JPWO2015125197A1 - 認証方法及び認証システム - Google Patents
認証方法及び認証システム Download PDFInfo
- Publication number
- JPWO2015125197A1 JPWO2015125197A1 JP2016503796A JP2016503796A JPWO2015125197A1 JP WO2015125197 A1 JPWO2015125197 A1 JP WO2015125197A1 JP 2016503796 A JP2016503796 A JP 2016503796A JP 2016503796 A JP2016503796 A JP 2016503796A JP WO2015125197 A1 JPWO2015125197 A1 JP WO2015125197A1
- Authority
- JP
- Japan
- Prior art keywords
- controller
- key
- session
- mutual authentication
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/065—Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/068—Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/006—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
- H04L9/0833—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
- H04L9/3273—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Computer And Data Communications (AREA)
Abstract
Description
機器とコントローラとの間のセキュリティを保持するためには、接続時に相互認証を行って以降、同じグループ鍵を使い続けるのではなく、機器とコントローラとが改めて相互認証を行い、グループ鍵を更新することが望まれる。
<1−1.概要>
以下、本開示に係る認証方法を用いた一実施形態としての認証システム10について、図を用いながら説明する。
本実施の形態に係る認証システム10の主要な構成要素であるコントローラ100及び機器200a〜機器200cと、当該認証システム10に接続するサーバ300の各構成について、以下、図を用いながら説明する。
図2は、コントローラ100の主要部の機能ブロック図であり、コントローラ100は、機器管理部101、機器情報保持部102、認証処理部103、認証情報保持部104、通信部105を含む構成である。また、コントローラ100は、図示してはいないが、プロセッサ及びメモリを含む構成であり、機器管理部101、機器情報保持部102、認証処理部103、認証情報保持部104、通信部105の各機能は、メモリに記憶されているプログラムをプロセッサが実行することにより実現される。機器情報保持部102、認証情報保持部104における各データの保持は、メモリによって実現される。
機器管理部101は、コントローラ100と機器200a〜機器200cとの接続を制御するために、次のような機能を有する。
機器情報保持部102は、コントローラ100に接続する機器200a〜機器200cの情報を保持する。図3は、機器情報保持部102が、機器の情報を管理するために保持する、接続機器管理テーブル1000のデータ構造とデータの一例を示す図である。
証明書ID1020は、機器の公開鍵証明書の証明書IDである。
共有鍵1030は、コントローラ100と機器との間で共有する共有鍵のデータである。
認証処理部103は、コントローラ100と接続する機器との相互認証処理を行う機能を有する。機器との接続時においては、PKIに基づく相互認証を行い、セッション更新時においては、共有鍵と乱数とを用いたチャレンジレスポンス認証による相互認証を行う。
認証情報保持部104は、コントローラ100自身の秘密鍵と公開鍵証明書とを保持する。また、PKIに基づく相互認証において、相手機器の公開鍵証明書が失効していないことを確認するために使用するCRLを保持している。このような、秘密鍵と公開鍵証明書とCRLとは、コントローラ100の製造時に埋め込むものとする。
通信部105は、コントローラ100が、機器200a〜機器200c及びサーバ300のそれぞれと接続するための通信インターフェイスである。例えば、機器情報保持部102の接続機器管理テーブル1000に保持するセッション鍵及びグループ鍵を用いて、機器200a〜機器200cと暗号通信を行う機能を有する。
機器200a〜機器200cは、ネットワークに接続する機能を有する家電機器やAV機器及び住宅設備機器であり、具体的には、例えば、テレビ、レコーダ、エアコン、冷蔵庫、蓄電池などである。
機器管理部201は、コントローラ100との接続を制御する。具体的には次のような機能を有する。
機器履歴保持部202は、機器200aの動作を機器履歴情報として記録し、保持する機能を有する。機器履歴保持部202は、機器200aが操作されたり、機能を実行したりする都度、これらの動作を示す情報を機器履歴情報として記録する。なお、機器履歴情報は、機器200aがコントローラ100を介して、サーバ300に送信する情報の一例として示すものであるものの、本願の発明の主たる構成要素ではないため、データ項目等の詳細な説明は省略する。
機器情報保持部203は、機器200aに接続するコントローラ100の情報を保持する。図7は、機器情報保持部203が、コントローラの情報を管理するために保持する、接続コントローラ管理テーブル1100のデータ構造とデータの一例を示す図である。
証明書ID1120は、コントローラの公開鍵証明書の証明書IDである。
共有鍵1130は、機器200aがコントローラ100との間で共有する共有鍵のデータである。
認証処理部204は、コントローラ100との相互認証処理を行う機能を有する。コントローラとの接続時においては、PKIに基づく相互認証を行い、セッション更新時においては、共有鍵と乱数とを用いたチャレンジレスポンス認証による相互認証を行う。
認証情報保持部205は、機器200a自身の秘密鍵と公開鍵証明書とを保持する。また、PKIに基づく相互認証において公開鍵証明書が失効していないことを確認するために使用するCRLを保持している。このような、秘密鍵と公開鍵証明書とCRLとは、機器の製造時に埋め込むものとする。
通信部206は、コントローラ100と接続するための通信インターフェイスである。例えば、機器情報保持部203の接続コントローラ管理テーブル1100が保持するセッション鍵及びグループ鍵を用いて、コントローラ100との間で暗号通信を行う機能を有する。
図8は、サーバ300の主要部の機能ブロック図であり、サーバ300は、機器情報管理部301、機器情報保持部302、CRL管理部303、CRL保持部304、通信部305を含む構成である。また、サーバ300は、図示してはいないが、プロセッサ及びメモリを含む構成であり、機器情報管理部301、機器情報保持部302、CRL管理部303、CRL保持部304、通信部305の各機能は、メモリに記憶されているプログラムをプロセッサが実行することにより実現される。機器情報保持部302、CRL保持部304における各データの保持は、メモリによって実現される。
機器情報管理部301は、機器情報保持部302を制御し、サーバ300に接続するコントローラの情報を、コントローラに接続する機器情報を含めて管理するために、以下の機能を有する。
機器情報保持部302は、サーバ300に接続するコントローラ及び機器の情報を保持しており、図9は、機器情報保持部302が有する、機器情報管理テーブル1300のデータ構造とデータの一例を示す図である。
コントローラの証明書ID1320は、コントローラの公開鍵証明書の証明書IDである。
CRL管理部303は、機器情報管理部301から不正な機器の公開鍵証明書の証明書IDを受付けると、CRLを発行する。
CRL保持部304は、CRL管理部303が発行したCRLを保持する。CRLのデータ構成は、コントローラ100の認証情報保持部104が保持するものと同様のため説明は省略する。
通信部305は、コントローラ100と通信を行うための通信インターフェイスである。サーバ300とコントローラ100との通信は、例えば、SSL通信により行われる。SSL通信に必要な証明書は、通信部305で保持する。
以下、認証システム10で行う、“機器登録処理”、“セッション更新処理”、“PKIに基づく相互認証〜共有鍵の作成”、“共有鍵を用いた相互認証〜セッションに係る情報の作成”、“機器履歴情報送信処理”、“制御情報送信処理”について順に説明する。なお、“PKIに基づく相互認証〜共有鍵の作成”は、“機器登録処理”において、“共有鍵を用いた相互認証〜セッションに係る情報の作成”は、“機器登録処理"及び“セッション更新処理"において実行する処理であるが、便宜的にサブルーチン化して記載している。
図10及び図11は、機器とコントローラとのそれぞれにおける機器登録処理の手順の一例を示したフローチャート図であり、図12は、機器とコントローラとのやりとりを含む、機器登録処理の手順の一例を示したシーケンス図である。
図13及び図14は、機器とコントローラとのそれぞれにおけるセッション更新処理の手順の一例を示したフローチャート図であり、図15は、機器とコントローラとのやりとりを含む、セッション更新処理の手順の一例を示したシーケンス図である。
(PKIに基づく相互認証〜共有鍵の作成)
(共有鍵を用いた相互認証〜セッションに係る情報の作成)
図22は、機器200aからサーバ300に対して、機器履歴情報を送信する手順の一例を示したシーケンス図である。このような機器履歴情報の送信は、定期的、あるいは不定期に行う。また、以下では機器200aの例示として手順の説明を行うが、機器200b、機器200cについても処理の手順は同様である。
図23は、サーバ300が機器200aの制御を実行する手順の一例を示したシーケンス図である。サーバ300は、コントローラ100に対して、機器200aを制御するための制御依頼情報を送信する。制御依頼を受付けたコントローラ100は、機器200aに対する制御コマンドを作成及び送信し、制御依頼に応じた機能を機器200aに実行させる。このようなサーバ300から機器200aに対する制御依頼は、定期的、あるいは不定期に行われる。制御依頼には、例えば、機器に実行させる機能、ディスプレイに表示させる内容などが含まれる。
本実施の形態は、コントローラと接続する複数機器の中から基準機器を設け、基準機器におけるグループ鍵更新のタイミングで、コントローラが他の機器に対する更新通知を行うことにより、他の機器にグループ鍵の更新を実行させる。これにより、コントローラに接続する複数機器のグループ鍵更新タイミングを合わせることが可能となり、コントローラと各機器とが相互認証及びグループ鍵更新を行っても、コントローラは暗号化した情報の一斉送信を行うことができる。
<2−1.概要>
本実施の形態に係る認証システムは、コントローラが、各機器との間のセッション残り時間を、同時刻においては同様の値を有するように設定する点が異なる。
本実施の形態における、認証システム、コントローラ、機器、サーバの構成は、各々実施の形態1における、認証システム10、コントローラ100、機器200a〜機器200c、サーバ300と同様の構成である。しかし、コントローラ100の機器情報保持部102が保持する接続機器管理テーブルのデータ構造が、実施の形態1とは一部異なる。
実施の形態1と同様に、本実施の形態においても、認証システム10は、“機器登録処理”、“セッション更新処理”、“PKIに基づく相互認証〜共有鍵の作成”、“共有鍵を用いた相互認証〜セッションに係る情報の作成”、“機器履歴情報送信処理”、“制御情報送信処理”を行う。まず、“共有鍵を用いた相互認証〜セッションに係る情報の作成”の手順について説明し、その他の各処理についても、順に、実施の形態1と異なる点を中心に説明する。
実施の形態1と同様に、図21のシーケンス図におけるステップS121からステップS133に沿って、コントローラと機器とは、共有鍵を用いた相互認証を行い、セッションに係る情報である、グループ鍵、セッション鍵、セッション有効期間を作成する。
実施の形態1と同様に、図12のシーケンス図における、ステップS101からステップS107に沿って、コントローラと機器とは、接続要求、PKIに基づく相互認証〜共有鍵の作成、共有鍵を用いた相互認証〜セッションに係る情報の作成、各コントローラ及び機器の登録を行う。
図25及び図26は、機器とコントローラとのそれぞれにおける、本実施形態でのセッション更新処理の手順の一例を示したフローチャート図であり、図27は、機器とコントローラとのやりとりを含む、セッション更新処理の手順の一例を示すシーケンス図である。
本実施の形態に係る認証システムでは、基準機器以外のセッション有効期間を、当該セッション有効期間設定時点における基準機器のセッション残り時間に基づき設定することで、基準機器と基準機器以外の機器とが、セッション残り時間として近似する値を有する。したがって、各機器が当該セッション残り時間に基づきセッション更新処理を行うことで、グループ鍵の更新を近似するタイミングで実施することとなり、コントローラと各機器とが相互認証及びグループ鍵更新を行っても、コントローラは暗号化した情報の一斉送信を行うことができる。
<3−1.概要>
本実施の形態に係る認証システムは、コントローラと各機器とが、現在使用するためのグループ鍵と更新後に使用するためのグループ鍵との2種類のグループ鍵を保持する点が異なる。
本実施の形態における、認証システム、コントローラ、機器、サーバの構成は、各々実施の形態2における、認証システム10、コントローラ100、機器200a〜機器200c、サーバ300と同様の構成である。しかし、コントローラ100の機器情報保持部102が保持する接続機器管理テーブルのデータ構成の一部、及び機器の機器情報保持部203が保持する接続コントローラ管理テーブルのデータ構造の一部が、上記実施の形態とは異なる。
実施の形態2と同様に、本実施の形態における認証システム10は、“機器登録処理”、“セッション更新処理”、“PKIに基づく相互認証〜共有鍵の作成”、“共有鍵を用いた相互認証〜セッションに係る情報の作成”、“機器履歴情報送信処理”、“制御情報送信処理”を行う。
実施の形態2と同様に、図12のシーケンス図における、ステップS101からステップS107に沿って、コントローラと機器とは、接続要求、PKIに基づく相互認証〜共有鍵の作成、共有鍵を用いた相互認証〜セッションに係る情報の作成、各コントローラ及び機器の登録を行う。
図30及び図31は、機器とコントローラとのそれぞれにおける、本実施形態のセッション更新処理の手順の一例を示したフローチャート図であり、図32は、機器とコントローラとのやりとりを含む、セッション更新処理の手順の一例を示すシーケンス図である。
一方、ステップS4030のサブルーチンの戻り値が「エラー」である場合(ステップS4040のNO)、セッション更新を行わずに、セッション更新処理を終了する。
本実施の形態に係る認証システムでは、コントローラと各機器とのセッション更新処理において新たに作成したグループ鍵を、暗号通信に用いるグループ鍵とは別の場所に保持する。そして、コントローラと接続する全ての機器との間でセッション更新処理を行った時点で、コントローラが機器に対するグループ鍵更新通知を行い、コントローラと各機器とは、グループ鍵の切り替えを実施する。こうすることにより、コントローラと複数の機器とが同じタイミングでグループ鍵の更新を行うことが可能となり、コントローラと各機器とが相互認証及びグループ鍵更新を行っても、コントローラは暗号化した情報の一斉送信を行うことができる。
以上、本開示に係る認証方法を用いた認証システムについて、実施の形態に基づき説明したが、以下のように変形することも可能であり、本開示は上述した実施の形態で示した通りの認証方法に限られないことは勿論である。
以下、更に本開示に係る認証方法の一実施形態とその効果について説明する。
100 コントローラ
101 機器管理部
102 機器情報保持部
103 認証処理部
104 認証情報保持部
105 通信部
200a,200b,200c 機器
201 機器管理部
202 機器履歴保持部
203 機器情報保持部
204 認証処理部
205 認証情報保持部
206 通信部
300 サーバ
301 機器情報管理部
302 機器情報保持部
303 CRL管理部
304 CRL保持部
305 通信部
400 ホームエリアネットワーク
500 ネットワーク
1000 接続機器管理テーブル
1100 接続コントローラ管理テーブル
1300 機器情報管理テーブル
2000 接続機器管理テーブル
3000 接続機器管理テーブル
3100 接続コントローラ管理テーブル
Claims (8)
- コントローラと第1機器と第2機器とがグループ鍵を共有し、前記コントローラが前記第1機器と前記第2機器とに対して、前記グループ鍵を用いて暗号化した情報の一斉送信を行う認証システムにおける、前記コントローラと前記第1機器及び前記第2機器との認証方法であって、
前記コントローラと前記第1機器とが相互認証を実行し、グループ鍵を作成して共有すると共に、前記第1機器を基準機器として設定する第1相互認証ステップと、
前記コントローラと前記第2機器とが相互認証を実行し、前記第1相互認証ステップで作成したグループ鍵を前記第2機器にも共有させる第2相互認証ステップと、
前記第2相互認証ステップの後に、前記コントローラと前記基準機器である前記第1機器とが再び相互認証を実行し、前記グループ鍵を更新し、更新後のグループ鍵を共有する第3相互認証ステップと、
前記コントローラと前記基準機器である前記第1機器とが前記グループ鍵を更新するグループ鍵更新タイミングにおいて、前記コントローラと前記基準機器ではない前記第2機器とが相互認証を実行し、前記更新後のグループ鍵を前記第2機器にも共有させる第4相互認証ステップとを含む
ことを特徴とする認証方法。 - 前記コントローラと前記第1機器と前記第2機器とは、1つのホームエリアネットワークに接続する
ことを特徴とする請求項1に記載の認証方法。 - 更に、前記コントローラは、前記基準機器である前記第1機器と前記グループ鍵を更新して共有すると、当該更新後のグループ鍵を共有していない前記第2機器に対して、グループ鍵更新通知を送信するグループ鍵更新通知ステップを含み、
前記グループ鍵更新タイミングは、前記第2機器が、前記グループ鍵更新通知を受信するタイミングである
ことを特徴とする請求項1または2に記載の認証方法。 - 前記第1相互認証ステップにおいて、更に、前記コントローラと前記第1機器とは第1セッション期間を設定し、
前記第2相互認証ステップにおいて、更に、前記コントローラと前記第2機器とは、前記第1セッション期間と前記第1セッション期間設定時点からの経過期間とに基づく第2セッション期間を設定し、
前記コントローラと前記第1機器とは、前記第1セッション期間設定時点からの経過期間と前記第1セッション期間とに基づき、前記第3相互認証ステップを開始し、
前記グループ鍵更新タイミングは、前記第2セッション期間設定時点からの経過期間と前記第2セッション期間とに基づくタイミングである
ことを特徴とする請求項1、2または3に記載の認証方法。 - 前記コントローラは、コントローラ自身の秘密鍵と公開鍵証明書とを所有し、
前記第1機器は、第1機器自身の秘密鍵と公開鍵証明書とを所有し、
更に、前記コントローラと前記第1機器とが、第1共有鍵を作成して共有する第1共有鍵共有ステップを含み、
前記第1相互認証ステップにおける相互認証は、公開鍵基盤に基づき、互いの所有する前記公開鍵証明書を用いて相互認証を行う公開鍵認証であり、
前記第3相互認証ステップにおける相互認証は、前記第1共有鍵を用いて相互認証を行う共有鍵認証である
ことを特徴とする請求項1〜4の何れかに記載の認証方法。 - 前記第1共有鍵共有ステップにおいて、前記コントローラと前記第1機器とは鍵交換により前記第1共有鍵を共有し、
前記共有鍵認証は、前記コントローラと前記第1機器とが、互いに作成した乱数と前記第1共有鍵とを用いて行うチャレンジレスポンス認証である
ことを特徴とする請求項5に記載の認証方法。 - 前記第2機器は、第2機器自身の秘密鍵と公開鍵証明書とを所有し、
更に、前記コントローラと前記第2機器とが、第2共有鍵を作成して共有する第2共有鍵共有ステップを含み、
前記第2相互認証ステップにおける相互認証は、公開鍵基盤に基づき、互いの所有する前記公開鍵証明書を用いて相互認証を行う公開鍵認証であり、
前記第4相互認証ステップにおける相互認証は、前記第2共有鍵を用いて相互認証を行う共有鍵認証である
ことを特徴とする請求項5または6に記載の認証方法。 - コントローラと第1機器と第2機器とがグループ鍵を共有し、前記コントローラが前記第1機器と前記第2機器とに対して、前記グループ鍵を用いて暗号化した情報の一斉送信を行う認証システムであって、
前記コントローラと前記第1機器とが相互認証を実行し、グループ鍵を作成して共有すると共に、前記第1機器を基準機器として設定する第1相互認証手段と、
前記コントローラと前記第2機器とが相互認証を実行し、前記第1相互認証手段で作成したグループ鍵を、前記第2機器にも共有させる第2相互認証手段と、
前記第2相互認証手段で前記グループ鍵を前記第2機器に共有させた後に、前記コントローラと前記基準機器である前記第1機器とが再び相互認証を実行し、前記グループ鍵を更新し、更新後のグループ鍵を共有する第3相互認証手段と、
前記コントローラと前記基準機器である前記第1機器とが前記グループ鍵を更新するグループ鍵更新タイミングにおいて、前記コントローラと前記基準機器ではない前記第2機器とに相互認証を実行させ、前記更新後のグループ鍵を、前記第2の機器にも共有させる第4相互認証手段とを備える
ことを特徴とする認証システム。
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201461940901P | 2014-02-18 | 2014-02-18 | |
US61/940,901 | 2014-02-18 | ||
JP2014191120 | 2014-09-19 | ||
JP2014191120 | 2014-09-19 | ||
PCT/JP2014/006154 WO2015125197A1 (ja) | 2014-02-18 | 2014-12-10 | 認証方法及び認証システム |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2015125197A1 true JPWO2015125197A1 (ja) | 2017-03-30 |
JP6254675B2 JP6254675B2 (ja) | 2017-12-27 |
Family
ID=53877738
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016503796A Expired - Fee Related JP6254675B2 (ja) | 2014-02-18 | 2014-12-10 | 認証方法及び認証システム |
Country Status (4)
Country | Link |
---|---|
US (1) | US10104076B2 (ja) |
EP (1) | EP3110066B1 (ja) |
JP (1) | JP6254675B2 (ja) |
WO (1) | WO2015125197A1 (ja) |
Families Citing this family (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20160261593A1 (en) * | 2015-03-06 | 2016-09-08 | CallSign, Inc. | Systems and methods for decentralized user authentication |
JP6739036B2 (ja) * | 2015-08-31 | 2020-08-12 | パナソニックIpマネジメント株式会社 | コントローラ |
JP6613909B2 (ja) * | 2016-01-15 | 2019-12-04 | 富士通株式会社 | 相互認証方法、認証装置および認証プログラム |
WO2018037439A1 (ja) * | 2016-08-22 | 2018-03-01 | 楽天株式会社 | 管理システム、管理装置、管理方法、プログラム、及び、非一時的なコンピュータ読取可能な情報記録媒体 |
CN107809411B (zh) * | 2016-09-09 | 2021-12-03 | 华为技术有限公司 | 移动网络的认证方法、终端设备、服务器和网络认证实体 |
AU2017330232B2 (en) * | 2016-09-23 | 2020-09-03 | Apple Inc. | Secure communication of network traffic |
EP3337119B1 (en) * | 2016-12-13 | 2019-09-11 | Nxp B.V. | Updating and distributing secret keys in a distributed network |
EP3337039B1 (en) | 2016-12-14 | 2020-07-22 | Nxp B.V. | Monotonic counter and method of operating a monotonic counter |
EP3337120B1 (en) | 2016-12-14 | 2021-04-21 | Nxp B.V. | Network message authentication and verification |
EP3355545B1 (en) | 2017-01-30 | 2020-09-23 | Nxp B.V. | Apparatus and method for verifying secret keys |
CN108696475B (zh) * | 2017-04-06 | 2021-03-16 | 中国电力科学研究院 | 一种带安全认证的配电自动化终端自动注册方法及装置 |
GB2576845B (en) * | 2017-04-25 | 2021-11-03 | Disruptive Tech Research As | Encryption and link bringup for low power devices |
GB201803815D0 (en) * | 2018-03-09 | 2018-04-25 | Nchain Holdings Ltd | Computer-implemented methods and systems |
KR20230062897A (ko) | 2018-04-10 | 2023-05-09 | 비자 인터네셔널 서비스 어소시에이션 | 카드 부재 트랜잭션을 처리하기 위한 시스템 및 방법 |
US20220141002A1 (en) * | 2019-02-06 | 2022-05-05 | Connectfree Corporation | Data transmission method, communication processing method, device, and communication processing program |
CN113873513A (zh) * | 2020-06-30 | 2021-12-31 | 云丁网络技术(北京)有限公司 | 用于处理控制密钥的方法和装置 |
EP4106264A1 (en) * | 2021-06-18 | 2022-12-21 | Stichting IMEC Nederland | System and method for performing secure key exchange |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO1995004416A1 (en) * | 1993-07-27 | 1995-02-09 | International Business Machines Corporation | Method and system for authenticated secure key distribution in a communication system |
JP2004110770A (ja) * | 2002-06-11 | 2004-04-08 | Matsushita Electric Ind Co Ltd | コンテンツ配送システム及びデータ通信制御装置 |
JP2006287769A (ja) * | 2005-03-10 | 2006-10-19 | Sony Corp | 配信システム |
JP2007235348A (ja) * | 2006-02-28 | 2007-09-13 | Hitachi Ltd | 暗号通信システム、端末状態管理サーバ、暗号通信方法、および端末状態管理方法 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4435076B2 (ja) * | 2005-11-18 | 2010-03-17 | フェリカネットワークス株式会社 | 携帯端末,データ通信方法,およびコンピュータプログラム |
US8750507B2 (en) * | 2010-01-25 | 2014-06-10 | Cisco Technology, Inc. | Dynamic group creation for managed key servers |
WO2011141040A1 (en) * | 2010-05-14 | 2011-11-17 | Siemens Aktiengesellschaft | Method of group key generation and management for generic object oriented substantiation events model |
US8837738B2 (en) * | 2011-04-08 | 2014-09-16 | Arizona Board Of Regents On Behalf Of Arizona State University | Methods, systems, and apparatuses for optimal group key management for secure multicast communication |
US9270672B2 (en) * | 2011-05-26 | 2016-02-23 | Nokia Technologies Oy | Performing a group authentication and key agreement procedure |
-
2014
- 2014-12-10 WO PCT/JP2014/006154 patent/WO2015125197A1/ja active Application Filing
- 2014-12-10 JP JP2016503796A patent/JP6254675B2/ja not_active Expired - Fee Related
- 2014-12-10 EP EP14883080.5A patent/EP3110066B1/en not_active Not-in-force
-
2016
- 2016-02-02 US US15/012,913 patent/US10104076B2/en not_active Expired - Fee Related
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO1995004416A1 (en) * | 1993-07-27 | 1995-02-09 | International Business Machines Corporation | Method and system for authenticated secure key distribution in a communication system |
JP2004110770A (ja) * | 2002-06-11 | 2004-04-08 | Matsushita Electric Ind Co Ltd | コンテンツ配送システム及びデータ通信制御装置 |
JP2006287769A (ja) * | 2005-03-10 | 2006-10-19 | Sony Corp | 配信システム |
JP2007235348A (ja) * | 2006-02-28 | 2007-09-13 | Hitachi Ltd | 暗号通信システム、端末状態管理サーバ、暗号通信方法、および端末状態管理方法 |
Also Published As
Publication number | Publication date |
---|---|
EP3110066B1 (en) | 2018-06-27 |
US20160149908A1 (en) | 2016-05-26 |
JP6254675B2 (ja) | 2017-12-27 |
US10104076B2 (en) | 2018-10-16 |
WO2015125197A1 (ja) | 2015-08-27 |
EP3110066A4 (en) | 2017-03-01 |
EP3110066A1 (en) | 2016-12-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6254675B2 (ja) | 認証方法及び認証システム | |
WO2016181586A1 (ja) | 認証方法及び認証システム | |
CN106415573B (zh) | 认证方法、认证系统以及控制器 | |
US10554392B2 (en) | Cryptographic key distribution | |
US11943343B2 (en) | ECDHE key exchange for server authentication and a key server | |
JP6219976B2 (ja) | 認証方法 | |
EP3073668B1 (en) | Apparatus and method for authenticating network devices | |
US20090316909A1 (en) | Utilization apparatus, servicer apparatus, service utilization system, service utilization method, service utilization program, and integrated circuit | |
JP5564453B2 (ja) | 情報処理システム、及び情報処理方法 | |
EP2597591A2 (en) | Secure key generation | |
JP6573880B2 (ja) | 更新プログラム及び方法、及び、管理プログラム及び方法 | |
JP2019514269A (ja) | 身元情報ベース鍵素材及び証明書の配布のためのシステム及び方法 | |
JP2008524931A (ja) | 証明書の有効性/無効性証明用暗号化証明データを用いた複数証明書失効 | |
JP2011239146A (ja) | 通信装置および通信方法 | |
US10630466B1 (en) | Apparatus and method for exchanging cryptographic information with reduced overhead and latency | |
CN113557689A (zh) | 用管理器设备初始化数据存储设备 | |
US20210216653A1 (en) | Multi-role unlocking of a data storage device | |
JP6043738B2 (ja) | 鍵管理装置および鍵管理方法 | |
JP6241764B2 (ja) | 認証方法および認証システム | |
KR20190133972A (ko) | IoT 환경에서 기기 인증키를 활용한 메시지 암호키 운용을 위한 단말 기기, 서버, 시스템 및 방법 | |
JP2020039154A (ja) | 認証方法、認証システムおよびコントローラ | |
WO2010067797A1 (ja) | 通信装置、サーバ装置及び通信プログラム | |
CN112560007B (zh) | 认证方法、认证系统以及控制器 | |
WO2024113724A1 (zh) | 一种数据传输方法、设备以及存储介质 | |
Jeong et al. | A Device Authentication Mechanism Reducing Performance Cost in Mobile P2P Networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170627 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20171107 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20171130 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6254675 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |