JPH10134157A - 計算機カードを利用した暗号認証処理方法および装置 - Google Patents
計算機カードを利用した暗号認証処理方法および装置Info
- Publication number
- JPH10134157A JPH10134157A JP8285299A JP28529996A JPH10134157A JP H10134157 A JPH10134157 A JP H10134157A JP 8285299 A JP8285299 A JP 8285299A JP 28529996 A JP28529996 A JP 28529996A JP H10134157 A JPH10134157 A JP H10134157A
- Authority
- JP
- Japan
- Prior art keywords
- user
- computer card
- encryption
- information
- computer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
(57)【要約】
【課題】 暗号装置内の秘密情報が第三者に漏れること
なく、正当な利用者だけが複数の暗号方式を利用するこ
とができ、複数の応用システムにより同時に機能させる
ことができる計算機カードを利用した暗号認証処理方法
および装置を提供する。 【解決手段】 利用者は暗号方式管理部19に暗号方式
を問い合わせ、通信制御部11に利用モードを設定して
通信を開始し、アクセス制御部12に利用者IDを送信
し、アクセス制御部12は秘密情報記憶部23に格納さ
れている利用者IDと一致する場合のみ秘密情報のアク
セス権を利用者に与え、利用者は与えられたアクセス権
に従って公開情報、秘密情報にアクセスし、鍵生成処理
および暗号認証処理を行う。
なく、正当な利用者だけが複数の暗号方式を利用するこ
とができ、複数の応用システムにより同時に機能させる
ことができる計算機カードを利用した暗号認証処理方法
および装置を提供する。 【解決手段】 利用者は暗号方式管理部19に暗号方式
を問い合わせ、通信制御部11に利用モードを設定して
通信を開始し、アクセス制御部12に利用者IDを送信
し、アクセス制御部12は秘密情報記憶部23に格納さ
れている利用者IDと一致する場合のみ秘密情報のアク
セス権を利用者に与え、利用者は与えられたアクセス権
に従って公開情報、秘密情報にアクセスし、鍵生成処理
および暗号認証処理を行う。
Description
【0001】
【発明の属する技術分野】本発明は、計算機システムま
たは通信システムなどにおけるデータの暗号および認証
に適用できる計算機カードを利用した暗号認証処理方法
および装置に関する。
たは通信システムなどにおけるデータの暗号および認証
に適用できる計算機カードを利用した暗号認証処理方法
および装置に関する。
【0002】
【従来の技術】近年、オープンなネットワークでの情報
通信における情報の盗聴、改ざん、なりすましの脅威に
対処する方法が検討されている。従来、ネットワークで
通信される情報や情報端末装置に蓄積されている情報を
保護する方法において、情報端末装置内で暗号認証処理
を行う方法や、計算機カードなどの外部装置内で暗号認
証処理を行う方法が知られている。
通信における情報の盗聴、改ざん、なりすましの脅威に
対処する方法が検討されている。従来、ネットワークで
通信される情報や情報端末装置に蓄積されている情報を
保護する方法において、情報端末装置内で暗号認証処理
を行う方法や、計算機カードなどの外部装置内で暗号認
証処理を行う方法が知られている。
【0003】これらの暗号方法においては、図12に示
すように、まず利用者が暗号装置を利用する利用者ID
は予め定められており、利用者の鍵生成命令によって暗
号装置内で生成された鍵を格納する。利用者は利用者I
Dを入力することにより鍵の使用許可を得、鍵取得命令
により鍵を取得する。次に、取得した鍵で平文データを
暗号化する命令を出し、暗号化されたデータを情報端末
装置に蓄積したり通信処理を開始する方法が有効であ
る。
すように、まず利用者が暗号装置を利用する利用者ID
は予め定められており、利用者の鍵生成命令によって暗
号装置内で生成された鍵を格納する。利用者は利用者I
Dを入力することにより鍵の使用許可を得、鍵取得命令
により鍵を取得する。次に、取得した鍵で平文データを
暗号化する命令を出し、暗号化されたデータを情報端末
装置に蓄積したり通信処理を開始する方法が有効であ
る。
【0004】
【発明が解決しようとする課題】前述した従来の暗号方
法では、秘密情報である暗号鍵を暗号装置(情報端末装
置および計算機カード)に格納する場合、通常秘密鍵な
どで暗号化されて格納されるが、実際に暗号処理を行う
際に、取得した暗号鍵が復号されてメインメモリ上に展
開されるため、盗聴される危険があり、特に情報端末装
置内に鍵を格納する場合は、鍵の盗難や消去される危険
がある。
法では、秘密情報である暗号鍵を暗号装置(情報端末装
置および計算機カード)に格納する場合、通常秘密鍵な
どで暗号化されて格納されるが、実際に暗号処理を行う
際に、取得した暗号鍵が復号されてメインメモリ上に展
開されるため、盗聴される危険があり、特に情報端末装
置内に鍵を格納する場合は、鍵の盗難や消去される危険
がある。
【0005】更に、利用者が暗号処理を行うための利用
者IDが予め固定されているため、この利用者IDが漏
洩する危険が高い。また、利用者が利用者IDを忘却し
た場合の対処法がなく、計算機発行元に計算機カード再
発行などの負担をかけることになる。加えて、従来の計
算機カードを使用した暗号方法では、1つの暗号方式し
か機能することができず、また複数の応用システムから
同時に機能させることができない。
者IDが予め固定されているため、この利用者IDが漏
洩する危険が高い。また、利用者が利用者IDを忘却し
た場合の対処法がなく、計算機発行元に計算機カード再
発行などの負担をかけることになる。加えて、従来の計
算機カードを使用した暗号方法では、1つの暗号方式し
か機能することができず、また複数の応用システムから
同時に機能させることができない。
【0006】本発明は、上記に鑑みてなされたもので、
その目的とするところは、暗号装置内の秘密情報が第三
者に漏れることなく、正当な利用者だけが複数の暗号方
式を利用することができ、複数の応用システムにより同
時に機能させることができる計算機カードを利用した暗
号認証処理方法および装置を提供することにある。
その目的とするところは、暗号装置内の秘密情報が第三
者に漏れることなく、正当な利用者だけが複数の暗号方
式を利用することができ、複数の応用システムにより同
時に機能させることができる計算機カードを利用した暗
号認証処理方法および装置を提供することにある。
【0007】
【課題を解決するための手段】上記目的を達成するた
め、請求項1記載の本発明は、利用者が蓄積した情報ま
たは利用者に配送された情報を計算機カード内の秘密の
暗号鍵で暗号化し、計算機カード内または計算機カード
に接続されている外部装置で利用することを要旨とす
る。
め、請求項1記載の本発明は、利用者が蓄積した情報ま
たは利用者に配送された情報を計算機カード内の秘密の
暗号鍵で暗号化し、計算機カード内または計算機カード
に接続されている外部装置で利用することを要旨とす
る。
【0008】また、請求項2記載の本発明は、利用者が
蓄積または利用者に配送され、共通鍵暗号方式または公
開鍵暗号方式の公開鍵により暗号化された情報を計算機
カード内の秘密の復号鍵で復号し、計算機カード内また
は計算機カードに接続されている外部装置で利用するこ
とを要旨とする。
蓄積または利用者に配送され、共通鍵暗号方式または公
開鍵暗号方式の公開鍵により暗号化された情報を計算機
カード内の秘密の復号鍵で復号し、計算機カード内また
は計算機カードに接続されている外部装置で利用するこ
とを要旨とする。
【0009】更に、請求項3記載の本発明は、計算機カ
ードに格納されている予め定めた利用者IDおよび新た
に利用者が入力した文字列を計算機カードに送り、予め
定めた利用者IDと送られてきた利用者IDが一致する
ことを確認し、新たに入力された文字列を利用者IDと
して計算機カード内に設定することを要旨とする。
ードに格納されている予め定めた利用者IDおよび新た
に利用者が入力した文字列を計算機カードに送り、予め
定めた利用者IDと送られてきた利用者IDが一致する
ことを確認し、新たに入力された文字列を利用者IDと
して計算機カード内に設定することを要旨とする。
【0010】請求項4記載の本発明は、利用者が計算機
カードに格納されている利用者IDを忘却した場合に、
計算機カードに対して特別な権利でアクセスし、新たな
利用者IDを格納することを要旨とする。
カードに格納されている利用者IDを忘却した場合に、
計算機カードに対して特別な権利でアクセスし、新たな
利用者IDを格納することを要旨とする。
【0011】また、請求項5記載の本発明は、利用者が
計算機カードとの通信を開始し、計算機カードが該利用
者を確認し、該利用者の権限に従って許可される計算機
カード内の情報や暗号方式を利用し、秘密情報を計算機
カード外に漏洩することなく、利用者が指定した暗号方
式で暗号認証機能を利用することを要旨とする。
計算機カードとの通信を開始し、計算機カードが該利用
者を確認し、該利用者の権限に従って許可される計算機
カード内の情報や暗号方式を利用し、秘密情報を計算機
カード外に漏洩することなく、利用者が指定した暗号方
式で暗号認証機能を利用することを要旨とする。
【0012】更に、請求項6記載の本発明は、請求項5
記載の発明において、利用者が計算機カードとの通信を
開始する処理が、利用者がその通信を他の応用プログラ
ムと共用可能か否か、計算機カードに対して読み書き可
能か、計算機カード内の暗号機能が並列に実行可能かを
指定して通信を開始することを要旨とする。
記載の発明において、利用者が計算機カードとの通信を
開始する処理が、利用者がその通信を他の応用プログラ
ムと共用可能か否か、計算機カードに対して読み書き可
能か、計算機カード内の暗号機能が並列に実行可能かを
指定して通信を開始することを要旨とする。
【0013】請求項7記載の本発明は、請求項5記載の
発明において、計算機カードが利用者を確認する処理
が、予め定めたまたは利用者が随時設定した利用者ID
を計算機カードに暗号化して格納しておき、利用者から
入力された文字列を暗号化したものと一致するか否かを
チェックするかまたは計算機カードに格納され暗号化さ
れた利用者IDを復号化したものが利用者から入力され
た文字列と一致するか否かをチェックすることを要旨と
する。
発明において、計算機カードが利用者を確認する処理
が、予め定めたまたは利用者が随時設定した利用者ID
を計算機カードに暗号化して格納しておき、利用者から
入力された文字列を暗号化したものと一致するか否かを
チェックするかまたは計算機カードに格納され暗号化さ
れた利用者IDを復号化したものが利用者から入力され
た文字列と一致するか否かをチェックすることを要旨と
する。
【0014】また、請求項8記載の本発明は、請求項5
記載の発明において、計算機カードが利用者を確認する
処理が、予め定めたまたは利用者が随時設定した利用者
IDを計算機カードに暗号してまたはそのまま格納して
おき、該利用者IDと計算機カード内で生成した乱数と
の加算をとってまたは排他的論理和をとって利用者に送
信し、計算機カードから送られてきた情報から利用者が
入力した文字列を引いた値または排他的論理和を取った
値を計算機カードに返送し、計算機カード内で生成した
乱数と返送された値が一致するか否かで確認することを
要旨とする。
記載の発明において、計算機カードが利用者を確認する
処理が、予め定めたまたは利用者が随時設定した利用者
IDを計算機カードに暗号してまたはそのまま格納して
おき、該利用者IDと計算機カード内で生成した乱数と
の加算をとってまたは排他的論理和をとって利用者に送
信し、計算機カードから送られてきた情報から利用者が
入力した文字列を引いた値または排他的論理和を取った
値を計算機カードに返送し、計算機カード内で生成した
乱数と返送された値が一致するか否かで確認することを
要旨とする。
【0015】更に、請求項9記載の本発明は、請求項5
記載の発明において、利用者の権限に従って計算機カー
ド内の情報や暗号方式を利用する処理が、利用者が管理
者か否かを計算機カードで確認し、管理者の場合には計
算機カード内の公開情報へのアクセス権を与え、それ以
外の場合には計算機カード内の公開および秘密情報への
アクセス権を与えることを要旨とする。
記載の発明において、利用者の権限に従って計算機カー
ド内の情報や暗号方式を利用する処理が、利用者が管理
者か否かを計算機カードで確認し、管理者の場合には計
算機カード内の公開情報へのアクセス権を与え、それ以
外の場合には計算機カード内の公開および秘密情報への
アクセス権を与えることを要旨とする。
【0016】請求項10記載の本発明は、請求項5記載
の発明において、利用者が秘密情報を計算機カード外に
漏洩しない処理が、秘密情報をそのまま計算機カード外
に通知するのではなく、秘密情報に付与した識別子を利
用者に通知することを要旨とする。
の発明において、利用者が秘密情報を計算機カード外に
漏洩しない処理が、秘密情報をそのまま計算機カード外
に通知するのではなく、秘密情報に付与した識別子を利
用者に通知することを要旨とする。
【0017】また、請求項11記載の本発明は、請求項
5記載の発明において、利用者が指定した暗号方式で暗
号認証機能を利用する処理が、利用者が計算機カード内
で機能する複数の暗号方式のリストを取得し、利用した
い暗号方式を選択できることを要旨とする。
5記載の発明において、利用者が指定した暗号方式で暗
号認証機能を利用する処理が、利用者が計算機カード内
で機能する複数の暗号方式のリストを取得し、利用した
い暗号方式を選択できることを要旨とする。
【0018】更に、請求項12記載の本発明は、利用者
と計算機カードの通信を制御する通信制御部と、利用者
が計算機カード内のどの情報にアクセス可能かを制御す
るアクセス制御部と、計算機カードにおける処理の制御
や暗号認証処理を並列に実行させるためのタスク管理を
行う制御部と、暗号/復号処理を行う暗号/復号処理部
と、署名/認証処理を行う署名/認証処理部と、署名の
ために平文データを圧縮するハッシュ処理部と、公開鍵
と秘密鍵を生成する鍵ペア生成部と、暗号鍵生成や利用
者認証のために乱数を発生させる乱数生成部と、計算機
カードで機能する複数の暗号方式を管理する暗号方式管
理部と、計算機カードで機能する暗号方式を格納してい
る暗号方式記憶部と、計算機カード外から参照可能なデ
ータを格納する公開情報記憶部と、正当な利用者のみが
参照可能なデータを格納する秘密情報記憶部とを有する
ことを要旨とする。
と計算機カードの通信を制御する通信制御部と、利用者
が計算機カード内のどの情報にアクセス可能かを制御す
るアクセス制御部と、計算機カードにおける処理の制御
や暗号認証処理を並列に実行させるためのタスク管理を
行う制御部と、暗号/復号処理を行う暗号/復号処理部
と、署名/認証処理を行う署名/認証処理部と、署名の
ために平文データを圧縮するハッシュ処理部と、公開鍵
と秘密鍵を生成する鍵ペア生成部と、暗号鍵生成や利用
者認証のために乱数を発生させる乱数生成部と、計算機
カードで機能する複数の暗号方式を管理する暗号方式管
理部と、計算機カードで機能する暗号方式を格納してい
る暗号方式記憶部と、計算機カード外から参照可能なデ
ータを格納する公開情報記憶部と、正当な利用者のみが
参照可能なデータを格納する秘密情報記憶部とを有する
ことを要旨とする。
【0019】請求項12記載の本発明にあっては、利用
者は暗号方式管理部に計算機カード内で機能する暗号方
式を問い合わせ、通信制御部に対して複数の応用システ
ムにおいて計算機カードの機能が共用できるか否か等の
利用モードを設定して通信を開始し、アクセス制御部に
対して利用者IDを送信し、アクセス制御部は秘密情報
記憶部に格納されている利用者IDと一致する場合のみ
秘密情報のアクセス権を利用者に与え、利用者は与えら
れたアクセス権に従って公開情報、秘密情報にアクセス
し、秘密情報を計算機カード外に漏洩させずに鍵生成処
理および暗号認証処理を行う。また、計算機カード内に
格納されている利用者IDを随時変更可能とし、特別な
権限で計算機カードにアクセスして利用者IDの再設定
を可能とする。
者は暗号方式管理部に計算機カード内で機能する暗号方
式を問い合わせ、通信制御部に対して複数の応用システ
ムにおいて計算機カードの機能が共用できるか否か等の
利用モードを設定して通信を開始し、アクセス制御部に
対して利用者IDを送信し、アクセス制御部は秘密情報
記憶部に格納されている利用者IDと一致する場合のみ
秘密情報のアクセス権を利用者に与え、利用者は与えら
れたアクセス権に従って公開情報、秘密情報にアクセス
し、秘密情報を計算機カード外に漏洩させずに鍵生成処
理および暗号認証処理を行う。また、計算機カード内に
格納されている利用者IDを随時変更可能とし、特別な
権限で計算機カードにアクセスして利用者IDの再設定
を可能とする。
【0020】
【発明の実施の形態】以下、図面を用いて本発明の実施
の形態について説明する。
の形態について説明する。
【0021】図1は、本発明の一実施形態に係る暗号認
証処理方法を実施する暗号認証処理装置である計算機カ
ードの構成を示すブロック図である。同図に示す計算機
カードは、利用者と計算機カードの通信を制御する通信
制御部11と、利用者が計算機カード内の情報に対する
アクセス権を管理するアクセス制御部12と、計算機カ
ードにおける暗号/復号や署名/認証等の機能を並列に
実行させるためのタスク管理を行う制御部13と、利用
者から指定された暗号方式で実際に暗号/復号処理を行
う暗号/復号処理部14と、利用者から指定された暗号
方式を使用して署名/認証処理を行う署名/認証処理部
15と、署名データを生成する際に元の平文データを圧
縮するハッシュ処理部16と、公開鍵と秘密鍵を生成す
る鍵ペア生成部17と、暗号鍵生成や利用者認証のため
に乱数を発生させる乱数生成部18と、計算機カードで
機能する複数の暗号方式を管理する暗号方式管理部19
と、計算機カードで機能する暗号方式を格納している暗
号方式記憶部21、計算機カードの外部から参照可能な
データを格納する公開情報記憶部22、および計算機カ
ードに認証された正当な利用者のみが参照可能なデータ
を格納する秘密情報記憶部23からなる記憶部20とか
ら構成されている。
証処理方法を実施する暗号認証処理装置である計算機カ
ードの構成を示すブロック図である。同図に示す計算機
カードは、利用者と計算機カードの通信を制御する通信
制御部11と、利用者が計算機カード内の情報に対する
アクセス権を管理するアクセス制御部12と、計算機カ
ードにおける暗号/復号や署名/認証等の機能を並列に
実行させるためのタスク管理を行う制御部13と、利用
者から指定された暗号方式で実際に暗号/復号処理を行
う暗号/復号処理部14と、利用者から指定された暗号
方式を使用して署名/認証処理を行う署名/認証処理部
15と、署名データを生成する際に元の平文データを圧
縮するハッシュ処理部16と、公開鍵と秘密鍵を生成す
る鍵ペア生成部17と、暗号鍵生成や利用者認証のため
に乱数を発生させる乱数生成部18と、計算機カードで
機能する複数の暗号方式を管理する暗号方式管理部19
と、計算機カードで機能する暗号方式を格納している暗
号方式記憶部21、計算機カードの外部から参照可能な
データを格納する公開情報記憶部22、および計算機カ
ードに認証された正当な利用者のみが参照可能なデータ
を格納する秘密情報記憶部23からなる記憶部20とか
ら構成されている。
【0022】図2は、図1に示す計算機カードを使用し
て暗号および認証を行う手順を示すフローチャートであ
る。同図に示す暗号および認証手順は、計算機カード内
で機能する暗号方式を利用者に通知し(ステップS3
1)、利用者と通信を開始し(ステップS32)、そし
て計算機カードの利用者を認証し(ステップS33)、
利用者が指定した平文データを暗号化し(ステップS3
4)、利用者が指定した平文データから署名データを生
成している(ステップS35)。
て暗号および認証を行う手順を示すフローチャートであ
る。同図に示す暗号および認証手順は、計算機カード内
で機能する暗号方式を利用者に通知し(ステップS3
1)、利用者と通信を開始し(ステップS32)、そし
て計算機カードの利用者を認証し(ステップS33)、
利用者が指定した平文データを暗号化し(ステップS3
4)、利用者が指定した平文データから署名データを生
成している(ステップS35)。
【0023】図3は、図1に示す計算機カードに利用者
IDを設定する手順を示すフローチャートである。同図
に示す利用者ID設定手順は、利用者IDを初期化し
(ステップS41)、それから利用者IDの変更処理を
行っている(ステップS42)。
IDを設定する手順を示すフローチャートである。同図
に示す利用者ID設定手順は、利用者IDを初期化し
(ステップS41)、それから利用者IDの変更処理を
行っている(ステップS42)。
【0024】図4は、図2のステップS31に示した暗
号方式取得処理を示す図である。同図においては、利用
者が計算機カードに対してどの暗号方式が使用できるか
を問い合わせると、計算機カードの暗号方式管理部19
は暗号方式記憶部21を検索して、使用可能な暗号方式
を取得し(ステップS311)、この取得した暗号方式
の識別子をリスト形式にして利用者に通知する(ステッ
プS312)。
号方式取得処理を示す図である。同図においては、利用
者が計算機カードに対してどの暗号方式が使用できるか
を問い合わせると、計算機カードの暗号方式管理部19
は暗号方式記憶部21を検索して、使用可能な暗号方式
を取得し(ステップS311)、この取得した暗号方式
の識別子をリスト形式にして利用者に通知する(ステッ
プS312)。
【0025】図5は、図2のステップS32に示した通
信モードの設定処理を示す図である。同図において、利
用者は計算機カードと通信を開始する際に、その通信は
他の応用システムと共用可能か否かをチェックし(ステ
ップS321)、共用可能である場合には、どの応用シ
ステムで使用されているかを通信制御部11に設定して
管理する(ステップS322)。それから、計算機カー
ド内のデータに対して読み出しのみ可能か(R/O)ま
たは読み書き可能か(R/W)をチェックする(ステッ
プS323)。読み出しのみ可能である場合には、記憶
部20に対して読み込みのみを許可し(ステップS32
4)、読み書き可能である場合には、記憶部20に対し
て読み書きを許可し、これらの情報をアクセス制御部1
2に設定する(ステップS325)。また、計算機カー
ド内で機能する暗号/復号や署名/認証処理は並列に実
行可能か否かをチェックする(ステップS326)。可
能な場合には、制御部13でタスク管理を行い、暗号処
理を並列に実行可能とする(ステップS327)。以上
のように利用者の指定を通信制御部11、アクセス制御
部12、制御部13に設定してから、通信の識別子(セ
ッション識別子)を利用者に通知する。
信モードの設定処理を示す図である。同図において、利
用者は計算機カードと通信を開始する際に、その通信は
他の応用システムと共用可能か否かをチェックし(ステ
ップS321)、共用可能である場合には、どの応用シ
ステムで使用されているかを通信制御部11に設定して
管理する(ステップS322)。それから、計算機カー
ド内のデータに対して読み出しのみ可能か(R/O)ま
たは読み書き可能か(R/W)をチェックする(ステッ
プS323)。読み出しのみ可能である場合には、記憶
部20に対して読み込みのみを許可し(ステップS32
4)、読み書き可能である場合には、記憶部20に対し
て読み書きを許可し、これらの情報をアクセス制御部1
2に設定する(ステップS325)。また、計算機カー
ド内で機能する暗号/復号や署名/認証処理は並列に実
行可能か否かをチェックする(ステップS326)。可
能な場合には、制御部13でタスク管理を行い、暗号処
理を並列に実行可能とする(ステップS327)。以上
のように利用者の指定を通信制御部11、アクセス制御
部12、制御部13に設定してから、通信の識別子(セ
ッション識別子)を利用者に通知する。
【0026】図6は通信制御部11および制御部13の
タスク管理を示す図である。図5の処理において、利用
者と計算機カードの通信が、他の応用システムと共用す
ると指定した場合、通信制御部11は現在計算機カード
を使用している応用システムの通信(通信セッション
1)を監視し、応用システム2から計算機カード使用の
割り込みがあると通信1を中断し、応用システム2の通
信(通信セッション2)を開始する。一定の時間が経過
するか、応用システム2の処理が終了すると通信2を終
了し、通信1を再開する。
タスク管理を示す図である。図5の処理において、利用
者と計算機カードの通信が、他の応用システムと共用す
ると指定した場合、通信制御部11は現在計算機カード
を使用している応用システムの通信(通信セッション
1)を監視し、応用システム2から計算機カード使用の
割り込みがあると通信1を中断し、応用システム2の通
信(通信セッション2)を開始する。一定の時間が経過
するか、応用システム2の処理が終了すると通信2を終
了し、通信1を再開する。
【0027】図5の処理において利用者が計算機カード
を利用する際、各処理を並列に実行すると指定した場
合、制御部13は現在接続中の通信セッション内で暗号
処理を開始し、一定の時間が経過すると暗号処理を中断
し署名処理を開始する。そして一定の時間が経過するか
署名処理が終了すると先の暗号処理を再開する。
を利用する際、各処理を並列に実行すると指定した場
合、制御部13は現在接続中の通信セッション内で暗号
処理を開始し、一定の時間が経過すると暗号処理を中断
し署名処理を開始する。そして一定の時間が経過するか
署名処理が終了すると先の暗号処理を再開する。
【0028】図7は、前処理として図2中の処理S33
の手順を示す図である。計算機カード内の乱数生成部1
8で乱数Rを生成し(ステップS331)、利用者の秘
密情報記憶部23に格納されている利用者IDに乱数R
を加えた(または排他的論理和をとった)Rpを利用者
に通信する(ステップS332)。利用者は自分のID
を入力し、Rpから入力した文字列を引いた(または排
他的論理和をとった)R’を計算機カードに通知する。
計算機カードは、先に生成した乱数Rと利用者から通知
されたR’を比較し、等しい場合に利用者は正当である
と認証する(ステップS333)。なお、利用者認証の
別の方法として、予め定めた利用者IDを計算機カード
に暗号化して格納しておき、利用者が入力した文字列を
暗号化したものと一致するか否か、または計算機カード
に格納された暗号化された利用者IDを復号したものと
一致するか否かをチェックする方法が適応できる。
の手順を示す図である。計算機カード内の乱数生成部1
8で乱数Rを生成し(ステップS331)、利用者の秘
密情報記憶部23に格納されている利用者IDに乱数R
を加えた(または排他的論理和をとった)Rpを利用者
に通信する(ステップS332)。利用者は自分のID
を入力し、Rpから入力した文字列を引いた(または排
他的論理和をとった)R’を計算機カードに通知する。
計算機カードは、先に生成した乱数Rと利用者から通知
されたR’を比較し、等しい場合に利用者は正当である
と認証する(ステップS333)。なお、利用者認証の
別の方法として、予め定めた利用者IDを計算機カード
に暗号化して格納しておき、利用者が入力した文字列を
暗号化したものと一致するか否か、または計算機カード
に格納された暗号化された利用者IDを復号したものと
一致するか否かをチェックする方法が適応できる。
【0029】図8は、図2中の処理S34を示す図であ
る。利用者が計算機カードに暗号鍵の生成を依頼する
と、計算機カードは乱数生成部18を利用して暗号鍵を
生成し(ステップS341)、利用者の秘密情報記憶部
23に識別子を付与して格納すると同時に、利用者には
付与した暗号鍵ID(KeID)のみを通知する(ステ
ップS342)。次に利用者は、図2中の処理S31で
取得した複数の暗号方式から1つ選択し、暗号鍵ID
(KeID)と平文データを計算機カードに通知して暗
号処理を依頼する。計算機カードは、暗号/復号処理部
14が指定された暗号方式を暗号方式記憶部21の中で
特定し、指定された暗号鍵ID(KeID)から暗号鍵
を特定し、指定された平文データを暗号化する(ステッ
プS343)。暗号化したデータ、その暗号に使用した
暗号鍵ID(KeID)とともに利用者に通知するか、
計算機カード内の利用者の秘密情報記憶部23に格納す
ることができる(ステップS344)。
る。利用者が計算機カードに暗号鍵の生成を依頼する
と、計算機カードは乱数生成部18を利用して暗号鍵を
生成し(ステップS341)、利用者の秘密情報記憶部
23に識別子を付与して格納すると同時に、利用者には
付与した暗号鍵ID(KeID)のみを通知する(ステ
ップS342)。次に利用者は、図2中の処理S31で
取得した複数の暗号方式から1つ選択し、暗号鍵ID
(KeID)と平文データを計算機カードに通知して暗
号処理を依頼する。計算機カードは、暗号/復号処理部
14が指定された暗号方式を暗号方式記憶部21の中で
特定し、指定された暗号鍵ID(KeID)から暗号鍵
を特定し、指定された平文データを暗号化する(ステッ
プS343)。暗号化したデータ、その暗号に使用した
暗号鍵ID(KeID)とともに利用者に通知するか、
計算機カード内の利用者の秘密情報記憶部23に格納す
ることができる(ステップS344)。
【0030】復号する場合は、利用者が暗号データとそ
の暗号に使用した暗号鍵ID(KeID)を計算機カー
ドに通知し、計算機カード内の暗号/復号処理部14が
復号する。
の暗号に使用した暗号鍵ID(KeID)を計算機カー
ドに通知し、計算機カード内の暗号/復号処理部14が
復号する。
【0031】図9は、図2の処理S35の手順を示す図
である。利用者が計算機カードに公開鍵/秘密鍵の生成
を依頼すると、計算機カードは鍵ペア生成部17で鍵ペ
アを生成し(ステップS351)、公開鍵は公開鍵情報
記憶部22へ、秘密鍵は利用者の秘密情報記憶部23に
識別子を付与して格納すると同時に、利用者には付与し
た秘密鍵ID(KsID)のみを通知する(ステップS
352)。次に利用者は、図2の処理で取得した複数の
暗号方式から1つ選択し、秘密鍵ID(KsID)と平
文データを計算機カードに通知して署名処理を依頼す
る。計算機カードでは、ハッシュ処理部16が指定され
た平文データを圧縮し(ステップS353)、署名/認
証処理部15が指定された暗号方式を暗号方式記憶部2
1の中で特定し、指定された秘密鍵ID(KsID)か
ら秘密鍵を特定し、先に圧縮されたデータを暗号化する
(ステップS354)。暗号化されたデータは署名デー
タとして利用者に通知する(ステップS355)。
である。利用者が計算機カードに公開鍵/秘密鍵の生成
を依頼すると、計算機カードは鍵ペア生成部17で鍵ペ
アを生成し(ステップS351)、公開鍵は公開鍵情報
記憶部22へ、秘密鍵は利用者の秘密情報記憶部23に
識別子を付与して格納すると同時に、利用者には付与し
た秘密鍵ID(KsID)のみを通知する(ステップS
352)。次に利用者は、図2の処理で取得した複数の
暗号方式から1つ選択し、秘密鍵ID(KsID)と平
文データを計算機カードに通知して署名処理を依頼す
る。計算機カードでは、ハッシュ処理部16が指定され
た平文データを圧縮し(ステップS353)、署名/認
証処理部15が指定された暗号方式を暗号方式記憶部2
1の中で特定し、指定された秘密鍵ID(KsID)か
ら秘密鍵を特定し、先に圧縮されたデータを暗号化する
(ステップS354)。暗号化されたデータは署名デー
タとして利用者に通知する(ステップS355)。
【0032】認証の場合は、利用者は計算機カードから
公開鍵ID(KpID)を取得した後、暗号方式、署名
データ、署名の元データとともに計算機カードに通知し
て認証を依頼する。計算機カードでは、ハッシュ処理部
16が署名の元データを圧縮する。次に署名/認証処理
部15が指定された暗号方式を暗号方式記憶部21の中
で特定し、指定された公開鍵ID(KpID)から公開
鍵を特定し、指定された署名データを復号する。先に圧
縮したデータと復号したデータが一致する場合は、署名
の元データとその利用者は正当である。
公開鍵ID(KpID)を取得した後、暗号方式、署名
データ、署名の元データとともに計算機カードに通知し
て認証を依頼する。計算機カードでは、ハッシュ処理部
16が署名の元データを圧縮する。次に署名/認証処理
部15が指定された暗号方式を暗号方式記憶部21の中
で特定し、指定された公開鍵ID(KpID)から公開
鍵を特定し、指定された署名データを復号する。先に圧
縮したデータと復号したデータが一致する場合は、署名
の元データとその利用者は正当である。
【0033】図10は、図3の利用者IDの初期化処理
を示す図である。特権者は図2の処理S33との利用者
認証処理、すなわち図7に示した利用者認証処理と同様
の認証処理で特権者IDにより認証された後(ステップ
S411)、利用者IDの初期値を計算機カードに通知
し、計算機カードは利用者IDを一時的に公開情報記憶
部22に格納して設定する(ステップS412)。
を示す図である。特権者は図2の処理S33との利用者
認証処理、すなわち図7に示した利用者認証処理と同様
の認証処理で特権者IDにより認証された後(ステップ
S411)、利用者IDの初期値を計算機カードに通知
し、計算機カードは利用者IDを一時的に公開情報記憶
部22に格納して設定する(ステップS412)。
【0034】図11は、図3中の処理S42の手順を示
す図である。利用者は新しい利用者IDと以前自分で設
定した旧利用者IDまたは特権者が設定した初期値を計
算機カードに通知し、変更を依頼する。計算機カードは
まず利用者の秘密情報記憶部23に以前利用者が設定し
た利用者IDがあるか否かを調べ(ステップS42
1)、ある場合はその利用者IDと指定された旧利用者
IDが一致するか否かを判断する(ステップS42
2)。利用者の秘密情報記憶部23に以前設定した利用
者IDがない場合、公開情報記憶部22に格納されてい
る利用者IDの初期値と指定された旧利用者IDの初期
値が一致するか否かを判断する(ステップS423)。
前述のどちらかの判断をパスすると、指定された新しい
利用者IDを利用者の秘密情報記憶部23に格納する
(ステップS424)。
す図である。利用者は新しい利用者IDと以前自分で設
定した旧利用者IDまたは特権者が設定した初期値を計
算機カードに通知し、変更を依頼する。計算機カードは
まず利用者の秘密情報記憶部23に以前利用者が設定し
た利用者IDがあるか否かを調べ(ステップS42
1)、ある場合はその利用者IDと指定された旧利用者
IDが一致するか否かを判断する(ステップS42
2)。利用者の秘密情報記憶部23に以前設定した利用
者IDがない場合、公開情報記憶部22に格納されてい
る利用者IDの初期値と指定された旧利用者IDの初期
値が一致するか否かを判断する(ステップS423)。
前述のどちらかの判断をパスすると、指定された新しい
利用者IDを利用者の秘密情報記憶部23に格納する
(ステップS424)。
【0035】
【発明の効果】以上説明したように、本発明によれば、
複数の応用システムによって計算機カードを共用するこ
とができ、計算機カードで機能する暗号/復号処理およ
び署名/認証処理を並列に実行することができるととも
に、また暗号や署名に使用する鍵のような秘密情報を利
用者に明らかにしないため、安全な暗号、署名処理が可
能となり、更に計算機カードを利用するための利用者I
Dの忘却時にも新たに利用者IDの設定ができ、鍵など
の秘密情報を計算機カードの外に漏洩せずに安全な暗号
認証処理が実行可能である。
複数の応用システムによって計算機カードを共用するこ
とができ、計算機カードで機能する暗号/復号処理およ
び署名/認証処理を並列に実行することができるととも
に、また暗号や署名に使用する鍵のような秘密情報を利
用者に明らかにしないため、安全な暗号、署名処理が可
能となり、更に計算機カードを利用するための利用者I
Dの忘却時にも新たに利用者IDの設定ができ、鍵など
の秘密情報を計算機カードの外に漏洩せずに安全な暗号
認証処理が実行可能である。
【図1】本発明の一実施形態に係る暗号認証処理方法を
実施する暗号認証処理装置である計算機カードの構成を
示すブロック図である。
実施する暗号認証処理装置である計算機カードの構成を
示すブロック図である。
【図2】図1に示す計算機カードを使用して暗号および
認証を行う手順を示すフローチャートである。
認証を行う手順を示すフローチャートである。
【図3】計算機カードに利用者IDを設定する手順を示
すフローチャートである。
すフローチャートである。
【図4】図2のステップS31に示した暗号方式取得処
理を示す図である。
理を示す図である。
【図5】図2のステップS32に示した通信モードの設
定処理を示す図である。
定処理を示す図である。
【図6】図1に示す計算機カードに使用されている通信
制御部および制御部のタスク管理を示す図である。
制御部および制御部のタスク管理を示す図である。
【図7】図2のステップS33に示した利用者認証処理
を示す図である。
を示す図である。
【図8】図2のステップS34に示した暗号処理を示す
図である。
図である。
【図9】図2のステップS35に示した署名処理を示す
図である。
図である。
【図10】図2のステップS41に示した利用者ID初
期化処理を示す図である。
期化処理を示す図である。
【図11】図2のステップS42に示した利用者ID変
更処理を示す図である。
更処理を示す図である。
【図12】従来の暗号処理手順を示す図である。
11 通信制御部 12 アクセス制御部 13 制御部 14 暗号/復号処理部 15 署名/認証処理部 16 ハッシュ処理部 17 鍵ペア生成部 18 乱数生成部 19 暗号方式管理部 21 暗号方式記憶部 22 公開情報記憶部 23 秘密情報記憶部
───────────────────────────────────────────────────── フロントページの続き (72)発明者 山中 喜義 東京都新宿区西新宿三丁目19番2号 日本 電信電話株式会社内
Claims (12)
- 【請求項1】 利用者が蓄積した情報または利用者に配
送された情報を計算機カード内の秘密の暗号鍵で暗号化
し、計算機カード内または計算機カードに接続されてい
る外部装置で利用することを特徴とする計算機カードを
利用した暗号認証処理方法。 - 【請求項2】 利用者が蓄積または利用者に配送され、
共通鍵暗号方式または公開鍵暗号方式の公開鍵により暗
号化された情報を計算機カード内の秘密の復号鍵で復号
し、計算機カード内または計算機カードに接続されてい
る外部装置で利用することを特徴とする計算機カードを
利用した暗号認証処理方法。 - 【請求項3】 計算機カードに格納されている予め定め
た利用者IDおよび新たに利用者が入力した文字列を計
算機カードに送り、予め定めた利用者IDと送られてき
た利用者IDが一致することを確認し、新たに入力され
た文字列を利用者IDとして計算機カード内に設定する
ことを特徴とする計算機カードを利用した暗号認証処理
方法。 - 【請求項4】 利用者が計算機カードに格納されている
利用者IDを忘却した場合に、計算機カードに対して特
別な権利でアクセスし、新たな利用者IDを格納するこ
とを特徴とする計算機カードを利用した暗号認証処理方
法。 - 【請求項5】 利用者は計算機カードとの通信を開始
し、計算機カードが該利用者を確認し、該利用者の権限
に従って許可される計算機カード内の情報や暗号方式を
利用し、秘密情報を計算機カード外に漏洩することな
く、利用者が指定した暗号方式で暗号認証機能を利用す
ることを特徴とする計算機カードを利用した暗号認証処
理方法。 - 【請求項6】 利用者が計算機カードとの通信を開始す
る処理は、利用者がその通信を他の応用プログラムと共
用可能か否か、計算機カードに対して読み書き可能か、
計算機カード内の暗号機能が並列に実行可能かを指定し
て通信を開始することを特徴とする請求項5記載の計算
機カードを利用した暗号認証処理方法。 - 【請求項7】 計算機カードが利用者を確認する処理
は、予め定めたまたは利用者が随時設定した利用者ID
を計算機カードに暗号化して格納しておき、利用者から
入力された文字列を暗号化したものと一致するか否かを
チェックするかまたは計算機カードに格納され暗号化さ
れた利用者IDを復号化したものが利用者から入力され
た文字列と一致するか否かをチェックすることを特徴と
する請求項5記載の計算機カードを利用した暗号認証処
理方法。 - 【請求項8】 計算機カードが利用者を確認する処理
は、予め定めたまたは利用者が随時設定した利用者ID
を計算機カードに暗号してまたはそのまま格納してお
き、該利用者IDと計算機カード内で生成した乱数との
加算をとってまたは排他的論理和をとって利用者に送信
し、計算機カードから送られてきた情報から利用者が入
力した文字列を引いた値または排他的論理和を取った値
を計算機カードに返送し、計算機カード内で生成した乱
数と返送された値が一致するか否かで確認することを特
徴とする請求項5記載の計算機カードを利用した暗号認
証処理方法。 - 【請求項9】 利用者の権限に従って計算機カード内の
情報や暗号方式を利用する処理は、利用者が管理者か否
かを計算機カードで確認し、管理者の場合には計算機カ
ード内の公開情報へのアクセス権を与え、それ以外の場
合には計算機カード内の公開および秘密情報へのアクセ
ス権を与えることを特徴とする請求項5記載の計算機カ
ードを利用した暗号認証処理方法。 - 【請求項10】 利用者が秘密情報を計算機カード外に
漏洩しない処理は、秘密情報をそのまま計算機カード外
に通知するのではなく、秘密情報に付与した識別子を利
用者に通知することを特徴とする請求項5記載の計算機
カードを利用した暗号認証処理方法。 - 【請求項11】 利用者が指定した暗号方式で暗号認証
機能を利用する処理は、利用者が計算機カード内で機能
する複数の暗号方式のリストを取得し、利用したい暗号
方式を選択できることを特徴とする請求項5記載の計算
機カードを利用した暗号認証処理方法。 - 【請求項12】 利用者と計算機カードの通信を制御す
る通信制御部と、利用者が計算機カード内のどの情報に
アクセス可能かを制御するアクセス制御部と、計算機カ
ードにおける処理の制御や暗号認証処理を並列に実行さ
せるためのタスク管理を行う制御部と、暗号/復号処理
を行う暗号/復号処理部と、署名/認証処理を行う署名
/認証処理部と、署名のために平文データを圧縮するハ
ッシュ処理部と、公開鍵と秘密鍵を生成する鍵ペア生成
部と、暗号鍵生成や利用者認証のために乱数を発生させ
る乱数生成部と、計算機カードで機能する複数の暗号方
式を管理する暗号方式管理部と、計算機カードで機能す
る暗号方式を格納している暗号方式記憶部と、計算機カ
ード外から参照可能なデータを格納する公開情報記憶部
と、正当な利用者のみが参照可能なデータを格納する秘
密情報記憶部とを有することを特徴とする計算機カード
を利用した暗号認証処理装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP8285299A JPH10134157A (ja) | 1996-10-28 | 1996-10-28 | 計算機カードを利用した暗号認証処理方法および装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP8285299A JPH10134157A (ja) | 1996-10-28 | 1996-10-28 | 計算機カードを利用した暗号認証処理方法および装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
JPH10134157A true JPH10134157A (ja) | 1998-05-22 |
Family
ID=17689736
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP8285299A Pending JPH10134157A (ja) | 1996-10-28 | 1996-10-28 | 計算機カードを利用した暗号認証処理方法および装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JPH10134157A (ja) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002524808A (ja) * | 1998-09-04 | 2002-08-06 | ソネラ スマートトラスト オサケユキチュア | セキュリティモジュール、セキュリティシステム、および移動局 |
JP2002527991A (ja) * | 1998-10-14 | 2002-08-27 | ソネラ スマートトラスト オサケユキチュア | セーフティマーキングの適用のための方法とシステム |
WO2002073872A1 (fr) * | 2001-03-09 | 2002-09-19 | Sharp Kabushiki Kaisha | Appareil de stockage de donnees |
JP2004282404A (ja) * | 2003-03-14 | 2004-10-07 | Canon Inc | デジタル署名生成装置、方法、コンピュータプログラム、およびコンピュータ読み取り可能な記憶媒体 |
JP2011008801A (ja) * | 2001-12-21 | 2011-01-13 | Qualcomm Inc | 簡易音声認証方法および装置 |
US8391480B2 (en) | 2002-02-15 | 2013-03-05 | Qualcomm Incorporated | Digital authentication over acoustic channel |
US8943583B2 (en) | 2002-05-15 | 2015-01-27 | Qualcomm Incorporated | System and method for managing sonic token verifiers |
-
1996
- 1996-10-28 JP JP8285299A patent/JPH10134157A/ja active Pending
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002524808A (ja) * | 1998-09-04 | 2002-08-06 | ソネラ スマートトラスト オサケユキチュア | セキュリティモジュール、セキュリティシステム、および移動局 |
JP2002527991A (ja) * | 1998-10-14 | 2002-08-27 | ソネラ スマートトラスト オサケユキチュア | セーフティマーキングの適用のための方法とシステム |
WO2002073872A1 (fr) * | 2001-03-09 | 2002-09-19 | Sharp Kabushiki Kaisha | Appareil de stockage de donnees |
US7392401B2 (en) | 2001-03-09 | 2008-06-24 | Sharp Kabushiki Kaisha | Data storage apparatus |
JP2011008801A (ja) * | 2001-12-21 | 2011-01-13 | Qualcomm Inc | 簡易音声認証方法および装置 |
US8391480B2 (en) | 2002-02-15 | 2013-03-05 | Qualcomm Incorporated | Digital authentication over acoustic channel |
US8943583B2 (en) | 2002-05-15 | 2015-01-27 | Qualcomm Incorporated | System and method for managing sonic token verifiers |
JP2004282404A (ja) * | 2003-03-14 | 2004-10-07 | Canon Inc | デジタル署名生成装置、方法、コンピュータプログラム、およびコンピュータ読み取り可能な記憶媒体 |
JP4717329B2 (ja) * | 2003-03-14 | 2011-07-06 | キヤノン株式会社 | デジタル署名生成装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US5995624A (en) | Bilateral authentication and information encryption token system and method | |
US6278782B1 (en) | Method of implementing a key recovery system | |
US7155616B1 (en) | Computer network comprising network authentication facilities implemented in a disk drive | |
JP2552061B2 (ja) | 公開キー暗号システムにおいてネットワーク安全保証ポリシーが狂わないようにする方法及び装置 | |
US6105133A (en) | Bilateral authentication and encryption system | |
US7877604B2 (en) | Proof of execution using random function | |
WO1998045975A9 (en) | Bilateral authentication and information encryption token system and method | |
JP5006817B2 (ja) | 認証情報生成システム、認証情報生成方法、クライアント装置及びプログラム | |
JP2004021755A (ja) | 記憶装置 | |
EP1500226A1 (en) | System and method for storage and retrieval of a cryptographic secret from a plurality of network enabled clients | |
KR102676616B1 (ko) | 생체인식 지불 디바이스를 인증하기 위한 방법 및 장치, 컴퓨터 디바이스, 및 저장 매체 | |
US6839838B2 (en) | Data management system, information processing apparatus, authentification management apparatus, method and storage medium | |
EP0966813A2 (en) | Bilateral authentication and encryption system | |
JPH08320847A (ja) | パスワード管理システム | |
JP3860280B2 (ja) | 通信システム、icカード発行登録システム、キーコード生成装置、及び記録媒体 | |
JPH07123086A (ja) | Icカードを利用した著作物通信管理システム | |
JPH10336172A (ja) | 電子認証用公開鍵の管理方法 | |
JPH10134157A (ja) | 計算機カードを利用した暗号認証処理方法および装置 | |
JPH04247737A (ja) | 暗号化装置 | |
JP4657706B2 (ja) | 権限管理システム、認証サーバ、権限管理方法および権限管理プログラム | |
CN110287725A (zh) | 一种设备及其权限控制方法、计算机可读存储介质 | |
CN113342896B (zh) | 一种基于云端融合的科研数据安全保护系统及其工作方法 | |
JP3868218B2 (ja) | アクセス制限付コンテンツ表示方法およびその装置 | |
JP4372403B2 (ja) | 認証システム | |
JPH09106445A (ja) | 情報記録媒体のキー変更方法および情報記録媒体 |