JPH11265318A - Mutual certification system, its method and recording medium - Google Patents

Mutual certification system, its method and recording medium

Info

Publication number
JPH11265318A
JPH11265318A JP10067136A JP6713698A JPH11265318A JP H11265318 A JPH11265318 A JP H11265318A JP 10067136 A JP10067136 A JP 10067136A JP 6713698 A JP6713698 A JP 6713698A JP H11265318 A JPH11265318 A JP H11265318A
Authority
JP
Japan
Prior art keywords
means
data
digest
access
storage
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP10067136A
Other languages
Japanese (ja)
Inventor
Kazunori Asada
Satoshi Era
聡 江良
一憲 浅田
Original Assignee
Bug:Kk
株式会社ビー・ユー・ジー
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bug:Kk, 株式会社ビー・ユー・ジー filed Critical Bug:Kk
Priority to JP10067136A priority Critical patent/JPH11265318A/en
Publication of JPH11265318A publication Critical patent/JPH11265318A/en
Application status is Pending legal-status Critical

Links

Abstract

PROBLEM TO BE SOLVED: To provide mutual certification device and method capable of certifying a person intending to access to data stored in a detachable storage device.
SOLUTION: An access device 2 prepares a user key and a certification password from a password supplied from a user. Then the device 2 prepares a delivery key, ciphers a user key by the delivery key and supplies the ciphered user key to a memory card 1 to deliver the memory card 1 from the device 2 to the card 1. The card 1 deciphers the user key, decipers a card key by using the user key and a system key and deciphers the ciphered certification password by using the card key. Then each of the card 1 and the device 2 prepares two digests for the certification password deciphered or prepared by itself, exchages one of the two digests with the opposite, compares the digest prepared by itself with the digest obtained from the opposite, and when both the digests are substantially identical, permits a user's access.
COPYRIGHT: (C)1999,JPO

Description

【発明の詳細な説明】 DETAILED DESCRIPTION OF THE INVENTION

【0001】 [0001]

【発明の属する技術分野】この発明は、相互認証システム及び相互認証方法、特に、記憶されたデータを不正なアクセスから保護するための相互認証システム及び相互認証方法に関する。 BACKGROUND OF THE INVENTION The present invention, mutual authentication system and a mutual authentication method, and more particularly, to a mutual authentication system and mutual authentication method for protecting the stored data from unauthorized access.

【0002】 [0002]

【従来の技術】近年、ノート型パーソナルコンピュータ等において、外部記憶装置として、PCMCIAインターフェース等を備え、パーソナルコンピュータ本体と着脱可能に接続されるフラッシュメモリカードが用いられている。 Recently, in a notebook personal computer or the like, as an external storage device, provided with a PCMCIA interface or the like, a flash memory card which is detachably connected to the personal computer is used.

【0003】 [0003]

【発明が解決しようとする課題】しかし、フラッシュメモリカードに記憶されたデータは、そのフラッシュメモリカードをパーソナルコンピュータ本体から抜き取って他のコンピュータ等に接続し、アクセスすれば、アクセスする者を問わず容易に読み取ることができた。 [SUMMARY OF THE INVENTION] However, data stored in the flash memory card is withdrawn the flash memory card from the personal computer is connected to another computer, if access, regardless of the person who accesses I was able to be easily read. このため、フラッシュメモリカードは、守秘対象のデータの記憶には適さなかった。 Therefore, flash memory cards, were not suitable for storage of data confidentiality target.

【0004】本発明は、上記実状に鑑みてなされたもので、着脱可能な記憶装置に記憶されたデータへのアクセスを行う者を認証することができる相互認証システム及び相互認証方法を提供することを目的とする。 [0004] The present invention has been made in consideration of the above, to provide a mutual authentication system and the mutual authentication method that can authenticate a person who performs access to stored on a removable storage device data With the goal.

【0005】 [0005]

【課題を解決するための手段】上記目的を達成するため、この発明の第1の観点にかかる相互認証システムは、記憶手段と、アクセス手段とより構成され、前記アクセス手段は、操作者の操作により供給されるパスワードに基づいて第1の認証データを作成する手段と、配送キーを作成して前記記憶手段に供給する手段と、前記第1の認証データを実質的に逆変換を行えないように変換したものを表す第1のダイジェストを作成する第1のダイジェスト作成手段と、前記第1の認証データを実質的に逆変換を行えないように変換したものを表す第2のダイジェストを作成し、前記記憶手段に供給する第2のダイジェスト作成手段と、を備え、前記記憶手段は、データを格納するための記憶領域を備えるデータ格納手段と、暗号化された第2の Means for Solving the Problems] To achieve the above object, the mutual authentication system according to a first aspect of the present invention includes a storage unit, is more configuration and access means, the access means, the operator operation to not be a means for generating a first authentication data based on the password supplied, means for supplying to said memory means to create a delivery key, a substantially inverse transforming said first authentication data by create a first digest generation means for generating a first digest representing the a transformation, a second digest that represent a transformation to not be substantially the inverse transform of the first authentication data , and a second digest creation means for supplying to said memory means, said memory means includes data storage means having a storage area for storing data, a second encrypted 証データを記憶する手段と、 And means for storing proof data,
前記アクセス手段より供給された配送キーを用いて、前記暗号化された第2の認証データを復号化する手段と、 Using the delivery key supplied from said access means, and means for decoding the second authentication data the encrypted,
前記第2の認証データを実質的に逆変換を行えないように変換したものを表す第3のダイジェストを作成し、前記アクセス手段に供給する第3のダイジェスト作成手段と、前記第2の認証データを実質的に逆変換を行えないように変換したものを表す第4のダイジェストを作成する第4のダイジェスト作成手段と、前記アクセス手段より前記第2のダイジェストを取得して、前記第2及び第4のダイジェストが実質的に同一の前記認証データを示すか否かを判別し、示すと判別されたとき、前記アクセス手段の指示に従って、前記アクセス手段から供給された前記データの前記記憶領域への格納、前記記憶領域からの前記データの取得及び前記前記記憶領域から取得した前記データの前記アクセス手段への供給を行う手段と、を備え、前記ア Create a third digest representing the a transformation of the second authentication data to not be substantially the inverse transform, a third digest creation means for supplying to said access means, said second authentication data the acquired and fourth digest generation means for generating a fourth digest meanings converted to not be substantially the inverse transform, the second digest from said access means, said second and 4 digests to determine whether exhibiting substantially the same of the authentication data, when it is determined that shows, in accordance with an instruction of said access means, to the storage area of ​​the data supplied from said access means storing, and means for supplying to said access means of said data acquired from the acquisition and the said storage area of ​​said data from said storage area, said a セス手段は、前記記憶手段より前記第3のダイジェストを取得して、前記第1及び第3のダイジェストが実質的に同一の前記認証データを示すか否かを判別し、示すと判別されたとき、前記記憶手段に前記記憶領域からの前記データの取得を要求する前記指示、前記記憶領域への前記データの格納を要求する前記指示及び前記記憶手段への前記データの供給を行う手段を備える、ことを特徴とする。 Seth means acquires the third digest from the storage means, when said first and third digest to determine whether substantially show the same the authentication data, is determined to exhibit comprises means for performing said instruction for requesting acquisition of data, the supply of the data to the instruction and said memory means for requesting the storage of the data into the storage area from the storage area in the storage means, it is characterized in.

【0006】このような相互認証システムによれば、記憶手段とアクセス手段は、記憶手段に記憶された認証データと、アクセス手段に供給されたパスワードから作られる認証データとが実質的に同一のものであることを確認してから、データ格納手段の記憶領域へのアクセスをユーザ等に許可する。 [0006] According to such a mutual authentication system, storage means and access means are those with the stored authentication data in the storage means, and authentication data created from a password supplied to access means is substantially identical make sure that this is, to allow access to the storage area of ​​the data storage unit to the user or the like. 従って、パスワードをユーザ以外の者に公開しないようにすれば、データへのアクセスを行う者の認証が行われる。 Therefore, if so as not to expose the password to a person other than the user, the authentication of the person who performs the access to the data is performed.

【0007】前記アクセス手段は、前記パスワードに基づいてユーザキーを作成して、該ユーザキーを前記配送キーを用いて暗号化して暗号化ユーザキーを作成し、該暗号化ユーザキーを前記記憶手段に供給する手段を備え、前記記憶手段は、前記アクセス手段からのアクセスが実質的に不可能な記憶領域を有し、該記憶領域中に、 [0007] The access unit is to create a user key based on the password, the user key is encrypted using the delivery key to create an encrypted user key, said storing means the encryption of the user key comprising means for supplying to said memory means, accessible from said access means includes a substantially non-storage area, in said storage area,
システムキー、前記暗号化された第2の認証データ及び暗号化された固有キーを記憶する手段と、前記配送キーを用いて、前記アクセス手段より供給された前記暗号化ユーザキーを復号化する手段と、前記暗号化された固有キーを、前記システムキー及び復号化された前記ユーザキーを用いて復号化する固有キー復号化手段と、前記暗号化された第1の認証データを、復号化された前記固有キーを用いて復号化し、前記第2の認証データを作成する認証データ復号化手段と、を備えるものであってもよい。 System key, means for storing a unique key that is second authentication data and encryption that is the encrypted, using the distribution key, means for decrypting the encrypted user key supplied from said access means If the unique key the encrypted, the unique key decoding means for decoding using the user key in which the is the system key and the decryption, the first authentication data the encrypted, is decrypted the decrypted by using a unique key, and the authentication data decoding means for generating said second authentication data, may be provided with was. これにより、第2の認証データの秘匿性は高まり、 Accordingly, confidentiality of the second authentication data is increased,
また、第2の認証データの復号化のために用いられるデータの秘匿性も高まるので、不正な操作等により記憶手段へのアクセスが誤って許可される危険が減少する。 Further, since also increased confidentiality of data used for decoding of the second authentication data, the risk of being incorrectly allows access to the storage means by unauthorized manipulation or the like decreases.

【0008】前記記憶手段は、前記アクセス手段が、前記記憶領域への前記データの格納を要求する前記指示を行い、且つ、前記記憶領域に格納する対象の前記データの供給を行ったとき、供給された前記データを、前記復号化された固有キーを用いて暗号化して、前記記憶領域に格納する手段と、前記アクセス手段が、前記記憶領域に格納されている前記データの取得を要求する前記指示を行ったとき、暗号化されている該データを前記記憶領域より取得し、前記復号化された固有キーを用いて復号化して、前記アクセス手段に供給する手段と、を備えるものであってもよい。 [0008] The storage means, said access means performs the instruction that requests storing of the data into the storage area, and, when performing the supply of the data to be stored in the storage area, supplied the data, and encrypted using a unique key that is the decoded, means for storing in said storage area, said access means, said requesting acquisition of the data stored in the storage area when performing an instruction, the data being encrypted is acquired from the storage area, and decrypted using the unique key that is the decoded, there is provided a means for supplying to said access means it may be. これにより、データ格納手段の記憶領域に格納されるデータは固有キーにより暗号化された状態で格納される。 Thus, data stored in the storage area of ​​the data storage means is stored in an encrypted state by the unique key. このため、例えば該記憶領域が不正なアクセスを受けても、不正なアクセスを行った者が固有キーを知らない限り、該データの内容が漏洩することはない。 Thus, for example, also the storage area is the unauthorized access, who conducted an unauthorized access unless they know the unique key, there is no possibility that the contents of the data is leaked. 従って、該データの秘匿性は更に高まる。 Therefore, confidentiality of the data is further enhanced.

【0009】前記固有キー復号化手段は、前記暗号化された固有キーを復号化するために生成するデータ及び復号化された前記固有キーが、前記アクセス手段に供給されることを実質的に阻止する手段を備えるものであってもよく、また、前記認証データ復号化手段は、前記暗号化された第1の認証データを復号化するために生成するデータ及び前記第2の認証データが、前記アクセス手段に供給されることを実質的に阻止する手段を備えるものであってもよい。 [0009] The unique key decoding means, substantially prevent the unique key that is data and decoding generates to decrypt the unique key the encrypted is provided to said access means may comprise means for, also, the authentication data decoding means, the data and the second authentication data generated to decrypt the first authentication data the encrypted, the it may be provided with a means of substantially prevented from being supplied to the access means. これにより、固有キーや認証データを復元する過程で生成されるデータも秘匿されるから、該データが外部に漏れ、固有キーや認証データが逆算される等の危険も減少する。 Thus, since data generated in the process of restoring the unique key and authentication data is also confidential, the data leak to the outside, decreases the risk of such unique key and authentication data are calculated back.

【0010】前記アクセス手段は、第1の乱数を発生する手段と、前記記憶手段より第1の配送キー情報を取得し、該第1の配送キー情報及び前記第1の乱数に基づいて第1の前記配送キーを作成する手段と、前記記憶手段より第2の乱数を取得し、該第2の乱数及び前記第1の乱数に基づいて第2の配送キー情報を作成し、該第2の配送キー情報を前記記憶手段に供給する手段と、を備え、前記記憶手段は、前記第2の乱数及び第3の乱数を発生する手段と、前記第2及び第3の乱数に基づいて前記第1の配送キー情報を作成し、該第1の配送キー情報及び前記第2の乱数を前記アクセス手段に供給する手段と、前記第3の乱数及び前記アクセス手段より供給された前記第2の配送キー情報に基づいて、前記第1の配送キーと実質的に同一 [0010] The access means includes means for generating a first random number, acquires the first delivery key information from the storage unit, the first based on the distribution key information of the first and the first random number the means for creating the delivery key to obtain the second random number from the storage means to create a second delivery key information based on a random number and the first random number of the second, the second and means for supplying the delivery key information said storage means, said storage means includes means for generating the second random number and the third random number, on the basis of the second and third random numbers first create a delivery key information, and means for supplying the delivery key information and the second random number the first to the access means, the third random number and distribution the second supplied from said access means based on the key information, substantially the same as the first delivery key 第2の前記配送キーを作成する手段と、を備えるものであってもよい。 Means for creating a second of the delivery key, may be provided with a. これにより、配送キーも、秘匿性を保ったままアクセス手段から記憶手段に送られるので、配送キーが不正に取得され、アクセス手段と記憶手段との間で交換されるデータが不正に復号化される等の危険も減少する。 Thus, the delivery key also, since sent to the storage means from leaving access means maintaining the secrecy, the delivery key is illegally acquired, data exchanged between the access means and the storage means is illegally decoded also it reduces the danger such as that.

【0011】前記第1乃至第4のダイジェストは、例えば、前記アクセス手段が、第4の乱数を発生して前記記憶手段に供給する手段を備え、前記第1のダイジェスト作成手段が、前記第1の認証データと、前記第4の乱数とを変数とする一方向性関数の値を求めることにより前記第1のダイジェストを作成する手段を備え、前記第2 [0011] The first to fourth digest, for example, the access means includes means for supplying to said memory means and generating a fourth random number, the first digest creation means, said first and authentication data, comprising means for generating the first digest by determining the value of the one way function to a variable and said fourth random number, the second
のダイジェスト作成手段が、前記第1の認証データと、 Digest making means comprises a first authentication data,
前記第3の乱数とを変数とする一方向性関数の値を求めることにより前記第2のダイジェストを作成する手段を備え、前記第3のダイジェスト作成手段が、前記第2の認証データと、前記第4の乱数とを変数とする一方向性関数の値を求めることにより前記第3のダイジェストを作成する手段を備え、前記第4のダイジェスト作成手段が、前記第2の認証データと、前記第3の乱数とを変数とする一方向性関数の値を求めることにより前記第4のダイジェストを作成する手段を備える、ことにより生成される。 Comprising means for creating said second digest by determining the value of the one-way function whose variable is the third random number, the third digest creation means, and the second authentication data, wherein comprising means for generating the third digest by obtaining the value of the one-way function to a fourth random number as a variable, the fourth digest creation means, and the second authentication data, the first comprising means for creating the fourth digest by calculating the value of the one-way function to 3 of the random number as a variable, it is generated by.

【0012】前記アクセス手段は、前記操作者の操作に従って供給される、前記操作者を識別する識別情報を、 [0012] The access means is provided in accordance with operation of the operator, the identification information for identifying the operator,
実質的に逆変換が行えないように変換して前記操作者を特定する署名情報を作成し、前記署名情報を前記記憶手段に供給する手段を備え、前記記憶手段は、前記アクセス手段より供給された前記署名情報を取得する手段と、 Create a signature information by converting to substantially reverse conversion can not be performed to identify the operator, provided with means for supplying the signature information in said storage means, said storage means being supplied from said access means and means for acquiring the signature information,
前記記憶領域に前記署名情報が記憶されているか否かを判別し、記憶されていないと判別されたとき、前記アクセス手段より供給された前記署名情報を前記記憶領域に記憶し、記憶されていると判別されたとき、記憶されている前記署名情報と、前記アクセス手段より供給された前記署名情報とが、実質的に同一の操作者を示すか否かを判別して、示さないと判別されたとき、前記アクセス手段が行う前記指示に従うことを拒絶する手段と、を備えるものであってもよい。 Wherein said signature information into the storage area, it is determined whether or not is stored, when it is judged not stored, storing said signature information supplied from said access means to the storage area, it is stored when it is determined that, with the signature information stored, and wherein the signature information supplied from the access unit, to determine whether or not substantially show the same operator, is determined not shown when I, means for rejecting to follow the instructions the access means performs, it may be provided with a. これにより、既にデータ格納手段の記憶領域にアクセスした者がいる場合、その者以外の者が該記憶領域にアクセスすることは実質的に阻止されるので、該記憶領域にあるデータが他の者に取得される危険が減少する。 Thus, if there are already a person who has access to the storage area of ​​the data storage means, the person other than the person to access the storage area is substantially prevented, those data in the storage area of ​​the other the risk is reduced to be acquired.

【0013】また、この発明の第2の観点にかかる相互認証システムは、データを格納するための記憶領域を備える記憶手段と、前記記憶領域にアクセスする手段を備えるアクセス手段とより構成され、前記アクセス手段は、操作者の操作に従って供給される、前記操作者を識別する識別情報を、実質的に逆変換が行えないように変換して前記操作者を特定する署名情報を作成し、前記署名情報を前記記憶手段に供給する手段を備え、前記記憶手段は、前記アクセス手段より供給された前記署名情報を取得する手段と、前記記憶領域に前記署名情報が記憶されているか否かを判別し、記憶されていないと判別されたとき、前記アクセス手段より供給された前記署名情報を前記記憶領域に記憶し、記憶されていると判別されたとき、記憶されて Further, the mutual authentication system according to a second aspect of the present invention includes a storage unit having a storage area for storing data, is more configuration and access means comprises means for accessing said storage area, said access means is provided in accordance with operation of the operator, the identification information for identifying the operator, to create a signature information for specifying the operator to convert so can not be performed substantially inverse transformation, the signature information comprises means for supplying to said memory means, said memory means includes means for obtaining the signature information supplied from said access means, wherein the signature information is judged whether it is stored in the storage area If it is determined not to be stored, the supplied the signature information from the access unit stored in the storage area, when it is judged as being stored, stored る前記署名情報と、前記アクセス手段より供給された前記署名情報とが、実質的に同一の操作者を示すか否かを判別して、示さないと判別されたとき、前記アクセス手段が行う前記指示に従うことを拒絶する手段と、を備える、ことを特徴とする。 Wherein the signature information that the said signature information supplied from the access unit, to determine whether or not substantially show the same operator, when it is judged not shown, the said access means is performed and means for rejecting to follow the instructions, and wherein the.

【0014】このような相互認証システムによれば、既にデータ格納手段の記憶領域にアクセスした者がいる場合、その者以外の者が該記憶領域にアクセスすることは実質的に阻止されるので、該記憶領域にあるデータが他の者に取得される危険が減少する。 According to such a mutual authentication system, when there is a person who has already accessed to the storage area of ​​the data storage unit, since it is substantially prevented that a person other than the person to access the storage area, data in the storage area is decreased risk of being acquired to others.

【0015】この発明は、特に、前記記憶手段が、前記アクセス手段に着脱可能に接続されている場合に好適である。 [0015] The invention is particularly, the storage unit is suitable if it is detachably connected to said access means.

【0016】また、この発明の第3の観点にかかる相互認証方法は、記憶ステップと、アクセスステップとより構成され、前記アクセスステップは、操作者の操作により供給されるパスワードに基づいて第1の認証データを作成するステップと、配送キーを作成して前記記憶ステップに供給する記憶ステップと、前記第1の認証データを実質的に逆変換を行えないように変換したものを表す第1のダイジェストを作成する第1のダイジェスト作成ステップと、前記第1の認証データを実質的に逆変換を行えないように変換したものを表す第2のダイジェストを作成し、前記記憶ステップに供給する第2のダイジェスト作成ステップと、を備え、前記記憶ステップは、データを格納するための記憶領域を備えるデータ格納ステップと、暗号化さ Further, the mutual authentication method according to the third aspect of the present invention, a storage step, is more configuration and access step, the access step is first based on the password supplied by the operation of the operator and creating authentication data, the first digest representing what a storage step for supplying to said storage step to create a delivery key, and converting the first authentication data so as not to perform the substantially inverse transform a first digest generating step of generating said first authentication data to create a second digest that represent a transformation to not be substantially the inverse transformation, the second to be supplied to said storing step It includes a digest creating step, wherein the storing step includes a data storing step comprising a storage area for storing data, encryption た第2の認証データを記憶するステップと、前記アクセスステップより供給された配送キーを用いて、前記暗号化された第2の認証データを復号化するステップと、前記第2の認証データを実質的に逆変換を行えないように変換したものを表す第3のダイジェストを作成し、前記アクセスステップに供給する第3のダイジェスト作成ステップと、前記第2の認証データを実質的に逆変換を行えないように変換したものを表す第4のダイジェストを作成する第4のダイジェスト作成ステップと、前記アクセスステップより前記第2のダイジェストを取得して、前記第2及び第4のダイジェストが実質的に同一の前記認証データを示すか否かを判別し、 Substantially storing a second authentication data using the delivery key supplied from said access step, decoding a second authentication data the encrypted, the second authentication data to create a third digest representing the a transformation so as not to perform the reverse conversion, a third digest creation step of supplying to said accessing step, performed substantially inverse converting said second authentication data a fourth digest creating step of creating a fourth digest meanings converted so as not, the access to acquire the second digest from step, the second and fourth digest substantially identical wherein it is determined whether or not showing the authentication data,
示すと判別されたとき、前記アクセスステップの指示に従って、前記アクセスステップから供給された前記データの前記記憶領域への格納、前記記憶領域からの前記データの取得及び前記前記記憶領域から取得した前記データの前記アクセスステップへの供給を行うステップと、 When it is determined that shows, in accordance with an instruction of the access step, the data obtained from the storage to the storage area of ​​the data supplied from the access steps, obtaining and wherein the storage area of ​​the data from the storage area and performing the supply to the accessing step,
を備え、前記アクセスステップは、前記記憶ステップより前記第3のダイジェストを取得して、前記第1及び第3のダイジェストが実質的に同一の前記認証データを示すか否かを判別し、示すと判別されたとき、前記記憶ステップに前記記憶領域からの前記データの取得を要求する前記指示、前記記憶領域への前記データの格納を要求する前記指示及び前記記憶ステップへの前記データの供給を行うステップを備える、ことを特徴とする。 Wherein the accessing step is to obtain the third digest from the storage step, the first and third digest to determine whether exhibiting substantially the same of the authentication data, indicating when it is determined, to supply the data to the instruction, the instruction and the storing step for requesting storage of the data into the storage area for requesting acquisition of the data from the storage area in the storage step comprising the step, characterized in that.

【0017】このような相互認証方法によれば、記憶ステップとアクセスステップは、記憶ステップに記憶された認証データと、アクセスステップに供給されたパスワードから作られる認証データとが実質的に同一のものであることを確認してから、データ格納ステップの記憶領域へのアクセスをユーザ等に許可する。 According to such a mutual authentication process, the storage step and the access step, the authentication data stored in the storage step, those authentication data is substantially the same made from a password supplied to access step make sure that this is, to allow access to the storage area of ​​the data storing step to the user or the like. 従って、パスワードをユーザ以外の者に公開しないようにすれば、データへのアクセスを行う者の認証が行われる。 Therefore, if so as not to expose the password to a person other than the user, the authentication of the person who performs the access to the data is performed.

【0018】また、この発明の第4の観点にかかるコンピュータ読み取り可能な記録媒体は、データを格納するための記憶領域を備えるデータ格納手段と、暗号化された第1の認証データを記憶する手段と、供給された配送キーを用いて、前記暗号化された第1の認証データを復号化する手段と、前記第1の認証データを実質的に逆変換を行えないように変換したものを表す第1のダイジェストを作成する第1のダイジェスト作成手段と、を備える記憶手段に接続されたコンピュータを、操作者の操作により供給されるパスワードに基づいて第2の認証データを作成する手段と、前記配送キーを作成して前記記憶手段に供給する手段と、前記第2の認証データを実質的に逆変換を行えないように変換したものを表す第2のダイジェストを作成 Further, the fourth computer readable recording medium according to an aspect of the present invention, a data storage means comprising storage areas for storing data, means for storing the first authentication data encrypted When expressed using the delivery key supplied, and means for decoding the first authentication data the encrypted, a material obtained by converting the first authentication data so as not to perform the substantially inverse transform means for a first digest making means, a computer connected to the storage means comprising a, to create a second authentication data based on the password supplied by the operator's operation to create a first digest, the creating means for supplying to said memory means to create a delivery key, a second digest that represent a transformation of the second authentication data to not be substantially the inverse transform る第2のダイジェスト作成手段と、 And the second of the digest creating means that,
前記記憶手段より前記第1のダイジェストを取得して、 And acquiring the first digest from said storage means,
前記第1及び第2のダイジェストが実質的に同一の前記認証データを示すか否かを判別し、示すと判別されたとき、前記記憶手段に前記記憶領域からの前記データの取得を要求する指示、前記記憶領域への前記データの格納を要求する指示及び前記記憶手段への前記データの供給を行う手段と、して機能させるためのプログラムを記録することを特徴とする。 Said first and second digest to determine whether substantially show the same said authentication data, when it is judged to indicate an instruction for requesting acquisition of the data from the storage area in the storage means , characterized by recording means for supplying the data to instruction and said memory means for requesting the storage of the data into the storage area, the program for functioning with.

【0019】このような記録媒体に記録されたプログラムを実行するコンピュータと、記憶手段とは、記憶手段に記憶された認証データと、アクセス手段に供給されたパスワードから作られる認証データとが実質的に同一のものであることを確認してから、データ格納手段の記憶領域へのアクセスをユーザ等に許可する。 [0019] a computer to perform such a recording medium in a recording program, a storage unit, the stored authentication data in the storage means, substantially the authentication data made from the password supplied to access means make sure that this is the same thing on to allow access to the storage area of ​​the data storage unit to the user or the like. 従って、パスワードをユーザ以外の者に公開しないようにすれば、データへのアクセスを行う者の認証が行われる。 Therefore, if so as not to expose the password to a person other than the user, the authentication of the person who performs the access to the data is performed.

【0020】 [0020]

【発明の実施の形態】以下、この発明の実施の形態にかかる相互認証システム及び相互認証方法を、フラッシュメモリを備えるデータ記録システムを例とし、図面を参照して説明する。 DESCRIPTION OF THE PREFERRED EMBODIMENTS Hereinafter, the mutual authentication system and a mutual authentication method according to the embodiment of the present invention, a data recording system including a flash memory as an example will be described with reference to the drawings.

【0021】図1は、このデータ記録システムの物理的構成を示す。 [0021] Figure 1 shows the physical configuration of the data recording system. 図示するように、このデータ記録システムは、メモリカード1と、アクセス装置2とより構成される。 As illustrated, this data recording system, and more constructed as a memory card 1, the access device 2.

【0022】メモリカード1は、制御部11と、フラッシュメモリ12と、プロテクトROM(Read Only Memo [0022] The memory card 1 includes a control unit 11, a flash memory 12, the protect ROM (Read Only Memo
ry)13と、プロテクトRAM(Random Access Memor ry) and 13, protected RAM (Random Access Memor
y)14と、一般作業用RAM15とからなる。 And y) 14, consisting of the general working RAM15 Metropolitan.

【0023】制御部11は、CPU(Central Processi [0023] The control unit 11, CPU (Central Processi
ng Unit)等からなり、後述する初期設定及び相互認証の処理を表すプログラムデータをプロテクトROM13 Consists ng Unit) or the like, protect the program data representing the initializing process and the mutual authentication to be described later ROM13
より読み出し、読み出したプログラムデータが表す処理を実行する。 More reading, executes processing read program data represents.

【0024】該プログラムデータが表す処理には、後述する相互認証の処理が含まれる。 [0024] processing the program data represented include the cross-authentication process to be described later. 制御部11は、相互認証の処理の結果、メモリカード1及びアクセス装置2が相互にアクセス可能となった状態において、アクセス装置2から送信される書き込み対象のデータを、メモリカード1に固有に割り当てられたカードキーKKcを用いて暗号化してからフラッシュメモリ12に書き込む。 Control unit 11 assigns the result of the processing of mutual authentication, in the state in which the memory card 1 and the access device 2 becomes accessible to each other, the data to be written transmitted from the access device 2, specific to the memory card 1 It is written to the flash memory 12 from the encrypted using the obtained card key KKc. また、メモリカード1及びアクセス装置2が相互にアクセス可能な状態において、フラッシュメモリ12からデータを読み出す場合は、該データを読み出した後、該データをカードキーKKcを用いて復号化してから、アクセス装置2に供給する。 Further, in accessible state memory card 1 and the access device 2 to each other, the case of reading data from the flash memory 12, after reading the data, from the decrypted using the card key KKc the data, access supplied to the device 2.

【0025】フラッシュメモリ12は、EEPROM [0025] The flash memory 12, EEPROM
(Electrically Erasable/Programable ROM)等からなり、制御部11及びアクセス装置2の指示に応答して、 It consists (Electrically Erasable / Programable ROM) or the like, in response to an instruction of the control unit 11 and the access device 2,
記憶しているデータを制御部11及びアクセス装置2に供給し、またデータの記憶を行う。 Supplying the stored data to the control unit 11 and the access device 2, also performs storage of data. フラッシュメモリ1 Flash memory 1
2に記憶されているデータは、上述の通り、制御部11 Data stored in 2, as described above, the control unit 11
によりカードキーKKcを用いて暗号化された状態で記憶されている。 It is stored in an encrypted state by using a card key KKc by.

【0026】また、フラッシュメモリ12は、制御部1 [0026] In addition, flash memory 12, the control unit 1
1及びアクセス装置2の指示に応答して、記憶しているデータを、所定のブロックに属する記憶領域毎に一括して消去する。 In response to 1 and the access device 2 indicated, the stored data is erased collectively for each belonging storage area into predetermined blocks.

【0027】プロテクトROM13は、PROM(Prog [0027] protect ROM13 is, PROM (Prog
ramable ROM)等からなり、後述する初期設定キーKK Consists of ramable ROM), etc., which will be described later initial setting key KK
i、システムキーKKs、データeKKc(PWr)及びデータeKKu(eKKs(KKc))と、後述する初期設定及び相互認証の処理を表すプログラムデータとを記憶している。 i, the system key KKS, data eKKc (PWr) and data eKKu and (eKKs (KKc)), and stores the program data representing the initializing process and the mutual authentication to be described later.

【0028】なお、データeKKu(eKKs(KK [0028] In addition, data eKKu (eKKs (KK
c))は、カードキーKKcをシステムキーKKsを用いて暗号化したデータeKKs(KKc)を、更に後述のユーザキーKKuを用いて暗号化したものを表す。 c)) represents that the encrypted data eKKs (KKc) using the system key KKs key card KKC, and further encrypted using the user key KKu below.

【0029】また、データeKKc(PWr)は、特定のユーザに割り当てられたパスワードに基づいて、後述するステップS203の処理と実質的に同一の処理により生成される認証用パスワードPWrを、カードキーK Further, data eKKc (PWr), based on the password assigned to a particular user, the authentication password PWr produced by the process substantially identical to the process of step S203 to be described later, card key K
Kcを用いて暗号化したものを表す。 It represents what was encrypted using the Kc.

【0030】プロテクトRAM14及び一般作業用RA [0030] protect RAM14 and general work for RA
M15は、SRAM(Static RAM)等からなり、制御部11の作業領域として用いられる。 M15 consists SRAM (Static RAM) or the like is used as a work area of ​​the control unit 11. このうちプロテクトRAM14は、外部からのアクセスが制御部11により禁止されており、制御部11が、計算過程が外部に漏れないようにする必要がある特定の処理を行うとき(例えば、後述するステップS306及びS308の処理)に作業領域として用いられる。 Among protected RAM14, the step access from the outside is prohibited by the control unit 11, the control unit 11, when the calculation process performs a specific process that needs to be prevented from leaking to the outside (for example, to be described later used as a work area to S306 and processing S308).

【0031】アクセス装置2は、制御部21と、入力部22と、記憶部23とからなる。 The access device 2 includes a controller 21, an input unit 22, consisting of the storage unit 23. 制御部21はCPU等からなり、後述する初期設定及び相互認証の処理を表すプログラムデータを記憶部23より読み出し、読み出したプログラムデータが表す処理を実行する。 The control unit 21 comprises a CPU or the like, executes a process of reading from the storage unit 23 the program data representing the initializing process and the mutual authentication to be described later, read program data represents.

【0032】入力部22はキーボード等からなり、ユーザの操作に従った情報を、制御部21に供給する。 The input unit 22 includes a keyboard or the like, the information according to a user's operation to the control unit 21.

【0033】記憶部23は、RAM及びハードディスク装置等からなり、後述する定数Pkkuと、初期設定及び相互認証の処理を表すプログラムデータとを記憶している。 The storage unit 23 is composed of a RAM and a hard disk drive or the like, and stores a constant Pkku described later, the program data representing the initializing process and mutual authentication. そして、制御部21の指示に応答して、記憶しているデータを制御部21に供給し、また制御部21から供給されるデータの記憶を行う。 Then, in response to an instruction of the control section 21, the data stored is supplied to the control unit 21, also performs the storage of the data supplied from the control unit 21. また、記憶部23は、 In addition, the storage unit 23,
制御部21の作業領域としても用いられる。 Also used as a work area of ​​the control unit 21.

【0034】(動作)次に、このデータ記録システムの動作を、図2及び図3を参照して説明する。 [0034] (Operation) Next, the operation of the data recording system will be described with reference to FIGS. (初期設定)このデータ記録システムは、例えばメモリカード1がアクセス装置2に挿入され、ユーザが入力部22を用いてメモリカード1の初期化を指示すると、図2に示す初期設定の処理を実行する。 (Default) The data recording system, for example, the memory card 1 is inserted into the access device 2, when the user instructs the initialization of the memory card 1 using the input unit 22, executes the initializing process shown in FIG. 2 to.

【0035】初期設定の処理が開始されると、アクセス装置2の制御部21は、ユーザが、入力部22を用いて該ユーザを識別する識別符号を入力するのを待機する。 [0035] When the initializing process is started, the control unit 21 of the access device 2, the user waits to enter the identification code for identifying the user using the input section 22.
そして、識別符号が入力されると(ステップS10 When the identification code is input (step S10
1)、制御部21は、識別符号の値IDをメモリカード1の制御部11に送信する(ステップS102)。 1), the control unit 21 transmits the value ID of the identification code to the control unit 11 of the memory card 1 (step S102).

【0036】メモリカード1の制御部11は、識別符号の値IDを受信すると、プロテクトROM13に予め記録されている初期設定キーKKiを読み出し、受信した識別符号の値IDと、読み出された初期設定キーKKi The control unit 11 of the memory card 1 receives the value ID of the identification code, reads the initial setting key KKi previously recorded in the protected ROM 13, and the value ID of the received identification code, read initial setting key KKi
とより、数式1の右辺により表される署名Sの値を求める(ステップS103)。 More determines the value of the signature S which is represented by the right-hand side of Equation 1 (step S103).

【数1】S=dg(ID,KKi) [Number 1] S = dg (ID, KKi)

【0037】ただし、α、βを任意の数としたとき、d [0037] However, α, when the β an arbitrary number, d
g(α,β)は、dg(α,β)の値からα及びβの値を逆算することが実質的に不可能であるような関数(例えば、一方向性ハッシュ関数)の値を表す。 g (alpha, beta) represents the value of dg (alpha, beta) as that calculated back values ​​from the values ​​of alpha and beta is virtually impossible function (e.g., one-way hash function) . なお、以下では、dg(α,β)を、βをキーとしたαの「ダイジェスト」と呼ぶ。 In the following, dg (α, β), and is referred to as a "digest" of α was the key β.

【0038】なお、βをキーとしたαのダイジェストとして用いる関数は、例えば該関数の値からα及びβの値を逆算することが論理的には可能であっても、逆算を試みる者に逆算を断念させるような事実上の影響力を与えることが可能なもの(例えば、逆算に多大な時間的・経済的負担がかかる等の性質を有するもの)であればよい。 It should be noted, the function to be used as a digest of α was key β, for example also be calculated back the values ​​of α and β from the value of the function number is a possible logically, calculated back to the person attempting to back calculation those capable of affecting force on facts as to abandon (e.g., those having properties such as takes a lot of time and economic burden on inverse operation) may be any.

【0039】署名Sの値が計算されると、制御部11 [0039] When the value of the signature S is calculated, the control unit 11
は、フラッシュメモリ12の記憶領域を検索して、既に書き込まれている署名があるか否かを判別する(ステップS104)。 Searches the storage area of ​​the flash memory 12, determines whether there is a signature already written (step S104).

【0040】そして、署名が書き込まれていないと判別されると、制御部11は、ステップS103で得られた署名Sをフラッシュメモリ12に書き込み(ステップS [0040] When it is determined that the signature is not written, the control unit 11 writes the signature S obtained in step S103 in the flash memory 12 (step S
105)、他の処理(例えば、フラッシュメモリ12の記憶領域のフォーマット等の処理)を行って(ステップS106)、処理を終了する。 105), other processing (e.g., processing format such as the storage area of ​​the flash memory 12) performed (step S106), and ends the process.

【0041】一方、署名が既に書き込まれていると判別されると、制御部11はその署名を読み出し、読み出した署名の値が、ステップS103で得られた署名Sの値に等しいか否かを判別する(ステップS107)。 On the other hand, when the signature is judged to have been already written, the control unit 11 reads the signature value of the read signature, whether equal to the value of the resulting signature S in step S103 determining (step S107). 等しいと判別されると、制御部11は他の処理に進む(ステップS106)。 And if it is determined equal, the control unit 11 proceeds to other processing (step S106). 異なると判別されると、初期設定を中断して(ステップS108)、処理を終了する。 When different from the determination, by interrupting the initial setting (step S108), and ends the process.

【0042】(相互認証)また、メモリカード1及びアクセス装置2は、ユーザの指示に従ってアクセス装置2 [0042] (mutual authentication) Further, the memory card 1 and the access device 2, the access in accordance with an instruction from the user device 2
がフラッシュメモリ12の記憶領域にアクセスする前に、図3に示す相互認証の処理を行う。 There before accessing the storage area of ​​the flash memory 12, performs the processing of the mutual authentication shown in FIG.

【0043】相互認証の処理を開始すると、アクセス装置2の制御部21は、まず2個の乱数Ru及びRudを発生して記憶部23に格納する(ステップS201)。 [0043] Upon starting the process of mutual authentication, the control unit 21 of the access device 2 first two random number Ru and Rud generated to be stored in the storage unit 23 (step S201).
一方、メモリカード1の制御部11も2個の乱数Rc及びRcdを発生し、一般作業用RAM15に格納する(ステップS301)。 On the other hand, the control unit 11 of the memory card 1 also generates two random numbers Rc and Rcd, and stores the general working RAM 15 (step S301).

【0044】次に、アクセス装置2の制御部21は、ユーザが、入力部22を用いてパスワードPWを入力するのを待機し、パスワードPWが入力されると(ステップS202)、そのパスワードを、所定の手法により、復号用パスワードPWd及び認証用パスワードPWrに分割する(ステップS203)。 Next, the control unit 21 of the access device 2, the user, and waits to enter the password PW using the input unit 22, a password PW is input (step S202), the password, by a predetermined method, divided into the decryption password PWd and authentication password PWr (step S203).

【0045】次に、制御部21は、記憶部23に予め記憶されている定数Pkkuをキーとして、復号用パスワードPWdのダイジェストの値を計算し、得られた値をユーザキーKKuとする(ステップS204)。 Next, the control unit 21 as a key constants Pkku previously stored in the storage unit 23, calculates the value of the digest of the decryption password PWd, the obtained value as user key KKU (step S204).

【0046】一方、メモリカード1の制御部11は、数式2の右辺により表される配送キー情報Klcを計算し(ステップS302)、アクセス装置2の制御部21 Meanwhile, the control unit 11 of the memory card 1 computes the shipping key information Klc represented by the right-hand side of Equation 2 (step S302), the access device 2 of the control unit 21
に、乱数Rcd及び配送キー情報Klcを送信する。 To, to send a random number Rcd and delivery key information Klc.

【数2】Klc=f(Rc,Rcd) [Number 2] Klc = f (Rc, Rcd)

【0047】ただし、γ、δを任意の数としたとき、f [0047] However, γ, when the δ an arbitrary number, f
(γ,δ)は、f(γ,δ)の値からγ及びδの値を逆算することが実質的に不可能であり、かつ、ε、ζ、η (Gamma, [delta]) is, f (γ, δ) to inverse calculation values ​​from the values ​​gamma and [delta] of substantially impossible, and, epsilon, zeta, eta
を任意の数としたとき、数式3に示す関係が成り立つような関数の値を表す。 When was an arbitrary number, representing the value of a function, such as the relationship is established as shown in Equation 3. なお、以下では、f(γ,δ) In the following, f (γ, δ)
を、γ及びδの「一方向関数」と呼ぶ。 The, it referred to as a "one-way function" of the γ and δ.

【数3】f(ε,f(ζ,η))=f(ζ,f(ε, [Number 3] f (ε, f (ζ, η)) = f (ζ, f (ε,
η)) η))

【0048】なお、f(γ,δ)の値は、例えば数式4 [0048] Incidentally, the value of f (γ, δ), for example Equation 4
の右辺により表されるものであればよい。 As long as it represented by the right side.

【数4】f(γ,δ)=(δγ mod p) (ただし、pは素数である定数。また、任意の2つの数A及びBについて、(Amod B)は、AをBで除した場合の剰余を表す) Equation 4] f (γ, δ) = (δγ mod p) (Here, p is the a prime number constant. Further, any two numbers A and B, (Amod B) is obtained by dividing A by B representing the remainder of the case)

【0049】また、γ及びδの一方向性関数として用いる関数は、該関数の値からγ及びδの値を逆算することが論理的には可能であっても、逆算を試みる者に逆算を断念させるような事実上の影響力を与えることが可能なものであればよい。 [0049] Also, the function to be used as one-way function of γ and [delta], may be calculated back the value of γ and [delta] from the values ​​of the function number is a possible logically, the back calculation to those who attempt to back calculation as long as it can affect forces on the facts as to abandon.

【0050】アクセス装置2の制御部21は、メモリカード1より乱数Rcd及び配送キー情報Klcを受信すると、乱数Ru及び乱数Rcdの一方向関数である配送キー情報Kluを計算する(ステップS205)。 The control unit 21 of the access apparatus 2 from the memory card 1 receives a random number Rcd and delivery key information KLC, calculates the delivery key information Klu a one-way function of the random number Ru and random number Rcd (step S205).

【0051】次に、制御部21は、乱数Ru及び配送キー情報Klcの一方向関数である配送キーKKdを計算する(ステップS206)。 Next, the control unit 21 calculates the distribution key KKd is a one-way function of the random number Ru and delivery key information KLC (step S206). そして、制御部21は、ステップS204で計算したユーザキーKKuを、配送キーKKdを用いて暗号化し、暗号化済みのユーザキーe Then, the control unit 21, a user key KKu calculated at step S204, encrypted with the delivery key KKD, encrypted user key e
KKd(KKu)を作成する(ステップS207)。 To create a KKd (KKu) (step S207).

【0052】次に、制御部21は、暗号化済みのユーザキーeKKd(KKu)と、配送キー情報Kluと、乱数Rudとを、メモリカード1の制御部11に送信し、 Next, the control unit 21 includes a encrypted user key eKKd (KKu), the delivery key information Klu, the random number Rud, and sends to the control unit 11 of the memory card 1,
記憶部23に残存する配送キーKKdを消去する(ステップS208)。 Erasing the delivery key KKd remaining in the storage unit 23 (step S208).

【0053】メモリカード1の制御部11は、暗号化済みのユーザキーeKKd(KKu)、配送キー情報Kl The control unit 11 of the memory card 1, encrypted user key eKKd (KKu), delivery key information Kl
u及び乱数Rudを受信すると、乱数Rc及び配送キー情報Kluの一方向関数f(Rc,Klu)の値を計算し、一般作業用RAM15に格納する(ステップS30 Upon receiving the u and random numbers Rud, it calculates the value of the random number Rc and delivery key information Klu one-way function f (Rc, Klu), stored in the general working RAM 15 (step S30
3)。 3).

【0054】ステップS303で計算されたf(Rc, [0054] f calculated in step S303 (Rc,
Klu)の値と、アクセス装置2の制御部21がステップS206で計算した配送キーKKdの値との間には、 The value of Klu), between the control unit 21 of the access device 2 is the value of the delivery key KKd calculated in step S206, the
数式5により表される関係がある。 Relationship represented by Equation 5. すなわち、ステップS303において計算されるf(Rc,Klu)の値は、その計算が正しいRc及びKluの値を用いて行われていれば、配送キーKKdの値に等しくなる。 That is, the value of f (Rc, Klu) calculated at step S303 is long as performed using the value of the calculation is correct Rc and Klu, equal to the value of the delivery key KKD.

【0055】 [0055]

【数5】 f(Rc,Klu)=f(Rc,f(Ru,Rcd)) =f(Ru,f(Rc,Rcd)) =KKd Equation 5] f (Rc, Klu) = f (Rc, f (Ru, Rcd)) = f (Ru, f (Rc, Rcd)) = KKd

【0056】次に、制御部11は、アクセス装置2の制御部21より受信した暗号化済みのユーザキーeKKd Next, the control unit 11, the access device 2 encrypted user key received from the control unit 21 of eKKd
(KKu)を、ステップS303で算出した配送キーK (KKu), and delivery key K calculated in step S303
Kdを用いて復号化し、ユーザキーKKuを得て、一般作業用RAM15に格納する(ステップS304)。 Decrypted by using the kd, to obtain a user key KKU, stored in the general working RAM 15 (step S304). そして、制御部11は、一般作業用RAM15に残存する配送キーKKdを消去する(ステップS305)。 Then, the control unit 11 erases the delivery key KKd remaining generally work RAM 15 (step S305).

【0057】次に、制御部11は、データeKKu(e Next, the control unit 11, data eKKu (e
KKs(KKc))をプロテクトROM13から読み出し、プロテクトRAM14に格納する。 Read KKs the (KKC)) Protected ROM 13, and stores the protected RAM 14. そして、制御部11は、まず、データeKKu(eKKs(KKc)) Then, the control unit 11 first data eKKu (eKKs (KKc))
をユーザキーKKuを用いて復号化し、データeKKs The decrypted using the user key KKU, data eKKs
(KKc)を得る。 Get the (KKc). 更に、システムキーKKsをプロテクトROM13から読み出し、データeKKs(KK Further, reading the system key KKs Protected ROM 13, data eKKs (KK
c)をシステムキーKKsを用いて復号化し、カードキーKKcを得る(ステップS306)。 The c) and decrypted using the system key KKS, get card key KKC (step S306).

【0058】なお、制御部11は、ステップS306の処理を行うとき、作業領域としてプロテクトRAM14 [0058] The control unit 11, when performing the processing of step S306, protected as a work area RAM14
を用いる。 It is used. また、処理の途中で生成されるデータ、例えばデータeKKs(KKc)等を一時記憶する場合も、 Further, data generated in the course of processing, for example, even if temporarily storing data eKKs (KKc) or the like,
該データをプロテクトRAM14に格納する。 And it stores the data into the protected RAM 14.

【0059】カードキーKKcが得られると、制御部1 [0059] When the card key KKc is obtained, the control unit 1
1は、カードキーKKcをプロテクトRAM14に格納し、一般作業用RAM15に残存しているユーザキーK 1, the user key K that contains the card key KKc to protect RAM 14, remains generally work RAM15
Kuを消去する(ステップS307)。 To clear the Ku (step S307).

【0060】次に、制御部11は、復号用パスワードP [0060] Next, the control unit 11, decryption password P
WrをカードキーKKcで暗号化したデータeKKc Wr encrypted with the card key KKc the data eKKc
(PWr)を、プロテクトROM13から読み出す。 The (PWr), read from the protected ROM13. そして、データeKKc(PWr)をカードキーKKcを用いて復号化し、復号用パスワードPWrを得て、プロテクトRAM14に格納する(ステップS308)。 The data eKKc the (PWr) and decrypted using the card key KKC, to obtain the decryption password PWr, stored in the protected RAM 14 (step S308). なお、制御部11は、ステップS308の処理を行うときも、作業領域としてプロテクトRAM14を用いる。 The control unit 11 also when performing the process of step S308, using a protected RAM14 as a work area.

【0061】次に、制御部11は、乱数Rudをキーとして、ステップS308で得られた復号化パスワードP Next, the control unit 11, a random number Rud as a key, decrypting the password P obtained in step S308
Wrのダイジェストdg(PWr,Rud)の値(以下、Dcuと記す)を計算し(ステップS309)、得られたダイジェストの値Dcuを、アクセス装置2の制御部21に送信する。 Wr digest dg (PWr, Rud) values ​​(hereinafter, referred to as DCU) was calculated (step S309), the value DCU digest obtained are sent to the control unit 21 of the access device 2.

【0062】ダイジェストの値Dcuを受信したアクセス装置2の制御部21は、乱数Rudをキーとして、自らがステップS203で作成した復号化パスワードPW [0062] The control unit 21 of the access has been received digest value Dcu device 2, the random number Rud as a key, himself decrypted created in step S203 password PW
rのダイジェストdg(PWr,Rud)の値(以下D The value of r of the digest dg (PWr, Rud) (hereinafter D
uuと記す)を計算する(ステップS209)。 It referred to uu) calculating a (step S209).

【0063】次に、制御部21は、自ら計算したダイジェストDuuが、メモリカード1の制御部11より受信したダイジェストDcuに実質的に等しいか否かを判別する(ステップS210)。 Next, the control unit 21, itself calculated digest Duu it is determined whether or not substantially equal to the digest Dcu received from the control unit 11 of the memory card 1 (step S210).

【0064】ダイジェストDuu及びDcuの両者が実質的に等しいと判別されると、制御部21はメモリカード1が記憶している認証用パスワードPWrが示すユーザと、入力部22を用いてパスワードPWを入力したユーザが同一人であると判別し、メモリカード1が正当なメモリカードであることを認証する。 [0064] When the digest Duu and Dcu both are determined to substantially equal, the control unit 21 and the user indicated by the authentication password PWr the memory card 1 is stored, the password PW using the input unit 22 user who entered is determined as the same person, for authenticating the memory card 1 is a valid memory card. そして、乱数Rc Then, the random number Rc
dをキーとして、自らがステップS203で作成した復号化パスワードPWrのダイジェストdg(PWr,R The d as a key, a digest of the decryption password PWr created itself in step S203 dg (PWr, R
cd)の値(以下Ducと記す)を計算し(ステップS To calculate the value of cd) (hereinafter referred to as Duc) (step S
211)、得られたダイジェストの値Ducと、認証結果を示す情報とを、メモリカード1の制御部11に送信する。 211), and the value Duc digest obtained, and transmits the information indicating the authentication result, the control unit 11 of the memory card 1.

【0065】なお、ステップS210で、ダイジェストDuu及びDcuが互いに異なると判別されると、制御部21は、メモリカード1が不正であるか、又はユーザにより不正なパスワードPWが入力されたと判断して、 [0065] In step S210, the digest Duu and Dcu is different from the discrimination from each other, the control unit 21, or the memory card 1 is invalid, or it is determined that incorrect password PW is input by the user ,
処理をステップS201に戻す。 The process returns to step S201.

【0066】ダイジェストの値Duc及び認証結果を受信したメモリカード1の制御部11は、乱数Rcdをキーとして、自らがステップS308で復号化した復号化パスワードPWrのダイジェストdg(PWr,Rc [0066] The control unit 11 of the memory card 1 that has received the value Duc and authentication result of the digest is a random number Rcd as a key, a digest of itself decryption password PWr decrypted at step S308 dg (PWr, Rc
d)の値(以下Dccと記す)を計算する(ステップS The value of d) (hereinafter referred to as Dcc) calculating a (step S
310)。 310).

【0067】次に、制御部11は、自ら計算したダイジェストDccが、アクセス装置2の制御部21より受信したダイジェストDucに実質的に等しいか否かを判別する(ステップS311)。 Next, the control unit 11 itself computed digest Dcc it is determined whether or not substantially equal to the digest Duc received from the control unit 21 of the access device 2 (step S311). ダイジェストDcc及びD Digest Dcc and D
ucの両者が実質的に等しいと判別されると、制御部1 When both uc is determined to substantially equal, the control unit 1
1はプロテクトROM13に記憶されているデータeK 1 is stored in the protected ROM13 data eK
Kc(PWr)が示すユーザと、入力部22を用いてパスワードPWを入力したユーザとが同一人であると判別し、パスワードPWを入力したユーザを認証する。 A user indicating Kc (PWr) is a user who has entered a password PW using the input unit 22 is determined to be the same person, authenticates the user who inputs the password PW. そして、認証結果を示す情報をアクセス装置2の制御部21 Then, the access information indicating an authentication result apparatus 2 of the control unit 21
に送信し、プロテクトRAM14に残存している復号化パスワードPWrを消去して(ステップS312)、処理を終了する。 Sent to erases the decryption password PWr remaining in protected RAM 14 (step S312), the process ends.

【0068】なお、ステップS311で、ダイジェストDcc及びDucが互いに異なると判別されると、制御部11は、アクセス装置2が不正であるか、又はユーザにより不正なパスワードPWが入力されたと判断して、 [0068] In step S311, the digest Dcc and Duc is different from the discrimination from each other, the control unit 11, whether the access device 2 is invalid, or it is determined that incorrect password PW is input by the user ,
処理をステップS301に戻す。 The process returns to step S301.

【0069】一方、メモリカード1の制御部11より認証結果を受信したアクセス装置2の制御部21は、記憶部23の記憶領域に残存している復号化パスワードPW [0069] On the other hand, the control unit 21 of the access device 2 receives the authentication result from the control unit 11 of the memory card 1 is decrypted password PW remaining in the storage area of ​​the storage section 23
rを消去して(ステップS212)、処理を終了する。 To erase the r (step S212), the process is terminated.

【0070】以上説明したステップS201〜S212 [0070] The above-described step S201~S212
及びS301〜S312の処理が終了すると、メモリカード1及びアクセス装置2は、以後、相互へのアクセスを許可する。 And the process of S301~S312 is completed, the memory card 1 and the access device 2, thereafter, to allow access to each other. これにより、アクセス装置2は、ユーザの指示に従ってフラッシュメモリ12の記憶領域にアクセスし、メモリカード1を利用することが可能な状態となる。 Accordingly, the access device 2 accesses the storage area of ​​the flash memory 12 in accordance with an instruction from the user, a state capable of using the memory card 1.

【0071】メモリカード1及びアクセス装置2が相互へのアクセスを許可した後、アクセス装置2がフラッシュメモリ12に書き込む対象のデータを送信すると、メモリカード1の制御部11は、そのデータを、プロテクトRAM14に格納されているカードキーKKcを用いて暗号化してからフラッシュメモリ12に書き込む。 [0071] After the memory card 1 and the access device 2 is allowed access to one another, when the access device 2 transmits the data of the target to be written to the flash memory 12, the control unit 11 of the memory card 1, the data, protected written to the flash memory 12 is encrypted using the card key KKc stored in RAM 14. また、アクセス装置2がフラッシュメモリ12に格納されているデータの読み出しを要求すると、制御部11は、 Also, when the access device 2 requests a read of data stored in the flash memory 12, the control unit 11,
要求されたデータを読み出した後、該データをプロテクトRAM14に格納されているカードキーKKcを用いて復号化してから、アクセス装置2に供給する。 After reading the requested data, from the decrypted using the card key KKc stored the data into the protected RAM 14, and supplies the access device 2.

【0072】なお、このデータ記録システムの構成は、 [0072] It should be noted that the configuration of the data recording system,
上述のものに限られない。 Not limited to those described above. 例えば、メモリカード1は、 For example, the memory card 1,
フラッシュメモリ12を備える必要はなく、例えば、フラッシュメモリ12に代えて、記憶内容のバックアップが可能なSRAMや、シリコンディスク等であってもよく、その他任意の記録媒体であってもよい。 However, it is not necessary to provide a flash memory 12, for example, in place of the flash memory 12, the backup of the stored contents SRAM and capable, may be a silicon disk or the like, may be any other recording medium. また、メモリカード1とアクセス装置2とは互いに着脱可能に接続されている必要はなく、固定的に接続されていてもよい。 Moreover, it is not necessary to the memory card 1 and the access device 2 is detachably connected to one another, or may be fixedly connected.

【0073】またメモリカード1及びアクセス装置2 [0073] The memory card 1 and the access device 2
は、互いに同一の配送キーKKdを予め記憶していてもよい。 It may be stored in advance the same delivery key KKd each other. また、配送キーKKdは、公開キーと秘密キーとの対を用いて配送されてもよい。 In addition, delivery key KKd may be delivered using a pair of a public key and a private key. この場合、例えば、メモリカード1の制御部11が公開キーと秘密キーの対を作成して、公開キーをアクセス装置2に供給する。 In this case, for example, the control unit 11 of the memory card 1 creates a pair of a public key and a private key, and supplies the public key to the access device 2. アクセス装置2の制御部21は、供給された公開キーを用いて配送キーKKdを暗号化し、暗号化された配送キーK Control unit 21 of the access device 2 encrypts the delivery key KKd using a public key that is supplied, the encrypted delivery key K
Kdをメモリカード1に送る。 Send a Kd to the memory card 1. メモリカード1の制御部11は暗号化された配送キーKKdを秘密キーを用いて復号化し、配送キーKKdを取得する。 Control unit 11 of the memory card 1 is the delivery key KKD encrypted and decrypted using the private key, obtains the delivery key KKD. また、認証用パスワードPWrも、配送キーKKdと同様にして、公開キー及び秘密キーの対を用いて配送されてもよい。 In addition, authentication password PWr also, in the same manner as in the delivery key KKd, may be delivered using a pair of public key and private key.

【0074】以上、この発明の実施の形態を説明したが、この発明の相互認証システムは、専用のシステムによらず、通常のコンピュータシステムを用いて実現可能である。 [0074] Having described the embodiments of the present invention, the mutual authentication system of the present invention is not only by a dedicated system can be realized using a normal computer system. 例えば、メモリカードを接続するための任意のインターフェースを備えるコンピュータに、上述の動作を実行するためのプログラムを格納した媒体(フロッピーディスク、CD−ROM等)から該プログラムをインストールすることにより、上述の処理を実行する相互認証システムを構成することができる。 For example, the computer comprise any interface for connecting the memory card, the medium (floppy disk, CD-ROM, etc.) that a program for executing the stored operation of the above by installing the program from the above it is possible to construct a mutual authentication system performing process.

【0075】また、コンピュータにプログラムを供給するための媒体は、通信媒体(通信回線、通信ネットワーク、通信システムのように、一時的且つ流動的にプログラムを保持する媒体)でも良い。 [0075] In addition, the medium for supplying the program to a computer, the communication medium (a communication line, a communication network, such as the communication system, the medium having a temporary and fluidly program) may be. 例えば、通信ネットワークの掲示板(BBS)に該プログラムを掲示し、これをネットワークを介して配信してもよい。 For example, it posted the program to a bulletin board of a communication network (BBS), which may be distributed via a network. そして、このプログラムを起動し、ウィンドウシステムの制御下に、 Then, to start this program, under the control of the window system,
他のアプリケーションと同様に実行することにより、上述の処理を実行することができる。 By executing as well as other applications, it can perform the processing described above.

【0076】なお、OSが処理の一部を分担する場合、 [0076] It should be noted, if the OS to share a part of the processing,
あるいは、OSが本願発明の1つの構成要素の一部を構成するような場合には、記録媒体には、その部分をのぞいたプログラムを格納してもよい。 Alternatively, when the OS constitutes a part of one of the components of the present invention, the recording medium may store the program excluding that portion. この場合も、この発明では、その記録媒体には、コンピュータが実行する各機能又はステップを実行するためのプログラムが格納されているものとする。 Again, in this invention, the recording medium is assumed that a program for executing each function or step computer executes are stored.

【0077】 [0077]

【発明の効果】以上説明したように、本発明によれば、 As described in the foregoing, according to the present invention,
着脱可能な記憶装置に記憶されたデータへのアクセスを行う者を認証することができる相互認証システム及び相互認証方法が実現される。 Mutual authentication system and the mutual authentication method that can authenticate a person for accessing a stored in the removable storage device data is realized.

【図面の簡単な説明】 BRIEF DESCRIPTION OF THE DRAWINGS

【図1】本発明の実施の形態にかかるデータ記憶システムの物理的構成を示す図である。 1 is a diagram showing a physical configuration of a data storage system in the embodiment of the present invention.

【図2】初期設定の処理を示すフローチャートである。 2 is a flowchart showing the initializing process.

【図3】相互認証の処理を示すフローチャートである。 3 is a flowchart showing a process of mutual authentication.

【符号の説明】 DESCRIPTION OF SYMBOLS

1 メモリカード 11 制御部 12 フラッシュメモリ 13 プロテクトROM 14 プロテクトRAM 15 一般作業用RAM 2 アクセス装置 21 制御部 22 入力部 23 記憶部 1 memory card 11 the controller 12 the flash memory 13 Protect ROM 14 protect RAM 15 generally working RAM 2 access device 21 controller 22 input unit 23 storage unit

Claims (12)

    【特許請求の範囲】 [The claims]
  1. 【請求項1】記憶手段と、アクセス手段とより構成され、 前記アクセス手段は、 操作者の操作により供給されるパスワードに基づいて第1の認証データを作成する手段と、 配送キーを作成して前記記憶手段に供給する手段と、 前記第1の認証データを実質的に逆変換を行えないように変換したものを表す第1のダイジェストを作成する第1のダイジェスト作成手段と、 前記第1の認証データを実質的に逆変換を行えないように変換したものを表す第2のダイジェストを作成し、前記記憶手段に供給する第2のダイジェスト作成手段と、 And 1. A storage unit, is more configuration and access means, the access means includes means for generating a first authentication data based on the password supplied by the operation of the operator, to create a delivery key means for supplying to said memory means, a first digest generation means for generating a first digest representing the a transformation so as not to perform the substantially inverse transforming said first authentication data, the first create a second digest that represent a transformation of authentication data to not be substantially the inverse transform, a second digest creation means for supplying to said memory means,
    を備え、 前記記憶手段は、 データを格納するための記憶領域を備えるデータ格納手段と、 暗号化された第2の認証データを記憶する手段と、 前記アクセス手段より供給された配送キーを用いて、前記暗号化された第2の認証データを復号化する手段と、 前記第2の認証データを実質的に逆変換を行えないように変換したものを表す第3のダイジェストを作成し、前記アクセス手段に供給する第3のダイジェスト作成手段と、 前記第2の認証データを実質的に逆変換を行えないように変換したものを表す第4のダイジェストを作成する第4のダイジェスト作成手段と、 前記アクセス手段より前記第2のダイジェストを取得して、前記第2及び第4のダイジェストが実質的に同一の前記認証データを示すか否かを判別し、示すと判別されたと Wherein the storage unit includes a data storage means comprising storage areas for storing data, means for storing the second authentication data encrypted by using the distribution key supplied from said access means to create a third digest representing means for decoding second authentication data the encrypted, a material obtained by converting the second authentication data to not be substantially the inverse transform, the access a third digest creation means for supplying the unit, and the fourth digest generation means for generating a fourth digest meanings converted to not be substantially the inverse transform of the second authentication data, wherein acquires the second digest from the access unit, and the second and fourth digest to determine whether substantially show the same the authentication data, it is determined to exhibit き、前記アクセス手段の指示に従って、前記アクセス手段から供給された前記データの前記記憶領域への格納、前記記憶領域からの前記データの取得及び前記前記記憶領域から取得した前記データの前記アクセス手段への供給を行う手段と、を備え、 前記アクセス手段は、前記記憶手段より前記第3のダイジェストを取得して、前記第1及び第3のダイジェストが実質的に同一の前記認証データを示すか否かを判別し、示すと判別されたとき、前記記憶手段に前記記憶領域からの前記データの取得を要求する前記指示、前記記憶領域への前記データの格納を要求する前記指示及び前記記憶手段への前記データの供給を行う手段を備える、 Can, according to the instructions of the access means, the storage from the access means to the storage area of ​​the data supplied, to the access means of the data obtained from the acquisition and the said storage area of ​​said data from said storage area whether and means for supplying, said access means, the storage means to obtain the third digest from either the first and third digest exhibits substantially the same of the authentication data or it determines, when it is judged to indicate the instruction for requesting acquisition of the data from the storage area in the storage means, to said instruction and said memory means for requesting the storage of the data into the storage area comprising means for performing the supply of the data,
    ことを特徴とする相互認証システム。 Mutual authentication system, characterized in that.
  2. 【請求項2】前記アクセス手段は、 前記パスワードに基づいてユーザキーを作成して、該ユーザキーを前記配送キーを用いて暗号化して暗号化ユーザキーを作成し、該暗号化ユーザキーを前記記憶手段に供給する手段を備え、 前記記憶手段は、 前記アクセス手段からのアクセスが実質的に不可能な記憶領域を有し、該記憶領域中に、システムキー、前記暗号化された第2の認証データ及び暗号化された固有キーを記憶する手段と、 前記配送キーを用いて、前記アクセス手段より供給された前記暗号化ユーザキーを復号化する手段と、 前記暗号化された固有キーを、前記システムキー及び復号化された前記ユーザキーを用いて復号化する固有キー復号化手段と、 前記暗号化された第1の認証データを、復号化された前記固有キーを用いて復 Wherein said access means is to create a user key based on the password, the user key is encrypted using the delivery key to create an encrypted user key, said this encryption user key comprising means for supplying to the storage means, said storage means, access from said access means includes a substantially non-storage area, in said storage area, the system key, the encrypted second means for storing authentication data and encrypted unique key, using the distribution key, means for decrypting the encrypted user key supplied from said access means, the unique key the encrypted, recovery by using the unique key decoding means for decoding using the user key in which the is the system key and decoding the unique key the first authentication data, decoded, which is the encrypted 化し、前記第2の認証データを作成する認証データ復号化手段と、を備える、 ことを特徴とする請求項1に記載の相互認証システム。 However, the mutual authentication system of claim 1, and an authentication data decryption means for producing the second authentication data, it is characterized.
  3. 【請求項3】前記記憶手段は、 前記アクセス手段が、前記記憶領域への前記データの格納を要求する前記指示を行い、且つ、前記記憶領域に格納する対象の前記データの供給を行ったとき、供給された前記データを、前記復号化された固有キーを用いて暗号化して、前記記憶領域に格納する手段と、 前記アクセス手段が、前記記憶領域に格納されている前記データの取得を要求する前記指示を行ったとき、暗号化されている該データを前記記憶領域より取得し、前記復号化された固有キーを用いて復号化して、前記アクセス手段に供給する手段と、 を備える、 ことを特徴とする請求項2に記載の相互認証システム。 Wherein said storage means, said access means performs the instruction that requests storing of the data into the storage area, and, when performing the supply of the data to be stored in the storage area the supplied the data, and encrypted using a unique key that is the decoded request and means for storing in said storage area, said access means, the acquisition of the data stored in the storage area wherein when an instruction was carried out for, the data being encrypted is acquired from the storage area, and decrypted using the unique key that is the decoded, and means for supplying to said access means, it mutual authentication system according to claim 2, wherein.
  4. 【請求項4】前記固有キー復号化手段は、前記暗号化された固有キーを復号化するために生成する情報及び復号化された前記固有キーが、前記アクセス手段に供給されることを実質的に阻止する手段を備える、 ことを特徴とする請求項2又は3に記載の相互認証システム。 Wherein said unique key decoding means, substantially in that the unique key information and decoded to produce in order to decrypt the unique key the encrypted is provided to said access means mutual authentication system according to claim 2 or 3 comprising means for blocking, and wherein the to.
  5. 【請求項5】前記認証データ復号化手段は、前記暗号化された第1の認証データを復号化するために生成する情報及び前記第2の認証データが、前記アクセス手段に供給されることを実質的に阻止する手段を備える、 ことを特徴とする請求項2、3又は4に記載の相互認証システム。 Wherein said authentication data decoding means, information and the second authentication data generated to decrypt the first authentication data the encrypted, to be supplied to said access means mutual authentication system according to claim 2, 3 or 4 comprising means for substantially preventing, characterized in that.
  6. 【請求項6】前記アクセス手段は、 第1の乱数を発生する手段と、 前記記憶手段より第1の配送キー情報を取得し、該第1 Wherein said access means includes means for generating a first random number, acquires the first delivery key information from the storage means, said first
    の配送キー情報及び前記第1の乱数に基づいて第1の前記配送キーを作成する手段と、 前記記憶手段より第2の乱数を取得し、該第2の乱数及び前記第1の乱数に基づいて第2の配送キー情報を作成し、該第2の配送キー情報を前記記憶手段に供給する手段と、を備え、 前記記憶手段は、 前記第2の乱数及び第3の乱数を発生する手段と、 前記第2及び第3の乱数に基づいて前記第1の配送キー情報を作成し、該第1の配送キー情報及び前記第2の乱数を前記アクセス手段に供給する手段と、 前記第3の乱数及び前記アクセス手段より供給された前記第2の配送キー情報に基づいて、前記第1の配送キーと実質的に同一の第2の前記配送キーを作成する手段と、を備える、 ことを特徴とする請求項1乃至5のいずれか1項に記載の相互認 A delivery key information and means for generating a first of said delivery key based on said first random number to obtain a second random number from said storage means, based on the second random number and the first random number a second delivery key information creating Te, a delivery key information of the second and a means for supplying to said storage means, said storage means, means for generating the second random number and the third random number If, on the basis of the second and third random numbers to create the first delivery key information, and means for supplying the delivery key information and the second random number the first to the access unit, the third based on the random number and the access unit and the second delivery key information supplied from, said first delivery keys substantially means for creating a same second the delivery key comprises, that mutual certification according to any one of claims 1 to 5, characterized システム。 System.
  7. 【請求項7】前記アクセス手段は、第4の乱数を発生して前記記憶手段に供給する手段を備え、 前記第1のダイジェスト作成手段は、前記第1の認証データと、前記第4の乱数とを変数とする一方向性関数の値を求めることにより前記第1のダイジェストを作成する手段を備え、 前記第2のダイジェスト作成手段は、前記第1の認証データと、前記第3の乱数とを変数とする一方向性関数の値を求めることにより前記第2のダイジェストを作成する手段を備え、 前記第3のダイジェスト作成手段は、前記第2の認証データと、前記第4の乱数とを変数とする一方向性関数の値を求めることにより前記第3のダイジェストを作成する手段を備え、 前記第4のダイジェスト作成手段は、前記第2の認証データと、前記第3の乱数とを変数とする Wherein said access means includes a fourth random number is generated with the means for supplying to said memory means, said first digest creation means, wherein the first authentication data, the fourth random number DOO comprising means for generating the first digest by determining the value of the one-way function as a variable, the second digest generation means, said first authentication data, and the third random number comprising means for creating said second digest by determining the value of the one-way function as a variable, the third digest creation means, said second authentication data, and the fourth random number comprising means for generating the third digest by obtaining the value of the one-way function whose variable, said fourth digest generation means, variable and the second authentication data, and the third random number and 一方向性関数の値を求めることにより前記第4のダイジェストを作成する手段を備える、 ことを特徴とする請求項6に記載の相互認証システム。 Mutual authentication system according to claim 6 comprising means for creating the fourth digest by determining the value of the one-way function, characterized in that.
  8. 【請求項8】前記アクセス手段は、前記操作者の操作に従って供給される、前記操作者を識別する識別情報を、 Wherein said access means is provided in accordance with operation of the operator, the identification information for identifying the operator,
    実質的に逆変換が行えないように変換して前記操作者を特定する署名情報を作成し、前記署名情報を前記記憶手段に供給する手段を備え、 前記記憶手段は、 前記アクセス手段より供給された前記署名情報を取得する手段と、 前記記憶領域に前記署名情報が記憶されているか否かを判別し、記憶されていないと判別されたとき、前記アクセス手段より供給された前記署名情報を前記記憶領域に記憶し、記憶されていると判別されたとき、記憶されている前記署名情報と、前記アクセス手段より供給された前記署名情報とが、実質的に同一の操作者を示すか否かを判別して、示さないと判別されたとき、前記アクセス手段が行う前記指示に従うことを拒絶する手段と、を備える、 ことを特徴とする請求項1乃至7のいずれか1項に記載の相互認 Create a signature information by converting to substantially reverse conversion can not be performed to identify the operator, provided with means for supplying the signature information in said storage means, said storage means being supplied from said access means and means for acquiring the signature information, the signature information in the storage area, it is determined whether or not is stored, when it is judged not stored, the said signature information supplied from said access means stored in the storage area, when it is determined that the stored, and the signature information stored, and wherein the signature information supplied from the access unit, whether substantially show the same operator determine the, when it is determined not shown, mutually according to any one of claims 1 to 7 wherein the access means and means for rejecting to follow the instructions to perform, characterized in that sure 証システム。 Proof system.
  9. 【請求項9】データを格納するための記憶領域を備える記憶手段と、前記記憶領域にアクセスする手段を備えるアクセス手段とより構成され、 前記アクセス手段は、 操作者の操作に従って供給される、前記操作者を識別する識別情報を、実質的に逆変換が行えないように変換して前記操作者を特定する署名情報を作成し、前記署名情報を前記記憶手段に供給する手段を備え、 前記記憶手段は、 前記アクセス手段より供給された前記署名情報を取得する手段と、 前記記憶領域に前記署名情報が記憶されているか否かを判別し、記憶されていないと判別されたとき、前記アクセス手段より供給された前記署名情報を前記記憶領域に記憶し、記憶されていると判別されたとき、記憶されている前記署名情報と、前記アクセス手段より供給された Storage means 9. comprises a storage area for storing data, is more configuration and access means comprises means for accessing said storage area, said access means is provided in accordance with operation by the operator, the identification information for identifying the operator, converts such can not be performed substantially inverse transform to create a signature information for specifying the operator, provided with means for supplying the signature information in said storage means, said storage means includes means for obtaining the signature information supplied from said access means, when the signature information in the storage area, it is determined whether or not is stored, it is determined not to be stored, said access means storing the signature information more supplied to the storage area, when it is determined that the stored, and the signature information stored, supplied from said access means 記署名情報とが、実質的に同一の操作者を示すか否かを判別して、示さないと判別されたとき、前記アクセス手段が行う前記指示に従うことを拒絶する手段と、を備える、 ことを特徴とする相互認証システム。 Serial and signature information, to determine whether or not substantially show the same operator, when it is judged not shown, and means for rejecting to follow the instruction in which the access means performs, it mutual authentication system according to claim.
  10. 【請求項10】前記記憶手段は、前記アクセス手段に着脱可能に接続されている、 ことを特徴とする請求項1乃至9のいずれか1項に記載の相互認証システム。 Wherein said storage means, the mutual authentication system according to any one of claims 1 to 9, wherein the access means is detachably connected, it is characterized.
  11. 【請求項11】記憶ステップと、アクセスステップとより構成され、 前記アクセスステップは、 操作者の操作により供給されるパスワードに基づいて第1の認証データを作成するステップと、 配送キーを作成して前記記憶ステップに供給するステップと、 前記第1の認証データを実質的に逆変換を行えないように変換したものを表す第1のダイジェストを作成する第1のダイジェスト作成ステップと、 前記第1の認証データを実質的に逆変換を行えないように変換したものを表す第2のダイジェストを作成し、前記記憶ステップに供給する第2のダイジェスト作成ステップと、を備え、 前記記憶ステップは、 データを格納するための記憶領域を備えるデータ格納ステップと、 暗号化された第2の認証データを記憶するステップと、 前記 11. A storage step, is more configuration and accessing step, said accessing step includes the steps of creating a first authentication data based on the password supplied by the operation of the operator, to create a delivery key and supplying to said storing step, a first digest creation step of creating a first digest representing the a transformation so as not to perform the substantially inverse transforming said first authentication data, the first create a second digest that represent a transformation of authentication data to not be substantially the inverse transform, and a second digest creation supplying to said storing step, said storing step data a data storing step comprising a storage area for storing, storing a second authentication data is encrypted, the クセスステップより供給された配送キーを用いて、前記暗号化された第2の認証データを復号化するステップと、 前記第2の認証データを実質的に逆変換を行えないように変換したものを表す第3のダイジェストを作成し、前記アクセスステップに供給する第3のダイジェスト作成ステップと、 前記第2の認証データを実質的に逆変換を行えないように変換したものを表す第4のダイジェストを作成する第4のダイジェスト作成ステップと、 前記アクセスステップより前記第2のダイジェストを取得して、前記第2及び第4のダイジェストが実質的に同一の前記認証データを示すか否かを判別し、示すと判別されたとき、前記アクセスステップの指示に従って、前記アクセスステップから供給された前記データの前記記憶領域への格納、 Using the delivery key supplied from access step, decoding a second authentication data the encrypted, a material obtained by converting the second authentication data to not be substantially the inverse transform represents create a third digest, a third digest creation step of supplying to said accessing step, a fourth digest meanings converted to not be substantially the inverse transform of said second authentication data a fourth digest creating step of creating, by acquiring the second digest from the accessing step, said second and fourth digest to determine whether substantially show the same said authentication data, when it is determined that shows, in accordance with an instruction of the access steps, storage in the storage area of ​​the data supplied from said accessing step, 記記憶領域からの前記データの取得及び前記前記記憶領域から取得した前記データの前記アクセスステップへの供給を行うステップと、を備え、 前記アクセスステップは、前記記憶ステップより前記第3のダイジェストを取得して、前記第1及び第3のダイジェストが実質的に同一の前記認証データを示すか否かを判別し、示すと判別されたとき、前記記憶ステップに前記記憶領域からの前記データの取得を要求する前記指示、前記記憶領域への前記データの格納を要求する前記指示及び前記記憶ステップへの前記データの供給を行うステップを備える、 ことを特徴とする相互認証方法。 Serial performing a supply to the access step of the data obtained from the acquisition and the said storage area of ​​said data from the storage area, wherein the accessing step includes obtaining said third digest from the storage step to the first and third digest to determine whether exhibiting substantially the same of the authentication data, when it is determined that indicates the acquisition of the data from the storage area in the storage step the instruction comprises the step of supplying the data to the instruction and the storing step for requesting storage of the data into the storage area, the mutual authentication process, characterized in that the request.
  12. 【請求項12】データを格納するための記憶領域を備えるデータ格納手段と、暗号化された第1の認証データを記憶する手段と、供給された配送キーを用いて、前記暗号化された第1の認証データを復号化する手段と、前記第1の認証データを実質的に逆変換を行えないように変換したものを表す第1のダイジェストを作成する第1のダイジェスト作成手段と、を備える記憶手段に接続されたコンピュータを、 操作者の操作により供給されるパスワードに基づいて第2の認証データを作成する手段と、 前記配送キーを作成して前記記憶手段に供給する手段と、 前記第2の認証データを実質的に逆変換を行えないように変換したものを表す第2のダイジェストを作成する第2のダイジェスト作成手段と、 前記記憶手段より前記第1のダイジェ 12. A data storage means comprising storage areas for storing data, second means for storing the first authentication data encrypted by using the distribution key that is supplied, which is the encrypted and means for decrypting the first authentication data, a first digest generation means for generating a first digest representing the a transformation of the first authentication data so as not to perform the substantially inverse transformation, the a computer connected to the storage means, means for creating a second authentication data based on the password supplied by the operation of the operator, and means for supplying to said memory means to create the distribution key, the first a second digest generation means for generating a second digest that represent a transformation to not be substantially inversely transforms the second authentication data, wherein from said storage means first digest ストを取得して、 To get the strike,
    前記第1及び第2のダイジェストが実質的に同一の前記認証データを示すか否かを判別し、示すと判別されたとき、前記記憶手段に前記記憶領域からの前記データの取得を要求する指示、前記記憶領域への前記データの格納を要求する指示及び前記記憶手段への前記データの供給を行う手段と、して機能させるためのプログラムを記録するコンピュータ読み取り可能な記録媒体。 Said first and second digest to determine whether substantially show the same said authentication data, when it is judged to indicate an instruction for requesting acquisition of the data from the storage area in the storage means the computer readable recording medium for recording a program for a means for supplying instructions and said data to said storage means, for to function requests the storing of the data into the storage area.
JP10067136A 1998-03-17 1998-03-17 Mutual certification system, its method and recording medium Pending JPH11265318A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP10067136A JPH11265318A (en) 1998-03-17 1998-03-17 Mutual certification system, its method and recording medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP10067136A JPH11265318A (en) 1998-03-17 1998-03-17 Mutual certification system, its method and recording medium

Publications (1)

Publication Number Publication Date
JPH11265318A true JPH11265318A (en) 1999-09-28

Family

ID=13336196

Family Applications (1)

Application Number Title Priority Date Filing Date
JP10067136A Pending JPH11265318A (en) 1998-03-17 1998-03-17 Mutual certification system, its method and recording medium

Country Status (1)

Country Link
JP (1) JPH11265318A (en)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004001609A1 (en) * 2002-06-25 2003-12-31 Sony Corporation Information storage device, memory access control system and method, and computer program
WO2004001607A1 (en) * 2002-06-25 2003-12-31 Sony Corporation Information storage device, memory access control method, and computer program
WO2004001608A1 (en) * 2002-06-25 2003-12-31 Sony Corporation Information storage device, memory access control system and method, and computer program
JP2006243860A (en) * 2005-03-01 2006-09-14 Dainippon Printing Co Ltd Ic card system and computer program
JP2006351015A (en) * 2005-06-17 2006-12-28 Lightuning Technology Inc Storage and method for protecting stored data thereof
JP2007172248A (en) * 2005-12-21 2007-07-05 Li Kuo Chui Portable storage device with biometric data protection mechanism and its protection method
JP2016163173A (en) * 2015-03-02 2016-09-05 株式会社バッファロー Information processing system, information processing device, storage device, authentication method for information processing device, and program

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004001609A1 (en) * 2002-06-25 2003-12-31 Sony Corporation Information storage device, memory access control system and method, and computer program
WO2004001607A1 (en) * 2002-06-25 2003-12-31 Sony Corporation Information storage device, memory access control method, and computer program
WO2004001608A1 (en) * 2002-06-25 2003-12-31 Sony Corporation Information storage device, memory access control system and method, and computer program
US7636826B2 (en) 2002-06-25 2009-12-22 Sony Corporation Systems and methods for locking and exporting the locking of a removable memory device
US7962713B2 (en) 2002-06-25 2011-06-14 Sony Corporation Memory device having secure non-volatile locking functionality
US8402240B2 (en) 2002-06-25 2013-03-19 Sony Corporation Systems and methods for locking and exporting the locking of a removable memory device
JP2006243860A (en) * 2005-03-01 2006-09-14 Dainippon Printing Co Ltd Ic card system and computer program
JP2006351015A (en) * 2005-06-17 2006-12-28 Lightuning Technology Inc Storage and method for protecting stored data thereof
JP2007172248A (en) * 2005-12-21 2007-07-05 Li Kuo Chui Portable storage device with biometric data protection mechanism and its protection method
JP2016163173A (en) * 2015-03-02 2016-09-05 株式会社バッファロー Information processing system, information processing device, storage device, authentication method for information processing device, and program

Similar Documents

Publication Publication Date Title
EP0583140B1 (en) System for seamless processing of encrypted and non-encrypted data and instructions
US4588991A (en) File access security method and means
US7546468B2 (en) Program update method and server
US6308268B1 (en) Portable electronic device for safe communication system, and method for initializing its parameters
CN101689237B (en) Activation system architecture
US5392351A (en) Electronic data protection system
US4864494A (en) Software usage authorization system with key for decrypting/re-encrypting/re-transmitting moving target security codes from protected software
EP0875814B1 (en) Information processing apparatus and method and recording medium for executing programs having been encrypted using public keys
US6370629B1 (en) Controlling access to stored information based on geographical location and date and time
US8332650B2 (en) Systems and methods for setting and resetting a password
US8458458B2 (en) Data transmitting system and method, drive unit, access method, data recording medium, recording medium producing apparatus and method
US5987123A (en) Secure file system
CA2253585C (en) Cryptographic file labeling system for supporting secured access by multiple users
US6389535B1 (en) Cryptographic protection of core data secrets
US6084968A (en) Security token and method for wireless applications
JP4118092B2 (en) Storage device and an information processing apparatus
JP4169822B2 (en) Data protection method of a storage medium, the apparatus and the storage medium
US5841868A (en) Trusted computer system
US7986786B2 (en) Methods and systems for utilizing cryptographic functions of a cryptographic co-processor
JP4519963B2 (en) How encryption and decryption of biological information, apparatus, and, personal authentication system using biometric information
EP1775673A2 (en) Token authentication system
US6035398A (en) Cryptographic key generation using biometric data
JP4176898B2 (en) Personal authentication system, a mobile device and a storage medium used therein
US5416840A (en) Software catalog encoding method and system
EP0005179B1 (en) Authenticating the identity of a user of an information system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050218

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080826

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20081224