について行われるものとする。すなわち、ステップS204からステップS207までの処理は、例えば、あるIDの被認証装置1から認証期間内に受信された複数の認証要求について行われてもよい。 The processes from step S204 to step S207 are performed on, for example, a plurality of authentication requests received within the authentication period, including the encrypted information decrypted by the decryption key. That is, the processes from step S204 to step S207 may be performed on, for example, a plurality of authentication requests received from the authenticated device 1 of a certain ID within the authentication period.

(ステップS208)認証部24は、複数の認証要求を送信した被認証装置1が正当であると判断する。すなわち、その被認証装置1が認証されたことになる。 (Step S208) The authentication unit 24 determines that the authenticated device 1 that has transmitted a plurality of authentication requests is valid. That is, the authenticated device 1 has been authenticated.

(ステップS209)認証部24は、複数の認証要求を送信した被認証装置1が正当でないと判断する。すなわち、その被認証装置1が認証されなかったことになる。 (Step S209) The authentication unit 24 determines that the authenticated device 1 that has transmitted a plurality of authentication requests is not valid. That is, the authenticated device 1 has not been authenticated.

(ステップS210)出力部25は、ステップS208,S209の判断結果を出力する。 (Step S210) The output unit 25 outputs the determination results of steps S208 and S209.

(ステップS211)認証部24は、復号情報に含まれている検証値を一つ選ぶ。 (Step S211) The authentication unit 24 selects one verification value included in the decryption information.

(ステップS212)認証部24は、検証値を認証内容と共に検証データとしてシステムサーバ3に送信する。そして、ステップS201に戻る。なお、直接、被認証装置1に送信してもよい。 (Step S212) The authentication unit 24 transmits the verification value together with the authentication content to the system server 3 as verification data. Then, the process returns to step S201. It should be noted that it may be transmitted directly to the authenticated device 1.

なお、図3のフローチャートでは、認証の処理において、ステップS204からステップS207までの各処理を行う場合について示しているが、そうでなくてもよい。それらの処理のうち、1以上の処理を行わなくてもよい。ただし、その場合であっても、複数の認証要求を用いた認証の処理、例えば、ステップS204からステップS206までの少なくともいずれかの処理は行われることが好適である。また、図3のフローチャートにおける処理の順序は一例であり、同様の結果を得られるのであれば、各ステップの順序を変更してもよい。例えば、ステップS204からステップS207までの各処理を異なる順序にしてもよい。また、ステップS211、ステップS212は認証期間や認証期間終了後に複数回実行してもよいし、一度だけ実行してもよい。また、図3のフローチャートにおいて、電源オフや処理終了の割り込みにより処理は終了する。 Note that the flowchart of FIG. 3 shows a case where each process from step S204 to step S207 is performed in the authentication process, but it is not necessary. Of those processes, one or more processes need not be performed. However, even in that case, it is preferable that the authentication process using a plurality of authentication requests, for example, at least one of the processes from step S204 to step S206 is performed. Further, the order of processing in the flowchart of FIG. 3 is an example, and the order of each step may be changed as long as the same result can be obtained. For example, each process from step S204 to step S207 may be in a different order. Further, steps S211 and S212 may be executed a plurality of times after the authentication period or the end of the authentication period, or may be executed only once. Further, in the flowchart of FIG. 3, the process ends when the power is turned off or an interrupt for the end of the process occurs.

次に、システムサーバ3の動作について図4のフローチャートを用いて説明する。図4は、認証装置2に送信された検証データを受信し、被認証装置1に検証データを送信する方法について示すフローチャートである。 Next, the operation of the system server 3 will be described with reference to the flowchart of FIG. FIG. 4 is a flowchart showing a method of receiving the verification data transmitted to the authentication device 2 and transmitting the verification data to the authenticated device 1.

(ステップS301)サーバ認証部35は、認証装置2から送信される検証データを受信したかどうか判断する。そして、検証データを受信した場合には、ステップS302に進み、そうでない場合には、ステップS301に戻る。 (Step S301) The server authentication unit 35 determines whether or not the verification data transmitted from the authentication device 2 has been received. Then, when the verification data is received, the process proceeds to step S302, and if not, the process returns to step S301.

(ステップS302)回線通信部36は、検証データを対応する被認証装置1に送信する。 (Step S302) The line communication unit 36 transmits the verification data to the corresponding authenticated device 1.

(ステップS303)サーバ認証部35は、検証データを対応する被認証装置1に送信できたかを確認する。そして、できた場合には、ステップS301に戻り、そうでない場合には、ステップS304に進む。 (Step S303) The server authentication unit 35 confirms whether the verification data can be transmitted to the corresponding authenticated device 1. Then, if it is possible, the process returns to step S301, and if not, the process proceeds to step S304.

(ステップS304)サーバ認証部35は、検証データを対応する被認証装置1に送信した時刻が、最初に送信した時刻から経過した時間が閾値内かどうか判断する。そして、閾値時間内の場合には、ステップS302に進み、そうでない場合には、ステップS305に進む。 (Step S304) The server authentication unit 35 determines whether or not the time elapsed from the time when the verification data is transmitted to the corresponding authenticated device 1 is within the threshold value. Then, if it is within the threshold time, the process proceeds to step S302, and if not, the process proceeds to step S305.

(ステップS305)サーバ認証部35は、検証データを対応する被認証装置1に送信できなかったことで、不正利用の可能性を検証結果として出力する。なお、さらに検証データを対応する被認証装置1に再送してもよいし、不正利用を防止するため、暗号鍵を削除して利用を停止してもよい。 (Step S305) The server authentication unit 35 outputs the possibility of unauthorized use as a verification result because the verification data could not be transmitted to the corresponding authenticated device 1. Further, the verification data may be resent to the corresponding authenticated device 1, or the encryption key may be deleted to stop the use in order to prevent unauthorized use.

なお、図4フローチャートにおけるS301は同じ検証内容に対し検証データが複数くる場合に、複数回実行してもよいし、一度だけ実行してもよい。また、システムサーバ3のフローを認証装置2で実行してもよく、認証装置2が、直接、被認証装置1と通信してもよい。 Note that S301 in the flowchart of FIG. 4 may be executed a plurality of times or may be executed only once when a plurality of verification data are received for the same verification content. Further, the flow of the system server 3 may be executed by the authentication device 2, and the authentication device 2 may directly communicate with the authenticated device 1.

次に、被認証装置1の検証動作について図5のフローチャートを用いて説明する。図5は、システムサーバ3による検証データを用いた被認証装置1の検証に関する処理方法について示すフローチャートである。 Next, the verification operation of the authenticated device 1 will be described with reference to the flowchart of FIG. FIG. 5 is a flowchart showing a processing method related to verification of the authenticated device 1 using verification data by the system server 3.

(ステップS111)回線通信部16は、検証データを受信したかどうか判断する。そして、検証データを受信した場合には、ステップS112に進み、そうでない場合には、ステップS111に戻る。 (Step S111) The line communication unit 16 determines whether or not the verification data has been received. Then, when the verification data is received, the process proceeds to step S112, and if not, the process returns to step S111.

(ステップS112)検証部15は、検証データ内の検証値を保持データと照合する。 (Step S112) The verification unit 15 collates the verification value in the verification data with the retained data.

(ステップS113)検証部15は、検証データ内の検証値を保持データと一致するかどうか判断する。そして、一致した場合には、ステップS114に進み、そうでない場合には、ステップS116に進む。 (Step S113) The verification unit 15 determines whether or not the verification value in the verification data matches the retained data. Then, if they match, the process proceeds to step S114, and if not, the process proceeds to step S116.

(ステップS114)検証部15は、被認証装置1の利用者に対し検証データ内の認証内容との正当性を利用者に確認させる。正当性が確認された場合にはステップS115に進み、そうでない場合にはステップS117に進む。 (Step S114) The verification unit 15 causes the user of the authenticated device 1 to confirm the validity of the authentication content in the verification data. If the validity is confirmed, the process proceeds to step S115, and if not, the process proceeds to step S117.

(ステップS115)回線通信部16は回線通信部36に対して、検証結果として利用の正当性が認められた旨を送信し、ステップS111へ戻る。 (Step S115) The line communication unit 16 transmits to the line communication unit 36 that the validity of the use is confirmed as a verification result, and returns to step S111.

(ステップS116)回線通信部16は回線通信部36に対して、不正利用である旨を検証結果として送信し、ステップS111へ戻る。 (Step S116) The line communication unit 16 transmits to the line communication unit 36 that it is an unauthorized use as a verification result, and returns to step S111.

(ステップS117)回線通信部16は回線通信部36に対して、不正利用の可能性を検証結果として送信し、ステップS111へ戻る。 (Step S117) The line communication unit 16 transmits the possibility of unauthorized use to the line communication unit 36 as a verification result, and returns to step S111.

次に、システムサーバ3の動作について図6のフローチャートを用いて説明する。図6は、被認証装置1からの検証結果に基づくシステムサーバ3の動作を示すフローチャートである。 Next, the operation of the system server 3 will be described with reference to the flowchart of FIG. FIG. 6 is a flowchart showing the operation of the system server 3 based on the verification result from the authenticated device 1.

(ステップS311)
回線通信部36は、検証結果を受信したかどうか判断する。そして、検証結果を受信した場合には、ステップS312に進み、そうでない場合には、ステップS311に戻る。(Step S311)
The line communication unit 36 determines whether or not the verification result has been received. Then, when the verification result is received, the process proceeds to step S312, and if not, the process returns to step S311.

(ステップS312)
サーバ認証部35は、検証結果が不正利用であるか判断する。そして、不正利用である場合には、ステップS314に進み、そうでない場合には、ステップS313に進む。(Step S312)
The server authentication unit 35 determines whether the verification result is unauthorized use. Then, if it is an unauthorized use, the process proceeds to step S314, and if not, the process proceeds to step S313.

(ステップS313)
サーバ認証部35は、検証結果が不正利用の可能性があるか判断する。そして、不正利用の可能性有である場合には、ステップS314に進み、そうでない場合には、ステップS311へ戻る。(Step S313)
The server authentication unit 35 determines whether the verification result may be used illegally. Then, if there is a possibility of unauthorized use, the process proceeds to step S314, and if not, the process returns to step S311.

(ステップS314)サーバ認証部35は、不正利用を防止するための処置をとる。例えば、被認証装置1の暗号鍵を削除して停止したり、更新して新たなものを発行することなどができる。また、不正利用の検証をシステム管理者や被認証装置1の利用者、認証装置2の管理者に促すことができる。この後、ステップS311へ戻る。 (Step S314) The server authentication unit 35 takes measures to prevent unauthorized use. For example, the encryption key of the authenticated device 1 can be deleted and stopped, or updated and a new one can be issued. In addition, verification of unauthorized use can be urged to the system administrator, the user of the authenticated device 1, and the administrator of the authentication device 2. After that, the process returns to step S311.

(ステップS315)サーバ認証部35は、不正利用の可能性を考慮し、一部の利用を停止するなど不正利用防止のための処置をとる。この後、ステップS311へ戻る。 (Step S315) The server authentication unit 35 takes measures to prevent unauthorized use, such as suspending a part of the use, in consideration of the possibility of unauthorized use. After that, the process returns to step S311.

なお、図6のフローチャートでは、検証の処理において、ステップS312からステップS315までの各処理を行う場合について示しているが、そうでなくてもよい。それらの処理のうち、1以上の処理を行わなくてもよい。ただし、その場合であっても、検証の処理、例えば、ステップS312およびステップS314か、ステップS313およびステップS315か、の少なくともいずれかの処理は行われることが好適である。また、図6のフローチャートにおける処理の順序は一例であり、同様の結果を得られるのであれば、各ステップの順序を変更してもよい。例えば、ステップS312とステップS313の各処理を異なる順序にしてもよい。また、ステップS314、ステップS315は都度実行してもよいし、一定時間経過後にバッチ処理として対象被認証装置1群に対して実行してもよい。 Note that the flowchart of FIG. 6 shows a case where each process from step S312 to step S315 is performed in the verification process, but it may not be the case. Of those processes, one or more processes need not be performed. However, even in that case, it is preferable that at least one of the verification processes, for example, step S312 and step S314, or step S313 and step S315, is performed. Further, the order of processing in the flowchart of FIG. 6 is an example, and the order of each step may be changed as long as the same result can be obtained. For example, the processes of step S312 and step S313 may be performed in different orders. Further, steps S314 and S315 may be executed each time, or may be executed for one group of target authenticated devices as a batch process after a certain period of time has elapsed.

次に、本実施の形態による被認証装置1及び認証装置2の動作について、具体例を用いて説明する。この具体例では、認証装置2の受信部21は、間欠的に認証要求を受信するものとする。すなわち、受信部21は、受信期間にのみ認証要求を受信し、それ以外の期間には、被認証装置1から送信された認証要求を受信しないものとする。 Next, the operations of the authenticated device 1 and the authenticated device 2 according to the present embodiment will be described with reference to specific examples. In this specific example, the receiving unit 21 of the authentication device 2 is assumed to receive the authentication request intermittently. That is, the receiving unit 21 receives the authentication request only during the receiving period, and does not receive the authentication request transmitted from the authenticated device 1 during the other period.

また、この具体例では、正当な被認証装置1は、認証期間に10個の認証要求を送信するものとする。上記のように、受信部21は、間欠的な受信を行うため、認証部24は、ある被認証装置1から認証期間に受信された認証要求の個数が、閾値「7」を超える場合に、その被認証装置1が正当でないと判断するものとする。 Further, in this specific example, it is assumed that the legitimate authenticated device 1 transmits 10 authentication requests during the authentication period. As described above, since the receiving unit 21 performs intermittent reception, the authentication unit 24 receives when the number of authentication requests received from a certain authenticated device 1 during the authentication period exceeds the threshold value “7”. It shall be determined that the authenticated device 1 is not valid.

また、この具体例では、ユニーク情報が時刻であるとする。そして、認証部24は、復号情報である時刻と、その復号情報に対応する認証要求が受信された時刻との差があらかじめ決められた閾値を超えている場合に、その認証要求を送信した被認証装置1が正当ではないと判断するものとする。また、ユニーク情報は、共通鍵暗号の鍵によって暗号化されるものとする。 Further, in this specific example, it is assumed that the unique information is the time. Then, when the difference between the time of the decryption information and the time when the authentication request corresponding to the decryption information is received exceeds a predetermined threshold value, the authentication unit 24 transmits the authentication request. It shall be determined that the authentication device 1 is not valid. In addition, the unique information shall be encrypted by the key of common key cryptography.

また、この具体例では、送信される認証要求ごとに、異なるユニーク情報が暗号化された暗号情報が含まれる場合について主に説明し、認証期間に送信される複数の認証要求に、同じユニーク情報が暗号化された暗号情報が含まれる場合については後述する。 Further, in this specific example, a case where different unique information is included in encrypted information is mainly described for each authentication request transmitted, and the same unique information is used for a plurality of authentication requests transmitted during the authentication period. The case where the encrypted information is included will be described later.

正当な被認証装置1のみから認証要求が送信される場合について、図7を用いて説明する。図7で示されるように、時刻t1〜t10に、それぞれユニーク情報である時刻t1〜t10を暗号化した情報を含む認証要求が、被認証装置1から認証装置2に送信されるものとする。 A case where the authentication request is transmitted only from the legitimate authenticated device 1 will be described with reference to FIG. 7. As shown in FIG. 7, it is assumed that an authentication request including information obtained by encrypting times t1 to t10, which are unique information, is transmitted from the authenticated device 1 to the authentication device 2 at times t1 to t10.

具体的には、被認証装置1の送信部14は、認証装置2から送信された、認証装置2のIDを含む送信指示を受信すると、タイマによる計時を開始する(ステップS101)。なお、その時点の時刻はt1であったとする。また、被認証装置1は、例えば、記憶部12で記憶されている認証装置2のIDと、送信指示に含まれるIDとが一致することによって、送信指示が認証装置2から送信されたと判断してもよい。また、1個目の認証要求の送信であるため、送信部14は、時間待ちを行わないですぐに認証要求を送信すると判断し、図示しない経路で、取得部11に、ユニーク情報の取得の指示を渡す(ステップS102)。その指示を受け取ると、取得部11は、その時点の時刻t1であるユニーク情報を取得して暗号化部13に渡す(ステップS103)。ユニーク情報である時刻t1を受け取ると、暗号化部13は、記憶部12で記憶されている被認証装置1のIDを取得すると共に、送信指示または記憶部12から認証装置2のIDを取得し、時刻t1と、被認証装置1のIDと、認証装置2のIDとを、記憶部12で記憶されている共通鍵暗号の鍵を用いて暗号化して暗号情報を生成し、送信部14に渡す(ステップS105)。暗号情報を受け取ると、送信部14は、その暗号情報と、記憶部12から取得した被認証装置1のIDとを含む認証要求をBLE通信のブロードキャストによって送信する(ステップS106)。このような認証要求の送信が繰り返されることによって、時刻t10までに10個の認証要求が被認証装置1から認証装置2に送信される(ステップS102〜S106)。なお、時刻t10に10個目の認証要求が送信された直後に、時刻t1に開始されたタイマの値が、認証期間の時間的な長さを超えたとすると、認証要求の送信の処理が終了される(ステップS107)。 Specifically, when the transmission unit 14 of the authenticated device 1 receives the transmission instruction including the ID of the authentication device 2 transmitted from the authentication device 2, the time counting by the timer is started (step S101). It is assumed that the time at that time was t1. Further, the authenticated device 1 determines that the transmission instruction has been transmitted from the authentication device 2 by, for example, matching the ID of the authentication device 2 stored in the storage unit 12 with the ID included in the transmission instruction. You may. Further, since it is the transmission of the first authentication request, the transmission unit 14 determines that the authentication request is immediately transmitted without waiting for a time, and acquires the unique information to the acquisition unit 11 by a route (not shown). The instruction is passed (step S102). Upon receiving the instruction, the acquisition unit 11 acquires the unique information at the time t1 at that time and passes it to the encryption unit 13 (step S103). Upon receiving the time t1 which is unique information, the encryption unit 13 acquires the ID of the authenticated device 1 stored in the storage unit 12, and also acquires the transmission instruction or the ID of the authentication device 2 from the storage unit 12. , Time t1, the ID of the authenticated device 1 and the ID of the authenticated device 2 are encrypted using the common key encryption key stored in the storage unit 12 to generate encrypted information, which is then sent to the transmission unit 14. Pass (step S105). Upon receiving the encrypted information, the transmitting unit 14 transmits the authentication request including the encrypted information and the ID of the authenticated device 1 acquired from the storage unit 12 by broadcasting the BLE communication (step S106). By repeating the transmission of such an authentication request, 10 authentication requests are transmitted from the authenticated device 1 to the authentication device 2 by the time t10 (steps S102 to S106). If the value of the timer started at time t1 immediately after the tenth authentication request is transmitted at time t10 exceeds the time length of the authentication period, the process of transmitting the authentication request ends. (Step S107).

認証装置2の受信部21が間欠的な受信を行っているとすると、図7で示されるように、時刻t2,t4,t5,t7,t8,t10に送信された認証要求のみが認証装置2で受信されることになる。そして、各認証要求が受信されると(ステップS201)、復号部23は、認証要求に含まれる被認証装置1のIDを取得し、そのIDに対応付けられている共通鍵暗号の鍵を、記憶部22から取得する。そのようにして取得した共通鍵暗号の鍵を用いて、復号部23は、受信された認証要求に含まれる暗号情報を復号して復号情報を取得する(ステップS202)。そして、復号部23は、復号情報に含まれる被認証装置1のIDが、認証要求に平文で含まれる被認証装置1のIDと一致するかどうか、また、復号情報に含まれる認証装置2のIDが、自装置のIDと一致するかどうか判断する。この場合には、いずれにおいてもIDが一致したものとする。すると、復号部23は、その復号情報を、認証要求に含まれる被認証装置1のID、及びその認証要求の受信時刻に対応付けて記憶部22に蓄積する。なお、いずれか一方のIDが一致しなかった場合には、復号部23は、その復号情報を記憶部22に蓄積しなくてもよい。このような処理が、認証要求が受信されるごとに繰り返される。 Assuming that the receiving unit 21 of the authentication device 2 is performing intermittent reception, as shown in FIG. 7, only the authentication request transmitted at the time t2, t4, t5, t7, t8, t10 is the authentication device 2. Will be received at. Then, when each authentication request is received (step S201), the decryption unit 23 acquires the ID of the authenticated device 1 included in the authentication request, and obtains the key of the common key encryption associated with the ID. Obtained from the storage unit 22. Using the key of the common key encryption thus acquired, the decryption unit 23 decrypts the encryption information included in the received authentication request and acquires the decryption information (step S202). Then, the decoding unit 23 determines whether or not the ID of the authenticated device 1 included in the decryption information matches the ID of the authenticated device 1 included in the authentication request in plain text, and whether the ID of the authentication device 2 included in the decryption information is included. It is determined whether or not the ID matches the ID of the own device. In this case, it is assumed that the IDs match in each case. Then, the decoding unit 23 stores the decryption information in the storage unit 22 in association with the ID of the authenticated device 1 included in the authentication request and the reception time of the authentication request. If any one of the IDs does not match, the decoding unit 23 does not have to store the decoding information in the storage unit 22. Such processing is repeated every time an authentication request is received.

認証部24は、記憶部22において記憶されている復号情報について、被認証装置1のIDごとに、最も古い受信時刻から現在の時刻までの期間が、認証期間の時間的な長さを超えたかどうか判断する。そして、最も古い受信時刻から現在の時刻までの期間が、認証期間の時間的な長さを超えたIDが存在する場合には、認証部24は、そのIDの被認証装置1について、認証の処理を行うと判断し、そのIDに対応付けられて記憶されている複数の復号情報や受信時刻を用いて認証の処理を行う(ステップS203)。 Regarding the decryption information stored in the storage unit 22, the authentication unit 24 has checked whether the period from the oldest reception time to the current time exceeds the time length of the authentication period for each ID of the authenticated device 1. Please judge. Then, when there is an ID in which the period from the oldest reception time to the current time exceeds the time length of the authentication period, the authentication unit 24 authenticates the authenticated device 1 of the ID. It is determined that the process is to be performed, and the authentication process is performed using the plurality of decryption information and the reception time stored in association with the ID (step S203).

具体的には、認証部24は、復号情報に重複が存在するかどうか判断する(ステップS204)。この場合には、各復号情報は、異なる時刻を含んでいるため、各復号情報は重複しないことになる。そのため、認証部24は、受信回数が閾値を超えているかどうか判断する(ステップS205)。この具体例では、上記のように、閾値は「7」に設定されていたとする。すると、図7で示されるように、受信回数「6」が、閾値「7」を超えていないと判断される。 Specifically, the authentication unit 24 determines whether or not there is duplication in the decryption information (step S204). In this case, since each decrypted information includes a different time, the decrypted information will not be duplicated. Therefore, the authentication unit 24 determines whether or not the number of receptions exceeds the threshold value (step S205). In this specific example, it is assumed that the threshold value is set to "7" as described above. Then, as shown in FIG. 7, it is determined that the number of receptions "6" does not exceed the threshold value "7".

次に、認証部24は、記憶部22で記憶されている受信時刻を用いて、ある認証要求が受信されてから次の認証要求が受信されるまでの時間間隔である受信間隔をそれぞれ取得する。そして、その受信間隔に、記憶部22で記憶されている、確率が閾値より低い受信間隔が含まれているかどうか判断する(ステップS206)。この場合には、確率が閾値より低い受信間隔は含まれていなかったとする。そのため、認証部24は、復号情報がユニーク情報に整合するかどうか判断する(ステップS207)。なお、ここでは、復号情報のうち、ユニーク部分である時刻が、受信時刻と整合するかどうかが判断されるものとする。具体的には、上記のように、復号情報に含まれる時刻と、その復号情報に対応する認証要求の受信時刻との差が、あらかじめ決められた閾値より小さい場合に、認証部24は、その復号情報がユニーク情報に整合していると判断するものとする。そして、認証部24は、各復号情報について、そのような判断を行う。この具体例では、すべての復号情報がユニーク情報に整合していると判断されたとする。すると、認証部24は、複数の認証要求を送信した被認証装置1が正当であると判断する(ステップS208)。そして、出力部25は、その判断結果を出力する(ステップS209)。なお、一連の判断が終了した後に、記憶部22で記憶されている、判断対象の被認証装置1のIDに対応する復号情報等が削除されてもよく、または、その復号情報等について処理済みである旨のフラグ等が設定されてもよい。後者の場合には、処理済みである旨のフラグ等が設定されている復号情報等は、それ以降の認証の処理では用いられないものとする。 Next, the authentication unit 24 uses the reception time stored in the storage unit 22 to acquire reception intervals, which are time intervals from the reception of a certain authentication request to the reception of the next authentication request. .. Then, it is determined whether or not the reception interval includes the reception interval stored in the storage unit 22 whose probability is lower than the threshold value (step S206). In this case, it is assumed that the reception interval whose probability is lower than the threshold value is not included. Therefore, the authentication unit 24 determines whether or not the decrypted information matches the unique information (step S207). Here, it is assumed that it is determined whether or not the time, which is a unique part of the decrypted information, matches the reception time. Specifically, as described above, when the difference between the time included in the decryption information and the reception time of the authentication request corresponding to the decryption information is smaller than a predetermined threshold value, the authentication unit 24 determines the difference. It shall be determined that the decrypted information is consistent with the unique information. Then, the authentication unit 24 makes such a determination for each decryption information. In this specific example, it is assumed that all the decrypted information is determined to be consistent with the unique information. Then, the authentication unit 24 determines that the authenticated device 1 that has transmitted the plurality of authentication requests is valid (step S208). Then, the output unit 25 outputs the determination result (step S209). After the series of determinations is completed, the decryption information or the like corresponding to the ID of the authenticated device 1 to be determined, which is stored in the storage unit 22, may be deleted, or the decryption information or the like has been processed. A flag or the like to that effect may be set. In the latter case, the decryption information or the like for which the flag or the like indicating that the processing has been completed shall not be used in the subsequent authentication processing.

以上のように、本実施の形態による被認証装置1及び認証要求送信方法によれば、ユニーク情報が暗号化された暗号情報を含む複数の認証要求を、認証装置2に送信することができる。また、例えば、暗号化が共通鍵暗号の鍵を用いて行われる場合には、より高速に暗号化を行うことができるようになる。また、ユニーク情報が、乱数値やカウンタ値、時刻等を含むものである場合には、低負荷でユニーク情報を生成することができるというメリットもある。また、そのようなユニーク情報を用いることによって、ユニーク情報の情報量を少なくすることもでき、その結果として、認証要求に含まれる情報量を少なくすることもできる。したがって、例えば、BLE通信などのように、ペイロード長に制限のある通信規格でも、認証要求を送信できるようになる。また、上記説明のように、ユーザによる操作を介することなく、認証を行うこともでき、ユーザの利便性を向上させることができる。 As described above, according to the authenticated device 1 and the authentication request transmission method according to the present embodiment, a plurality of authentication requests including encrypted information in which unique information is encrypted can be transmitted to the authentication device 2. Further, for example, when the encryption is performed using the key of the common key encryption, the encryption can be performed at a higher speed. Further, when the unique information includes a random number value, a counter value, a time, etc., there is an advantage that the unique information can be generated with a low load. Further, by using such unique information, the amount of information of the unique information can be reduced, and as a result, the amount of information included in the authentication request can be reduced. Therefore, even a communication standard having a limited payload length, such as BLE communication, can transmit an authentication request. Further, as described above, authentication can be performed without intervention by the user, and the convenience of the user can be improved.

また、本実施の形態による認証装置2及び認証方法によれば、被認証装置1から送信された複数の認証要求を用いることによって、簡単な処理により、セキュアな認証を実現することができる。暗号情報において、ユニーク情報が共通鍵暗号の鍵を用いて暗号化されている場合には、その暗号情報を復号する処理を高速に行うことができる。また、共通鍵暗号の鍵が漏洩していない場合や、ユニーク情報の種類が知られていない場合には、攻撃者の装置は、正当な被認証装置1から受信した認証要求を認証装置2に送信することによって攻撃を行うことしかできないことになる。そのため、例えば、複数の復号情報に所定数以上の重複が存在するかどうかの判断処理や、所定の期間の受信回数が閾値を超えているかどうかの判断処理、認証要求の受信間隔に、確率が閾値より低い間隔が含まれているかどうかの判断処理、認証要求から取得された復号情報がユニーク情報に整合するかどうかの判断処理などの簡単な処理によって、認証要求の送信元に攻撃者の装置が含まれているかどうかを検出することができるようになる。このようにして、なりすましによる攻撃に対応することができるようになり、セキュアな認証を実現することができる。また、複数の認証要求を用いて被認証装置1が正当であるかどうかを判断するため、1個の認証要求だけでは検出することができない不正についても、検出することができるようになり、安全性を向上させることができる。また、認証装置2が、BLE通信のように、間欠的に認証要求を受信する場合においても、上記認証を適切に行うことができる。また、そのような間欠的な認証要求の受信を行うことによって、認証装置2における消費電力を低減することもできる。 Further, according to the authentication device 2 and the authentication method according to the present embodiment, secure authentication can be realized by a simple process by using a plurality of authentication requests transmitted from the authenticated device 1. In the encrypted information, when the unique information is encrypted using the key of the common key encryption, the process of decrypting the encrypted information can be performed at high speed. If the key of the common key cryptography is not leaked or the type of unique information is not known, the attacker's device sends the authentication request received from the legitimate authenticated device 1 to the authentication device 2. You can only attack by sending. Therefore, for example, there is a probability in the processing of determining whether or not a predetermined number or more of duplicates exist in a plurality of decrypted information, the processing of determining whether the number of receptions in a predetermined period exceeds the threshold value, and the reception interval of an authentication request. An attacker's device is sent to the source of the authentication request by simple processing such as determining whether or not an interval lower than the threshold is included and determining whether or not the decryption information obtained from the authentication request matches the unique information. Will be able to detect if is included. In this way, it becomes possible to respond to an attack by spoofing, and secure authentication can be realized. In addition, since it is determined whether or not the authenticated device 1 is valid by using a plurality of authentication requests, it is possible to detect fraud that cannot be detected by only one authentication request, which is safe. It is possible to improve the sex. Further, even when the authentication device 2 receives the authentication request intermittently as in BLE communication, the above authentication can be appropriately performed. Further, by receiving such an intermittent authentication request, the power consumption in the authentication device 2 can be reduced.

なお、本実施の形態では、認証部24が、復号情報の重複に関する判断、認証要求の受信回数に関する判断、認証要求の受信間隔に関する判断、復号情報とユニーク情報との整合性に関する判断によって被認証装置1が正当であるかどうか判断する場合について説明したが、認証部24は、それらの判断のうち、少なくとも1個以上の判断によって被認証装置1が正当であるかどうかを判断してもよい。 In the present embodiment, the authentication unit 24 is authenticated by a determination regarding duplication of decrypted information, a determination regarding the number of times the authentication request is received, a determination regarding the reception interval of the authentication request, and a determination regarding the consistency between the decrypted information and the unique information. Although the case of determining whether or not the device 1 is legitimate has been described, the authentication unit 24 may determine whether or not the authenticated device 1 is legitimate by at least one of those determinations. ..

また、上記実施の形態による被認証装置1や認証装置2は、他の認証方法を補完するために用いられてもよい。例えば、顔認証だけでは安全性に問題がある場合に、顔認証と、上記実施の形態における認証とを組み合わせて用いるようにしてもよい。従来、顔認証だけでは安全性に問題がある場合に、別途、ICカードを用いた認証などを併用することが行われていたが、上記実施の形態による認証と顔認証とを組み合わせて用いることによって、ICカード等を用いないでもよいことになり、ユーザの利便性が向上することになる。なお、上記実施の形態による被認証装置1や認証装置2は、例えば、顔認証以外の生体認証や、生体認証以外の認証と組み合わせて用いられてもよい。 Further, the authenticated device 1 and the authentication device 2 according to the above embodiment may be used to complement other authentication methods. For example, when there is a problem in security only by face authentication, face authentication may be used in combination with the authentication in the above embodiment. Conventionally, when there is a problem in security with face recognition alone, authentication using an IC card or the like has been separately used in combination, but authentication according to the above embodiment and face recognition are used in combination. As a result, it is not necessary to use an IC card or the like, which improves user convenience. The authenticated device 1 and the authentication device 2 according to the above embodiment may be used in combination with, for example, biometric authentication other than face authentication or authentication other than biometric authentication.

また、上記実施の形態において、被認証装置1は、例えば、ユーザが保持するものであってもよく、または、移動体に搭載されるものであってもよい。後者の場合には、例えば、移動体に関する認証を行うこともできるようになる。移動体は、例えば、走行する走行体や、飛行する飛行体であってもよい。 Further, in the above embodiment, the authenticated device 1 may be, for example, a device held by a user or a device mounted on a mobile body. In the latter case, for example, it becomes possible to authenticate the mobile body. The moving body may be, for example, a traveling vehicle or a flying vehicle.

また、上記実施の形態において、各処理または各機能は、単一の装置または単一のシステムによって集中処理されることによって実現されてもよく、または、複数の装置または複数のシステムによって分散処理されることによって実現されてもよい。 Further, in the above embodiment, each process or each function may be realized by centralized processing by a single device or a single system, or distributed processing by a plurality of devices or a plurality of systems. It may be realized by.

また、上記実施の形態において、各構成要素間で行われる情報の受け渡しは、例えば、その情報の受け渡しを行う2個の構成要素が物理的に異なるものである場合には、一方の構成要素による情報の出力と、他方の構成要素による情報の受け付けとによって行われてもよく、または、その情報の受け渡しを行う2個の構成要素が物理的に同じものである場合には、一方の構成要素に対応する処理のフェーズから、他方の構成要素に対応する処理のフェーズに移ることによって行われてもよい。 Further, in the above embodiment, the transfer of information performed between the respective components depends on, for example, one of the components when the two components that transfer the information are physically different. It may be performed by outputting information and accepting information by the other component, or if the two components that pass the information are physically the same, one component. It may be performed by moving from the processing phase corresponding to the above to the processing phase corresponding to the other component.

また、上記実施の形態において、各構成要素が実行する処理に関係する情報、例えば、各構成要素が受け付けたり、取得したり、選択したり、生成したり、送信したり、受信したりした情報や、各構成要素が処理で用いる閾値や数式、アドレス等の情報等は、上記説明で明記していなくても、図示しない記録媒体において、一時的に、または長期にわたって保持されていてもよい。また、その図示しない記録媒体への情報の蓄積を、各構成要素、または、図示しない蓄積部が行ってもよい。また、その図示しない記録媒体からの情報の読み出しを、各構成要素、または、図示しない読み出し部が行ってもよい。 Further, in the above embodiment, information related to the processing executed by each component, for example, information received, acquired, selected, generated, transmitted, or received by each component. In addition, information such as threshold values, mathematical formulas, and addresses used by each component in processing may be temporarily or for a long period of time in a recording medium (not shown) even if it is not specified in the above description. In addition, each component or a storage unit (not shown) may store information on a recording medium (not shown). Further, the information may be read from the recording medium (not shown) by each component or a reading unit (not shown).

また、上記実施の形態において、各構成要素等で用いられる情報、例えば、各構成要素が処理で用いる閾値やアドレス、各種の設定値等の情報がユーザによって変更されてもよい場合には、上記説明で明記していなくても、ユーザが適宜、それらの情報を変更できるようにしてもよく、または、そうでなくてもよい。それらの情報をユーザが変更可能な場合には、その変更は、例えば、ユーザからの変更指示を受け付ける図示しない受付部と、その変更指示に応じて情報を変更する図示しない変更部とによって実現されてもよい。その図示しない受付部による変更指示の受け付けは、例えば、入力デバイスからの受け付けでもよく、通信回線を介して送信された情報の受信でもよく、所定の記録媒体から読み出された情報の受け付けでもよい。 Further, in the above embodiment, when the information used in each component or the like, for example, the information such as the threshold value and the address used in the processing by each component and various setting values may be changed by the user, the above Although not specified in the description, the user may or may not be able to change the information as appropriate. When the information can be changed by the user, the change is realized by, for example, a reception unit (not shown) that receives a change instruction from the user and a change unit (not shown) that changes the information in response to the change instruction. You may. The reception unit (not shown) may accept the change instruction from, for example, an input device, information transmitted via a communication line, or information read from a predetermined recording medium. ..

また、上記実施の形態において、被認証装置1に含まれる2以上の構成要素が通信デバイスや入力デバイス等を有する場合に、2以上の構成要素が物理的に単一のデバイスを有してもよく、または、別々のデバイスを有してもよい。認証装置2についても同様である。 Further, in the above embodiment, when two or more components included in the authenticated device 1 have a communication device, an input device, or the like, even if the two or more components physically have a single device. Well, or may have separate devices. The same applies to the authentication device 2.

また、上記実施の形態において、各構成要素は専用のハードウェアにより構成されてもよく、または、ソフトウェアにより実現可能な構成要素については、プログラムを実行することによって実現されてもよい。例えば、ハードディスクや半導体メモリ等の記録媒体に記録されたソフトウェア・プログラムをCPU等のプログラム実行部が読み出して実行することによって、各構成要素が実現され得る。その実行時に、プログラム実行部は、記憶部や記録媒体にアクセスしながらプログラムを実行してもよい。なお、上記実施の形態における被認証装置1を実現するソフトウェアは、以下のようなプログラムである。つまり、このプログラムは、コンピュータに、ユニーク情報を取得するステップと、検証値を生成して認証装置の認証後に正当な認証であったかを検証するステップと、ユニーク情報と検証値を暗号鍵によって暗号化して暗号情報を生成するステップと、暗号情報を含む認証要求を、認証期間内に繰り返して認証装置に送信するステップと、生成した検証値を保存するステップと、を実行させ、複数のユニーク情報が暗号化された暗号情報をそれぞれ含む複数の認証要求が、認証期間内に送信される、プログラムである。 Further, in the above-described embodiment, each component may be configured by dedicated hardware, or a component that can be realized by software may be realized by executing a program. For example, each component can be realized by a program execution unit such as a CPU reading and executing a software program recorded on a recording medium such as a hard disk or a semiconductor memory. At the time of execution, the program execution unit may execute the program while accessing the storage unit or the recording medium. The software that realizes the authenticated device 1 in the above embodiment is the following program. In other words, this program has a step of acquiring unique information on the computer, a step of generating a verification value and verifying whether the authentication was valid after the authentication of the authentication device, and a step of encrypting the unique information and the verification value with an encryption key. The step of generating the encrypted information, the step of repeatedly sending the authentication request including the encrypted information to the authentication device within the authentication period, and the step of saving the generated verification value are executed, and a plurality of unique information is generated. A program in which a plurality of authentication requests including each encrypted encrypted information are transmitted within the authentication period.

また、上記実施の形態における認証装置2を実現するソフトウェアは、以下のようなプログラムである。つまり、このプログラムは、コンピュータに、被認証装置から送信された、暗号鍵によって暗号化された暗号情報を含む認証要求を、被認証装置から送信された、暗号鍵によって暗号化された暗号情報を含む認証要求を認証期間内に繰り返して受信するステップと、暗号情報を復号して復号情報を取得するステップと、復号できた暗号情報を含む、認証期間内に受信された複数の認証要求を用いて、被認証装置が正当かどうかを判断するステップと、被認証装置が正当かどうかを判断するステップにおける判断結果を出力するステップと、を実行させ、正当な被認証装置は、複数のユニーク情報を暗号化した暗号情報をそれぞれ含む複数の認証要求を認証期間内に送信する、プログラムである。 The software that realizes the authentication device 2 in the above embodiment is the following program. That is, this program sends an authentication request to the computer, including the encryption information encrypted by the encryption key, sent from the authenticated device, and the encryption information encrypted by the encryption key sent from the authenticated device. Using multiple authentication requests received within the authentication period, including the step of repeatedly receiving the including authentication request within the authentication period, the step of decrypting the encryption information and acquiring the decryption information, and the step of decrypting the decrypted encryption information. The step of determining whether the authenticated device is legitimate and the step of outputting the determination result in the step of determining whether the authenticated device is legitimate are executed, and the legitimate authenticated device has a plurality of unique information. It is a program that sends a plurality of authentication requests including encrypted information each encrypted within the authentication period.

なお、上記プログラムにおいて、情報を送信する送信ステップや、情報を受信する受信ステップ、情報を出力するステップなどでは、ハードウェアでしか行われない処理、例えば、送信ステップや受信ステップにおけるモデムやインターフェースカードなどで行われる処理は少なくとも含まれない。 In the above program, in the transmission step of transmitting information, the receiving step of receiving information, the step of outputting information, and the like, processing that is performed only by hardware, for example, a modem or interface card in the transmitting step or receiving step. At least the processing performed by such as is not included.

また、このプログラムは、サーバなどからダウンロードされることによって実行されてもよく、所定の記録媒体(例えば、CD−ROMなどの光ディスクや磁気ディスク、半導体メモリなど)に記録されたプログラムが読み出されることによって実行されてもよい。また、このプログラムは、プログラムプロダクトを構成するプログラムとして用いられてもよい。 Further, this program may be executed by being downloaded from a server or the like, and the program recorded on a predetermined recording medium (for example, an optical disk such as a CD-ROM, a magnetic disk, a semiconductor memory, etc.) is read out. May be performed by. Further, this program may be used as a program constituting a program product.

また、このプログラムを実行するコンピュータは、単数であってもよく、複数であってもよい。すなわち、集中処理を行ってもよく、または分散処理を行ってもよい。 Further, the number of computers that execute this program may be singular or plural. That is, centralized processing may be performed, or distributed processing may be performed.

図8は、上記プログラムを実行して、上記実施の形態による被認証装置1、認証装置2を実現するコンピュータシステム900の一例を示す図である。上記実施の形態は、コンピュータハードウェア及びその上で実行されるコンピュータプログラムによって実現されうる。 FIG. 8 is a diagram showing an example of a computer system 900 that executes the above program and realizes the authenticated device 1 and the authentication device 2 according to the above embodiment. The above embodiment can be realized by computer hardware and a computer program executed on the computer hardware.

図8において、コンピュータシステム900は、MPU(Micro Processing Unit)911と、ブートアッププログラム等のプログラムや、アプリケーションプログラム、システムプログラム、及びデータが記憶されるフラッシュメモリ等のROM912と、MPU911に接続され、アプリケーションプログラムの命令を一時的に記憶すると共に、一時記憶空間を提供するRAM913と、タッチパネル914と、無線通信モジュール915と、MPU911、ROM912等を相互に接続するバス916とを備える。なお、無線通信モジュール915に代えて、有線通信モジュールを備えていてもよい。また、タッチパネル914に代えて、ディスプレイと、マウスやキーボード等の入力デバイスとを備えていてもよい。 In FIG. 8, the computer system 900 is connected to the MPU (Micro Processing Unit) 911, a program such as a bootup program, a ROM 912 such as an application program, a system program, and a flash memory for storing data, and the MPU 911. It includes a RAM 913 that temporarily stores instructions of an application program and provides a temporary storage space, a touch panel 914, a wireless communication module 915, and a bus 916 that interconnects MPU 911, ROM 912, and the like. A wired communication module may be provided instead of the wireless communication module 915. Further, instead of the touch panel 914, a display and an input device such as a mouse or a keyboard may be provided.

コンピュータシステム900に、上記実施の形態による被認証装置1、認証装置2の機能を実行させるプログラムは、無線通信モジュール915を介してROM912に記憶されてもよい。プログラムは実行の際にRAM913にロードされる。なお、プログラムは、ネットワークから直接、ロードされてもよい。 The program for causing the computer system 900 to execute the functions of the authenticated device 1 and the authentication device 2 according to the above embodiment may be stored in the ROM 912 via the wireless communication module 915. The program is loaded into RAM 913 at run time. The program may be loaded directly from the network.

プログラムは、コンピュータシステム900に、上記実施の形態による被認証装置1、認証装置2の機能を実行させるオペレーティングシステム(OS)、またはサードパーティプログラム等を必ずしも含んでいなくてもよい。プログラムは、制御された態様で適切な機能やモジュールを呼び出し、所望の結果が得られるようにする命令の部分のみを含んでいてもよい。コンピュータシステム900がどのように動作するのかについては周知であり、詳細な説明は省略する。 The program does not necessarily have to include the computer system 900, an operating system (OS) for executing the functions of the authenticated device 1 and the authentication device 2 according to the above embodiment, a third-party program, and the like. The program may contain only parts of instructions that call the appropriate functions or modules in a controlled manner to achieve the desired result. It is well known how the computer system 900 works, and detailed description thereof will be omitted.

また、本発明は、以上の実施の形態に限定されることなく、種々の変更が可能であり、それらも本発明の範囲内に包含されるものであることは言うまでもない。 Further, it goes without saying that the present invention is not limited to the above embodiments, and various modifications can be made, and these are also included in the scope of the present invention.

以上のように、本発明による認証検証システム、被認証装置、認証装置、認証検証方法、認証検証プログラム及びコンピュータで読み取り可能な記録媒体並びに記録した機器は、例えば、キャッシュレジスタや自動改札機等における支払いや、チケットの提示等における認証に用いることができる。 As described above, the authentication verification system, the authenticated device, the authentication device, the authentication verification method, the authentication verification program, the computer-readable recording medium, and the recording device according to the present invention are, for example, in a cash register, an automatic ticket gate, or the like. It can be used for authentication in payment and presentation of tickets.

Claims (11)

認証を受けようとする被認証装置と、
前記被認証装置を認証する認証装置と、
を備える認証システムであって、
前記被認証装置は、
暗号情報を含む認証要求を、認証期間内に繰り返して前記認証装置に送信する送信部と、ユニーク情報と検証値を暗号鍵によって暗号化することで前記暗号情報を生成する暗号化部と、
前記ユニーク情報を生成する取得部と、
前記検証値を生成して、前記認証装置の認証後に、正当な認証であったかを検証する検証部と、
前記生成した検証値を保存する記憶部と、
を備え、
前記認証装置は、
前記被認証装置から送信された、暗号鍵によって暗号化された暗号情報を含む認証要求を、認証期間内に繰り返して受信する受信部と、
前記暗号情報を復号して復号情報を取得する復号部と、
復号できた暗号情報を含む、前記認証期間内に受信された複数の認証要求を用いて、前記被認証装置が正当かどうかを判断し、認証判断後に検証値を含む検証データを前記被認証装置に送信する認証部と、
前記認証部による判断結果を出力する出力部と、
を備える認証検証システム。The device to be certified and the device to be certified
An authentication device that authenticates the authenticated device and
It is an authentication system equipped with
The authenticated device is
A transmission unit that repeatedly transmits an authentication request including encryption information to the authentication device within the authentication period, and an encryption unit that generates the encryption information by encrypting the unique information and the verification value with an encryption key.
The acquisition unit that generates the unique information and
A verification unit that generates the verification value and verifies whether the authentication was valid after the authentication of the authentication device.
A storage unit for storing the generated verification value and
With
The authentication device is
A receiving unit that repeatedly receives an authentication request including encryption information encrypted by an encryption key transmitted from the authenticated device within the authentication period.
A decryption unit that decrypts the encrypted information and acquires the decrypted information,
Using a plurality of authentication requests received within the authentication period, including the decrypted encrypted information, it is determined whether or not the authenticated device is valid, and after the authentication determination, the verification data including the verification value is collected by the authenticated device. With the authentication unit to send to
An output unit that outputs the judgment result by the authentication unit and
Authentication verification system with. 前記検証値は、検証値を生成した時刻と、乱数値かハッシュ関数値のいずれかを含む、請求項1記載の認証検証システム。The authentication verification system according to claim 1, wherein the verification value includes a time when the verification value is generated and either a random value or a hash function value. 前記暗号鍵は、共通鍵暗号の鍵である、請求項1または請求項2記載の認証検証システム。The authentication verification system according to claim 1 or 2, wherein the encryption key is a symmetric key cryptographic key. 前記検証部は、前記記憶部に保存された検証値と前記認証装置2から送信された検証値が整合するかを確認して正当かを判断する、請求項1から請求項3のいずれか記載の認証検証システム。6. Authentication verification system. 請求項1から請求項4に記載の認証検証システムであって、さらに、
前記認証装置の認証後に、前記認証部からの検証値を受信して前記被認証装置の前記検証部に送信し、また認証結果や検証結果を受信するために、前記被認証装置、及び前記認証装置との通信を行うための回線通信部と、
認証及び検証結果に応じてシステムの挙動をコントロールするサーバ認証部と、
を備えるシステムサーバを備える認証検証システム。The authentication verification system according to claims 1 to 4, and further.
After the authentication of the authentication device, the verification value from the authentication unit is received and transmitted to the verification unit of the authenticated device, and the authenticated device and the authentication are performed in order to receive the authentication result and the verification result. A line communication unit for communicating with the device,
A server authentication unit that controls the behavior of the system according to the authentication and verification results,
Authentication verification system with a system server. 前記認証部は、前記認証期間に受信された複数の認証要求からそれぞれ取得された複数の復号情報に含まれる前記検証値どうしの比較を行い、整合性が見られない場合に、前記被認証装置が正当でないと判断する、請求項1から請求項5のいずれか記載の認証検証システム。The authentication unit compares the verification values included in the plurality of decryption information acquired from the plurality of authentication requests received during the authentication period, and if no consistency is found, the authenticated device is used. The authentication verification system according to any one of claims 1 to 5, wherein the authentication verification system is determined to be invalid. 前記送信部は、前記ユニーク情報と、前記検証値とを異なる手段で送信する、請求項1から請求項6のいずれか記載の認証検証システム。The authentication verification system according to any one of claims 1 to 6, wherein the transmission unit transmits the unique information and the verification value by different means. 前記受信部は、間欠的に認証要求を受信する、請求項1から請求項7のいずれか記載の認証装置。The authentication device according to any one of claims 1 to 7, wherein the receiving unit intermittently receives an authentication request. 認証を受けようとする被認証装置と、
前記被認証装置を認証する認証装置と、
を備える認証システムにおいて、前記被認証装置の認証を検証する認証検証方法であって、
前記被認証装置が、暗号情報を含む認証要求を、認証期間内に繰り返して前記認証装置に送信するステップと、
前記被認証装置が、ユニーク情報と検証値を暗号鍵によって暗号化することで前記暗号情報を生成するステップと、
前記被認証装置が、前記ユニーク情報を生成するステップと、
前記被認証装置が、前記検証値を生成して、前記認証装置の認証後に、正当な認証であったかを検証するステップと、
前記被認証装置が、前記生成した検証値を保存するステップと、
前記認証装置が、前記被認証装置から送信された、暗号鍵によって暗号化された暗号情報を含む認証要求を、認証期間内に繰り返して受信するステップと、
前記認証装置が、前記暗号情報を復号して復号情報を取得するステップと、
前記認証装置が、復号できた暗号情報を含む、前記認証期間内に受信された複数の認証要求を用いて、前記被認証装置が正当かどうかを判断し、認証判断後に検証値を含む検証データを前記被認証装置に送信するステップと、
前記認証装置が、前記認証部による判断結果を出力するステップと、
を備える認証検証方法。The device to be certified and the device to be certified
An authentication device that authenticates the authenticated device and
This is an authentication verification method for verifying the authentication of the device to be authenticated in the authentication system including the above.
A step in which the authenticated device repeatedly transmits an authentication request including encrypted information to the authenticated device within the authentication period.
A step in which the authenticated device generates the encrypted information by encrypting the unique information and the verification value with an encryption key.
The step in which the authenticated device generates the unique information,
A step of generating the verification value by the authenticated device and verifying whether the authentication is valid after the authentication of the authentication device.
The step in which the authenticated device stores the generated verification value, and
A step in which the authentication device repeatedly receives an authentication request including encryption information encrypted by an encryption key transmitted from the authenticated device within an authentication period.
A step in which the authentication device decrypts the encrypted information and acquires the decrypted information.
The authentication device uses a plurality of authentication requests received within the authentication period, including encrypted information that can be decrypted, to determine whether the authenticated device is valid, and verification data including a verification value after the authentication determination. To the authenticated device, and
A step in which the authentication device outputs a determination result by the authentication unit,
Authentication verification method. 認証を受けようとする被認証装置と、
前記被認証装置を認証する認証装置と、
を備える認証システムにおいて、前記被認証装置の認証を検証する認証検証プログラムであって、
前記被認証装置が、暗号情報を含む認証要求を、認証期間内に繰り返して前記認証装置に送信するステップと、
前記被認証装置が、ユニーク情報と検証値を暗号鍵によって暗号化することで前記暗号情報を生成するステップと、
前記被認証装置が、前記ユニーク情報を生成するステップと、
前記被認証装置が、前記検証値を生成して、前記認証装置の認証後に、正当な認証であったかを検証するステップと、
前記被認証装置が、前記生成した検証値を保存するステップと、
前記認証装置が、前記被認証装置から送信された、暗号鍵によって暗号化された暗号情報を含む認証要求を、認証期間内に繰り返して受信するステップと、
前記認証装置が、前記暗号情報を復号して復号情報を取得するステップと、
前記認証装置が、復号できた暗号情報を含む、前記認証期間内に受信された複数の認証要求を用いて、前記被認証装置が正当かどうかを判断し、認証判断後に検証値を含む検証データを前記被認証装置に送信するステップと、
前記認証装置が、前記認証部による判断結果を出力するステップと、
をシステムに実行させる、認証検証プログラム。The device to be certified and the device to be certified
An authentication device that authenticates the authenticated device and
This is an authentication verification program for verifying the authentication of the device to be authenticated in the authentication system provided with the above.
A step in which the authenticated device repeatedly transmits an authentication request including encrypted information to the authenticated device within the authentication period.
A step in which the authenticated device generates the encrypted information by encrypting the unique information and the verification value with an encryption key.
The step in which the authenticated device generates the unique information,
A step of generating the verification value by the authenticated device and verifying whether the authentication is valid after the authentication of the authentication device.
The step in which the authenticated device stores the generated verification value, and
A step in which the authentication device repeatedly receives an authentication request including encryption information encrypted by an encryption key transmitted from the authenticated device within an authentication period.
A step in which the authentication device decrypts the encrypted information and acquires the decrypted information.
The authentication device uses a plurality of authentication requests received within the authentication period, including encrypted information that can be decrypted, to determine whether the authenticated device is valid, and verification data including a verification value after the authentication determination. To the authenticated device, and
A step in which the authentication device outputs a determination result by the authentication unit,
Authentication verification program that causes the system to execute. 請求項10に記載のプログラムを記録したコンピュータで読み取り可能な記録媒体または記録した機器。A computer-readable recording medium or device on which the program according to claim 10 is recorded.
JP2020087024A 2020-04-14 2020-04-14 Authentication verification system, device to be authenticated, authentication device, authentication verification method, authentication verification program, computer readable recording medium, and recorded apparatus Pending JP2021170757A (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2020087024A JP2021170757A (en) 2020-04-14 2020-04-14 Authentication verification system, device to be authenticated, authentication device, authentication verification method, authentication verification program, computer readable recording medium, and recorded apparatus
PCT/JP2021/015368 WO2021210594A1 (en) 2020-04-14 2021-04-13 Authentication verification system, device to be authenticated, authencation device, authentication verification method, authentication verification program, and computer-readable recording medium and recorded device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2020087024A JP2021170757A (en) 2020-04-14 2020-04-14 Authentication verification system, device to be authenticated, authentication device, authentication verification method, authentication verification program, computer readable recording medium, and recorded apparatus

Publications (1)

Publication Number Publication Date
JP2021170757A true JP2021170757A (en) 2021-10-28

Family

ID=78084557

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020087024A Pending JP2021170757A (en) 2020-04-14 2020-04-14 Authentication verification system, device to be authenticated, authentication device, authentication verification method, authentication verification program, computer readable recording medium, and recorded apparatus

Country Status (2)

Country Link
JP (1) JP2021170757A (en)
WO (1) WO2021210594A1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7496177B1 (en) 2024-01-17 2024-06-06 Sinumy株式会社 Authenticated device, authenticating device, authentication request output method, authentication method, and program

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114900337B (en) * 2022-04-19 2024-04-05 贵州电网有限责任公司 Authentication encryption method and system suitable for power chip

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3634279B2 (en) * 2001-03-15 2005-03-30 日本電信電話株式会社 Application linkage method between multiple IC cards and within the same IC card
US8145194B2 (en) * 2005-08-30 2012-03-27 Panasonic Corporation Wireless device monitoring system including unauthorized apparatus and authentication apparatus with security authentication function
CA3116142A1 (en) * 2018-10-15 2021-04-12 Paylessgate Corporation Authentication-gaining apparatus, authentication apparatus, authentication request transmitting method, authentication method, and program

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7496177B1 (en) 2024-01-17 2024-06-06 Sinumy株式会社 Authenticated device, authenticating device, authentication request output method, authentication method, and program

Also Published As

Publication number Publication date
WO2021210594A1 (en) 2021-10-21

Similar Documents

Publication Publication Date Title
US8112787B2 (en) System and method for securing a credential via user and server verification
JP4599852B2 (en) Data communication apparatus and method, and program
CN102510333B (en) Authorization method and system
CN102215221B (en) Methods and systems for secure remote wake, boot, and login to a computer from a mobile device
US20050221853A1 (en) User authentication using a mobile phone SIM card
KR102604688B1 (en) Authentication target device, authentication device, authentication request transmission method, authentication method, and program
WO2014142857A1 (en) Wireless communication of a user identifier and encrypted time-sensitive data
JP5380583B1 (en) Device authentication method and system
US20050250472A1 (en) User authentication using a wireless device
WO2021210594A1 (en) Authentication verification system, device to be authenticated, authencation device, authentication verification method, authentication verification program, and computer-readable recording medium and recorded device
JP2009212731A (en) Card issuing system, card issuing server, and card issuing method, and program
JP4833745B2 (en) Data protection method for sensor node, computer system for distributing sensor node, and sensor node
JP7368890B2 (en) Authenticated device, authentication device, authentication request sending method, authentication method, and program
KR20120072032A (en) The system and method for performing mutual authentication of mobile terminal
WO2014187208A1 (en) Method and system for backing up private key in electronic signature token
KR20200043855A (en) Method and apparatus for authenticating drone using dim
WO2014187209A1 (en) Method and system for backing up information in electronic signature token
EP3732843A1 (en) Systems and methods for providing authentication and/or authorization
CN111246480A (en) Application communication method, system, equipment and storage medium based on SIM card
RU2791273C2 (en) Device for authentication, method for transmission of authentication request, method for authentication and program
US20240223370A1 (en) Method for authentication of a service provider device to a user device
JP2014134878A (en) Authentication system, authentication device and authentication method
EP4089955A1 (en) Quantum safe method for authentication of a service provider device to a user device
KR101737925B1 (en) Method and system for authenticating user based on challenge-response
Kou et al. An efficient Authentication Scheme Using Token Distribution for Cloud-based Smart Home

Legal Events

Date Code Title Description
A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200608