JP5206992B2 - Authentication system, authentication device, terminal device, authentication method, and program - Google Patents
Authentication system, authentication device, terminal device, authentication method, and program Download PDFInfo
- Publication number
- JP5206992B2 JP5206992B2 JP2009294739A JP2009294739A JP5206992B2 JP 5206992 B2 JP5206992 B2 JP 5206992B2 JP 2009294739 A JP2009294739 A JP 2009294739A JP 2009294739 A JP2009294739 A JP 2009294739A JP 5206992 B2 JP5206992 B2 JP 5206992B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- terminal device
- hash value
- response
- hash
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、チャレンジ・レスポンス型の認証方式による認証を行う認証システム、それに用いられる認証装置及び端末装置、更には、認証方法、及びこれらを実現するためのプログラムに関する。 The present invention relates to an authentication system that performs authentication by a challenge-response type authentication method, an authentication device and a terminal device used therefor, an authentication method, and a program for realizing them.
近年、コンピュータネットワークにおける機密性を確保するため、多くの場合において、チャレンジ・レスポンス型の認証方式が採用されている。一般に、チャレンジ・レスポンス型の認証方式では、先ず、認証を受けたいクライアント(端末装置)は、サーバに対して認証要求を送信する。次に、サーバは、「チャレンジコード」と呼ばれるランダムな数値列をクライアントに返信する。 In recent years, challenge-response type authentication methods have been adopted in many cases in order to ensure confidentiality in computer networks. In general, in the challenge-response type authentication method, first, a client (terminal device) that wants to receive authentication transmits an authentication request to the server. Next, the server returns a random numerical sequence called “challenge code” to the client.
続いて、クライアントは、ハッシュ関数を用いて、ユーザが入力したパスワード等の資格情報とチャレンジとから「レスポンス」を作成し、これをサーバに送る。次に、サーバは、チャレンジと予め登録されている資格情報とからレスポンスを作成し、これと送られてきたレスポンスとを比較する。そして、サーバは、二つのレスポンスが一致すると、クライアントに対して、システムへのアクセスを許可する旨の通知を送信する。 Subsequently, the client uses the hash function to create a “response” from the credential information such as a password input by the user and the challenge, and sends this to the server. Next, the server creates a response from the challenge and pre-registered qualification information, and compares this with the response that has been sent. When the two responses match, the server transmits a notification to the effect that the access to the system is permitted to the client.
また、このようなチャレンジ・レスポンス型の認証方式は、CHAP(Challenge Handshake:認証プロトコル)、及びNTLM認証等の種々の認証方式でも採用されている。更に、チャレンジ・レスポンス型の認証方式については、その応用も含めると、既に多くの標準化が行われている(RFC1994、2060、2195、2617、2831、3261)。但し、従来からのチャレンジ・レスポンス型の認証方式には、以下の問題P1〜問題P3が存在する。 Such a challenge-response type authentication method is also employed in various authentication methods such as CHAP (Challenge Handshake: authentication protocol) and NTLM authentication. Furthermore, many standardizations have already been made for challenge-response type authentication methods including their applications (RFC 1994, 2060, 2195, 2617, 2831, 3261). However, the conventional challenge-response type authentication method has the following problems P1 to P3.
(P1)従来からのチャレンジ・レスポンス型の認証方式では、ハッシュ値の特定を難しくするために、クライアントと認証サーバとの間でチャレンジコードとそのレスポンスとが送受信されているが、その漏洩リスクの考慮が十分でないという問題がある。 (P1) In the conventional challenge-response type authentication method, in order to make it difficult to specify the hash value, a challenge code and its response are transmitted and received between the client and the authentication server. There is a problem that consideration is not enough.
(P2)また、チャレンジコード又はレスポンスが漏洩しても、ハッシュ値の解読が困難であれば大きな問題とならないが、従来からのチャレンジ・レスポンス型の認証方式では、計算機速度の向上によるハッシュ解読の危険性が高まっている。つまり、いわゆる「2010年問題」で指摘されているように、近年における計算機の演算速度の高速化により、暗号化又はハッシュ化されたデータが復号されてしまう危険性が増大している。 (P2) Even if the challenge code or response is leaked, it will not be a big problem if it is difficult to decrypt the hash value, but the conventional challenge-response type authentication method does not provide hash decryption by improving the computer speed. The danger is increasing. In other words, as pointed out in the so-called “2010 problem”, the risk of decrypting encrypted or hashed data has increased due to the recent increase in computing speed of computers.
例えば、MD5(Message Digest Algorithm 5)のハッシュ値については、実際に、近年の計算機によって原像復元の実証実験に成功したことが報告されている。また、SSL証明書を偽装できることも報告されている。更に、パスワードクラッキングが実在している。このような事実は、上記の危険性の増大を裏付けている。 For example, with regard to the hash value of MD5 (Message Digest Algorithm 5), it has been reported that a proof experiment of original image restoration has actually been successful by a recent computer. It has also been reported that SSL certificates can be camouflaged. In addition, password cracking exists. Such facts support the increased risk described above.
(P3)上記問題P2の解決手段として、ハッシュ値からの一種の復号を一層困難にすることが検討され、ハッシュ鍵の鍵長を長くしたり、ハッシュ関数をより複雑にしたりといったことが提案されている。しかしながら、鍵長を長くしたり、ハッシュ関数を複雑化したりすると、その度に、認証システムを変更する必要があり、この結果、過去のデータとの互換性を確保することが難しくなるという新たな問題が発生してしまう。 (P3) As a means for solving the problem P2, it has been studied to make a kind of decryption from the hash value more difficult, and it has been proposed to increase the key length of the hash key or to make the hash function more complicated. ing. However, if the key length is increased or the hash function is complicated, it is necessary to change the authentication system each time. As a result, it becomes difficult to ensure compatibility with past data. A problem will occur.
上記の問題P2と問題P3とからわかるように、従来からのチャレンジ・レスポンス型
の認証方式は、計算機の計算速度とハッシュ関数との間において、終わりのない、いたちごっこを招いている。ここで、従来から提案されているチャレンジ・レスポンス型の認証方式について例を挙げて説明する(例えば、特許文献1〜特許文献2参照)。
As can be seen from the problem P2 and the problem P3, the conventional challenge-response type authentication method invites an endless game between the calculation speed of the computer and the hash function. Here, a challenge-response type authentication method that has been conventionally proposed will be described with reference to an example (see, for example,
特許文献1は、ハッシュ値生成装置を用いた認証方式を提案している。特許文献1に開示の認証方式について具体的に説明する。ユーザには、予め、ハッシュ値生成装置が配布されている。ハッシュ値生成装置は、ユーザの端末から、ユーザが入力したメッセージと、送信された固有値dとを受け取る。そして、サーバが、固有値dを含むチャレンジをユーザの端末に送信すると、ハッシュ値生成装置は、予め保持しているハッシュ関数生成固有値s(サーバでも保持されている)と、固有値dとからハッシュ値生成固有値uを算出する。更に、ハッシュ値生成装置は、ハッシュ値生成固有値uとメッセージとでハッシュ値を生成する。生成されたハッシュ値は、レスポンスとして、ユーザの端末からサーバに送信される。
また、特許文献2は、クライアントにおいてパスワードを使わずに、クライアント・サーバ間で共有する固定の乱数情報と、オンデマンドでサーバが作成する乱数情報とを用いて認証を行う認証方式を提案している。
特許文献2に開示の認証方式について具体的に説明する。予め、サーバは、クライアントに対して、両者が共通して保持する固有乱数情報を配布する。そして、先ず、サーバは、認証の度にワンタイム情報(一時的な乱数情報)を生成し、更に、ワンタイム情報を元にしてチャレンジデータを生成し、これをクライアントに送信する。次に、クライアントは、ワンタイム情報に含まれる乱数情報と固有乱数情報とを用いて引数を算出し、これをハッシュ関数によって処理してハッシュ値を生成する。更に、クライアントは、ハッシュ値を含むレスポンスをサーバに送信する。
The authentication method disclosed in
サーバは、クライアントとは別に、ワンタイム情報に含まれる乱数情報と固有乱数情報とを用いて引数を算出し、これをハッシュ関数によって処理してハッシュ値を生成する。そして、サーバは、生成したハッシュ値と、クライアントから送信されたレスポンスに含まれるハッシュ値とを比較し、一致する場合に認証を行う。 The server calculates an argument using random number information and unique random number information included in the one-time information separately from the client, and processes this with a hash function to generate a hash value. Then, the server compares the generated hash value with the hash value included in the response transmitted from the client, and performs authentication if they match.
上述の特許文献1に開示の認証方式では、第三者が原像を計算するためには、ハッシュ値生成装置で保持されているハッシュ関数生成固有値sと、ハッシュ値とを取得する必要がある。また、上述の特許文献2に開示の認証方式では、第三者は、原像を計算するためには、予めサーバとクライアントとが保持している乱数情報と、オンデマンドでサーバが作成する乱数情報とを取得する必要がある。従って、これらの認証方式では、問題P1で述べた漏洩リスクについては考慮されていると考えられる。
In the authentication method disclosed in
しかしながら、特許文献1に開示の認証方式においては、いずれかの一方の値のみ、又は事前に渡される固有値dのみが漏洩する場合がある。また、漏洩した値は、単独であっても、個々の有意性のため、解読の助けとなる。同様に、特許文献2に開示の認証方式においては、いずれかの乱数情報が漏洩しただけで、解読の助けになる。
However, in the authentication method disclosed in
このように、特許文献1及び特許文献2に開示されている認証方式を用いた場合であっても、上記の問題P1が解消されているとは言い難く、更に、計算機の処理能力の向上と共に増大する解読の危険性が存在することから、上記の問題P2の解決も困難である。
As described above, even when the authentication methods disclosed in
更に、この結果、計算機の処理能力の向上と共に増大する解読の危険性から逃れるためには、鍵長を長くしたり、ハッシュ値を複雑化したりする必要がある。そして、このような事が行われる度に、認証システムの変更が必要となる。結局のところ、特許文献1及び特許文献2に開示されている認証方式を用いても、過去のデータとの互換性が失われ、過去の資産を保持することが難しい、という上記問題P3の解決は困難である。
Further, as a result, in order to escape from the danger of decryption that increases with the improvement of the processing capability of the computer, it is necessary to lengthen the key length or make the hash value complicated. And whenever such a thing is done, the change of an authentication system is needed. After all, even if the authentication methods disclosed in
また、特に、特許文献1に開示の認証方式では、ハッシュ値生成装置を他人に取得された場合に、他人がユーザになりすますことができ、認証されてしまうという問題がある。特許文献1では、ハッシュ値生成装置を配布する際の安全性が考慮されておらず、ハッシュ値生成装置の盗難又は紛失等によって、それに含まれる情報が第三者に取得されると、第三者は簡単に原像を復元することができる。
In particular, the authentication method disclosed in
本発明の目的は、上記問題を解消し、第三者による、漏洩した情報からの原像復元の可能性を低下させ、且つ、過去のデータとの互換性を保持し得る、認証システム、認証装置、端末装置、認証方法、及びプログラムを提供することにある。 An object of the present invention is to solve the above-mentioned problems, reduce the possibility of original image restoration from leaked information by a third party, and maintain the compatibility with past data. An apparatus, a terminal device, an authentication method, and a program are provided.
上記目的を達成するため、本発明における認証システムは、認証装置と、端末装置とを備えた認証システムであって、
前記認証装置は、前記端末装置からの認証要求を受信すると、予め設定された2以上の固定値を含むチャレンジコードを前記端末装置に送信し、
前記端末装置は、前記認証装置から前記チャレンジコードを受信すると、前記2以上の固定値それぞれ毎にハッシュ化を行ってハッシュ値を算出し、算出した各ハッシュ値を含むレスポンスを作成し、作成した前記レスポンスを前記認証装置に送信する、ことを特徴とする。
In order to achieve the above object, an authentication system according to the present invention is an authentication system including an authentication device and a terminal device,
When receiving the authentication request from the terminal device, the authentication device transmits a challenge code including two or more preset fixed values to the terminal device,
Upon receiving the challenge code from the authentication device, the terminal device performs hashing for each of the two or more fixed values to calculate a hash value, creates a response including each calculated hash value, and creates The response is transmitted to the authentication device.
上記目的を達成するため、本発明における認証装置は、端末装置からの認証要求に応じて認証を行う認証装置であって、
前記端末装置からの認証要求を受信した場合に、予め設定された2以上の固定値を含むチャレンジコードを作成する、チャレンジコード作成部と、
前記チャレンジコードを前記端末装置に送信する、チャレンジコード送信部と、
を備えていることを特徴とする。
In order to achieve the above object, an authentication device according to the present invention is an authentication device that performs authentication in response to an authentication request from a terminal device,
A challenge code creation unit that creates a challenge code including two or more preset fixed values when receiving an authentication request from the terminal device;
A challenge code transmitter for transmitting the challenge code to the terminal device;
It is characterized by having.
上記目的を達成するため、本発明における端末装置は、認証装置に対して認証要求を行う端末装置であって、
前記認証装置が、予め設定された2以上の固定値を含むチャレンジコードを当該端末装置に送信した場合に、前記2以上の固定値それぞれ毎にハッシュ化を行ってハッシュ値を算出する、ハッシュ化部と、
算出した各ハッシュ値を含むレスポンスを作成し、作成した前記レスポンスを前記認証装置に送信する、レスポンス作成部と、
を備えていることを特徴とする。
In order to achieve the above object, a terminal device according to the present invention is a terminal device that makes an authentication request to an authentication device, and
When the authentication device transmits a challenge code including two or more preset fixed values to the terminal device, hashing is performed by performing hashing for each of the two or more fixed values. And
Creating a response including each calculated hash value, and sending the created response to the authentication device;
It is characterized by having.
また、上記目的を達成するため、本発明における認証方法は、
(a)端末装置によって認認証要求がなされた場合に、認証側の認証装置で、予め設定された2以上の固定値を含むチャレンジコードを作成し、作成した前記チャレンジコードを認証要求側に送信する、ステップと、
(b)前記認証要求側の前記端末装置において、前記チャレンジコードを受信した場合に、前記2以上の固定値それぞれ毎にハッシュ化を行ってハッシュ値を算出する、ステップと、
(c)前記認証要求側の前記端末装置において、前記(b)のステップで算出した各ハッシュ値を含むレスポンスを作成し、作成した前記レスポンスを前記認証側の前記認証装置に送信する、ステップと、を有することを特徴とする。
In order to achieve the above object, the authentication method in the present invention is:
(A) When an authentication request is made by the terminal device, the authentication device on the authentication side creates a challenge code including two or more preset fixed values, and transmits the created challenge code to the authentication request side Step,
(B) In the terminal device on the authentication request side, when the challenge code is received, a hash value is calculated by performing hashing for each of the two or more fixed values; and
(C) In the terminal device on the authentication request side , a response including each hash value calculated in the step (b) is created, and the created response is transmitted to the authentication device on the authentication side; and It is characterized by having.
更に、上記目的を達成するため、本発明における第1のプログラムは、コンピュータによって、端末装置からの認証要求に応じた認証を行うためのプログラムであって、
前記コンピュータに、
(a)前記端末装置からの認証要求を受信した場合に、予め設定された2以上の固定値を含むチャレンジコードを作成する、ステップと、
(b)前記チャレンジコードを前記端末装置に送信する、ステップと、
を実行させる、ことを特徴とする。
Furthermore, in order to achieve the above object, a first program in the present invention is a program for performing authentication in response to an authentication request from a terminal device by a computer,
In the computer,
(A) when receiving an authentication request from the terminal device, creating a challenge code including two or more preset fixed values;
(B) transmitting the challenge code to the terminal device;
Is executed.
また、上記目的を達成するため、本発明における第2のプログラムは、コンピュータによって、認証装置に対する認証要求を行うためのプログラムであって、
前記コンピュータに、
(a)前記認証装置が、予め設定された2以上の固定値を含むチャレンジコードを前記コンピュータに送信した場合に、前記2以上の固定値それぞれ毎にハッシュ化を行ってハッシュ値を算出する、ステップと、
(b)前記(a)のステップで算出した各ハッシュ値を含むレスポンスを作成し、作成した前記レスポンスを前記認証装置に送信する、ステップと、
を実行させる、ことを特徴とする。
In order to achieve the above object, the second program in the present invention is a program for making an authentication request to the authentication device by a computer,
In the computer,
(A) When the authentication device transmits a challenge code including two or more preset fixed values to the computer, the hash value is calculated by performing hashing for each of the two or more fixed values. Steps,
(B) creating a response including each hash value calculated in the step (a) and transmitting the created response to the authentication device;
Is executed.
以上の特徴により、本発明における、認証システム、認証装置、端末装置、認証方法、及びプログラムによれば、過去のデータとの互換性を保持しつつ、第三者からの攻撃による原像復元の可能性を低下させることができる。 With the above features, according to the authentication system, authentication device, terminal device, authentication method, and program of the present invention, it is possible to restore the original image by an attack from a third party while maintaining compatibility with past data. The possibility can be reduced.
(実施の形態1)
以下、本発明の実施の形態における、認証システム、認証装置、端末装置、認証方法、及びプログラムについて、図1及び図2を参照しながら説明する。最初に、本実施の形態における、認証システム、認証装置、及び端末装置の構成について図1を用いて説明する。図1は、本発明の実施の形態における認証システムの構成を示すブロック図である。
(Embodiment 1)
Hereinafter, an authentication system, an authentication device, a terminal device, an authentication method, and a program according to an embodiment of the present invention will be described with reference to FIGS. 1 and 2. First, configurations of an authentication system, an authentication device, and a terminal device in the present embodiment will be described with reference to FIG. FIG. 1 is a block diagram showing a configuration of an authentication system according to an embodiment of the present invention.
図1に示すように、本実施の形態における認証システム1は、チャレンジ・レスポンス型の認証方式を採用するシステムであって、認証装置10と、端末装置30とを備えている。図1においては、認証装置10及び端末装置30は、それぞれ、一つのみが例示されているが、本実施の形態において、認証装置10及び端末装置30の数は限定されず、2以上であっても良い。
As shown in FIG. 1, the
認証システム1において、端末装置30は、認証装置10に対して認証要求を発行する。認証装置10は、端末装置からの認証要求に応じて、認証を行い、対応するシステムへ
のアクセスを許可する場合は、許可する旨を端末装置30に通知する。認証システム1における操作性は、背景技術の欄において述べたCHAP又はNTLMを採用するシステムと同様である。
In the
また、図1に示すように、認証装置10は、チャレンジコード作成部11と、チャレンジコード送信部12とを備えている。チャレンジコード作成部11は、端末装置30からの認証要求を受信した場合に、予め設定された2以上の固定値を含むチャレンジコードを作成する。この2以上の固定値は、認証装置10に固有の値である。このとき、固定値の数は、2以上であれば良く、特に限定されない。また、チャレンジコード送信部12は、チャレンジコードを端末装置30に送信する。
As illustrated in FIG. 1, the
端末装置30は、ハッシュ化部34と、レスポンス作成部37とを備えている。ハッシュ化部34は、認証装置10が2以上の固定値を含むチャレンジコードを端末装置30に送信した場合に、固定値毎にハッシュ化を行ってハッシュ値を算出する。レスポンス作成部37は、算出された各ハッシュ値を含むレスポンスを作成し、作成したレスポンスを認証装置10に送信する。
The
このように、本実施の形態においては、特許文献1及び2に開示された認証システムと異なり、端末装置30は、認証装置10が送信した各固定値に対応して、異なる2以上のハッシュ値を算出し、これらハッシュ値をレスポンスとして送信する。このため、本実施の形態における認証システム1では、認証装置10は、複数個のハッシュ値を用いて認証を行うことができる。例えば、後述するように、認証装置10は、全てのハッシュ値が予め保持されているハッシュ値と一致する場合にのみ、端末装置30のシステムへのログインを認めるようにすることができる。
Thus, in the present embodiment, unlike the authentication systems disclosed in
また、漏洩したハッシュ値から原像を取得しようとする第三者は、全てのハッシュ値を取得し、全てのハッシュ値について解析を行う必要がある。よって、認証システム1を用いれば、ハッシュ値からの原像の取得の困難化を促進でき、第三者からの攻撃による現像復元の可能性を大きく低下させることができる。更に、ハッシュ値の多重化により、この効果は、ハッシュ鍵の鍵長を長くしたり、ハッシュ値を複雑化したりといったことを行うことなく得られるため、過去のデータとの互換性も保持される。
A third party who wants to acquire the original image from the leaked hash value needs to acquire all the hash values and analyze all the hash values. Therefore, if the
ところで、従来からのチャレンジ・レスポンス型の認証方式には、「レスポンスが、パスワードのような小規模なデータである場合に、ハッシュ値の衝突が困難になればなる程、そのデータのハッシュ値からの推定が容易になってしまう」という問題がある。また、「ハッシュ関数が利用されるため、ハッシュ値の衝突困難の程度が低ければ、衝突(即ち、偶発的なハッシュ値の一致)の可能性が高まってしまう」という問題もある。 By the way, the conventional challenge-response type authentication method has the following: “If the response is small data such as a password, the more difficult it is to collide with the hash value, There is a problem that it becomes easier to estimate. There is also a problem that “there is a possibility of collision (that is, accidental matching of hash values) if the degree of difficulty of hash value collision is low because a hash function is used”.
これらの問題は、ハッシュ値の復号の困難化(原像計算の困難化)と、ハッシュ値の衝突回避の向上(衝突の困難化)とが、ハッシュ関数の数学的性格上、互いに相反することに起因する問題である。つまり、これらの問題は、ハッシュ関数を利用するが故の問題であり、ハッシュ関数が複雑になっても本質的な解決は不可能である。 These problems are that the difficulty of decoding hash values (difficulty of original image calculation) and the improvement of avoidance of collision of hash values (difficulty of collision) conflict with each other due to the mathematical nature of the hash function. This is due to the problem. In other words, these problems are problems because the hash function is used, and even if the hash function becomes complicated, it cannot be essentially solved.
これに対して、認証システム1を用い場合は、認証に用いるハッシュ値が多重化されているので、全ての多重化されたハッシュ値が一度に衝突することは稀であり、衝突の回避の向上と同様の効果が得られると考えられる。つまり、複数個のハッシュ値の一致が認証に必要であるとすると、レスポンスに含まれるハッシュ値が一つの場合に比べて、各段に衝突が生じる可能性を小さくすることができる。
On the other hand, when the
ここで、本実施の形態における、認証システム、認証装置、及び端末装置の構成につい
て更に具体的に説明する。また、以下の説明においても図1を参照する。
Here, the configuration of the authentication system, the authentication device, and the terminal device in the present embodiment will be described more specifically. Moreover, FIG. 1 is referred also in the following description.
本実施の形態において、認証システム1は、オペレーティングシステム(OS)、又はCHAP等を利用したネットワークシステムにおける、ログオン認証の構造又は手段として用いられることが、想定されている。この場合、認証装置10と、端末装置30とは、図1には示されていないが、インターネット、LANといったネットワークを介して接続される。また、以降においては、認証システム1が、オペレーティングシステム(OS)又はネットワークシステムにおけるログオン認証に用いられる例について説明する。
In the present embodiment, it is assumed that the
その他、認証システム1は、各種メディアにおけるアクセス制限のための認証や、コピープロテクト時において利用者及び環境を識別するための認証にも利用できる。更に、認証システム1は、施設において入退出を管理するための入館管理システムにも利用できる。認証システム1がこれらの用途に用いられる場合は、認証装置10と端末装置30とは、ネットワークの他、プロセス間通信によって、又はデバイス間に設けられた専用の通信回線等によって接続されていても良い。
In addition, the
本実施の形態では、認証装置10及び端末装置30は、後述するように、コンピュータに本実施の形態におけるプログラムをインストールし、実行することによって実現できる。また、この場合、認証装置10及び端末装置30は、コンピュータで実行されるプロセスの一つであっても良い。
In the present embodiment, the
図1に示すように、本実施の形態では、認証装置10は、チャレンジコード作成部11及びチャレンジコード送信部12に加えて、レスポンス受信部13と、認証部14と、サーバ定数保持部20と、ハッシュテーブル保持部21とを備えている。
As shown in FIG. 1, in the present embodiment, the
サーバ定数保持部20は、チャレンジコードの作成に用いられる2以上の固定値と、認証装置10に固有の公開鍵K1とを保持している。本実施の形態では、固定値は、固定値pと固定値qとの二つである。以降においては、固定値p及びq(p≠q)が用いられる例について説明する。また、公開鍵K1は、端末装置30における暗号化に用いられる。なお、レスポンス受信部13、認証部14、及びハッシュテーブル保持部21についての説明は、端末装置30についての説明の後に行う。
The server
本実施の形態において、チャレンジコード作成部11は、サーバ定数保持部20にアクセスして、公開鍵K1、固定値p及び固定値qを取得し、これらを含むチャレンジコードを作成する。このようにして作成されたチャレンジコードは、特許文献1及び2に開示されたチャンレンジコードとは全く異なっている。
In the present embodiment, the challenge code creating unit 11 accesses the server
なお、上述したように、本実施の形態では、固定値の個数は、説明の都合で2個に設定さているが、これに限定されず、求められる多重化度に合わせて設定されれば良い。固定値の個数は、多重化度の数を意味する。認証装置10の数が複数である場合に、固定値の値は、機密性の向上の点から、認証装置10毎に、決まった値又は良く使用される値にならないように設定されても良い。そして、このような設定が求められる場合は、認証装置10の想定される台数の上限値をl、求められる固定値の個数をnとすると、nは「n≪l」が成立するように設定するのが良い。
As described above, in the present embodiment, the number of fixed values is set to two for convenience of explanation, but is not limited to this, and may be set according to the required degree of multiplexing. . The number of fixed values means the number of multiplexing degrees. When there are a plurality of
また、図1に示すように、端末装置30は、ハッシュ化部34及びレスポンス作成部37に加えて、入力情報受付部31と、チャレンジコード受信部32と、中間情報作成部33と、乱数作成部35と、暗号化部36とを備えている。
As shown in FIG. 1, the
入力情報受付部31は、端末装置30のユーザによって外部から情報の入力が行われる
と、入力された情報の受け付けを行う。本実施の形態では、ユーザによる入力機器の操作によって、ログオン操作に必要な資格情報Xが入力される。また、資格情報Xは、予め認証装置10において登録されている。具体的には、上記したハッシュテーブル保持部21によって保持されている。また、チャレンジコード受信部32は、端末装置30から送信されたチャレンジコードを受信し、これを中間情報作成部33に送る。
When the user of the
中間情報作成部33は、認証装置10が送信したチャレンジコードをチャレンジコード受信部32が受信すると、固定値毎に、入力情報受付部31が受け付けた情報と、固定値とを用いて中間情報を作成する。具体的には、中間情報作成部33は、予め設定されている関数fに、固定値p及びqと、資格情報Xとを入力し、二つの一致しない中間情報f(p,X)及びf(q,X)を算出する。ハッシュ化は、後述するように中間情報に対して行われる。このように、本実施の形態では、ハッシュ化される前の原像に対して演算が行われるため、第三者による原像(資格情報X)の取得はより困難となっている。
When the challenge code receiving unit 32 receives the challenge code transmitted by the
また、関数fは、演算ルールを知っていれば、算出値を元の値に戻すことが可能な関数であれば良く、関数fとしては、例えば、以下の(1)〜(4)で構成された関数族を用いることができる。
(1)C1=資格情報Xを、固定値p又はqの即値として、又は補填文字の個数として、固定値p及びqそれぞれの前又は後に連結する
(2)C2=固定値p又はqによって資格情報Xをマスクする(具体的には、排他的論理和を求める関数、又は一次変換を実行する)
(3)C3=固定値p又はqを用いて資格情報Xをシフトさせる
(4)C4=固定値p又はqに依存した置換を資格情報Xに対して実行する
(5)F(Ci)={f|Ci}、
F(Ci&Cj)={f|Ci&Cj}=F(Ci)∩F(Cj)等
Further, the function f only needs to be a function capable of returning the calculated value to the original value as long as the calculation rule is known. Examples of the function f include the following (1) to (4). Can be used.
(1) C 1 = qualification information X is connected as an immediate value of fixed value p or q, or as the number of supplementary characters, before or after fixed values p and q, respectively (2) C 2 = fixed value p or q The qualification information X is masked by (specifically, a function for obtaining an exclusive OR or a primary conversion is executed).
(3) C 3 = shift qualification information X using fixed value p or q (4) C 4 = perform qualification information X for substitution depending on fixed value p or q (5) F (C i ) = {f | C i },
F (C i & C j ) = {f | C i & C j } = F (C i ) ∩F (C j ), etc.
なお、ここで、「演算ルールを知っていれば、算出値を元の値に戻すことが可能な関数」について補足する。例えば、上記の資格情報Xを固定値p又はqの即値として固定値p及びqそれぞれの適切な位置に連結するC1としては、f(X,p)=Xp、及びf(X,q)=Xqとする関数と、f(X,p)に長さp(pは正の整数に限る)の文字列を付加する関数とが挙げられる。このような場合、算出値を元の値に戻すためには、演算ルールを知っている必要がある。但し、後者の関数の場合は、演算ルールのみが知られていれば良く、付加された文字列までもが知られている必要はない。 Here, it is supplemented about “a function that can return a calculated value to an original value if a calculation rule is known”. For example, as C 1 connecting the qualification information X as an immediate value of the fixed value p or q to an appropriate position of each of the fixed values p and q, f (X, p) = Xp and f (X, q) And a function that adds a character string of length p (p is limited to a positive integer) to f (X, p). In such a case, it is necessary to know the calculation rule in order to return the calculated value to the original value. However, in the case of the latter function, it is sufficient that only the calculation rule is known, and it is not necessary to know even the added character string.
また、本実施の形態において、認証システム1は、既存のシステムに適用でき、過去の資産との互換性を有しているのが好ましい。この場合、ハッシュ化のためのハッシュ関数をhとすると、関数fは、任意の定数rが定義でき、且つ、「∃r∀X(h(X)=h(f(r,X)))」が成立するように設定するのが好ましい。例えば、関数fが、単に文字列を連結する関数(F(C1)関数族の関数)である場合は、空文字列εに対して下記の数1が成立する。また、下記の数1による空文字列εをハッシュ関数hに導入すれば、下記の数2が成立する。
In the present embodiment, the
(数1)
f(ε,X)=ε・X=f(X,ε)=X・ε=X
(Equation 1)
f (ε, X) = ε · X = f (X, ε) = X · ε = X
(数2)
h(X)=h(f(ε,X))=h(f(X,ε))
(Equation 2)
h (X) = h (f (ε, X)) = h (f (X, ε))
本実施の形態において、ハッシュ化部34は、ハッシュ関数hを用い、中間情報作成部33が作成した中間情報に対して、中間情報毎に、ハッシュ化を行い、ハッシュ値を算出
する。具体的には、ハッシュ化部34は、固定値pから得られた中間情報と、固定値qから得られた中間情報とをそれぞれハッシュ化し、h(f(p,X))と、h(f(q,X))とを算出する。本実施の形態によれば、多重化されたハッシュ値が得られることになる。
In the present embodiment, the hashing
また、算出されるハッシュ値は、認証装置10において、テーブル(ハッシュテーブル)に登録された状態で上記したハッシュテーブル保持部21に登録されており、認証装置10における認証に利用される。なお、認証装置10においてのハッシュ値の登録は、資格情報Xが登録又は更新されたときに行われる。
In addition, the calculated hash value is registered in the hash table holding unit 21 in the state registered in the table (hash table) in the
乱数作成部35は、ハッシュ化部34が算出したハッシュ値毎に、乱数を作成し、作成した乱数を、対応するハッシュ値に付加する。具体的には、乱数作成部35は、h(f(p,X))に対して乱数r1を作成し、h(f(p,X))r1、又はr1・h(f(p,X))を算出する。また、乱数作成部35は、h(f(q,X))に対して乱数r2を作成し、h(f(q,X))r2、又はr2・h(f(q,X))を算出する。
The random number creation unit 35 creates a random number for each hash value calculated by the hashing
このように、各ハッシュ値に乱数が付与されると、後に送信されるレスポンスが資格情報Xで固定されないことになり、第三者による原像(資格情報X)の取得は、より一層困難となる。なお、特許文献2においては、乱数は認証装置側から送信する必要があるが、本実施の形態においてはその必要はなく、端末装置30において作成される。
In this way, when a random number is given to each hash value, a response to be transmitted later is not fixed with the qualification information X, and acquisition of the original image (qualification information X) by a third party is even more difficult. Become. In
また、本実施の形態において、乱数作成部35は、必要な個数だけの乱数を、互いに値が異なり、且つ、認証の度に異なる値となるようにして、作成する。更に、乱数は、擬似的な乱数でもあっても良いし、日時情報に基づくものであっても良い。但し、乱数が偏りを持った値であると、暗号化されていても、解読のヒントを与える可能性があるため、この点に注意する必要がある。 Further, in the present embodiment, the random number creation unit 35 creates the required number of random numbers so that the values are different from each other and different for each authentication. Further, the random number may be a pseudo random number or may be based on date information. However, if the random number has a biased value, even if it is encrypted, there is a possibility of giving hints for decryption, so this point needs to be noted.
なお、乱数の必要な個数は固定値の個数と同義であり、多重化度の数を意味する。必要な個数をmとすると、m=nとなる。よって、上述したように、「n≪l」とする場合は、「m≪l」となるように配慮する。また、上述したF(Ci)の関数fの場合、乱数をf(X,p)の前後に連結させる際に、いずれかではなく、前後両方に連結すると、乱数であることが攻撃者である第三者に知られる可能性が高くなるので、採用すべきではない。 The required number of random numbers is synonymous with the number of fixed values, and means the number of multiplexing degrees. If the required number is m, m = n. Therefore, as described above, when “n << l”, consideration is given to satisfy “m << l”. Further, in the case of the function f of F (C i ) described above, when connecting random numbers before and after f (X, p), it is an attacker that the random number is connected to both before and after the random number. You should not adopt it because it is more likely to be known to a third party.
暗号化部36は、認証装置10がチャレンジコードとして送信した公開鍵K1を用いて、各ハッシュ値を暗号化(:E)する。具体的には、暗号化部36は、乱数作成部35によって乱数が付加された、ハッシュ値h(f(p, X))・r1と、ハッシュ値h(f(q,X))・r2とを暗号化する。これにより、E(K1,h(f(p, X))・r1)と、E(K1,h(f(q,X))・r2)が得られる。なお、乱数の後ろにハッシュ値を連結する場合は、暗号化対象は、r1・h(f(p,X))と、r2・h(f(q,X))とになり、暗号化して、E(K1,r1・h(f(p,X)))と、E(K1,r2・h(f(q,X)))とが得られる。
The encryption unit 36 encrypts (: E) each hash value using the public key K1 transmitted by the
なお、従来からの認証方式であるCHAPでは、端末装置において、共通鍵を用いた暗号化が行われている(例えば、DESを用いたMS−CHAPv2)が、本実施の形態はこれと異なっている。 In CHAP, which is a conventional authentication method, encryption using a common key is performed in a terminal device (for example, MS-CHAPv2 using DES), but this embodiment is different from this. Yes.
レスポンス作成部37は、本実施の形態では、乱数の付加と暗号化とが行われた各ハッシュ値を用いて、各ハッシュ値を含むレスポンスを作成する。具体的には、レスポンス作成部37は、暗号化部36によって暗号化された、E(K1,h(f(p, X))r1)
と、E(K1,h(f(q,X))r2)とを含むレスポンスを作成する。または、レスポンス作成部37は、暗号化部36によって暗号化された、E(K1,r1・h(f(p,X)))と、E(K1,r2・h(f(q,X)))とを含むレスポンスを作成する。
In this embodiment, the response creation unit 37 creates a response including each hash value by using each hash value to which random number addition and encryption have been performed. Specifically, the response creating unit 37 encrypts E (K1, h (f (p, X)) r1) encrypted by the encrypting unit 36.
And a response including E (K1, h (f (q, X)) r2). Alternatively, the response creation unit 37 encrypts E (K1, r1 · h (f (p, X))) and E (K1, r2 · h (f (q, X)) encrypted by the encryption unit 36. )).
認証装置10において、端末装置30のレスポンス作成部37が送信したレスポンスは、レスポンス受信部13によって受信される。レスポンス受信部13は、受信したレスポンスを認証部14に入力する。認証部14は、レスポンスに含まれる各ハッシュ値と、予め保持されているハッシュ値とを比較し、レスポンスに含まれる全てのハッシュ値が、予め保持されているハッシュ値と一致していることを条件に、端末装置30に対してログインの許可を与える。
In the
具体的には、認証部14は、復号部15と、乱数処理部16と、検索部17とを備えている。復号部15は、公開鍵K1に対応する秘密鍵K2を用いて、レスポンスに含まれるE(K1,h(f(p, X))r1)と、E(K1,h(f(q,X))r2)とを別々に復号化する。また、レスポンスに、E(K1,r1・h(f(p,X)))と、E(K1,r2・h(f(q,X)))とが含まれる場合は、認証部14は、これらに対して復号を行う。この結果、ハッシュ値h(f(p, X)r1[又はr1・h(f(p,X))]と、ハッシュ値h(f(q,X))r2[又はr2・h(f(q,X))]とが取得される。
Specifically, the
乱数処理部16は、復号化された各値から、端末装置30の乱数作成部35によって付加された乱数r1及びr2を排除する。これにより、h(f(p,X))と、h(f(q,X))とが取得される。乱数処理部16は、乱数が排除されたh(f(p,X))及びh(f(q,X))を検索部17に送る。なお、乱数の排除は、端末装置30の乱数作成部35が乱数を付加する位置に関する情報(以下「乱数位置情報」という。)を、予め、認証装置10に保持させておくことによって行うことができる。また、乱数位置情報の保持は、認証装置10の構築時等に行わせれば良い。更に、乱数位置情報は、システム毎に固定されていても良い。
The random number processing unit 16 excludes the random numbers r1 and r2 added by the random number generation unit 35 of the
検索部17は、乱数処理部16から、ハッシュ値h(f(p,X))及びh(f(q,X))が送られてくると、ハッシュテーブル保持部21に保持されているハッシュテーブルを用いて、送られてきた各ハッシュ値の検索を行う。具体的には、検索部17は、多重化された全てのハッシュ値がハッシュテーブルに存在するかどうかを、時間計算量ο(1)を用いて判定する。
When the hash values h (f (p, X)) and h (f (q, X)) are sent from the random number processing unit 16, the
また、判定の結果、検索部17が、多重化されたハッシュ値h(f(p,X))及びh(f(q,X))全ての存在を確認した場合は、端末装置30のシステムへのアクセスが許可される。これにより、認証装置10は、端末装置30に対して、許可する旨の通知を送信する。一方、判定の結果、検索部17が、多重化されたハッシュ値h(f(p,X))及びh(f(q,X))の一つでも存在を確認できなかった場合は、端末装置30のシステムへのアクセスは許可されない。これにより、認証装置10は、端末装置30に対して、許可しない旨の通知を送信する。
As a result of the determination, if the
そして、既に述べたように、認証システム1は、既存のシステムに適用でき、過去の資産との互換性を有している。このため、本実施の形態では、既存のシステムがハッシュテーブルを保持している場合は、この既に保持されているハッシュテーブルを検索部17での処理に利用することもできる。なお、ここでいう「既存のシステム」としては、例えば、一つのハッシュ値を一つのハッシュテーブルを用いて検索するシステムをいう。また、「既存のシステム」は、ハッシュ解読の困難化に限界が来た場合等、必要に応じて、ハッシュテーブルを増加させることが可能な構成を有しているのが好ましい。
As described above, the
更に、本実施の形態では、資格情報は、認証装置10において登録及び更新されるが、登録及び更新は、認証装置10と端末装置30との間のプロトコルと安全性との保証の点から、以下のルール(R1)〜(R4)に従って行われているのが好ましい。ルール(R1)〜(R4)によれば、登録の段階でのハッシュ値の衝突の回避が可能となる。
Furthermore, in the present embodiment, the qualification information is registered and updated in the
(R1)資格情報を登録したテーブルが認証装置側で保持される。認証装置が複数存在する場合、このテーブルは単一であっても良いし、認証装置毎に作成されていても良い。
(R2)資格情報を登録するに際して、それに対応するハッシュ値が、既に登録済みのハッシュ値と一致する場合は、資格情報の登録者に対して、資格情報の再検討を促す。
(R3)資格情報は、例えば、固定値p≠固定値qであれば、h(f(p,X))≠h(f(q,X))となるように設定する。h(f(p,X))=h(f(q,X))となった場合は、登録者に対して、資格情報の再検討を促す。
(R4)資格情報を更新するに際しては、更新前の資格情報に対応するハッシュ値は、削除される。
(R1) A table in which qualification information is registered is held on the authentication device side. When there are a plurality of authentication apparatuses, this table may be single or may be created for each authentication apparatus.
(R2) When registering qualification information, if the corresponding hash value matches the already registered hash value, the qualification information registrant is urged to review the qualification information.
(R3) For example, if the fixed value p ≠ fixed value q, the qualification information is set so that h (f (p, X)) ≠ h (f (q, X)). When h (f (p, X)) = h (f (q, X)), the registrant is urged to review the qualification information.
(R4) When updating the qualification information, the hash value corresponding to the qualification information before the update is deleted.
次に、本発明の実施の形態における、認証システム1、認証装置10、及び端末装置30の動作について図2を用いて説明する。図2は、本発明の実施の形態における認証システムの動作を示すフロー図である。図2では、右側に認証装置10の動作のフローが示され、左側に端末装置30の動作のフローが示されている。
Next, operations of the
また、以下の説明においては、適宜図1を参酌する。更に、本実施の形態では、認証システム1、認証装置10及び端末装置30を動作させることによって、認証方法が実施される。よって、本実施の形態における認証方法の説明は、以下の認証システム1、認証装置10及び端末装置30の動作説明に代える。
In the following description, FIG. 1 is taken into consideration as appropriate. Furthermore, in this embodiment, the authentication method is implemented by operating the
(ステップA1)
図2に示すように、ユーザがログオン操作として資格情報Xを入力すると、端末措置30において、入力情報受付部31は、資格情報Xの入力を受け付ける。
(Step A1)
As shown in FIG. 2, when the user inputs the qualification information X as a logon operation, the input information receiving unit 31 receives the input of the qualification information X in the
(ステップA2)
入力情報受付部31は、認証装置10に対して認証要求を発行する。
(Step A2)
The input information receiving unit 31 issues an authentication request to the
(ステップB1)
認証装置10において、チャレンジコード作成部11は、サーバ定数保持部20にアクセスして、固定値p、固定値q、及び公開鍵K1を取得し、これらを含むチャレンジコードを作成する。
(Step B1)
In the
(ステップB2)
チャレンジコード送信部12は、ステップB1で作成されたチャレンジコードを端末装置30に送信する。
(Step B2)
The challenge code transmission unit 12 transmits the challenge code created in step B1 to the
(ステップA3)
ステップB2が実行されると、端末装置30において、チャレンジコード受信部32は、チャレンジコードを受信する。チャレンジコード受信部32は、受信したチャレンジコードに含まれる情報のうち、固定値p及びqを中間情報作成部33に送り、公開鍵K1を暗号化部36に送る。
(Step A3)
When step B2 is executed, in the
(ステップA4)
端末装置30において、中間情報作成部33は、固定値p及び固定値qそれぞれについ
て、これらと、資格情報とを用いて中間情報を作成する。
(Step A4)
In the
(ステップA5)
端末装置30において、ハッシュ化部34は、ハッシュ関数hを用い、ステップA4で作成された中間情報に対して、中間情報毎に、ハッシュ化を行い、ハッシュ値を算出する。
(Step A5)
In the
(ステップA6)
端末装置30において、乱数作成部35は、ハッシュ化部34が算出したハッシュ値毎に、乱数r1及びr2を作成し、乱数r1及びr2を、対応するハッシュ値に付加する。
(Step A6)
In the
(ステップA7)
端末装置30において、暗号化部36は、ステップA3で受信した公開鍵K1を用いて、ステップA5で乱数が付加された各ハッシュ値を暗号化する。
(Step A7)
In the
(ステップA8)
端末装置30において、レスポンス作成部37は、ステップA7によって暗号化された各ハッシュ値を用いて、各ハッシュ値を含むレスポンスを作成し、これを認証装置10に送信する。
(Step A8)
In the
(ステップB3)
ステップA8が実行されると、認証装置10において、レスポンス受信部13は、送信されたレスポンスを受信する。レスポンス受信部13は、受信したレスポンスを認証部14に送る。
(Step B3)
When step A8 is executed, in the
(ステップB4)
認証装置10において、認証部14の復号部15は、公開鍵K1に対応する秘密鍵K2を用いて、レスポンスに含まれる暗号化された各情報を別々に復号化する。
(Step B4)
In the
(ステップB5)
認証装置10において、乱数処理部16は、上述の乱数位置情報に基づき、乱数を除去する。この結果、ステップB4で得られた各値から乱数r1又はr2が排除され、ハッシュ値のみの状態となる。
(Step B5)
In the
(ステップB6)
認証装置10において、検索部16は、ハッシュテーブル保持部21に保持されているハッシュテーブルを用いて、ステップB5で得られた各ハッシュ値の検索を行う。
(Step B6)
In the
(ステップB7)
検索部16は、全てのハッシュ値が、ハッシュテーブルに存在しているかどうかを判定し、全て存在している場合に、認証装置10は、端末装置30のログインを許可する。なお、ハッシュ値の全て又は一つが存在していない場合は、認証装置10は、端末装置30のログインを許可しない。
(Step B7)
The search unit 16 determines whether or not all hash values exist in the hash table. If all the hash values exist, the
(ステップB8)
認証装置10は、ステップB7での判定結果が示された通知を端末装置30に送信する。これにより、認証装置10における認証処理は終了する。
(Step B8)
The
(ステップA9)
ステップB8が実行されると、端末装置30は、判定結果を受信し、結果を表示画面に
表示させる。これにより、ユーザは、認証結果を知ることができる。また、ステップA9の実行により、端末装置30における認証処理は終了する。
(Step A9)
When step B8 is executed, the
また、本実施の形態における第1のプログラムは、コンピュータに、図2に示すステップA1〜A9を実行させるプログラムであれば良い。このプログラムをコンピュータにインストールし、実行することによって、本実施の形態における端末装置30を実現することができる。この場合、コンピュータのCPU(Central Processing Unit)は、入力情報受付部31、チャレンジコード受信部32、中間情報作成部33、ハッシュ化部34、乱数作成部35、暗号化部36及びレスポンス作成部37として機能し、処理を行なう。
The first program in the present embodiment may be a program that causes a computer to execute steps A1 to A9 shown in FIG. By installing and executing this program on a computer, the
更に、本実施の形態における第2のプログラムは、コンピュータに、図2に示すステップB1〜B8を実行させるプログラムであれば良い。このプログラムをコンピュータにインストールし、実行することによって、本実施の形態における認証装置10を実現することができる。この場合、コンピュータのCPUは、チャレンジコード作成部11、チャレンジコード送信部12、レスポンス受信部13、認証部14として機能し、処理を行なう。
Furthermore, the second program in the present embodiment may be a program that causes a computer to execute steps B1 to B8 shown in FIG. By installing and executing this program on a computer, the
また、サーバ定数保持部20と、ハッシュテーブル保持部21とは、コンピュータに備えられたハードディスク等の記憶装置に、これらを構成するデータファイルを格納することによって実現できる。
Further, the server
以上のように、本実施の形態では、ハッシュ値の多重化が行われ、多重化された全てのハッシュ値が、ハッシュテーブルに存在する場合にのみ、認証装置10は、端末装置30にアクセス許可を与える。このため、上述したように、従来からのハッシュ関数を用いているにも関わらず、ハッシュ値の衝突困難の程度が高められる。また、一つのハッシュ値のみが第三者によって解析されても、第三者が原像を取得することは困難である。従って、本実施載の形態における認証システムは、極めて安全性の高いシステムとなる。
As described above, in this embodiment, the hash value is multiplexed, and the
更に、本実施の形態では、ハッシュ値に対して乱数の付加と暗号化とが行われるため、チャレンジコードが固定であっても、レスポンスは非固定となる。また、乱数は、端末装置30側で作成・付加されるため、例え、チャレンジコードが漏洩しても、第三者は、原像計算に結びつける情報を取得したことにはならない。よって、本実施の形態では、これらの点からもシステムの安全性は確保されている。
Furthermore, in the present embodiment, since a random number is added to the hash value and encrypted, the response is not fixed even if the challenge code is fixed. In addition, since the random number is created and added on the
また、本実施の形態では、計算機速度の向上に合わせてハッシュ関数を複雑にすることなく、システムの安全性を確保できるため、既存のチャレンジ・レスポンス型認証方式を採用するシステムの資産を有効に活用できる。 In addition, in this embodiment, the security of the system can be secured without complicating the hash function in accordance with the improvement of the computer speed, so the assets of the system adopting the existing challenge-response type authentication method can be effectively used. Can be used.
本実施の形態において、資格情報は、情報化・一意化できるものであれば良く、特定の種類の情報に限定されるものではない。具体的には、資格情報としては、ID番号、パスワード、アカウント、暗証番号、バイオメトリクス(指紋、静脈パターン)、等といった個人を特定する情報が挙げられる。 In the present embodiment, the qualification information may be any information and unique information, and is not limited to a specific type of information. Specifically, the qualification information includes information for identifying an individual such as an ID number, password, account, personal identification number, biometrics (fingerprint, vein pattern), and the like.
本発明によれば、チャレンジ・レスポンス型の認証方式を採用するシステムにおいて、過去のデータとの互換性を保持しつつ、第三者からの攻撃による原像復元の可能性を低下させることができる。本発明は、オペレーティングシステム又はネットワークシステムのログオン認証及びアカウント認証、各種メディアでのアクセス制限のための認証、コピープロテクト時の利用者及び環境を識別するための認証、入館管理システムにおける認証に有用である。 According to the present invention, in a system employing a challenge-response type authentication method, it is possible to reduce the possibility of original image restoration by an attack from a third party while maintaining compatibility with past data. . The present invention is useful for logon authentication and account authentication of operating systems or network systems, authentication for restricting access to various media, authentication for identifying users and environments at the time of copy protection, and authentication in an entrance management system. is there.
(付記1)端末装置からの認証要求に応じて認証を行う認証装置であって、
前記端末装置からの認証要求を受信した場合に、予め設定された2以上の固定値を含むチャレンジコードを作成する、チャレンジコード作成部と、
前記チャレンジコードを前記端末装置に送信する、チャレンジコード送信部と、
を備えていることを特徴とする認証装置。
(Appendix 1) An authentication device that performs authentication in response to an authentication request from a terminal device,
A challenge code creation unit that creates a challenge code including two or more preset fixed values when receiving an authentication request from the terminal device;
A challenge code transmitter for transmitting the challenge code to the terminal device;
An authentication device comprising:
(付記2)認証部を更に備え、
前記認証部は、
前記端末装置が、前記2以上の固定値それぞれ毎にハッシュ化を行ってハッシュ値を算出し、算出した各ハッシュ値を含むレスポンスを当該認証装置に送信した場合に、
前記レスポンスに含まれる各ハッシュ値と、予め保持されているハッシュ値とを比較し、前記レスポンスに含まれる全てのハッシュ値が、予め保持されているハッシュ値と一致していることを条件に、前記端末装置に対して許可を与える、付記1に記載の認証装置。
(Additional remark 2) The authentication part is further provided,
The authentication unit
When the terminal device performs hashing for each of the two or more fixed values to calculate a hash value, and transmits a response including each calculated hash value to the authentication device,
Each hash value included in the response is compared with a hash value held in advance, and all hash values included in the response match the hash value held in advance. The authentication device according to
(付記3)認証装置に対して認証要求を行う端末装置であって、
前記認証装置が、予め設定された2以上の固定値を含むチャレンジコードを当該端末装置に送信した場合に、前記2以上の固定値それぞれ毎にハッシュ化を行ってハッシュ値を算出する、ハッシュ化部と、
算出した各ハッシュ値を含むレスポンスを作成し、作成した前記レスポンスを前記認証装置に送信する、レスポンス作成部と、
を備えていることを特徴とする端末装置。
(Appendix 3) A terminal device that makes an authentication request to an authentication device,
When the authentication device transmits a challenge code including two or more preset fixed values to the terminal device, hashing is performed by performing hashing for each of the two or more fixed values. And
Creating a response including each calculated hash value, and sending the created response to the authentication device;
A terminal device comprising:
(付記4)当該端末装置が、更に、外部から入力された情報を受け付ける入力情報受付部と、中間情報作成部とを備え、
前記中間情報作成部は、前記認証装置が、予め設定された2以上の固定値を含むチャレンジコードを当該端末装置に送信した場合に、前記2以上の固定値それぞれ毎に、前記入力情報受付部が受け付けた前記情報と、当該固定値とを用いて中間情報を作成し、
前記ハッシュ化部が、前記中間情報作成部が作成した前記中間情報毎に、ハッシュ化を行ってハッシュ値を算出する、付記3に記載の端末装置。
(Additional remark 4) The said terminal device is further provided with the input information reception part which receives the information input from the outside, and an intermediate information preparation part,
When the authentication device transmits a challenge code including two or more preset fixed values to the terminal device, the intermediate information creating unit is configured to receive the input information receiving unit for each of the two or more fixed values. Create intermediate information using the information received by and the fixed value,
The terminal device according to
(付記5)当該端末装置が、更に、乱数作成部を備え、
前記乱数作成部は、前記ハッシュ値毎に乱数を作成し、作成した前記乱数を、対応するハッシュ値に付加し、
前記レスポンス作成部が、前記乱数が付加されたハッシュ値を用いて前記レスポンスを作成する、付記3または付記4に記載の端末装置。
(Supplementary Note 5) The terminal device further includes a random number generation unit,
The random number creation unit creates a random number for each hash value, adds the created random number to a corresponding hash value,
The terminal device according to
(付記6)当該端末装置が、更に、暗号化部を備え、
前記暗号化部は、前記認証装置が、前記2以上の固定値に加えて公開鍵を更に含む前記チャレンジコードを当該端末装置に送信した場合に、前記公開鍵を用いて、前記各ハッシュ値を暗号化し、
前記レスポンス作成部が、暗号化された前記各ハッシュ値を含むレスポンスを作成する、付記3〜付記5のいずれかに記載の端末装置。
(Appendix 6) The terminal device further includes an encryption unit,
When the authentication unit transmits the challenge code further including a public key in addition to the two or more fixed values to the terminal device, the encryption unit uses the public key to calculate the hash values. Encrypt,
The terminal device according to any one of
(付記7)(a)端末装置によって認証要求がなされた場合に、認証側の認証装置で、予め設定された2以上の固定値を含むチャレンジコードを作成し、作成した前記チャレンジコードを認証要求側に送信する、ステップと、
(b)前記認証要求側の前記端末装置において、前記チャレンジコードを受信した場合に、前記2以上の固定値それぞれ毎にハッシュ化を行ってハッシュ値を算出する、ステップと、
(c)前記認証要求側の前記端末装置において、前記(b)のステップで算出した各ハッシュ値を含むレスポンスを作成し、作成した前記レスポンスを前記認証側の前記認証装置に送信する、ステップと、を有することを特徴とする認証方法。
(Appendix 7) (a) When an authentication request is made by a terminal device, the authentication device on the authentication side creates a challenge code including two or more preset fixed values, and requests the created challenge code for authentication Send to the step, and
(B) In the terminal device on the authentication request side, when the challenge code is received, a hash value is calculated by performing hashing for each of the two or more fixed values; and
(C) In the terminal device on the authentication request side , a response including each hash value calculated in the step (b) is created, and the created response is transmitted to the authentication device on the authentication side; and The authentication method characterized by having.
(付記8)(d)前記認証側において、前記(c)のステップで送信された前記レスポンスを受信した場合に、前記レスポンスに含まれる各ハッシュ値と、予め前記認証側で保持されているハッシュ値とを比較し、前記レスポンスに含まれる全てのハッシュ値が、前記保持されているハッシュ値と一致している場合にのみ、前記認証要求を認める、ステップを更に有する、付記7に記載の認証方法。
(Supplementary Note 8) (d) When the authentication side receives the response transmitted in the step (c), each hash value included in the response and a hash held in advance on the authentication side The authentication according to
(付記9)(e)前記認証要求側において、前記チャレンジコードを受信した場合に、前記(b)のステップの実行前に、前記2以上の固定値それぞれ毎に、当該固定値と外部から入力された情報とを用いて中間情報を作成する、ステップを更に有し、
前記(b)のステップにおいて、前記(e)のステップで作成した前記中間情報毎にハッシュ化を行ってハッシュ値を算出する、付記7または付記8に記載の認証方法。
(Supplementary Note 9) (e) When the challenge request is received on the authentication request side, before the execution of the step (b), the fixed value and an external input are input for each of the two or more fixed values. And creating intermediate information using the generated information, and
The authentication method according to
(付記10)(f)前記認証要求側において、前記(c)のステップの実行前に、前記ハッシュ値毎に乱数を作成し、作成した前記乱数を、対応するハッシュ値に付加する、ステップを更に有し、
前記(c)のステップにおいて、前記(f)のステップで前記乱数が付加されたハッシュ値を用いて前記レスポンスを作成する、付記7〜付記9のいずれかに記載の認証方法。
(Supplementary Note 10) (f) On the authentication request side, before executing the step (c), a random number is created for each hash value, and the created random number is added to the corresponding hash value. In addition,
The authentication method according to any one of
(付記11)前記(a)のステップにおいて、前記認証側で、公開鍵を更に含む前記チャレンジコードを作成し、
前記(c)のステップにおいて、前記公開鍵を用いて、前記各ハッシュ値を暗号化し、暗号化された前記各ハッシュ値を含むレスポンスを作成する、付記7〜付記10のいずれかに記載の認証方法。
(Supplementary Note 11) In the step (a), the authentication side creates the challenge code further including a public key,
The authentication according to any one of
(付記12)コンピュータによって、端末装置からの認証要求に応じた認証を行うためのプログラムであって、
前記コンピュータに、
(a)前記端末装置からの認証要求を受信した場合に、予め設定された2以上の固定値を含むチャレンジコードを作成する、ステップと、
(b)前記チャレンジコードを前記端末装置に送信する、ステップと、
を実行させる、ことを特徴とするプログラム。
(Supplementary Note 12) A program for performing authentication in response to an authentication request from a terminal device by a computer,
In the computer,
(A) when receiving an authentication request from the terminal device, creating a challenge code including two or more preset fixed values;
(B) transmitting the challenge code to the terminal device;
A program characterized by having executed.
(付記13)(c)前記端末装置が、前記2以上の固定値それぞれ毎にハッシュ化を行ってハッシュ値を算出し、算出した各ハッシュ値を含むレスポンスを当該コンピュータに送信した場合に、前記レスポンスに含まれる各ハッシュ値と、予め保持されているハッシュ値とを比較し、前記レスポンスに含まれる全てのハッシュ値が、予め保持されているハッシュ値と一致していることを条件に、前記端末装置に対して許可を与える、ステップを、更に前記コンピュータに実行させる、付記12に記載のプログラム。 (Supplementary Note 13) (c) When the terminal device performs hashing for each of the two or more fixed values to calculate a hash value, and transmits a response including the calculated hash values to the computer, Each hash value included in the response is compared with a hash value held in advance, and all the hash values included in the response match with the hash value held in advance. The program according to appendix 12, further causing the computer to execute a step of giving permission to the terminal device.
(付記14)コンピュータによって、認証装置に対する認証要求を行うためのプログラムであって、前記コンピュータに、
(a)前記認証装置が、予め設定された2以上の固定値を含むチャレンジコードを前記コンピュータに送信した場合に、前記2以上の固定値それぞれ毎にハッシュ化を行ってハッシュ値を算出する、ステップと、
(b)前記(a)のステップで算出した各ハッシュ値を含むレスポンスを作成し、作成した前記レスポンスを前記認証装置に送信する、ステップと、
を実行させる、ことを特徴とするプログラム。
(Supplementary note 14) A program for making an authentication request to an authentication device by a computer,
(A) When the authentication device transmits a challenge code including two or more preset fixed values to the computer, the hash value is calculated by performing hashing for each of the two or more fixed values. Steps,
(B) creating a response including each hash value calculated in the step (a) and transmitting the created response to the authentication device;
A program characterized by having executed.
(付記15)(c)外部から入力された情報を受け付ける、ステップと、
(d)前記認証装置が、予め設定された2以上の固定値を含むチャレンジコードを当該端末装置に送信した場合に、前記(a)のステップの実行前に、前記2以上の固定値それぞれ毎に、前記(c)のステップで入力された情報と、当該固定値とを用いて中間情報を作成する、ステップと、
を更に前記コンピュータに実行させ、
前記(a)のステップにおいて、前記(d)のステップで作成した前記中間情報毎に、ハッシュ化を行ってハッシュ値を算出する、付記14に記載のプログラム。
(Supplementary Note 15) (c) receiving information input from the outside;
(D) When the authentication device transmits a challenge code including two or more preset fixed values to the terminal device, each of the two or more fixed values is executed before the execution of the step (a). And generating intermediate information using the information input in the step (c) and the fixed value,
Is further executed by the computer,
15. The program according to
(付記16)(e)前記(b)のステップの実行前に、前記ハッシュ値毎に乱数を作成し、作成した前記乱数を、対応するハッシュ値に付加する、ステップを更に前記コンピュータに実行させ、
前記(b)のステップにおいて、前記(e)のステップで乱数が付加されたハッシュ値を用いて前記レスポンスを作成する、付記14または付記15に記載のプログラム。
(Supplementary Note 16) (e) Before executing the step (b), a random number is generated for each hash value, and the generated random number is added to the corresponding hash value, and the computer is further executed. ,
The program according to
(付記17)前記(b)のステップにおいて、
前記認証装置が、前記2以上の固定値に加えて公開鍵を更に含む前記チャレンジコードを前記コンピュータに送信した場合に、
前記公開鍵を用いて、前記各ハッシュ値を暗号化し、暗号化された前記各ハッシュ値を含むレスポンスを作成する、付記14〜付記16のいずれかに記載のプログラム。
(Supplementary Note 17) In the step (b),
When the authentication apparatus transmits the challenge code further including a public key in addition to the two or more fixed values, to the computer,
The program according to any one of
1 認証システム
10 認証装置
11 チャレンジコード作成部
12 チャレンジコード送信部
13 レスポンス受信部
14 認証部
15 復号部
16 乱数処理部
17 検索部
20 サーバ定数保持部
21 ハッシュテーブル保持部
30 端末装置
31 入力情報受付部
32 チャレンジコード受信部
33 中間情報作成部
34 ハッシュ化部
35 乱数作成部
36 暗号化部
37 レスポンス作成部
DESCRIPTION OF
Claims (8)
前記認証装置は、前記端末装置からの認証要求を受信すると、予め設定された2以上の固定値を含むチャレンジコードを前記端末装置に送信し、
前記端末装置は、前記認証装置から前記チャレンジコードを受信すると、前記2以上の固定値それぞれ毎にハッシュ化を行ってハッシュ値を算出し、算出した各ハッシュ値を含むレスポンスを作成し、作成した前記レスポンスを前記認証装置に送信する、ことを特徴とする認証システム。 An authentication system comprising an authentication device and a terminal device,
When receiving the authentication request from the terminal device, the authentication device transmits a challenge code including two or more preset fixed values to the terminal device,
Upon receiving the challenge code from the authentication device, the terminal device performs hashing for each of the two or more fixed values to calculate a hash value, creates a response including each calculated hash value, and creates An authentication system, wherein the response is transmitted to the authentication device.
前記端末装置が、前記公開鍵を用いて、前記各ハッシュ値を暗号化し、暗号化された前記各ハッシュ値を含むレスポンスを作成する、請求項1〜4のいずれかに記載の認証システム。 The authentication device transmits the challenge code further including a public key to the terminal device;
The authentication system according to claim 1, wherein the terminal device encrypts each hash value using the public key and creates a response including the encrypted hash values.
前記認証装置が、予め設定された2以上の固定値を含むチャレンジコードを当該端末装置に送信した場合に、前記2以上の固定値それぞれ毎にハッシュ化を行ってハッシュ値を算出する、ハッシュ化部と、
算出した各ハッシュ値を含むレスポンスを作成し、作成した前記レスポンスを前記認証装置に送信する、レスポンス作成部と、
を備えていることを特徴とする端末装置。 A terminal device that makes an authentication request to an authentication device,
When the authentication device transmits a challenge code including two or more preset fixed values to the terminal device, hashing is performed by performing hashing for each of the two or more fixed values. And
Creating a response including each calculated hash value, and sending the created response to the authentication device;
A terminal device comprising:
(b)前記認証要求側の前記端末装置において、前記チャレンジコードを受信した場合に、前記2以上の固定値それぞれ毎にハッシュ化を行ってハッシュ値を算出する、ステップと、
(c)前記認証要求側の前記端末装置において、前記(b)のステップで算出した各ハッシュ値を含むレスポンスを作成し、作成した前記レスポンスを前記認証側の前記認証装置に送信する、ステップと、を有することを特徴とする認証方法。 (A) When an authentication request is made by the terminal device, the authentication device on the authentication side creates a challenge code including two or more preset fixed values, and transmits the created challenge code to the authentication request side , Step and
(B) In the terminal device on the authentication request side, when the challenge code is received, a hash value is calculated by performing hashing for each of the two or more fixed values; and
(C) In the terminal device on the authentication request side, a response including each hash value calculated in the step (b) is created, and the created response is transmitted to the authentication device on the authentication side; and The authentication method characterized by having.
(a)前記認証装置が、予め設定された2以上の固定値を含むチャレンジコードを前記コンピュータに送信した場合に、前記2以上の固定値それぞれ毎にハッシュ化を行ってハッシュ値を算出する、ステップと、
(b)前記(a)のステップで算出した各ハッシュ値を含むレスポンスを作成し、作成した前記レスポンスを前記認証装置に送信する、ステップと、
を実行させる、ことを特徴とするプログラム。
A program for making an authentication request to an authentication device by a computer,
(A) When the authentication device transmits a challenge code including two or more preset fixed values to the computer, the hash value is calculated by performing hashing for each of the two or more fixed values. Steps,
(B) creating a response including each hash value calculated in the step (a) and transmitting the created response to the authentication device;
A program characterized by having executed.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009294739A JP5206992B2 (en) | 2009-12-25 | 2009-12-25 | Authentication system, authentication device, terminal device, authentication method, and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009294739A JP5206992B2 (en) | 2009-12-25 | 2009-12-25 | Authentication system, authentication device, terminal device, authentication method, and program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2011135464A JP2011135464A (en) | 2011-07-07 |
JP5206992B2 true JP5206992B2 (en) | 2013-06-12 |
Family
ID=44347691
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009294739A Active JP5206992B2 (en) | 2009-12-25 | 2009-12-25 | Authentication system, authentication device, terminal device, authentication method, and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5206992B2 (en) |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CA2830283C (en) | 2011-03-25 | 2016-11-01 | Certicom Corp. | Interrogating an authentication device |
EP2705725B1 (en) | 2011-05-06 | 2017-07-19 | Certicom Corp. | Managing data for authentication devices |
US9369290B2 (en) * | 2012-11-30 | 2016-06-14 | Certicom Corp. | Challenge-response authentication using a masked response value |
US9727720B2 (en) | 2012-11-30 | 2017-08-08 | Certicom Corp. | Challenge-response authentication using a masked response value |
JP2014174721A (en) * | 2013-03-08 | 2014-09-22 | Genetec Corp | Information sharing system |
JP6264935B2 (en) * | 2014-02-24 | 2018-01-24 | 大日本印刷株式会社 | Authentication method for information processing apparatus |
BR112017013581B1 (en) * | 2014-12-22 | 2022-11-29 | Nidec Corporation | POSITION ESTIMATION METHOD, POSITION ESTIMATION DEVICE AND POSITION CONTROL DEVICE |
US20190003856A1 (en) * | 2015-12-18 | 2019-01-03 | Nidec Corporation | Motor module and motor authentication method |
CN108600168A (en) * | 2018-03-19 | 2018-09-28 | 网御安全技术(深圳)有限公司 | A kind of secure coding method and system for the attack of artificial intelligence image identification |
Family Cites Families (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPS62237483A (en) * | 1986-04-09 | 1987-10-17 | 三菱電機株式会社 | Encoding and reading of information |
JP2001331102A (en) * | 2000-03-14 | 2001-11-30 | Sony Corp | Device and method for data transmission, device and method for decoding data, and transmission system |
JP2002217892A (en) * | 2001-01-24 | 2002-08-02 | Toyo Commun Equip Co Ltd | Key data input system |
JP3889660B2 (en) * | 2002-05-07 | 2007-03-07 | 日本電信電話株式会社 | Authentication method and authentication system |
JP4212450B2 (en) * | 2002-10-29 | 2009-01-21 | シャープ株式会社 | Data communication apparatus, communication terminal, data communication program, and computer-readable recording medium recording the data communication program |
US8718279B2 (en) * | 2003-07-08 | 2014-05-06 | Qualcomm Incorporated | Apparatus and method for a secure broadcast system |
JP2005352710A (en) * | 2004-06-10 | 2005-12-22 | Hitachi Ltd | Individual authenticating device |
US7814320B2 (en) * | 2005-07-19 | 2010-10-12 | Ntt Docomo, Inc. | Cryptographic authentication, and/or establishment of shared cryptographic keys, using a signing key encrypted with a non-one-time-pad encryption, including (but not limited to) techniques with improved security against malleability attacks |
JP2007129306A (en) * | 2005-11-01 | 2007-05-24 | Nec Corp | Pll control circuit |
CN101159639B (en) * | 2007-11-08 | 2010-05-12 | 西安西电捷通无线网络通信有限公司 | One-way access authentication method |
CN100488099C (en) * | 2007-11-08 | 2009-05-13 | 西安西电捷通无线网络通信有限公司 | Bidirectional access authentication method |
-
2009
- 2009-12-25 JP JP2009294739A patent/JP5206992B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2011135464A (en) | 2011-07-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5206992B2 (en) | Authentication system, authentication device, terminal device, authentication method, and program | |
CN109088889B (en) | SSL encryption and decryption method, system and computer readable storage medium | |
RU2718689C2 (en) | Confidential communication control | |
KR101130415B1 (en) | A method and system for recovering password protected private data via a communication network without exposing the private data | |
US9419797B2 (en) | System, processing device, computer program and method, to transparently encrypt and store data objects such that owners of the data object and permitted viewers are able to view decrypted data objects after entering user selected passwords | |
US6950523B1 (en) | Secure storage of private keys | |
WO2017164159A1 (en) | 1:n biometric authentication, encryption, signature system | |
JP2009529832A (en) | Undiscoverable, ie secure data communication using black data | |
US20190238334A1 (en) | Communication system, communication client, communication server, communication method, and program | |
KR20180117715A (en) | Method and system for user authentication with improved security | |
US20140172830A1 (en) | Secure search processing system and secure search processing method | |
CN111630811A (en) | System and method for generating and registering secret key for multipoint authentication | |
US11606202B2 (en) | Methods and systems for secure data transmission | |
WO2018112482A1 (en) | Method and system for distributing attestation key and certificate in trusted computing | |
JP6627043B2 (en) | SSL communication system, client, server, SSL communication method, computer program | |
GB2554082B (en) | User sign-in and authentication without passwords | |
JP6671701B1 (en) | Arithmetic device, arithmetic method, arithmetic program, and arithmetic system | |
JP2022093492A (en) | Data extraction system, data extraction method, registration device, and program | |
JP4794970B2 (en) | Secret information protection method and communication apparatus | |
CN111740995A (en) | Authorization authentication method and related device | |
JP2008048166A (en) | Authentication system | |
CN112565156B (en) | Information registration method, device and system | |
JP6165044B2 (en) | User authentication apparatus, system, method and program | |
CN116866029B (en) | Random number encryption data transmission method, device, computer equipment and storage medium | |
US20220329412A1 (en) | Network arrangement for secure use of a private key remotely accessed through an open network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120914 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120926 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20121031 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20121121 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130104 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130123 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130205 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20160301 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5206992 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |