JP4140617B2 - Authentication system using authentication recording medium and method of creating authentication recording medium - Google Patents

Authentication system using authentication recording medium and method of creating authentication recording medium Download PDF

Info

Publication number
JP4140617B2
JP4140617B2 JP2005118704A JP2005118704A JP4140617B2 JP 4140617 B2 JP4140617 B2 JP 4140617B2 JP 2005118704 A JP2005118704 A JP 2005118704A JP 2005118704 A JP2005118704 A JP 2005118704A JP 4140617 B2 JP4140617 B2 JP 4140617B2
Authority
JP
Japan
Prior art keywords
authentication
user
password
recording medium
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2005118704A
Other languages
Japanese (ja)
Other versions
JP2005237037A (en
Inventor
紀之 荒木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2005118704A priority Critical patent/JP4140617B2/en
Publication of JP2005237037A publication Critical patent/JP2005237037A/en
Application granted granted Critical
Publication of JP4140617B2 publication Critical patent/JP4140617B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Description

この発明は、オープンネットワークシステムにおけるセキュリティに関するものであり、特にサーバまたは受信端末装置により実行される認証方法、認証用記録媒体を用いた認証システムおよび認証用記録媒体の作成方法に関する。   The present invention relates to security in an open network system, and more particularly to an authentication method executed by a server or a receiving terminal device, an authentication system using an authentication recording medium, and a method of creating an authentication recording medium.

従来の認証方法は、サーバに予め登録され、管理されているユーザのID、パスワードと、ユーザから送信されてきたIDとパスワードを比較し、両者が一致する場合に、ユーザ本人であることを確認する認証を行っていた。例えば、図8に、特開平11−149452号公報に開示された認証方法の処理フローチャートを示す。特開平11−149452号公報に開示された認証方法によると、端末装置はログイン名を暗号鍵として暗号化した(S805、S806)パスワードをホスト装置に送信する。ホスト装置は、予め登録されているログイン名を暗号鍵としてパスワードを暗号化する(S808)。そして、端末装置にて暗号化されて送信されたパスワードと、ホスト装置にて暗号化されたパスワードを比較して(S809)認証を行うものである。   The conventional authentication method compares the ID and password of a user registered and managed in advance with the server and the ID and password sent from the user, and confirms the identity of the user if they match. Authentication was performed. For example, FIG. 8 shows a processing flowchart of the authentication method disclosed in Japanese Patent Laid-Open No. 11-149542. According to the authentication method disclosed in Japanese Patent Application Laid-Open No. 11-149492, the terminal device encrypts the login name as an encryption key (S805, S806) and transmits the password to the host device. The host device encrypts the password using the login name registered in advance as an encryption key (S808). Then, the password transmitted after being encrypted by the terminal device is compared with the password encrypted by the host device (S809) to perform authentication.

また、特開平7−325785号公報に開示された認証方法によると、クライアントは、ユーザから入力されたIDとパスワード、およびサーバから発行された乱数を、サーバの公開鍵(Kp)で暗号化してサーバへ送信する。サーバは自分の秘密鍵(Ks)で、クライアントから送信されたID、パスワード、乱数を復号化して、この復号化された乱数とサーバが発行した乱数が一致するか確認して認証を行うものである。   According to the authentication method disclosed in Japanese Patent Laid-Open No. 7-325785, the client encrypts the ID and password input by the user and the random number issued by the server with the server public key (Kp). Send to server. The server decrypts the ID, password, and random number sent from the client with its own private key (Ks), and checks whether the decrypted random number matches the random number issued by the server for authentication. is there.

また、特開平5−282349号公報には、例えば銀行オンラインシステムに採用されるコンピュータシステムの安全保証方式に関し、盗難や偽造によるカードの不正使用を防止するために磁気カード(キャッシュカード)に暗号化した暗証番号を記録しておき、この磁気カードに記録された暗号化されている暗証番号を現金自動支払い機(CD)や自動窓口装置(ATM)等の端末装置に読取らせ、その読取った暗号化されている暗証番号から復元した通常の暗証番号と端末装置のキーボードから入力した暗証番号とを比較し、それらが一致したときに業務を実行できるようにすることが記載されている。   Japanese Laid-Open Patent Publication No. 5-282349 discloses a computer system security guarantee method employed in, for example, a bank online system, and encrypts a magnetic card (cash card) to prevent unauthorized use of the card due to theft or forgery. The personal identification number recorded is recorded, and the encrypted personal identification number recorded on the magnetic card is read by a terminal device such as an automatic teller machine (CD) or automatic teller machine (ATM). The document describes that a normal password restored from an encrypted password is compared with a password entered from a keyboard of a terminal device so that a job can be executed when they match.

特開平11−149452号公報(第4−5頁、図2)Japanese Patent Laid-Open No. 11-149542 (page 4-5, FIG. 2) 特開平7−325785号公報(第4−5頁、図3)JP-A-7-325785 (page 4-5, FIG. 3) 特開平5−282349号公報(第2頁、図1−2)JP-A-5-282349 (2nd page, Fig. 1-2)

ところで、従来の認証方法によると、サーバにはユーザのID、パスワードが登録されており、ユーザから送信されたID、パスワードとサーバに登録されたID、パスワードを比較して一致を確認するという点で、サーバ主導で認証が行われている。しかしながら、多数のユーザのID、パスワードがサーバの管理下にあるため、サーバに対するハッキングやサーバ管理者の不正行為により多数のユーザのID、パスワードが漏洩する可能性があり、セキュリティやプライバシー保護の観点から改善が必要である。特にユーザのパスワードが漏洩すると、ネットワークを利用した電子商取引や電子メールなど通信の秘密が保証されないという点でユーザのリスクが大きくなる。   By the way, according to the conventional authentication method, the user ID and password are registered in the server, and the ID and password transmitted from the user are compared with the ID and password registered in the server to confirm the match. So, server-led authentication is performed. However, since many user IDs and passwords are under the control of the server, there is a possibility that many user IDs and passwords may be leaked due to server hacking or server administrator's fraudulent actions. Improvement is necessary. In particular, when a user's password is leaked, the user's risk increases in that the secrecy of communications such as e-commerce and e-mail using the network is not guaranteed.

この発明は、上記のような課題を解決するためになされたもので、第三者による認証装置に対する不正行為や認証用記録媒体に書き込まれた利用者のIDとパスワードの読み出し等によって利用者のパスワードが外部に漏洩する危険性を抑制することができる新規な認証用記録媒体を用いた認証システムおよび認証用記録媒体の作成方法を提供することを目的とする。   The present invention has been made to solve the above-described problems, and includes a user's ID and password read by a third party for an unauthorized act against an authentication device or a user's ID and password written on an authentication recording medium. It is an object of the present invention to provide an authentication system using a novel authentication recording medium and a method for creating the authentication recording medium that can suppress the risk of a password leaking to the outside.

この発明に係る認証用記録媒体を用いた認証システムは、公開鍵を用いて暗号化された利用者のID及びパスワードが記録された認証用記録媒体から前記公開鍵に対応する秘密鍵を用いて利用者のID及びパスワードを復元し、その復元した利用者のID及びパスワードをブロック暗号により暗号化したものと前記利用者が入力部に入力したID及びパスワードとを前記利用者が指定した暗号アルゴリズムにより暗号化して認証データを作成し、その作成した認証データと当該認証データを復号化する復号鍵及び前記暗号アルゴリズムの情報を含む暗号パラメータとを送信する端末装置と、前記暗号パラメータに含まれる前記復号鍵及び前記暗号アルゴリズムの情報を用いて前記認証データから前記ブロック暗号により暗号化した利用者のID及びパスワードと前記利用者により入力されたID及びパスワードとを復号化し、その復号化した前記ブロック暗号により暗号化した前記利用者のID及びパスワードから前記利用者のID及びパスワードを復元し、その復元した前記利用者のID及びパスワードと前記利用者により入力されたID及びパスワードとを比較してユーザ認証を行う認証装置を備えたものである。   An authentication system using an authentication recording medium according to the present invention uses a secret key corresponding to the public key from an authentication recording medium in which a user ID and password encrypted using a public key are recorded. A cryptographic algorithm in which the user's ID and password are restored, and the restored user's ID and password are encrypted by block cipher and the ID and password entered by the user in the input unit are designated by the user. To create authentication data by encryption, a terminal device for transmitting the created authentication data, a decryption key for decrypting the authentication data, and an encryption parameter including information on the encryption algorithm, and the encryption parameter includes the terminal device The user I encrypted with the block cipher from the authentication data using the decryption key and the encryption algorithm information And the password and the ID and password input by the user are decrypted, and the user ID and password are restored from the decrypted block cipher and the user ID and password are restored. And an authentication device for performing user authentication by comparing the user ID and password with the ID and password input by the user.

この発明に係る認証用記録媒体の作成方法は、利用者のアクセスが管理された装置のユーザ認証に用いられる認証用記録媒体の作成方法において、前記装置に対するアクセスを許可する利用者から通知されたID及びパスワードと前記装置の管理者が前記利用者に割り当てた鍵番号とを入力部に入力する工程と、前記管理者によって管理された利用者毎の鍵番号及びこれら鍵番号に対応する公開鍵が記録された情報と前記入力部に入力された利用者の鍵番号とから当該鍵番号に対応する公開鍵を選択し、その公開鍵を用いて前記入力部に入力された前記利用者のID及びパスワードを暗号化する工程と、その暗号化された前記利用者のID及びパスワードの暗文と前記利用者に割り当てられた鍵番号とを前記利用者の認証用記録媒体に書き込む工程とを備えたものである。   The method of creating an authentication recording medium according to the present invention is notified from a user who permits access to the device in the method of creating an authentication recording medium used for user authentication of a device whose access is managed by the user. A step of inputting an ID and a password and a key number assigned to the user by an administrator of the device into an input unit; a key number for each user managed by the administrator; and a public key corresponding to the key number The public key corresponding to the key number is selected from the recorded information and the user key number input to the input unit, and the user ID input to the input unit using the public key is selected. And the process of encrypting the password, and the encrypted ID of the user and the encrypted text of the password and the key number assigned to the user are written in the recording medium for authentication of the user. It is obtained by a process.

この発明によれば、端末装置から送信された認証データを認証装置が受信してユーザ認証を行うので、各利用者の端末装置毎に認証機能を設ける必要がなく、複数の利用者が認証要求する場合においても容易にユーザ認証を行うことができる。また、認証装置において各利用者のパスワードを知らなくてもユーザ認証を行うことができるので、当該認証装置に対する不正行為によって利用者のパスワードが外部に漏洩する危険性を抑制することができる。   According to this invention, since the authentication device receives the authentication data transmitted from the terminal device and performs user authentication, there is no need to provide an authentication function for each terminal device of each user, and a plurality of users can request authentication. In this case, user authentication can be easily performed. In addition, since the authentication device can perform user authentication without knowing each user's password, the risk of the user's password being leaked to the outside due to an unauthorized act on the authentication device can be suppressed.

また、この発明によれば、管理者によって管理された利用者毎の鍵番号及びこれら鍵番号に対応する公開鍵の情報と入力部に入力された利用者の鍵番号とから当該鍵番号に対応する公開鍵を選択し、その公開鍵を用いて前記入力部に入力された前記利用者のID及びパスワードを暗号化して前記利用者の認証用記録媒体に書き込むので、第三者は認証用記録媒体に書き込まれた利用者のIDとパスワードを認証用記録媒体から読み出すことも改竄することもできず、利用者のパスワードが外部に漏洩する危険性を抑制でき、第三者による認証用記録媒体の不正利用をも防止することができる。   Further, according to the present invention, the key number is associated with the key number for each user managed by the administrator, the public key information corresponding to these key numbers, and the user key number input to the input unit. Since the public key to be used is selected and the ID and password of the user input to the input unit are encrypted using the public key and written to the authentication recording medium of the user, the third party records the authentication The user's ID and password written on the medium cannot be read from the authentication recording medium or tampered with, and the risk of the user's password being leaked to the outside can be suppressed. Can be prevented from being illegally used.

実施の形態1.
図1は本発明に係る認証方法の処理を説明するフローチャートである。図2は本発明に係る認証方法の処理を説明するフローチャートである。図3は本発明に係るコンピュータ通信システムの一例を示す概念図である。図4は端末装置の構成を示すブロック図である。図5はサーバの構成を示すブロック図である。図6は本発明に係る認証用記録媒体作成装置の構成を示すブロック図である。図7は暗号パラメータの一例を示す説明図である。 Embodiment 1 FIG.
FIG. 1 is a flowchart for explaining processing of an authentication method according to the present invention. FIG. 2 is a flowchart for explaining the processing of the authentication method according to the present invention. FIG. 3 is a conceptual diagram showing an example of a computer communication system according to the present invention. FIG. 4 is a block diagram showing the configuration of the terminal device. FIG. 5 is a block diagram showing the configuration of the server. FIG. 6 is a block diagram showing the configuration of the authentication recording medium creating apparatus according to the present invention. FIG. 7 is an explanatory diagram showing an example of encryption parameters.

本発明に係るコンピュータ通信システムの一例について、図3を参照して説明する。図3において、1は送信側ユーザ端末装置、2はサーバである認証装置(以下、サーバと記載する)、3は通信ネットワーク、4はサーバである認証装置(以下、サーバと記載する)、5は受信側ユーザ端末装置である。サーバ2、サーバ4は端末装置1、端末装置5のユーザが、自ら名乗ったとおりの者、すなわち、通信システム3の使用を認められた本人であるか確認する「認証」を行うことにより、端末装置1、5の通信ネットワーク3へのアクセスを制御する。端末装置1、5間における電子メールを用いた通信は、サーバ2、4による認証を受けて通信ネットワーク3へのアクセスを許可された後に通信ネットワーク3を介して行われる。一方、端末装置1からの電子メールを受信した端末装置5は、電子メールの発信者が本人からのものであるか確認する認証を行うことにより、第3者が本人であると詐称する「なりすまし」を防止する。     An example of a computer communication system according to the present invention will be described with reference to FIG. In FIG. 3, 1 is a transmission side user terminal device, 2 is an authentication device which is a server (hereinafter referred to as a server), 3 is a communication network, 4 is an authentication device which is a server (hereinafter referred to as a server), 5 Is a receiving-side user terminal device. The server 2 and the server 4 perform “authentication” by confirming whether the user of the terminal device 1 and the terminal device 5 is the person himself or herself, that is, the person who is authorized to use the communication system 3. The access to the communication network 3 of the devices 1 and 5 is controlled. Communication using electronic mail between the terminal devices 1 and 5 is performed via the communication network 3 after being authenticated by the servers 2 and 4 and being permitted to access the communication network 3. On the other hand, the terminal device 5 that has received the e-mail from the terminal device 1 performs the authentication to confirm whether the sender of the e-mail is from the principal, thereby spoofing that the third party is the principal. Is prevented.

次に、図3に示す端末装置1、5の構成について、図4を参照して説明する。図4において、6は認証用記録媒体、7は端末装置(図3に示す1、5)、8は認証データ作成部、9は認証部、10は媒体入力部、11は復号化処理部、12は暗号化処理部、13は入力部、14は鍵入力部、15は暗号パラメータ処理部、16は認証データ保管部、17は通信処理部、18は鍵読取部、19は第一の復号化処理部、20は第二の復号化処理部、21は比較判定部である。端末装置1、端末装置5は、ユーザ本人のIDとパスワードを暗号化して記録した認証用記録媒体から読み出したID、パスワードと、および、ユーザ本人が端末装置に入力したIDとパスワードとを暗号化した認証データを作成する認証データ作成部8と、受信した認証データに含まれる、認証用記録媒体から読み出されたIDとパスワードと、ユーザ本人が入力したIDとパスワードを復号化して読み出し、2種類のパスワードを比較して認証を行う認証部9より構成されている。   Next, the configuration of the terminal devices 1 and 5 shown in FIG. 3 will be described with reference to FIG. In FIG. 4, 6 is an authentication recording medium, 7 is a terminal device (1, 5 shown in FIG. 3), 8 is an authentication data creation unit, 9 is an authentication unit, 10 is a medium input unit, 11 is a decryption processing unit, 12 is an encryption processing unit, 13 is an input unit, 14 is a key input unit, 15 is an encryption parameter processing unit, 16 is an authentication data storage unit, 17 is a communication processing unit, 18 is a key reading unit, and 19 is a first decryption unit. 20 is a second decoding processing unit, and 21 is a comparison / determination unit. The terminal device 1 and the terminal device 5 encrypt the ID and password read from the authentication recording medium recorded by encrypting the user's own ID and password, and the ID and password input by the user to the terminal device. Authentication data creation unit 8 for creating the authentication data, and the ID and password read from the recording medium for authentication and the ID and password input by the user included in the received authentication data are decrypted and read. The authentication unit 9 is configured to perform authentication by comparing types of passwords.

認証データ作成部8は、認証用記録媒体6から暗号化されたIDとパスワードを読み出す媒体入力部10、媒体入力部10が読み出したID、パスワードを復号化する復号化処理部11、復号化処理部11が復号化したIDとパスワードを、認証用記録媒体6からIDとパスワードを読み出した時間情報(年・月・日・時間)より作成された暗号鍵を用いて、ブロック暗号により暗号化する暗号化処理部12、ユーザにより端末装置7に直接入力されたIDとパスワードの入力を受け付ける入力部13、共通鍵暗号方式の暗号アルゴリズムのうち、ユーザが選択した暗号アルゴリズムの種類、暗号鍵、暗号化に用いる変換表の入力を受け付ける鍵入力部14、暗号化処理部12によりブロック暗号を用いて暗号化された暗文、および入力部13から入力されたIDとパスワードの平文を、ユーザにより選択された、暗号アルゴリズム、暗号鍵、変換表を用いて暗号化して認証データを作成するとともに、鍵入力部14を介して入力された暗号アルゴリズムの種類、暗号鍵、変換表を含み、受信側で認証データを復号化するための情報となる暗号パラメータを作成する暗号パラメータ処理部15より構成される。   The authentication data creation unit 8 includes a medium input unit 10 that reads an encrypted ID and password from the authentication recording medium 6, a decryption processing unit 11 that decrypts the ID and password read by the medium input unit 10, and a decryption process. The ID and password decrypted by the unit 11 are encrypted by block cipher using an encryption key created from time information (year / month / day / time) when the ID and password are read from the authentication recording medium 6. Encryption processing unit 12, input unit 13 for receiving input of ID and password directly input to terminal device 7 by user, type of encryption algorithm selected by user among encryption algorithms of common key cryptosystem, encryption key, encryption A key input unit 14 for receiving an input of a conversion table used for encryption, a ciphertext encrypted using a block cipher by the encryption processing unit 12, and an input unit 1 The plaintext of the ID and password input from is encrypted using the encryption algorithm, encryption key, and conversion table selected by the user to create authentication data, and the encryption algorithm input via the key input unit 14 And a cryptographic parameter processing unit 15 that creates cryptographic parameters that are information for decrypting the authentication data on the receiving side.

認証部9は、暗号パラメータより暗号アルゴリズムの種類、暗号鍵、変換表の種類を読み取る鍵読取部18、鍵読取部18が読み出した暗号鍵を復号鍵として(共通鍵暗号方式の暗号の場合、暗号鍵と復号鍵は同一である)、認証データを復号化して、認証用記録媒体のIDとパスワードの暗文とユーザから入力されたIDとパスワードの平文を得る第一の復号化処理部19、認証用記録媒体のIDとパスワードの暗文を復号化して平文を得る第二の復号化処理部20、第一の復号化処理部19からのIDとパスワードの平文と、第二の復号化処理部20からのIDとパスワードの平文とを比較する比較判定部21より構成される。図3に示す端末装置1は図4に示す認証データ作成部8において作成された認証データと暗号パラメータを送信する処理を行い、端末装置5は端末装置1から送信された認証データを認証部9において認証する処理を行う。   The authentication unit 9 uses the encryption parameters to read the encryption algorithm type, encryption key, and conversion table type key reading unit 18, and the encryption key read by the key reading unit 18 as a decryption key (in the case of encryption using a common key encryption method, The encryption key and the decryption key are the same), the first decryption processing unit 19 which decrypts the authentication data and obtains the ID of the authentication recording medium, the secret text of the password, and the plain text of the ID and password input by the user. The plaintext of the ID and password from the second decryption processing unit 20 and the first decryption processing unit 19 which obtain the plaintext by decrypting the plaintext of the ID and password of the authentication recording medium, and the second decryption It is comprised from the comparison determination part 21 which compares ID from the process part 20, and the plaintext of a password. The terminal device 1 shown in FIG. 3 performs a process of transmitting the authentication data and encryption parameters created by the authentication data creation unit 8 shown in FIG. 4, and the terminal device 5 receives the authentication data sent from the terminal device 1 as the authentication unit 9. Authentication processing is performed in

次に、図3に示すサーバである認証装置2、4の構成について、図5を参照して説明する。図5において、22はサーバ、23は通信処理部、24は認証データ保管部、25は鍵読取部、26は第一の復号化処理部、27は第二の復号化処理部、28は比較判定部である。図5に示すサーバ22は、図4に示す端末装置7の認証部9と同様の構成を採用し、同様の処理を行うことにより認証を行うので説明は省略する。   Next, the configuration of the authentication devices 2 and 4 which are servers shown in FIG. 3 will be described with reference to FIG. In FIG. 5, 22 is a server, 23 is a communication processing unit, 24 is an authentication data storage unit, 25 is a key reading unit, 26 is a first decryption processing unit, 27 is a second decryption processing unit, and 28 is a comparison. It is a judgment part. The server 22 shown in FIG. 5 employs the same configuration as that of the authentication unit 9 of the terminal device 7 shown in FIG.

次に、図4に示す認証用記録媒体6を作成する認証用記録媒体作成装置について、図6を参照して説明する。図6において、29は認証用記録媒体作成装置、30は認証用記録媒体、31は入力部、32は暗号化処理部、33は出力部、34は格納部である。認証用記録媒体30は、認証用記録媒体作成装置29を用いて認証用記録媒体を作成する媒体作成者と、暗号鍵を管理する管理者により作成される。認証用記録媒体作成装置29は公開鍵暗号方式の暗号アルゴリズムを用いてユーザのIDとパスワードを暗号化して認証用記録媒体30の格納部34に書き込むことによりユーザが本人であることを証明する認証用記録媒体を作成する。   Next, an authentication recording medium creating apparatus for creating the authentication recording medium 6 shown in FIG. 4 will be described with reference to FIG. In FIG. 6, 29 is an authentication recording medium creation device, 30 is an authentication recording medium, 31 is an input unit, 32 is an encryption processing unit, 33 is an output unit, and 34 is a storage unit. The authentication recording medium 30 is created by a medium creator who creates an authentication recording medium using the authentication recording medium creation device 29 and an administrator who manages the encryption key. The authentication recording medium creation device 29 encrypts the user ID and password using an encryption algorithm of a public key cryptosystem and writes it in the storage unit 34 of the authentication recording medium 30 to authenticate the user. Create a recording medium.

ユーザは、認証用記録媒体を発行してもらうためにIDとパスワードを媒体作成者に通知する。媒体作成者はユーザ用に割り当てた鍵番号と、ユーザから通知されたIDとパスワードを入力部31に入力する。入力された鍵番号と、ユーザのID、パスワードは入力部31を介して暗号化処理部32に伝達される。暗号化処理部32には、鍵番号に対応する公開鍵が記録されており、入力された公開鍵番号に対応する公開鍵を選択して、IDとパスワードを暗号化する。暗号化されたIDとパスワードは鍵番号とともに出力部33を介して認証用記録媒体30の格納部34に書き込まれる。   The user notifies the medium creator of the ID and password in order to have the authentication recording medium issued. The medium creator inputs the key number assigned for the user and the ID and password notified from the user to the input unit 31. The input key number, user ID, and password are transmitted to the encryption processing unit 32 via the input unit 31. A public key corresponding to the key number is recorded in the encryption processing unit 32. The public key corresponding to the input public key number is selected, and the ID and password are encrypted. The encrypted ID and password are written into the storage unit 34 of the authentication recording medium 30 through the output unit 33 together with the key number.

なお、媒体作成者はユーザ毎に割り当てた鍵番号を知ることはできるが、IDとパスワードを暗号化する公開鍵を知ることはできない。鍵番号と公開鍵の対応は、暗号鍵を管理するシステムの管理者のみが知ることができる。認証用記録媒体内に記録されている暗号化されたIDとパスワードは、媒体作成者及びユーザ本人も自由に変更できない。また、第3者は暗号化した公開鍵に対応する秘密鍵を知ることができないため、IDとパスワードを認証用記録媒体から読み出すことも改竄することも不可能である。したがって、認証時にユーザ本人により入力されるID、パスワードと認証用記録媒体内のID、パスワードが一致すれば、認証用記録媒体を所持するユーザが本人であることを確認することができる。   The medium creator can know the key number assigned to each user, but cannot know the public key for encrypting the ID and password. Only the administrator of the system that manages the encryption key can know the correspondence between the key number and the public key. The encrypted ID and password recorded in the authentication recording medium cannot be freely changed by the medium creator and the user himself / herself. Further, since the third party cannot know the secret key corresponding to the encrypted public key, the ID and password cannot be read from the authentication recording medium or tampered with. Therefore, if the ID and password input by the user at the time of authentication match the ID and password in the authentication recording medium, it can be confirmed that the user who owns the authentication recording medium is the person himself / herself.

以上を踏まえて本発明に係る認証方法について、図1および図2を参照して説明する。図1には、図3に示すサーバ2、4により実行される通信ネットワーク3へのアクセス制御を目的とした認証方法が示されている。ステップS105〜ステップS112までは送信側の端末装置1による認証データ作成工程であり、ステップS113〜ステップS119まではサーバ2による認証工程である。以下、認証データ作成工程から説明する。ステップS101において、図3に示す送信ユーザ端末装置1はサーバ2に対して認証開始パケットを送信する処理を行う。ステップS102において、サーバ2は、端末装置1からの認証開始要求を受け付け、ステップS103において、端末装置1に認証開始のプロンプトを送信する。ステップS104において、端末装置1はサーバ2からの認証開始プロンプトを受信する。ステップS105において、認証開始プロンプトを確認した送信ユーザは、図4に示す認証用記録媒体6を端末装置に挿入する。   Based on the above, the authentication method according to the present invention will be described with reference to FIG. 1 and FIG. FIG. 1 shows an authentication method for controlling access to the communication network 3 executed by the servers 2 and 4 shown in FIG. Steps S105 to S112 are authentication data creation steps by the terminal device 1 on the transmission side, and steps S113 to S119 are authentication steps by the server 2. Hereinafter, the authentication data creation process will be described. In step S <b> 101, the transmission user terminal device 1 illustrated in FIG. 3 performs processing for transmitting an authentication start packet to the server 2. In step S102, the server 2 accepts an authentication start request from the terminal device 1, and transmits an authentication start prompt to the terminal device 1 in step S103. In step S <b> 104, the terminal device 1 receives an authentication start prompt from the server 2. In step S105, the transmission user who has confirmed the authentication start prompt inserts the authentication recording medium 6 shown in FIG. 4 into the terminal device.

ステップS106において、端末装置1は媒体入力部10を介して認証用記録媒体6から読み出したID、パスワードの暗文を、復号化処理部11で鍵番号iの公開鍵(認証用記録媒体内のID、パスワードの暗号化に用いられた暗号鍵)に対応する秘密鍵で復号化してID、パスワードの平文を得る。ステップS107において、暗号化処理部12は復号化処理部11で復号化したID・PWをブロック暗号により暗号化する。ブロック暗号とは、複数バイトを一度に暗号化する暗号方式である。ステップS107の暗号化に用いる暗号鍵は、送信ユーザが端末装置に媒体を挿入した時点の、年・月・日・時間等の時間情報により自動設定される。ステップS107において暗号化されたID、パスワードの暗文と、暗号鍵の平文は暗号パラメータ処理部15に伝送される。   In step S <b> 106, the terminal device 1 uses the decryption processing unit 11 to read the secret ID and password read from the authentication recording medium 6 via the medium input unit 10, and the public key (within the authentication recording medium). The plaintext of the ID and password is obtained by decrypting with the private key corresponding to the encryption key used for encrypting the ID and password. In step S107, the encryption processing unit 12 encrypts the ID / PW decrypted by the decryption processing unit 11 using a block cipher. The block cipher is an encryption method that encrypts a plurality of bytes at once. The encryption key used for the encryption in step S107 is automatically set based on time information such as year, month, date, and time when the transmission user inserts the medium into the terminal device. In step S107, the encrypted text of ID and password and the plaintext of the encryption key are transmitted to the encryption parameter processing unit 15.

ステップS108において、送信ユーザは送信ユーザ端末装置に本人のID・PWを直接入力する。ユーザにより入力されたID、パスワードは入力部13を介して暗号パラメータ処理部15に出力される。また、ステップS109において、送信ユーザは、暗号化に用いる暗号アルゴリズムと変換表、暗号鍵を指定し、鍵入力部14を介して端末装置に入力する。鍵入力部14を介して送信ユーザにより指定された暗号アルゴリズムと変換表、暗号鍵は暗号パラメータ処理部15に伝達される。ステップS110において、暗号パラメータ処理部15は、暗号化処理部12で暗号化されたID、パスワードの暗文と、この暗号化に用いられた暗号鍵の平文、および入力部13を介して送信ユーザにより直接入力されたID、パスワードの平文を、送信ユーザにより指定された暗号アルゴリズムと変換表、暗号鍵を用いて暗号化して認証データを生成する。   In step S108, the transmission user directly inputs the ID / PW of the person himself / herself into the transmission user terminal device. The ID and password input by the user are output to the encryption parameter processing unit 15 via the input unit 13. In step S 109, the transmission user designates an encryption algorithm, a conversion table, and an encryption key used for encryption, and inputs them to the terminal device via the key input unit 14. The encryption algorithm, conversion table, and encryption key specified by the transmission user are transmitted to the encryption parameter processing unit 15 via the key input unit 14. In step S 110, the encryption parameter processing unit 15 sends the ID encrypted by the encryption processing unit 12, the plaintext of the password, the plaintext of the encryption key used for the encryption, and the transmission user via the input unit 13. The plaintext of the ID and password directly input by the method is encrypted using the encryption algorithm, conversion table, and encryption key specified by the transmission user to generate authentication data.

また、ステップS110において、暗号パラメータ処理部15は認証データを作成するとともに、この認証データを作成するにあたって使用した暗号アルゴリズム、変換表、暗号鍵を含み、認証データとともに送信される暗号パラメータを作成する。暗号パラメータは、認証データを復号化するために必要な情報を受信側の認証装置に提供するものであり、認証データの暗号化に用いた暗号アルゴリズム、変換表、暗号鍵を含むものである。図3に示すサーバ2あるいは受信側ユーザ端末装置5は、送信側ユーザ端末装置から送信されてきた認証データと暗号パラメータを受信して、暗号パラメータから暗号アルゴリズム、変換表、暗号鍵を読み出して認証データを復号化して認証を行う。暗号パラメータの一例を図7に示す。図7「暗号パラメータのフォーマット」に示すように、暗号パラメータ(Key.s)は、送信ユーザにより選択されて認証データの暗号化に用いられた暗号アルゴリズム、変換表、暗号鍵の3つの情報を含んでいる。   In step S110, the encryption parameter processing unit 15 creates authentication data, and also creates an encryption parameter that is transmitted together with the authentication data, including the encryption algorithm, conversion table, and encryption key used to create the authentication data. . The encryption parameter provides information necessary for decrypting the authentication data to the authentication device on the receiving side, and includes an encryption algorithm, a conversion table, and an encryption key used for encrypting the authentication data. The server 2 or the receiving user terminal device 5 shown in FIG. 3 receives the authentication data and encryption parameters transmitted from the transmitting user terminal device, and reads the authentication algorithm, conversion table, and encryption key from the encryption parameters for authentication. Decrypt data and authenticate. An example of the encryption parameter is shown in FIG. As shown in FIG. 7 “Encryption Parameter Format”, the encryption parameter (Key.s) includes three pieces of information, that is, an encryption algorithm, a conversion table, and an encryption key selected by the transmission user and used for encryption of authentication data. Contains.

例えば、図7「使用可能な暗号アルゴリズム」に示すように、使用可能な暗号アルゴリズムとして「複合シフトレジスタ(10)」、「DES(11)」等があるとする。そして、「入力例」に示すように、暗号アルゴリズムとして「DES(11)」、変換表として「第32表」、暗号鍵として「0123456789abcde」を設定したとする。その場合、「暗号パラメータの設定例」に示すように、暗号パラメータKey.sは「11320123456789abcde」となる。この暗号パラメータは、単に暗号アルゴリズムおよび変換表の番号と暗号鍵をそのまま並べて作成したものである。しかしながら、暗号パラメータは認証データとともに送信されるものであり、しかも認証データを復号化する情報を含んでいるものであるから、実際にはより複雑な形式に加工してセキュリティ強度を上げて使用される。ステップS111において、暗号パラメータ処理部15で生成された認証データと暗号パラメータは認証データ保管部16に出力される。ステップS112において、通信処理部17は認証データ保管部16に保管された認証データと暗号パラメータを読み出して送信する。   For example, as shown in FIG. 7 “Available Cryptographic Algorithms”, it is assumed that there are “Complex Shift Register (10)”, “DES (11)”, and the like as usable cryptographic algorithms. As shown in “Input Example”, it is assumed that “DES (11)” is set as the encryption algorithm, “Table 32” is set as the conversion table, and “0123456789abcde” is set as the encryption key. In this case, the encryption parameter Key.s is “11320123456789abcde” as shown in “Example of setting of encryption parameter”. This encryption parameter is simply created by arranging the encryption algorithm and the conversion table number and the encryption key as they are. However, since the encryption parameter is transmitted together with the authentication data and includes information for decrypting the authentication data, it is actually used in a more complicated form by increasing the security strength. The In step S 111, the authentication data and encryption parameters generated by the encryption parameter processing unit 15 are output to the authentication data storage unit 16. In step S112, the communication processing unit 17 reads and transmits the authentication data and the encryption parameter stored in the authentication data storage unit 16.

以下のステップは、図3に示すサーバ2、あるいは図5に示すサーバ22により実行される認証工程である。ステップS113において、サーバ22の通信処理部23は、図4に示す端末装置7から送信された認証データと暗号パラメータを受信する。受信した認証データは認証データ保管部24に保管された後、鍵読取部25において自動的に暗号パラメータより暗号アルゴリズム、変換表、暗号鍵を読み取り、認証データの復号化に必要な情報を認識する。ステップS114において、第一の復号化処理部26は、鍵読取部25が読み出した変換表と暗号鍵を用いて認証データを復号化し、送信側ユーザが端末装置に直接入力したID、パスワードの平文と、ブロック暗号で暗号化されているID、パスワードの暗文、およびその暗号鍵を読み出す。。   The following steps are authentication steps executed by the server 2 shown in FIG. 3 or the server 22 shown in FIG. In step S113, the communication processing unit 23 of the server 22 receives the authentication data and the encryption parameter transmitted from the terminal device 7 illustrated in FIG. After the received authentication data is stored in the authentication data storage unit 24, the key reading unit 25 automatically reads the encryption algorithm, conversion table, and encryption key from the encryption parameters, and recognizes information necessary for decrypting the authentication data. . In step S114, the first decryption processing unit 26 decrypts the authentication data using the conversion table and the encryption key read by the key reading unit 25, and the plain text of the ID and password directly input to the terminal device by the transmission side user. Then, the ID encrypted with the block cipher, the secret text of the password, and the encryption key are read out. .

ステップS115において、第二の復号化処理部27はID、パスワードの暗文を第一の復号鍵により復号化して、認証用記録媒体内に記録されていたID、パスワードの平文を得る。ステップS116において、比較判定部28は、ユーザから入力されたID、パスワードと、認証用記録媒体内に記録されていたID、パスワードとを比較して両者が一致している確認する。ステップS117において、両者が一致していれば送信ユーザは本人であると判断し、ステップS118において認証確認のプロンプトを送信側ユーザ端末装置に送信する。一方、ステップS117において、両者が一致しなければ送信ユーザは本人ではない第3者と判断し、ステップS119において認証未確認のプロンプトを送信側ユーザ端末装置に送信する。   In step S115, the second decryption processing unit 27 decrypts the ID and password text with the first decryption key to obtain the plain text of the ID and password recorded in the authentication recording medium. In step S116, the comparison / determination unit 28 compares the ID and password input from the user with the ID and password recorded in the authentication recording medium to confirm that they match. In step S117, if the two match, it is determined that the transmission user is the user, and in step S118, an authentication confirmation prompt is transmitted to the transmission-side user terminal device. On the other hand, if they do not match in step S117, it is determined that the transmitting user is a third person who is not the principal, and in step S119, an unauthenticated prompt is transmitted to the transmitting-side user terminal device.

次に、図3に示す送信側ユーザ端末装置1、受信側ユーザ端末装置5間で実行される、送信ユーザが自ら名乗ったとおりの本人であるか確認することを目的とする認証方法について図2を参照して説明する。なお、図2に示すステップS201以降の処理を実行する前に、端末装置1と端末装置5(ともに図4に示す端末装置7)はそれぞれサーバ2、サーバ4の認証を受け、通信ネットワーク3へのログインを許可されているものとする。ステップS201において、端末装置1は送信する電子メール本文に図1に示すステップS105からステップS112で作成した認証データ、暗号パラメータを添付する。そして、ステップS202において端末装置5あてに認証データ、暗号パラメータが添付された電子メールを送信する。ステップS203において、端末装置5は、端末装置1から送信された電子メールを受信する。   Next, an authentication method executed between the transmitting-side user terminal device 1 and the receiving-side user terminal device 5 shown in FIG. 3 for confirming whether or not the transmitting user is the person himself / herself is shown in FIG. Will be described with reference to FIG. Before executing the processing after step S201 shown in FIG. 2, the terminal device 1 and the terminal device 5 (both the terminal device 7 shown in FIG. 4) are authenticated by the server 2 and the server 4, respectively, and are sent to the communication network 3. You are allowed to log in. In step S201, the terminal device 1 attaches the authentication data and encryption parameters created in steps S105 to S112 shown in FIG. In step S202, an e-mail attached with authentication data and encryption parameters is transmitted to the terminal device 5. In step S <b> 203, the terminal device 5 receives the email transmitted from the terminal device 1.

ステップS204において、端末装置5の図4に示す鍵読取部18は、暗号パラメータより暗号アルゴリズム、変換表、暗号鍵を読み出し、第一の復号化処理部19は変換表、暗号鍵を用いて認証データを復号化し、ユーザにより入力されたID、パスワードの平文と、認証用記録媒体から読み出されたID、パスワードがブロック暗号により暗号化された暗文と、ブロック暗号鍵の平文を得る。ステップS205において、第二の復号化処理部20は、ブロック暗号により暗号化された暗文をブロック暗号鍵を用いて復号化して、認証用記録媒体に記録されていたID、パスワードの平文を得る。そして、ステップS206において、比較判定部21は、ユーザから入力されたID、パスワードと、認証用記録媒体に記録されていたID、パスワードとを比較して両者が一致するか確認する。ステップS207において、両者が一致した場合、ステップS208において認証確認メッセージが受信側ユーザ端末装置の表示画面に表示される。一方、両者が不一致であった場合、認証未確認メッセージが表示画面に表示される。   In step S204, the key reading unit 18 shown in FIG. 4 of the terminal device 5 reads the encryption algorithm, the conversion table, and the encryption key from the encryption parameter, and the first decryption processing unit 19 authenticates using the conversion table and the encryption key. The data is decrypted, and the plaintext of the ID and password input by the user, the plaintext obtained by encrypting the ID and password read from the authentication recording medium by the block cipher, and the plaintext of the block cipher key are obtained. In step S205, the second decryption processing unit 20 decrypts the ciphertext encrypted by the block cipher using the block cipher key to obtain the plaintext of the ID and password recorded on the authentication recording medium. . In step S206, the comparison / determination unit 21 compares the ID and password input by the user with the ID and password recorded on the authentication recording medium to confirm whether they match. If they match in step S207, an authentication confirmation message is displayed on the display screen of the receiving user terminal device in step S208. On the other hand, if the two do not match, an authentication unconfirmed message is displayed on the display screen.

以上説明したように、上記説明による認証方法は、暗号化されたID、パスワードを記録した認証用記録媒体から読み出したID、パスワードと、ユーザが端末装置に入力したID、パスワードを暗号化した認証データを作成してサーバに送信し、サーバは認証データを復号化して、認証データに含まれる認証用記録媒体のID、パスワードと、ユーザが入力したID、パスワードの一致を確認することにより認証を行うので、サーバはユーザのIDさえ管理しておけば、ユーザのパスワードを知らなくても認証を行うことが可能である。したがって、サーバにユーザのパスワードを管理させる必要がなくなり、サーバに対する不正行為によってユーザのパスワードが外部に漏洩する危険性を抑制することができる。   As described above, the authentication method according to the above description is that the encrypted ID, the password read from the recording medium for recording the password, the ID entered by the user to the terminal device, and the authentication obtained by encrypting the password. The data is created and transmitted to the server, and the server decrypts the authentication data and performs authentication by confirming that the ID and password of the authentication recording medium included in the authentication data match the ID and password entered by the user. Therefore, if the server manages only the user ID, authentication can be performed without knowing the user password. Therefore, it is not necessary for the server to manage the user's password, and the risk that the user's password is leaked to the outside due to an illegal act on the server can be suppressed.

また、上記認証方法は、サーバによるネットワークへのアクセス制御を目的とする認証のみならず、受信側ユーザにより、送信者が自ら名乗ったとおりの本人であることを確認する認証にも適用できるので、コンピュータ通信の信頼性が確保される。   In addition, since the authentication method can be applied not only to authentication for the purpose of controlling access to the network by the server, but also to authentication for confirming that the sender is the identity of the sender himself, Reliability of computer communication is ensured.

また、上記認証方法は、認証データを復号化するための情報を暗号パラメータに含ませておくことにより、サーバなどの受信側でユーザによる操作を必要とせず、自動的に認証データを復号化することが可能となる。また、この暗号パラメータを使用することにより、ユーザは暗号化に用いる暗号アルゴリズムを自由に設定変更でき、受信側にもその内容を通知することができるので、通信を傍受する第3者が、使用されている暗号アルゴリズムを推測することは困難になる。   In addition, the above authentication method automatically decrypts authentication data without requiring user operation on the receiving side such as a server by including information for decrypting the authentication data in the encryption parameter. It becomes possible. In addition, by using this encryption parameter, the user can freely change the encryption algorithm used for encryption, and can notify the contents to the receiving side. It is difficult to guess the encryption algorithm that is being used.

また、上記説明による認証用記録媒体は、ユーザのID、パスワードを暗号化して記録するので、認証用記録媒体を取得した者が認証用記録媒体内のID、パスワードを知ることはできない。また、認証用記録媒体内のデータを改ざんすることもできないので、認証用記録媒体内のID、パスワードを他のID、パスワードに改ざんして通信ネットワークにアクセスする事もできないので、認証用記録媒体の所有者になりすます不正行為を防止することができる。   Further, the authentication recording medium according to the above description encrypts and records the user ID and password, so that the person who has acquired the authentication recording medium cannot know the ID and password in the authentication recording medium. Further, since the data in the authentication recording medium cannot be falsified, the ID and password in the authentication recording medium cannot be falsified with another ID and password to access the communication network. It is possible to prevent fraudulent impersonation of the owner.

また、上記端末装置は、認証データをユーザ自身が選択した暗号アルゴリズムを用いて作成し、この暗号化に用いた暗号アルゴリズム、復号鍵、変換表を含み、受信側で認証データを復号化するのに必要な情報となる暗号パラメータを認証データとともに送信するので、送受信者間で自由に暗号アルゴリズムを設定でき、通信を傍受した第3者に対する通信の守秘性が高められる。また、自動的に認証データを復号化して認証を行うことが可能になる。   In addition, the terminal device creates authentication data using an encryption algorithm selected by the user himself and includes the encryption algorithm, decryption key, and conversion table used for the encryption, and decrypts the authentication data on the receiving side. Since the encryption parameter, which is necessary information for the transmission, is transmitted together with the authentication data, the encryption algorithm can be freely set between the sender and the receiver, and the confidentiality of the communication with respect to the third party who intercepts the communication is improved. In addition, authentication data can be automatically decrypted and authenticated.

また、認証用記録媒体作成装置は、鍵番号に対応する公開鍵が内部に記憶されており、ユーザのID、パスワードを鍵番号に対応する公開鍵で暗号化するので、認証用記録媒体作成装置を操作する媒体作成者は鍵番号に対応する公開鍵を知ることはできないため、認証用記録媒体内のデータを改ざんすることはできない。また、公開鍵暗号方式は共通鍵暗号方式と比較して管理すべき鍵の数が少ないので、鍵管理も容易である。   Further, the authentication recording medium creating apparatus stores therein the public key corresponding to the key number, and encrypts the user ID and password with the public key corresponding to the key number. Since the media creator who operates cannot know the public key corresponding to the key number, the data in the authentication recording medium cannot be falsified. Further, since the public key cryptosystem has a smaller number of keys to be managed than the common key cryptosystem, key management is also easy.

本発明に係る認証方法の処理を説明するフローチャートである。It is a flowchart explaining the process of the authentication method which concerns on this invention. 本発明に係る認証方法の処理を説明するフローチャートである。It is a flowchart explaining the process of the authentication method which concerns on this invention. 本発明に係るコンピュータ通信システムの一例を示す概念図である。It is a conceptual diagram which shows an example of the computer communication system which concerns on this invention. 端末装置の構成を示すブロック図である。It is a block diagram which shows the structure of a terminal device. サーバの構成を示すブロック図である。It is a block diagram which shows the structure of a server. 本発明に係る認証用記録媒体作成装置の構成を示すブロック図である。It is a block diagram which shows the structure of the recording medium preparation apparatus for authentication which concerns on this invention. 暗号パラメータの一例を示す説明図である。It is explanatory drawing which shows an example of an encryption parameter. 従来の認証方法の処理を説明するフローチャートである。It is a flowchart explaining the process of the conventional authentication method.

符号の説明Explanation of symbols

1 端末装置、2 認証装置(サーバ)、3 通信ネットワーク、
4 認証装置(サーバ)、5 端末装置、6 認証用記録媒体、7 端末装置、
8 認証データ作成部、9 認証部、10 媒体入力部、11 復号化処理部、
12 暗号化処理部、13 入力部、14 鍵入力部、15 暗号パラメータ処理部、 16 認証データ保管部、17 通信処理部、18 鍵読取部、
19 第一の復号化処理部、20 第二の復号化処理部、21 比較判定部、
22 サーバ、23 通信処理部、24 認証データ保管部、25 鍵読取部、
26 第一の復号化処理部、27 第二の復号化処理部、28 比較判定部、
29 認証用記録媒体作成装置、30 認証用記録媒体、31 入力部、
32 暗号化処理部、33 出力部、34 格納部。
1 terminal device, 2 authentication device (server), 3 communication network,
4 authentication device (server), 5 terminal device, 6 recording medium for authentication, 7 terminal device,
8 authentication data creation unit, 9 authentication unit, 10 medium input unit, 11 decryption processing unit,
12 encryption processing unit, 13 input unit, 14 key input unit, 15 encryption parameter processing unit, 16 authentication data storage unit, 17 communication processing unit, 18 key reading unit,
19 first decryption processing unit, 20 second decryption processing unit, 21 comparison determination unit,
22 server, 23 communication processing unit, 24 authentication data storage unit, 25 key reading unit,
26 first decryption processing unit, 27 second decryption processing unit, 28 comparison determination unit,
29 authentication recording medium creation device, 30 authentication recording medium, 31 input unit,
32 encryption processing unit, 33 output unit, 34 storage unit.

Claims (3)

公開鍵を用いて暗号化された利用者のID及びパスワードが記録された認証用記録媒体から前記公開鍵に対応する秘密鍵を用いて利用者のID及びパスワードを復元し、その復元した利用者のID及びパスワードをブロック暗号により暗号化したものと前記利用者が入力部に入力したID及びパスワードとを前記利用者が指定した暗号アルゴリズムにより暗号化して認証データを作成し、その作成した認証データと当該認証データを復号化する復号鍵及び前記暗号アルゴリズムの情報を含む暗号パラメータとを送信する端末装置と、前記暗号パラメータに含まれる前記復号鍵及び前記暗号アルゴリズムの情報を用いて前記認証データから前記ブロック暗号により暗号化した利用者のID及びパスワードと前記利用者により入力されたID及びパスワードとを復号化し、その復号化した前記ブロック暗号により暗号化した前記利用者のID及びパスワードから前記利用者のID及びパスワードを復元し、その復元した前記利用者のID及びパスワードと前記利用者により入力されたID及びパスワードとを比較してユーザ認証を行う認証装置を備えた認証用記録媒体を用いた認証システム。 Using the secret key corresponding to the public key, the user ID and password are restored from the authentication recording medium in which the user ID and password encrypted using the public key are recorded. The authentication data is created by encrypting the ID and password encrypted by the block cipher and the ID and password entered by the user into the input unit using the encryption algorithm designated by the user, and the created authentication data And a decryption key for decrypting the authentication data and an encryption parameter including the encryption algorithm information, and from the authentication data using the decryption key and the encryption algorithm information included in the encryption parameter. The user ID and password encrypted by the block cipher and the ID input by the user and The user ID and password are restored from the user ID and password encrypted by the decrypted block cipher, and the restored user ID and password and the user are restored. An authentication system using an authentication recording medium provided with an authentication device that performs user authentication by comparing the ID and password input by. 前記認証装置は、ネットワークに接続されたサーバ装置である請求項1記載の認証用記録媒体を用いた認証システム。 The authentication system using an authentication recording medium according to claim 1, wherein the authentication device is a server device connected to a network. 利用者のアクセスが管理された装置のユーザ認証に用いられる認証用記録媒体の作成方法において、前記装置に対するアクセスを許可する利用者から通知されたID及びパスワードと前記装置の管理者が前記利用者に割り当てた鍵番号とを入力部に入力する工程と、前記管理者によって管理された利用者毎の鍵番号及びこれら鍵番号に対応する公開鍵が記録された情報と前記入力部に入力された利用者の鍵番号とから当該鍵番号に対応する公開鍵を選択し、その公開鍵を用いて前記入力部に入力された前記利用者のID及びパスワードを暗号化する工程と、その暗号化された前記利用者のID及びパスワードの暗文と前記利用者に割り当てられた鍵番号とを前記利用者の認証用記録媒体に書き込む工程とを備えた認証用記録媒体の作成方法。

In a method for creating an authentication recording medium used for user authentication of a device whose access is managed by a user, an ID and password notified from a user who is permitted to access the device and the administrator of the device are the user. A key number assigned to the input unit, a key number for each user managed by the administrator, and information on a public key corresponding to the key number recorded in the input unit. Selecting a public key corresponding to the key number from the user's key number, encrypting the user's ID and password input to the input unit using the public key, and the encrypted And a method of creating an authentication recording medium, comprising: writing a secret text of the user ID and password and a key number assigned to the user to the authentication recording medium of the user.

JP2005118704A 2005-04-15 2005-04-15 Authentication system using authentication recording medium and method of creating authentication recording medium Expired - Fee Related JP4140617B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005118704A JP4140617B2 (en) 2005-04-15 2005-04-15 Authentication system using authentication recording medium and method of creating authentication recording medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005118704A JP4140617B2 (en) 2005-04-15 2005-04-15 Authentication system using authentication recording medium and method of creating authentication recording medium

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2000100337A Division JP3690237B2 (en) 2000-04-03 2000-04-03 Authentication method, recording medium, authentication system, terminal device, and authentication recording medium creation device

Publications (2)

Publication Number Publication Date
JP2005237037A JP2005237037A (en) 2005-09-02
JP4140617B2 true JP4140617B2 (en) 2008-08-27

Family

ID=35019446

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005118704A Expired - Fee Related JP4140617B2 (en) 2005-04-15 2005-04-15 Authentication system using authentication recording medium and method of creating authentication recording medium

Country Status (1)

Country Link
JP (1) JP4140617B2 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009015744A (en) * 2007-07-09 2009-01-22 Panasonic Corp Authentication system and authenticating apparatus
EP2120393A1 (en) * 2008-05-14 2009-11-18 Nederlandse Centrale Organisatie Voor Toegepast Natuurwetenschappelijk Onderzoek TNO Shared secret verification method
JP6094255B2 (en) * 2013-02-22 2017-03-15 大日本印刷株式会社 Cryptographic processing apparatus and information processing apparatus

Also Published As

Publication number Publication date
JP2005237037A (en) 2005-09-02

Similar Documents

Publication Publication Date Title
CN1939028B (en) Accessing protected data on network storage from multiple devices
TWI486045B (en) Method and system for on-screen authentication using secret visual message
US7353393B2 (en) Authentication receipt
RU2584500C2 (en) Cryptographic authentication and identification method with real-time encryption
JP2009103774A (en) Secret sharing system
CN114175580B (en) Enhanced secure encryption and decryption system
JPH07325785A (en) Network user identifying method, ciphering communication method, application client and server
JP2004501458A (en) Secure biometric authentication / identification method, biometric data entry module and verification module
JPH09147072A (en) Personal authentication system, personal authentication card and center equipment
US7587051B2 (en) System and method for securing information, including a system and method for setting up a correspondent pairing
US20060053288A1 (en) Interface method and device for the on-line exchange of content data in a secure manner
JP3690237B2 (en) Authentication method, recording medium, authentication system, terminal device, and authentication recording medium creation device
JP2009033402A (en) Id based cryptographic system, transmission terminal device, distribution server device, and reception terminal device
JP4140617B2 (en) Authentication system using authentication recording medium and method of creating authentication recording medium
JP2008234143A (en) Subject limited mail opening system using biometrics, method therefor, and program therefor
US20020184501A1 (en) Method and system for establishing secure data transmission in a data communications network notably using an optical media key encrypted environment (omkee)
JP2002247021A (en) Method and device for displaying access limited contents
Gerberick Cryptographic key management
KR100842014B1 (en) Accessing protected data on network storage from multiple devices
KR100337637B1 (en) Method for recovering a digital document encrypted
Bhujade et al. A Survey on Basics of Cryptography
WO2003024019A1 (en) Authentication receipt
JP4626001B2 (en) Encrypted communication system and encrypted communication method
JP2001285285A (en) Authentication method and authentication system
Piper Encryption

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080520

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080602

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110620

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110620

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees