JPH10327144A - Method for authenticating agency and system therefor - Google Patents
Method for authenticating agency and system thereforInfo
- Publication number
- JPH10327144A JPH10327144A JP9132120A JP13212097A JPH10327144A JP H10327144 A JPH10327144 A JP H10327144A JP 9132120 A JP9132120 A JP 9132120A JP 13212097 A JP13212097 A JP 13212097A JP H10327144 A JPH10327144 A JP H10327144A
- Authority
- JP
- Japan
- Prior art keywords
- output
- user
- mediator
- server
- identifier
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Computer And Data Communications (AREA)
Abstract
Description
【0001】[0001]
【発明の属する技術分野】この発明は、サービスを要求
する利用者と、サービスを提供するサーバと、利用者と
サーバとの仲介としてサービスを要求する仲介者と、こ
れらをネットワークによって相互に接続された分散環境
において、利用者とサーバとの仲介としててサービスを
要求する仲介者を認めつつ、不正ユーザによるなりすま
しに対して安全性を向上させた、仲介者認証方法及びそ
の方法に用いられる装置に関する。The present invention relates to a user requesting a service, a server providing a service, an intermediary requesting a service as an intermediary between the user and the server, and these are mutually connected by a network. Mediator authentication method and apparatus used in the distributed environment, which improve security against impersonation by an unauthorized user while allowing a mediator requesting service as a mediation between a user and a server .
【0002】[0002]
【従来の技術】ネットワークによって相互に接続された
分散環境において、利用者がネットワークを介して計算
機資源を利用する際には不正な利用者によるなりすまし
を防ぐために認証が必要である。しかし、認証手段を厳
密なものにすればするほど利用者本人ではない仲介者が
サーバに対してサービスを要求する資格を備えた利用者
であると認証されることが困難になり、利用者の利便性
の低下を招く。2. Description of the Related Art In a distributed environment interconnected by a network, when a user uses computer resources via the network, authentication is required to prevent impersonation by an unauthorized user. However, the stricter the authentication means, the more difficult it is for an intermediary other than the user to be authenticated as a user who is qualified to request services from the server. This leads to reduced convenience.
【0003】上記した利用者の利便性の低下に対処する
ため、従来からカスケーデッド オーセンティケーショ
ン(Cascaded Authenticatio
n)に代表される仲介者認証方法が提案されている。図
2にCascaded Authentication
における仲介者認証方法を示す。In order to cope with the above-mentioned decrease in user convenience, a cascaded authentication has conventionally been used.
An intermediary authentication method represented by n) has been proposed. Figure 2 shows the Cascaded Authentication
In the following, an intermediary authentication method will be described.
【0004】Cascaded Authentica
tionでは、利用者の装置(以下利用者装置と記す)
21、仲介者の装置(以下仲介者装置と記す)22は、
それぞれ公開鍵暗号の秘密鍵を、サーバの装置(以下サ
ーバ装置と記す)23は利用者装置21及び仲介者装置
22の持つ秘密鍵に対応する公開鍵を、利用者装置21
はサーバ装置23において利用するサービスに必要な権
限を、サーバ装置23は利用者装置21が利用できるサ
ービスのリストを持っている。また、利用者装置21、
仲介者装置22、 サーバ装置23はそれぞれを示す識別
子をもっており、それらはお互いに知られている。利用
者装置21は 1.利用者権限格納手段21aから取り出した利用者権
限と、仲介者識別子格納手段21bから取り出した仲介
者識別子とを、利用者秘密鍵格納手段21dから取り出
した利用者秘密鍵を鍵として暗号化手段21eにより暗
号化し、つまり署名する。この出力を出力1とする。[0004] Cascaded Authenticationa
In “tion”, the user's device (hereinafter referred to as “user device”)
21, a mediator device (hereinafter referred to as a mediator device) 22
The server device (hereinafter, referred to as a server device) 23 sends a public key corresponding to the secret key of the user device 21 and the secret key of the mediator device 22 to the user device 21.
Has authority required for services used in the server device 23, and the server device 23 has a list of services available to the user device 21. In addition, the user device 21,
The mediator device 22 and the server device 23 have respective identifiers, which are known to each other. The user device 21 is: The user authority extracted from the user authority storage unit 21a and the intermediary identifier extracted from the intermediary identifier storage unit 21b are used as encryption keys 21e using the user secret key extracted from the user secret key storage unit 21d as a key. , That is, sign. This output is referred to as output 1.
【0005】2.出力1と、利用者権限格納手段21a
から取り出した利用者権限と、利用者識別子格納手段2
1cから取り出した利用者識別子とを制御手段21fが
集め、通信手段21gを用いてネットワーク24を通じ
て仲介者装置22に伝達する。仲介者装置22は 1.ネットワーク24を通じて利用者装置21から送ら
れてきた情報を通信手段22gを用いて受け取り、制御
手段22fでは出力1、利用者権限と利用者識別子とに
分離する。[0005] 2. Output 1 and user authority storage means 21a
And user identifier storage means 2
The control means 21f collects the user identifiers extracted from 1c and transmits them to the mediator device 22 through the network 24 using the communication means 21g. The mediator device 22 is: The information sent from the user device 21 via the network 24 is received using the communication means 22g, and the control means 22f separates the information into an output 1, a user authority, and a user identifier.
【0006】2.仲介者制限格納手段22aから取り出
した仲介者制限と、サーバ識別子格納手段22bから取
り出したサーバ識別子と、出力1とを、仲介者秘密鍵格
納手段22cから取り出した仲介者秘密鍵を鍵として暗
号化手段22dにより暗号化し、つまり署名する。この
出力を出力2とする。 3.出力2と、仲介者制限格納手段22aから取り出し
た仲介者制限と、仲介者識別子格納手段22eから取り
出した仲介者識別子とを制御手段22fが集め、これら
と利用者装置から送られてきた利用者識別子と、利用者
権限とを通信手段22gを用いてネットワーク24を通
じてサーバ装置23に伝達する。サーバ装置23は 1.ネットワーク24を通じて仲介者装置22から送ら
れてきた情報を通信手段23aを用いて受け取り、制御
手段23bでは出力2と、仲介者制限、仲介者識別子、
利用者権限と利用者識別子とに分離し、仲介者制限と利
用者権限を検証手段23gに渡し、仲介者識別子を仲介
者公開鍵取得手段23cに渡し、利用者識別を利用者公
開鍵取得手段23dに渡し、出力2は復号手段23fに
渡す。[0006] 2. The mediator restriction extracted from the mediator restriction storage unit 22a, the server identifier retrieved from the server identifier storage unit 22b, and the output 1 are encrypted using the mediator secret key retrieved from the mediator secret key storage unit 22c as a key. The means 22d encrypts, that is, signs. This output is referred to as output 2. 3. The control means 22f collects the output 2, the mediator restriction retrieved from the mediator restriction storage means 22a, and the mediator identifier retrieved from the mediator identifier storage means 22e, and the user and the user sent from the user device. The identifier and the user authority are transmitted to the server device 23 through the network 24 using the communication unit 22g. The server device 23: The information transmitted from the mediator device 22 through the network 24 is received by using the communication means 23a, and the control means 23b outputs the output 2, the mediator restriction, the mediator identifier,
The user authority and the user identifier are separated, the mediator restriction and the user authority are passed to the verification unit 23g, the mediator identifier is passed to the mediator public key acquisition unit 23c, and the user identification is passed to the user public key acquisition unit. The output 2 is passed to the decoding means 23f.
【0007】2.仲介者識別子を元に仲介者公開鍵取得
手段23cから取り出した仲介者公開鍵を鍵として復号
手段23fを用いて出力2を復号し、出力1と、仲介者
制限と、サーバ識別子とに分離し、仲介者制限とサーバ
識別子は検証手段23gに渡し、出力1は復号手段23
eに渡す。 3.利用者識別子を元に利用者公開鍵取得手段23dか
ら取り出した利用者公開鍵を鍵として復号手段23eを
用いて出力1を復号し、利用者権限と仲介者識別子とに
分離し、検証手段23gに渡す。[0007] 2. The output 2 is decrypted using the decryption means 23f using the mediator public key extracted from the mediator public key acquisition means 23c as a key based on the mediator identifier, and is separated into the output 1, the mediator restriction, and the server identifier. , The mediator restriction and the server identifier are passed to the verification unit 23g, and the output 1 is output to the decryption unit 23g.
e. 3. The output 1 is decrypted using the decryption means 23e using the user public key extracted from the user public key acquisition means 23d as a key based on the user identifier, separated into user authority and an intermediary identifier, and verified by the verification means 23g. Pass to.
【0008】4.検証手段では復号された仲介者識別子
と暗号化されずに送られてきた仲介者識別子と比較し、
復号されたサーバ識別子とサーバ識別子格納手段23h
から取り出したサーバ識別子とを比較し、正規の利用者
が指定した仲介者であり、その仲介者がこのサーバでの
サービス利用を要求していることを検証する。さらに、
暗号化されずに送られてきた仲介者制限と復号された仲
介者制限とを比較し、さらに暗号化されずに送られてき
た利用者権限と復号された利用者権限とを比較し、正規
の権限を持つ仲介者であることを検証する。[0008] 4. The verification means compares the decrypted mediator identifier with the mediator identifier sent unencrypted,
Decrypted server identifier and server identifier storage means 23h
And verifies that the authorized user is an intermediary designated by the authorized user, and that the mediator requests service use on this server. further,
Compare the mediator restrictions sent unencrypted with the decrypted mediator restrictions, and compare the unencrypted sent user rights with the decrypted user rights, Verify that you are an intermediary with authority.
【0009】利用者装置及び仲介者装置の秘密鍵で署名
がなされているために、利用者装置及び仲介者装置が署
名した結果が改竄されているかどうかをサーバは確認す
ることができ、利用者装置が指定した仲介者装置に対し
て、利用者装置が仲介者装置に渡した権限の範囲内でサ
ーバ装置は仲介者装置にサービスを提供することがで
き、利用者装置が指定した仲介者装置が直接サービスを
受けていることを確認でき、仲介者装置が課した制限及
び利用者装置が仲介者装置に課した制限の範囲内でサー
ビスを提供することができる。[0009] Since the signature is made with the private key of the user device and the mediator device, the server can confirm whether the result of the signature by the user device and the mediator device has been tampered with, and The server device can provide a service to the mediator device within a range of authority that the user device has passed to the mediator device specified by the device, and the mediator device specified by the user device. Can be confirmed to be receiving the service directly, and the service can be provided within the limits imposed by the mediator device and the limits imposed by the user device on the mediator device.
【0010】[0010]
【発明が解決しようとする課題】しかし、上記Casc
aded Authenticationにおいては、
利用者装置及び仲介者装置はそれぞれ公開鍵暗号の秘密
鍵による署名が必要であり、サービス提供者は利用者装
置及び仲介者装置の署名をそれぞれの公開鍵によって検
証しなければならず、代表的な公開鍵暗号であるRSA
を用いた場合、特別なハードウェアを使用しない場合に
は秘密鍵による署名には公開鍵による検証に比べて10
0倍程度の時間がかかり、公開鍵による検証はハッシュ
に比べて10倍程度の時間がかかる。However, the above Casc
In added Authentication,
Each of the user device and the intermediary device needs to be signed with the private key of the public key encryption, and the service provider must verify the signature of the user device and the intermediary device with their respective public keys. Public key encryption RSA
When no special hardware is used, the signature with the private key is 10 times more than the verification with the public key.
It takes about 0 times as long, and verification using a public key takes about 10 times as long as hashing.
【0011】利用者装置とサーバ装置との仲介をする仲
介者装置の数が増えるにつれサービス利用者装置及び各
仲介者装置による秘密鍵を用いた署名の数も増え、サー
バ装置がおこなう公開鍵を用いた検証の数も増えるため
に、署名及び検証に必要な時間が問題となってくる。特
に、広域ネットワークでは仲介者の数を押えることは困
難なため、署名及び検証に必要な時間を減らす方法が望
まれていた。[0011] As the number of mediator devices that mediate between the user device and the server device increases, the number of signatures using the secret key by the service user device and each mediator device also increases, and the public key performed by the server device increases. Since the number of verifications used increases, the time required for signature and verification becomes a problem. In particular, since it is difficult to control the number of intermediaries in a wide area network, a method for reducing the time required for signature and verification has been desired.
【0012】この発明は上記の問題点を解消するために
なされたもので、利用者装置とサーバ装置の仲介をする
仲介者装置の数が増えたとしても、必要な処理が公開鍵
暗号を利用した場合ほど増えない仲介者認証方法を提供
することを目的とする。[0012] The present invention has been made to solve the above problem, and even if the number of mediator devices that mediate between the user device and the server device increases, the necessary processing uses public key encryption. It is an object of the present invention to provide an intermediary authentication method that does not increase as much as the case where it does.
【0013】[0013]
【課題を解決するための手段】この発明では、サービス
を要求する利用者の装置(以下利用者装置と記す)と、
サービスを提供するサーバの装置(以下サーバ装置と記
す)と、利用者とサーバとの仲介としてサービスを要求
する仲介者の装置(以下仲介者装置と記す)とが、ネッ
トワークにより相互に接続された分散環境における前記
仲介者がサーバに対してサービスを要求する資格を備え
た正規の仲介者であることを認証する仲介者認証方法で
あって、利用者とサーバのみが共有する秘密の利用情報
を利用者装置及びサーバ装置にそれぞれ設ける。According to the present invention, a device of a user who requests a service (hereinafter referred to as a user device) is provided.
A server device that provides a service (hereinafter, referred to as a server device) and an intermediary device that requests a service as an intermediary between a user and the server (hereinafter, referred to as an intermediary device) are interconnected by a network. An intermediary authentication method for authenticating that the intermediary in a distributed environment is an authorized intermediary having a qualification for requesting a service to a server, wherein secret usage information shared only by the user and the server is used. It is provided in each of the user device and the server device.
【0014】請求項1では利用者装置で利用情報と利用
者識別子とを結合したのち一方向関数で処理を行ない、
その出力1と仲介者識別子とを結合したのち一方向関数
で処理を行ない、その出力2と利用者識別子とを仲介者
装置にネットワークを利用して伝達し、仲介者装置は送
られてきた出力2とサーバ識別子とを結合したのち一方
向関数で処理を行ない、その出力3と送られてきた利用
者識別子と仲介者識別子とをサーバ装置にネットワーク
を利用して伝達し、サーバ装置は利用情報と送られてき
た利用者識別子とを結合したのち一方向関数で処理を行
ない、その出力4と送られてきた仲介者識別子とを結合
したのち一方向関数で処理を行ない、その出力5と提供
者識別子とを結合したのち一方向関数で処理を行ない、
その出力6と送られてきた出力3とを比較し、一致する
ことによって正規の仲介者であることを認証する。In the first aspect, the user device combines the use information and the user identifier, and then performs a process using a one-way function.
After combining the output 1 and the intermediary identifier, processing is performed by a one-way function, the output 2 and the user identifier are transmitted to the intermediary device using a network, and the intermediary device transmits the output. 2 is combined with the server identifier, the processing is performed by a one-way function, and the output 3 and the transmitted user identifier and intermediary identifier are transmitted to the server device via a network, and the server device uses the usage information. After combining the transmitted user identifier and the one-way function, the output 4 is combined with the sent intermediary identifier, and then processed by the one-way function, and the output 5 and provided. Process with a one-way function after combining with the
The output 6 and the transmitted output 3 are compared, and if they match each other, it is authenticated that they are authorized mediators.
【0015】また、請求項2では、利用者装置は利用情
報と、利用者が仲介者に渡す権限を表わす利用者権限と
を結合したのち一方向関数で処理を行ない、その出力7
と利用者権限とをネットワークを利用して仲介者装置に
伝達し、仲介者装置は送られてきた出力7と仲介者が制
限する権限を表す仲介者制限とを結合したのち一方向関
数で処理を行ない、その出力8と送られてきた利用者権
限と、仲介者制限とをネットワークを利用してサーバ装
置に伝達し、サーバ装置は利用情報と送られてきた利用
者権限とを結合したのち一方向関数で処理を行ない、そ
の出力9と送られてきた仲介者制限とを結合したのち一
方向関数で処理を行ない、その出力10と送られてきた
出力8とを比較し、一致することによって正規の権限を
持つ仲介者であることを認証する。According to the second aspect of the present invention, the user device combines the usage information with the user authority indicating the authority that the user passes to the intermediary, and then performs a process using a one-way function.
And the user authority are transmitted to the mediator device using the network, and the mediator device combines the sent output 7 with the mediator restriction indicating the authority restricted by the mediator, and then processes the output 7 with a one-way function Is performed, and the output 8 and the transmitted user authority and the mediator restriction are transmitted to the server device using the network, and the server device combines the usage information with the transmitted user authority. The processing is performed by a one-way function, the output 9 is combined with the transmitted mediator restriction, the processing is performed by a one-way function, and the output 10 and the transmitted output 8 are compared and matched. Authenticates that the person is an authorized mediator.
【0016】請求項3の発明は請求項1の発明と請求項
2の発明を組合せたものである。作用請求項1の発明に
おいては、利用情報は利用者とサーバしか知らないため
に、一方向関数が十分な長さの出力を持っており、ある
特定の一方向関数値が得られる元データを見つけること
が困難であり、同じ一方向関数値が得られる二つの元デ
ータを見つけることが困難であるような性質を一方向関
数が持っているならば、出力6と同じ値を持つ出力3を
利用者装置とサーバ装置以外が作成することは困難であ
り、したがって、利用者が指定した以外の仲介者装置が
利用者とサーバとの仲介としてサービスを利用すること
は困難である。また、利用者装置及び仲介者装置はそれ
ぞれ一方向関数による処理が必要であり、サーバ装置は
利用者装置及び仲介者装置の一方向関数による処理を同
じ一方向関数を用いて検証する。The invention of claim 3 is a combination of the invention of claim 1 and the invention of claim 2. According to the first aspect of the present invention, since the use information is known only to the user and the server, the one-way function has an output of a sufficient length, and the original data from which a specific one-way function value is obtained is used. If the one-way function has such a property that it is difficult to find and it is difficult to find two original data that give the same one-way function value, then output 3 having the same value as output 6 It is difficult to create a service other than the user device and the server device. Therefore, it is difficult for an intermediary device other than the one designated by the user to use the service as an intermediary between the user and the server. In addition, the user device and the mediator device each require processing by a one-way function, and the server device verifies the processing by the user device and the mediator device by the one-way function using the same one-way function.
【0017】公開鍵暗号の秘密鍵を用いた署名に必要な
処理時間をtS 、公開鍵暗号の公開鍵を用いた検証に必
要な処理時間をtp 、ハッシュ関数(一方向関数の一
種)の処理時間をth とすると、従来の技術である上記
のCascaded Authenticationで
は(tS +tp )×2の処理時間がかかり、請求項1の
発明ではth ×6の処理時間がかかる。ここで(tp +
tS )>>th ×2であるため、正規の仲介者装置であ
ることを認証するために必要な処理を高速に行なうこと
ができる。The processing time required for the signature using the secret key of the public key cryptosystem is t S , the processing time required for the verification using the public key of the public key cryptosystem is t p , and a hash function (a kind of one-way function). When the processing time is t h, the above Cascaded Authentication is a conventional art takes (t S + t p) processing time × 2, take processing time of t h × 6 in the first aspect of the present invention. Where (t p +
Since t s >> t h × 2, it is possible to perform the processing required to authenticate that the device is a legitimate mediator device at high speed.
【0018】請求項2の発明においては、利用情報は利
用者とサーバしか知らないために、一方向関数が十分な
長さの出力を持っており、ある特定の一方向関数値が得
られる元データを見つけることが困難であり、同じ一方
向関数値が得られる二つの元データを見つけることが困
難であるような性質を一方向関数が持っているならば、
出力10と同じ値を持つ出力8を利用者装置とサーバ装
置以外が作成することは困難であり、したがって、利用
者が指定した以外の権限を用いてサービスを利用するこ
とは困難である。また、利用者装置及び仲介者装置はそ
れぞれ一方向関数による処理が必要であり、サーバ装置
は利用者装置及び仲介者装置の一方向関数による処理を
同じ一方向関数を用いて検証する。According to the second aspect of the present invention, since the use information is known only to the user and the server, the one-way function has an output of a sufficient length, and the source from which a specific one-way function value can be obtained. If the one-way function has such a property that it is difficult to find data and it is difficult to find two original data that give the same one-way function value,
It is difficult for other than the user device and the server device to create the output 8 having the same value as the output 10, and therefore, it is difficult to use the service with authority other than that specified by the user. In addition, the user device and the mediator device each require processing by a one-way function, and the server device verifies the processing by the user device and the mediator device by the one-way function using the same one-way function.
【0019】公開鍵暗号の秘密鍵を用いた署名に必要な
処理時間をtS 、公開鍵暗号の公開鍵を用いた検証に必
要な処理時間をtp 、ハッシュ関数(一方向関数の一
種)の処理時間をth とすると、従来の技術である上記
のCascaded Authenticationで
は(tS +tp )×2の処理時間がかかり、請求項2の
発明ではth ×4の処理時間がかかる。ここで(tp +
tS )>>th ×2であるため、正規の権限を持つ仲介者
装置であることを認証するために必要な処理を高速に行
なうことができる。The processing time required for the signature using the private key of the public key cryptosystem is t S , the processing time required for the verification using the public key of the public key cryptosystem is t p , and a hash function (a kind of one-way function) When the processing time is t h, the above Cascaded Authentication is a conventional art takes (t S + t p) processing time × 2, take processing time of t h × 4 in the second aspect of the present invention. Where (t p +
t S) >> t for h is × 2, it is possible to perform the necessary processing to authenticate that it is the intermediary apparatus having the legitimate rights quickly.
【0020】請求項3の発明においては、利用情報は利
用者とサーバしか知らないために、一方向関数が十分な
長さの出力を持っており、ある特定の一方向関数値が得
られる元データを見つけることが困難であり、同じ一方
向関数値が得られる二つの元データを見つけることが困
難であるような性質を一方向関数が持っているならば、
出力6と同じ値を持つ出力3を利用者装置とサーバ装置
以外が作成することは困難であり、また、出力10と同
じ値を持つ出力8を利用者装置とサーバ装置以外が作成
することは困難であり、したがって、利用者が指定した
以外の仲介者装置が利用者とサーバとの仲介としてサー
ビスを利用することは困難であり、利用者が指定した以
外の権限を用いてサービスを利用することは困難であ
る。また、利用者装置及び仲介者装置はそれぞれハッシ
ュ関数による処理が必要であり、サーバ装置は利用者装
置及び仲介者装置の一方向関数による処理を同じ一方向
関数を用いて検証する。According to the third aspect of the present invention, since the use information is known only to the user and the server, the one-way function has an output of a sufficient length, and the source from which a specific one-way function value can be obtained. If the one-way function has such a property that it is difficult to find data and it is difficult to find two original data that give the same one-way function value,
It is difficult to create an output 3 having the same value as the output 6 except for the user device and the server device, and it is difficult to create an output 8 having the same value as the output 10 except for the user device and the server device. Therefore, it is difficult for an intermediary device other than the one designated by the user to use the service as an intermediary between the user and the server, and to use the service using authority other than the one designated by the user. It is difficult. In addition, the user device and the intermediary device each require processing by a hash function, and the server device verifies the processing by the one-way function of the user device and the intermediary device using the same one-way function.
【0021】公開鍵暗号の秘密鍵を用いた署名に必要な
処理時間をts 、公開鍵暗号の公開鍵を用いた検証に必
要な処理時間をtp 、ハッシュ関数(一方向関数の一
種)の処理時間をth とすると、従来の技術である上記
のCascaded Authenticationで
は(ts +tp )×2の処理時間がかかり、請求項3の
発明ではth ×10の処理時間がかかる。ここで(tp
+ts )>>th ×2であるため、正規の仲介者装置であ
りかつ正規の権限を持つ仲介者装置であることを認証す
るために必要な処理を高速に行なうことができる。The processing time required for signature using the private key of the public key cryptosystem is t s , the processing time required for verification using the public key of the public key cryptosystem is t p , and a hash function (a kind of one-way function) When the processing time is t h, the above Cascaded Authentication is a conventional art takes (t s + t p) processing time × 2, take processing time of t h × 10 in the invention of claim 3. Where (t p
+ T s) for a >> t h × 2, it is possible to perform the necessary processing to authenticate that it is the intermediary apparatus having the authority authorized a mediator device and normal speed.
【0022】[0022]
【発明の実施の形態】図1は、この発明の方法を適用し
たシステムの機能構成例を示す。利用者装置11とサー
バ装置13は秘密の利用情報を共有している。利用者装
置11は 1.利用情報格納手段11aから取り出した利用情報S
USと利用者識別子格納手段11bから取り出した利用
者識別子UIDとを結合手段11dを用いて結合し(以
下この実施例では結合をビット連結とする)、結合結果
をハッシュ関数手段1kで処理する。この出力を出力1
とする。FIG. 1 shows an example of the functional configuration of a system to which the method of the present invention is applied. The user device 11 and the server device 13 share secret use information. The user device 11 is: Usage information S extracted from the usage information storage unit 11a
The US and the user identifier UID extracted from the user identifier storage unit 11b are combined using the combining unit 11d (hereinafter, the combination is referred to as bit connection in this embodiment), and the combined result is processed by the hash function unit 1k. Output 1
And
【0023】出力1=h(SUS‖UID) 2.出力1と仲介者識別子格納手段11eから取り出し
た仲介者識別子RIDとを結合手段11fを用いて結合
し、結合結果をハッシュ関数手段11gで処理する。こ
の出力を出力2とする。 出力2=h(RID‖出力1) 3.利用情報格納手段11aから取り出した利用情報S
USと利用者権限格納手段11kから取り出した利用者
が仲介者に渡す権限を表わす利用者権限URIとを結合
手段11hを用いて結合し、結合結果をハッシュ関数手
段11iで処理する。その出力を出力7とする。Output 1 = h (SUS @ UID) The output 1 and the mediator identifier RID extracted from the mediator identifier storage means 11e are combined using the combining means 11f, and the combined result is processed by the hash function means 11g. This output is referred to as output 2. Output 2 = h (RID‖Output 1) Usage information S extracted from the usage information storage unit 11a
The US and the user authority URI indicating the authority that the user extracted from the user authority storage unit 11k passes to the intermediary are combined using the combining unit 11h, and the combined result is processed by the hash function unit 11i. The output is referred to as output 7.
【0024】出力7=h(SUS‖URI) 4.出力2、出力7、利用者識別子UID、利用者権限
URIとを制御手段11jが集め、通信手段11mを用
いて仲介者装置12当てにネットワーク14を通じて伝
達する。仲介者装置12は 1.ネットワーク14を通じて利用者装置11から送ら
れてきた情報を通信手段12hを用いて受け取り、制御
手段12dへ送り、制御手段12dでは出力2、出力
7、利用者識別子、利用者権限とに分離する。 2.サーバ識別子格納手段12aから取り出したサーバ
識別子SIDと出力2とを結合手段12cを用いて結合
し、ハッシュ関数手段12bで処理する。その出力を出
力3とする。Output 7 = h (SUS @ URI) The control means 11j collects the output 2, the output 7, the user identifier UID, and the user authority URI, and transmits them to the intermediary device 12 through the network 14 using the communication means 11m. The mediator device 12 is: The information sent from the user device 11 through the network 14 is received by using the communication means 12h and sent to the control means 12d. The control means 12d separates the information into output 2, output 7, user identifier, and user authority. 2. The server identifier SID extracted from the server identifier storage unit 12a and the output 2 are combined using the combining unit 12c, and processed by the hash function unit 12b. The output is referred to as output 3.
【0025】出力3=h(SID‖出力2) 3.仲介者制限格納手段12gから取り出した仲介者が
サーバに加える制限を表わす仲介者制限RLIと出力7
とを結合手段12fを用いて結合し、ハッシュ関数手段
12eで処理する。その出力を出力8とする。 出力8=h(RLI‖出力7) 4.出力3、出力8、利用者識別子UID、利用者権限
URI、仲介者識別子格納手段12iから取り出した仲
介者識別子RID、仲介者制限RLIとを制御手段12
dが集め、通信手段12hを用いてサーバ装置13宛に
ネットワーク14を通じて伝達する。Output 3 = h (SID‖Output 2) A mediator restriction RLI representing the restriction imposed on the server by the mediator extracted from the mediator restriction storage means 12g and the output 7
Are combined using combining means 12f, and processed by hash function means 12e. The output is referred to as output 8. Output 8 = h (RLILOutput 7) The output unit 3, the output unit 8, the user identifier UID, the user authority URI, the mediator identifier RID extracted from the mediator identifier storage unit 12i, and the mediator restriction RLI.
d, and communicates to the server device 13 through the network 14 using the communication means 12h.
【0026】サーバ装置13は 1.ネットワーク14を通じて仲介者装置12から送ら
れてきた情報を通信手段13aを用いて受け取り、制御
手段13bへ送り、制御手段13bでは出力3、出力
8、利用者識別子、利用者権限、仲介者識別子、仲介者
制限とに分離する。 2.利用者識別子UIDと利用情報格納手段13cから
取り出した利用情報SUSとを結合手段13dを用いて
結合し、ハッシュ関数手段13eで処理する。その出力
を出力4とする。The server device 13 includes: The information sent from the mediator device 12 via the network 14 is received using the communication means 13a and sent to the control means 13b. The control means 13b outputs 3, output 8, user identifier, user authority, mediator identifier, Separate into intermediary restrictions. 2. The user identifier UID and the usage information SUS extracted from the usage information storage unit 13c are combined using the combining unit 13d, and are processed by the hash function unit 13e. The output is referred to as output 4.
【0027】出力4=h(UID‖SUS) 3.出力4と仲介者識別子RIDとを結合手段13fを
用いて結合し、ハッシュ関数手段13gで処理する。そ
の出力を出力5とする。 出力5=h(出力4‖RID) 4.その出力5とサーバ識別子格納手段13pより取り
出したサーバ識別子SIDとを結合手段13hを用いて
結合し、ハッシュ関数手段13iとで処理し、その出力
6を比較部13oに送る。Output 4 = h (UID @ SUS) The output 4 and the mediator identifier RID are combined by the combining means 13f, and are processed by the hash function means 13g. The output is referred to as output 5. Output 5 = h (output 4‖RID) The output 5 and the server identifier SID extracted from the server identifier storage unit 13p are combined by the combining unit 13h, processed by the hash function unit 13i, and the output 6 is sent to the comparison unit 13o.
【0028】出力6=h(出力5‖SID) 5.利用者権限URIと利用情報格納手段13cから取
り出した利用情報SUSとを結合手段13mを用いて結
合し、ハッシュ関数手段13nで処理する。その出力を
出力9とする。 出力9=h(URI‖SUS) 6.出力9と仲介者制限RLIとを結合手段13jを用
いて結合し、ハッシュ関数手段13kで処理し、その出
力10を比較部13oに送る。Output 6 = h (output 5‖SID) The user authority URI and the usage information SUS extracted from the usage information storage unit 13c are combined using the combining unit 13m, and are processed by the hash function unit 13n. The output is referred to as output 9. Output 9 = h (URI @ SUS) 6. The output 9 and the mediator restriction RLI are combined using the combining unit 13j, processed by the hash function unit 13k, and the output 10 is sent to the comparison unit 13o.
【0029】出力10=h(出力9‖RLI) 7.比較部13oでは出力3と出力6とを比較し一致す
れば正規の仲介者であることを認証する。 8.比較部13oでは出力8と出力10とを比較し一致
すれば正規の権限をもつ仲介者装置であることを認証す
る。Output 10 = h (output 9‖RLI) The comparing unit 13o compares the output 3 with the output 6, and if they match, authenticates that the person is an authorized mediator. 8. The comparing unit 13o compares the output 8 with the output 10, and if they match, authenticates that the mediator device has the proper authority.
【0030】上述のような認証方法を採れば、利用者装
置11は三回のハッシュ関数を、仲介者装置12は二回
のハッシュ関数を処理すればよく、サーバ装置13は利
用者装置11と仲介者装置12がそれぞれ処理すべきハ
ッシュ関数の回数の合計分の処理を行えばよいために、
仲介者認証に必要な処理を高速に行なうことができる。If the authentication method described above is adopted, the user device 11 only needs to process the hash function three times, the mediator device 12 has to process the hash function twice, and the server device 13 has to process the hash function twice. In order for the intermediary device 12 to perform processing for the total number of times of the hash function to be processed,
Processing required for mediator authentication can be performed at high speed.
【0031】以上の説明から理解されるように、この発
明による仲介者認証方法に用いられる利用者装置、仲介
者装置、サーバ装置はそれぞれ以下の機能的構成を具備
する。利用者装置11は利用者UとサーバSとが共有す
る秘密の利用情報SUS、利用者Uの識別子UID、仲
介者Rの識別子RID、利用者が仲介者に渡す権限を表
わす利用者権限URIをそれぞれ格納した記憶手段(1
1a,11b,11e,11k)と、SUSとUIDと
を結合する手段11dと、その結合結果をハッシュ関数
処理する手段11cと、その処理結果とRIDとを結合
する手段11fと、その結合結果をハッシュ関数処理し
て出力2を得る手段11gと、SUSとURIとを結合
する手段11bと、その結合結果をハッシュ関数処理し
て出力7を得る手段11iと、UID、出力2、出力7
及びURIを、ネットワークを介して仲介者装置12へ
送信する手段11mを具備する。As will be understood from the above description, each of the user device, the mediator device, and the server device used in the mediator authentication method according to the present invention has the following functional configuration. The user device 11 transmits secret use information SUS shared by the user U and the server S, an identifier UID of the user U, an identifier RID of the intermediary R, and a user authority URI indicating an authority that the user passes to the intermediary. The storage means (1
1a, 11b, 11e, 11k), a unit 11d for combining SUS and UID, a unit 11c for performing a hash function process on the combined result, a unit 11f for combining the processing result and the RID, and A unit 11g for obtaining an output 2 by performing a hash function, a unit 11b for combining SUS and URI, a unit 11i for obtaining a result 7 by performing a hash function on the combined result, a UID, an output 2, and an output 7
And a URI 11m for transmitting the URI and the URI to the intermediary device 12 via the network.
【0032】仲介者装置12はサーバSの識別子SI
D、仲介者がサーバに加える制限を表わす仲介者制限R
LI、仲介者の識別子RIDをそれぞれ格納する記憶手
段(12a,12g,12i)と、利用者装置11から
の情報を受信する手段と、その受信された情報中の出力
2とSIDを結合する手段12cと、その結合結果をハ
ッシュ関数処理して出力3を得る手段12bと、受信さ
れた情報中の出力7とRLIを結合する手段12fと、
その結合結果をハッシュ関数処理して出力8を得る手段
12eと、出力3、出力8、RID、RLI、受信情報
中のUID及びURIをネットワークを介してサーバ装
置へ送信する手段とを具備する。The intermediary device 12 has the identifier SI of the server S
D, an intermediary restriction R representing the restriction imposed by the intermediary on the server
Storage means (12a, 12g, 12i) for storing the LI and the intermediary identifier RID, means for receiving information from the user device 11, and means for combining the output 2 and SID in the received information 12c, means 12b for obtaining the output 3 by performing a hash function processing on the combined result, means 12f for combining the output 7 and the RLI in the received information,
It has means 12e for obtaining the output 8 by performing a hash function process on the combined result, and means for transmitting the output 3, output 8, RID, RLI, UID and URI in the received information to the server device via the network.
【0033】サーバ装置13は利用者UとサーバSとの
みに共有の秘密の利用情報SUS、サーバSの識別子S
IDを格納する記憶手段(13c,13p)と、仲介者
装置よりの情報を受信する手段13aと、その受信情報
中の利用者Uの識別子UIDとSUSとを結合する手段
13dと、その結合結果をハッシュ関数処理を行って出
力4を得る手段13eと、前記出力4と上記受信情報中
のRIDとを結合する手段13fと、その結合結果に対
しハッシュ関数処理を行って出力5を得る手段13g
と、その出力5とSIDを結合する手段13hと、その
結合結果をハッシュ関数処理して出力6を得る手段13
iと、SUSと受信情報中のURIを結合する手段13
mと、その結合結果をハッシュ関数処理して出力9を得
る手段13nと、その出力9と受信情報中のRLIとを
結合する手段13jと、その結合結果をハッシュ関数処
理して出力10を得る手段13kと、出力6と受信情報
中の出力3とを比較し、一致がとれると受信情報は正規
の仲介者装置からのものであると認証する手段と、出力
10と受信情報中の出力8とを比較し、一致がとれる
と、受信情報は正規の権限をもつ仲介者装置からのもの
であると認証する手段とを具備する。The server device 13 has secret use information SUS shared only by the user U and the server S, and an identifier S of the server S.
Storage means (13c, 13p) for storing the ID, means 13a for receiving information from the mediator device, means 13d for combining the identifier UID of the user U in the received information with SUS, and the result of the combination 13e for obtaining an output 4 by performing a hash function process, a unit 13f for combining the output 4 with the RID in the received information, and a unit 13g for performing an hash function process on the combined result to obtain an output 5
Means 13h for combining the output 5 with the SID, and means 13 for obtaining the output 6 by performing a hash function processing on the combined result
Means 13 for combining i, SUS and URI in received information
m, a unit 13n for obtaining the output 9 by performing a hash function processing on the combined result, a unit 13j for combining the output 9 and the RLI in the received information, and obtaining an output 10 by performing the hash function processing on the combined result. Means 13k, means for comparing the output 6 with the output 3 in the received information, and, if a match is found, authenticating that the received information is from a legitimate intermediary device; output 10 and the output 8 in the received information. And a means for authenticating that the received information is from an intermediary device having the proper authority when the two match.
【0034】上述において、各結合手段としては、例え
ばAとBとの結合を、Aの上位ビット側又は下位ビット
側にBをならべてビット連結(A‖B)により行った
が、例えばAとBとを排他的論理和をとったり、単なる
論理和をとったり、あるいは論理積をとって結合を行っ
てもよい。また一方向関数としてハッシュ関数を用いた
が、他の関数でもよい。更にこの実施例ではサーバ装置
で仲介者装置が正規のものであり、かつ、正規の権限を
有するものであることを認証したが、その一方のみの認
証にもこの発明は適用できる。つまり仲介者装置が正規
のものであることのみを認証するには利用者装置11で
結合手段11h、ハッシュ関数手段11i、利用者権限
格納手段11k、仲介者装置12では、結合手段12
f、ハッシュ関数手段12e、仲介者制限格納手段12
g、サーバ装置13では結合手段13j,13m、ハッ
シュ関数手段13k,13nはそれぞれ不要のものとな
る。In the above description, as the respective connecting means, for example, the connection between A and B is performed by bit connection (A‖B) by arranging B on the upper bit side or the lower bit side of A. An exclusive OR, a simple OR, or a logical AND of B may be combined. Although the hash function is used as the one-way function, another function may be used. Further, in this embodiment, the server device authenticates that the mediator device is authorized and has authorized authority, but the present invention can be applied to authentication of only one of the mediator devices. In other words, in order to authenticate only that the mediator device is legitimate, the user device 11 uses the combining unit 11h, the hash function device 11i, the user authority storage unit 11k, and the mediator device 12 uses the combining unit 12
f, hash function means 12e, intermediary restriction storage means 12
g, in the server device 13, the combining means 13j and 13m and the hash function means 13k and 13n are unnecessary.
【0035】逆に正規の権限を有するものであることの
みを認証する場合は、利用者装置11では利用者識別子
格納手段11b、仲介者識別子格納手段11e、結合手
段11d,11f、ハッシュ関数手段11c,11g、
仲介者装置12では、サーバ識別子格納手段12a、結
合手段12c、ハッシュ関数手段12b、サーバ装置1
3では結合手段13d,13f,13h、ハッシュ関数
手段13e,13g,13i、サーバ識別子格納手段1
3pはそれぞれ不要のものとなる。Conversely, when only authenticating that the user has the proper authority is authenticated, the user device 11 uses the user identifier storing means 11b, the mediator identifier storing means 11e, the combining means 11d and 11f, and the hash function means 11c. , 11g,
In the mediator device 12, the server identifier storage unit 12a, the combining unit 12c, the hash function unit 12b, the server device 1
3, the combining means 13d, 13f, 13h, the hash function means 13e, 13g, 13i, the server identifier storing means 1
3p becomes unnecessary.
【0036】[0036]
【発明の効果】以上述べたようにこの発明によれば、仲
介者認証に必要な処理を高速に行なうことができるとい
う効果が得られる。As described above, according to the present invention, it is possible to obtain the effect that the processing required for mediator authentication can be performed at high speed.
【図1】この発明方法の実施例に用いるこの発明の各装
置の機能的構成例を示す図。FIG. 1 is a diagram showing an example of a functional configuration of each device of the present invention used in an embodiment of the present invention method.
【図2】従来の認証方法に用いられるシステムの機能的
構成を示す図。FIG. 2 is a diagram showing a functional configuration of a system used for a conventional authentication method.
Claims (9)
利用者装置と記す)と、サービスを提供するサーバの装
置(以下サーバ装置と記す)と、利用者とサーバとの仲
介としてサービスを要求する仲介者の装置(以下仲介者
装置と記す)とがネットワークによって相互に接続され
た分散環境における前記仲介者が、サーバに対してサー
ビスを要求する資格を備えた正規の仲介者であることを
認証する仲介者認証方法において、 利用者とサーバのみが共有する利用情報を利用者装置及
びサーバ装置にそれぞれ設けた過程と、 利用者装置で利用情報と利用者識別子とを結合したのち
一方向関数で処理を行なって出力1を得る過程と、 前記出力1と仲介者識別子とを結合したのち一方向関数
で処理を行なって出力2を得る過程と、 前記出力2と利用者識別子とを仲介者装置にネットワー
クを利用して伝達する過程と、 仲介者装置で送られてきた前記出力2とサーバ識別子と
を結合したのち一方向関数で処理を行なって出力3を得
る過程と、 前記出力3と送られてきた利用者識別子と、仲介者識別
子とをサーバ装置にネットワークを利用して伝達する過
程と、 サーバ装置で利用情報と送られてきた利用者識別子とを
結合したのち一方向関数で処理を行なって出力4を得る
過程と、 前記出力4と送られてきた仲介者識別子とを結合したの
ち一方向関数で処理を行なって出力5を得る過程と、 前記出力5とサーバ識別子とを結合したのち一方向関数
で処理を行なって出力6を得る過程と、 前記出力6と送られてきた出力3とを比較して一致する
と正規の仲介者であることを認証する過程とを有する仲
介者認証方法。1. A device for a user who requests a service (hereinafter referred to as a user device), a device for a server for providing a service (hereinafter referred to as a server device), and a service request as an intermediary between the user and the server. In a distributed environment in which a mediator device (hereinafter referred to as a mediator device) is interconnected by a network, the mediator is an authorized mediator who is qualified to request a service from a server. In the intermediary authentication method for authenticating, a process in which usage information shared only by the user and the server is provided in the user device and the server device, and a one-way function after combining the usage information and the user identifier in the user device. A process of obtaining the output 1 by performing the above-mentioned processes, a process of obtaining the output 2 by combining the output 1 and the mediator identifier, and then performing a process using a one-way function, Transmitting the intermediary identifier to the intermediary device using a network, combining the output 2 sent by the intermediary device with the server identifier, and performing a process with a one-way function to obtain an output 3 Transmitting the output 3 and the transmitted user identifier and the intermediary identifier to the server device using the network; and combining the usage information and the transmitted user identifier with the server device. A step of obtaining an output 4 by performing processing with a one-way function; a step of obtaining an output 5 by combining the output 4 with the sent intermediary identifier; and performing a processing of a one-way function; And a process for obtaining an output 6 by performing a process with a one-way function after combining the server ID and the server identifier, and comparing the output 6 with the transmitted output 3 to authenticate that they are authorized mediators when they match. The process Intermediary authentication method to have.
利用者装置と記す)と、サービスを提供するサーバの装
置(以下サーバ装置と記す)と、利用者とサーバとの仲
介としてサービスを要求する仲介者の装置(以下仲介者
装置と記す)とがネットワークによって相互に接続され
た分散環境における前記仲介者が、サーバに対してサー
ビスを要求する資格を備えた正規の仲介者であることを
認証する仲介者認証方法において、 利用者とサーバのみが共有する利用情報を利用者装置及
びサーバ装置とそれぞれ設ける過程と、 利用者装置で利用情報と、利用者が仲介者に渡す権限を
表わす利用者権限とを結合したのち一方向関数で処理を
行なって出力7を得る過程と、 前記出力7と利用者権限とをネットワークを利用して仲
介者装置に伝達する過程と、 仲介者装置で送られてきた出力7と、仲介者がサーバに
加える制限を表わす仲介者制限とを結合したのち一方向
関数で処理を行なって出力8を得る過程と、 前記出力8と、送られてきた利用者権限と、仲介者制限
とをネットワークを利用してサーバ装置に伝達する過程
と、 サーバ装置で利用情報と送られてきた利用者権限とを結
合したのち一方向関数で処理を行なって出力9を得る過
程と、 前記出力9と送られてきた仲介者制限とを結合したのち
一方向関数で処理を行なって出力10を得る過程と、 前記出力10と送られてきた出力8とを比較して、一致
すると正規の権限を持つ仲介者であることを認証する過
程とを有する仲介者認証方法。2. A device of a user who requests a service (hereinafter, referred to as a user device), a device of a server that provides a service (hereinafter, referred to as a server device), and a service request as an intermediary between the user and the server. In a distributed environment in which a mediator device (hereinafter referred to as a mediator device) is interconnected by a network, the mediator is an authorized mediator who is qualified to request a service from a server. In the intermediary authentication method for authenticating, the process of providing the user information and the server device with the use information shared only by the user and the server respectively, the use information in the user device, and the use representing the authority that the user passes to the mediator A process of obtaining an output 7 by performing a process with a one-way function after combining the user authority with the user authority, and transmitting the output 7 and the user authority to a mediator device using a network. The process of combining the output 7 sent by the mediator device with the mediator restriction indicating the restriction imposed by the mediator on the server, and then performing processing with a one-way function to obtain the output 8; And the process of transmitting the transmitted user authority and the mediator restriction to the server device using the network, and combining the usage information and the transmitted user authority with the server device, and then a one-way function A process of obtaining the output 9 by performing the above processing; a process of combining the output 9 with the transmitted mediator restriction and performing a process with a one-way function to obtain the output 10; And comparing the output 8 with the output 8 and, if the two match, authenticates the mediator as a legitimate mediator.
利用者装置と記す)と、サービスを提供するサーバの装
置(以下サーバ装置と記す)と、利用者とサーバとの仲
介としてサービスを要求する仲介者の装置(以下仲介者
装置と記す)とがネットワークによって相互に接続され
た分散環境における前記仲介者が、サーバに対してサー
ビスを要求する資格を備えた正規の仲介者であることを
認証する仲介者認証方法において、 利用者とサーバのみが共有する利用情報を利用者装置及
びサーバ装置にそれぞれ設ける過程と、 利用者装置で利用情報と、利用者識別子とを結合したの
ち一方向関数で処理を行なって出力1を得る過程と、 前記出力1と仲介者識別子とを結合したのち一方向関数
で処理を行なって出力2を得る過程と、 利用情報と、利用者が仲介者に渡す権限を表す利用者権
限とを結合したのち一方向関数で処理を行なって出力7
を得る過程と、 前記出力2と、利用者識別子と前記出力7と利用者権限
とをネットワークを利用して仲介者装置に伝達する過程
と、 仲介者装置で送られてきた出力2とサーバ識別子とを結
合したのち一方向関数で処理を行なって出力3を得る過
程と、 送られてきた出力7と、仲介者がサーバに加える制限を
表わす仲介者制限とを結合したのち一方向関数で処理を
行なって出力8を得る過程と、 前記出力3と送られてきた利用者識別子と、仲介者識別
子と、前記出力8と、送られてきた利用者権限と、仲介
者制限とをネットワークを利用してサーバ装置に伝達す
る過程と、 サーバ装置で利用情報と送られてきた利用者識別子とを
結合したのち一方向関数で処理を行なって出力4を得る
過程と、 前記出力4と送られてきた仲介者識別子とを結合したの
ち一方向関数で処理を行なって出力5を得る過程と、 前記出力5とサーバ識別子とを結合したのち一方向関数
で処理を行なって出力6を得る過程と、 前記出力6と送られてきた出力3とを比較して一致する
ことによって正規の仲介者であることを認証する過程
と、 利用情報と送られてきた利用者権限とを結合したのち一
方向関数で処理を行なって出力9を得る過程と、 前記出力9と送られてきた仲介者制限とを結合したのち
一方向関数で処理を行なって出力10を得る過程と、 前記出力10と送られてきた出力8とを比較して一致す
ることによって正規の権限を持つ仲介者であることを認
証する過程とを有する仲介者認証方法。3. A device of a user who requests a service (hereinafter, referred to as a user device), a device of a server that provides a service (hereinafter, referred to as a server device), and a service request as an intermediary between the user and the server. In a distributed environment in which a mediator device (hereinafter referred to as a mediator device) is interconnected by a network, the mediator is an authorized mediator who is qualified to request a service from a server. A method of providing usage information shared only by a user and a server in a user device and a server device in an intermediary authentication method for authenticating; a one-way function after combining the usage information and a user identifier in the user device; A process of obtaining an output 1 by performing the processing in step 1, a step of combining the output 1 and the intermediary identifier, and then performing a process with a one-way function to obtain an output 2, usage information, Output use who perform the processing in one-way function After combining the user authorization indicating permission to pass to the intermediary 7
And transmitting the output 2, the user identifier, the output 7 and the user authority to the intermediary device using a network, and the output 2 and the server identifier sent by the intermediary device. And processing by a one-way function to obtain an output 3, and the output 7 sent and the mediator restriction indicating the restriction imposed on the server by the mediator are combined and then processed by the one-way function. To obtain the output 8 by using the network by using the output 3, the transmitted user identifier, the mediator identifier, the output 8, the transmitted user authority, and the mediator restriction. Transmitting the information to the server device, combining the usage information with the transmitted user identifier in the server device, and then performing a process with a one-way function to obtain an output 4; With the middleman identifier Then, a process of obtaining the output 5 by performing processing with the one-way function, a process of combining the output 5 with the server identifier and performing a process of the one-way function to obtain the output 6, and receiving the output 6 A process of authenticating that the user is a legitimate intermediary by comparing the output 3 with the output 3 and combining the usage information with the transmitted user authority, and then performing a process with a one-way function to output 9 And the step of combining the output 9 and the transmitted mediator restriction and then performing a process with a one-way function to obtain an output 10. The output 10 and the transmitted output 8 are compared. And authenticating an authorized mediator by matching the mediators.
利用情報SUS、利用者Uの識別子UID、仲介者Rの
識別子RID、をそれぞれ格納した記憶手段と、 SUSとUIDとを結合する手段と、 その結合結果をハッシュ関数処理する手段と、 その処理結果とRIDとを結合する手段と、 その結合結果をハッシュ関数処理して出力2を得る手段
と、 UID、及び出力2を、ネットワークを介して仲介者装
置へ送信する手段を具備する仲介者認証用利用者装置。4. A storage unit storing secret use information SUS shared by the user U and the server S, an identifier UID of the user U, and an identifier RID of the intermediary R, and combines the SUS and the UID. Means for performing a hash function processing on the combined result; means for combining the processing result with the RID; means for performing a hash function processing on the combined result to obtain an output 2; A user device for mediator authentication, comprising means for transmitting to the mediator device via an intermediary device.
子RIDをそれぞれ格納する記憶手段と、 利用者装置からの情報を受信する手段と、 その受信された情報中の出力2とSIDを結合する手段
と、 その結合結果をハッシュ関数処理して出力3を得る手段
と、 出力3、RID及び受信情報中のUIDをネットワーク
を介してサーバ装置へ送信する手段とを具備する仲介者
認証用仲介者装置。5. A storage unit for storing an identifier SID of a server S and an identifier RID of an intermediary, a unit for receiving information from a user device, and combining an output 2 and SID in the received information. Means for obtaining an output 3 by performing a hash function process on the combined result; and means for transmitting the output 3, the RID, and the UID in the received information to the server device via the network. apparatus.
の利用情報SUS、サーバSの識別子SIDを格納する
記憶手段と、 仲介者装置よりの情報を受信する手段と、 その受信情報中の利用者Uの識別子UIDとSUSとを
結合する手段と、 その結合結果をハッシュ関数処理を行なって出力4を得
る手段と、 前記出力4と上記受信情報中のRIDとを結合する手段
と、 その結合結果に対しハッシュ関数処理を行なって出力5
を得る手段と、 その出力5とSIDを結合する手段と、 その結合結果をハッシュ関数処理して出力6を得る手段
と、 出力6と受信情報中の出力3とを比較し、一致がとれる
と受信情報は正規の仲介者装置からのものであると認証
する手段と、 を具備する仲介者認証用サーバ装置。6. A storage means for storing secret use information SUS shared only by the user U and the server S, and an identifier SID of the server S; a means for receiving information from the mediator device; Means for combining the identifier UID of the user U with SUS, means for performing a hash function process on the result of the combination to obtain an output 4, means for combining the output 4 with the RID in the received information, Hash function processing is performed on the combined result and output 5
Means for combining the output 5 with the SID; means for performing a hash function on the combined result to obtain an output 6; and comparing the output 6 with the output 3 in the received information. A means for authenticating that the received information is from a legitimate mediator device.
利用情報SUS、利用者が仲介者に渡す権限を表わす利
用者権限URIをそれぞれ格納した記憶手段と、 SUSとURIとを結合する手段11bと、 その結合結果をハッシュ関数処理して出力7を得る手段
11iと、 出力7及びURIを、ネットワークを介して仲介者装置
へ送信する手段を具備する仲介者認証用利用者装置。7. A storage unit storing secret use information SUS shared by the user U and the server S, a user authority URI indicating an authority that the user passes to the mediator, and combining the SUS and the URI. A mediator authentication user device comprising: a means 11b; a means 11i for obtaining the output 7 by performing a hash function process on the combined result; and a means for transmitting the output 7 and the URI to the mediator device via a network.
介者制限RLI、仲介者の識別子RIDを格納する記憶
手段と、 利用者装置11からの情報を受信する手段と、 受信された情報中の出力7とRLIを結合する手段と、 その結合結果をハッシュ関数処理して出力8を得る手段
と、 出力8、RLI、及び受信情報中のURIをネットワー
クを介してサーバ装置へ送信する手段とを具備する仲介
者認証用仲介者装置。8. A storage means for storing a mediator restriction RLI indicating a restriction imposed on the server by the mediator, an identifier RID of the mediator, a means for receiving information from the user device 11, Means for combining the output 7 with the RLI, means for obtaining the output 8 by performing a hash function on the result of the combination, and means for transmitting the output 8, the RLI, and the URI in the received information to the server device via the network. An intermediary device for intermediary authentication provided.
の利用情報SUSを格納する記憶手段と、 仲介者装置よりの情報を受信する手段と、 SUSと受信情報中のURIを結合する手段と、 その結合結果をハッシュ関数処理して出力9を得る手段
と、 その出力9と受信情報中のRLIとを結合する手段と、 その結合結果をハッシュ関数処理して出力10を得る手
段と、 出力10と受信情報中の出力8とを比較し、一致がとれ
ると、受信情報は正規の権限をもつ仲介者装置からのも
のであると認証する手段とを具備する仲介者認証用サー
バ装置。9. A storage unit for storing secret use information SUS shared only by the user U and the server S, a unit for receiving information from the mediator device, and combining the SUS with a URI in the received information. Means for performing a hash function processing on the combined result to obtain an output 9; means for combining the output 9 with the RLI in the received information; means for performing a hash function processing on the combined result to obtain an output 10 A server device for intermediary authentication, comprising: means for comparing the output 10 with the output 8 in the received information, and if a match is obtained, means for authenticating that the received information is from an authorized mediator device. .
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP9132120A JPH10327144A (en) | 1997-05-22 | 1997-05-22 | Method for authenticating agency and system therefor |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP9132120A JPH10327144A (en) | 1997-05-22 | 1997-05-22 | Method for authenticating agency and system therefor |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH10327144A true JPH10327144A (en) | 1998-12-08 |
Family
ID=15073887
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP9132120A Pending JPH10327144A (en) | 1997-05-22 | 1997-05-22 | Method for authenticating agency and system therefor |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPH10327144A (en) |
-
1997
- 1997-05-22 JP JP9132120A patent/JPH10327144A/en active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7379551B2 (en) | Method and system for recovering password protected private data via a communication network without exposing the private data | |
| AU2003202511B2 (en) | Methods for authenticating potential members invited to join a group | |
| US7681033B2 (en) | Device authentication system | |
| US7254705B2 (en) | Service providing system in which services are provided from service provider apparatus to service user apparatus via network | |
| US7685421B2 (en) | System and method for initializing operation for an information security operation | |
| CN110990827A (en) | Identity information verification method, server and storage medium | |
| JP2012510655A (en) | Method, system, and computer program for authentication (secondary communication channel token-based client-server authentication with a primary authenticated communication channel) | |
| JP2003530599A (en) | System and method for controlling and exercising access rights to encrypted media | |
| US7266705B2 (en) | Secure transmission of data within a distributed computer system | |
| US20080072297A1 (en) | Method for protecting software based on network | |
| US8397281B2 (en) | Service assisted secret provisioning | |
| CN111954211B (en) | Novel authentication key negotiation system of mobile terminal | |
| JP3362780B2 (en) | Authentication method in communication system, center device, recording medium storing authentication program | |
| CN113572795B (en) | Vehicle safety communication method, system and vehicle-mounted terminal | |
| JPH10336172A (en) | Managing method of public key for electronic authentication | |
| JP2024501326A (en) | Access control methods, devices, network equipment, terminals and blockchain nodes | |
| US20060129815A1 (en) | Generation of identities and authentication thereof | |
| JP4840575B2 (en) | Terminal device, certificate issuing device, certificate issuing system, certificate acquisition method and certificate issuing method | |
| CN112035820B (en) | Data analysis method used in Kerberos encryption environment | |
| JPH10327144A (en) | Method for authenticating agency and system therefor | |
| CN115987636B (en) | Information security implementation method, device and storage medium | |
| JP2001203687A (en) | Data transmission method | |
| WO2005055516A1 (en) | Method and apparatus for data certification by a plurality of users using a single key pair | |
| JP2000244478A (en) | Method for user authentication/key sharing | |
| JP2001320365A (en) | Certifying station server, electronic signature device, electronic signature verifying device, privacy information key managing server and computer-readable recording medium with program recorded thereon |