WO2000068806A1 - Authenticating/managing apparatus - Google Patents

Authenticating/managing apparatus Download PDF

Info

Publication number
WO2000068806A1
WO2000068806A1 PCT/JP2000/002449 JP0002449W WO0068806A1 WO 2000068806 A1 WO2000068806 A1 WO 2000068806A1 JP 0002449 W JP0002449 W JP 0002449W WO 0068806 A1 WO0068806 A1 WO 0068806A1
Authority
WO
WIPO (PCT)
Prior art keywords
time
computer
data
accessed
authentication
Prior art date
Application number
PCT/JP2000/002449
Other languages
French (fr)
Japanese (ja)
Inventor
Akira Sugiyama
Original Assignee
Akira Sugiyama
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Akira Sugiyama filed Critical Akira Sugiyama
Priority to AU36791/00A priority Critical patent/AU3679100A/en
Priority to TW089119267A priority patent/TWI227388B/en
Publication of WO2000068806A1 publication Critical patent/WO2000068806A1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Definitions

  • the present invention is applicable to Internet, intranet, LAN, etc.
  • an encryption method that requires the establishment of a CA (Certification AUTHORITY) by a third party and a password method that involves the memory operation of the user have been adopted.
  • CA Content AUTHORITY
  • password method that involves the memory operation of the user.
  • users enter a large number of passwords each time they access equipment, access applications, access files, access data, or access domains.
  • An operation to receive the authentication was required, and the storage of the passcode was managed under the memory of the user, and was periodically updated as necessary.
  • an application provided via a network is installed on a computer, and the user of the application used is a valid license holder in addition to the product ID of the application.
  • the user of the application may provide a password for the application user himself / herself to the application user or the application user.
  • a 4- to 8-digit password may be set from time to time, and the actual user Each time you started the service, you had to enter that password.
  • Such passwords must not be written down on paper or the like, be composed of numbers and symbols that are memorized by human intention and are hard to guess by others, and after a certain period of time, Strict rules such as updating to new ones are imposed, and these obligations, which are not practically executable even by the above managers, are of course legal as well as the application user's obligations. Or it is imposed voluntarily.
  • the authentication of the product ID, the user ID, and the password must be performed by the user of the application in each application installed on the computer.
  • the present invention has been made in view of the above-described circumstances, and has been developed in consideration of security in a network environment.
  • the present invention relates to a “property time generation device and an authentication device using the device” and W 098/4 4 3 2 1 related to W ⁇ 97 / 2074 proposed by the applicant earlier.
  • the “authentication data issuing system based on the unique time and the storage medium for the authentication data issued by the issuing system, and the authentication data authentication system” in “0. It has been applied to the environment and has been developed.It does not require that a third-party CA station be installed on the network, and does not repeatedly use a password for storage operation.
  • the purpose is to implement mutual authentication of various types of data via a node, and to realize security protection and privacy protection. Disclosure of the invention
  • the present invention requires that the registration and management of the above-mentioned ID, which is an indispensable element of security protection and privacy protection, and the setting and management of a pass password be performed mainly by humans in computer network communication. Instead, it is realized by a unique and inorganic processing procedure performed by a computer as a machine.
  • At the access side performing the communication access and the accessed side receiving the communication access at least the computer of the accessed side starts at a certain date and time. From the beginning to the end of the hourly interval from a certain date and time to the end, a device for generating a unique time that is constantly clocked by the clock means at the same clock interval is set, and the computer on the access side is set.
  • a time-measuring device for clocking the elapsed time constantly at the same time interval as the eigen-time generating device set in the computer on the access side by the clock means is set, and at least the In the computer on the side, the time period from the beginning to the end is changed by the eigen- A time-space that progresses at the same time interval as the clocking device set on the other computer, repeats mutual communication between the accessing computer and the accessing computer multiple times, and the accessing computer in the accessing computer
  • the access computer receives the signal from the accessing computer.
  • the timing of the transmission of the transmitted signal and the reception of the signal received from the accessed computer by the accessing computer are clocked by a timing device. Is exchanged between the accessing computer and the accessed computer, and the The change of each time data exchanged with the access-side computer is sequentially stored or recorded as the time transition in the spatio-temporal time clocked by the unique-time generation device of the access-side computer, and the communication partner
  • FIG. 1 is a diagram showing a communication process indicating the progress of initial authentication among processes for performing mutual authentication between a server and a client based on an authentication / management device according to an embodiment of the present invention.
  • FIG. 2 is a diagram showing a communication process indicating the progress of normal authentication among processes for performing mutual authentication between a server and a client based on the authentication / management device according to one embodiment of the present invention.
  • FIG. 3 is a diagram showing a communication process indicating the progress of normal authentication among processes for performing mutual authentication between a server and a client based on an authentication management device according to an embodiment of the present invention. .
  • FIG. 4 is a diagram showing a service based on an authentication management apparatus according to an embodiment of the present invention.
  • FIG. 7 is a diagram showing a process in which a client acquires a time and space defined by a device for generating a specific time of a server in initial authentication in a process of performing mutual authentication between a server and a client.
  • FIG. 5 is an explanatory diagram showing the progress shown in FIG. 4 in a time and space shared by a server and a client on a network.
  • FIG. 6 is a diagram showing changes in the content of data transmitted and received between the server and the client in the process of initial authentication.
  • FIG. 7 is a view similar to FIG. 4 showing a process of transmitting and receiving each data shown in FIG. 6 between the server and the client during the initial authentication.
  • FIG. 8 is an explanatory diagram showing a process of transmitting and receiving each data shown in FIG. 7 in a time space shared by a server and a client on a network.
  • FIG. 9 is a diagram similar to FIG. 7, showing the generation and contents of data to be transmitted and received in the initial authentication process.
  • FIG. 10 is an explanatory diagram showing each initial authentication data C 1 and S 1 in a time space shared by a server and a client on the network.
  • FIG. 8 is a diagram similar to FIG. 7, showing the generation and contents of data transmitted and received in the process.
  • FIG. 11 is a diagram showing a state where each authentication item is converted into a unique numerical value and replaced with seconds.
  • FIG. 12 is a flowchart showing each step of the initial authentication in the server and the client authentication / management device.
  • FIG. 13 is a block diagram showing a configuration of a combination of a server and a client that perform mutual authentication.
  • FIG. 14 is a network diagram showing an environment to which the authentication / management device according to the embodiment is applied.
  • FIG. 15 is a diagram showing the concept of the unique time proposed earlier by the applicant.
  • FIG. 16 is an explanatory diagram illustrating the concept of the eigentime proposed earlier by the applicant in time and space.
  • Fig. 17 shows the spatio-temporal distribution of mutual communication between computers on the network existing in the spatio-temporal network in Fig. 16.
  • FIG. 6 is a diagram showing a cloth state.
  • FIG. 18 is an explanatory diagram explaining the authentication principle of the present invention in communication between a server and a client.
  • a clock built into a normal personal computer hereinafter simply referred to as a personal computer
  • a facsimile a telephone
  • a communication karaoke device a device that uses multimedia signals to communicate with other multimedia devices.
  • the concept of time of the device will be described as a premise.
  • Atomic clocks are currently known as the clocks that can measure the seconds most accurately. Atomic clocks are clocks that sequentially control the emission of radiation corresponding to the transition between the two hyperfine levels of the ground state of the cesium-133 atom, with a period of 9 19 2 6 3 17 7 0 1 second. It is said to have an accuracy of one hundred millionth of a second. Since the time obtained by integrating seconds with an atomic clock and the obtained time actually fluctuates, international cooperation has been made to average the values of atomic clocks around the world to obtain atomic time that is almost ideal. ing. The atomic time obtained in this way is called international atomic time (temps atomic international, TAI), and the international atomic time is measured starting at 0:00:00 on January 1, 1958.
  • TAI international atomic time
  • the value of one second is currently controlled by the internationally defined atomic time, while universal time is known as a value representing the length of a day.
  • Universal Time the mean sun transits (midnight) on the prime meridian at 0 ° longitude passing through the former Greenwich Observatory in the United Kingdom at 2:00 pm, and 12 hours before and after midnight, and two days a day. It is determined as 4 hours and is sometimes called Greenwich Mean Time by convention.
  • this universal time was the basis of standard time, but today, universal time is considered to be a value representing the angle of the Earth's rotation, and the length of the current day
  • the time is measured and set according to coordinated universal time (UTC).
  • Coordinated Universal Time is the atomic time in which leap seconds have been adjusted to be within 0.9 seconds of Earth's astronomical universal time.
  • the time interval with seconds as the basic unit is the same as the international atomic time, and the time is approximately the same as the universal time.
  • the Gregorian calendar uses the length of the clock to indicate that the average year is 365 days and that every leap year is 365 days. Has been adopted. This is based on the fact that the Earth's orbital period (Sunday) with respect to the sun is 365.242.22 days, and the approximate value of 365.24.25 days is 1 sun year. The year was decided.
  • the Earth's rotation speed is not always constant, but is affected by fluctuations in the earth's axis and seasonal fluctuations.
  • the length of the day has changed slightly.
  • the Earth's rotation speed tends to decrease slightly, there will be a slight difference between the atomic time, which is constantly calculated by the atomic clock, and the universal time, which is determined based on astronomical operations. For this reason, when the difference between the two becomes 0.9 seconds or more, the work of leap seconds to insert or remove 1 second on the last second of June 30 or 1 February 31 is performed and adjusted . In addition, it plans to have no leap years in the coming hundreds of years and plans to make adjustments.
  • time management on the earth is performed based on the concept of date and time based on the Coordinated Universal Time, the International Atomic Time, and the Gregorian calendar, but almost all PCs and multimedia devices currently on the market are used.
  • a clock device (clock device) based on the Coordinated Universal Time and the Gregorian calendar and a calendar function are built in.
  • a CPU is always built in, and the CPU is required to have some kind of clocking means in setting the cycle of the arithmetic processing operation.
  • such devices incorporate quartz or some other oscillator (usually built into the CPU), and further divide the time-dependent oscillation state of the oscillator by the natural frequency per second of each oscillator. This value is further integrated, and 1 second ⁇ 1 minute (60 seconds) — 1 hour (3,600 seconds) — 1 day (86, 400 seconds) is set. It has a built-in clock device that can display minutes and seconds on a clock.
  • the service life of the equipment A calendar based on the Gregorian calendar for the year 10 and beyond is built in as software (it may be built into the CPU itself as hardware) and clocked as described above. 24 hours are sequentially accumulated, and the corresponding date can be displayed.
  • the present invention pays attention to the fact that each device incorporating a microcomputer has the current time and power render corresponding to such a universal time, and exists on a network, and stores these universal time (standard time of each country) and calendar. It is possible to authenticate and manage the held devices.
  • the authentication / management device is not limited to being applied to a network computer having a communication function, but includes a facsimile, a telephone, a cash dispenser, a communication karaoke device, an electronic payment terminal,
  • CATV terminals home information appliances, and other multimedia devices.
  • the authentication / management apparatus is configured such that each domain, each server, and each client assigned to a role are assigned to each computer on the network as shown in FIG. It is possible to authenticate and manage each node and various types of data passing through the nodes. That is, as shown in FIG. 14, the authentication / management apparatus according to the present invention includes a personal computer connected to the intranet in the company, a personal computer connected to the Internet, and a personal computer connected to the intranet. It is also possible to perform authentication and management of each personal computer.
  • FIGS. 15 to 18 the “property generation device” according to WO97 / 22047, proposed earlier by the applicant, starts at the start time QB0 and ends at the end time QE0.
  • the present invention relates to a device for clocking a finite time Q constantly from the beginning to the end by means of a clock.
  • Fig. 16 shows the concept of clocking in terms of the time and space of the “eigen-time generator” set by a certain combination.
  • the generation device of this specific time Diffuses free space by 360 degrees in the radial direction, forming a constant area, and counts a finite time (eigentime) constantly from the start date and time QB0 to the end date and time QE0 Is what you do.
  • the space-time as a closed space from the start date and time QB0 to the end date and time QE0 defined in this way, the current date and time Now is included, and the communication performed between other computers at each date and time is as follows. Each feature will be described.
  • the network space is a closed space defined by a specific time. It becomes space.
  • each network computer (communication partner computer) that performs communication at each point in time as a communication partner in the space at each communication point as shown in FIG. 16. Localization is possible.
  • Digital information such as data and applications, transmitted and received with the computer of the communication partner moves at the electric signal speed (communication speed) in the network space.
  • the network computer related to the communication partner should exist in this space-time, in which communication is repeated multiple times with the communication partner, and the space-time is shared.
  • the reception time of the specific communication data from the user and the transmission time of the specific communication data to the other party can be used as mutual authentication data unique to the other party. That is, this authentication data is obtained by transmitting the communication data transmitted from the other party a plurality of times in the past at the current time, the previous time, the last time and the previous time, and It is generated by modifying it sequentially based on a specific protocol, and it is possible to specify a specific communication partner in the eigen-time system with higher accuracy and higher accuracy.
  • the signal from the server at the time of reception of the signal U 1 at the timing R sl is between the timing S c 1 when transmitting the signal U 1 and the timing R c 1 when receiving the signal VI on the client side.
  • the timings R s1 and S s 1 on the server side and the elapsed time P s1 between them are the same as the elapsed time P el of the timings Sc 1 and R cl on the client side.
  • the elapsed time Ps2 and the timings Rs2 and Ss2 always exist in the elapsed time zone Pc2.
  • the time Ps3 and the timings Rs3 and Ss3 always exist in the elapsed time zone Pc3.
  • the timing Sc 2 when the signal U 2 is transmitted to the server for this signal VI is determined when the signal V 1 is transmitted on the server side.
  • the server receives the signal U from the previous time when the signal U was received from the client side, and changes the signal V toward the current client.
  • the amount of elapsed time of the specific time from the time when the signal U was transmitted to the server on the client side to the time when the signal V was received from the server side this time It must be smaller than the elapsed time of the eigentime.
  • the elapsed time of the specific time from the timing when the client received the signal V from the previous server to the timing when the signal U was transmitted to the server this time is determined by the server. It is assumed that the amount of elapse of the eigentime from the timing of the previous transmission of the signal V to the client to the timing of the reception of the signal u from the client this time is always small.
  • the signals transmitted and received between the access side and the accessed side include a unique time system. If the transmission timing of each signal of the other party in the past, the reception timing of the signal transmitted from the other party, and the amount of time of the other party between these timings are included in the communication partner in Even at such a computer, the start date and time QB 0 set by the communication source, as long as a clock means and a common clock device that clock the clock at least at the same clock interval as the accessed side are provided. From the end point to the end date and time QE 0 with the same clocking interval (e.g., a measuring unit in seconds).
  • the same clocking interval e.g., a measuring unit in seconds
  • the spatio-temporal of the generating device of the set specific time is defined (of course, the same generating device may be set on the access side, and the same spatio-temporal may be defined).
  • the time transition in the common space-time performed with the other party include the transmission time (transmission timing) and reception time (reception timing) of each signal performed in the past, and the time lapse between the transmission time and the reception time.
  • the change in time and data generated based on the time becomes a unique existence of the computer in the time and space shown in FIG. 17, and the time data change in communication with these specific computers is sequentially stored, or By recording it, it can be saved as authentication data for the communication partner of the communication partner. Further, by storing and updating these data successively in each successive communication, the computer of the communication partner can be more accurately authenticated in the time and space shown in Fig. 17.
  • the authentication / management apparatus is set and used in each computer connected to the network as shown in FIG. 14, but is used between the nodes connected in this way.
  • Communication is shown in Fig. 13. Is performed based on the present apparatus set in the computer. That is, for example, the communication between the server 1 and the client 2 shown in FIG. 13 is performed based on the authentication / management device 3 set for each of these nodes, and the communication between the server 1 and the client 2 is respectively performed.
  • Server 1 and client 2 are provided with keyport 9.
  • the authentication / management device 3 set in each computer is in an intercommunication state between the computers existing on the network, and in a communication start state with a communication partner related to a specific node, the authentication management device 3 corresponds to the communication partner. It consists of the steps to be set, and the steps to authenticate and manage the node associated with the communication partner and various data passing through the node in the communication state with the same communication partner thereafter ( Claims 8 and 10).
  • FIG. Fig. 1 illustrates the process of server 1 authenticating and managing client 2 or client 2 authenticating and managing server 1 using the example of communication between each node of server 1 and client 2 shown in Fig. 1. -It will be described based on FIG.
  • a prior open access is performed from the transmitting and receiving device 4 of the client 2 to the transmitting and receiving device 4 of the server 2.
  • the server 1 is a distributor of software and data such as application software, music data, video data, financial data, technical data, etc., the contents are indexed by item.
  • Client 2 downloads the information related to the index display, and downloads and purchases software and software related to the necessary items.
  • the server 1 sends the client 2 on the connection screen to the node 2 for node (client 2) node identifier (for example, the serial number of the eighty one software).
  • a unique numerical value t (commonly known as product ID) set to define the usage contract
  • a unique numerical value u (user ID, etc.) specified in the license agreement for the application in the server 1
  • V a unique numerical value specified in a contract for browsing an application file in the server 1 and the like. 1 prompts Client 2 for the same input, and Client 2 responds to the request on the input screen by using arbitrary numbers, symbols, and characters.
  • the t ⁇ V so that the entering in keys board 9 of the client 2 side.
  • an arbitrary amount for the client 2 to download the application II data in the server 1 is also input as the data w.
  • the data t to w input on the client 2 side in this way are received as the authentication items t to w in FIG. 11 by the transmission / reception device 4 on the server 1 side, and the authentication / management device 3 on the server 1
  • the transmitted authentication items t to w are replaced with the corresponding unique numerical values t 1 to w 1 based on the protocol set by the server 1 (refer to the unique numerical values in FIG. 11). .
  • a power rendering device based on the Gregorian calendar of the server 1 is set.
  • the clock device 7 clock device that clocks hours, minutes and seconds based on Coordinated Universal Time
  • a certain date From the beginning QB O to the ending QE O in the interim time zone as the ending QE O, a device for generating a specific time for constantly ticking the total ticking value Q by the ticking means 7 is preset.
  • the setting is set to start QB 0 at 00: 00: 0 am on January 1, 1999, and set to end QE 0 at 12:00:00 p.m. on February 9, 1999.
  • the value Q (86, 400 seconds x 40 days) converted from the period in seconds is used as the clocking gross value.
  • Each of these fixed numerical values (Q, QB0, QEO: 1st 1 Is shared between server 1 and client 2 as authentication item Q shown in Fig. 11, and is supplied from server 1 to client 2 (for example, mail-installed) or transmitted. (SVR Now transmission in Fig. 1).
  • each value (Q, QB0, QE0) supplied or transmitted to the client 2 is transmitted to the authentication / management device 3 by the initial setting management step a in the authentication / management device 3 on the client 2 side.
  • the total clock value Q from the initial QB 0 to the final QE 0 is constant by the clock unit 7 by the clock unit 7 in the same way as the clock unit 7 on the server 1 side.
  • An eigentime generator that clocks in is set. Therefore, a time space is established in the server 1 and the client 2 that shares the beginning QB 0 and the ending QE 0 (initial setting management steps A and a).
  • FIGS. 1 to 3 between the server 1 (upper drawing) and the client 2 (lower drawing), rightward in the drawing (FIG. 1 ⁇ FIG. 2 ⁇ FIG. 3).
  • An evolving spatiotemporal space is defined, and signals are sent and received multiple times between the two parties during the initial authentication procedure.
  • the first “application” access is sent from client 2 to server 1.
  • the management device 3 performs the authentication in the initial setting management step B (see FIG. 12 and claim 8) while receiving the “application” signal from the client 2 in the initial authentication procedure.
  • Generate basic data X is generated from the initial setting management step B (see FIG. 12 and claim 8) while receiving the “application” signal from the client 2 in the initial authentication procedure.
  • the authentication basic data X is obtained by dividing the absolute value Q of the inter-hourly time zone (QB 0 ⁇ QE 0) by 2 by dividing the total time value Q of the generator of the unique time by 2, and obtaining the client 2
  • the first application sent to server 1 is received from R 0, it is generated by subtracting the value obtained by subtracting QB 0 at the beginning of the interim period. 0/02449
  • the data X generated in this way has a time R0 in the space-time reception in the communication with the client 2 in the server 1, and has a value in seconds.
  • the basic authentication data X In generating the above basic authentication data X, numerical data unique to client 2 relating to the transmission destination, that is, unique numerical data tl or wl shown in FIG. 11 is used.
  • the data tl or wl is replaced with a value in seconds (from t2 to w2), and each of the replacement data t2 to w2 is replaced with a value calculated based on the above formula 1 according to the protocol set by the server 1.
  • the basic authentication data X may be generated by adding, subtracting, or performing variable processing.
  • the replacement data t2 to w2 may be stored in the memory 8 corresponding to the authentication basic data X.
  • the authentication basic data X thus generated is transmitted from the transmitting / receiving device 4 on the server 1 to the transmitting / receiving device 4 on the client 2 side based on the initial setting management step B on the server side in FIG. (See FIG. 1). However, the data X is transmitted to the point of time of cBO on the client 2 side. As a result, the following steps b1 and b2 in the authentication / management device 3 on the client 2 side are executed.
  • the first application is sent from the client side to the server side.b2, on the server side computer, the absolute value Q of the above time interval is divided by 2, and from this value, the client side
  • the initial application sent to the client is received by the client side
  • the initial period of the interim zone QB0 is subtracted from R0 by subtracting the value obtained by subtracting the value
  • the basic authentication data X is generated from the server side.
  • the authentication basic data X received from the server 1 is received.
  • the received basic authentication data X is added to the value obtained by subtracting the beginning QB 0 of the interim zone from the time between the two and the initial authentication data C 1 of the client 2 is calculated and generated. / 02449
  • the initial authentication data C1 generated in this way is transmitted from the transmitting / receiving device 4 of the client 2 to the transmitting / receiving device 4 of the server 1 by the initial setting management step c, and the authentication / management device 3 of the server 1 is initialized.
  • the setting management step C confirms that the transmission was received at the time point of sR0 (see FIGS. 1 and 12).
  • Step C of the server has the following operations.
  • the received initial authentication data C2 of the client 2 is authenticated.
  • the authentication is as follows.When the client 2 receives the basic authentication data X generated by the server 1 earlier in the initial authentication data C 1 on the client 2 side, c B 0 indicates when the server 1 receives the first application. It is calculated whether or not the initial authentication data C 1 exists in the time domain between s R 0 and the reception time, and the authentication is performed based on the following formulas 3 to 5.
  • Equation 5 X is the time when the data X is transmitted from the server to the client, and S 1 is the time when the next data is transmitted S 1
  • Expressions 3 to 5 can be expressed as decomposition expressions as in the following Expressions 6 and 7.
  • the authentication of the client 2 as the communication partner by the data C 1 is performed in the initial setting management step D in the authentication / management device 3 of the server 1. (See Fig. 1 and Fig. 12).
  • the initial setting management step D is represented by the following initial setting management step d.
  • the server computes whether or not time c B 0 exists in the time region between R 0 when the first application is received on the server side and R s when the initial authentication data C 1 is received, and the client on the server side. Authenticate the side
  • the authentication / management device 3 of the server 1 generates the initial authentication data S 1 of the server 1 to be transmitted to the client 2.
  • This data S1 is generated by subtracting the authentication basic data X generated in the initial authentication management step B from the initial authentication data C1 received from the client 2 side, and further adding the initial authentication data C1 to this value. (See Equation 8).
  • the initial authentication data S 1 of the server 1 thus generated is transmitted from the transmitting / receiving device 4 of the server 1 to the transmitting / receiving device 4 of the client in the initial setting management step E, and the authentication / authentication of the client 2 is performed.
  • the management device 3 received the transmission at the time of c R 0 in the initial setting management step e. 0/02449
  • this initial setting management step e has the following operation.
  • the server-side transmitted and authenticated initial authentication data c1 is subtracted from the basic authentication data generated in the initial setting management step b2—X, and the initial authentication data is added to this value.
  • the server generates initial authentication data S 1 on the server side by adding C 1, and is transmitted from the server side and receives the initial authentication data S 1 on the client side.
  • the received initial authentication data S1 of the server 1 is authenticated.
  • the authentication is generated in the initial setting management step d before being included in the initial authentication data S 1, and when the server 1 receives the initial authentication data C 1 transmitted from the client 2 to the server 1 s R 0 Is calculated in the time domain between the time when the client 2 receives the basic authentication data X c B 0 and the time when the initial authentication data overnight C 1 c c RO is calculated.
  • the authentication is performed based on the URL.
  • Equation 11 C 1 is the time when the data C 1 is transmitted from the client to the server, and C 2 is the time when the next data C 2 is transmitted. Equations 12 and 13 below are obtained.
  • the management device 3 transmits authentication data C 2 for normal authentication to cause the server 1 to perform the authentication of the client 2 at the next communication with the server 1.
  • the authentication data C 2 is generated by subtracting c BO from the previous reception of the basic authentication data X at the time of reception of the previous authentication data S 1 at the client 2 at the reception of the previous authentication data S 1 at the client 2. (See Fig. 2, Equation 14).
  • the generated normal authentication data C2 is stored in the memory 8 as authentication data of the client 2 when the server 1 is requested to deliver specific software and data.
  • the spatio-temporal time from the initial QB0 to the final QE0 set by the eigentime generator of server 1 is represented by distance and time components as shown in Figs. 4 and 5.
  • the more defined client 2 located at point B in time and space will perform the first open access (A 1 in Fig. 4) to server 1 at point A.
  • the generation device of the unique time of the server 1 clocks for the client 2 having made the access.
  • Obtains the current time of server 1 (A3, S RV / Now: QB0 ⁇ Now), and sends the concept of the unique time of server 1 including SRVZNow (QB0—QE0) to client 2.
  • Client 2 receives the concept of the unique time (A5 in FIG. 4: S RVZNow reception in FIG. 4), installs this concept on the authentication / management device 3 of Client 2, and then sends it to Server 1.
  • the application is transmitted (A6 in Fig. 4: initial request), and the server 1 receives the request (A7 in Fig. 4: request reception).
  • the server 1 generates the basic authentication data X based on the generation formula of the basic authentication data X shown in Fig. 4 (A8 in Fig. 4: X generation), and generates the generated basic authentication data X.
  • To the client 2 (A9 in Fig. 4: X transmission).
  • Client 2 receives the basic authentication data X (A10 in FIG. 4: X reception).
  • the state in which the data X is received is, as shown in FIG. 5, the point A and the point B where the server 1 and the client 2 correspond one-to-one in the same time and space. Therefore, in the subsequent mutual communication, based on the authentication basic data X, the server 1 and the client 2 mutually authenticate the communication partner in the same time and space.
  • the basic authentication data X received by the client 2 (A10 in FIG. 9: received) is used to generate the initial authentication data C1 on the client side by the generation formula of the initial authentication data C1 shown in FIG. (A11 in Fig. 9).
  • the initial authentication data C1 is transmitted to the server 1 (A12 in FIG. 9: C1 transmission) and received by the server 1 (A13 in FIG. 9: C1 reception).
  • the server 1 After performing the authentication of the initial authentication data C1, the server 1 generates the initial authentication data S1 on the server side based on the data C1 using the generation formula shown in FIG. 9 (see FIG. 9). A1 4).
  • the generated initial authentication data S1 is transmitted from server 1 to client 2 (A15 in Fig. 9: S1 transmission). / JPOO / 02449
  • the client 2 Based on the received initial authentication data S 1, the client 2 generates data C 2 for normal authentication to be transmitted to the next server 1 (A 17 in FIG. 9).
  • the basic authentication data X between Server 1 and Client 2 and their transition are as shown in Fig. 6. It is clear from such a change that the basic data X for authentication is exchanged with the data X at the initial authentication stage every time the mutual communication is performed. ) Is performed after the authentication, and the time data c 1 thus generated is added to the hourly amount Y (C 1 -X) in the eigen-time system on the server 1 side. Later, a time de S 1 is generated. Subsequently, the client 2 calculates the time-to-time amount (c R) in the eigen-time system on the client 2 side from the received time data 1.
  • the subtraction of 0-cB0) is performed after the authentication, and the time data C2 for the next authentication with the server 1 is generated at the end of the initial authentication.
  • each generated authentication data (X-C1-S1) is transmitted and received between client 2 and server 1 is point A (server side) and point B (Client side), and it will be scattered in the spatiotemporal space of Fig. 10. 7 and 8, the server 1 side (computer at point A in FIGS. 7 and 8) and the client 2 side (point B in FIGS. 7 and 8)
  • the time of transmission / reception of each signal (open access, application, transmission / reception of each data) with the computer (timer) is the time and space (QB 0—QE 0) of the unique time generation device set on the server 1 At the same time (see Figure 8).
  • the server 1 as the accessed side transmits or supplies the time and space defined by the unique time generation device of the server 1 to the client 2 as the access side.
  • the time is shared by the clocking device 7 of the client 2 at the time of initial authentication and the force rendering device 6 (for example, B1, B4, B5, and B9 in FIG. 7).
  • the time data based on the (time point) may be transmitted from the client 2 to the server 1, and based on the time data, the server may associate each time point with the time and space defined by the generator of the specific time.
  • the mutual authentication between the server 1 and the client 2 is enabled, but the computer (client 2) of the communication partner may be authenticated only by the server 1 based on each time data transmitted and received.
  • the authentication of the server 1 and the management device 3 authenticate the received authentication data C2 of the client 2 side.
  • the authentication is performed when the client 2 receives the initial authentication data S 1 generated by the server 1 earlier in the authentication data C 2 at the destination c R 0, and when the server 1 receives the initial authentication data C 1 s. It is calculated whether or not it exists in the time domain between R 0 and the reception time s R 1 of the authentication data C 2, and the authentication is performed based on the following formulas 15 to 17.
  • Expressions 15 to 17 can be expressed as decomposition expressions 18 to 20 as follows.
  • server 1 can deliver ordered applications and data to client 2.
  • the authentication / management device 3 of the server 1 transmits the data to the corresponding client 2 side, and generates authentication data S2 for performing the normal authentication of the client 2 next time.
  • This data S 2 is generated from s R 1 when receiving the authentication data C 2 received from the client 2 side and s R 0 when receiving the initial authentication data C 1 transmitted from the previous client 2 side. It is determined by adding the authentication data C2 to this value (see Equation 21).
  • the authentication / management device 3 of the client 2 authenticates the received authentication data S2 of the server 1 side.
  • the authentication is embedded in the authentication data S 2, and when the server 2 receives the authentication data C 2 previously transmitted from the client 2 to the server 1 s R 1 is the initial value on the client 2 side
  • the authentication data S 1 is received c R 0 and when the authentication data C 2 is received c R 1 It is calculated whether or not it belongs to the time domain, and the authentication is performed based on the following formulas 22 to 24. ing.
  • Equation 24 C 2 is the data transmitted from the client to the server when sending C 2
  • C 3 is the time when the next data C 3 is sent. Equations 25 and 26 are obtained.
  • the authentication of the server 1 as the communication partner by the data S2 is executed by the authentication device 3 of the client 2.
  • the next server Authentication data C3 for normal authentication for causing server 1 to authenticate client 2 when communicating with server 1 is generated.
  • the generation of the authentication data C3 is performed by subtracting cR0 when receiving the initial authentication data S1 two times before from the reception cR1 at the time of receiving the previous authentication data S2 at the client 2, and setting this value to the initial value. It is generated by subtracting it from the authentication data S2 (see Fig. 2).
  • the generated normal authentication data C3 is further stored in the memory 8 as the authentication data of the client 2 when the server 1 requests the server 1 for the distribution of software or data next time, for example.
  • the open access shown in Fig. 2 or 3 is executed first, and after Client 2 obtains the permission of Server 1, Client 2 obtains the permission of Server 1.
  • the client-side authentication data C3 generated last time is transmitted to.
  • the authentication of the server 1 and the management device 3 authenticate the received authentication data C3 of the client 2 side.
  • the authentication is performed when the client 1 receives the authentication data S 2 previously generated by the server 1 before the server 1 side receives the authentication data C 2 at the server 1 side. It calculates whether or not it exists in the time domain between sRl and the time of receiving the authentication data C3 sR2, and performs the authentication based on the following equations 28 to 30.
  • Expressions 28 to 30 can be expressed by the following expressions 31 to 33 when expressed by decomposition expressions.
  • server 1 can deliver the ordered application data to client 2 to client 2.
  • the authentication / management device 3 of the server 1 transmits the data to the corresponding client 2 side, and generates authentication data S3 for performing the normal authentication of the client 2 next time.
  • This data S 3 is generated by subtracting s R 1 when receiving the authentication data C 2 transmitted from the previous client 2 side from s R 2 when receiving the authentication data C 3 received from the client 2 side. , And the authentication data C 3 is added to this value (see Equation 34).
  • the authentication data S 3 of the server 1 thus generated is transmitted from the transmission / reception device 4 of the server 1 to the transmission / reception device 4 of the client 2, and the authentication / management device 3 of the client 2 receives the transmission data. Confirm that the procedure was performed at the time point of cR2 (see Fig. 3).
  • authentication of Client 2 '' Authentication of the authentication data S 3 on the side 1 is performed.
  • the authentication is internal to the authentication server S 3, and the authentication data transmitted from the client 2 to the server 1 last time is received at the server 1 side of the server C 3 s R 2 is the client 2 side It is calculated whether or not it belongs to the time domain between the reception of the authentication data S 2 at the time of reception of the authentication data c R l and the reception of the authentication data C 3 at the time c R 2, based on the following formulas 35 to 39.
  • Authentication is performed.
  • Equation 37 C3 is the time when the data C3 is transmitted from the client to the server, and C4 is the time when the next data C4 is transmitted.Equations 35 to 37 can be expressed by decomposition equations. Equations 38 and 39 below.
  • the authentication of the server 1 as the communication partner by the data S3 is executed by the authentication / management device 3 of the client 2.
  • Authentication data C4 for normal authentication for causing server 1 to authenticate client 2 when communicating with server 1 is generated.
  • the authentication data C 4 is generated by subtracting c R 1 when the authentication data S 2 was received two times before from the reception c R 2 when the previous authentication data S 3 was received at the client 2 at the reception when the previous authentication data S 3 was received. Generated by subtracting from data S 3 (Fig. 3 See).
  • the generated normal authentication data C4 is further stored in the memory 8 as authentication data of the client 2 when the server 1 requests the server 1 for the distribution of software or data next time.
  • the transition of the time data in the normal authentication shown in Figs. 2 and 3, C2 ⁇ S2 ⁇ C3 ⁇ S3 ⁇ C4, is as follows.
  • the time data S2 is generated by adding the time-to-time amount (sR1-sR0) of the eigen-time system in the server 1, and the time data S2 generated in this manner is On the Client 2 side, the subtraction of the time-to-hour amount (cRl—cRO) of the eigentime system at Client 2 is performed after the authentication.
  • the transition of data from the initial authentication to the normal authentication is based on the basic authentication data X, and adds or subtracts the time-to-hour data of the unique time system at the time of reception or transmission of the computer in mutual communication. Therefore, it will be changed.
  • client 2 and server 1 communicate with each other to achieve more accurate mutual authentication, and are shared by client 2 and server 1 and set simultaneously in seconds.
  • Using Q enables mutual authentication in a computer network environment.
  • the authentication data itself transmitted by the authentication / management device 3 is obtained by replacing the embodied inorganic number with seconds, and the specified number to be stored like a conventional password.
  • this authentication data as a time identifier contains the time of each access (communication time and reception time in the communication history) performed between the communication parties during the set period Q negotiated between the communication parties.
  • the communication partner device is Authentication can be reliably performed, and it can be easily built into any computer device that holds a clocking device and calendar device.
  • the authentication and management device 3 on the server 1 side is initially supplied Alternatively, the transmitted authentication basic data X is stored in the memory 8 and the authentication data (S 1 ⁇ S 2 ⁇ S 3 ... S n) whose accuracy is improved in each subsequent communication is stored in the memory 8 and sequentially updated.
  • the time data will be deleted as necessary. For example, if the computer of the communicating party violates the contract (online fraud, payment failure, other breach of contract), the time data and the accompanying data (t2 to w2, no. 11 See Fig. 1).
  • the value clocked by each clocking device 7 of the server 1 and the client 2 is the second specified in the universal time, but the second and the integrated value of the second are used here.
  • the value of the set period Q includes the concept of 100-second units, 100-second units, etc., and it means that the second specified in Coordinated Universal Time is used as the dimension. .
  • the period Q between the start date / time QB and the end date / time QE is set using the force renderer 6 and the clocking device 7 in the server 1, but the period Q in the initial setting management step A is set.
  • the setting of seconds corresponding to does not simply mean setting the period on the calendar, but the applicant has already proposed in the PCT patent application related to WO97 / 22047 ⁇ Eigentime generator ''.
  • This is a concept that includes period data in seconds from a certain starting point to a certain ending point in a clocking device that clocks from a certain starting point to an ending point specified in. It relates to the means for setting and measuring the period of time that can be measured in seconds by means of a clock that can be clocked on a constant.
  • the calendar device 6 and the clock device 7 are referred to,
  • the access time R 0 during the setting period Q is set by the generator itself, but the data related to the communication date and time for the corresponding node (Client 2) is set in such open access time (reception time).
  • the node on the accessed side (server 1) may be configured with the corresponding node.
  • the unique date and time caused by the mutual communication can be captured by referring to the calendar device 6 and the clock device 7 or as a single unit of the unique time generation device as the lapse of seconds in the set period Q
  • each received numerical value (t 2 to w 2) May be created by arbitrarily adding, subtracting, multiplying, or dividing according to the protocol set by the node (server 1).
  • the unique data transmitted from the access side and various data resulting from the communication access from the access side be included in or correspond to the generated time data.
  • the hidden code ⁇ defined by the server 1, the data to be distributed and stored in each of the communicating clients 2, and the data to be confidentially transmitted to the client 2 can also be included.
  • the operating means has been described mainly on the authentication / management apparatus 3 set on the server 1 side as a computer. As shown in Fig. 3, it can be set on the client 2 side as well, and it is also possible to perform authentication when this client 2 communicates with other clients, as shown in Fig. 14. Servers, clients, domains and other computers can be set up and used. Therefore, there is no longer a need for a third-party authentication organization such as CA, which has the advantage that mutual authentication in a network environment can be performed extremely easily.
  • CA third-party authentication organization

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Computer And Data Communications (AREA)

Abstract

When signals of data and applications are sent/received through communications between a server and a client, as long as the computer of the communication party has clocking means for clocking constantly at regular clocking intervals the same as that on the accessed side and a common clock device, an inherent time generating device for clocking constantly at the same clocking intervals by the clocking means during the period from a start point date (QB0) to an end point date (QE0) preset by the computer of the communication source is provided, and hence, for example, a temporal space of the inherent time generating device provided on the accessed side is defined between the accessing and accessed sides. As the temporal transition in the common temporal space conducted by one another, the sending and receiving times and the time passages between the sending times and the receiving times of the signals send and received in the past are included in the sent/received signals, thereby indicating the existence in the temporal space shown in the figure of the computer of the communication party.

Description

明 糸田 書 認証 · 管理装置  Akira Itoda Authentication and management equipment
技術分野  Technical field
本発明は、 インタ一ネッ ト、 イントラネッ ト、 L A Nなどのコンビュ The present invention is applicable to Internet, intranet, LAN, etc.
—タネッ トワークにおいて、 コンピュータ間で送受信する各種データを 相互に認証し、 管理する認証 · 管理装置に関する。 背景技術 —On authentication / management devices that mutually authenticate and manage various data transmitted and received between computers in a network. Background art
従来、 コンピュータネッ トワーク環境におけるセキュリティに関して は、 一般的に第三者機関による C A局 (C e r t i f i c a t i o n A u t h o r i t y =認証登録証明機関) の設置が不可欠な暗号方式と 利用者の記憶動作を伴うパスワード方式が知られ、 これらのものは通信 相手を特定し、 なおかつデータ作成者のプライバシー保護を目的とする ものとされている。 こうしたネッ トワーク環境にあって利用者は、 機器 へのアクセス、 アプリケーショ ンへのアクセス、 ファイルへのアクセス 、 データへのアクセス、 あるいはドメインへのアクセスの度に衔数の多 いパスワードを入力し、 その認証を受ける操作が必要であり、 パスヮ一 ドの保存は利用者の記憶の下に管理され、 必要に応じて定期的に更新す ることとしていた。  Conventionally, regarding the security in a computer network environment, generally, an encryption method that requires the establishment of a CA (Certification AUTHORITY) by a third party and a password method that involves the memory operation of the user have been adopted. Known, these are intended to identify the communication partner and to protect the privacy of data creators. In such a network environment, users enter a large number of passwords each time they access equipment, access applications, access files, access data, or access domains. An operation to receive the authentication was required, and the storage of the passcode was managed under the memory of the user, and was periodically updated as necessary.
例えば、 ネッ 卜ワークを介して提供されるあるアプリケーショ ンをコ ンピュー夕にインス トールし、 使用するアプリケーショ ンの使用者は、 当該アプリケーショ ンのプロダク ト I Dの他に、 正規のライセンス保持 者であることを、 アプリケーショ ンの提供者との間で認証するためのュ 一ザ I Dを、 当該アプリケーショ ンの初回起動時にアプリケーション使 用者自身の入力による I D登録手順が不可欠のものとして存在するとこ ろである。  For example, an application provided via a network is installed on a computer, and the user of the application used is a valid license holder in addition to the product ID of the application. The fact that a user ID for authenticating with the application provider is required when the application is started for the first time and the ID registration procedure by the user of the application itself is indispensable. is there.
またアプリケーショ ンの使用者は、 上記アプリケーショ ン提供者から の I D登録等の業務に付け加えて、 アプリケーショ ンの使用者自身のた めのパスワー ドを、 アプリケーショ ンの使用者、 もしくは当該アプリケ ーシヨ ンの使用者が属する組織の管理者 (例えば当該アプリケーショ ン を購入した会社、 団体、 その他の所有者) の意思により、 随時 4桁〜 8 桁のパスワードを設定し、 実際の使用者がアプリケーショ ンを起動する 度にそのパスワードを入力する必要があった。 Also, in addition to the above-mentioned tasks such as ID registration from the application provider, the user of the application may provide a password for the application user himself / herself to the application user or the application user. Depending on the intention of the administrator of the organization to which the user of the application belongs (for example, the company, organization, or other owner who purchased the application), a 4- to 8-digit password may be set from time to time, and the actual user Each time you started the service, you had to enter that password.
こうしたパスワードは、 その運用上の原則が、 紙などに書き留められ ないこと、 人の意思により記憶され、 極力他人により推測されにくい数 字や記号等を組み合わせること、 更に一定期間を経過した後は必ず新し いものに更新するなどの過酷なルールが課せられており、 アプリケーシ ョ ンの使用者としての義務はもちろん、 上記管理者においても実質的に 実行不可能とされるこれらの義務が法的あるいは自発的に課せられると ころである。  Such passwords must not be written down on paper or the like, be composed of numbers and symbols that are memorized by human intention and are hard to guess by others, and after a certain period of time, Strict rules such as updating to new ones are imposed, and these obligations, which are not practically executable even by the above managers, are of course legal as well as the application user's obligations. Or it is imposed voluntarily.
またプロダク ト I D、 ユーザ I D、 さらにはパスワードの認証作業は 、 コンピュータにインス トールされる各アプリケーショ ンの各々におい て、 アプリケーショ ンの使用者自身の手によって行わなければならない のが実情である。  In fact, the authentication of the product ID, the user ID, and the password must be performed by the user of the application in each application installed on the computer.
然るに現状のコンピュータ環境においては、 平均 5〜 1 0程度のアブ リケーションがィンス トールされているのが一般的であり、 今後アプリ ケ一シヨンゃデ一夕は通信手段を介して比較的簡易に取引する現実が招 来するとなれば、 アプリケーショ ンの使用者は配信される全てのアプリ ケーシヨンやデータについて I D並びにパスワードを管理し、 なおかつ 更新しなければならないこととなり、 極めて煩雑とされるところである 加えて、 こうしたアプリケーショ ンゃデ一夕の配信等を行う場合に、 上記 C A局を経由するにしても、 第三者機関としての C A局の公平、 公 正性にネッ トワークのセキュリティの安全を期待する場合、 その信頼性 には常に疑問が残るところである。 また、 上記第三者機関としての C A 局が私企業である場合に、 常にその存続の永続性に疑問が残ることとな り、 C A局の存続が中断された場合、 ネッ トワークに対する信頼性その ものが崩れることにもなる。  However, in the current computer environment, it is common for about 5 to 10 applications to be installed on average, and in the future, application transactions will be relatively easily transacted via communication means. If this happens, the user of the application will have to manage and update the ID and password for all distributed applications and data, which is extremely complicated. However, when delivering such application data overnight, even through the above CA station, expect the security of the network security to be fair and fair as a third party CA station. In that case, its reliability is always questionable. In addition, if the CA as a third-party organization is a private company, there will always be questions about the permanence of its existence, and if the CA is interrupted, its reliability in the network will increase. Things can collapse.
本発明は上記現実に鑑みて、 ネッ トワーク環境におけるセキュリティ P 0/02449 The present invention has been made in view of the above-described circumstances, and has been developed in consideration of security in a network environment. P 0/02449
- 3 - 保護とプライバシ一保護を、 ある一定の許容範囲内において実現すべく 、 アプリケーションやデータの使用者責任と義務を大幅に軽減し、 加え て管理者の責任と義務を大幅に軽減可能とするものである。 -3-In order to achieve protection and privacy protection within a certain allowable range, application and data user responsibilities and responsibilities can be significantly reduced, and in addition, administrator responsibilities and responsibilities can be significantly reduced. Is what you do.
すなわち、 本発明は出願人が先に提案した W〇 9 7 / 2 2 0 4 7に係 る 「固有時間の生成装置及び該装置を利用した認証装置」 並びに W 0 9 8 / 4 3 2 1 0に係る 「固有時間に基づく認証データの発行システムお よび該発行システムにより発行される認証データの記憶媒体、 並びに認 証データの認証システム」 における 「固有時間の生成装置」 を一定のネ ッ トワーク環境に適用し、 発展させたものであり、 第三者機関による C A局をネッ トワーク上に設置することを必須とすることなく、 また記憶 動作によるパスワードを繰り返し使用することなく、 ノード間、 及びノ 一ドを経由する各種デ一夕の相互認証を実施し、 そのセキュリティ保護 並びにプライバシ一保護を実現することを目的とするものである。 発明の開示  That is, the present invention relates to a “property time generation device and an authentication device using the device” and W 098/4 4 3 2 1 related to W〇97 / 2074 proposed by the applicant earlier. The “authentication data issuing system based on the unique time and the storage medium for the authentication data issued by the issuing system, and the authentication data authentication system” in “0. It has been applied to the environment and has been developed.It does not require that a third-party CA station be installed on the network, and does not repeatedly use a password for storage operation. The purpose is to implement mutual authentication of various types of data via a node, and to realize security protection and privacy protection. Disclosure of the invention
本発明は、 コンピュータネッ トワーク通信において、 セキュリティ保 護とプライバシー保護の不可欠要素とされる上記 I Dの登録と管理、 並 びにパスヮ一 ドの設定と管理を人間が主体となって行うことを要さず、 機械としてのコンピュータが一意かつ無機質に行う処理手順によって実 現を図るものである。  The present invention requires that the registration and management of the above-mentioned ID, which is an indispensable element of security protection and privacy protection, and the setting and management of a pass password be performed mainly by humans in computer network communication. Instead, it is realized by a unique and inorganic processing procedure performed by a computer as a machine.
具体的には、 本発明は通信回線により結ばれる各コンピュー夕間で、 通信アクセスを行うアクセス側と該通信アクセスを受ける被アクセス側 において、 少なく とも被アクセス側のコンピュータに、 ある日時を始期 とし、 ある日時を終期とする刻時々間帯を始期から終期に至るまで、 同 —の刻時間隔をもって刻時手段によりコンスタントに刻時する固有時間 の生成装置を設定するとともに、 アクセス側のコンピュー夕に前記被ァ クセス側のコンピュータに設定された固有時間の生成装置と同一の刻時 間隔をもって刻時手段により経時々間をコンスタン トに刻時する計時装 置を設定し、 少なく とも前記被アクセス側のコンピュータにおいて、 固 有時間の生成装置により始期から終期に至る刻時々間帯を、 アクセス側 のコンピュータに設定される計時装置と同じ刻時間隔をもって進行する 時空間を画成し、 アクセス側と被アクセス側のコンピュータ間で相互通 信を複数回繰り返し、 被アクセス側コンピュータにおけるアクセス側の コンピュータの信号の受信時、 並びに被アクセス側のコンピュータにお けるアクセス側のコンピュータへの信号の送信時を固有時間の生成装置 で刻時し、 一方アクセス側のコンピュータにおける被アクセス側のコン ピュー夕へ送信した信号の送信時、 並びにアクセス側のコンピュータに おける被アクセス側のコンピュータから受信した信号の受信を計時装置 で刻時し、 これら各刻時された刻時々点並びにその経過に関する時間デ 一夕をアクセス側のコンピュータと被アクセス側のコンピュータとの間 で授受し、 被アクセス側のコンピュータの固有時間の生成装置が刻時す る時空間における時間推移として、 前記アクセス側のコンピュータとの 間で授受した各時間データの変化を順次記憶し、 あるいは記録し、 通信 相手に係るアクセス側のコンピュー夕に関する認証データとして保存し 、 あるいは更新することとし、 該認証データを被アクセス側コンビユー 夕に対するアクセス側コンピュータのァクセスにおいて使用させること により、 該アクセス側コンピュータの認証を行うこととしてなる認証 · 管理装置としたものである。 図面の簡単な説明 Specifically, according to the present invention, between each computer connected by a communication line, at the access side performing the communication access and the accessed side receiving the communication access, at least the computer of the accessed side starts at a certain date and time. From the beginning to the end of the hourly interval from a certain date and time to the end, a device for generating a unique time that is constantly clocked by the clock means at the same clock interval is set, and the computer on the access side is set. In addition, a time-measuring device for clocking the elapsed time constantly at the same time interval as the eigen-time generating device set in the computer on the access side by the clock means is set, and at least the In the computer on the side, the time period from the beginning to the end is changed by the eigen- A time-space that progresses at the same time interval as the clocking device set on the other computer, repeats mutual communication between the accessing computer and the accessing computer multiple times, and the accessing computer in the accessing computer When the signal of the receiving computer and the signal of transmitting the signal to the accessing computer at the accessed computer are clocked by the unique time generation device, the access computer receives the signal from the accessing computer. The timing of the transmission of the transmitted signal and the reception of the signal received from the accessed computer by the accessing computer are clocked by a timing device. Is exchanged between the accessing computer and the accessed computer, and the The change of each time data exchanged with the access-side computer is sequentially stored or recorded as the time transition in the spatio-temporal time clocked by the unique-time generation device of the access-side computer, and the communication partner By storing or updating the authentication data relating to the computer on the access side, and by using the authentication data in accessing the computer on the access side by the access side, authentication of the computer on the access side is performed. Authentication and management device. BRIEF DESCRIPTION OF THE FIGURES
第 1図は、 本発明の一実施形態に係る認証 · 管理装置に基づき、 サー バとクライエント間で相互認証を実施するプロセスのうち、 初期認証の 経過を示す通信プロセスを示す図である。  FIG. 1 is a diagram showing a communication process indicating the progress of initial authentication among processes for performing mutual authentication between a server and a client based on an authentication / management device according to an embodiment of the present invention.
第 2図は、 本発明の一実施形態に係る認証 · 管理装置に基づき、 サー バとクライエン卜間で相互認証を実施するプロセスのうち、 通常認証の 経過を示す通信プロセスを示す図である。  FIG. 2 is a diagram showing a communication process indicating the progress of normal authentication among processes for performing mutual authentication between a server and a client based on the authentication / management device according to one embodiment of the present invention.
第 3図は、 本発明の一実施形態に係る認証 ' 管理装置に基づき、 サ一 バとクライエント間で相互認証を実施するプロセスのうち、 通常認証の 経過を示す通信プロセスを示す図である。  FIG. 3 is a diagram showing a communication process indicating the progress of normal authentication among processes for performing mutual authentication between a server and a client based on an authentication management device according to an embodiment of the present invention. .
第 4図は、 本発明の一実施形態に係る認証 ' 管理装置に基づき、 サー バとクライエン卜間で相互認証を実施するプロセスのうち、 初期認証に おけるサーバの固有時間の生成装置が画成した時空間をクライエン卜が 取得する経過を表す図である。 FIG. 4 is a diagram showing a service based on an authentication management apparatus according to an embodiment of the present invention. FIG. 7 is a diagram showing a process in which a client acquires a time and space defined by a device for generating a specific time of a server in initial authentication in a process of performing mutual authentication between a server and a client.
第 5図は、 第 4図に示す経過をネッ トワーク上のサーバとクライエン 卜が共有する時空間で表した説明図である。  FIG. 5 is an explanatory diagram showing the progress shown in FIG. 4 in a time and space shared by a server and a client on a network.
第 6図は、 初期認証のプロセスにおいて、 サーバとクライエント間で 送受信するデータの内容の変遷を示す図である。  FIG. 6 is a diagram showing changes in the content of data transmitted and received between the server and the client in the process of initial authentication.
第 7図は、 初期認証中の第 6図に示す各データのサーバとクライエン ト間の送受信のプロセスを示す第 4図と同様の図である。  FIG. 7 is a view similar to FIG. 4 showing a process of transmitting and receiving each data shown in FIG. 6 between the server and the client during the initial authentication.
第 8図は、 第 7図に示す各データの送受信のプロセスをネッ トワーク 上のサーバとクライエントが共有する時空間上で表した説明図である。 第 9図は、 初期認証過程において送受信するデータの生成および内容 を表す第 7図と同様の図である。  FIG. 8 is an explanatory diagram showing a process of transmitting and receiving each data shown in FIG. 7 in a time space shared by a server and a client on a network. FIG. 9 is a diagram similar to FIG. 7, showing the generation and contents of data to be transmitted and received in the initial authentication process.
第 1 0図は、 各初期認証デ一夕 C 1並びに S 1 をネッ トワーク上のサ 一バとクライエントが共有する時空間上で表した説明図である。 過程に おいて送受信するデ一夕の生成および内容を表す第 7図と同様の図であ る。  FIG. 10 is an explanatory diagram showing each initial authentication data C 1 and S 1 in a time space shared by a server and a client on the network. FIG. 8 is a diagram similar to FIG. 7, showing the generation and contents of data transmitted and received in the process.
第 1 1図は、 各認証項目を固有数値化並びに秒置換する状態を示す図 である。  FIG. 11 is a diagram showing a state where each authentication item is converted into a unique numerical value and replaced with seconds.
第 1 2図は、 サーバ並びにクライエント認証 · 管理装置における初期 認証の各ステップを示すフローチヤ一トである。  FIG. 12 is a flowchart showing each step of the initial authentication in the server and the client authentication / management device.
第 1 3図は、 相互認証を実施するサーバとクライエン卜に係るコンビ ュ一夕の構成を示すブロック図である。  FIG. 13 is a block diagram showing a configuration of a combination of a server and a client that perform mutual authentication.
第 1 4図は、 実施形態に係る認証 · 管理装置が適用される環境を示 すネッ トヮ一ク図である。  FIG. 14 is a network diagram showing an environment to which the authentication / management device according to the embodiment is applied.
第 1 5図は、 出願人が先に提案した固有時間の概念を示す図である。 第 1 6図は、 出願人が先に提案した固有時間の概念を時空間において 表して説明する説明図である。  FIG. 15 is a diagram showing the concept of the unique time proposed earlier by the applicant. FIG. 16 is an explanatory diagram illustrating the concept of the eigentime proposed earlier by the applicant in time and space.
第 1 7図は、 第 1 6図における時空間に存在するネッ トワーク上のコ ンピュー夕間において、 相互通信を行った場合の該通信の時空間上の分 02 Fig. 17 shows the spatio-temporal distribution of mutual communication between computers on the network existing in the spatio-temporal network in Fig. 16. 02
- 6 - 布状態を示す図である。  FIG. 6 is a diagram showing a cloth state.
第 1 8図は、 本発明の認証原理をサーバとクライエン ト間の通信にお いて説明する説明図である。 発明を実施するための最良の形態  FIG. 18 is an explanatory diagram explaining the authentication principle of the present invention in communication between a server and a client. BEST MODE FOR CARRYING OUT THE INVENTION
「前提」  "Premise"
先ず、 出願人の提案に係る認証 · 管理装置を説明する前に、 現在通常 のパーソナルコンピュータ (以下単にパソコンという) 、 ファクシミ リ 、 電話機、 通信カラオケ機器、 その他のマルチメディ ア機器に内蔵され る時計装置の時間概念について前提として説明する。  First, before explaining the authentication / management device proposed by the applicant, a clock built into a normal personal computer (hereinafter simply referred to as a personal computer), a facsimile, a telephone, a communication karaoke device, and other multimedia devices. The concept of time of the device will be described as a premise.
現在、 最も正確に秒を計測できる時計としては、 原子時計 (セシウム 時計) が知られている。 原子時計はセシウム一 1 3 3原子の基底状態の 二つの超微細構造準位間の遷移に相当する放射の 9 1 9 2 6 3 1 7 7 0 周期を 1秒として順次力ゥン卜する時計であり、 1億分の 1秒の誤差の 精度とされている。 原子時計で秒を積算し、 得られる時刻は実際にはく るいが出てくるため、 世界中に存在する原子時計の値を平均してなるベ く理想に近い原子時を得る国際協力がなされている。 こうして得られる 原子時を国際原子時 (temps atomic international, TAI ) と呼んで 1 9 5 8年 1 月 1 日 0時 0分 0秒を原点として国際原子時を計測している。  Atomic clocks (cesium clocks) are currently known as the clocks that can measure the seconds most accurately. Atomic clocks are clocks that sequentially control the emission of radiation corresponding to the transition between the two hyperfine levels of the ground state of the cesium-133 atom, with a period of 9 19 2 6 3 17 7 0 1 second. It is said to have an accuracy of one hundred millionth of a second. Since the time obtained by integrating seconds with an atomic clock and the obtained time actually fluctuates, international cooperation has been made to average the values of atomic clocks around the world to obtain atomic time that is almost ideal. ing. The atomic time obtained in this way is called international atomic time (temps atomic international, TAI), and the international atomic time is measured starting at 0:00:00 on January 1, 1958.
このように現在 1秒の値は、 国際的に定めた原子時により管理されて いるが、 一方 1 日の長さを表現する値として世界時(Universal time)が知 られている。 世界時は英国の旧グリニッジ天文台を通る経度 0度の本初 子午線上において平均太陽の通過時 (南中時) を午後 0時とし、 その前 後 1 2時間を午前 0時として 1 日を 2 4時間として決定するものであり 、 慣習上グリニッジ平均時と呼ばれることもある。 地球の自転速度の変 動が発見される以前、 この世界時が標準時の基礎とされていたが、 今日 においては世界時は地球の自転の角度を表現する値と考え、 現在 1 日の 長さ並びに時刻は協定世界時 ( goordinated universal time, UTC) により計測 し、 設定することとしている。 協定世界時は上記天文学上の世界時と土 0 . 9秒以内になるよう、 うるう秒の調整が行われた原子時であり、 こ の協定世界時では、 秒を基本単位とする時間間隔は上記国際原子時に等 しく、 また時刻については上記世界時と略一致させるようにしている。 さらに世界の大多数の国では、 こうして刻時される 1 曰の長さをもと に、 平年の 1年を 3 6 5 日、 4年に一度の閏年を 3 6 6 曰とするグレゴ リオ暦が採用されている。 これは太陽に対する地球の一公転周期 (一太 陽年) が 3 6 5 . 2 4 2 2 日であることに基づく もので、 近似値 3 6 5 . 2 4 2 5 日を一太陽年として 1年を決定したのである。 Thus, the value of one second is currently controlled by the internationally defined atomic time, while universal time is known as a value representing the length of a day. In Universal Time, the mean sun transits (midnight) on the prime meridian at 0 ° longitude passing through the former Greenwich Observatory in the United Kingdom at 2:00 pm, and 12 hours before and after midnight, and two days a day. It is determined as 4 hours and is sometimes called Greenwich Mean Time by convention. Prior to the discovery of fluctuations in the Earth's rotation speed, this universal time was the basis of standard time, but today, universal time is considered to be a value representing the angle of the Earth's rotation, and the length of the current day In addition, the time is measured and set according to coordinated universal time (UTC). Coordinated Universal Time is the atomic time in which leap seconds have been adjusted to be within 0.9 seconds of Earth's astronomical universal time. In Coordinated Universal Time, the time interval with seconds as the basic unit is the same as the international atomic time, and the time is approximately the same as the universal time. In addition, in the majority of the world, the Gregorian calendar uses the length of the clock to indicate that the average year is 365 days and that every leap year is 365 days. Has been adopted. This is based on the fact that the Earth's orbital period (Sunday) with respect to the sun is 365.242.22 days, and the approximate value of 365.24.25 days is 1 sun year. The year was decided.
こうした天文学上の自然周期 (地球の公転および自転) により年、 日 を決定するにあたっても、 例えば地球の自転速度は常に一定という訳で はなく、 地軸のゆらぎの影響を受けたり、 季節的な変動で一日の長さは 多少変化している。 また地球の自転速度は僅かずつ遅くなる傾向にある ため、 原子時計によりコンスタントに進む原子時と天体運行をもとに決 定される世界時との間に僅かに差が生じることとなる。 このため両者の 差が 0 . 9秒以上になったときの 6月 3 0 日または 1 2月 3 1 日の最終 秒に 1秒を挿入または引き抜く閏秒の作業が行われ、 調整されている。 加えて、 向こう数百年の間に閏年を設けぬことも計画し、 調整を行うこ とも予定されている。  In determining the year and day due to such natural astronomical cycles (the Earth's revolution and rotation), for example, the Earth's rotation speed is not always constant, but is affected by fluctuations in the earth's axis and seasonal fluctuations. The length of the day has changed slightly. In addition, since the Earth's rotation speed tends to decrease slightly, there will be a slight difference between the atomic time, which is constantly calculated by the atomic clock, and the universal time, which is determined based on astronomical operations. For this reason, when the difference between the two becomes 0.9 seconds or more, the work of leap seconds to insert or remove 1 second on the last second of June 30 or 1 February 31 is performed and adjusted . In addition, it plans to have no leap years in the coming hundreds of years and plans to make adjustments.
ところで、 地球上における時刻管理はこうした協定世界時、 国際原子 時並びにグレゴリオ暦をもとにした日時と時間概念により行っているが 、 現在市販されているパソコンやマルチメディア機器においては、 その ほとんど全てに上記協定世界時並びにグレゴリオ暦に基づく刻時装置 ( 時計装置) やカレンダ機能が内蔵されるところである。 つまり、 こうし た機器類はコンピュー夕に基づき起動される以上、 C P Uが必ず内蔵さ れ、 該 C P Uは演算処理動作の周期をとる上で何らかの刻時手段が不可 欠とされる。 そのため、 こうした機器にはクォーツその他何らかの振動 子が内蔵され (通常 C P Uに内蔵) 、 さ らに各振動子の 1秒当りの固有 振動数で、 当該振動子の経時的振動状態を分周し、 さらにこの値を積算 して 1秒→ 1分 ( 6 0秒) — 1時間 ( 3 , 6 0 0秒) — 1 日 ( 8 6 , 4 0 0秒) をそれぞれ設定し、 現在時刻に係る時分秒を時計表示可能とす る刻時装置を内蔵している。 加えて機器については、 その機器の耐用年 数を超える向こう数 1 0年の年月 日に係るグレゴリオ暦に基づくカレン ダがソフ トウェアとして内蔵され (C P U自体にハードウェアとして内 蔵されることもある) 、 上記のようにして刻時される 2 4時間を順次積 算して、 対応する年月 日を表示可能としている。 本発明はこうした協定 世界時に対応する現在時刻並びに力レンダをマイクロコンピュータを内 蔵する各機器が保有していることに着目し、 ネッ トワーク上に存在し、 これら世界時 (各国標準時) 並びにカレンダを保持する各機器同士の認 証 · 管理を行うことを可能としている。 By the way, time management on the earth is performed based on the concept of date and time based on the Coordinated Universal Time, the International Atomic Time, and the Gregorian calendar, but almost all PCs and multimedia devices currently on the market are used. In addition, a clock device (clock device) based on the Coordinated Universal Time and the Gregorian calendar and a calendar function are built in. In other words, as long as these devices are started on the basis of a computer, a CPU is always built in, and the CPU is required to have some kind of clocking means in setting the cycle of the arithmetic processing operation. For this reason, such devices incorporate quartz or some other oscillator (usually built into the CPU), and further divide the time-dependent oscillation state of the oscillator by the natural frequency per second of each oscillator. This value is further integrated, and 1 second → 1 minute (60 seconds) — 1 hour (3,600 seconds) — 1 day (86, 400 seconds) is set. It has a built-in clock device that can display minutes and seconds on a clock. In addition, for equipment, the service life of the equipment A calendar based on the Gregorian calendar for the year 10 and beyond is built in as software (it may be built into the CPU itself as hardware) and clocked as described above. 24 hours are sequentially accumulated, and the corresponding date can be displayed. The present invention pays attention to the fact that each device incorporating a microcomputer has the current time and power render corresponding to such a universal time, and exists on a network, and stores these universal time (standard time of each country) and calendar. It is possible to authenticate and manage the held devices.
このため、 本発明に係る認証 · 管理装置は、 単に通信機能を備えるネ ッ トワークコンピュータに適用されることに止まらず、 ファクシミリ、 電話機、 キャッシュデイスペンザ、 通信カラオケ機器、 電子決済端末、 For this reason, the authentication / management device according to the present invention is not limited to being applied to a network computer having a communication function, but includes a facsimile, a telephone, a cash dispenser, a communication karaoke device, an electronic payment terminal,
C A T V端末、 情報家電装置、 その他マルチメディア機器等に設定する ことが可能とされる。 It can be set for CATV terminals, home information appliances, and other multimedia devices.
また本発明に係る認証 · 管理装置は、 第 1 4図に示すようにネッ トヮ ーク上において各ドメイン、 各サーバ、 各クライエントと役割分担され ているコンピュー夕のそれぞれに設定することを可能とされ、 各ノード 同士、 及びノードを経由する各種デ一夕を認証 · 管理することを可能と するものである。 すなわち、 本発明に係る認証 · 管理装置は、 第 1 4図 に示すように社内のイントラネッ トに接続されるパソコン、 インターネ ッ トに接続されるパソコン、 さらに無線通信により接続される各バソコ ンにそれぞれ設定し、 各パソコン同士の認証 · 管理を行うことも可能と している。  Further, the authentication / management apparatus according to the present invention is configured such that each domain, each server, and each client assigned to a role are assigned to each computer on the network as shown in FIG. It is possible to authenticate and manage each node and various types of data passing through the nodes. That is, as shown in FIG. 14, the authentication / management apparatus according to the present invention includes a personal computer connected to the intranet in the company, a personal computer connected to the Internet, and a personal computer connected to the intranet. It is also possible to perform authentication and management of each personal computer.
「本発明の原理」  "Principle of the present invention"
次に、 本発明の原理を第 1 5図ないし第 1 8図に基づいて説明する。 出願人が先に提案した W O 9 7 / 2 2 0 4 7に係る 「固有時間の生成装 置」 は、 第 1 5図に示すように始点日時 Q B 0を始期とし、 終点日時 Q E 0を終期として有限時間 Qを始期から終期に至るまで、 刻時手段によ りコンスタン トに刻時する装置に係る。 この刻時概念をあるコンビユー 夕が設定した 「固有時間の生成装置」 の時空間で表すと第 1 6図のよう になる。 すなわち、 この固有時間の生成装置は始点日時 Q B 0を中心に 自由空間を 3 6 0度、 放射方向に拡散し、 定域的な領域をなすものであ り、 始点日時 Q B 0より終点日時 Q E 0に至るまで、 有限時間 (固有時 間) をコンスタントにカウントするものである。 こう して画成される始 点日時 Q B 0から終点日時 Q E 0に至る閉空間としての時空間において 、 現在日時 N o wを含み、 各日時において他のコンピュータとの間で実 施する通信は次のような各特徴を有することとなる。 Next, the principle of the present invention will be described with reference to FIGS. 15 to 18. As shown in Fig. 15, the “property generation device” according to WO97 / 22047, proposed earlier by the applicant, starts at the start time QB0 and ends at the end time QE0. The present invention relates to a device for clocking a finite time Q constantly from the beginning to the end by means of a clock. Fig. 16 shows the concept of clocking in terms of the time and space of the “eigen-time generator” set by a certain combination. In other words, the generation device of this specific time Diffuses free space by 360 degrees in the radial direction, forming a constant area, and counts a finite time (eigentime) constantly from the start date and time QB0 to the end date and time QE0 Is what you do. In the space-time as a closed space from the start date and time QB0 to the end date and time QE0 defined in this way, the current date and time Now is included, and the communication performed between other computers at each date and time is as follows. Each feature will be described.
(1)こう して画成された時空間に、 複数のコンピュータとの間で通信 を実施するネッ トワーク空間を包含させた場合、 該ネッ トワーク空間は 固有時間により画成された閉領域の時空間となる。  (1) When a network space for communicating with a plurality of computers is included in the time space thus defined, the network space is a closed space defined by a specific time. It becomes space.
(2)このネッ トワーク空間で、 電気信号速度 (通信速度) が不変であ るならば、 距離と時間は等価である (距離 =通信速度 X時間) 。  (2) In this network space, if the electric signal speed (communication speed) does not change, distance and time are equivalent (distance = communication speed X time).
(3)このネッ トワーク空間内において、 それぞれ通信を実施する各ネ ッ トワークコンピュータ (通信相手コンピュータ) は、 各通信時点にお いて第 1 6図に示すように、 通信相手として該空間内に点在化させるこ とが可能となる。  (3) In this network space, each network computer (communication partner computer) that performs communication at each point in time as a communication partner in the space at each communication point as shown in FIG. 16. Localization is possible.
(4)点在化された各時点の通信は、 必ず同一時点において 1対 1であ り、 これを固有時間量 Q内の一時点として捉えることができる。  (4) The communication at each point in time that is scattered is always one-to-one at the same point in time, and this can be regarded as one point in the specific amount of time Q.
(5)通信相手のコンピュータとの間で送受信するデータ、 アプリケー ショ ンなどのデジタル情報は、 該ネッ トワーク空間内において電気信号 速度 (通信速度) で移動する。  (5) Digital information, such as data and applications, transmitted and received with the computer of the communication partner moves at the electric signal speed (communication speed) in the network space.
(6)この時空間内において行われるデジタル情報の送受信は、 ネッ ト ワークが例えば W e bのような場合、 特定の通信相手に対して、 あらゆ る経路 (ルータ等) を経て行われることとなる。  (6) The transmission and reception of digital information performed in this space-time must be performed via any route (router, etc.) to a specific communication partner when the network is, for example, a web. Become.
さらに、 この時空間に通信相手に係るネットワークコンピュータを存 在化させることとし、 その中で互いに当該通信相手との間で通信を複数 回繰り返し、 時空間を共有することとし、 固有時間系における相手方か らの特定の通信データの受信時間や相手方への特定の通信データの送信 時間などを、 相互に相手方の固有の認証データとして用いることが可能 となる。 すなわち、 この認証データは、 該固有時間系における今回、 前 回並びに前々回と過去に複数回、 相手方から送信された通信データを、 順次特定のプロ トコルに基づき改変して生成することとし、 固有時間系 における特定の通信相手を、 より正確かつ高精度で特定することが可能 となる。 これらのことを図で表わすと、 第 1 7図に示すように特定の通 信相手との間で通信データの送受信を繰り返すことにより、 UP 1、 U P 2そして U P nのように、 時空間における相手方コンピュータの位置 を特定させることができ、 確実な認証が行えることとなる。 In addition, the network computer related to the communication partner should exist in this space-time, in which communication is repeated multiple times with the communication partner, and the space-time is shared. The reception time of the specific communication data from the user and the transmission time of the specific communication data to the other party can be used as mutual authentication data unique to the other party. That is, this authentication data is obtained by transmitting the communication data transmitted from the other party a plurality of times in the past at the current time, the previous time, the last time and the previous time, and It is generated by modifying it sequentially based on a specific protocol, and it is possible to specify a specific communication partner in the eigen-time system with higher accuracy and higher accuracy. If these are represented in a diagram, by repeating transmission and reception of communication data with a specific communication partner as shown in FIG. 17, it is possible to obtain a time-space like UP1, UP2 and UPn. The location of the other computer can be specified, and reliable authentication can be performed.
すなわち、 こうした始点日時 QB 0から終点日時 Q E 0に至る時空間 (固有時間系) における 2者のコンピュータ間の通信においては、 上記 (1)ないし(6)の特徴に加えて次の特徴が存在する。  In other words, in the communication between two computers in the space-time (eigentime system) from the start date / time QB0 to the end date / time QE0, the following features exist in addition to the features (1) to (6) above. I do.
(7)通信アクセスを実施するアクセス側の送信タイミングは、 これを 受信する被アクセス側においての受信タイミングょり、 固有時間系にお いて必ずその前 (過去) に存在する。  (7) The transmission timing of the access side that performs communication access always exists before (in the past) in the specific time system, the reception timing of the accessee side that receives the communication access.
この特徴(7)を第 1 8図に示すサーバ (S RV : A) クライエント ( C L T : B) 間の通信で見ると、 サーバにおける信号 U 1の受信時の夕 イミング R s lから、 この信号 U 1に対するクライエン卜に向けての信 号 V Iの送信時のタイミング S s 1は、 クライエント側における信号 U 1の送信時のタイミング S c 1 と信号 V Iの受信時のタイミング R c 1 の間における固有時間系 Pの中に存在することとなる。 すなわち、 固有 時間系 Pにおいて、 サーバ側におけるタイミング R s 1 と S s 1、 並び にその間の経過時間 P s 1は、 クライエント側におけるタイミング S c 1 と R c lの経過時間帯 P e lの中に必ず存在することとなる。 以後、 第 2回、 第 3回と実施される通信においても、 例えば経過時間 P s 2並 びにタイミング R s 2と S s 2は、 経過時間帯 P c 2の中に必ず存在し 、 また経過時間 P s 3並びにタイミング R s 3と S s 3は、 経過時間帯 P c 3の中に必ず存在することとなる。  Looking at this feature (7) in the communication between the server (S RV: A) and the client (CLT: B) shown in Fig. 18, the signal from the server at the time of reception of the signal U 1 at the timing R sl The timing S s 1 when transmitting the signal VI toward the client to U 1 is between the timing S c 1 when transmitting the signal U 1 and the timing R c 1 when receiving the signal VI on the client side. Will exist in the eigentime system P at. That is, in the eigen-time system P, the timings R s1 and S s 1 on the server side and the elapsed time P s1 between them are the same as the elapsed time P el of the timings Sc 1 and R cl on the client side. Will always exist. Thereafter, in the communication performed in the second and third times, for example, the elapsed time Ps2 and the timings Rs2 and Ss2 always exist in the elapsed time zone Pc2. The time Ps3 and the timings Rs3 and Ss3 always exist in the elapsed time zone Pc3.
一方、 クライエント側における信号 V Iの受信時のタイミング R c 1 から、 この信号 V Iに対するサーバに向けての信号 U 2の送信時のタイ ミング S c 2は、 サーバ側における信号 V 1の送信時のタイミング S s 1 と信号 V 2の受信時の夕ィミング R s 2の間における固有時間系 Pの 中に存在することとなる。 すなわち、 固有時間系 Pにおいて、 クライエ ン ト側におけるタイミング R c 1 と S c 2、 並びにその間の経過時間 W c 1 は、 サーバ側における夕イミング S s l と R s 2の経過時間帯 W s 1 の中に必ず存在することとなる。 以後繰り返される通信においても、 例えば経過時間 W c 2並びにタイミング R c 1 と S s 2は、 経過時間帯 W s 2の中に必ず存在することとなる。 On the other hand, from the timing R c 1 when the signal VI is received on the client side, the timing Sc 2 when the signal U 2 is transmitted to the server for this signal VI is determined when the signal V 1 is transmitted on the server side. At the timing S s1 and the timing R s2 at the time of reception of the signal V 2. That is, in the eigentime system P, The timings Rc1 and Sc2 on the client side and the elapsed time Wc1 between them always exist in the elapsed time zone Ws1 of the evening Ssl and Rs2 on the server side. . In the communication repeated thereafter, for example, the elapsed time Wc2 and the timings Rc1 and Ss2 always exist in the elapsed time zone Ws2.
このように、 クライエン トとサーバ間で実施される通信においては、 サーバ側における前回のクライエント側からの信号 Uの受信時の夕イミ ングから、 これに対する今回のクライエントに向けての信号 Vの送信時 のタイミングに至る固有時間の経過時間量が、 クライエント側における 前回のサーバに向けての信号 Uの送信時のタイミングから、 今回のサー バ側からの信号 Vの受信時のタイミングに至る固有時間の経過時間量よ り必ず小さくなるものとされる。  As described above, in the communication performed between the client and the server, the server receives the signal U from the previous time when the signal U was received from the client side, and changes the signal V toward the current client. The amount of elapsed time of the specific time from the time when the signal U was transmitted to the server on the client side to the time when the signal V was received from the server side this time It must be smaller than the elapsed time of the eigentime.
一方、 クライエント側における前回のサーバ側からの信号 Vの受信時 のタイミングから、 これに対する今回のサーバに向けての信号 Uの送信 時のタイミングに至る固有時間の経過時間量が、 サーバ側における前回 のクライエントに向けての信号 Vの送信時のタイミングから、 今回のク ライエン卜側からの信号 uの受信時のタイミングに至る固有時間の経過 時間量が必ず小さくなるものとされる。  On the other hand, the elapsed time of the specific time from the timing when the client received the signal V from the previous server to the timing when the signal U was transmitted to the server this time is determined by the server. It is assumed that the amount of elapse of the eigentime from the timing of the previous transmission of the signal V to the client to the timing of the reception of the signal u from the client this time is always small.
これらサーバとクライエント間で行う複数回の通信で、 データやアブ リケーシヨ ン等の信号を相互に送受信する場合において、 アクセス側と 被アクセス側との間で送受信する信号の中に、 固有時間系における当事 者間で行った過去の相手方の信号の各送信タイミングや当方から送信し た信号の受信タイミング、 並びにこれらのタイミング間の相手方の経時 々間量を盛り込むこととすれば、 通信相手に係るコンピュ一夕において も、 少なく とも被アクセス側と同一の刻時間隔をもってコンスタントに 刻時する刻時手段並びに共通の計時装置を備える限り、 通信元のコンビ ユ ー夕が設定した始点日時 Q B 0から終点日時 Q E 0に至るまでの同一 刻時間隔をもって刻時手段 (例えば秒単位の計測手段) によりコンス夕 ントに刻時する固有時間の生成装置が設定されるのと同じ状態になる。 こうしてアクセス側と被アクセス側との間で、 例えば被アクセス側にお いて設定した固有時間の生成装置の時空間が画成され (もちろんァクセ ス側においても同じ生成装置を設定し、 同じ時空間を画成してもよい) 、 さらに送受信する信号の中に、 互いに相手方との間で行う前記共通の 時空間における時間推移として、 過去に行った各信号の送信時間 (送信 タイミング) や受信時間 (受信タイミング) 並びに送信時間と受信時間 の間の時間経過を盛り込むことにより、 相手方のコンピュータの第 1 7 図に示す時空間上の存在が明らかとなる。 すなわち、 相手方から送信さ れるこれら各時点 (例えば第 1 8図において、 サーバが過去に送受信し た各信号のクライエント側における各送信タイミング S c l 、 S c 2 、 S c 3並びに各受信タイミング R c l 、 R c 2 、 R c 3を認識) 、 また は各経時々間 (例えばサーバが P c 1 、 P c 2 、 P c 3並びにW c l 、 W c 2を認識) により、 これら、 あるいはこれらに基づく生成された時 間デ一夕の変化は、 第 1 7図の時空間において当該コンピュータに関す る固有の存在となり、 これら特定のコンピュータとの通信における時間 データの変化を順次記憶し、 あるいは記録することで通信相手のコンビ ユー夕に係る認証データとして保存することができる。 さらにこれらデ 一夕を順次繰り返される通信の度に重ねて保存し、 更新することで、 通 信相手のコンピュータを第 1 7図に示す時空間において、 より正確に認 証することができる。 In the case of transmitting and receiving signals such as data and abbreviated data in a plurality of times of communication between the server and the client, the signals transmitted and received between the access side and the accessed side include a unique time system. If the transmission timing of each signal of the other party in the past, the reception timing of the signal transmitted from the other party, and the amount of time of the other party between these timings are included in the communication partner in Even at such a computer, the start date and time QB 0 set by the communication source, as long as a clock means and a common clock device that clock the clock at least at the same clock interval as the accessed side are provided. From the end point to the end date and time QE 0 with the same clocking interval (e.g., a measuring unit in seconds). Generator between is the same state as that set. Thus, between the access side and the accessed side, for example, Then, the spatio-temporal of the generating device of the set specific time is defined (of course, the same generating device may be set on the access side, and the same spatio-temporal may be defined). As the time transition in the common space-time performed with the other party, include the transmission time (transmission timing) and reception time (reception timing) of each signal performed in the past, and the time lapse between the transmission time and the reception time. Thus, the existence of the other computer in space and time as shown in Fig. 17 becomes clear. That is, at each of these time points transmitted from the other party (for example, in FIG. 18, each transmission timing S cl, S c 2, S c 3 and each reception timing R on the client side of each signal transmitted and received by the server in the past) cl, Rc2, Rc3), or over time (eg, the server recognizes Pc1, Pc2, Pc3 and Wcl, Wc2), or The change in time and data generated based on the time becomes a unique existence of the computer in the time and space shown in FIG. 17, and the time data change in communication with these specific computers is sequentially stored, or By recording it, it can be saved as authentication data for the communication partner of the communication partner. Further, by storing and updating these data successively in each successive communication, the computer of the communication partner can be more accurately authenticated in the time and space shown in Fig. 17.
こうした本発明の原理を応用することにより、 第 1 4図に示す様々な コンピュータネッ トワークにおける通信相手のコンピュータが、 認証局 を必要とすることなく認証 · 管理することが可能であり、 この原理の具 体的な応用例に係る認証 · 管理装置を以下第 1図ないし第 1 3図の実施 形態により説明する。 なお、 本発明は、 こうした実施形態に限定される ものではなく、 上記原理に基づき、 様々な実施形態並びに実施例が応用 、 設定できることは言うまでもない。  By applying the principle of the present invention, it is possible for computers of communication partners in various computer networks shown in FIG. 14 to be authenticated and managed without requiring a certificate authority. An authentication / management device according to a specific application example will be described below with reference to the embodiments shown in FIGS. 1 to 13. Note that the present invention is not limited to such an embodiment, and it goes without saying that various embodiments and examples can be applied and set based on the above principle.
「具体的な実施形態」  "Specific embodiments"
本実施形態に係る認証 · 管理装置は、 第 1 4図に示すようなネッ トヮ 一夕に接続される各コンピュー夕に設定され、 使用されるところである が、 こうして接続されるノード間で実施される通信は、 第 1 3図に示す ように全てコンピュータに設定される本装置に基づいて行われる。 すな わち、 第 1 3図に示す例えばサーバ 1 あるいはクライエント 2間の通信 は、 これら各ノードに設定される認証 · 管理装置 3に基づき実施され、 サーバ 1並びにクライエント 2にはそれぞれ送受信装置 4 、 C P U 5 、 カレンダ 6 (グレゴリオ暦に基づくカレンダ) 並びに世界時 (協定世界 時並びにこれを基準にして当該国に設定される標準時) を刻時する刻時 装置 7、 並びに R O M、 ハードディスク、 C D _ R、 M D等から構成さ れるメモリ 8が内蔵されるところである。 また、 サーバ 1並びにクライ ェント 2にはキ一ポード 9が備えられる。 The authentication / management apparatus according to the present embodiment is set and used in each computer connected to the network as shown in FIG. 14, but is used between the nodes connected in this way. Communication is shown in Fig. 13. Is performed based on the present apparatus set in the computer. That is, for example, the communication between the server 1 and the client 2 shown in FIG. 13 is performed based on the authentication / management device 3 set for each of these nodes, and the communication between the server 1 and the client 2 is respectively performed. Device 4, CPU 5, clock 6 (calendar based on the Gregorian calendar) and clock device 7 for clocking universal time (coordinated universal time and the standard time set for the country based on this), ROM 7, hard disk, This is where the memory 8 composed of CD_R, MD, etc. is built. Server 1 and client 2 are provided with keyport 9.
「初期認証」  "Initial authentication"
各コンピュータに設定される認証 · 管理装置 3は、 ネッ トワーク上に 存在する各コンピュータ間の相互通信状態にあって、 特定ノードに係る 通信相手との通信開始状態において、 当該通信相手に対応して設定され る各ステップと、 その後同一の通信相手との通信状態にあって当該通信 ' 相手に係るノード、 及びノードを経由する各種デ一夕を認証 · 管理する ための各ステップから構成される (請求項 8 、 1 0に対応) 。  The authentication / management device 3 set in each computer is in an intercommunication state between the computers existing on the network, and in a communication start state with a communication partner related to a specific node, the authentication management device 3 corresponds to the communication partner. It consists of the steps to be set, and the steps to authenticate and manage the node associated with the communication partner and various data passing through the node in the communication state with the same communication partner thereafter ( Claims 8 and 10).
先ず、 サーバ 1側の認証 · 管理装置 3に設定される各ステツプ A〜 F を、 並びにクライエント 2側の認証 · 管理装置 3に設定される各ステツ プ a〜: f を、 第 1 3図に示すサーバ 1 とクライエント 2の各ノード相互 間の通信を例にとって説明し、 サーバ 1がクライエント 2を認証 ' 管理 し、 あるいはクライエント 2がサーバ 1 を認証 ' 管理するプロセスを第 1図〜第 1 2図に基づいて述べる。  First, each step A to F set in the authentication / management device 3 of the server 1 and each step a to f set in the authentication / management device 3 of the client 2 are shown in FIG. Fig. 1 illustrates the process of server 1 authenticating and managing client 2 or client 2 authenticating and managing server 1 using the example of communication between each node of server 1 and client 2 shown in Fig. 1. -It will be described based on FIG.
先ず、 第 1図に示すサーバ 1 とクライエント 2間の初期認証手順にお いて、 クライエント 2の送受信装置 4からサーバ 2の送受信装置 4に向 けて、 事前のオープンアクセスが実施され、 例えばサーバ 1がアプリケ ーシヨンソフ トウェア、 音楽データ、 映像データ、 金融デ一夕、 技術デ 一夕などのソフ トウエアやデータの配信業者である場合、 その内容を項 目別にィンデックス表示することとしている。  First, in the initial authentication procedure between the server 1 and the client 2 shown in FIG. 1, a prior open access is performed from the transmitting and receiving device 4 of the client 2 to the transmitting and receiving device 4 of the server 2. When the server 1 is a distributor of software and data such as application software, music data, video data, financial data, technical data, etc., the contents are indexed by item.
インデックス表示に係る情報をクライエント 2がダウンロードし、 こ の中で必要な項目に係るデ一夕やソフ トウェアの配信並びに購入を、 ク JP 0/02449 Client 2 downloads the information related to the index display, and downloads and purchases software and software related to the necessary items. JP 0/02449
- 14 - ライエント 2が希望する場合には、 再びクライエン卜 2がサーバ 1にァ クセスして、 サーバ 1の 「接続 O K」 を確認する (第 1 図参照) 。  -14-If Client 2 wishes, Client 2 accesses Server 1 again and confirms the "connection OK" of Server 1 (see Fig. 1).
こう したオープンアクセスを経て、 クライエント 2からサーバに向け ての正式な初期認証手順のためのアクセスが実施され、 クライエント 2 の送受信装置 4からサーバ 2の送受信装置 4に向けて、 申込に係る信号 が送信されることとなる (第 1図参照) 。 こうしたネッ トワークを介し てのアプリケーションやデータの配信申込においては、 従来サーバ 1は 接続画面上でクライエント 2に対し、 ノード (クライエント 2 ) 認証の ためのノード識別子 (例えば八一ドウエアの製造番号、 製造年月日等) の他、 利用契約を規定するため設定された固有数値 t (通称プロダク ト I D ) 、 サーバ 1内のアプリケーショ ンの使用許諾契約に規定する固有 数値 u (ユーザ I D等) 、 サーバ 1内のアプリケーショ ンのファイル閲 覧等の契約で規定される固有数値 V (パスワード等) をクライエント 2 に対して入力を求めることとしているが、 この実施形態での申込におい てもサーバ 1 はクライエント 2に同様な入力を求め、 クライエント 2は 入力画面上の求めに応じて任意の数値、 記号、 文字からなるデータ t〜 Vを、 クライエント 2側のキ一ボード 9において入力することとなる。  Through such open access, access is made from Client 2 to the server for the formal initial authentication procedure, and the transmission / reception device 4 of Client 2 is directed to the transmission / reception device 4 of Server 2 for the application. The signal will be transmitted (see Fig. 1). Conventionally, when applying for distribution of applications and data via such a network, the server 1 sends the client 2 on the connection screen to the node 2 for node (client 2) node identifier (for example, the serial number of the eighty one software). , Date of manufacture, etc.), a unique numerical value t (commonly known as product ID) set to define the usage contract, a unique numerical value u (user ID, etc.) specified in the license agreement for the application in the server 1 The client 2 is required to input a unique numerical value V (such as a password) specified in a contract for browsing an application file in the server 1 and the like. 1 prompts Client 2 for the same input, and Client 2 responds to the request on the input screen by using arbitrary numbers, symbols, and characters. The t~ V, so that the entering in keys board 9 of the client 2 side.
さらに実施形態においては、 サーバ 1内のアプリケーショ ンゃデータ をクライエント 2がダウンロードするための任意の金額もデータ wとし て入力されることとなる。 こう してクライエン ト 2側において入力され た各データ t〜wは、 第 1 1図の各認証項目 t ~ wとしてサーバ 1側の 送受信装置 4へ受信され、 サーバ 1 の認証 ' 管理装置 3は、 送信された 各認証項目 t〜wを、 サーバ 1が設定するプロ トコルに基づき、 対応す る固有の数値 t 1 ~ w 1 に置換することとなる (第 1 1図の固有数値化 参照) 。  Further, in the embodiment, an arbitrary amount for the client 2 to download the application II data in the server 1 is also input as the data w. The data t to w input on the client 2 side in this way are received as the authentication items t to w in FIG. 11 by the transmission / reception device 4 on the server 1 side, and the authentication / management device 3 on the server 1 The transmitted authentication items t to w are replaced with the corresponding unique numerical values t 1 to w 1 based on the protocol set by the server 1 (refer to the unique numerical values in FIG. 11). .
こうした初期認証手順において、 第 1図に示す 「オープンアクセス」 を受信するサーバ 1 においては、 第 1 2図に示すサーバ 1側の初期設定 管理ステツプ Aにおいて、 サーバ 1 のグレゴリォ暦に基づく力レンダ装 置 6の力レンダ日付並びに刻時装置 7 (協定世界時に基づき時分秒を刻 時する時計装置) を参照して、 ある日時を始期 Q B 0 とし、 ある日時を 終期 QE Oとする刻時々間帯を始期 QB Oから終期 QE Oに至るまで、 刻時総量値 Qを刻時手段 7によりコンスタントに刻時する固有時間の生 成装置が予め設定される。 実施形態では、 1 9 9 9年 1月 1 日午前 0時 0分 0秒を始期 QB 0とし、 1 9 9 9年 2月 9日午後 1 2時 0分 0秒を 終期 Q E 0とする設定期間を、 秒単位で換算した値 Q ( 8 6, 4 0 0秒 X 40日) を刻時総量値としており、 これら固定数値化された各値 (Q 、 QB 0、 QE O :第 1 1図参照) は、 第 1 1図に示す認証項目 Qとし てサーバ 1 とクライエント 2との間で共有化され、 サーバ 1からクライ ェント 2へ供給 (例えば郵送—インス トール) 、 または送信されること となる (第 1図の S VR N ow送信) 。 こうして、 クライエント 2に 供給、 または送信された各値 (Q、 QB 0、 QE 0) が、 クライエント 2側の認証 · 管理装置 3における初期設定管理ステツプ aにより、 該認 証 · 管理装置 3に設定されることとなり、 クライエント 2側においても 始期 Q B 0から終期 Q E 0に至る刻時総量値 Qを、 サーバ 1側の刻時装 置 7と同じく、 刻時装置 7により秒単位でコンスタントに刻時する固有 時間の生成装置が設定される。 よって、 サーバ 1 とクライエン卜 2にお いて、 始期 Q B 0並びに終期 Q E 0を共通にする時空間が画成されるこ ととなる (初期設定管理ステップ A並びに a) 。 In such an initial authentication procedure, in the server 1 receiving the “open access” shown in FIG. 1, in the initial setting management step A of the server 1 shown in FIG. 12, a power rendering device based on the Gregorian calendar of the server 1 is set. With reference to the force render date and the clock device 7 (clock device that clocks hours, minutes and seconds based on Coordinated Universal Time), a certain date From the beginning QB O to the ending QE O in the interim time zone as the ending QE O, a device for generating a specific time for constantly ticking the total ticking value Q by the ticking means 7 is preset. In the embodiment, the setting is set to start QB 0 at 00: 00: 0 am on January 1, 1999, and set to end QE 0 at 12:00:00 p.m. on February 9, 1999. The value Q (86, 400 seconds x 40 days) converted from the period in seconds is used as the clocking gross value. Each of these fixed numerical values (Q, QB0, QEO: 1st 1 Is shared between server 1 and client 2 as authentication item Q shown in Fig. 11, and is supplied from server 1 to client 2 (for example, mail-installed) or transmitted. (SVR Now transmission in Fig. 1). Thus, each value (Q, QB0, QE0) supplied or transmitted to the client 2 is transmitted to the authentication / management device 3 by the initial setting management step a in the authentication / management device 3 on the client 2 side. On the client 2 side as well, the total clock value Q from the initial QB 0 to the final QE 0 is constant by the clock unit 7 by the clock unit 7 in the same way as the clock unit 7 on the server 1 side. An eigentime generator that clocks in is set. Therefore, a time space is established in the server 1 and the client 2 that shares the beginning QB 0 and the ending QE 0 (initial setting management steps A and a).
こうして、 第 1図ないし第 3図に示すようにサーバ 1 (図面上方) と クライエン卜 2 (図面下方) との間で、 図面右方 (第 1図→第 2図→第 3図) へと進行する時空間が画成され、 初期認証手順において両者の間 で複数回の信号の送受信が実行される。 先ずクライエント 2側からサ一 バ 1に対して初回の 「申込」 のアクセスが送信されることとなる。 サーバ 1の認証 · 管理装置 3は、 初期認証手順において 「申込」 の信 号をクライエン卜 2から受信した状態において、 初期設定管理ステップ B (第 1 2図参照、 請求項 8参照) で、 認証基礎データ Xを生成する。 認証基礎データ Xは前記固有時間の生成装置における刻時総量値 Q、 す なわち、 刻時々間帯 (QB 0→QE 0) の絶対値 Qを 2で除し、 この値 から、 クライエント 2からサーバ 1へ送信される初回の申込の受信時 R 0より刻時々間帯の始期 Q B 0を減じた値を減じて生成するようにして 0/02449 Thus, as shown in FIGS. 1 to 3, between the server 1 (upper drawing) and the client 2 (lower drawing), rightward in the drawing (FIG. 1 → FIG. 2 → FIG. 3). An evolving spatiotemporal space is defined, and signals are sent and received multiple times between the two parties during the initial authentication procedure. First, the first “application” access is sent from client 2 to server 1. In the initial authentication procedure, the management device 3 performs the authentication in the initial setting management step B (see FIG. 12 and claim 8) while receiving the “application” signal from the client 2 in the initial authentication procedure. Generate basic data X. The authentication basic data X is obtained by dividing the absolute value Q of the inter-hourly time zone (QB 0 → QE 0) by 2 by dividing the total time value Q of the generator of the unique time by 2, and obtaining the client 2 When the first application sent to server 1 is received from R 0, it is generated by subtracting the value obtained by subtracting QB 0 at the beginning of the interim period. 0/02449
- 16 - いる (数式 1参照) 。 すなわち、 こうして生成されるデータ Xは、 サ一 バ 1における当該クライエント 2との通信における時空間での受信時 R 0が内在され、 秒単位の値とされる。  -16-Yes (see Equation 1). In other words, the data X generated in this way has a time R0 in the space-time reception in the communication with the client 2 in the server 1, and has a value in seconds.
「数式 1」  "Formula 1"
X = Q÷ 2 - (R 0 -QB 0)  X = Q ÷ 2-(R 0 -QB 0)
なお、 上記認証基礎デ一夕 Xの生成にあたっては、 送信相手に係るク ライエン ト 2に固有な数値データ、 すなわち第 1 1図に示す固有数値化 されたデータ t lないし w lを用いることとし、 これらデータ t lない し w lを秒単位の値に置換し ( t 2から w2) 、 この各置換データ t 2 〜w 2を前記数式 1に基づき算出された値に、 サーバ 1が設定するプロ トコルに従って任意に加算、 減算あるいは変数処理して認証基礎データ Xを生成するようにしてもよい。 さらに認証基礎データ Xに対応してこ れら置換データ t 2~w2をメモリ 8に記憶させることとしてもよい。  In generating the above basic authentication data X, numerical data unique to client 2 relating to the transmission destination, that is, unique numerical data tl or wl shown in FIG. 11 is used. The data tl or wl is replaced with a value in seconds (from t2 to w2), and each of the replacement data t2 to w2 is replaced with a value calculated based on the above formula 1 according to the protocol set by the server 1. Alternatively, the basic authentication data X may be generated by adding, subtracting, or performing variable processing. Further, the replacement data t2 to w2 may be stored in the memory 8 corresponding to the authentication basic data X.
このようにして生成された認証基礎データ Xは、 第 1 2図のサーバ側の 初期設定管理ステップ Bに基づき、 サーバ 1側の送受信装置 4からクラ イエント 2側の送受信装置 4へと送信され (第 1図参照) 、 該デ一夕 X はクライエント 2側で c B Oの刻時々点に送信されることとなる。 この 結果、 クライエント 2側の認証 · 管理装置 3における下記 b 1、 b 2の 各ステップが実行されることとなる。 The authentication basic data X thus generated is transmitted from the transmitting / receiving device 4 on the server 1 to the transmitting / receiving device 4 on the client 2 side based on the initial setting management step B on the server side in FIG. (See FIG. 1). However, the data X is transmitted to the point of time of cBO on the client 2 side. As a result, the following steps b1 and b2 in the authentication / management device 3 on the client 2 side are executed.
b l、 クライエント側からサーバ側に向け、 初回の申込を送信する b 2、 サーバ側のコンピュータにおいて、 上記刻時々間帯の絶対値 Q を 2で除し、 この値から、 クライエント側からサーバ側へ送信した初回 申込のクライエント側での受信時 R 0より刻時々間帯の始期 QB 0を減 じた値を減じて認証基礎データ Xを生成させ、 サーバ側から該認証基礎 データ Xを受信する  bl, the first application is sent from the client side to the server side.b2, on the server side computer, the absolute value Q of the above time interval is divided by 2, and from this value, the client side When the initial application sent to the client is received by the client side, the initial period of the interim zone QB0 is subtracted from R0 by subtracting the value obtained by subtracting the value, and the basic authentication data X is generated from the server side. Receive
クライエント 2の認証 · 管理装置 3の初期設定管理ステップ cにおい ては、 初期設定管理ステップ b 2で基づき、 サーバ 1側から受信された 認証基礎データ Xについて、 該データ Xの受信時 c B O (第 1図参照) から刻時々間帯の始期 Q B 0を減じた値に該受信された認証基礎データ Xを加算して、 クライエント 2側の初期認証データ C 1を演算し、 生成 /02449 In the initial setting management step c of the management device 3 based on the initial setting management step b2, the authentication basic data X received from the server 1 is received. The received basic authentication data X is added to the value obtained by subtracting the beginning QB 0 of the interim zone from the time between the two and the initial authentication data C 1 of the client 2 is calculated and generated. / 02449
- 17 - するようにする (数式 2参照) 。  (See Equation 2).
「数式 2」  "Formula 2"
C 1 = X + A  C 1 = X + A
※八 :^ー ς? Β ο  ※ Eight: ^ ー ς? Β ο
こうして生成された初期認証データ C 1は、 上記初期設定管理ステツ プ c によりクライエント 2の送受信装置 4からサーバ 1の送受信装置 4 に向けて送信され、 サーバ 1側の認証 · 管理装置 3が初期設定管理ステ ップ Cにより該送信の受信が s R 0の時点に行われたことを確認する ( 第 1図、 第 1 2図参照) 。 サーバの該ステップ Cは次の作用を備える。  The initial authentication data C1 generated in this way is transmitted from the transmitting / receiving device 4 of the client 2 to the transmitting / receiving device 4 of the server 1 by the initial setting management step c, and the authentication / management device 3 of the server 1 is initialized. The setting management step C confirms that the transmission was received at the time point of sR0 (see FIGS. 1 and 12). Step C of the server has the following operations.
C、 初期設定管理ステップ Bに基づき生成され、 クライエント側に送 信された認証基礎データ Xについて、 クライエント側のコンピュータに おける該送信されたデータ Xの受信時 c B 0から刻時々間帯の始期 Q B 0を減じた値に認証基礎データ Xを加算して、 クライエント側の初期認 証データ C 1 をクライエン ト側のコンピュータにおいて演算させ、 該初 期認証データ C 1 をアクセス側より受信する  C, regarding the basic authentication data X generated based on the initial setting management step B and transmitted to the client side, when the transmitted data X is received by the client side computer c B0 from time to time The basic authentication data X is added to the value obtained by subtracting QB0 from the initial stage of the initial calculation, and the client-side initial authentication data C1 is calculated by the client-side computer, and the initial authentication data C1 is received from the access side. Do
この段階で、 サーバ 1 の認証 · 管理装置 3では、 初期設定管理ステツ プ Dにおいて、 受信されたクライエン ト 2側の初期認証データ C 2の認 証が行われる。 認証は、 初期認証データ C 1中に内在される先にサーバ 1側が生成した認証基礎データ Xのクライエント 2側の受信時 c B 0が 、 サーバ 1側における初回申込の受信時 R 0 と上記初期認証データ C 1 の受信時 s R 0の間の時間領域に存在するか否かを演算し、 下記数式 3 ないし 5に基づき、 認証の実行を行うようにしている。  At this stage, in the authentication / management device 3 of the server 1, in the initial setting management step D, the received initial authentication data C2 of the client 2 is authenticated. The authentication is as follows.When the client 2 receives the basic authentication data X generated by the server 1 earlier in the initial authentication data C 1 on the client 2 side, c B 0 indicates when the server 1 receives the first application. It is calculated whether or not the initial authentication data C 1 exists in the time domain between s R 0 and the reception time, and the authentication is performed based on the following formulas 3 to 5.
「数式 3」  "Formula 3"
C 1≤ X + ( s R 0 - Q B 0 )  C 1≤ X + (s R 0-Q B 0)
「数式 4」  "Formula 4"
C 1≥ X + ( s R 0 - R 0 )  C 1≥ X + (s R 0-R 0)
「数式 5」  "Formula 5"
X≤ C 1≤ S 1  X≤ C 1≤ S 1
※数式 5で Xはサーバからクライエントに向けてのデータ Xの送 信時、 並びに S 1は次回のデ一夕 S 1の送信時 なお、 数式 3ないし 5を分解式で表すと下記数式 6及び 7のようにな る。 * In Equation 5, X is the time when the data X is transmitted from the server to the client, and S 1 is the time when the next data is transmitted S 1 Expressions 3 to 5 can be expressed as decomposition expressions as in the following Expressions 6 and 7.
「数式 6」  "Formula 6"
X + ( c B 0 - Q B 0 ) ≤ X + ( s R 0 - Q B 0 )  X + (c B 0-Q B 0) ≤ X + (s R 0-Q B 0)
「数式 7」  "Formula 7"
X + ( c B 0 - Q B 0 ) ≥ X + ( s R O— R O )  X + (c B 0-Q B 0) ≥ X + (s R O— R O)
上記各式 (例えば数式 6 、 7 ) に基づき、 データ C 1 による通信相手 としてのクライエント 2の認証が、 サーバ 1の認証 · 管理装置 3におけ. る初期設定管理ステップ Dで実行されることとなる (第 1 図、 第 1 2図 参照) 。 この初期設定管理ステップ Dをクライエント 2側から見ると、 次の初期設定管理ステツプ dで表される。  Based on the above equations (for example, Equations 6 and 7), the authentication of the client 2 as the communication partner by the data C 1 is performed in the initial setting management step D in the authentication / management device 3 of the server 1. (See Fig. 1 and Fig. 12). When viewed from the client 2 side, the initial setting management step D is represented by the following initial setting management step d.
d、 初期設定管理ステップ c により、 クライエント側より送信されて サーバ側へ受信時 s R 0に受信された初期認証データ C 1 中に内在され る認証基礎デ一夕 Xのクライエント側の受信時 c B 0が、 サーバ側にお ける初回申込の受信時 R 0 と初期認証データ C 1の受信時 s R 0の間の 時間領域に存在するか否かを演算させ、 サーバ側においてクライエント 側を認証させる  d. In the initial setting management step c, when receiving from the client side and receiving to the server side s Receiving on the client side the basic authentication data X included in the initial authentication data C 1 received in R 0 The server computes whether or not time c B 0 exists in the time region between R 0 when the first application is received on the server side and R s when the initial authentication data C 1 is received, and the client on the server side. Authenticate the side
次に、 サーバ 1の認証 · 管理装置 3は、 初期設定管理ステップ Eにお いて、 クライエント 2側に送信するサーバ 1側の初期認証データ S 1 の 生成を行う。 このデータ S 1の生成はクライエント 2側より受信された 初期認証データ C 1から、 初期認証管理ステツプ Bで生成された認証基 礎データ Xを減じ、 さらにこの値に初期認証データ C 1 を加算すること により行うこととしている (数式 8参照) 。  Next, in the initial setting management step E, the authentication / management device 3 of the server 1 generates the initial authentication data S 1 of the server 1 to be transmitted to the client 2. This data S1 is generated by subtracting the authentication basic data X generated in the initial authentication management step B from the initial authentication data C1 received from the client 2 side, and further adding the initial authentication data C1 to this value. (See Equation 8).
「数式 8」  "Equation 8"
S 1 = C 1 + Y  S 1 = C 1 + Y
※ Y = C 1 - X  * Y = C 1-X
こうして生成されたサーバ 1側の初期認証データ S 1 は、 上記初期設 定管理ステツプ Eによりサーバ 1の送受信装置 4からクライエン卜の送 受信装置 4に向けて送信され、 クライエント 2側の認証 · 管理装置 3は 初期設定管理ステップ eにより該送信の受信が c R 0の時点に行われた 0/02449 The initial authentication data S 1 of the server 1 thus generated is transmitted from the transmitting / receiving device 4 of the server 1 to the transmitting / receiving device 4 of the client in the initial setting management step E, and the authentication / authentication of the client 2 is performed. The management device 3 received the transmission at the time of c R 0 in the initial setting management step e. 0/02449
- 19 - ことを確認する (第 1図、 第 1 2図参照) 。 すなわち、 この初期設定管 理ステップ eは次の作用を備える。  -19-Make sure that (see Fig. 1 and Fig. 12). That is, this initial setting management step e has the following operation.
e、 初期設定管理ステップ dで、 サーバ側送信され、 認証された初期 認証データ c 1から初期設定管理ステツプ b 2で生成された認証基礎デ —夕 Xを減じ、 さらにこの値に上記初期認証データ C 1 を加算してサー バ側において、 サーバ側の初期認証データ S 1が生成され、 サーバ側か ら送信されてクライエント側で該初期認証データ S 1 を受信する  e. In the initial setting management step d, the server-side transmitted and authenticated initial authentication data c1 is subtracted from the basic authentication data generated in the initial setting management step b2—X, and the initial authentication data is added to this value. The server generates initial authentication data S 1 on the server side by adding C 1, and is transmitted from the server side and receives the initial authentication data S 1 on the client side.
この段階で、 クライエント 2の認証 · 管理装置 3では、 初期設定管理ス テツプ Fにおいて、 受信されたサーバ 1側の初期認証データ S 1の認証 が行われる。 認証は、 初期認証データ S 1中に内在される先に初期設定 管理ステップ dにおいて生成され、 クライエント 2側からサーバ 1側に 送信した初期認証データ C 1のサーバ 1側における受信時 s R 0が、 ク ライエント 2側における認証基礎データ Xの受信時 c B 0 と初期認証デ 一夕 C 1の受信時 c R Oの間の時間領域に属するか否かを演算し、 下記 数式 9ないし 1 1 に基づき認証の実行を行うようにしている。 At this stage, in the authentication / management device 3 of the client 2, in the initial setting management step F, the received initial authentication data S1 of the server 1 is authenticated. The authentication is generated in the initial setting management step d before being included in the initial authentication data S 1, and when the server 1 receives the initial authentication data C 1 transmitted from the client 2 to the server 1 s R 0 Is calculated in the time domain between the time when the client 2 receives the basic authentication data X c B 0 and the time when the initial authentication data overnight C 1 c c RO is calculated. The authentication is performed based on the URL.
「数式 9」  "Formula 9"
S 1≥ C 1  S 1≥ C 1
「数式 1 0」  "Formula 10"
S 1≤ C 1 + ( c R 0 - c B 0 ) + A  S 1≤ C 1 + (c R 0-c B 0) + A
「数式 1 1」  "Formula 1 1"
C 1≤ S 1≤ C 2  C 1≤ S 1≤ C 2
※数式 1 1で C 1 はクライエン卜からサーバに向けてのデ一 夕 C 1 の送信時、 並びに C 2は次回のデータ C 2の送信時 なお、 数式 9ないし 1 1 を分解式で表すと下記数式 1 2および 1 3の ようになる。  * In Equation 11, C 1 is the time when the data C 1 is transmitted from the client to the server, and C 2 is the time when the next data C 2 is transmitted. Equations 12 and 13 below are obtained.
「数式 1 2」  "Formula 1 2"
C 1 + Y≥ C 1  C 1 + Y≥ C 1
「数式 1 3」  "Formula 1 3"
C 1 + Y≤ C 1 + ( c R 0 - c Β 0 ) + A  C 1 + Y ≤ C 1 + (c R 0-c Β 0) + A
上記各式 (例えば数式 1 2 、 1 3 ) に基づき、 デ一夕 S 1 による通信 相手としてのサーバ 1 の認証が、 クライエント 2の認証 ' 管理装置 3に よる初期設定管理ステップ ίで実行されることとなる (第 1図、 第 1 2 図参照) 。 このステップ f をサーバ 1側から見ると下記初期設定管理ス テツプ Fとなる。 Based on each of the above equations (for example, Equations 1 and 2), communication using data S 1 Authentication of the server 1 as the partner is executed in the authentication of the client 2 ′ in the initial setting management step ί by the management device 3 (see FIGS. 1 and 12). When this step f is viewed from the server 1 side, it is the following initial setting management step F.
F、 初期設定管理ステップ Eに基づき生成され、 クライエント側に送 信されクライエント側に受信時 c R oに受信された初期認証データ S 1 について、 該データ S 1 中に内在されるクライエント側からサーバ側に 送信した初期認証データ C 1の被クライエント側の受信時 s R 0が、 ク ライエント側における認証基礎デ一夕 Xの受信時 c B 0 と初期認証デー 夕 C 1の受信時 c R 0の間の時間領域に存在するか否かを演算させ、 サ —バ側をクライエント側において認証させる  F. Initial authentication data S 1 generated based on the initial setting management step E, transmitted to the client side, and received by the client side c When the initial authentication data S 1 received at Ro, the client included in the data S 1 When the client receives the initial authentication data C1 sent from the client to the server, s R0 receives the basic authentication data X at the client, and receives cB0 and the initial authentication data C1. Calculate whether or not it exists in the time domain between time c R 0 and authenticate the server side on the client side
このようにして、 サーバ 1 とクライエント 2間の複数回の相互通信が 繰り返され、 相互に相手方のノード認証が実行され、 第 1図に示す初期 認証が完了することとなる。 さらに、 クライエント 2の認証 ' 管理装置 3においては、 次回サーバ 1 との間で通信する際の、 サーバ 1 に対しク ライエント 2の認証を行わせるための通常認証のための認証データ C 2 が生成される。 該認証データ C 2の生成はクライエント 2において前回 初期認証データ S 1 を受信した受信時 c R 0から前々回認証基礎データ Xを受信した受信時 c B Oを減じ、 この値を初期認証データ S 1から減 じることにより生成される (第 2図、 数式 1 4参照) 。  In this way, the mutual communication between the server 1 and the client 2 is repeated a plurality of times, mutual node authentication is performed, and the initial authentication shown in FIG. 1 is completed. Further, in the authentication of the client 2, the management device 3 transmits authentication data C 2 for normal authentication to cause the server 1 to perform the authentication of the client 2 at the next communication with the server 1. Generated. The authentication data C 2 is generated by subtracting c BO from the previous reception of the basic authentication data X at the time of reception of the previous authentication data S 1 at the client 2 at the reception of the previous authentication data S 1 at the client 2. (See Fig. 2, Equation 14).
「数 1 4」  "Number 1 4"
C 2 = S 1 - ( c R 0 - c B 0 )  C 2 = S 1-(c R 0-c B 0)
生成された通常認証データ C 2は、 例えばサーバ 1 に対し、 具体的な ソフトウエアやデータの配信を依頼する際の当該クライエント 2の認証 データとしてメモリ 8に保存するようにする。  For example, the generated normal authentication data C2 is stored in the memory 8 as authentication data of the client 2 when the server 1 is requested to deliver specific software and data.
次に、 このようにして行われた初期認証の手順を、 サーバ 1の固有時 間の生成装置で設定した時空間 (Q B 0—Q E 0 ) での時間推移におい て明らかにするため、 第 4図ないし第 1 0図を説明する。  Next, in order to clarify the initial authentication procedure performed in this way in the time transition in the space-time (QB0-QE0) set by the unique time generation device of the server 1, Referring to FIG. 10 to FIG.
サーバ 1 の固有時間の生成装置が設定した始期 Q B 0から終期 Q E 0 に至る時空間は、 第 4図および第 5図に示すように距離と時間成分とに より画成され、 時空間による地点 Bに存在するクライエント 2は、 地点 Aのサーバ 1に、 初回のオープンアクセス (第 4図の A 1 ) を行うこと となる。 サーバ 1においては第 4図に示すように、 初回アクセスの受信 した後 (第 4図の A 2) 、 該アクセスを行ったクライエン ト 2のために サーバ 1の固有時間の生成装置が刻時するサーバ 1の現在時刻 (A 3、 S RV/N ow: QB 0→N ow) を取得し、 S RVZN owを含むサ —バ 1の固有時間の概念 (QB 0—QE 0) をクライエント 2に送信す ることとする (第 4図の A4 : S RVZN ow送信) 。 クライエント 2 はこの固有時間の概念を受信し (第 4図の A 5 : S RVZN ow受信) し、 この概念をクライエント 2の認証 · 管理装置 3にインス トールした 後、 サーバ 1に向けて申込の送信を行い (第 4図の A 6 : 初回リクエス ト) 、 サーバ 1はこれを受信する (第 4図の A 7 : リクエス ト受信) 。 ここでサーバ 1は認証基礎デ一夕 Xを、 第 4図に示す認証基礎データ X の生成式に基づいて生成を行い (第 4図の A 8 : X生成) 、 生成された 認証基礎データ Xをクライエント 2に向けて送信する (第 4図の A 9 : X送信) 。 クライエント 2はこの認証基礎データ Xを受信する (第 4図 の A 1 0 : X受信) 。 このデータ Xを受信した状態が、 第 5図に示すよ うにサーバ 1とクライエント 2とが、 同じ時空間で 1対 1で対応してた 地点 A並びに時点 Bということになる。 したがって、 これ以降の相互通 信において、 この認証基礎データ Xに基づき、 サーバ 1 とクライエント 2とが通信相手を同じ時空間において相互認証することとなる。 The spatio-temporal time from the initial QB0 to the final QE0 set by the eigentime generator of server 1 is represented by distance and time components as shown in Figs. 4 and 5. The more defined client 2 located at point B in time and space will perform the first open access (A 1 in Fig. 4) to server 1 at point A. In the server 1, as shown in FIG. 4, after the first access is received (A2 in FIG. 4), the generation device of the unique time of the server 1 clocks for the client 2 having made the access. Obtains the current time of server 1 (A3, S RV / Now: QB0 → Now), and sends the concept of the unique time of server 1 including SRVZNow (QB0—QE0) to client 2. (A4 in Fig. 4: S RVZNow transmission). Client 2 receives the concept of the unique time (A5 in FIG. 4: S RVZNow reception in FIG. 4), installs this concept on the authentication / management device 3 of Client 2, and then sends it to Server 1. The application is transmitted (A6 in Fig. 4: initial request), and the server 1 receives the request (A7 in Fig. 4: request reception). Here, the server 1 generates the basic authentication data X based on the generation formula of the basic authentication data X shown in Fig. 4 (A8 in Fig. 4: X generation), and generates the generated basic authentication data X. To the client 2 (A9 in Fig. 4: X transmission). Client 2 receives the basic authentication data X (A10 in FIG. 4: X reception). The state in which the data X is received is, as shown in FIG. 5, the point A and the point B where the server 1 and the client 2 correspond one-to-one in the same time and space. Therefore, in the subsequent mutual communication, based on the authentication basic data X, the server 1 and the client 2 mutually authenticate the communication partner in the same time and space.
その後クライエント 2に受信された認証基礎データ Xは (第 9図の A 1 0 : 受信) 、 第 9図に示す初期認証データ C 1の生成式によりクライ ェント側の初期認証データ C 1が生成される (第 9図の A 1 1 ) 。 そし て初期認証データ C 1はサーバ 1に向けて送信され (第 9図の A 1 2 : C 1送信) 、 サーバ 1において受信される (第 9図の A 1 3 : C 1受信 ) 。 続いてサーバ 1は、 初期認証データ C 1の認証を行った後、 該デ一 夕 C 1に基づきサーバ側の初期認証データ S 1を第 9図に示す生成式で 生成する (第 9図の A 1 4) 。 生成された初期認証デ一夕 S 1はサーバ 1からクライエント 2に向けて送信され (第 9図の A 1 5 : S 1送信) /JPOO/02449 Thereafter, the basic authentication data X received by the client 2 (A10 in FIG. 9: received) is used to generate the initial authentication data C1 on the client side by the generation formula of the initial authentication data C1 shown in FIG. (A11 in Fig. 9). Then, the initial authentication data C1 is transmitted to the server 1 (A12 in FIG. 9: C1 transmission) and received by the server 1 (A13 in FIG. 9: C1 reception). Subsequently, after performing the authentication of the initial authentication data C1, the server 1 generates the initial authentication data S1 on the server side based on the data C1 using the generation formula shown in FIG. 9 (see FIG. 9). A1 4). The generated initial authentication data S1 is transmitted from server 1 to client 2 (A15 in Fig. 9: S1 transmission). / JPOO / 02449
- 22 - 、 クライエン ト 2において受信される (第 9図の A 1 6 : S 1受信) 。  -22-, and is received by Client 2 (A16 in Fig. 9: S1 reception).
この受信された初期認証データ S 1 に基づき、 クライエント 2は次回サ —バ 1 に向けて送信するための通常認証のためのデータ C 2を生成する (第 9図の A 1 7 ) 。 こう したサーバ 1 とクライエント 2間の認証基礎 データ X並びにその変遷は、 第 6図に示すとおりである。 このような変 遷より明らかなのは、 要は相互通信の度に認証基礎データ Xについて、 初期認証の段階でデータ Xにクライエント 2側での固有時間系における 刻時々間量 A ( c B O — Q B O ) の加算が、 その認証後に行われ、 さら にこうして生成された時間データ c 1 はサーバ 1側での固有時間系にお ける刻時々間量 Y (C 1 - X) の加算が、 その認証後に行われ、 時間デ 一夕 S 1が生成される。 続いてクライエント 2は、 受信された時間デ一 タ 1からクライエント 2側での固有時間系における刻時々間量 ( c R Based on the received initial authentication data S 1, the client 2 generates data C 2 for normal authentication to be transmitted to the next server 1 (A 17 in FIG. 9). The basic authentication data X between Server 1 and Client 2 and their transition are as shown in Fig. 6. It is clear from such a change that the basic data X for authentication is exchanged with the data X at the initial authentication stage every time the mutual communication is performed. ) Is performed after the authentication, and the time data c 1 thus generated is added to the hourly amount Y (C 1 -X) in the eigen-time system on the server 1 side. Later, a time de S 1 is generated. Subsequently, the client 2 calculates the time-to-time amount (c R) in the eigen-time system on the client 2 side from the received time data 1.
0 - c B 0 ) の減算が、 その認証後に行われ、 初期認証の終了時におい て次回サーバ 1 に対しての認証のための時間データ C 2が生成されるこ ととなる。 The subtraction of 0-cB0) is performed after the authentication, and the time data C2 for the next authentication with the server 1 is generated at the end of the initial authentication.
こうして、 生成される各認証データ (X—C 1— S 1 ) のクライエン ト 2とサーバ 1間の送受信の時点は、 第 1 0図に示すように地点 A (サ ーバ側) と地点 B (クライエント側) との間で 1対 1で存在することと なり、 第 1 0図の時空間において点在化されることとなる。 これらのこ とを第 7図並びに第 8図で明らかにすると、 サーバ 1側 (第 7図、 第 8 図における A地点のコンピュータ) とクライエント 2側 (第 7図、 第 8 図における B地点のコンピュータ) との間における各信号の送受信の時 点 (オープンアクセス、 申込、 各データの送受信) は、 サーバ 1側に設 定された固有時間の生成装置の時空間 (Q B 0—Q E 0 ) において点在 化されることとなる (第 8図参照) 。 すなわち、 これら初期認証手順に おける始まりから送信 B 1→送信 B 2→送信 B 3—受信 B 4送信 B 5→ 受信 B 6— C P U処理 B 7 ( S 1の生成) →送信 B 8→受信 B 9—終わ り、 に至る各時点は (第 7図参照) 、 第 8図に示す共有する時空間にお いて A地点あるいは B地点で点在化されることとなり、 この地点を相互 に確認することにより、 通信相手のコンピュータを確実に認証すること が可能となる。 As shown in Fig. 10, the point at which each generated authentication data (X-C1-S1) is transmitted and received between client 2 and server 1 is point A (server side) and point B (Client side), and it will be scattered in the spatiotemporal space of Fig. 10. 7 and 8, the server 1 side (computer at point A in FIGS. 7 and 8) and the client 2 side (point B in FIGS. 7 and 8) The time of transmission / reception of each signal (open access, application, transmission / reception of each data) with the computer (timer) is the time and space (QB 0—QE 0) of the unique time generation device set on the server 1 At the same time (see Figure 8). That is, from the beginning of these initial authentication procedures, transmission B 1 → transmission B 2 → transmission B 3 — reception B 4 transmission B 5 → reception B 6 — CPU processing B 7 (generation of S 1) → transmission B 8 → reception B 9—Each time to end and to (see Figure 7) will be scattered at point A or point B in the shared spatio-temporal space shown in Figure 8 and confirm this point with each other By authenticating the computer of the communication partner Becomes possible.
なお、 こう して本実施形態では、 被アクセス側としてのサーバ 1から 、 アクセス側としてのクライエント 2にサーバ 1側の固有時間の生成装 置が画成する時空間を、 送信あるいは供給することにより、 共用化させ ることとしているが、 上記初期認証時クライエン ト 2の刻時装置 7並び に力レンダ装置 6による各時点 (例えば第 7図の B l 、 B 4 、 B 5 、 B 9の時点) に基づく時間データをクライエント 2からサーバ 1へ送信さ せ、 これに基づき、 サーバが各時点を固有時間の生成装置が画成する時 空間に対応させることとしてもよい。 さらに実施形態ではサーバ 1 とク ライエント 2の相互認証を可能にしているが、 サーバ 1 においてのみ、 送受信された各時間データにより通信相手のコンピュータ (クライエン ト 2 ) を認証することとしてもよい。  In this way, in this embodiment, the server 1 as the accessed side transmits or supplies the time and space defined by the unique time generation device of the server 1 to the client 2 as the access side. However, the time is shared by the clocking device 7 of the client 2 at the time of initial authentication and the force rendering device 6 (for example, B1, B4, B5, and B9 in FIG. 7). The time data based on the (time point) may be transmitted from the client 2 to the server 1, and based on the time data, the server may associate each time point with the time and space defined by the generator of the specific time. Further, in the embodiment, the mutual authentication between the server 1 and the client 2 is enabled, but the computer (client 2) of the communication partner may be authenticated only by the server 1 based on each time data transmitted and received.
「通常認証」  "Normal authentication"
上記第 1図に基づき、 サーバ 1 とクライエント 2間の初期認証が終了 した後、 クライエント 2がサーバ 1 に具体的にアプリケーショ ンゃデー 夕の配信を希望する場合には、 第 2図並びに第 3図に示す通常認証に係 るアクセスが実行される。 通常認証のアクセスにおいては、 先ず第 2図 に示すオープンアクセスが実行され、 クライエント 2がサーバ 1 の許諾 を得た後、 クライエン卜 2がサーバ 1 に向けて前回生成したクライエン ト側の初期認証データ C 2を送信する。  Based on Fig. 1 above, after the initial authentication between Server 1 and Client 2 has been completed, if Client 2 specifically wants to distribute application data to Server 1, Fig. 2 and The access related to normal authentication shown in Fig. 3 is executed. In the case of normal authentication access, first, open access shown in Fig. 2 is executed, and after Client 2 obtains the permission of Server 1, Client 2 issues the previous initial authentication to Client 1 to Server 1 Send data C2.
サーバ 1 の認証 · 管理装置 3では、 受信されたクライエント 2側の認 証データ C 2の認証が行われる。 認証は、 認証データ C 2中に内在され る先にサーバ 1側が生成した初期認証データ S 1のクライエント 2側の 受信時 c R 0が、 サーバ 1側における初期認証データ C 1の受信時 s R 0 と上記認証データ C 2の受信時 s R 1 の間の時間領域に存在するか否 かを演算し、 下記数式 1 5ないし 1 7 に基づき、 認証の実行を行うよう にしている。  The authentication of the server 1 and the management device 3 authenticate the received authentication data C2 of the client 2 side. The authentication is performed when the client 2 receives the initial authentication data S 1 generated by the server 1 earlier in the authentication data C 2 at the destination c R 0, and when the server 1 receives the initial authentication data C 1 s. It is calculated whether or not it exists in the time domain between R 0 and the reception time s R 1 of the authentication data C 2, and the authentication is performed based on the following formulas 15 to 17.
「数式 1 5」  "Formula 1 5"
C 2≤ S 1  C 2≤ S 1
「数式 1 6 J P 0/02449 `` Formula 1 6 J P 0/02449
- 24 - C 2 - ( (S VR/N ow) - (c R O) ) ≥ ( (S I - ( s R l 一 s R O) ) 一 ( ( s R O— B e f o r e S ND : X) )  -24-C 2-((S VR / Now)-(c R O)) ≥ ((S I-(s R l one s R O)) one ((s R O—B e f ore S ND: X))
「数式 1 7」  "Formula 1 7"
S 1≥C 2≤ S 2→ 0≤ ( (C o n n e c t OK) (D i s c o n n e c t ) ) - ( (S VR/N ow) - (c R O) ) ≤ 1  S 1≥C 2≤ S 2 → 0≤ ((C on n e c t OK) (D i s c o n n e c t))-((S VR / N ow)-(c R O)) ≤ 1
なお、 数式 1 5ないし 1 7を分解式で表すと下記数式 1 8ないし 2 0 式のようになる。  Expressions 15 to 17 can be expressed as decomposition expressions 18 to 20 as follows.
「数式 1 8」  "Formula 1 8"
S 1 - ( c R 0 - c B 0 ) ≥ S 1  S 1-(c R 0-c B 0) ≥ S 1
「数式 1 9」  "Formula 1 9"
S 1 - (c R O - c B O) - ( (S VRZNow) - ( c R 0 ) ) ≥ S 1 - ( s R l— s R O) - ( ( s R O -B e f o r e S ND : X) )  S 1-(c R O-c B O)-((S VRZNow)-(c R 0)) ≥ S 1-(s R l-s R O)-((s R O -B e f ore S ND: X))
「数式 2 0」  "Formula 20"
0≤ ( (C o n n e c t OK) - (D i s c o n n e c t ) ) - 0≤ ((C on n e c t OK)-(D i s c o n n e c t))-
( (S VRZN ow) - ( c R 0 ) ) ≤ 1 ((S VRZN ow)-(c R 0)) ≤ 1
上記各式 (例えば数式 1 8〜 2 0 ) に基づき、 データ C 2による通信 相手としてのクライエン卜 2の通常認証が、 サーバ 1の認証 · 管理装置 3で実行されることとなる。 これに伴い、 サーバ 1はクライエント 2に 向け、 オーダされたアプリケーションやデータを配信することが可能と なる。  Based on the above formulas (for example, formulas 18 to 20), normal authentication of the client 2 as a communication partner based on the data C2 is executed by the authentication / management device 3 of the server 1. Along with this, server 1 can deliver ordered applications and data to client 2.
次に、 サーバ 1の認証 · 管理装置 3は、 対応するクライエント 2側に 送信し、 次回、 当該クライエント 2の通常認証を行うための認証データ S 2の生成を行う。 このデータ S 2の生成はクライエント 2側より受信 された認証データ C 2の受信時 s R 1から、 前回のクライエント 2側よ り送信された初期認証データ C 1の受信時 s R 0を減じ、 さらにこの値 に認証データ C 2を加算することにより行うこととしている (数式 2 1 参照) 。  Next, the authentication / management device 3 of the server 1 transmits the data to the corresponding client 2 side, and generates authentication data S2 for performing the normal authentication of the client 2 next time. This data S 2 is generated from s R 1 when receiving the authentication data C 2 received from the client 2 side and s R 0 when receiving the initial authentication data C 1 transmitted from the previous client 2 side. It is determined by adding the authentication data C2 to this value (see Equation 21).
「数式 2 1 j  "Formula 2 1 j
S 2 = C 2 + ( s R l - s R O) こう して生成されたサーバ 1側の認証データ S 2は、 サーバ 1の送受 信装置 4からクライエント 2の送受信装置 4に向けて送信され、 クライ ェント 2側の認証 · 管理装置 3は該送信の受信が c R 1の時点に行われ たことを確認する (第 2図参照) 。 S 2 = C 2 + (s R l-s RO) The authentication data S2 of the server 1 thus generated is transmitted from the transmitting / receiving device 4 of the server 1 to the transmitting / receiving device 4 of the client 2, and the authentication / management device 3 of the client 2 transmits the authentication data S2. Confirm that the reception of the data was performed at the time point of cR1 (see Fig. 2).
この段階で、 クライエント 2の認証 · 管理装置 3では、 受信されたサ ーバ 1側の認証データ S 2の認証が行われる。 認証は、 認証データ S 2 中に内在され、 クライエント 2側からサーバ 1側に前回送信した認証デ 一夕 C 2のサーバ 1側における受信時 s R 1が、 クライエント 2側にお ける初期認証データ S 1の受信時 c R 0と認証データ C 2の受信時 c R 1の間の時間領域に属するか否かを演算し、 下記数式 2 2ないし 24に 基づき認証の実行を行うようにしている。  At this stage, the authentication / management device 3 of the client 2 authenticates the received authentication data S2 of the server 1 side. The authentication is embedded in the authentication data S 2, and when the server 2 receives the authentication data C 2 previously transmitted from the client 2 to the server 1 s R 1 is the initial value on the client 2 side When the authentication data S 1 is received c R 0 and when the authentication data C 2 is received c R 1 It is calculated whether or not it belongs to the time domain, and the authentication is performed based on the following formulas 22 to 24. ing.
「数式 2 2」  "Formula 2 2"
S 2≥ C 2  S 2≥ C 2
「数式 2 3」  "Formula 2 3"
S 2≤C 2 + (c l - c R O) + (c R 0 - SND : C l ) S 2≤C 2 + (c l-c R O) + (c R 0-SND: C l)
「数式 24」 "Formula 24"
C 2≤ S 2≥C 3  C 2≤ S 2≥C 3
※数式 24で C 2はクライエントからサーバに向けてのデ一 夕 C 2の送信時、 並びに C 3は次回のデータ C 3の送信時 なお、 数式 9ないし 1 1を分解式で表すと下記数式 2 5および 2 6の ようになる。  * In Equation 24, C 2 is the data transmitted from the client to the server when sending C 2, and C 3 is the time when the next data C 3 is sent. Equations 25 and 26 are obtained.
「数式 2 5」  "Equation 25"
C 2 + ( s R 1 - s R 0 ) ≥ C 2  C 2 + (s R 1-s R 0) ≥ C 2
「数式 2 6」  "Formula 2 6"
C 2 + ( s R 1 - s R 0 ) ≤ C 2 + (c R l— c R O) + (c R O C 2 + (s R 1-s R 0) ≤ C 2 + (c R l— c R O) + (c R O
- S N D : C 1 ) -SND: C1)
上記各式 (例えば数式 2 5、 2 6 ) に基づき、 データ S 2による通信 相手としてのサーバ 1の認証が、 クライエント 2の認証 ' 管理装置 3で 実行されることとなる。  Based on the above formulas (for example, formulas 25 and 26), the authentication of the server 1 as the communication partner by the data S2 is executed by the authentication device 3 of the client 2.
さらに、 クライエン 卜 2の認証 · 管理装置 3においては、 次回サーバ 1 との間で通信する際の、 サーバ 1に対しクライエン ト 2の認証を行わ せるための通常認証のための認証データ C 3が生成される。 該認証デー 夕 C 3の生成はクライエント 2において前回の認証データ S 2を受信し た受信時 c R 1から前々回初期認証データ S 1を受信した受信時 c R 0 を減じ、 この値を初期認証データ S 2から減じることにより生成される (第 2図参照) 。 Furthermore, in the authentication / management device 3 of the client 2, the next server Authentication data C3 for normal authentication for causing server 1 to authenticate client 2 when communicating with server 1 is generated. The generation of the authentication data C3 is performed by subtracting cR0 when receiving the initial authentication data S1 two times before from the reception cR1 at the time of receiving the previous authentication data S2 at the client 2, and setting this value to the initial value. It is generated by subtracting it from the authentication data S2 (see Fig. 2).
「数式 2 7」  "Formula 2 7"
C 3 = S 2 - ( c R 1 - c R 0 )  C 3 = S 2-(c R 1-c R 0)
生成された通常認証データ C 3は、 例えばサーバ 1に対し、 次回ソフ トウエアやデータの配信を依頼する際の当該クライエン ト 2の認証デ一 夕としてさらにメモリ 8に保存するようにする。  The generated normal authentication data C3 is further stored in the memory 8 as the authentication data of the client 2 when the server 1 requests the server 1 for the distribution of software or data next time, for example.
次に行われる第 2回目の通常認証のアクセスにおいては、 先ず第 2図 あるいは第 3図に示すオープンアクセスが実行され、 クライエント 2が サーバ 1の許諾を得た後、 クライエント 2がサーバ 1に向けて前回生成 したクライエント側の認証データ C 3を送信する。  In the second normal authentication access, the open access shown in Fig. 2 or 3 is executed first, and after Client 2 obtains the permission of Server 1, Client 2 obtains the permission of Server 1. The client-side authentication data C3 generated last time is transmitted to.
サーバ 1の認証 · 管理装置 3では、 受信されたクライエント 2側の認 証データ C 3の認証が行われる。 認証は、 認証デ一夕 C 3中に内在され る先にサーバ 1側が前回生成した認証データ S 2のクライエント 2側の 受信時 c R 1が、 サーバ 1側における認証データ C 2の受信時 s R lと 上記認証データ C 3の受信時 s R 2の間の時間領域に存在するか否かを 演算し、 下記数式 2 8ないし 3 0に基づき、 認証の実行を行うようにし ている。  The authentication of the server 1 and the management device 3 authenticate the received authentication data C3 of the client 2 side. The authentication is performed when the client 1 receives the authentication data S 2 previously generated by the server 1 before the server 1 side receives the authentication data C 2 at the server 1 side. It calculates whether or not it exists in the time domain between sRl and the time of receiving the authentication data C3 sR2, and performs the authentication based on the following equations 28 to 30.
「数式 2 8」  "Formula 2 8"
C 3≤ S 2  C 3≤ S 2
「数式 2 9」  "Equation 2 9"
C 3 - ( S V R /N o w) - ( c R 1 ) ≥ S 2 - ( s R 2 - s R 1 ) - ( s R l - B e f o r e S ND : S l )  C3-(SVR / Now)-(cR1) ≥ S2-(sR2-sR1)-(sRl-BeforeSND: Sl)
「数式 3 0 j  "Formula 3 0 j
S 2≥C 3≤ S 3→ 0≤ ( (C o n n e c t OK) - (D i s c o n n e c t ) ) - ( (S VR/N ow) - ( c R l ) ) ≤ 1 なお、 数式 2 8ないし 3 0を分解式で表すと下記数式 3 1ないし 3 3 式のようになる。 S 2≥C 3≤ S 3 → 0≤ ((Connect OK)-(D isconnect))-((S VR / Now)-(c R l)) ≤ 1 Expressions 28 to 30 can be expressed by the following expressions 31 to 33 when expressed by decomposition expressions.
「数式 3 1」  "Formula 3 1"
S 2 - ( c R l - c R O ) ≤ S 2  S 2-(c R l-c R O) ≤ S 2
「数式 3 2」  "Formula 3 2"
S 2 - ( c R l — c R O ) ― ( S V R/N o w) 一 ( c R l ) ≥ S 2 - ( s R 2 - s R 1 ) 一 ( s R l - B e f o r e S ND : S l ) 「数式 3 3 J  S 2-(c R l — c RO)-(SVR / Now) one (c R l) ≥ S 2-(s R 2-s R 1) one (s R l-B efore S ND: S l ) `` Formula 3 3 J
0≥ ( ( C o n n e c t OK) - (D i s c o n n e c t ) ) 一 ( ( S V R/N o w- ( c R l ) ) ≤ 1  0≥ ((Conn ect OK)-(Disconnect)) One ((SVR / Now- (cRl)) ≤ 1
上記各式 (例えば数式 3 1 ~ 3 3 ) に基づき、 データ C 3による通信 相手としてのクライエント 2の通常認証が、 サーバ 1 の認証 · 管理装置 3で実行されることとなる。 これに伴い、 サーバ 1 はクライエント 2に 向け、 オーダされたアプリケーショ ンゃデ一夕を通信相手に配信するこ とが可能となる。  Based on the above formulas (for example, formulas 31 to 33), normal authentication of the client 2 as the communication partner based on the data C3 is executed by the authentication / management device 3 of the server 1. Along with this, server 1 can deliver the ordered application data to client 2 to client 2.
次に、 サーバ 1の認証 · 管理装置 3は、 対応するクライエント 2側に 送信し、 次回当該クライエント 2の通常認証を行うための認証データ S 3の生成を行う。 このデータ S 3の生成はクライエント 2側より受信さ れた認証データ C 3の受信時 s R 2から、 前回のクライエント 2側より 送信された認証データ C 2の受信時 s R 1 を減じ、 さらにこの値に認証 データ C 3を加算することにより行うこととしている (数式 3 4参照)  Next, the authentication / management device 3 of the server 1 transmits the data to the corresponding client 2 side, and generates authentication data S3 for performing the normal authentication of the client 2 next time. This data S 3 is generated by subtracting s R 1 when receiving the authentication data C 2 transmitted from the previous client 2 side from s R 2 when receiving the authentication data C 3 received from the client 2 side. , And the authentication data C 3 is added to this value (see Equation 34).
「数式 3 4 J "Formula 3 4 J
S 2 = C 3 + ( s R 2 - s R 1 )  S 2 = C 3 + (s R 2-s R 1)
Y = C 1 — X  Y = C 1 — X
こうして生成されたサーバ 1側の認証データ S 3は、 サーバ 1の送受 信装置 4からクライエント 2の送受信装置 4に向けて送信され、 クライ ェント 2側の認証 · 管理装置 3は該送信の受信が c R 2の時点に行われ たことを確認する (第 3図参照) 。  The authentication data S 3 of the server 1 thus generated is transmitted from the transmission / reception device 4 of the server 1 to the transmission / reception device 4 of the client 2, and the authentication / management device 3 of the client 2 receives the transmission data. Confirm that the procedure was performed at the time point of cR2 (see Fig. 3).
この段階で、 クライエン ト 2の認証 ' 管理装置 3では、 受信されたサ —バ 1側の認証データ S 3の認証が行われる。 認証は、 認証デ一夕 S 3 中に内在され、 クライエント 2側からサ一バ 1側に前回送信した認証デ —夕 C 3のサーバ 1側における受信時 s R 2が、 クライエン卜 2側にお ける認証デ一夕 S 2の受信時 c R lと認証データ C 3の受信時 c R 2の 間の時間領域に属するか否かを演算し、 下記数式 3 5ないし 3 9に基づ き認証の実行を行うようにしている。 At this stage, authentication of Client 2 '' —Authentication of the authentication data S 3 on the side 1 is performed. The authentication is internal to the authentication server S 3, and the authentication data transmitted from the client 2 to the server 1 last time is received at the server 1 side of the server C 3 s R 2 is the client 2 side It is calculated whether or not it belongs to the time domain between the reception of the authentication data S 2 at the time of reception of the authentication data c R l and the reception of the authentication data C 3 at the time c R 2, based on the following formulas 35 to 39. Authentication is performed.
「数式 3 5」  "Formula 3 5"
S 3≥ C 1  S 3≥ C 1
「数式 3 6」  "Formula 3 6"
S 3≤ C 3 + ( c R 2 - c R 1 ) + (c R l - S ND : C 2) S 3 ≤ C 3 + (c R 2-c R 1) + (c R l-S ND: C 2)
「数式 3 7」 "Formula 3 7"
C 2≤ S 2≥C 3  C 2≤ S 2≥C 3
※数式 3 7で C 3はクライエン卜からサーバに向けてのデー 夕 C 3の送信時、 並びに C 4は次回のデータ C 4の送信時 なお、 数式 3 5ないし 3 7を分解式で表すと下記数式 3 8および 3 9 のようになる。  * In Equation 37, C3 is the time when the data C3 is transmitted from the client to the server, and C4 is the time when the next data C4 is transmitted.Equations 35 to 37 can be expressed by decomposition equations. Equations 38 and 39 below.
「数式 3 8」  "Formula 3 8"
C 3 + ( s R 2 - s R 1 ) ≥ C 3  C 3 + (s R 2-s R 1) ≥ C 3
「数式 3 9」  "Equation 3 9"
C 3 + ( s R 2 - s R l ) ≤C 3 + ( c R 2 - c R 1 ) + ( c R 1 C 3 + (s R 2-s R l) ≤C 3 + (c R 2-c R 1) + (c R 1
- S N D : C 2 ) -SND: C2)
上記各式 (例えば数式 3 8、 3 9) に基づき、 データ S 3による通信 相手としてのサーバ 1の認証が、 クライエント 2の認証 · 管理装置 3で 実行されることとなる。  Based on the above formulas (for example, formulas 38 and 39), the authentication of the server 1 as the communication partner by the data S3 is executed by the authentication / management device 3 of the client 2.
さらに、 クライエント 2の認証 ' 管理装置 3においては、 次回サーバ Furthermore, the authentication of Client 2 ''
1 との間で通信する際の、 サーバ 1に対しクライエン ト 2の認証を行わ せるための通常認証のための認証データ C 4が生成される。 該認証デー 夕 C 4の生成はクライエント 2において前回の認証データ S 3を受信し た受信時 c R 2から前々回認証データ S 2を受信した受信時 c R 1を減 じ、 この値を認証データ S 3から減じることにより生成される (第 3図 参照) 。 Authentication data C4 for normal authentication for causing server 1 to authenticate client 2 when communicating with server 1 is generated. The authentication data C 4 is generated by subtracting c R 1 when the authentication data S 2 was received two times before from the reception c R 2 when the previous authentication data S 3 was received at the client 2 at the reception when the previous authentication data S 3 was received. Generated by subtracting from data S 3 (Fig. 3 See).
「数式 4 0」  "Formula 40"
C 4 = S 3 - ( s R 2 - c R 1 )  C 4 = S 3-(s R 2-c R 1)
生成された通常認証デ一夕 C 4は、 例えばサーバ 1 に対し、 次回ソフ トウエアやデータの配信を依頼する際の当該クライエント 2の認証デ一 タとしてさらにメモリ 8に保存するようにする。 こう した第 2図、 第 3 図に示す通常認証における時間デ一夕 C 2→S 2→C 3→S 3→C 4と 続く時間データの変遷は、 先ず時間データ C 2をサーバ 1が、 その認証 後にサーバ 1 における固有時間系の刻時々間量 ( s R 1— s R 0 ) を加 算して時間データ S 2の生成を行い、 さらにこうして生成された時間デ 一夕 S 2は、 クライエント 2側でクライエント 2における固有時間系の 刻時々間量 ( c R l— c R O ) の減算が、 その認証後に行われる。 この ように初期認証から通常認証に至るデータの変遷は認証基礎データ Xを 基礎に、 相互通信におけるコンピュー夕間の受信時あるいは送信時の固 有時間系の刻時々間量データを加算あるいは減算することにより推移さ れることとなる。  The generated normal authentication data C4 is further stored in the memory 8 as authentication data of the client 2 when the server 1 requests the server 1 for the distribution of software or data next time. As shown in Figs. 2 and 3, the transition of the time data in the normal authentication shown in Figs. 2 and 3, C2 → S2 → C3 → S3 → C4, is as follows. After the authentication, the time data S2 is generated by adding the time-to-time amount (sR1-sR0) of the eigen-time system in the server 1, and the time data S2 generated in this manner is On the Client 2 side, the subtraction of the time-to-hour amount (cRl—cRO) of the eigentime system at Client 2 is performed after the authentication. In this way, the transition of data from the initial authentication to the normal authentication is based on the basic authentication data X, and adds or subtracts the time-to-hour data of the unique time system at the time of reception or transmission of the computer in mutual communication. Therefore, it will be changed.
こうしてクライエント 2 とサーバ 1 は、 相互通信を重ねることで、 よ り精度の高い相互認証が実現されることとなり、 クライエント 2 とサー バ 1 とが共有し、 同時に進行する秒単位の設定期間 Qを利用してコンピ ュ一タネッ トワーク環境での相互認証が可能となる。 すなわち、 本認証 • 管理装置 3においては送信する認証データ自体に関して見れば、 具現 化された無機質な数を秒に置換したものであり、 従来のパスヮードのよ うに記憶対象となる規定された数とは異なるものである。 しかも、 時間 識別子としてのこの認証データは、 通信者間で取り決めた設定期間 Q中 の、 通信者間で行った各アクセスの時間 (通信履歴の中での発信時間や 受信時間) が内在されるので相互通信が進めば進むほどその信頼性が高 まり、 他方第三者がこのデータをある時点で入手したとしても、 その構 成要素としての Q ( Q Bや Q E ) や通信者相互に保存された過去の通信 履歴についてまで解析することは不可能であり、 例えば盗聴自体が全く 無意味なものとなる。 よって、 通信相手の機器を従来の各手段に比べて 確実に認証することが可能となり、 しかも刻時装置やカレンダ装置を保 持するあらゆるコンピュー夕機器に簡易に内蔵させることが可能となる そして、 上記サーバ 1側の認証 · 管理装置 3は、 当初供給あるいは送 信した認証基礎データ Xを、 その後の通信の度にその精度が高められて ゆく当該認証データ ( S 1→ S 2→ S 3… S n ) をメモリ 8に保存し、 順次更新していく こととなり、 また必要に応じて当該時間データを削除 することとする。 例えば、 通信相手に係るコンピュータが契約違反を行 つた場合 (オンライン上の不正行為、 料金の不払、 その他契約違反) 、 そうしたノードに係る時間データ並びにそれに付随するデータ ( t 2〜 w 2、 第 1 1図参照) を削除することとなる。 In this way, client 2 and server 1 communicate with each other to achieve more accurate mutual authentication, and are shared by client 2 and server 1 and set simultaneously in seconds. Using Q enables mutual authentication in a computer network environment. In other words, the authentication data itself transmitted by the authentication / management device 3 is obtained by replacing the embodied inorganic number with seconds, and the specified number to be stored like a conventional password. Are different. In addition, this authentication data as a time identifier contains the time of each access (communication time and reception time in the communication history) performed between the communication parties during the set period Q negotiated between the communication parties. Therefore, the more reliable the intercommunication, the higher its reliability.On the other hand, even if a third party obtains this data at some point, it is stored as Q (QB or QE) as a constituent element or between the communicating parties. It is impossible to analyze even past communication histories, and eavesdropping itself becomes completely meaningless. Therefore, the communication partner device is Authentication can be reliably performed, and it can be easily built into any computer device that holds a clocking device and calendar device.The authentication and management device 3 on the server 1 side is initially supplied Alternatively, the transmitted authentication basic data X is stored in the memory 8 and the authentication data (S 1 → S 2 → S 3 ... S n) whose accuracy is improved in each subsequent communication is stored in the memory 8 and sequentially updated. The time data will be deleted as necessary. For example, if the computer of the communicating party violates the contract (online fraud, payment failure, other breach of contract), the time data and the accompanying data (t2 to w2, no. 11 See Fig. 1).
加えて、 上記認証 · 管理装置を利用すれば、 同一の通信相手に対し、 ある膨大なデータを分割して、 複数回に分けて送信したり、 極めて秘密 性の高いデータ (電子マネ一としての金銭データ、 外交上の通信文書、 社内文書等) をデジタルデータとして時間データの中に組み込んで送信 したり、 これに付随して送信することも可能とされ、 さらにあるデ一夕 を例えばサーバが多数のクライエントに分散送信して保存させておく こ ともでき、 データバックアップとしての機能に利用させることも可能と なる。 なお、 こうしたデ一夕バックアップにおいて、 あるサーバが多数 のクライエン卜に分散保存させる場合において、 ある膨大なデータに関 し本発明においての秒置換を実施し、 これをサーバが設定するプロ トコ ルで規定する秒周期ごとに各クライエントに分散して送信することとす れば、 各クライエント単体においては、 送信されたデ一夕について、 た とえ解析を行ったとしてもその内容を全く理解することができず、 デ一 夕の秘密分散保持が達成できることとなる。 こうしたデータの秘密分散 保持を利用すれば、 例えネッ 卜ワーク上のあるノードに故障や災害が発 生したとしても、 データが分散状態で保持されているため、 後日これら データを送信先全てからから返信させることで集積し、 復号を行うこと でデータの再構築が可能となり、 データ消失に対するリスク分散が達成 できることとなる。 なお、 上記実施形態においては、 サーバ 1並びにクライエント 2側の 各刻時装置 7 により刻時する値を、 協定世界時に規定された秒としてい るが、 ここでの秒並びに秒の積算値に係る設定期間 Qの値は 1ノ 1 0 0 秒単位、 1ノ 1 0 0 0秒単位等の概念を含むものであり、 要は dimension として協定世界時に規定された秒を使用することを意味する。 In addition, if the authentication and management device described above is used, a huge amount of data can be divided and transmitted multiple times to the same communication partner, or extremely confidential data (such as electronic money) Money data, diplomatic communication documents, in-house documents, etc.) can be transmitted as digital data embedded in the time data, or transmitted along with it. It can be distributed and saved to many clients, and can be used as a data backup function. In such a data backup, when a certain server distributes and saves data to a large number of clients, second replacement is performed according to the present invention for a huge amount of data, and this is performed by a protocol set by the server. Assuming that transmissions are distributed to each client every specified second period, each client alone understands the contents of the transmitted data even if the analysis is performed. Therefore, it is possible to achieve secret sharing and maintenance for a while. If this kind of secret sharing of data is used, even if a failure or disaster occurs in a certain node on the network, the data is kept in a distributed state, and these data will be sent from all destinations at a later date. By replying, the data is accumulated, and by decoding, the data can be reconstructed, and the risk distribution against data loss can be achieved. In the above embodiment, the value clocked by each clocking device 7 of the server 1 and the client 2 is the second specified in the universal time, but the second and the integrated value of the second are used here. The value of the set period Q includes the concept of 100-second units, 100-second units, etc., and it means that the second specified in Coordinated Universal Time is used as the dimension. .
また、 上記実施形態ではサーバ 1 における力レンダ装置 6並びに刻時 装置 7を用いてある始点日時 Q Bと終点日時 Q E間の期間 Qを設定する こととしているが、 初期設定管理ステツプ Aでの期間 Qに相当する秒の 設定は、 単にカレンダ上での期間設定だけを意味するものではなく、 出 願人が既に WO97/22047 に係る P C T特許出願で提案を行っている 「固 有時間の生成装置」 で規定する一定の始期から終期を刻時する刻時装置 でのある始点からある終点に至る秒単位の期間データを含む概念であり 、 要は過去あるいは現在のある時点から将来のある時点までをコンスタ ントに刻時することのできる刻時手段により、 計測できる期間を秒で単 位表現し、 設定する手段に係る。  In the above-described embodiment, the period Q between the start date / time QB and the end date / time QE is set using the force renderer 6 and the clocking device 7 in the server 1, but the period Q in the initial setting management step A is set. The setting of seconds corresponding to does not simply mean setting the period on the calendar, but the applicant has already proposed in the PCT patent application related to WO97 / 22047 `` Eigentime generator ''. This is a concept that includes period data in seconds from a certain starting point to a certain ending point in a clocking device that clocks from a certain starting point to an ending point specified in. It relates to the means for setting and measuring the period of time that can be measured in seconds by means of a clock that can be clocked on a constant.
また、 上記実施形態では、 サーバ 1の送受信装置 4に受信された初回 のオープンアクセスの受信に基づき (第 1図参照) 、 カレンダ装置 6並 びに刻時装置 7を参照して、 あるいは固有時間の生成装置の単体で、 設 定期間 Q中のアクセス時間 R 0を設定することとしているが、 対応する ノード (クライエント 2 ) に関するこう した通信日時に関するデータの 設定はこのようなオープンアクセス時間 (受信該当日時) に限定されず 、 対応するノードに対する送信日時、 対応するノード (クライエント 2 ) に関する通信に基づくデータファイルの新規作成日時、 データフアイ ルの更新日時あるいはこれらの日時を選択的に組み合わせて構成するも のであってもよく、 要は被アクセス側 (サーバ 1 ) のノードにおいて、 対応するノードとの相互通信に起因する固有の日時をカレンダ装置 6や 刻時装置 7を参照してあるいは固有時間の生成装置の単体で、 設定期間 Qにおける秒の経過時点として、 デ一夕を捕捉できるものであればよい また上記実施形態に係る認証 · 管理装置 3においては、 認証基礎デ一 / 2 Further, in the above embodiment, based on the first open access received by the transmitting / receiving device 4 of the server 1 (see FIG. 1), the calendar device 6 and the clock device 7 are referred to, The access time R 0 during the setting period Q is set by the generator itself, but the data related to the communication date and time for the corresponding node (Client 2) is set in such open access time (reception time). The date and time of transmission to the corresponding node, the date and time of new creation of a data file based on communication with the corresponding node (Client 2), the date and time of update of the data file, or a selective combination of these dates and times. In other words, the node on the accessed side (server 1) may be configured with the corresponding node. If the unique date and time caused by the mutual communication can be captured by referring to the calendar device 6 and the clock device 7 or as a single unit of the unique time generation device as the lapse of seconds in the set period Q In the authentication / management device 3 according to the above embodiment, the / 2
- 32 - 夕 X 1 の生成を数式に基づいて実行するようにしているが、 該デ一夕 X の生成はこのようなものに限定されず、 受信された各数値 ( t 2〜w 2 ) をノード (サーバ 1 ) が設定するプロ トコルにより、 任意に加算、 減 算、 乗算、 除算することにより、 作成することとしてもよい。 要はァク セス側から送信された固有のデータやアクセス側からの通信アクセスに 起因する各種データを生成される時間データに内在あるいは対応させる ことができればよく、 さらにこうして生成される時間データの中にサー バ 1が規定する隠しコードゃ、 通信する各クライエン 卜 2に分散保存さ せるべきデータ、 さらにクライエント 2に秘密送信させたいデータを内 在させることも可能となる。 産業上の利用可能性 Although the generation of the evening X 1 is performed based on the formula, the generation of the evening X is not limited to this, and each received numerical value (t 2 to w 2) May be created by arbitrarily adding, subtracting, multiplying, or dividing according to the protocol set by the node (server 1). In short, it is only necessary that the unique data transmitted from the access side and various data resulting from the communication access from the access side be included in or correspond to the generated time data. In addition, the hidden code 規定 defined by the server 1, the data to be distributed and stored in each of the communicating clients 2, and the data to be confidentially transmitted to the client 2 can also be included. Industrial applicability
本発明に係る認証 ' 管理装置 3においては、 もっぱらコンピュータと してのサーバ 1側に設定される認証 · 管理装置 3を中心にその動作手段 を説明したが、 こうした認証 · 管理装置 3は第 1 3図に示すようにクラ イエント 2側にも設定し、 同様に該クライエント 2が他のクライエント との通信を行う際の認証を行うことも可能とされ、 第 1 4図に示すよう にサーバ、 クライエント、 ドメイン等のあらゆるコンピュータに設定し 、 使用することができる。 したがって、 C A局のような第三者的認証機 関がもはや不要となり、 ネッ トワーク環境での相互認証が極めて簡易に 行える利点がある。 この他、 ファクシミ リ、 固定並びに携帯電話機、 キ ャッシュディスペンサー、 通信カラオケ機器、 モパイル端末、 電子決算 端末、 C A T V端末、 情報家電機器、 ハウスオートメーショ ン端末など 、 力レンダ装置や刻時装置を内蔵するあらゆる機器にインストールする ことができ、 電子決済、 課金、 遠隔操作などのデータ処理をアクセス側 と被アクセス側との間で確実に実施できることとなる。  In the authentication / management apparatus 3 according to the present invention, the operating means has been described mainly on the authentication / management apparatus 3 set on the server 1 side as a computer. As shown in Fig. 3, it can be set on the client 2 side as well, and it is also possible to perform authentication when this client 2 communicates with other clients, as shown in Fig. 14. Servers, clients, domains and other computers can be set up and used. Therefore, there is no longer a need for a third-party authentication organization such as CA, which has the advantage that mutual authentication in a network environment can be performed extremely easily. In addition, facsimile, fixed and mobile phones, cash dispensers, communication karaoke equipment, mopile terminals, electronic settlement terminals, CATV terminals, home information appliances, house automation terminals, etc. It can be installed on any built-in device, and data processing such as electronic payment, billing, and remote control can be reliably performed between the access side and the accessed side.

Claims

請求 の 範 囲 The scope of the claims
. 通信回線により結ばれる各コンピュータ間で、 通信アクセスを行う アクセス側と該通信アクセスを受ける被アクセス側において、 少なく とも被アクセス側のコンピュータに、 ある日時を始期とし、 ある日時 を終期とする刻時々間帯を始期から終期に至るまで、 同一の刻時間隔 をもって刻時手段によりコンスタントに刻時する固有時間の生成装置 を設定するとともに、 アクセス側のコンピュータに前記被アクセス側 のコンピュータに設定された固有時間の生成装置と同一の刻時間隔を もって刻時手段により経時々間をコンスタン卜に刻時する計時装置を 設定し、 少なく とも前記被アクセス側のコンピュータにおいて、 固有 時間の生成装置により始期から終期に至る刻時々間帯を、 アクセス側 のコンピュー夕に設定される計時装置と同じ刻時間隔をもって進行す る時空間を画成し、 Between the computers connected by the communication line, the access side that performs the communication access and the accessee that receives the communication access, at least the computer of the accessee must start at a certain date and time and end at a certain date and time. From the beginning to the end of the intermittent zone, a device for generating a specific time that is constantly clocked by the clock means at the same clock interval is set, and the computer on the access side is set on the computer on the accessed side. A time-measuring device is set by the time-measuring means with a constant time interval having the same time interval as that of the unique time generating device, and at least in the computer on the accessed side by the unique time generating device A timing device that is set on the computer on the access side from time to time from the beginning to the end Defines a space-time that travels at the same time interval as
アクセス側と被アクセス側のコンピュー夕間で相互通信を複数回繰り 返し、 被アクセス側コンピュータにおけるアクセス側のコンピュータ の信号の受信時、 並びに被アクセス側のコンピュータにおけるァクセ ス側のコンピュータへの信号の送信時を固有時間の生成装置で刻時し 、 一方アクセス側のコンピュータにおける被アクセス側のコンピュー 夕へ送信した信号の送信時、 並びにアクセス側のコンピュータにおけ る被アクセス側のコンピュータから受信した信号の受信を計時装置で 刻時し、 これら各刻時された刻時々点並びにその経過に関する時間デ 一夕をアクセス側のコンピュータと被アクセス側のコンピュータとの 間で授受し、 The communication between the accessing computer and the accessed computer is repeated a plurality of times. When the accessed computer receives a signal from the accessing computer, and when the accessed computer receives a signal from the accessed computer to the accessed computer. The transmission time is clocked by the unique time generation device, and the signal transmitted from the computer on the access side to the computer on the accessed side and the signal received from the computer on the accessed side by the computer on the accessed side The reception of the time is clocked by a timekeeping device, and the time data of the time points and the progress of each time are transmitted and received between the computer on the access side and the computer on the access side.
被アクセス側のコンピュータの固有時間の生成装置が刻時する時空間 における時間推移として、 前記アクセス側のコンピュータとの間で授 受した各時間データの変化を順次記憶し、 あるいは記録し、 通信相手 に係るアクセス側のコンピュー夕に関する認証データとして保存し、 あるいは更新することとし、 該認証データを被アクセス側コンピュー 夕に対するアクセス側コンピュータのアクセスにおいて使用させるこ とにより、 該アクセス側コンピュータの認証を行うこととする認証 · 管理装置。 A change of each time data exchanged with the computer on the access side is sequentially stored or recorded as a time transition in a time space which is clocked by the generation device of the unique time of the accessed computer, and the communication partner The access-side computer is authenticated by storing or updating it as authentication data relating to the access-side computer according to the above, and using the authentication data in the access-side computer access to the accessed-side computer. Certifications · Management device.
2 . 請求項 1 において、 アクセス側のコンピュータにおいて設定される 計時装置は、 被アクセス側のコンピュータに設定される固有時間の生 成装置と同じ、 ある日時を始期とし、 ある日時を終期とする刻時々間 帯を始期から終期に至るまで、 同一の刻時間隔をもって刻時手段によ りコンスタントに刻時する固有時間の生成装置とされ、 該固有時間の 生成装置は被アクセス側から供給され、 あるいは被アクセス側コンビ ユー夕から送信されて、 アクセス側のコンピュータにおいて設定され 、 アクセス側のコンピュータにおいても同じ刻時々間帯を同じ刻時間 隔をもって進行する時空間が画成されるものである認証 · 管理装置。  2. In claim 1, the timing device set in the access-side computer has the same date and time as the generation device of the specific time set in the accessed-side computer, starting at a certain date and time and ending at a certain date and time. From the beginning to the end of the period, the time is set to be a constant time generating device that is constantly clocked by the clocking means at the same clock interval, and the specific time generating device is supplied from the accessed side, Alternatively, the authentication is transmitted from the accessed user and is set in the computer on the access side, and the access-side computer also defines a time and space that travels in the same time interval at the same time interval. · Management equipment.
3 . 請求項 1 または 2において、 被アクセス側のコンピュータに設定さ れる固有時間の生成装置の刻時手段、 並びにアクセス側のコンピュー 夕に設定される計時装置の刻時手段は、 ともに協定世界時に規定され る秒をコンスタントに刻時するものとされる認証 · 管理装置。  3. In claim 1 or 2, both the clocking means of the device for generating the unique time set on the accessed computer and the clocking means of the clocking device set on the computer on the accessing side are both in universal time. An authentication / management device that always clocks specified seconds.
4 . 請求項 1 において、 アクセス側のコンピュータにおいて設定される 計時装置は、 協定世界時、 並びにグレゴリオ暦に基づくカレンダ装置 を備えた時計装置とされ、 被アクセス側のコンピュータに送信される アクセス側のコンピュー夕に関する時間データは、 時計装置が刻時す る時分秒に基づくデータであり、 被アクセス側のコンピュータには、 該受信された時分秒に基づくデータを被アクセス側のコンピュー夕に 設定される固有時間の生成装置が刻時する時空間における時間推移に 置換する装置が備えられる認証 · 管理装置。 4. In claim 1, the clocking device set in the computer on the access side is a clock device provided with a calendar device based on the Coordinated Universal Time and the Gregorian calendar, and the clock device on the access side transmitted to the computer on the accessed side. The time data relating to the computer is data based on the hour, minute, and second clocked by the clock device, and the accessed computer sets the received data based on the received hour, minute, and second in the accessed computer. Authentication / management device equipped with a device that replaces the time transition in the spatio-temporal time that is generated by the device that generates the unique time.
5 . 請求項 1ないし 4のいずれかに記載の認証 · 管理装置において、 被アクセス側のコンピュータがアクセス側のコンピュータとの間で 授受する時間データは、 アクセス側と被アクセス側のコンピュータ間 で相互通信を複数回繰り返し、 被アクセス側のコンピュータに設定さ れる固有時間の生成装置が刻時する時空間において、 5. The authentication / management device according to any one of claims 1 to 4, wherein the time data exchanged between the accessed computer and the accessed computer is different between the accessed computer and the accessed computer. The communication is repeated several times, and in the spatio-temporal time that is generated by the generator of the specific time set in the accessed computer,
被アクセス側のコンピュータにおける少なく とも前回のアクセス側 のコンピュータからの信号の被アクセス側受信時から、 これに対する 今回のアクセス側のコンピュータ向けての信号の被アクセス側送信時 に至る被アクセス側経時々間量と、 At least when the accessed computer receives the signal from the accessed computer at least the last time the accessed computer receives the signal from the accessed computer, and transmits the signal to the accessed computer at this time. The amount of time on the accessed side that leads to
アクセス側のコンピュータにおける前回の被アクセス側のコンビュ 一夕に対する信号のアクセス側送信時から、 これに対する今回の被ァ クセス側のコンピュー夕から送信される信号のアクセス側受信時に至 るアクセス側経時々間量と、  The access-side computer elapses from the time when the access-side computer transmitted the signal to the accessed-side computer last time to when the access-side computer received the signal transmitted from the accessed-side computer. Between the amount
に基づく時間デ一夕を比較し、 前記時空間におけるアクセス側送信 時とアクセス側受信時の間に、 前記被アクセス側送信時、 被アクセス 側受信時、 あるいは被アクセス側経時々間量が包含されるか否かに基 づき、 アクセス側コンピュータを認証することとしてなる認証 · 管理 装置。  The time-delay based on the time-space is compared between the access-side transmission time and the access-side reception time in the time-space, the access-side transmission time, the access-side reception time, or the access-side time-lapse amount is included. An authentication / management device that authenticates the accessing computer based on whether or not it is authorized.
6 . 請求項 1 において、 アクセス側のコンピュータから被アクセス側の コンピュータになされる初回の申込のアクセスの、 被アクセス側のコ ンピュー夕での受信時を、 被アクセス側のコンピュー夕に設定される 固有時間の生成装置が刻時する経時々間に基づいて認識し、 該経時々 間により認証基礎データを設定し、 該設定された認証基礎データを以 後アクセス側と被アクセス側のコンピュータ間の通信における相互認 証のため生成する時間データの基礎数値として用いることとしてなる 認証 · 管理装置。  6. In claim 1, the time of receiving the first application access from the accessing computer to the accessed computer at the receiving computer is set to the accessed computer. Recognition is performed based on the time elapsed by the unique time generation device, and the basic authentication data is set according to the elapsed time, and the set authentication basic data is subsequently transmitted between the computer on the access side and the computer on the accessed side. An authentication and management device that is used as the basic numerical value of time data generated for mutual authentication in communication.
7 . 請求項 6 において、 認証基礎データに基づくアクセス側のコンビュ 一夕あるいは被アクセス側のコンピュータにおける時間デ一夕の生成 は、 相互通信においてコンピュー夕間で授受される前記認証基礎デー 夕に、 当該コンピュータが相手方コンピュー夕との間で実施する通信 の受信時あるいは送信時の刻時々点に関するデ一夕を加算あるいは減 算して行うこととしてなる認証 · 管理装置。  7. The method according to claim 6, wherein the generation of the data on the access side or the computer on the accessed side based on the basic authentication data is performed in the basic authentication data exchanged between the computers in the mutual communication. An authentication / management device that performs addition or subtraction of data on time points at the time of reception or transmission of communications performed by the computer with the other computer.
8 . コンピュータネッ トワークにおける各コンピュータに設定され、 コ ンピュー夕のノード同士及びノードを経由する各種デ一夕を相互に認 証し、 これを管理する請求項 3に記載の認証 · 管理装置にあって、 被アクセス側のノードに、 8. The authentication / management device according to claim 3, which is set in each computer in the computer network and mutually authenticates and manages each node of the computers and various types of data passing through the nodes. , To the accessed node,
A、 被アクセス側のコンピュータに設定される固有時間の生成装置 が刻時する、 ある日時を始期 Q B 0 とし、 ある日時を終期 Q E 0 とす る刻時々間帯を、 アクセス側のコンピュータにおいても設定させ、 ァ クセス側と被アクセス側において始期 Q B 0並びに終期 Q E 0を共通 にし、 刻時々間帯を始期 Q B 0から Q E 0に至るまで刻時手段により コンスタントに刻時する時空間を画成する初期設定管理ステツプ Aと 、 A. A certain date and time is set as the beginning QB 0 and a certain date and time is set as the end QE 0, which is generated by the generator of the unique time set in the accessed computer. A time interval is set on the accessing computer as well, and the starting and ending QB 0 and the ending QE 0 are shared between the accessing side and the accessed side. Initial setting management step A that defines a time and space that is constantly clocked by time means,
B、 上記刻時々間帯の絶対値 Qを 2で除し、 この値から、 アクセス 側から被アクセス側へ送信される初回の申込の受信時 R 0より刻時々 間帯の始期 Q B 0を減じた値を減じて認証基礎データ Xを生成し、 ァ クセス側のノ一ドへ向けて該認証基礎デ一夕 Xを送信する初期設定管 理ステップ Bと、  B, Divide the absolute value Q of the above interim time zone by 2, and subtract the start time of the interim time zone QB 0 from R 0 when receiving the first application transmitted from the access side to the accessed side. Initial value management step B for generating authentication basic data X by subtracting the value and transmitting the authentication basic data X to the node on the access side.
C、 初期設定管理ステップ Bに基づき生成され、 アクセス側に送信 された認証基礎データ Xについて、 アクセス側のコンピュータにおけ る該送信されたデータ Xの受信時 c B 0から刻時々間帯の始期 Q B 0 を減じた値に認証基礎データ Xを加算して、 アクセス側の初期認証デ —夕 C 1 をアクセス側のコンピュータにおいて演算させ、 該初期認証 データ C 1をアクセス側より受信する初期認定管理ステップ Cと、 C, for the basic authentication data X generated based on the initial setting management step B and transmitted to the access side, when the transmitted data X is received at the computer on the access side. The basic authentication data X is added to the value obtained by subtracting QB0, and the initial authentication data on the access side is calculated by the computer on the access side, and the initial authentication management for receiving the initial authentication data C1 from the access side is performed. Step C,
D、 アクセス側より送信されて被アクセス側へ受信時 s R 0に受信 された初期認証データ C 1 中に内在される認証基礎データ Xのァクセ ス側の受信時 c B 0が、 被アクセス側における初回の申込の受信時 R 0 と初期認証データ C 1の受信時 s R 0の間の時間領域に存在するか 否かを演算し、 アクセス側のノードを認証する初期設定管理ステツプ Dと、 D, when receiving from the access side and receiving to the accessed side s When receiving on the access side the basic authentication data X included in the initial authentication data C 1 received at R 0 c B 0 is the receiving side An initial setting management step D for calculating whether or not it exists in the time domain between the time of receiving the first application R 0 and the time of receiving the initial authentication data C 1 s R 0, and authenticating the access-side node;
E、 初期設定管理ステップ Dで、 アクセス側より受信され、 認証さ れた初期認証データ C 1から初期設定管理ステツプ Bで生成された認 証基礎データ Xを減じ、 さらにこの値に上記初期認証デ一夕 C 1 を加 算して被アクセス側の初期認証データ S 1 を生成し、 アクセス側のノ 一ドへ向けて該初期認証データ S 1 を送信する初期設定管理ステップ Eと、  E. In the initial setting management step D, the basic authentication data X generated in the initial setting management step B is subtracted from the initial authentication data C1 received and authenticated from the access side, and the initial authentication data is added to this value. An initial setting management step E for generating the initial authentication data S 1 of the accessed side by adding the overnight C 1 and transmitting the initial authentication data S 1 to the node of the access side;
F、 初期設定管理ステップ Eに基づき生成され、 アクセス側に送信 されアクセス側に受信時 c R 0 に受信された初期認証データ S 1 につ いて、 該デ一夕 S 1 中に内在されるアクセス側から被アクセス側に送 信した初期認証データ C 1 の被アクセス側の受信時 s R 0が、 ァクセ ス側における認証基礎データ Xの受信時 c B 0 と初期認証データ C 1 の受信時 c R 0の間の時間領域に存在するか否かを演算させ、 被ァク セス側のノードをアクセス側において認証させる初期設定管理ステツ プ Fと、 F, generated based on the initial setting management step E, transmitted to the access side, and received by the access side c Initial data S 1 received at R 0 When the receiving side receives the initial authentication data C 1 transmitted from the accessing side to the accessed side during the data transmission S 1 to the accessed side, the receiving side receives the basic authentication data X on the accessing side. The initial setting management step F is performed to calculate whether or not it exists in the time domain between the time c B 0 and the time c R 0 when the initial authentication data C 1 is received, and to authenticate the node on the access side on the access side. When,
を備えてなる認証 · 管理装置。  An authentication and management device comprising:
9 . 請求項 8において、 初期設定管理ステップ Eに基づき生成された初 期認証データ S 1 を、 次回以降、 アクセス側において被アクセス側へ アクセスし、 認証を受けるための時間データとして、 あるいはその基 礎データに係る時間データとして記憶、 あるいは記録させ、 該データ を順次被アクセス側との間で行う通信のアクセス側の認証データとし て保存し、 あるいは更新させてなる認証 · 管理装置。  9. In claim 8, the initial authentication data S1 generated based on the initial setting management step E is used as time data for accessing to the accessed side and receiving authentication from the next time, or based on the time. An authentication / management device that stores or records as time data related to basic data, and stores or updates the data as authentication data on the access side of communication performed sequentially with the accessed side.
10. コンピュータネッ トワークにおける各コンピュータに設定され、 コ ンピュー夕のノード同士及びノードを経由する各種データを相互に認 証し、 これを管理する請求項 3に記載の認証 · 管理装置にあって、 アクセス側のノードに、  10. The authentication / management device according to claim 3, which is set on each computer in the computer network and mutually authenticates and manages various data of the computer nodes and various data passing through the nodes. On the side node,
a、 被アクセス側のコンピュータに設定される固有時間の生成装置 が刻時する、 ある日時を始期 Q B 0 とし、 ある日時を終期とする Q E 0 とする刻時々間帯を、 アクセス側のコンピュータにおいても被ァク セス側から送信され、 あるいは供給を受けて設定し、 アクセス側と被 アクセス側において始期 Q B 0並びに終期 Q E 0を共通にし、 刻時々 間帯を始期 Q B 0から Q E 0に至るまで刻時手段によりコンスタント に刻時する時空間を画成する初期設定管理ステツプ aと、  a. The access-side computer sets the time interval between the times when the generator of the specific time set in the computer to be accessed clocks, the certain date and time is the beginning QB0, and the certain date and time is the end QE0. Is also sent from the accessed side or set by receiving the supply, the starting and ending QB 0 and the ending QE 0 are shared on the accessing side and the accessed side, and the time zone from the beginning QB 0 to QE 0 An initial setting management step a that defines a time space that is constantly clocked by clock means,
b 1、 アクセス側から被アクセス側のノードに向け、 初回の申込を 送信する初期設定管理ステップ b 1 と、  b 1, Initial setting management step b 1 for sending the first application from the access side to the accessed node,
b 2、 被アクセス側のコンピュータにおいて、 上記刻時々間帯の絶 対値 Qを 2で除し、 この値から、 アクセス側から被アクセス側へ送信 した初回の申込の被アクセス側での受信時 R 0より刻時々間帯の始期 Q B 0を減じた値を減じて認証基礎デ一夕 Xを生成させ、 被アクセス 側のノ一ドから該認証基礎データ Xを受信する初期設定管理ステツプ b 2 と、 b 2, At the accessee's computer, the absolute value Q of the above time interval is divided by 2, and this value is used when the accessee receives the first application sent from the accessor to the receiver. The initial period of the interim zone QB 0 is subtracted from R 0 and the value obtained by subtracting it is subtracted to generate the basic authentication data X. An initial setting management step b2 for receiving the basic authentication data X from the node on the side;
c、 初期設定管理ステツプ b 2 に基づき受信された認証基礎データ Xについて、 アクセス側のコンピュータにおける該受信されたデータ Xの受信時 c B 0から刻時々間帯の始期 Q B 0を減じた値に認証基礎 データ Xを加算して、 アクセス側の初期認証データ C 1 を演算し、 該 初期認証デ一夕 C 1 を被アクセス側のノードに向け送信する初期認定 管理ステッフ c と、  c, for the basic authentication data X received based on the initial setting management step b2, when the access side computer receives the received data X, the value obtained by subtracting the start time QB0 of the interim time zone from B0. The basic authentication data X is added to calculate the initial authentication data C 1 on the access side, and the initial authentication management step c for transmitting the initial authentication data C 1 to the accessed node,
d、 初期設定管理ステップ c により、 アクセス側より送信されて被 アクセス側へ受信時 s R 0に受信された初期認証データ C 1 中に内在 される認証基礎データ Xのアクセス側の受信時 c B 0が、 被アクセス 側における初回の申込の受信時 R 0 と初期認証データ C 1 の受信時 s R 0の間の時間領域に存在するか否かを演算させ、 被アクセス側にお いてアクセス側のノードを認証させる初期設定管理ステップ dと、 e、 初期設定管理ステップ dで、 被アクセス側に送信され、 認証さ れた初期認証データ c 1から初期設定管理ステツプ b 2で生成された 認証基礎データ Xを減じ、 さらにこの値に上記初期認証データ C 1 を 加算して被アクセス側において、 被アクセス側の初期認証データ S 1 が生成され、 被アクセス側から送信されてアクセス側のノードで該初 期認証データ S 1 を受信する初期設定管理ステツプ e と、  d, during the initial setting management step c, when transmitted by the access side and received by the accessed side s When the access side receives the basic authentication data X contained in the initial authentication data C 1 received by R 0 c B It is calculated whether or not 0 exists in the time region between the time R 0 when the first application is received on the accessed side and the time s R 0 when the initial authentication data C 1 is received. In the initial setting management steps d and e for initializing the nodes, the initial setting management step d sends the authenticated initial authentication data c1 to the accessee side, and the authentication basis generated in the initial setting management step b2 from the authenticated initial authentication data c1. The data X is subtracted, and the above-mentioned initial authentication data C 1 is added to this value to generate the initial authentication data S 1 of the accessed side at the accessed side, transmitted from the accessed side, and transmitted by the accessed side node. An initial setting management step e for receiving the initial authentication data S 1,
f 、 初期設定管理ステップ e に基づき生成され、 アクセス側に送信 されアクセス側に受信時 c R 0に受信された初期認証データ S 1 につ いて、 該データ S 1 中に内在されるアクセス側から被アクセス側に送 信した初期認証データ C 1の被アクセス側の受信時 s R 0が、 ァクセ ス側における認証基礎データ Xの受信時 c B 0 と初期認証データ C 1 の受信時 c R 0の間の時間領域に存在するか否かを演算し、 被ァクセ ス側のノードをアクセス側において認証する初期設定管理ステップ f と、  f, generated at the initial setting management step e, transmitted to the access side, and received by the access side.c The initial authentication data S1 received at R0 is received from the access side inherent in the data S1. S R 0 when receiving the initial authentication data C 1 transmitted to the accessed side at the accessed side, when receiving the basic authentication data X at the access side c B 0 and when receiving the initial authentication data C 1 c R 0 An initial setting management step f for calculating whether or not the access-side node exists in the time domain, and authenticating the access-side node on the access side;
を備えてなる認証 · 管理装置。  An authentication and management device comprising:
11. 請求項 1 0において、 初期設定管理ステップ e に基づき生成された 初期認証データ S I を、 次回以降、 被アクセス側へアクセスし、 認証 を受けるための時間データとして、 あるいはその基礎データに係る時 間データとして記憶、 あるいは記録し、 該データを順次被アクセス側 との間で行う通信のアクセス側の認証デ一夕として保存し、 あるいは 更新することとした認証 · 管理装置。 11. In claim 10, generated based on the initial setting management step e. From the next time, the initial authentication data SI is stored or recorded as time data for accessing the accessed side and receiving authentication, or as time data relating to the basic data, and sequentially stores the data with the accessed side. Authentication / management device that decides to save or update the authentication data on the access side of communication performed between them.
1 / 1 8 第 1図1/1 8 Fig. 1
Figure imgf000042_0001
2/1 8 第 2図
Figure imgf000042_0001
2/1 8 Fig. 2
Figure imgf000043_0001
3 Z 1 8
Figure imgf000043_0001
3 Z 1 8
第 3図 Fig. 3
41 424344454647484950 51 52535455565758596061 626364 く C3認証式〉  41 424 344 454 647 484 950 51 525 354 555 657 585 960 61 626 364 C3 certification type>
C3≤S2  C3≤S2
C3- (SVR/Now)一 (cR1 )≥S2—(sR2— sR1 )一 (sRI -Before SND:S1 ) S2≥C3≤S3-→0≤((ConectOK)一 (Disconnect) )-( (SVR/Now)一 (cRI ))≤ 1 く上記 C3認証式の分解式〉  C3- (SVR / Now) one (cR1) ≥S2— (sR2—sR1) one (sRI -Before SND: S1) S2≥C3≤S3- → 0≤ ((ConectOK) one (Disconnect))-((SVR / Now) one (cRI)) ≤ 1
S2-(cR1 -cR0)≤S2  S2- (cR1 -cR0) ≤S2
S2-(cR1 -cRO)- (SVR/Now) -(cR1)≥  S2- (cR1 -cRO)-(SVR / Now)-(cR1) ≥
S2— (sR2-sR1 )― (sRI - Before SND:S1 )  S2— (sR2-sR1) — (sRI-Before SND: S1)
0≤((ConectOK)一 (Disconnect) )-( (SVR/Now)一 (cR1))≤ 1  0≤ ((ConectOK) -1 (Disconnect))-((SVR / Now) -1 (cR1)) ≤ 1
QEO設定QEO settings
※: QE0=Q+QB0 *: QE0 = Q + QB0
Figure imgf000044_0001
Figure imgf000044_0001
く S3認証式〉  K S3 certification type>
S3≥C3  S3≥C3
S3≤C3+ (cR2-cR1 )+ (cR1 - -SND:C2)  S3≤C3 + (cR2-cR1) + (cR1--SND: C2)
C2≤S2≥C3  C2≤S2≥C3
く上記 S3認証式の分解式〉  Disassembly of the above S3 certification formula>
C3+(sR2-sR1)≥C3  C3 + (sR2-sR1) ≥C3
C3+(sR2-sR1)≤C3+(cR2- c 1)+(cR1一 SND:C2) C3 + (sR2-sR1) ≤C3 + (cR2-c1) + (cR1-one SND: C2)
Figure imgf000045_0001
Figure imgf000045_0001
1 1
※時間と距離は等価 01  * Time and distance are equivalent 01
〔 SEE基礎データ: X [SEE basic data: X
nn
\\
00 00
1 1
0  0
<初期認証時における、 認証基礎データ、 並びに認証データ > <Basic authentication data and authentication data at the time of initial authentication>
通信 1 通信 2 通信 3 Μί 4 通信 5 通信 6  Communication 1 Communication 2 Communication 3 Μί 4 Communication 5 Communication 6
SRV X送信 C1受信/ SI生成 S1送信  SRV X transmission C1 reception / SI generation S1 transmission
CLT X受信/ C1生成 C1送信 S1受信/ C2生成  CLT X reception / C1 generation C1 transmission S1 reception / C2 generation
\ 6
Figure imgf000048_0001
距雜(QEO) 始まり ~*送信 B1—受信 B2→送信 B3—受信 B4—送信 B5→受信 B6— CPU処理 B7→送信 B8—受ほ Β9·→終わリ \ 6
Figure imgf000048_0001
Distance (QEO) Start ~ * Transmit B1—Receive B2 → Transmit B3—Receive B4—Transmit B5 → Receive B6—CPU processing B7 → Transmit B8—Receive Β9 · → End
始まり 受信 Β2 送信 Β3 受信 Β6 送信 Β8 終わり Start Reception Β2 Transmission Β3 Reception Β6 Transmission Β8 End
コ: 1'ュ-タ <A> Ko: 1'-tutor <A>
-0 -0
CO CO
コ: fュ―タ <B> Ko: futa <B>
送信 B1 受信 Β4 送信  Transmission B1 Reception Β4 Transmission
受信 Β9  Reception Β9
時間 (QE0) Time (QE0)
QB0 QB0
Figure imgf000049_0001
Figure imgf000049_0001
ぐ距離 > <e側初期認証デ -タ c 1の生成式〉: Distance> <Formula for e-side initial authentication data c1>:
QEO C1=X+ (X受信一 SRV/ ow)  QEO C1 = X + (X received one SRV / ow)
ぐ S側初期認証デ -タ: S 1の生成式 >:  S-side initial authentication data: S1 generation formula>:
S1 = C1+ (C1受信一リク Iスト受信)  S1 = C1 + (C1 received one request I received)
A4:SRV/Now送信 A4: SRV / Now transmission
A3:SRV/Now取得 A7:リク ト  A3: Acquire SRV / Now A7: Request
A2:初回ァク《受信 受信 A9:X送信 A13:C1受侰 A15:S1送信  A2: Initial reception << Reception Reception A9: X transmission A13: C1 reception A15: S1 transmission
SRV/コンビュ ~$  SRV / Combu ~ $
A8:X生成 - A14:S1生成  A8: X generation-A14: S1 generation
<地点 A> <Point A>
O  O
00 00
CLT/コンビュ-タ CLT / Computer
<地点 B> —►  <Point B> —►
A1:初回 A5: SRV/Now A6:初回 A10:X受侰 A12:C1送信 A16:S1受 ffi  A1: First time A5: SRV / Now A6: First time A10: X received A12: C1 sent A16: S1 received ffi
ァク 受信 ト A11:C1生成 A17:C2生成  A11: C1 generated A17: C2 generated
QE0<時間> QE0 <time>
OB0 OB0
Figure imgf000051_0001
Figure imgf000051_0001
Figure imgf000052_0001
Figure imgf000052_0001
2/ 1 82/1 8
2 図 2 Figure
サーバ側 クライエン卜很 II
Figure imgf000053_0001
3/1 8 Server side client II
Figure imgf000053_0001
3/1 8
第 3 図  Fig. 3
S e r v e C I i e n t 2  S e r v e C I i e n t 2
Figure imgf000054_0001
Figure imgf000054_0001
Figure imgf000055_0001
Figure imgf000055_0001
00 00
\ 4 5/1 8 \ Four 5/1 8
5 図  5 Figure
Q =ィ i'限時 (固有時 [¾)  Q = i 'time limit (special time [¾]
QQ
Figure imgf000056_0001
O 起点 H時 終点 H時
Figure imgf000056_0001
O Start point H End point H
距離 時間 =Q H Distance Time = Q H
Figure imgf000057_0001
Figure imgf000057_0001
Figure imgf000058_0001
o
Figure imgf000058_0001
o
H i H i
Figure imgf000059_0001
Figure imgf000059_0002
Figure imgf000059_0001
Figure imgf000059_0002
PCT/JP2000/002449 1999-05-06 2000-04-14 Authenticating/managing apparatus WO2000068806A1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
AU36791/00A AU3679100A (en) 1999-05-06 2000-04-14 Authenticating/managing apparatus
TW089119267A TWI227388B (en) 1999-05-06 2000-09-19 Authentication and management device

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP11/126088 1999-05-06
JP12608899 1999-05-06
JP2000077976A JP2001022272A (en) 1999-05-06 2000-03-21 Authentication and management device
JP2000/77976 2000-03-21

Publications (1)

Publication Number Publication Date
WO2000068806A1 true WO2000068806A1 (en) 2000-11-16

Family

ID=26462323

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2000/002449 WO2000068806A1 (en) 1999-05-06 2000-04-14 Authenticating/managing apparatus

Country Status (4)

Country Link
JP (1) JP2001022272A (en)
AU (1) AU3679100A (en)
TW (1) TWI227388B (en)
WO (1) WO2000068806A1 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5355413A (en) * 1992-03-06 1994-10-11 Mitsubishi Denki Kabushiki Kaisha Authentication method performed between IC card and terminal unit and system therefor
US5444780A (en) * 1993-07-22 1995-08-22 International Business Machines Corporation Client/server based secure timekeeping system
US5933625A (en) * 1995-12-11 1999-08-03 Akira Sugiyama Unique time generating device and authenticating device using the same

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5355413A (en) * 1992-03-06 1994-10-11 Mitsubishi Denki Kabushiki Kaisha Authentication method performed between IC card and terminal unit and system therefor
US5444780A (en) * 1993-07-22 1995-08-22 International Business Machines Corporation Client/server based secure timekeeping system
US5933625A (en) * 1995-12-11 1999-08-03 Akira Sugiyama Unique time generating device and authenticating device using the same

Also Published As

Publication number Publication date
JP2001022272A (en) 2001-01-26
AU3679100A (en) 2000-11-21
TWI227388B (en) 2005-02-01

Similar Documents

Publication Publication Date Title
JP3722592B2 (en) Usage request approval method for virtual prepaid card with reusable serial number
JP4800377B2 (en) Authentication system, CE device, portable terminal, key certificate issuing authority, and key certificate acquisition method
US7721101B2 (en) Communication apparatus and authentication apparatus
CN104160653B (en) For providing method, apparatus, medium and the equipment of multifactor digital security certificate
US20030163686A1 (en) System and method for ad hoc management of credentials, trust relationships and trust history in computing environments
US20140245014A1 (en) Remote control app for smart phones
AU2017223158A1 (en) Blockchain-implemented method for control and distribution of digital content
US20070067835A1 (en) Remote unblocking with a security agent
US20050283608A1 (en) User controlled anonymity when evaluating into a role
JPH11174956A (en) Method for temporary signature authentication and system therefor
GB2386802A (en) Auditing of secure communication sessions over a communication network
CN101925920A (en) Server certificate issuing system and person authentication method
WO1997022047A1 (en) Device for generating characteristic time and authentication apparatus using such device
JP4664107B2 (en) Company-side device, user-side device, personal information browsing / updating system, and personal information browsing / updating method
US20060143450A1 (en) Method and apparatus for authenticating a password
JP2004023662A (en) Mutual authentication method
JP2006522507A (en) Secure communication system and secure communication method
CN113593094A (en) Apartment intelligent lock management method and system
US20060129815A1 (en) Generation of identities and authentication thereof
JP4959152B2 (en) Authentication system and authentication information delegation method in the same system
JP2003052029A (en) Information providing device, ticket providing device, reproducing device and information selling method and its program
WO2000068806A1 (en) Authenticating/managing apparatus
JP2005318269A (en) Electronic certificate management system, method and server
JP2005217808A (en) Information processing unit, and method for sealing electronic document
JP3739008B1 (en) Account management method and system

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A1

Designated state(s): AT AU BR CA CN IL IN KR NO NZ RU SG US

AL Designated countries for regional patents

Kind code of ref document: A1

Designated state(s): AT BE CH CY DE DK ES FI FR GB GR IE IT LU MC NL PT SE

121 Ep: the epo has been informed by wipo that ep was designated in this application
DFPE Request for preliminary examination filed prior to expiration of 19th month from priority date (pct application filed before 20040101)
122 Ep: pct application non-entry in european phase