JP3498008B2 - User mutual authentication system, user mutual authentication method, and recording medium - Google Patents
User mutual authentication system, user mutual authentication method, and recording mediumInfo
- Publication number
- JP3498008B2 JP3498008B2 JP14687899A JP14687899A JP3498008B2 JP 3498008 B2 JP3498008 B2 JP 3498008B2 JP 14687899 A JP14687899 A JP 14687899A JP 14687899 A JP14687899 A JP 14687899A JP 3498008 B2 JP3498008 B2 JP 3498008B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- random number
- token
- common key
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Description
【発明の詳細な説明】Detailed Description of the Invention
【0001】[0001]
【発明の属する技術分野】本発明は、暗号的手法を用い
たユーザ相互認証システム、ユーザ相互認証方法、記録
媒体に関し、特に、インターネットあるいはイントラネ
ットを介してクライアントとサーバとが接続されたクラ
イアント・サーバシステムにおけるユーザ相互認証シス
テム、ユーザ相互認証方法、および記録媒体に関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a user mutual authentication system, a user mutual authentication method and a recording medium using a cryptographic method, and more particularly to a client / server in which a client and a server are connected via the Internet or an intranet. The present invention relates to a user mutual authentication system, a user mutual authentication method, and a recording medium.
【0002】[0002]
【従来の技術】インターネットあるいはイントラネット
を介したクライアント・サーバシステムにおいて、クラ
イアントとサーバ間の暗号を用いたユーザ相互認証を高
速化する従来技術は、たとえば、以下のようである。2. Description of the Related Art In a client / server system via the Internet or an intranet, a conventional technique for speeding up mutual user authentication using encryption between a client and a server is as follows, for example.
【0003】クライアントからサーバへの最初の接続
時、互いに相手の公開鍵を使って相互に認証用の乱数お
よび共通鍵情報を暗号化して交換することで相互認証を
行うとともに以後の通信でどのような認証用の乱数およ
び共通鍵を使用するかを両者で取り決める。また、前記
認証用の乱数および共通鍵をクライアントおよびサーバ
側の記憶手段で記憶する。2回目以降の同一クライアン
トとサーバ間の接続時、記憶してある認証用の乱数を共
通鍵で暗号化して交換することにより同一相手であるか
否かを相互に認証する。At the time of the first connection from the client to the server, mutual authentication is performed by mutually encrypting and exchanging the random number for authentication and the common key information using the public keys of the other parties, and how to perform the subsequent communication. Both parties decide whether to use a random number for authentication and a common key. The random number for authentication and the common key are stored in the storage means on the client and server sides. When connecting the same client and server for the second time and thereafter, the stored random numbers for authentication are encrypted with a common key and exchanged to mutually authenticate each other.
【0004】[0004]
【発明が解決しようとする課題】上述した従来の技術の
問題点は、共通鍵が更新されないので、2回目以降の同
一クライアントとサーバ間の接続には同一の共通鍵が使
用され続け、同一の共通鍵が長期に使用され続けること
になり、共通鍵が盗聴(解読)される可能性が高くなる
ことである。The problem of the above-mentioned conventional technique is that the common key is not updated, so that the same common key is continuously used for the connection between the same client and the server after the second time, and the same common key is used. This means that the common key will continue to be used for a long time, and there is a high possibility that the common key will be intercepted (decrypted).
【0005】本発明の目的は、共通鍵を更新することに
より、上記欠点を解決し、信頼性の高いユーザ相互認証
を実現することである。An object of the present invention is to solve the above-mentioned drawbacks and to realize highly reliable mutual user authentication by updating a common key.
【0006】[0006]
【課題を解決するための手段】本発明の第1のユーザ相
互認証システムは、インデックス部に初期認証開始トー
クンを、データ部に第2の認証情報を格納する第2のキ
ャッシュテーブルを備え、前記初期認証開始トークンに
対する第1の認証応答トークン、または、2回目以降認
証開始トークンに対する第2の認証応答トークンを送信
し、認証応答完了トークンを受信するサーバとインデッ
クス部に前記サーバのユーザIDを、データ部に第1の
認証情報を格納する第1のキャッシュテーブルを備え、
初めて認証を要求する前記初期認証開始トークン、2回
以降に認証を要求する前記2回目以降認証開始トーク
ン、認証の完了を示す前記認証応答完了トークンを送信
するクライアントと、を有し、前記クライアントが、前
記第1のキャッシュテーブルに前記サーバのユーザID
に対応する前記第1の認証情報が存在するかどうかを検
索し、検索に失敗すると、生成情報Kaを生成し、生成
情報Kaを含む前記初期認証開始トークンを前記サーバ
に送信し、前記サーバから生成情報Kb、乱数R1を含
む前記第1の認証応答トークンを受信すると、乱数R2
を作成し、生成情報Ka、生成情報Kbから共通鍵を生
成し、生成した共通鍵で暗号化した乱数R2を含む前記
認証応答完了トークンを前記サーバに送信し、前記第1
のキャッシュテーブルの前記サーバのユーザIDに対応
するデータ部に乱数R1、乱数R2、生成した共通鍵を
含む前記第1の認証情報を格納し、前記第1のキャッシ
ュテーブルの検索に成功すると、乱数R3を生成し、前
記第1のキャッシュテーブルからの共通鍵で暗号化した
乱数R3、前記第1のキャッシュテーブルからのR2、
前記初期認証開始トークンを含む前記2回目以降認証開
始トークンを送信し、前記サーバから乱数R1、乱数R
4を含む前記第2の認証応答トークンを受信すると、乱
数R3、前記第2の認証応答トークンからの乱数R4か
ら新共通鍵を生成し、前記第1のキャッシュテーブルの
前記サーバのユーザIDに対応するデータ部の前記第1
の認証情報の乱数R1、乱数R2、共通鍵をそれぞれ乱
数R4、乱数R3、新共通鍵で置換し、前記サーバが、
前記初期認証開始トークンを受信すると、乱数R1、生
成情報Kbを生成し、乱数R1、生成情報Kbを含む前
記第1の認証応答トークンを送信し、生成情報Kb、前
記初期認証開始トークンからの生成情報Kaから共通鍵
を生成し、前記認証応答完了トークンを受信すると、生
成した共通鍵で復号し、前記第2のキャッシュテーブル
のインデックス部に前記初期認証トークンを、データ部
に乱数R1、乱数R2、生成した共通鍵を含む前記第2
の認証情報を格納し、前記2回目以降認証開始トークン
を受信すると、前記第2のキャッシュテーブルに、前記
2回目以降認証開始トークンに含まれる前記初期開始認
証トークンに対応する前記第2の認証情報が存在するか
どうかを検索し、検索に成功した場合、前記第2のキャ
ッシュテーブル内の乱数R2と、前記2回目以降認証開
始トークン内の乱数R2とが一致すると、乱数R4を生
成し、前記第2のキャッシュテーブルからの共通鍵で暗
号化した乱数R4、前記第2のキャッシュテーブルから
のR1を含む前記第2の認証応答トークンを送信し、生
成した乱数R4、前記2回目以降認証開始トークンから
の乱数R3から新共通鍵を生成し、前記第2のキャッシ
ュテーブルの前記初期認証開始トークンに対応するデー
タ部の前記第2の認証情報の乱数R1、乱数R2、共通
鍵をそれぞれ乱数R4、乱数R3、新共通鍵で置換す
る。According to a first mutual user authentication system of the present invention , an initial authentication start token is added to an index section.
The second key that stores the second authentication information in the data section.
With a cache table, the initial authentication start token
The first authentication response token to the
Send second authentication response token for certificate start token
The server that receives the authentication response completion token.
The user ID of the server is stored in the query section and the first in the data section.
A first cache table for storing authentication information,
The initial authentication start token requesting authentication for the first time, twice
Authentication start talk from the second time onward requesting authentication
Send the authentication response completion token indicating the completion of authentication
A client to
The user ID of the server in the first cache table
Check whether the first authentication information corresponding to
If the search is performed and the search fails, the generation information Ka is generated and generated.
The initial authentication start token including the information Ka is sent to the server.
And sends the generated information Kb and the random number R1 from the server.
When receiving the first authentication response token, the random number R2
To generate a common key from the generation information Ka and the generation information Kb.
Including the random number R2 generated and encrypted with the generated common key
The authentication response completion token is transmitted to the server, and the first
Corresponding to the user ID of the server in the cache table of
Random number R1, random number R2, and generated common key in the data section
Storing the first authentication information including the first cache information;
If the lookup table is successfully searched, a random number R3 is generated and
Encrypted with the common key from the first cache table
Random number R3, R2 from the first cache table,
Authentication starting from the second time including the initial authentication start token
Send the start token, and the server sends random numbers R1 and R
When receiving the second authentication response token containing 4,
Number R3, random number R4 from the second authentication response token
Generate a new common key from the first cache table
The first of the data part corresponding to the user ID of the server
Random number R1, random number R2, and common key of authentication information of
Replace with the number R4, random number R3, new common key, and the server
When the initial authentication start token is received, a random number R1
Before generating the generation information Kb and including the random number R1 and the generation information Kb
The first authentication response token is transmitted, and the generation information Kb, before
Common key from the generation information Ka from the initial authentication start token
Is generated, and when the authentication response completion token is received,
Decrypted with the generated common key, and the second cache table
The initial authentication token in the index part of the
The second number including the random number R1, the random number R2, and the generated common key
Authentication information is stored, and the authentication start token from the second time onwards
To the second cache table,
The initial start confirmation included in the authentication start token after the second time
Whether the second authentication information corresponding to the identification token exists
If the search is successful, and if the search is successful,
The random number R2 in the cache table and the authentication starting from the second time
When the random number R2 in the first token matches, the random number R4 is generated.
Created by using the common key from the second cache table.
Encrypted random number R4 from the second cache table
Sending the second authentication response token containing R1 of
Generated random number R4, from the authentication start token from the second time onwards
Generate a new common key from the random number R3 of
Table corresponding to the initial authentication start token
Common random number R1, random number R2 of the second authentication information
Replace key with random number R4, random number R3, new common key respectively
It
【0007】本発明の第2のユーザ相互認証システム
は、前記第1のユーザ相互認証システムであって、前記
サーバからの前記第2の認証応答トークンを受信し、前
記第1のキャッシュテーブルの検索に成功し、前記第2
の認証応答トークンに含まれる乱数R1と、前記第1の
キャッシュテーブル内の乱数R1とが不一致であると、
認証が不成立であるとして、前記第1のキャッシュテー
ブル内の対応する前記第1の認証情報を削除する前記ク
ライアントを有する。 A second mutual user authentication system of the present invention is the first mutual user authentication system, wherein:
Receiving the second authentication response token from the server,
The first cache table is searched successfully, and the second cache table is searched.
Of the random number R1 included in the authentication response token of
If the random number R1 in the cache table does not match,
If the authentication is not established, the first cash
Delete the corresponding first authentication information in the
Have a client.
【0008】 本発明の第1のユーザ相互認証方法は、
インデックス部に初期認証開始トークンを、データ部に
第2の認証情報を格納する第2のキャッシュテーブルを
備え、前記初期認証開始トークンに対する第1の認証応
答トークン、または、2回目以降認証開始トークンに対
する第2の認証応答トークンを送信し、認証応答完了ト
ークンを受信するサーバとインデックス部に前記サーバ
のユーザIDを、データ部に第1の認証情報を格納する
第1のキャッシュテーブルを備え、初めて認証を要求す
る前記初期認証開始トークン、2回以降に認証を要求す
る前記2回目以降認証開始トークン、認証の完了を示す
前記認証応答完了トークンを送信するクライアントとを
利用し、前記クライアントが、前記第1のキャッシュテ
ーブルに前記サーバのユーザIDに対応する前記第1の
認証情報が存在するかどうかを検索するステップと、検
索に失敗すると、生成情報Kaを生成し、生成情報Ka
を含む前記初期認証開始トークンを前記サーバに送信す
るステップと、前記サーバから生成情報Kb、乱数R1
を含む前記第1の認証応答トークンを受信すると、乱数
R2を作成し、生成情報Ka、生成情報Kbから共通鍵
を生成し、生成した共通鍵で暗号化した乱数R2を含む
前記認証応答完了トークンを前記サーバに送信するステ
ップと、前記第1のキャッシュテーブルの前記サーバの
ユーザIDに対応するデータ部に乱数R1、乱数R2、
生成した共通鍵を含む前記第1の認証情報を格納するス
テップと、前記第1のキャッシュテーブルの検索に成功
すると、乱数R3を生成し、前記第1のキャッシュテー
ブルからの共通鍵で暗号化した乱数R3、前記第1のキ
ャッシュテーブルからのR2、前記初期認証開始トーク
ンを含む前記2回目以降認証開始トークンを送信するス
テップと、前記サーバから乱数R1、乱数R4を含む前
記第2の認証応答トークンを受信すると、乱数R3、前
記第2の認証応答トークンからの乱数R4から新共通鍵
を生成し、前記第1のキャッシュテーブルの前記サーバ
のユーザIDに対応するデータ部の前記第1の認証情報
の乱数R1、乱数R2、共通鍵をそれぞれ乱数R4、乱
数R3、新共通鍵で置換するステップと、前記サーバ
が、前記初期認証開始トークンを受信すると、乱数R
1、生成情報Kbを生成し、乱数R1、生成情報Kbを
含む前記第1の認証応答トークンを送信するステップ
と、生成情報Kb、前記初期認証開始トークンからの生
成情報Kaから共通鍵を生成するステップと、前記認証
応答完了トークンを受信すると、生成した共通鍵で復号
し、前記第2のキャッシュテーブルのインデックス部に
前記初期認証トークンを、データ部に乱数R1、乱数R
2、生成した共通鍵を含む前記第2の認証情報を格納
し、前記2回目以降認証開始トークンを受信すると、前
記第2のキャッシュテーブルに、前記2回目以降認証開
始トークンに含まれる前記初期開始認証トークンに対応
する前記第2の認証情報が存在するかどうかを検索し、
検索に成功した場合、前記第2のキャッシュテーブル内
の乱数R2と、前記2回目以降認証開始トークン内の乱
数R2とが一致すると、乱数R4を生成し、前記第2の
キャッシュテーブルからの共通鍵で暗号化した乱数R
4、前記第2のキャッシュテーブルからのR1を含む前
記第2の認証応答トークンを送信するステップと、生成
した乱数R4、前記2回目以降認証開始トークンからの
乱数R3から新共通鍵を生成し、前記第2のキャッシュ
テーブルの前記初期認証開始トークンに対応するデータ
部の前記第2の認証情報の乱数R1、乱数R2、共通鍵
をそれぞれ乱数R4、乱数R3、新共通鍵で置換するス
テップと、を含む。A first mutual user authentication method of the present invention is
Initial authentication start token in the index part and data part
A second cache table that stores the second authentication information
A first authentication response to the initial authentication start token.
Answer token, or authentication start token from the second time onwards
Send the second authentication response token to
The server that receives the Khun and the server in the index section
User ID of the first authentication information is stored in the data section
Has a first cache table and requires authentication for the first time
The initial authentication start token, which requires authentication after 2 times
The second and subsequent authentication start tokens, which indicate the completion of authentication
A client that sends the authentication response completion token
And the client uses the first cache
Table corresponding to the user ID of the server.
Steps to search for the presence of authentication information, and
If the search fails, the generation information Ka is generated and the generation information Ka is generated.
Sending the initial authentication start token including
And the generation information Kb and the random number R1 from the server.
When receiving the first authentication response token including
R2 is created, and the common key is created from the generation information Ka and the generation information Kb.
And includes a random number R2 encrypted with the generated common key
A step of transmitting the authentication response completion token to the server.
Of the server of the first cache table
Random number R1, random number R2, in the data section corresponding to the user ID,
A storage for storing the first authentication information including the generated common key.
Succeeded in searching the first cache table with the step
Then, a random number R3 is generated, and the first cache data is generated.
The random number R3 encrypted with the common key from the
R2 from the cache table, the initial authentication start talk
The authentication start token that is sent from the second time onward
Before including the random numbers R1 and R4 from the server
When receiving the second authentication response token, the random number R3,
The new common key from the random number R4 from the second authentication response token
Generating the server of the first cache table
First authentication information of the data portion corresponding to the user ID of
Random number R1, random number R2, common key is random number R4, random
The number R3, the step of replacing with a new common key, and the server
When the initial authentication start token is received, a random number R
1. Generate the generation information Kb and generate the random number R1 and the generation information Kb.
Sending the first authentication response token including
And the generation information Kb, the raw from the initial authentication start token.
Generating a common key from the generated information Ka, and the authentication
When the response completion token is received, it is decrypted with the generated common key
In the index section of the second cache table
The initial authentication token has a random number R1 and a random number R in the data part.
2. Store the second authentication information including the generated common key
However, if the authentication start token is received after the second time,
In the second cache table, the second and subsequent authentications are opened.
Corresponding to the initial start authentication token included in the start token
Searching for the presence of the second authentication information
If the search is successful, in the second cache table
Random number R2 and randomness in the authentication start token after the second time
When the number R2 matches, a random number R4 is generated and the second
Random number R encrypted with common key from cache table
4, before including R1 from the second cache table
The step of transmitting the second authentication response token and the generation
Random number R4 from the authentication start token
A new common key is generated from the random number R3, and the second cache is used.
Data corresponding to the initial authentication start token in the table
Part of the second authentication information random number R1, random number R2, common key
Are replaced by random number R4, random number R3, and new common key, respectively.
Includes a step, a.
【0009】本発明の第2のユーザ相互認証方法は、前
記第1のユーザ相互認証方法であって、前記クライアン
トが、前記サーバからの前記第2の認証応答トークンを
受信し、前記第1のキャッシュテーブルの検索に成功
し、前記第2の認証応答トークンに含まれる乱数R1
と、前記第1のキャッシュテーブル内の乱数R1とが不
一致であると、認証が不成立であるとして、前記第1の
キャッシュテーブル内の対応する前記第1の認証情報を
削除するステップを含む。 A second mutual user authentication method of the present invention is the first mutual user authentication method, wherein the client
Receives the second authentication response token from the server.
Received and successfully searched the first cache table
The random number R1 included in the second authentication response token.
And the random number R1 in the first cache table do not match.
If they match, it is determined that the authentication is not established, and the first
The corresponding first authentication information in the cache table
Including the step of deleting.
【0010】 本発明の第1の記録媒体は、インデック
ス部に初期認証開始トークンを、データ部に第2の認証
情報を格納する第2のキャッシュテーブルを備え、前記
初期認証開始トークンに対する第1の認証応答トーク
ン、または、2回目以降認証開始トークンに対する第2
の認証応答トークンを送信し、認証応答完了トークンを
受信するサーバとインデックス部に前記サーバのユーザ
IDを、データ部に第1の認証情報を格納する第1のキ
ャッシュテーブルを備え、初めて認証を要求する前記初
期認証開始トークン、2回以降に認証を要求する前記2
回目以降認証開始トークン、認証の完了を示す前記認証
応答完了トークンを送信するクライアントとを利用し、
前記第1のキャッシュテーブルに前記サーバのユーザI
Dに対応する前記第1の認証情報が存在するかどうかを
検索するステップと、検索に失敗すると、生成情報Ka
を生成し、生成情報Kaを含む前記初期認証開始トーク
ンを前記サーバに送信するステップと、前記サーバから
生成情報Kb、乱数R1を含む前記第1の認証応答トー
クンを受信すると、乱数R2を作成し、生成情報Ka、
生成情報Kbから共通鍵を生成し、生成した共通鍵で暗
号化した乱数R2を含む前記認証応答完了トークンを前
記サーバに送信するステップと、前記第1のキャッシュ
テーブルの前記サーバのユーザIDに対応するデータ部
に乱数R1、乱数R2、生成した共通鍵を含む前記第1
の認証情報を格納するステップと、前記第1のキャッシ
ュテーブルの検索に成功すると、乱数R3を生成し、前
記第1のキャッシュテーブルからの共通鍵で暗号化した
乱数R3、前記第1のキャッシュテーブルからのR2、
前記初期認証開始トークンを含む前記2回目以降認証開
始トークンを送信するステップと、前記サーバから乱数
R1、乱数R4を含む前記第2の認証応答トークンを受
信すると、乱数R3、前記第2の認証応答トークンから
の乱数R4から新共通鍵を生成し、前記第1のキャッシ
ュテーブルの前記サーバのユーザIDに対応するデータ
部の前記第1の認証情報の乱数R1、乱数R2、共通鍵
をそれぞれ乱数R4、乱数R3、新共通鍵で置換するス
テップと、を前記クライントに実行させ、前記初期認証
開始トークンを受信すると、乱数R1、生成情報Kbを
生成し、乱数R1、生成情報Kbを含む前記第1の認証
応答トークンを送信するステップと、生成情報Kb、前
記初期認証開始トークンからの生成情報Kaから共通鍵
を生成するステップと、前記認証応答完了トークンを受
信すると、生成した共通鍵で復号し、前記第2のキャッ
シュテーブルのインデックス部に前記初期認証トークン
を、データ部に乱数R1、乱数R2、生成した共通鍵を
含む前記第2の認証情報を格納し、前記2回目以降認証
開始トークンを受信すると、前記第2のキャッシュテー
ブルに、前記2回目以降認証開始トークンに含まれる前
記初期開始認証トークンに対応する前記第2の認証情報
が存在するかどうかを検索し、検索に成功した場合、前
記第2のキャッシュテーブル内の乱数R2と、前記2回
目以降認証開始トークン内の乱数R2とが一致すると、
乱数R4を生成し、前記第2のキャッシュテーブルから
の共通鍵で暗号化した乱数R4、前記第2のキャッシュ
テーブルからのR1を含む前記第2の認証応答トークン
を送信するステップと、生成した乱数R4、前記2回目
以降認証開始トークンからの乱数R3から新共通鍵を生
成し、前記第2のキャッシュテーブルの前記初期認証開
始トークンに対応するデータ部の前記第2の認証情報の
乱数R1、乱数R2、共通鍵をそれぞれ乱数R4、乱数
R3、新共通鍵で置換するステップと、を前記サーバに
実行させるプログラムを記録する。A first recording medium of the present invention is an index
Initial authentication start token in the data section and the second authentication in the data section
A second cache table for storing information,
First authentication response talk for initial authentication start token
Or the second for the authentication start token after the second time
Send the authentication response token of
User of the server to receive server and index part
The ID is the first key that stores the first authentication information in the data section.
The first with a cache table and requiring authentication for the first time
Term authentication start token, the above 2 which requires authentication after the second time
Authentication start token after the first time, the above authentication indicating the completion of authentication
Use a client that sends a response completion token,
User I of the server in the first cache table
Whether the first authentication information corresponding to D exists
The step of searching and the generation information Ka if the search fails
And the initial authentication start talk including the generation information Ka.
From the server,
The first authentication response token including the generation information Kb and the random number R1.
When Kun is received, the random number R2 is created and the generation information Ka,
A common key is generated from the generation information Kb, and the generated common key
The authentication response completion token including the encrypted random number R2
Sending to the server, the first cache
Data part of the table corresponding to the user ID of the server
The random number R1, the random number R2, and the generated common key
Storing authentication information of the first cache,
If the lookup table is successfully searched, a random number R3 is generated and
Encrypted with the common key from the first cache table
Random number R3, R2 from the first cache table,
Authentication starting from the second time including the initial authentication start token
Sending the first token and a random number from the server
Receive the second authentication response token including R1 and random number R4
When receiving, from the random number R3, the second authentication response token
A new common key is generated from the random number R4 of
Data corresponding to the user ID of the server in the user table
Part of the first authentication information random number R1, random number R2, common key
Are replaced by random number R4, random number R3, and new common key, respectively.
The initial authentication is performed by the client executing the steps
When the start token is received, the random number R1 and the generation information Kb are
The first authentication generated and including the random number R1 and the generation information Kb
The step of transmitting a response token and the generation information Kb, before
Common key from the generation information Ka from the initial authentication start token
Is generated, and the authentication response completion token is received.
Then, it decrypts with the generated common key,
The initial authentication token is added to the index section of the stable.
The random number R1, the random number R2, and the generated common key in the data part.
The second authentication information including the authentication information is stored, and the second and subsequent authentications are performed.
When the start token is received, the second cash
Bull, before being included in the authentication start token after the second time
The second authentication information corresponding to the initial start authentication token
Is searched for, and if the search is successful, the previous
The random number R2 in the second cache table and
If the random number R2 in the authentication start token after the eyes matches,
Generate a random number R4 from the second cache table
Random number R4 encrypted with the common key of the second cache
The second authentication response token containing R1 from the table
And a random number R4 generated, the second time
After that, a new common key is generated from the random number R3 from the authentication start token.
And the initial authentication of the second cache table is opened.
Of the second authentication information of the data part corresponding to the start token
Random number R1, random number R2, common key random number R4, random number respectively
R3, replacing with the new common key, to the server
Record the program you want to run .
【0011】 本発明の第2の記録媒体は、前記第1の
記録媒体であって、前記サーバからの前記第2の認証応
答トークンを受信し、前記第1のキャッシュテーブルの
検索に成功し、前記第2の認証応答トークンに含まれる
乱数R1と、前記第1のキャッシュテーブル内の乱数R
1とが不一致であると、認証が不成立であるとして、前
記第1のキャッシュテーブル内の対応する前記第1の認
証情報を削除するステップを前記クライアントに実行さ
せる。A second recording medium of the present invention is the first recording medium, comprising the second authentication response from the server.
The answer token is received and stored in the first cache table.
Successful search, included in the second authentication response token
Random number R1 and random number R in the first cache table
If 1 does not match, authentication is not established, and
The corresponding first authorization in the first cache table.
Cause the client to perform the step of deleting the authentication information .
【0012】[0012]
【発明の実施の形態】まず、本発明が適用されるクライ
アント・サーバシステムについて図面を参照して説明す
る。図2(a)は、本発明が適用されるクライアント・
サーバシステムを示すブロック図であり、図2(b)
は、図1における通信シーケンスの説明図である。DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS First, a client / server system to which the present invention is applied will be described with reference to the drawings. FIG. 2A shows a client to which the present invention is applied.
It is a block diagram which shows a server system, FIG.
FIG. 3 is an explanatory diagram of a communication sequence in FIG. 1.
【0013】図2(a)を参照すると、発明が適用され
るクライアント・サーバシステムは、複数のクライアン
ト1と複数のサーバ2とがインターネットあるいはイン
トラネット等のネットワーク3を介して接続されてい
る。このクライアント・サーバシステムにおいて、任意
のクライアント1と任意のサーバ2とが互いに相手の認
証を行い、その認証した相手との間でデータを送受信す
る場合、図2(b)のような手順を踏む。Referring to FIG. 2A, in the client / server system to which the invention is applied, a plurality of clients 1 and a plurality of servers 2 are connected via a network 3 such as the Internet or an intranet. In this client / server system, when an arbitrary client 1 and an arbitrary server 2 authenticate each other and send / receive data to / from the authenticated other party, the procedure as shown in FIG. 2B is taken. .
【0014】先ず、コネクション接続フェーズを実施
し、クライアント1とサーバ2との間にネットワーク3
を介してコネクションを接続する。次に、相互認証フェ
ーズを実施し、接続相手のサーバ2が真に接続を望むサ
ーバであることをクライアント1側が確認し、また、接
続相手のクライアント1が真に接続を望むクライアント
であることをサーバ2側が確認する。そして、相互に認
証できた場合に限ってデータ転送フェーズを実施し、ク
ライアント1とサーバ2との間でデータを送受信し、一
連のデータ転送フェーズの終了後に、コネクション切断
フェーズを実施してコネクションを切断する。相互認証
フェーズで相互認証が得られなかった場合はデータ転送
フェーズには移行せず、直ちにコネクション切断フェー
ズが実施される。クライアント1が再びサーバ2と接続
する場合には、コネクション接続、相互認証、データ転
送、コネクション切断の各フェーズが繰り返される。First, the connection connection phase is executed, and the network 3 is provided between the client 1 and the server 2.
Connect the connection via. Next, the mutual authentication phase is executed, the client 1 side confirms that the server 2 of the connection partner is the server that truly wants to connect, and that the client 1 of the connection partner is the client that truly wants to connect. The server 2 side confirms. Then, the data transfer phase is executed only when mutual authentication is possible, data is transmitted and received between the client 1 and the server 2, and after the series of data transfer phases is completed, the connection disconnection phase is executed to establish the connection. Disconnect. If mutual authentication is not obtained in the mutual authentication phase, the connection disconnection phase is immediately executed without shifting to the data transfer phase. When the client 1 connects to the server 2 again, each phase of connection connection, mutual authentication, data transfer, and connection disconnection is repeated.
【0015】本発明のユーザ相互認証は、上述した通信
シーケンスにおける相互認証フェーズに適用される。The mutual user authentication of the present invention is applied to the mutual authentication phase in the above communication sequence.
【0016】次に、本発明の第1の実施の形態について
図面を参照して詳細に説明する。図1は、本発明の第1
の実施の形態を示すブロック図である。図1を参照する
と、本発明の第1の実施の形態は、クライアント1と、
サーバ2と、これらを接続するネットワーク3とから構
成される。クライアント1およびサーバ2は、それぞれ
認証部10および認証部20を有しており、コネクショ
ン接続後の相互認証フェーズにおいて、認証部10およ
び認証部20にて相互認証処理が実施され、相互に認証
できた場合に限って後続のデータ転送フェーズを実施す
る。Next, a first embodiment of the present invention will be described in detail with reference to the drawings. FIG. 1 shows the first of the present invention.
It is a block diagram showing an embodiment of. Referring to FIG. 1, a first exemplary embodiment of the present invention includes a client 1 and
It is composed of a server 2 and a network 3 connecting these. The client 1 and the server 2 have an authentication unit 10 and an authentication unit 20, respectively, and in the mutual authentication phase after connection connection, mutual authentication processing is performed by the authentication unit 10 and the authentication unit 20, and mutual authentication is possible. The subsequent data transfer phase is carried out only in the case.
【0017】クライアント1の認証部10は、認証情報
キャッシュテーブル11を記憶する記憶手段17と、認
証情報キャッシュ検索手段12と、認証開始トークン生
成・送信手段13と、認証応答トークン受信手段14
と、認証応答完了トークン生成・送信手段15と、認証
情報キャッシュ生成・更新手段16とを備えている。こ
のような認証部10は、プロセッサ(CPU)およびメ
モリを有するコンピュータとCD−ROM、磁気ディス
ク装置、半導体メモリ等の機械読み取り可能な記録媒体
とで実現することができる。この場合、記録媒体にはク
ライアント1側相互認証用のプログラムが記録されてお
り、そのプログラムがCPUに読み取られ、CPUの動
作を制御することにより、クライアント1上に認証部1
0を実現する。The authentication unit 10 of the client 1 stores the authentication information cache table 11, a storage unit 17, an authentication information cache search unit 12, an authentication start token generation / transmission unit 13, and an authentication response token reception unit 14.
And an authentication response completion token generation / transmission means 15 and an authentication information cache generation / update means 16. Such an authentication unit 10 can be realized by a computer having a processor (CPU) and a memory and a machine-readable recording medium such as a CD-ROM, a magnetic disk device, and a semiconductor memory. In this case, a program for mutual authentication on the client 1 side is recorded on the recording medium, and the program is read by the CPU and the operation of the CPU is controlled, whereby the authentication unit 1 is installed on the client 1.
Achieve 0.
【0018】他方、サーバ2の認証部20は、認証情報
キャッシュテーブル21を記憶する記憶手段27と、認
証開始トークン受信手段22と、認証情報キャッシュ検
索手段23と、認証応答トークン生成・送信手段24
と、認証応答完了トークン受信手段25と、認証情報キ
ャッシュ生成・更新手段26とを備えている。このよう
な認証部20は、プロセッサ(CPU)およびメモリを
有するコンピュータとCD−ROM、磁気ディスク装
置、半導体メモリ等の機械読み取り可能な記録媒体とで
実現することができる。この場合、記録媒体にはサーバ
2側相互認証用のプログラムが記録されており、そのプ
ログラムがCPUに読み取られ、CPUの動作を制御す
ることにより、サーバ2上に認証部20を実現する。On the other hand, the authentication unit 20 of the server 2 stores the authentication information cache table 21, a storage unit 27, an authentication start token reception unit 22, an authentication information cache search unit 23, and an authentication response token generation / transmission unit 24.
And an authentication response completion token receiving means 25 and an authentication information cache generation / update means 26. Such an authentication unit 20 can be realized by a computer having a processor (CPU) and a memory and a machine-readable recording medium such as a CD-ROM, a magnetic disk device, and a semiconductor memory. In this case, a program for mutual authentication on the server 2 side is recorded on the recording medium, and the program is read by the CPU and the operation of the CPU is controlled to realize the authentication unit 20 on the server 2.
【0019】次に、クライアント1の認証部10の各構
成要素について説明する。図3は、認証情報キャッシュ
テーブル11の構成を示す説明図である。認証情報キャ
ッシュテーブル11は、接続相手のサーバ2の認証情報
を保持するテーブルであり、各サーバ2毎にその最初の
接続時に動的に生成される。図3を参照すると、認証情
報キャッシュテーブル11は、インデックス部とデータ
部とから成り、インデックス部に、サーバ2のユーザI
Dが登録され、データ部に、サーバ2の公開鍵で暗号化
された初期認証開始トークン、クライアント1のユーザ
ID、乱数R1(サーバ2で生成される)、乱数R2
(クライアント1で生成される)、認証情報一式(サー
バ2の公開鍵、サーバ2のユーザID、クライアント1
の秘密鍵、共通鍵等)が登録される。Next, each component of the authentication unit 10 of the client 1 will be described. FIG. 3 is an explanatory diagram showing the configuration of the authentication information cache table 11. The authentication information cache table 11 is a table that holds the authentication information of the server 2 of the connection partner, and is dynamically generated for each server 2 at the time of the first connection. Referring to FIG. 3, the authentication information cache table 11 includes an index part and a data part, and the index part includes a user I of the server 2 in the index part.
D is registered and an initial authentication start token encrypted with the public key of the server 2, a user ID of the client 1, a random number R1 (generated by the server 2), a random number R2 in the data part.
(Generated by client 1), set of authentication information (public key of server 2, user ID of server 2, client 1
Private key, common key, etc.) are registered.
【0020】認証情報キャッシュ検索手段12は、認証
フェーズの開始時にサーバ2のユーザIDをインデック
ス部に持つ認証情報キャッシュテーブル11を記憶手段
17中から検索する手段である。The authentication information cache retrieving means 12 is means for retrieving the authentication information cache table 11 having the user ID of the server 2 in the index portion from the storage means 17 at the start of the authentication phase.
【0021】認証開始トークン生成・送信手段13は、
認証情報キャッシュ検索手段12の検索結果に応じ、初
期認証開始トークンまたは2回目以降認証開始トークン
を生成し、サーバ2に送信する手段である。初期認証開
始トークンは検索が失敗した場合に、2回目以降認証開
始トークンは検索が成功した場合に、それぞれ生成され
て送信される。The authentication start token generating / transmitting means 13 is
This is a means for generating an initial authentication start token or an authentication start token for the second and subsequent times according to the search result of the authentication information cache search means 12 and transmitting it to the server 2. The initial authentication start token is generated and transmitted when the search fails, and the second and subsequent authentication start tokens are generated and transmitted, respectively.
【0022】次に、初期認証開始トークン、および2回
目以降認証開始トークンの内容について説明する。図4
(a)は、期認証開始トークンの内容を示す説明図、図
4(b)は、2回目以降認証開始トークンの内容を示す
説明図である。Next, the contents of the initial authentication start token and the second and subsequent authentication start tokens will be described. Figure 4
FIG. 4A is an explanatory diagram showing the contents of the periodic authentication start token, and FIG. 4B is an explanatory diagram showing the contents of the authentication start token for the second and subsequent times.
【0023】図4(a)を参照すると、期認証開始トー
クンは、当該トークンが初期認証開始トークンである旨
を含むヘッダと、サーバ2の公開鍵で暗号化されたクラ
イアント1のユーザID、乱数Raおよび共通鍵の第1
の生成情報seed−Kaとを含んでいる。サーバ2の
公開鍵はクライアント1側で事前に取得し別途管理して
いるものを使用する。なお、公開鍵方式としては例えば
RSAを使用することができる。乱数Raおよび共通鍵
の第1の生成情報seed−Kaは、認証開始トークン
生成・送信手段13で乱数発生器によって独自に生成し
たものである。共通鍵の第1の生成情報seed−Ka
は、サーバ2側で生成される後述する共通鍵の第2の生
成情報seed−Kbと組み合わせることで、1つの共
通鍵を一意に生成することができる情報である。つま
り、情報Aと情報Bとが決まった場合、それらから特定
の共通鍵が生成され、それ以外の共通鍵が生成できない
とき、そのような情報A、Bがその共通鍵の第1の生成
情報seed−Ka、共通鍵の第2の生成情報seed
−Kbとなる。なお、共通鍵方式としては、例えばDE
Sを使用することができる。Referring to FIG. 4A, the term authentication start token is a header including a token indicating that the token is an initial authentication start token, a user ID of the client 1 encrypted by the public key of the server 2, and a random number. Ra and common key first
It includes the generation information seed-Ka. The public key of the server 2 is obtained by the client 1 in advance and separately managed. As the public key method, for example, RSA can be used. The random number Ra and the first generation information seed-Ka of the common key are independently generated by the random number generator in the authentication start token generation / transmission means 13. Common key first generation information seed-Ka
Is information that can uniquely generate one common key by combining it with second generation information seed-Kb of the common key, which will be described later and is generated on the server 2 side. That is, when the information A and the information B are determined, a specific common key is generated from them, and when no other common key can be generated, such information A and B is the first generation information of the common key. seed-Ka, common key second generation information seed
-Kb. As the common key method, for example, DE
S can be used.
【0024】図4(b)を参照すると、2回目以降認証
開始トークンは、当該トークンが2回目以降認証開始ト
ークンである旨を含むヘッダと、サーバ2の公開鍵で暗
号化されている初期認証開始トークンと、共通鍵で暗号
化された乱数R2および乱数R3とを含んでいる。初期
認証開始トークンは、検索された認証情報キャッシュテ
ーブル11から取得された初期認証開始トークンであ
る。乱数R2は、検索された認証情報キャッシュテーブ
ル11から取得されたものである。乱数R3は、認証開
始トークン生成・送信手段13が乱数発生器によって新
たに生成したものである。乱数R2および乱数R3を暗
号化する共通鍵は、検索された認証情報キャッシュテー
ブル11から取得された共通鍵である。Referring to FIG. 4 (b), the authentication start token for the second and subsequent authentications is a header including the fact that the token is the authentication start token for the second and subsequent authentications, and the initial authentication encrypted with the public key of the server 2. It contains a start token and a random number R2 and a random number R3 encrypted with a common key. The initial authentication start token is the initial authentication start token acquired from the retrieved authentication information cache table 11. The random number R2 is obtained from the retrieved authentication information cache table 11. The random number R3 is newly generated by the authentication start token generating / transmitting means 13 by the random number generator. The common key for encrypting the random numbers R2 and R3 is the common key acquired from the retrieved authentication information cache table 11.
【0025】認証応答トークン受信手段14は、認証開
始トークン生成・送信手段13が送信した認証開始トー
クンに対してサーバ2が認証応答トークンを送信してき
たとき、それを受信して処理する手段である。受信する
認証応答トークンには、初期認証応答トークンと2回目
以降認証応答トークンとの2通りがある。The authentication response token receiving means 14 is means for receiving and processing an authentication response token when the server 2 has transmitted the authentication start token transmitted by the authentication start token generating / transmitting means 13. . There are two types of authentication response tokens to be received: an initial authentication response token and an authentication response token from the second time onward.
【0026】次に、初期認証応答トークンおよび2回目
以降認証応答トークンについて説明する。図5(a)
は、初期認証応答トークンの内容を示す説明図、図5
(b)は、2回目以降認証応答トークンの内容を示す説
明図である。Next, the initial authentication response token and the second and subsequent authentication response tokens will be described. Figure 5 (a)
Is an explanatory diagram showing the contents of the initial authentication response token, FIG.
(B) is an explanatory view showing the contents of the authentication response token from the second time onward.
【0027】図5(a)を参照すると、初期認証応答ト
ークンは、当該トークンが初期認証応答トークンである
旨を含むヘッダと、クライアント1の公開鍵で暗号化さ
れた乱数Ra、乱数Rb、共通鍵の第2の生成情報se
ed−Kbおよび乱数R1(または乱数Rn)とを含ん
でいる。Referring to FIG. 5 (a), the initial authentication response token includes a header containing a token indicating that the token is an initial authentication response token, a random number Ra and a random number Rb encrypted with the public key of the client 1, and a common Second key generation information se
ed-Kb and random number R1 (or random number Rn) are included.
【0028】図5(b)を参照すると、2回目以降認証
応答トークンは、当該トークンが2回目以降認証応答ト
ークンである旨を含むヘッダと、共通鍵で暗号化された
乱数R4および乱数R1とを含んでいる。2回目以降認
証応答トークンは、2回目以降認証開始トークンの応答
として返されるが、初期認証応答トークンは初期認証開
始トークンの応答以外に2回目以降認証開始トークンの
応答として返される場合がある。初期証応答トークンお
よび2回目以降認証応答トークンの生成方法について
は、サーバ2の認証応答トークン生成・送信手段24の
説明箇所で詳述する。Referring to FIG. 5B, the second and subsequent authentication response tokens include a header including the fact that the token is the second and subsequent authentication response tokens, and a random number R4 and a random number R1 encrypted with a common key. Is included. The second and subsequent authentication response tokens are returned as the second and subsequent authentication start token responses, but the initial authentication response token may be returned as the second and subsequent authentication start token responses in addition to the initial authentication start token response. The method for generating the initial identification response token and the authentication response tokens for the second and subsequent times will be described in detail in the description of the authentication response token generation / transmission means 24 of the server 2.
【0029】認証応答完了トークン生成・送信手段15
は、認証応答トークン受信手段14が初期認証応答トー
クンを受信した場合に、その応答である認証応答完了ト
ークンを生成しサーバ2に送信する手段である。認証応
答トークン受信手段14が2回目以降認証応答トークン
を受信した場合、認証応答完了トークン生成・送信手段
15は動作しない。Authentication response completion token generation / transmission means 15
When the authentication response token receiving means 14 receives the initial authentication response token, is a means for generating an authentication response completion token, which is a response to the initial authentication response token, and transmitting it to the server 2. When the authentication response token receiving means 14 receives the authentication response token from the second time onward, the authentication response completion token generating / transmitting means 15 does not operate.
【0030】次に、認証応答完了トークンについて説明
する。図6は、認証応答完了トークンの内容を示す説明
図である。図6を参照すると、認証応答完了トークン
は、当該トークンが認証応答完了トークンである旨を含
むヘッダと、共通鍵で暗号化された乱数RbおよびR2
(または乱数Rn+1)を含んでいる。乱数Rbは、認
証応答トークン受信手段14が受信した初期認証応答ト
ークンから抽出したものであり、乱数R2(またはRn
+1)は、認証応答完了トークン生成・送信手段15が
乱数発生器により独自に生成したものである。これらを
暗号化する共通鍵は、認証開始トークン生成・送信手段
13が送出した初期認証開始トークン中に含めた共通鍵
の第1の生成情報seed−Kaと認証応答トークン受
信手段14が初期認証応答トークンから抽出した共通鍵
の第2の生成情報seed−Kbとから一意に生成され
る共通鍵である。Next, the authentication response completion token will be described. FIG. 6 is an explanatory diagram showing the content of the authentication response completion token. Referring to FIG. 6, the authentication response completion token includes a header including that the token is an authentication response completion token, and random numbers Rb and R2 encrypted with a common key.
(Or random number Rn + 1). The random number Rb is extracted from the initial authentication response token received by the authentication response token receiving means 14, and is a random number R2 (or Rn).
+1) is uniquely generated by the authentication response completion token generation / transmission means 15 by the random number generator. The common key for encrypting these is the first generation information seed-Ka of the common key included in the initial authentication start token sent by the authentication start token generation / transmission means 13 and the authentication response token reception means 14 for the initial authentication response. It is a common key uniquely generated from the second generation information seed-Kb of the common key extracted from the token.
【0031】認証情報キャッシュ生成・更新手段16
は、記憶手段17中に図3に示したような認証情報キャ
ッシュテーブル11に情報を登録したり、既に登録され
ている認証情報キャッシュテーブル11の情報を更新し
たり、削除する手段である。Authentication information cache generation / update means 16
Are means for registering information in the authentication information cache table 11 as shown in FIG. 3 in the storage means 17, updating information in the authentication information cache table 11 already registered, and deleting.
【0032】次に、サーバ2の認証部20の各構成要素
について説明する。図7は、認証情報キャッシュテーブ
ル21の構成を示す説明図である。認証情報キャッシュ
テーブル21は、接続相手のクライアント1の認証情報
を保持するテーブルであり、各クライアント1ごとにそ
の最初の接続時に動的に生成される。図7を参照する
と、認証情報キャッシュテーブル21は、インデックス
部とデータ部とから成り、インデックス部に、サーバ2
の公開鍵で暗号化された初期認証開始トークンが登録さ
れ、データ部に、サーバ2のユーザID、乱数R1(サ
ーバ2で生成される)、乱数R2(クライアント1で生
成される)、認証情報一式(クライアント1の公開鍵、
クライアント1のユーザID、サーバ2の秘密鍵、共通
鍵等)が登録される。Next, each component of the authentication unit 20 of the server 2 will be described. FIG. 7 is an explanatory diagram showing the configuration of the authentication information cache table 21. The authentication information cache table 21 is a table holding the authentication information of the client 1 of the connection partner, and is dynamically generated for each client 1 at the time of the first connection. Referring to FIG. 7, the authentication information cache table 21 includes an index part and a data part, and the index part includes the server 2
The initial authentication start token encrypted with the public key of is registered in the data part, the user ID of the server 2, the random number R1 (generated by the server 2), the random number R2 (generated by the client 1), the authentication information. Complete set (client 1's public key,
The user ID of the client 1, the secret key of the server 2, the common key, etc.) are registered.
【0033】認証開始トークン受信手段22は、認証フ
ェーズの開始時、クライアント1から認証開始トークン
を受信する手段である。受信する認証開始トークンに
は、図4(a)に示した初期認証開始トークンと図4
(b)に示した2回目以降認証開始トークンとの2通り
がある。The authentication start token receiving means 22 is means for receiving the authentication start token from the client 1 at the start of the authentication phase. The authentication start token to be received includes the initial authentication start token shown in FIG.
There are two types of authentication start tokens after the second time shown in (b).
【0034】認証情報キャッシュ検索手段23は、認証
開始トークン受信手段22で2回目以降認証開始トーク
ンが受信されたとき、2回目以降認証開始トークンに含
まれる初期認証開始トークンをインデックス部に持つ認
証情報キャッシュテーブル21を記憶手段27中から検
索する手段である。認証開始トークン受信手段22で初
期認証開始トークンが受信された場合、認証情報キャッ
シュ検索手段23は動作しない。When the authentication start token receiving means 22 receives the authentication start token from the second time onward, the authentication information cache searching means 23 has the authentication information having the initial authentication start token included in the authentication start token from the second time onward in the index part. It is means for searching the cache table 21 from the storage means 27. When the authentication start token receiving means 22 receives the initial authentication start token, the authentication information cache searching means 23 does not operate.
【0035】認証応答トークン生成・送信手段24は、
認証開始トークン受信手段22が受信した認証開始トー
クンに対する応答として、認証応答トークンを生成し、
クライアント1に送信する手段である。生成し送信する
認証応答トークンは、初期認証応答トークンと2回目以
降認証応答トークンとの2通りある。2回目以降認証応
答トークンは、認証開始トークン受信手段22で2回目
以降認証開始トークンが受信されかつ認証情報キャッシ
ュ検索手段23で認証情報キャッシュテーブル21の検
索に成功し、更にサーバ2側で認証成立した場合に生
成、送信される。初期認証応答トークンは、それ以外の
場合、つまり、認証開始トークン受信手段22で初期認
証開始トークンが受信された場合、2回目以降認証開始
トークンを受信したが認証情報キャッシュテーブル21
の検索に失敗した場合、検索に成功したが認証不成立の
場合に、生成、送信される。The authentication response token generation / transmission means 24 is
An authentication response token is generated as a response to the authentication start token received by the authentication start token receiving means 22,
It is a means for transmitting to the client 1. There are two types of authentication response tokens to be generated and transmitted: the initial authentication response token and the second and subsequent authentication response tokens. For the second and subsequent authentication response tokens, the authentication start token receiving unit 22 receives the authentication start token for the second and subsequent times, and the authentication information cache search unit 23 succeeds in searching the authentication information cache table 21 and further authentication is established on the server 2 side. Generated and sent when you do. In the case of the initial authentication response token other than that, that is, when the initial authentication start token is received by the authentication start token receiving means 22, the authentication start token is received for the second time and thereafter, but the authentication information cache table 21.
If the search fails, or if the search is successful but the authentication is not established, it is generated and transmitted.
【0036】次に、認証応答トークンについて説明す
る。図5(a)を参照すると、初期認証応答トークン
中、乱数Raは、認証開始トークン受信手段22で受信
された初期認証開始トークンから抽出した乱数Raまた
は検索された認証情報キャッシュテーブル21中から抽
出された初期認証開始トークン中の乱数Raである。ま
た、乱数Rb、共通鍵の第2の生成情報seed−Kb
および乱数R1は、認証応答トークン生成・送信手段2
4が乱数発生器によって独自に生成したものである。さ
らに、これらを暗号化するクライアント1の公開鍵はサ
ーバ2が事前に取得して別途管理してある公開鍵であ
る。Next, the authentication response token will be described. Referring to FIG. 5A, in the initial authentication response token, the random number Ra is extracted from the random number Ra extracted from the initial authentication start token received by the authentication start token receiving means 22 or the searched authentication information cache table 21. It is the random number Ra in the generated initial authentication start token. Also, the random number Rb and the second generation information seed-Kb of the common key
And the random number R1 are the authentication response token generation / transmission means 2
4 is uniquely generated by the random number generator. Further, the public key of the client 1 that encrypts these is a public key that the server 2 previously acquired and separately managed.
【0037】図5(b)を参照すると、2回目以降認証
応答トークン中の乱数R1は検索された認証情報キャッ
シュテーブル21中から抽出されたものであり、乱数R
4は、認証応答トークン生成・送信手段24が乱数発生
器によって独自に生成したものであり、それらを暗号化
する共通鍵は検索された認証情報キャッシュテーブル2
1から取得された共通鍵である。Referring to FIG. 5B, the random number R1 in the authentication response token from the second time onward is extracted from the retrieved authentication information cache table 21, and the random number R1.
Reference numeral 4 is generated by the authentication response token generation / transmission means 24 by the random number generator, and the common key for encrypting them is the retrieved authentication information cache table 2
This is the common key acquired from 1.
【0038】認証応答完了トークン受信手段25は、認
証応答トークン生成・送信手段24が初期認証応答トー
クンを送信した場合に、それに対する応答である図6に
示したような認証応答完了トークンをクライアント1か
ら受信して処理する手段である。認証応答トークン生成
・送信手段24が2回目以降認証応答トークンを送信し
た場合、認証応答完了トークン受信手段25は動作しな
い。When the authentication response token generating / transmitting means 24 transmits the initial authentication response token, the authentication response completion token receiving means 25 sends the authentication response completion token as shown in FIG. It is a means for receiving and processing from. When the authentication response token generation / transmission means 24 transmits the authentication response token for the second time and thereafter, the authentication response completion token reception means 25 does not operate.
【0039】認証情報キャッシュ生成・更新手段26
は、記憶手段27中に図7に示したような認証情報キャ
ッシュテーブル21に情報を新たに登録したり、既に登
録されている認証情報キャッシュテーブル21の情報を
更新したり、削除する手段である。Authentication information cache generation / update means 26
Is means for newly registering information in the authentication information cache table 21 as shown in FIG. 7 in the storage means 27, updating information in the already registered authentication information cache table 21, or deleting. .
【0040】次に、本発明の第1の実施の形態の動作に
ついて図面を参照して説明する。図8は、本発明の第1
の実施の形態の動作を示すフローチャートである。図9
〜図12は、発明の第1の実施の形態の動作の認証フロ
ーを示す説明図である。Next, the operation of the first embodiment of the present invention will be described with reference to the drawings. FIG. 8 shows the first of the present invention.
3 is a flowchart showing the operation of the embodiment of FIG. Figure 9
~ FIG. 12 is an explanatory diagram showing an authentication flow of the operation according to the first embodiment of the invention.
【0041】まず、クライアント1の認証情報キャッシ
ュテーブル11の検索において失敗した(すなわち、情
報が登録されていなかった)場合について説明する。First, the case where the search of the authentication information cache table 11 of the client 1 fails (that is, the information is not registered) will be described.
【0042】クライアント1は、認証情報キャッシュ検
索手段12において、認証情報キャッシュテーブル11
をサーバ2のユーザIDをキーにしてサーバ2の情報を
検索し(図8S1)、検索に失敗した場合(図8S1失
敗)、図9に示すような認証フローが実施される。In the client 1, the authentication information cache search means 12 uses the authentication information cache table 11
When the information of the server 2 is searched using the user ID of the server 2 as a key (FIG. 8S1), and the search fails (S1 failure in FIG. 8), the authentication flow as shown in FIG. 9 is performed.
【0043】クライアント1は、認証開始トークン生成
・送信手段13で、乱数Raと共通鍵の第1の生成情報
seed−Kaとを生成し、自ユーザID、乱数Ra、
および共通鍵の第1の生成情報seed−Kaをサーバ
2の公開鍵で暗号化し、それを含む初期認証開始トーク
ン(図9f1)をサーバ2へ送信する(図8S2)。The client 1 uses the authentication start token generation / transmission means 13 to generate the random number Ra and the first generation information seed-Ka of the common key, and then the own user ID, the random number Ra,
And the first generation information seed-Ka of the common key is encrypted with the public key of the server 2, and the initial authentication start token (FIG. 9f1) including the same is transmitted to the server 2 (S2 in FIG. 8).
【0044】サーバ2はクライアント1から初期認証開
始トークン(図9f1)を認証開始トークン受信手段2
2で受信すると、初期認証開始トークンを自秘密鍵で復
号し、乱数Raおよび共通鍵の第1の生成情報seed
−Kaを抽出する(図8S3)。The server 2 receives the initial authentication start token (FIG. 9f1) from the client 1 as the authentication start token receiving means 2
2, the initial authentication start token is decrypted with the self-secret key, and the random number Ra and the first generation information seed of the common key are received.
-Ka is extracted (Fig. 8 S3).
【0045】次に、サーバ2は、認証応答トークン生成
・送信手段24で、乱数Rb、乱数R1、および共通鍵
の第2の生成情報seed−Kbを生成し、乱数Ra、
乱数Rb、乱数R1、および共通鍵の第2の生成情報s
eed−Kbをクライアント1の公開鍵で暗号化し、そ
れを含む認証応答トークン(図9f2)をクライアント
1へ送信する(図8S4)。さらに、共通鍵の第1の生
成情報seed−Ka、共通鍵の第2の生成情報see
d−Kbより共通鍵を生成する(図8S5)。Next, in the server 2, the authentication response token generation / transmission means 24 generates the random number Rb, the random number R1, and the second generation information seed-Kb of the common key, and the random number Ra,
Random number Rb, random number R1, and second generation information s of common key
The eed-Kb is encrypted with the public key of the client 1, and the authentication response token (FIG. 9f2) including it is transmitted to the client 1 (S4 in FIG. 8). Further, the first generation information seed-Ka of the common key and the second generation information seed of the common key
A common key is generated from d-Kb (S5 in FIG. 8).
【0046】クライアント1は、認証応答トークン受信
手段14で、サーバ2からの認証応答トークン(図9f
2)を受信し、受信した認証応答トークンを自秘密鍵で
復号し、乱数Ra、乱数Rb、乱数R1、および共通鍵
の第2の生成情報seed−Kbを抽出する(図8S
6)。さらに、共通鍵の第1の生成情報seed−K
a、共通鍵の第2の生成情報seed−Kbより共通鍵
を生成する(図8S7)。The client 1 uses the authentication response token receiving means 14 to send the authentication response token from the server 2 (see FIG. 9f).
2) is received, the received authentication response token is decrypted by the private key, and the random number Ra, the random number Rb, the random number R1, and the second generation information seed-Kb of the common key are extracted (FIG. 8S).
6). Furthermore, the first generation information seed-K of the common key
a, a common key is generated from the second generation information seed-Kb of the common key (S7 in FIG. 8).
【0047】次に、クライアント1は、認証応答完了ト
ークン生成・送信手段15で、乱数R2を生成し、乱数
Rb、および乱数R2を生成した共通鍵で暗号化し、そ
れを含む認証応答完了トークン(図9g1)をサーバ2
へ送信する(図8S8)。Next, in the client 1, the authentication response completion token generation / transmission means 15 generates a random number R2, encrypts the random number Rb and the random number R2 with the generated common key, and includes the authentication response completion token ( 9g1) server 2
(S8 in FIG. 8).
【0048】次に、クライアント1は、認証情報キャッ
シュ生成・更新手段16で、認証情報キャッシュテーブ
ル11のインデックス部に、サーバ2のユーザIDを、
データ部に、サーバ2の公開鍵で暗号化された初期認証
開始トークン、クライアント1のユーザID、乱数R
1、乱数R2、認証情報一式(サーバ2の公開鍵、サー
バ2のユーザID、クライアント1の秘密鍵、共通鍵
等)を対にして登録する(図8S9)。Next, the client 1 uses the authentication information cache generating / updating means 16 to store the user ID of the server 2 in the index portion of the authentication information cache table 11.
In the data part, the initial authentication start token encrypted with the public key of the server 2, the user ID of the client 1, the random number R
1, a random number R2, and a set of authentication information (public key of server 2, user ID of server 2, secret key of client 1, common key, etc.) are registered as a pair (FIG. 8S9).
【0049】サーバ2は、認証応答完了トークン受信手
段25で、認証応答完了トークン(図9g1)を受信す
ると、これを先に生成した共通鍵で復号し、乱数Rbお
よび乱数R2を抽出する(図8S10)。When the authentication response completion token receiving means 25 of the server 2 receives the authentication response completion token (FIG. 9g1), the server 2 decrypts the authentication response completion token with the previously generated common key to extract the random number Rb and the random number R2 (see FIG. 8S10).
【0050】次に、サーバ2は、認証情報キャッシュ生
成・更新手段26で、クライアント1の情報が認証情報
キャッシュテーブル21に存在すれば、それを削除し、
インデックス部にサーバ2の公開鍵で暗号化された初期
認証開始トークンを、データ部に、サーバ2のユーザI
D、乱数R1、乱数R2、認証情報一式(クライアント
1の公開鍵、クライアント1のユーザID、サーバ2の
秘密鍵、共通鍵等)を対にして登録する(図8S1
1)。Next, in the server 2, the authentication information cache generating / updating means 26 deletes the information of the client 1 if it exists in the authentication information cache table 21,
An initial authentication start token encrypted with the public key of the server 2 is stored in the index section, and a user I of the server 2 is stored in the data section.
D, random number R1, random number R2, and a set of authentication information (public key of client 1, user ID of client 1, secret key of server 2, common key, etc.) are registered as a pair (FIG. 8S1).
1).
【0051】次に、クライアント1の認証情報キャッシ
ュテーブル11、サーバ2の認証情報キャッシュテーブ
ル21の検索において成功した(すなわち、情報が登録
されていた)場合について説明する。Next, the case where the search of the authentication information cache table 11 of the client 1 and the authentication information cache table 21 of the server 2 is successful (that is, information has been registered) will be described.
【0052】クライアント1は、認証情報キャッシュ検
索手段12において、認証情報キャッシュテーブル11
をサーバ2のユーザIDをキーにしてサーバ2の情報を
検索し(図8S1)、検索に成功した場合(図8S1成
功)、図10に示すような認証フローが実施される。In the client 1, the authentication information cache retrieval means 12 uses the authentication information cache table 11
When the information of the server 2 is searched using the user ID of the server 2 as a key (FIG. 8S1) and the search is successful (S1 success in FIG. 8), the authentication flow as shown in FIG. 10 is performed.
【0053】次に、クライアント1は、認証開始トーク
ン生成・送信手段13で、次回の認証確認で使用する乱
数R3を生成し、認証情報キャッシュテーブル11に登
録されている乱数R2および乱数R3を共通鍵で暗号化
したものと、認証情報キャッシュテーブル11に登録さ
れているサーバ2の公開鍵で暗号化された初期認証開始
トークンとを含む2回目以降認証開始トークン(図10
g2)をサーバ2へ送信する(図8S32)。Next, the client 1 uses the authentication start token generation / transmission means 13 to generate a random number R3 to be used in the next authentication confirmation, and uses the random number R2 and the random number R3 registered in the authentication information cache table 11 in common. The second and subsequent authentication start tokens including the one encrypted with the key and the initial authentication start token encrypted with the public key of the server 2 registered in the authentication information cache table 11 (see FIG. 10).
g2) is transmitted to the server 2 (S32 in FIG. 8).
【0054】サーバ2は、認証開始トークン受信手段2
2で、2回目以降認証開始トークン(図10g2)を受
信し(図8S33)、認証情報キャッシュ生成・更新手
段26により受信した2回目以降認証開始トークン(図
10g2)内のサーバ2の公開鍵で暗号化された初期認
証開始トークン部分をキーにして認証情報キャッシュテ
ーブル21を検索する(図8S34)。検索に成功する
と(図S34成功)、認証情報キャッシュテーブル21
に登録されている乱数R2と、共通鍵で復号して抽出し
た2回目以降認証開始トークン(図10g2)中の乱数
R2とが一致することを確認する(図8S35)。The server 2 uses the authentication start token receiving means 2
At 2, the second and subsequent authentication start tokens (FIG. 10g2) are received (FIG. 8S33), and the public key of the server 2 in the second and subsequent authentication start tokens (FIG. 10g2) received by the authentication information cache generating / updating means 26 is used. The authentication information cache table 21 is searched by using the encrypted initial authentication start token portion as a key (S34 in FIG. 8). If the search is successful (S34 in FIG. 14), the authentication information cache table 21
It is confirmed that the random number R2 registered in (1) and the random number R2 in the authentication start token (FIG. 10g2) decrypted and extracted with the common key match (S35 in FIG. 8).
【0055】乱数R2が一致すると(図8S35一
致)、認証応答トークン生成・送信手段24で、次回の
認証確認で使用する共通鍵を生成するための種となる乱
数R4を生成し、乱数R4と認証情報キャッシュテーブ
ル21からの乱数R1とを共通鍵で暗号化し、それを含
む認証応答トークン(図10g3)をクライアント1へ
送信する(図8S36)。また、乱数R4と2回目以降
認証開始トークン(図10g2)から抽出した乱数R3
とに基づいて次回の認証確認で使用する新共通鍵を生成
する(図8S37)。When the random numbers R2 match (S35 in FIG. 8), the authentication response token generation / transmission means 24 generates a random number R4 which is a seed for generating the common key used in the next authentication confirmation, and the generated random number R4 The random number R1 from the authentication information cache table 21 is encrypted with the common key, and the authentication response token (FIG. 10g3) including it is transmitted to the client 1 (S36 in FIG. 8). Also, the random number R4 and the random number R3 extracted from the authentication start token (FIG. 10g2) after the second time.
Based on and, a new common key used in the next authentication confirmation is generated (S37 in FIG. 8).
【0056】次に、サーバ2は、認証情報キャッシュ生
成・更新手段26で、認証情報キャッシュテーブル21
内の情報を更新する。すなわち、乱数R1を次回の認証
確認で使用する共通鍵を生成するための種となる乱数R
4に、乱数R2を次回の認証確認で使用する乱数R3
に、共通鍵を次回の認証確認で使用する新共通鍵に、そ
れぞれ更新する(図8S38)。Next, in the server 2, the authentication information cache generating / updating means 26 causes the authentication information cache table 21.
Update the information in. That is, the random number R1 serving as a seed for generating the common key used in the next authentication confirmation
4. Random number R2 used in the next authentication confirmation in R4
Then, the common key is updated to the new common key used in the next authentication confirmation (S38 in FIG. 8).
【0057】クライアント1は、認証応答トークン受信
手段14で、サーバ2から認証応答トークン(図10g
3)を受信し(図8S39)、受信した認証応答トーク
ン(図10g3)を共通鍵で復号し、認証情報キャッシ
ュテーブル11中の乱数R1と認証応答トークン(図1
0g3)から抽出された乱数R1とが一致することを確
認する(図8S40)。The client 1 uses the authentication response token receiving means 14 to send the authentication response token from the server 2 (see FIG. 10g).
3) is received (FIG. 8S39), the received authentication response token (FIG. 10g3) is decrypted with the common key, and the random number R1 in the authentication information cache table 11 and the authentication response token (FIG. 1).
It is confirmed that the random number R1 extracted from 0g3) matches (S40 in FIG. 8).
【0058】一致することが確認されると(図8S40
一致)、乱数R3と乱数R4とに基づいて次回の認証確
認で使用する新共通鍵を生成する(図8S41)。When it is confirmed that they match (S40 in FIG. 8).
Matching), a new common key used in the next authentication confirmation is generated based on the random numbers R3 and R4 (S41 in FIG. 8).
【0059】次に、クライアント1は、認証情報キャッ
シュ生成・更新手段16で、認証情報キャッシュテーブ
ル11内の情報を更新する。すなわち、乱数R1を次回
の認証確認で使用する共通鍵を生成するための種となる
乱数R4に、乱数R2を次回の認証確認で使用する乱数
R3に、共通鍵を次回の認証確認で使用する新共通鍵
に、それぞれ更新する(図8S42)。Next, the client 1 updates the information in the authentication information cache table 11 by the authentication information cache generating / updating means 16. That is, the random number R1 is used as a seed for generating a common key used in the next authentication confirmation, the random number R2 is used as a random number R3 used in the next authentication confirmation, and the common key is used in the next authentication confirmation. The new common key is updated (S42 in FIG. 8).
【0060】次に、クライアント1の認証情報キャッシ
ュテーブル11の検索において成功(すなわち、情報が
登録されていた)し、サーバ2の認証情報キャッシュテ
ーブル21の検索において失敗した(すなわち、情報が
登録されていなかった)場合について説明する。この場
合には、図11に示す認証フローが実施される。Next, the search of the authentication information cache table 11 of the client 1 succeeds (that is, the information is registered), and the search of the authentication information cache table 21 of the server 2 fails (that is, the information is registered). If not) will be described. In this case, the authentication flow shown in FIG. 11 is performed.
【0061】クライアント1は、認証情報キャッシュ検
索手段12において、認証情報キャッシュテーブル11
をサーバ2のユーザIDをキーにしてサーバ2の情報を
検索し(図8S1)、検索に成功すると(図8S1成
功)、認証開始トークン生成・送信手段13で、次回の
認証確認で使用する乱数R3を生成し、認証情報キャッ
シュテーブル11に登録されている乱数R2および乱数
R3を共通鍵で暗号化したものと、認証情報キャッシュ
テーブル11に登録されているサーバ2の公開鍵で暗号
化された初期認証開始トークンとを含む2回目以降認証
開始トークン(図11g2)をサーバ2へ送信する(図
8S32)。In the client 1, the authentication information cache search means 12 uses the authentication information cache table 11
The user ID of the server 2 is used as a key to search the information of the server 2 (FIG. 8S1). When the search is successful (S1 success in FIG. 8), the authentication start token generation / transmission means 13 uses the random number used for the next authentication confirmation. R3 is generated and the random number R2 and the random number R3 registered in the authentication information cache table 11 are encrypted with a common key, and the public key of the server 2 registered in the authentication information cache table 11 is encrypted. The second and subsequent authentication start tokens (FIG. 11g2) including the initial authentication start token are transmitted to the server 2 (S32 in FIG. 8).
【0062】サーバ2は、認証開始トークン受信手段2
2で、2回目以降認証開始トークン(図11g2)を受
信し(図8S33)、認証情報キャッシュ生成・更新手
段26により受信した2回目以降認証開始トークン(図
11g2)内のサーバ2の公開鍵で暗号化された初期認
証開始トークン部分をキーにして認証情報キャッシュテ
ーブル21を検索する(図8S34)。The server 2 uses the authentication start token receiving means 2
In 2, the second and subsequent authentication start tokens (FIG. 11g2) are received (FIG. 8S33), and the public key of the server 2 in the second and subsequent authentication start tokens (FIG. 11g2) received by the authentication information cache generation / update means 26 is used. The authentication information cache table 21 is searched by using the encrypted initial authentication start token portion as a key (S34 in FIG. 8).
【0063】検索に失敗すると(図S34失敗)、2回
目以降認証開始トークン(図11g2)のサーバ2の公
開鍵で暗号化された初期認証開始トークンを自秘密鍵で
復号し、乱数Raおよび共通鍵の第1の生成情報see
d−Kaを抽出し、認証応答トークン生成・送信手段2
4で、乱数Rb、乱数Rnおよび共通鍵の第2の生成情
報seed−Kbを生成し、乱数Ra、乱数Rb、乱数
Rnおよび共通鍵の第2の生成情報seed−Kbをク
ライアント1の公開鍵で暗号化し、それを含む認証応答
トークン(図11g4)をクライアント1へ送信する
(図8S51)。さらに、共通鍵の第1の生成情報se
ed−Ka、共通鍵の第2の生成情報seed−Kbに
基づいて新共通鍵を生成する(図8S52)。When the search fails (FIG. S34 failure), the initial authentication start token encrypted by the public key of the server 2 of the authentication start token (FIG. 11g2) for the second time and thereafter is decrypted with the private key, and the random number Ra and the common The first generation information seed of the key
Authentication response token generation / transmission means 2 by extracting d-Ka
At 4, the random number Rb, the random number Rn, and the second generation information seed-Kb of the common key are generated, and the second generation information seed-Kb of the random number Ra, the random number Rb, the random number Rn, and the common key is generated as the public key of the client 1. Then, the authentication response token (FIG. 11g4) including the encrypted data is transmitted to the client 1 (S51 in FIG. 8). Furthermore, the first generation information se of the common key
A new common key is generated based on ed-Ka and second generation information seed-Kb of the common key (S52 in FIG. 8).
【0064】次に、サーバ2は、認証情報キャッシュ生
成・更新手段26により、認証情報キャッシュテーブル
21のインデックス部にサーバ2の公開鍵で暗号化され
た初期認証開始トークンを、データ部に、サーバ2のユ
ーザID、乱数Rn、乱数R2、認証情報一式(クライ
アント1の公開鍵、クライアント1のユーザID、サー
バ2の秘密鍵、新共通鍵等)を対にして登録する(図8
S53)。Next, the server 2 causes the authentication information cache generating / updating means 26 to store the initial authentication start token encrypted in the index part of the authentication information cache table 21 with the public key of the server 2 in the data part. 2 user ID, random number Rn, random number R2, and a set of authentication information (public key of client 1, user ID of client 1, secret key of server 2, new common key, etc.) are registered as a pair (FIG. 8).
S53).
【0065】クライアント1は、認証応答トークン受信
手段14で、サーバ2からの認証応答トークン(図11
g4)を受信し、受信した認証応答トークン(図11g
4)を自秘密鍵で復号し、乱数Ra、乱数Rb、乱数R
n、および共通鍵の第2の生成情報seed−Kbを抽
出する(図8S54)。The client 1 uses the authentication response token receiving means 14 to send the authentication response token from the server 2 (see FIG. 11).
g4), and the received authentication response token (Fig. 11g
4) is decrypted with a private key, and a random number Ra, a random number Rb, a random number R
n and the second generation information seed-Kb of the common key are extracted (S54 in FIG. 8).
【0066】さらに、共通鍵の第1の生成情報seed
−Ka、共通鍵の第2の生成情報seed−Kbに基づ
いて新共通鍵を生成する(図8S55)。Further, the first generation information seed of the common key
-Ka, the new common key is generated based on the second generation information seed-Kb of the common key (S55 in FIG. 8).
【0067】次に、クライアント1は、認証応答完了ト
ークン生成・送信手段15で、乱数Rn+1を生成し、
乱数Rbおよび乱数Rn+1を新共通鍵で暗号化し、そ
れを含む認証応答完了トークン(図11g5)をサーバ
2へ送信する(図8S56)。Next, the client 1 uses the authentication response completion token generation / transmission means 15 to generate a random number Rn + 1,
The random number Rb and the random number Rn + 1 are encrypted with the new common key, and the authentication response completion token (FIG. 11g5) including the same is transmitted to the server 2 (S56 in FIG. 8).
【0068】次に、クライアント1は、認証情報キャッ
シュ生成・更新手段16で、認証情報キャッシュテーブ
ル11内の情報を更新する。すなわち、乱数R1を乱数
Rnに、乱数R2を乱数Rn+1に、共通鍵を次回の認
証確認で使用する新共通鍵に、それぞれ更新する(図8
S57)。Next, the client 1 updates the information in the authentication information cache table 11 by the authentication information cache generating / updating means 16. That is, the random number R1 is updated to the random number Rn, the random number R2 is updated to the random number Rn + 1, and the common key is updated to the new common key used in the next authentication confirmation (FIG. 8).
S57).
【0069】サーバ2は、認証応答完了トークン受信手
段25で、認証応答完了トークン(図11g5)を受信
すると、これを新共通鍵で復号し、乱数Rbおよび乱数
Rn+1を抽出する(図8S58)。When the authentication response completion token receiving means 25 of the server 2 receives the authentication response completion token (FIG. 11g5), it decrypts this with the new common key and extracts the random number Rb and the random number Rn + 1 (S58 in FIG. 8).
【0070】次に、サーバ2は、認証情報キャッシュ生
成・更新手段26で認証情報キャッシュテーブル21内
の情報を更新する。すなわち、乱数R2を乱数Rn+1
に更新する(図8S59)。Next, the server 2 updates the information in the authentication information cache table 21 by the authentication information cache generating / updating means 26. That is, the random number R2 is replaced by the random number Rn + 1
Is updated to (S59 in FIG. 8).
【0071】次に、クライアント1の認証情報キャッシ
ュテーブル11の検索において成功(すなわち、情報が
登録されていた)、サーバ2の認証情報キャッシュテー
ブル21の検索においても成功(すなわち、情報が登録
されていた)であるが、クライアント1で、データ部内
の情報に不一致を検出する場合について説明する。この
場合には、図12に示す認証フローが実施される。Next, the search of the authentication information cache table 11 of the client 1 succeeds (that is, the information is registered), and the search of the authentication information cache table 21 of the server 2 also succeeds (that is, the information is registered). However, the case where the client 1 detects a mismatch in the information in the data section will be described. In this case, the authentication flow shown in FIG. 12 is performed.
【0072】クライアント1は、認証情報キャッシュ検
索手段12において、認証情報キャッシュテーブル11
をサーバ2のユーザIDをキーにしてサーバ2の情報を
検索し(図8S1)、検索に成功した場合(図8S1成
功)、クライアント1は、認証開始トークン生成・送信
手段13で、次回の認証確認で使用する乱数R3を生成
し、認証情報キャッシュテーブル11に登録されている
乱数R2および乱数R3を共通鍵で暗号化したものと、
認証情報キャッシュテーブル11に登録されているサー
バ2の公開鍵で暗号化された初期認証開始トークンとを
含む2回目以降認証開始トークン(図12g2)をサー
バ2へ送信する(図8S32)。In the client 1, the authentication information cache search means 12 uses the authentication information cache table 11
When the information of the server 2 is searched using the user ID of the server 2 as a key (FIG. 8S1) and the search is successful (S1 success in FIG. 8), the client 1 uses the authentication start token generation / transmission means 13 to perform the next authentication. A random number R3 used for confirmation is generated, and the random number R2 and the random number R3 registered in the authentication information cache table 11 are encrypted with a common key.
The second and subsequent authentication start tokens (FIG. 12g2) including the initial authentication start token encrypted with the public key of the server 2 registered in the authentication information cache table 11 are transmitted to the server 2 (S32 in FIG. 8).
【0073】サーバ2は、認証開始トークン受信手段2
2で、2回目以降認証開始トークン(図12g2)を受
信し(図8S33)、認証情報キャッシュ生成・更新手
段8により受信した2回目以降認証開始トークン(図1
2g2)内のサーバ2の公開鍵で暗号化された初期認証
開始トークン部分をキーにして認証情報キャッシュテー
ブル21を検索する(図8S34)。検索に成功すると
(図S34成功)、認証情報キャッシュテーブル21に
登録されている乱数R2と、共通鍵で復号して抽出した
2回目以降認証開始トークン(図10g2)中の乱数R
2とが一致することを確認する(図8S35)。The server 2 uses the authentication start token receiving means 2
2, the second and subsequent authentication start tokens (FIG. 12g2) are received (FIG. 8S33), and the second and subsequent authentication start tokens (FIG. 1 S33) received by the authentication information cache generating / updating means 8 are received.
The initial authentication start token portion encrypted by the public key of the server 2 in 2g2) is used as a key to search the authentication information cache table 21 (S34 in FIG. 8). If the search is successful (S34 in FIG. 10 succeeded), the random number R2 registered in the authentication information cache table 21 and the random number R in the authentication start token (FIG. 10g2) after the second decryption extracted by the common key are extracted.
It is confirmed that 2 and 2 match (S35 in FIG. 8).
【0074】乱数R2が一致すると(図8S35一
致)、認証応答トークン生成・送信手段24で、次回の
認証確認で使用する共通鍵を生成するための種となる乱
数R4を生成し、乱数R4と認証情報キャッシュテーブ
ル21からの乱数R1とを共通鍵で暗号化し、それを含
む認証応答トークン(図12g3)をクライアント1へ
送信する(図8S36)。また、乱数R4と2回目以降
認証開始トークン(図12g2)から抽出した乱数R3
とに基づいて次回の認証確認で使用する新共通鍵を生成
する(図8S37)。When the random numbers R2 match (S35 in FIG. 8), the authentication response token generation / transmission means 24 generates a random number R4 which is a seed for generating the common key used in the next authentication confirmation, and the generated random number R4 The random number R1 from the authentication information cache table 21 is encrypted with the common key, and the authentication response token (FIG. 12g3) including it is transmitted to the client 1 (S36 in FIG. 8). Also, the random number R4 and the random number R3 extracted from the authentication start token (FIG. 12g2) after the second time.
Based on and, a new common key used in the next authentication confirmation is generated (S37 in FIG. 8).
【0075】次に、サーバ2は、証情報キャッシュ生成
・更新手段26で、認証情報キャッシュテーブル21内
の情報を更新する。すなわち、乱数R1を次回の認証確
認で使用する共通鍵を生成するための種となる乱数R4
に、乱数R2を次回の認証確認で使用する乱数R3に、
共通鍵を次回の認証確認で使用する新共通鍵に、それぞ
れ更新する(図8S38)。Next, the server 2 updates the information in the authentication information cache table 21 by the certificate information cache generating / updating means 26. That is, the random number R4, which is a seed for generating the common key used in the next authentication confirmation, is the random number R4.
And the random number R2 to the random number R3 used in the next authentication confirmation,
The common key is updated to the new common key used in the next authentication confirmation (S38 in FIG. 8).
【0076】クライアント1は、認証応答トークン受信
手段14で、サーバ2から認証応答トークン(図10g
3)を受信し(図8S39)、受信した認証応答トーク
ン(図10g3)を共通鍵で復号し、認証情報キャッシ
ュテーブル11中の乱数R1と認証応答トークン(図1
0g3)から抽出された乱数R1とが一致することを確
認する(図8S40)。The client 1 uses the authentication response token receiving means 14 to send the authentication response token from the server 2 (see FIG. 10g).
3) is received (FIG. 8S39), the received authentication response token (FIG. 10g3) is decrypted with the common key, and the random number R1 in the authentication information cache table 11 and the authentication response token (FIG. 1).
It is confirmed that the random number R1 extracted from 0g3) matches (S40 in FIG. 8).
【0077】不一致であることが確認されると(図8S
40不一致)、相互認証不成立とみなされ、コネクショ
ン切断処理が実施される。すなわち、クライアント1の
認証情報キャッシュ生成・更新手段16で、認証情報キ
ャッシュテーブル11中のサーバ2の情報は削除される
(図8S71)。When it is confirmed that they do not match (see FIG. 8S).
40 mismatch), it is considered that mutual authentication has not been established, and the connection disconnection process is executed. That is, the authentication information cache generating / updating means 16 of the client 1 deletes the information of the server 2 in the authentication information cache table 11 (S71 in FIG. 8).
【0078】次に、本発明の第2の実施の形態について
図面を参照して説明する。本発明の第2の実施の形態
は、クライアント1の認証情報キャッシュテーブル1
1、サーバ2の認証情報キャッシュテーブル21を利用
するユーザ相互認証方法であって、図8に示される各ス
テップS1〜S71を含むユーザ相互認証方法である。Next, a second embodiment of the present invention will be described with reference to the drawings. In the second embodiment of the present invention, the authentication information cache table 1 of the client 1
1. The user mutual authentication method using the authentication information cache table 21 of the server 2 and the user mutual authentication method including steps S1 to S71 shown in FIG.
【0079】次に、本発明の第3の実施の形態について
図面を参照して説明する。図13は、本発明の第3の実
施の形態を示すブロック図である。図13を参照する
と、本発明の第3の実施の形態は、本発明の第2の実施
の形態の各ステップ(図8のS1〜S71)をコンピュ
ータ100(たとえば、クライアント1、サーバ2)に
実行させるプログラムを記録する記録媒体120であ
る。Next, a third embodiment of the present invention will be described with reference to the drawings. FIG. 13 is a block diagram showing a third embodiment of the present invention. Referring to FIG. 13, in the third embodiment of the present invention, the steps (S1 to S71 in FIG. 8) of the second embodiment of the present invention are performed by the computer 100 (for example, the client 1 and the server 2). The recording medium 120 records a program to be executed.
【0080】ここで、このプログラムは、ステップS
1、S2、S6〜89、S32、S39〜S42、S5
4〜S57、S71を、クライアント1で実行させ、S
3〜S5、S10〜S11、S33〜S38、S51〜
S53、S58〜S59を、サーバ2で実行させるよう
に構成される。Here, this program executes step S
1, S2, S6-89, S32, S39-S42, S5
4 to S57 and S71 are executed by the client 1, and S
3-S5, S10-S11, S33-S38, S51-
The server 2 is configured to execute S53 and S58 to S59.
【0081】また、このプログラムは、クライアント
1、サーバ2の記憶装置にロードされ、さらに、主記憶
にロードされて実行される。The program is loaded into the storage devices of the client 1 and the server 2 and further loaded into the main memory for execution.
【0082】[0082]
【発明の効果】本発明の効果は、ユーザ認証において、
性能に影響を与えずに信頼度が向上することである。The effects of the present invention are as follows:
The reliability is improved without affecting the performance.
【0083】その理由は、認証フローにおいて、認証ご
とに共通鍵を更新するので(たとえば、上述したよう
に、乱数R3および乱数R4から新共通鍵)、共通鍵が
盗聴(解読)される可能性が低くなるからである。The reason is that the common key is updated for each authentication in the authentication flow (for example, as described above, the random number R3 and the random number R4 are the new common key), so that the common key may be intercepted (deciphered). Is low.
【図1】本発明の第1の実施の形態を示すブロック図で
ある。FIG. 1 is a block diagram showing a first embodiment of the present invention.
【図2】本発明が適用されるクライアント・サーバシス
テムを示すブロック図、および通信シーケンスの説明図
である。FIG. 2 is a block diagram showing a client / server system to which the present invention is applied, and an explanatory diagram of a communication sequence.
【図3】クライアントの認証情報キャッシュテーブルの
構成を示す説明図である。FIG. 3 is an explanatory diagram showing a configuration of a client authentication information cache table.
【図4】初期認証開始トークン、および2回目以降認証
開始トークンの内容を示す説明図である。FIG. 4 is an explanatory diagram showing the contents of an initial authentication start token and second and subsequent authentication start tokens.
【図5】初期認証応答トークン、および2回目以降認証
応答トークンの内容を示す説明図である。FIG. 5 is an explanatory diagram showing the contents of the initial authentication response token and the second and subsequent authentication response tokens.
【図6】認証応答完了トークンの内容を示す説明図であ
る。FIG. 6 is an explanatory diagram showing the content of an authentication response completion token.
【図7】サーバの認証情報キャッシュテーブルの構成を
示す説明図である。FIG. 7 is an explanatory diagram showing a configuration of an authentication information cache table of a server.
【図8】本発明の第1の実施の形態の動作を示すフロー
チャートである。FIG. 8 is a flowchart showing an operation of the first exemplary embodiment of the present invention.
【図9】本発明の第1の実施の形態の動作の認証フロー
を示す説明図である。FIG. 9 is an explanatory diagram showing an authentication flow of an operation according to the first embodiment of the present invention.
【図10】本発明の第1の実施の形態の動作の認証フロ
ーを示す説明図である。FIG. 10 is an explanatory diagram showing an authentication flow of an operation according to the first embodiment of the present invention.
【図11】本発明の第1の実施の形態の動作の認証フロ
ーを示す説明図である。FIG. 11 is an explanatory diagram showing an authentication flow of an operation according to the first embodiment of the present invention.
【図12】本発明の第1の実施の形態の動作の認証フロ
ーを示す説明図である。FIG. 12 is an explanatory diagram showing an authentication flow of operation according to the first embodiment of the present invention.
【図13】本発明の第3の実施の形態を示すブロック図
である。FIG. 13 is a block diagram showing a third embodiment of the present invention.
1 クライアント 2 サーバ 3 ネットワーク 10 認証部 11 認証情報キャッシュテーブル 12 認証情報キャッシュ検索手段 13 認証開始トークン生成・送信手段 14 認証応答トークン受信手段 15 認証応答完了トークン生成・送信手段 16 認証情報キャッシュ生成・更新手段 17 記憶手段 20 認証部 21 認証情報キャッシュテーブル 22 認証開始トークン受信手段 23 認証情報キャッシュ検索手段 24 認証応答トークン生成・送信手段 25 認証応答完了トークン受信手段 26 認証情報キャッシュ生成・更新手段 27 記憶手段 100 コンピュータ 120 記録媒体 1 client 2 servers 3 network 10 Authentication Department 11 Authentication information cache table 12 Authentication information cache search means 13 Authentication start token generation / transmission means 14 Authentication response token receiving means 15 Authentication response completion token generation / transmission means 16 Authentication information cache generation / update means 17 storage means 20 Authentication Department 21 Authentication information cache table 22 Authentication start token receiving means 23 Authentication information cache search means 24 Authentication response token generation / transmission means 25 Authentication response completion token receiving means 26 Authentication Information Cache Generation / Update Means 27 storage means 100 computers 120 recording media
Claims (6)
を、データ部に第2の認証情報を格納する第2のキャッ
シュテーブルを備え、前記初期認証開始トークンに対す
る第1の認証応答トークン、または、2回目以降認証開
始トークンに対する第2の認証応答トークンを送信し、
認証応答完了トークンを受信するサーバとインデックス
部に前記サーバのユーザIDを、データ部に第1の認証
情報を格納する第1のキャッシュテーブルを備え、初め
て認証を要求する前記初期認証開始トークン、2回以降
に認証を要求する前記2回目以降認証開始トークン、認
証の完了を示す前記認証応答完了トークンを送信するク
ライアントと、 を有し、 前記クライアントが、 前記第1のキャッシュテーブルに前記サーバのユーザI
Dに対応する前記第1の認証情報が存在するかどうかを
検索し、 検索に失敗すると、生成情報Kaを生成し、生成情報K
aを含む前記初期認証開始トークンを前記サーバに送信
し、 前記サーバから生成情報Kb、乱数R1を含む前記第1
の認証応答トークンを受信すると、乱数R2を作成し、
生成情報Ka、生成情報Kbから共通鍵を生成し、生成
した共通鍵で暗号化した乱数R2を含む前記認証応答完
了トークンを前記サーバに送信し、 前記第1のキャッシュテーブルの前記サーバのユーザI
Dに対応するデータ部に乱数R1、乱数R2、生成した
共通鍵を含む前記第1の認証情報を格納し、 前記第1のキャッシュテーブルの検索に成功すると、乱
数R3を生成し、前記第1のキャッシュテーブルからの
共通鍵で暗号化した乱数R3、前記第1のキャッシュテ
ーブルからのR2、前記初期認証開始トークンを含む前
記2回目以降認証開始トークンを送信し、 前記サーバから乱数R1、乱数R4を含む前記第2の認
証応答トークンを受信すると、乱数R3、前記第2の認
証応答トークンからの乱数R4から新共通鍵を生成し、
前記第1のキャッシュテーブルの前記サーバのユーザI
Dに対応するデータ部の前記第1の認証情報の乱数R
1、乱数R2、共通鍵をそれぞれ乱数R4、乱数R3、
新共通鍵で置換し、 前記サーバが、 前記初期認証開始トークンを受信すると、乱数R1、生
成情報Kbを生成し、乱数R1、生成情報Kbを含む前
記第1の認証応答トークンを送信し、 生成情報Kb、前記初期認証開始トークンからの生成情
報Kaから共通鍵を生成し、 前記認証応答完了トークンを受信すると、生成した共通
鍵で復号し、前記第2のキャッシュテーブルのインデッ
クス部に前記初期認証トークンを、データ部に乱数R
1、乱数R2、生成した共通鍵を含む前記第2の認証情
報を格納し、 前記2回目以降認証開始トークンを受信すると、前記第
2のキャッシュテーブルに、前記2回目以降認証開始ト
ークンに含まれる前記初期開始認証トークンに対応する
前記第2の認証情報が存在するかどうかを検索し、検索
に成功した場合、前記第2のキャッシュテーブル内の乱
数R2と、前記2回目以降認証開始トークン内の乱数R
2とが一致すると、乱数R4を生成し、前記第2のキャ
ッシュテーブルからの共通鍵で暗号化した乱数R4、前
記第2のキャッシュテーブルからのR1を含む前記第2
の認証応答トークンを送信し、生成した乱数R4、前記
2回目以降認証開始トークンからの乱数R3から新共通
鍵を生成し、前記第2のキャッシュテーブルの前記初期
認証開始トークンに対応するデータ部の前記第2の認証
情報の乱数R1、乱数R2、共通鍵をそれぞれ乱数R
4、乱数R3、新共通鍵で置換する ことを特徴とするユ
ーザ相互認証システム。1. An initial authentication start token is provided in the index section.
Is stored in the data section of the second cache storing the second authentication information.
It is equipped with a stable and supports the initial authentication start token.
1st authentication response token or 2nd authentication
Send a second authentication response token to the start token,
Server and index that receive authentication response completion token
The user ID of the server in the section, and the first authentication in the data section
It has a first cache table for storing information,
Initial authentication start token that requires authentication by 2 times or more
Authentication request token from the second time onwards
Certificate that sends the authentication response completion token indicating completion of the certificate.
A client , wherein the client is the user I of the server in the first cache table.
Whether the first authentication information corresponding to D exists
If the search is performed and the search is unsuccessful, the generation information Ka is generated and the generation information K is generated.
send the initial authentication start token including a to the server
And, generation information Kb from the server, the first containing the random number R1
When the authentication response token of is received, a random number R2 is created,
Generate a common key from the generation information Ka and the generation information Kb, and generate
The authentication response complete including the random number R2 encrypted with the common key
Sends a completion token to the server, user I of the server of the first cache table
Generated a random number R1 and a random number R2 in the data part corresponding to D.
When the first authentication information including the common key is stored and the first cache table is successfully searched, a random number is stored.
Generate a number R3 from the first cache table
A random number R3 encrypted with a common key, the first cache
R2 from the cable, before including the initial authentication start token
Note that the second and later authentication authentication tokens are transmitted, and the second authentication including the random number R1 and the random number R4 is transmitted from the server.
When the certificate response token is received, the random number R3, the second authentication
Generate a new common key from the random number R4 from the certificate response token,
User I of the server in the first cache table
Random number R of the first authentication information in the data portion corresponding to D
1, random number R2, common key is random number R4, random number R3,
When the server replaces with a new common key and the server receives the initial authentication start token, the random number R1
Before generating the generation information Kb and including the random number R1 and the generation information Kb
The first authentication response token is transmitted, and the generation information Kb and the generation information from the initial authentication start token are transmitted.
When a common key is generated from the information Ka and the authentication response completion token is received , the generated common key is generated.
Decrypt with the key and index the second cache table.
The initial authentication token in the box part and the random number R in the data part.
1, the random number R2, the second authentication information including the generated common key
Information and stores the authentication start token after the second time,
In the second cache table, the authentication start
Corresponds to the initial start authentication token included in Kuhn
Search for the presence of the second authentication information, and search
Is successful, the disturbance in the second cache table
Number R2 and random number R in the authentication start token after the second time
When 2 and 2 match, a random number R4 is generated and the second
Random number R4 encrypted with the common key from the cache table, before
The second including R1 from the second cache table
Random number R4 generated by sending the authentication response token of
New common from the random number R3 from the authentication start token from the second time
Generate a key and initialize the second cache table
The second authentication of the data part corresponding to the authentication start token
Random number R1 of information, random number R2, common key respectively
4. A user mutual authentication system characterized by replacement with a random number R3 and a new common key .
クンを受信し、前記第1のキャッシュテーブルの検索に
成功し、前記第2の認証応答トークンに含まれる乱数R
1と、前記第1のキャッシュテーブル内の乱数R1とが
不一致であると、認証が不成立であるとして、前記第1
のキャッシュテーブル内の対応する前記第1の認証情報
を削除する前記クライアントを有す ることを特徴とする
請求項1記載のユーザ相互認証システム。2. The second authentication response token from the server
Kun is received and the first cache table is searched for
Successful random number R contained in the second authentication response token
1 and the random number R1 in the first cache table
If they do not match, the first
Corresponding first authentication information in the cache table of
User mutual authentication system according to claim 1, wherein the that have a said client to delete.
を、データ部に第2の認証情報を格納する第2のキャッ
シュテーブルを備え、前記初期認証開始トークンに対す
る第1の認証応答トークン、または、2回目以降認証開
始トークンに対する第2の認証応答トークンを送信し、
認証応答完了トークンを受信するサーバとインデックス
部に前記サーバのユーザIDを、データ部に第1の認証
情報を格納する第1のキャッシュテーブルを備え、初め
て認証を要求する前記初期認証開始トークン、2回以降
に認証を要求する前記2回目以降認証開始トークン、認
証の完了を示す前記認証応答完了トークンを送信するク
ライアントとを利用し、 前記クライアントが、 前記第1のキャッシュテーブルに前記サーバのユーザI
Dに対応する前記第1の認証情報が存在するかどうかを
検索するステップと、 検索に失敗すると、生成情報Kaを生成し、生成情報K
aを含む前記初期認証開始トークンを前記サーバに送信
するステップと、 前記サーバから生成情報Kb、乱数R1を含む前記第1
の認証応答トークンを受信すると、乱数R2を作成し、
生成情報Ka、生成情報Kbから共通鍵を生成し、生成
した共通鍵で暗号化した乱数R2を含む前記認証応答完
了トークンを前記サーバに送信するステップと、 前記第1のキャッシュテーブルの前記サーバのユーザI
Dに対応するデータ部に乱数R1、乱数R2、生成した
共通鍵を含む前記第1の認証情報を格納するステップ
と、 前記第1のキャッシュテーブルの検索に成功すると、乱
数R3を生成し、前記第1のキャッシュテーブルからの
共通鍵で暗号化した乱数R3、前記第1のキャッシュテ
ーブルからのR2、前記初期認証開始トークンを含む前
記2回目以降認証開始トークンを送信するステップと、 前記サーバから乱数R1、乱数R4を含む前記第2の認
証応答トークンを受信すると、乱数R3、前記第2の認
証応答トークンからの乱数R4から新共通鍵を生成し、
前記第1のキャッシュテーブルの前記サーバのユーザI
Dに対応するデータ部の前記第1の認証情報の乱数R
1、乱数R2、共通鍵をそれぞれ乱数R4、乱数R3、
新共通鍵で置換するステップと、 前記サーバが、 前記初期認証開始トークンを受信すると、乱数R1、生
成情報Kbを生成し、乱数R1、生成情報Kbを含む前
記第1の認証応答トークンを送信するステップと、 生成情報Kb、前記初期認証開始トークンからの生成情
報Kaから共通鍵を生成するステップと、 前記認証応答完了トークンを受信すると、生成した共通
鍵で復号し、前記第2のキャッシュテーブルのインデッ
クス部に前記初期認証トークンを、データ部に乱数R
1、乱数R2、生成した共通鍵を含む前記第2の認証情
報を格納し、 前記2回目以降認証開始トークンを受信すると、前記第
2のキャッシュテーブルに、前記2回目以降認証開始ト
ークンに含まれる前記初期開始認証トークンに対応する
前記第2の認証情報が存在するかどうかを検索し、検索
に成功した場合、前記第2のキャッシュテーブル内の乱
数R2と、前記2回目以降認証開始トークン内の乱数R
2とが一致すると、乱数R4を生成し、前記第2のキャ
ッシュテーブルからの共通鍵で暗号化した乱数R4、前
記第2のキャッシュテーブルからのR1を含む前記第2
の認証応答トークンを送信するステップと、 生成した乱数R4、前記2回目以降認証開始トークンか
らの乱数R3から新共通鍵を生成し、前記第2のキャッ
シュテーブルの前記初期認証開始トークンに対応するデ
ータ部の前記第2の認証情報の乱数R1、乱数R2、共
通鍵をそれぞれ乱数R4、乱数R3、新共通鍵で置換す
るステップと、 を含むことを特徴とするユーザ相互認証方法。3. Initial authentication start token in the index section
Is stored in the data section of the second cache storing the second authentication information.
It is equipped with a stable and supports the initial authentication start token.
1st authentication response token or 2nd authentication
Send a second authentication response token to the start token,
Server and index that receive authentication response completion token
The user ID of the server in the section, and the first authentication in the data section
It has a first cache table for storing information,
Initial authentication start token that requires authentication by 2 times or more
Authentication request token from the second time onwards
Certificate that sends the authentication response completion token indicating completion of the certificate.
Utilizing the client, the client, user I of the server to the first cache table
Whether the first authentication information corresponding to D exists
The step of searching and the generation information Ka when the search fails
send the initial authentication start token including a to the server
And the first information including the generation information Kb and the random number R1 from the server.
When the authentication response token of is received, a random number R2 is created,
Generate a common key from the generation information Ka and the generation information Kb, and generate
The authentication response complete including the random number R2 encrypted with the common key
Sending an end token to the server, and the user I of the server in the first cache table.
Generated a random number R1 and a random number R2 in the data part corresponding to D.
Storing the first authentication information including a common key
If the search of the first cache table is successful,
Generate a number R3 from the first cache table
A random number R3 encrypted with a common key, the first cache
R2 from the cable, before including the initial authentication start token
The step of transmitting an authentication start token after the second time, and the second authentication including the random number R1 and the random number R4 from the server.
When the certificate response token is received, the random number R3, the second authentication
Generate a new common key from the random number R4 from the certificate response token,
User I of the server in the first cache table
Random number R of the first authentication information in the data portion corresponding to D
1, random number R2, common key is random number R4, random number R3,
Replacing with a new common key; and when the server receives the initial authentication start token, a random number R1
Before generating the generation information Kb and including the random number R1 and the generation information Kb
The step of transmitting the first authentication response token, the generation information Kb, and the generation information from the initial authentication start token.
The step of generating a common key from the information Ka and the generated common key when the authentication response completion token is received.
Decrypt with the key and index the second cache table.
The initial authentication token in the box part and the random number R in the data part.
1, the random number R2, the second authentication information including the generated common key
Information and stores the authentication start token after the second time,
In the second cache table, the authentication start
Corresponds to the initial start authentication token included in Kuhn
Search for the presence of the second authentication information, and search
Is successful, the disturbance in the second cache table
Number R2 and random number R in the authentication start token after the second time
When 2 and 2 match, a random number R4 is generated and the second
Random number R4 encrypted with the common key from the cache table, before
The second including R1 from the second cache table
The step of transmitting the authentication response token, and the generated random number R4, whether the authentication start token is the second time or later.
A new common key is generated from the random number R3 from
Corresponding to the initial authentication start token of the stable
The random number R1 and the random number R2 of the second authentication information of the data unit
Replace the common key with random number R4, random number R3, and new common key, respectively
And a user mutual authentication method comprising the steps of :.
記第2の認証応答トークンを受信し、前記第1のキャッ
シュテーブルの検索に成功し、前記第2の認証応答トー
クンに含まれる乱数R1と、前記第1のキャッシュテー
ブル内の乱数R1とが不一致であると、認証が不成立で
あるとして、前記第1のキャッシュテーブル内の対応す
る前記第1の認証情報を削除するステップを含むことを
特徴とする請求項3記載のユーザ相互認証方法。 4. The client is in front of the server.
The second authentication response token is received, and the first CAP is received.
Succeeded in the table search, and the second authentication response
The random number R1 included in the
If the random number R1 in the bull does not match, the authentication fails.
If there is a corresponding one in the first cache table,
4. The user mutual authentication method according to claim 3, further comprising the step of deleting the first authentication information .
を、データ部に第2の認証情報を格納する第2のキャッ
シュテーブルを備え、前記初期認証開始トークンに対す
る第1の認証応答トークン、または、2回目以降認証開
始トークンに対する第2の認証応答トークンを送信し、
認証応答完了トークンを受信するサーバとインデックス
部に前記サーバのユーザIDを、データ部に第1の認証
情報を格納する第1のキャッシュテーブルを備え、初め
て認証を要求する前記初期認証開始トークン、2回以降
に認証を要求する前記2回目以降認証開始トークン、認
証の完了を示す前記認証応答完了トークンを送信するク
ライアントとを利用し、 前記第1のキャッシュテーブルに前記サーバのユーザI
Dに対応する前記第1の認証情報が存在するかどうかを
検索するステップと、 検索に失敗すると、生成情報Kaを生成し、生成情報K
aを含む前記初期認証開始トークンを前記サーバに送信
するステップと、 前記サーバから生成情報Kb、乱数R1を含む前記第1
の認証応答トークンを受信すると、乱数R2を作成し、
生成情報Ka、生成情報Kbから共通鍵を生成し、生成
した共通鍵で暗号化した乱数R2を含む前記認証応答完
了トークンを前記サーバに送信するステップと、 前記第1のキャッシュテーブルの前記サーバのユーザI
Dに対応するデータ部に乱数R1、乱数R2、生成した
共通鍵を含む前記第1の認証情報を格納するステップ
と、 前記第1のキャッシュテーブルの検索に成功すると、乱
数R3を生成し、前記第1のキャッシュテーブルからの
共通鍵で暗号化した乱数R3、前記第1のキャッシュテ
ーブルからのR2、前記初期認証開始トークンを含む前
記2回目以降認証開始トークンを送信するステップと、 前記サーバから乱数R1、乱数R4を含む前記第2の認
証応答トークンを受信すると、乱数R3、前記第2の認
証応答トークンからの乱数R4から新共通鍵を生成し、
前記第1のキャッシュテーブルの前記サーバのユーザI
Dに対応するデータ部の前記第1の認証情報の乱数R
1、乱数R2、共通鍵をそれぞれ乱数R4、乱数R3、
新共通鍵で置換するステップと、を前記クライントに実
行させ、 前記初期認証開始トークンを受信すると、乱数R1、生
成情報Kbを生成し、乱数R1、生成情報Kbを含む前
記第1の認証応答トークンを送信するステップと、 生成情報Kb、前記初期認証開始トークンからの生成情
報Kaから共通鍵を生成するステップと、 前記認証応答完了トークンを受信すると、生成した共通
鍵で復号し、前記第2のキャッシュテーブルのインデッ
クス部に前記初期認証トークンを、データ部に乱数R
1、乱数R2、生成した共通鍵を含む前記第2の認証情
報を格納し、 前記2回目以降認証開始トークンを受信すると、前記第
2のキャッシュテーブルに、前記2回目以降認証開始ト
ークンに含まれる前記初期開始認証トークンに対応する
前記第2の認証情報が存在するかどうかを検索し、検索
に成功した場合、前記第2のキャッシュテーブル内の乱
数R2と、前記2回目以降認証開始トークン内の乱数R
2とが一致すると、乱数R4を生成し、前記第2のキャ
ッシュテーブルからの共通鍵で暗号化した乱数R4、前
記第2のキャッシュテーブルからのR1を含む前記第2
の認証応答トークンを送信するステップと、 生成した乱数R4、前記2回目以降認証開始トークンか
らの乱数R3から新共通鍵を生成し、前記第2のキャッ
シュテーブルの前記初期認証開始トークンに対応するデ
ータ部の前 記第2の認証情報の乱数R1、乱数R2、共
通鍵をそれぞれ乱数R4、乱数R3、新共通鍵で置換す
るステップと、 を前記サーバに実行させる プログラムを記録することを
特徴とする記録媒体。5. An initial authentication start token is provided in the index section.
Is stored in the data section of the second cache storing the second authentication information.
It is equipped with a stable and supports the initial authentication start token.
1st authentication response token or 2nd authentication
Send a second authentication response token to the start token,
Server and index that receive authentication response completion token
The user ID of the server in the section, and the first authentication in the data section
It has a first cache table for storing information,
Initial authentication start token that requires authentication by 2 times or more
Authentication request token from the second time onwards
Certificate that sends the authentication response completion token indicating completion of the certificate.
And a client user I of the server in the first cache table.
Whether the first authentication information corresponding to D exists
The step of searching and the generation information Ka when the search fails
send the initial authentication start token including a to the server
And the first information including the generation information Kb and the random number R1 from the server.
When the authentication response token of is received, a random number R2 is created,
Generate a common key from the generation information Ka and the generation information Kb, and generate
The authentication response complete including the random number R2 encrypted with the common key
Sending an end token to the server, and the user I of the server in the first cache table.
Generated a random number R1 and a random number R2 in the data part corresponding to D.
Storing the first authentication information including a common key
If the search of the first cache table is successful,
Generate a number R3 from the first cache table
A random number R3 encrypted with a common key, the first cache
R2 from the cable, before including the initial authentication start token
The step of transmitting an authentication start token after the second time, and the second authentication including the random number R1 and the random number R4 from the server.
When the certificate response token is received, the random number R3, the second authentication
Generate a new common key from the random number R4 from the certificate response token,
User I of the server in the first cache table
Random number R of the first authentication information in the data portion corresponding to D
1, random number R2, common key is random number R4, random number R3,
Replace the step with the new common key to the client.
It is a row, upon receiving the initial start authentication token, the random number R1, raw
Before generating the generation information Kb and including the random number R1 and the generation information Kb
The step of transmitting the first authentication response token, the generation information Kb, and the generation information from the initial authentication start token.
The step of generating a common key from the information Ka and the generated common key when the authentication response completion token is received.
Decrypt with the key and index the second cache table.
The initial authentication token in the box part and the random number R in the data part.
1, the random number R2, the second authentication information including the generated common key
Information and stores the authentication start token after the second time,
In the second cache table, the authentication start
Corresponds to the initial start authentication token included in Kuhn
Search for the presence of the second authentication information, and search
Is successful, the disturbance in the second cache table
Number R2 and random number R in the authentication start token after the second time
When 2 and 2 match, a random number R4 is generated and the second
Random number R4 encrypted with the common key from the cache table, before
The second including R1 from the second cache table
The step of transmitting the authentication response token, and the generated random number R4, whether the authentication start token is the second time or later.
A new common key is generated from the random number R3 from
Corresponding to the initial authentication start token of the stable
Random number R1 before Symbol second authentication information over data portion, a random number R2, co
Replace the common key with random number R4, random number R3, and new common key, respectively
Recording medium characterized by recording a program for executing the steps that, to the server.
ークンを受信し、前記第1のキャッシュテーブルの検索
に成功し、前記第2の認証応答トークンに含まれる乱数
R1と、前記第1のキャッシュテーブル内の乱数R1と
が不一致であると、認証が不成立であるとして、前記第
1のキャッシュテーブル内の対応する前記第1の認証情
報を削除するステップを前記クライアントに実行させる
前記プログラムを記録することを特徴とする請求項5記
載の記録媒体。 6. The second authentication response packet from the server.
Khun is received and the first cache table is searched
Successful, and the random number included in the second authentication response token
R1 and a random number R1 in the first cache table
If the passwords do not match, the
Corresponding first authentication information in one cache table
The recording medium according to claim 5, wherein the program that causes the client to execute a step of deleting information is recorded.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP14687899A JP3498008B2 (en) | 1999-05-26 | 1999-05-26 | User mutual authentication system, user mutual authentication method, and recording medium |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP14687899A JP3498008B2 (en) | 1999-05-26 | 1999-05-26 | User mutual authentication system, user mutual authentication method, and recording medium |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2000339270A JP2000339270A (en) | 2000-12-08 |
| JP3498008B2 true JP3498008B2 (en) | 2004-02-16 |
Family
ID=15417620
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP14687899A Expired - Fee Related JP3498008B2 (en) | 1999-05-26 | 1999-05-26 | User mutual authentication system, user mutual authentication method, and recording medium |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3498008B2 (en) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4604418B2 (en) * | 2001-07-26 | 2011-01-05 | パナソニック株式会社 | Communication apparatus and communication method |
| JP2003067326A (en) * | 2001-08-27 | 2003-03-07 | Sony Corp | Resource distribution system on network and mutual authentication system |
| JP4551202B2 (en) * | 2004-12-07 | 2010-09-22 | 株式会社日立製作所 | Ad hoc network authentication method and wireless communication terminal thereof |
| KR101137523B1 (en) * | 2011-09-26 | 2012-04-20 | 유승훈 | Media, terminal and server for authentication and method for authenticating using the sames |
| WO2016194382A1 (en) * | 2015-06-04 | 2016-12-08 | 典平 露崎 | Uniqueness-attaining apparatus that utilizes spontaneous decay of radioisotope |
| JP6321723B2 (en) | 2015-06-04 | 2018-05-09 | 株式会社クァンタリオン | A device that realizes uniqueness using the natural decay of radioisotopes |
| JP7210943B2 (en) * | 2017-09-27 | 2023-01-24 | 株式会社デンソー | electronic controller |
-
1999
- 1999-05-26 JP JP14687899A patent/JP3498008B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2000339270A (en) | 2000-12-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6601170B1 (en) | Secure internet user state creation method and system with user supplied key and seeding | |
| US6920560B2 (en) | Secure network user states | |
| EP2491672B1 (en) | Low-latency peer session establishment | |
| CN110324143A (en) | Data transmission method, electronic equipment and storage medium | |
| JP3278612B2 (en) | User mutual authentication device, client device and server device | |
| US20070255951A1 (en) | Token Based Multi-protocol Authentication System and Methods | |
| WO1998045975A9 (en) | Bilateral authentication and information encryption token system and method | |
| KR20070102632A (en) | Data communication system, alternate system server, computer program, and data communication method | |
| CN113541935B (en) | Encryption cloud storage method, system, equipment and terminal supporting key escrow | |
| JP2003530635A (en) | System and method for securely storing confidential information, and digital content distribution device and server used in the system and method | |
| JP4344957B2 (en) | Processing distribution system, authentication server, distributed server, and processing distribution method | |
| JP4047573B2 (en) | Electronic information management apparatus and program | |
| JP2001186122A (en) | Authentication system and authentication method | |
| CN111953490B (en) | Digital signature method and system based on block chain technology | |
| CN111192050B (en) | Digital asset private key storage and extraction method and device | |
| CN114417073B (en) | Neighbor node query method and device of encryption graph and electronic equipment | |
| JP3498008B2 (en) | User mutual authentication system, user mutual authentication method, and recording medium | |
| JP4884509B2 (en) | Content management server, content management system, and content management method | |
| JP4637612B2 (en) | Identification information generation management device, system, and program | |
| Resende et al. | PUF-based mutual multifactor entity and transaction authentication for secure banking | |
| JP3872616B2 (en) | User authentication method on the Internet using a shared key encryption IC card | |
| JP2004013560A (en) | Authentication system, communication terminal, and server | |
| JP2005051614A (en) | Information management system, key distribution server, information management method, and program | |
| KR102357595B1 (en) | Blockchain-based authentication system and method for preventing interception hacking attacks | |
| JP4727353B2 (en) | Identification information generation management device, system, and program |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20031104 |
|
| LAPS | Cancellation because of no payment of annual fees |