JP2005237037A - 認証用記録媒体を用いた認証システムおよび認証用記録媒体の作成方法 - Google Patents

認証用記録媒体を用いた認証システムおよび認証用記録媒体の作成方法 Download PDF

Info

Publication number
JP2005237037A
JP2005237037A JP2005118704A JP2005118704A JP2005237037A JP 2005237037 A JP2005237037 A JP 2005237037A JP 2005118704 A JP2005118704 A JP 2005118704A JP 2005118704 A JP2005118704 A JP 2005118704A JP 2005237037 A JP2005237037 A JP 2005237037A
Authority
JP
Japan
Prior art keywords
user
authentication
password
recording medium
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2005118704A
Other languages
English (en)
Other versions
JP4140617B2 (ja
Inventor
Noriyuki Araki
紀之 荒木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2005118704A priority Critical patent/JP4140617B2/ja
Publication of JP2005237037A publication Critical patent/JP2005237037A/ja
Application granted granted Critical
Publication of JP4140617B2 publication Critical patent/JP4140617B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Abstract

【課題】 第三者による認証装置に対する不正行為等によって利用者のパスワードが外部に漏洩する危険性を抑制する。
【解決手段】 端末装置は、公開鍵を用いて暗号化された利用者のID及びパスワードを記録した認証用記録媒体から利用者のID及びパスワードを復元し、その復元した利用者のID及びパスワードと利用者が入力したID及びパスワードとを暗号化してなる認証データを作成して認証装置に送信し、認証装置は、認証データを復号化して、認証データに含まれる前記認証用記録媒体に記録された利用者のID及びパスワードと前記利用者が端末装置に入力したID及びパスワードとの一致を確認することによりユーザ認証を行う。
【選択図】 図1

Description

この発明は、オープンネットワークシステムにおけるセキュリティに関するものであり、特にサーバまたは受信端末装置により実行される認証方法、認証用記録媒体を用いた認証システムおよび認証用記録媒体の作成方法に関する。
従来の認証方法は、サーバに予め登録され、管理されているユーザのID、パスワードと、ユーザから送信されてきたIDとパスワードを比較し、両者が一致する場合に、ユーザ本人であることを確認する認証を行っていた。例えば、図8に、特開平11−149452号公報に開示された認証方法の処理フローチャートを示す。特開平11−149452号公報に開示された認証方法によると、端末装置はログイン名を暗号鍵として暗号化した(S805、S806)パスワードをホスト装置に送信する。ホスト装置は、予め登録されているログイン名を暗号鍵としてパスワードを暗号化する(S808)。そして、端末装置にて暗号化されて送信されたパスワードと、ホスト装置にて暗号化されたパスワードを比較して(S809)認証を行うものである。
また、特開平7−325785号公報に開示された認証方法によると、クライアントは、ユーザから入力されたIDとパスワード、およびサーバから発行された乱数を、サーバの公開鍵(Kp)で暗号化してサーバへ送信する。サーバは自分の秘密鍵(Ks)で、クライアントから送信されたID、パスワード、乱数を復号化して、この復号化された乱数とサーバが発行した乱数が一致するか確認して認証を行うものである。
また、特開平5−282349号公報には、例えば銀行オンラインシステムに採用されるコンピュータシステムの安全保証方式に関し、盗難や偽造によるカードの不正使用を防止するために磁気カード(キャッシュカード)に暗号化した暗証番号を記録しておき、この磁気カードに記録された暗号化されている暗証番号を現金自動支払い機(CD)や自動窓口装置(ATM)等の端末装置に読取らせ、その読取った暗号化されている暗証番号から復元した通常の暗証番号と端末装置のキーボードから入力した暗証番号とを比較し、それらが一致したときに業務を実行できるようにすることが記載されている。
特開平11−149452号公報(第4−5頁、図2) 特開平7−325785号公報(第4−5頁、図3) 特開平5−282349号公報(第2頁、図1−2)
ところで、従来の認証方法によると、サーバにはユーザのID、パスワードが登録されており、ユーザから送信されたID、パスワードとサーバに登録されたID、パスワードを比較して一致を確認するという点で、サーバ主導で認証が行われている。しかしながら、多数のユーザのID、パスワードがサーバの管理下にあるため、サーバに対するハッキングやサーバ管理者の不正行為により多数のユーザのID、パスワードが漏洩する可能性があり、セキュリティやプライバシー保護の観点から改善が必要である。特にユーザのパスワードが漏洩すると、ネットワークを利用した電子商取引や電子メールなど通信の秘密が保証されないという点でユーザのリスクが大きくなる。
この発明は、上記のような課題を解決するためになされたもので、第三者による認証装置に対する不正行為や認証用記録媒体に書き込まれた利用者のIDとパスワードの読み出し等によって利用者のパスワードが外部に漏洩する危険性を抑制することができる新規な認証用記録媒体を用いた認証システムおよび認証用記録媒体の作成方法を提供することを目的とする。
この発明に係る認証用記録媒体を用いた認証システムは、公開鍵を用いて暗号化された利用者のID及びパスワードが記録された認証用記録媒体から前記公開鍵に対応する秘密鍵を用いて利用者のID及びパスワードを復元し、その復元した利用者のID及びパスワードをブロック暗号により暗号化したものと前記利用者が入力部に入力したID及びパスワードとを前記利用者が指定した暗号アルゴリズムにより暗号化して認証データを作成し、その作成した認証データと当該認証データを復号化する復号鍵及び前記暗号アルゴリズムの情報を含む暗号パラメータとを送信する端末装置と、前記暗号パラメータに含まれる前記復号鍵及び前記暗号アルゴリズムの情報を用いて前記認証データから前記ブロック暗号により暗号化した利用者のID及びパスワードと前記利用者により入力されたID及びパスワードとを復号化し、その復号化した前記ブロック暗号により暗号化した前記利用者のID及びパスワードから前記利用者のID及びパスワードを復元し、その復元した前記利用者のID及びパスワードと前記利用者により入力されたID及びパスワードとを比較してユーザ認証を行う認証装置を備えたものである。
この発明に係る認証用記録媒体の作成方法は、利用者のアクセスが管理された装置のユーザ認証に用いられる認証用記録媒体の作成方法において、前記装置に対するアクセスを許可する利用者から通知されたID及びパスワードと前記装置の管理者が前記利用者に割り当てた鍵番号とを入力部に入力する工程と、前記管理者によって管理された利用者毎の鍵番号及びこれら鍵番号に対応する公開鍵が記録された情報と前記入力部に入力された利用者の鍵番号とから当該鍵番号に対応する公開鍵を選択し、その公開鍵を用いて前記入力部に入力された前記利用者のID及びパスワードを暗号化する工程と、その暗号化された前記利用者のID及びパスワードの暗文と前記利用者に割り当てられた鍵番号とを前記利用者の認証用記録媒体に書き込む工程とを備えたものである。
この発明によれば、端末装置から送信された認証データを認証装置が受信してユーザ認証を行うので、各利用者の端末装置毎に認証機能を設ける必要がなく、複数の利用者が認証要求する場合においても容易にユーザ認証を行うことができる。また、認証装置において各利用者のパスワードを知らなくてもユーザ認証を行うことができるので、当該認証装置に対する不正行為によって利用者のパスワードが外部に漏洩する危険性を抑制することができる。
また、この発明によれば、管理者によって管理された利用者毎の鍵番号及びこれら鍵番号に対応する公開鍵の情報と入力部に入力された利用者の鍵番号とから当該鍵番号に対応する公開鍵を選択し、その公開鍵を用いて前記入力部に入力された前記利用者のID及びパスワードを暗号化して前記利用者の認証用記録媒体に書き込むので、第三者は認証用記録媒体に書き込まれた利用者のIDとパスワードを認証用記録媒体から読み出すことも改竄することもできず、利用者のパスワードが外部に漏洩する危険性を抑制でき、第三者による認証用記録媒体の不正利用をも防止することができる。
実施の形態1.
図1は本発明に係る認証方法の処理を説明するフローチャートである。図2は本発明に係る認証方法の処理を説明するフローチャートである。図3は本発明に係るコンピュータ通信システムの一例を示す概念図である。図4は端末装置の構成を示すブロック図である。図5はサーバの構成を示すブロック図である。図6は本発明に係る認証用記録媒体作成装置の構成を示すブロック図である。図7は暗号パラメータの一例を示す説明図である。
本発明に係るコンピュータ通信システムの一例について、図3を参照して説明する。図3において、1は送信側ユーザ端末装置、2はサーバである認証装置(以下、サーバと記載する)、3は通信ネットワーク、4はサーバである認証装置(以下、サーバと記載する)、5は受信側ユーザ端末装置である。サーバ2、サーバ4は端末装置1、端末装置5のユーザが、自ら名乗ったとおりの者、すなわち、通信システム3の使用を認められた本人であるか確認する「認証」を行うことにより、端末装置1、5の通信ネットワーク3へのアクセスを制御する。端末装置1、5間における電子メールを用いた通信は、サーバ2、4による認証を受けて通信ネットワーク3へのアクセスを許可された後に通信ネットワーク3を介して行われる。一方、端末装置1からの電子メールを受信した端末装置5は、電子メールの発信者が本人からのものであるか確認する認証を行うことにより、第3者が本人であると詐称する「なりすまし」を防止する。
次に、図3に示す端末装置1、5の構成について、図4を参照して説明する。図4において、6は認証用記録媒体、7は端末装置(図3に示す1、5)、8は認証データ作成部、9は認証部、10は媒体入力部、11は復号化処理部、12は暗号化処理部、13は入力部、14は鍵入力部、15は暗号パラメータ処理部、16は認証データ保管部、17は通信処理部、18は鍵読取部、19は第一の復号化処理部、20は第二の復号化処理部、21は比較判定部である。端末装置1、端末装置5は、ユーザ本人のIDとパスワードを暗号化して記録した認証用記録媒体から読み出したID、パスワードと、および、ユーザ本人が端末装置に入力したIDとパスワードとを暗号化した認証データを作成する認証データ作成部8と、受信した認証データに含まれる、認証用記録媒体から読み出されたIDとパスワードと、ユーザ本人が入力したIDとパスワードを復号化して読み出し、2種類のパスワードを比較して認証を行う認証部9より構成されている。
認証データ作成部8は、認証用記録媒体6から暗号化されたIDとパスワードを読み出す媒体入力部10、媒体入力部10が読み出したID、パスワードを復号化する復号化処理部11、復号化処理部11が復号化したIDとパスワードを、認証用記録媒体6からIDとパスワードを読み出した時間情報(年・月・日・時間)より作成された暗号鍵を用いて、ブロック暗号により暗号化する暗号化処理部12、ユーザにより端末装置7に直接入力されたIDとパスワードの入力を受け付ける入力部13、共通鍵暗号方式の暗号アルゴリズムのうち、ユーザが選択した暗号アルゴリズムの種類、暗号鍵、暗号化に用いる変換表の入力を受け付ける鍵入力部14、暗号化処理部12によりブロック暗号を用いて暗号化された暗文、および入力部13から入力されたIDとパスワードの平文を、ユーザにより選択された、暗号アルゴリズム、暗号鍵、変換表を用いて暗号化して認証データを作成するとともに、鍵入力部14を介して入力された暗号アルゴリズムの種類、暗号鍵、変換表を含み、受信側で認証データを復号化するための情報となる暗号パラメータを作成する暗号パラメータ処理部15より構成される。
認証部9は、暗号パラメータより暗号アルゴリズムの種類、暗号鍵、変換表の種類を読み取る鍵読取部18、鍵読取部18が読み出した暗号鍵を復号鍵として(共通鍵暗号方式の暗号の場合、暗号鍵と復号鍵は同一である)、認証データを復号化して、認証用記録媒体のIDとパスワードの暗文とユーザから入力されたIDとパスワードの平文を得る第一の復号化処理部19、認証用記録媒体のIDとパスワードの暗文を復号化して平文を得る第二の復号化処理部20、第一の復号化処理部19からのIDとパスワードの平文と、第二の復号化処理部20からのIDとパスワードの平文とを比較する比較判定部21より構成される。図3に示す端末装置1は図4に示す認証データ作成部8において作成された認証データと暗号パラメータを送信する処理を行い、端末装置5は端末装置1から送信された認証データを認証部9において認証する処理を行う。
次に、図3に示すサーバである認証装置2、4の構成について、図5を参照して説明する。図5において、22はサーバ、23は通信処理部、24は認証データ保管部、25は鍵読取部、26は第一の復号化処理部、27は第二の復号化処理部、28は比較判定部である。図5に示すサーバ22は、図4に示す端末装置7の認証部9と同様の構成を採用し、同様の処理を行うことにより認証を行うので説明は省略する。
次に、図4に示す認証用記録媒体6を作成する認証用記録媒体作成装置について、図6を参照して説明する。図6において、29は認証用記録媒体作成装置、30は認証用記録媒体、31は入力部、32は暗号化処理部、33は出力部、34は格納部である。認証用記録媒体30は、認証用記録媒体作成装置29を用いて認証用記録媒体を作成する媒体作成者と、暗号鍵を管理する管理者により作成される。認証用記録媒体作成装置29は公開鍵暗号方式の暗号アルゴリズムを用いてユーザのIDとパスワードを暗号化して認証用記録媒体30の格納部34に書き込むことによりユーザが本人であることを証明する認証用記録媒体を作成する。
ユーザは、認証用記録媒体を発行してもらうためにIDとパスワードを媒体作成者に通知する。媒体作成者はユーザ用に割り当てた鍵番号と、ユーザから通知されたIDとパスワードを入力部31に入力する。入力された鍵番号と、ユーザのID、パスワードは入力部31を介して暗号化処理部32に伝達される。暗号化処理部32には、鍵番号に対応する公開鍵が記録されており、入力された公開鍵番号に対応する公開鍵を選択して、IDとパスワードを暗号化する。暗号化されたIDとパスワードは鍵番号とともに出力部33を介して認証用記録媒体30の格納部34に書き込まれる。
なお、媒体作成者はユーザ毎に割り当てた鍵番号を知ることはできるが、IDとパスワードを暗号化する公開鍵を知ることはできない。鍵番号と公開鍵の対応は、暗号鍵を管理するシステムの管理者のみが知ることができる。認証用記録媒体内に記録されている暗号化されたIDとパスワードは、媒体作成者及びユーザ本人も自由に変更できない。また、第3者は暗号化した公開鍵に対応する秘密鍵を知ることができないため、IDとパスワードを認証用記録媒体から読み出すことも改竄することも不可能である。したがって、認証時にユーザ本人により入力されるID、パスワードと認証用記録媒体内のID、パスワードが一致すれば、認証用記録媒体を所持するユーザが本人であることを確認することができる。
以上を踏まえて本発明に係る認証方法について、図1および図2を参照して説明する。図1には、図3に示すサーバ2、4により実行される通信ネットワーク3へのアクセス制御を目的とした認証方法が示されている。ステップS105〜ステップS112までは送信側の端末装置1による認証データ作成工程であり、ステップS113〜ステップS119まではサーバ2による認証工程である。以下、認証データ作成工程から説明する。ステップS101において、図3に示す送信ユーザ端末装置1はサーバ2に対して認証開始パケットを送信する処理を行う。ステップS102において、サーバ2は、端末装置1からの認証開始要求を受け付け、ステップS103において、端末装置1に認証開始のプロンプトを送信する。ステップS104において、端末装置1はサーバ2からの認証開始プロンプトを受信する。ステップS105において、認証開始プロンプトを確認した送信ユーザは、図4に示す認証用記録媒体6を端末装置に挿入する。
ステップS106において、端末装置1は媒体入力部10を介して認証用記録媒体6から読み出したID、パスワードの暗文を、復号化処理部11で鍵番号iの公開鍵(認証用記録媒体内のID、パスワードの暗号化に用いられた暗号鍵)に対応する秘密鍵で復号化してID、パスワードの平文を得る。ステップS107において、暗号化処理部12は復号化処理部11で復号化したID・PWをブロック暗号により暗号化する。ブロック暗号とは、複数バイトを一度に暗号化する暗号方式である。ステップS107の暗号化に用いる暗号鍵は、送信ユーザが端末装置に媒体を挿入した時点の、年・月・日・時間等の時間情報により自動設定される。ステップS107において暗号化されたID、パスワードの暗文と、暗号鍵の平文は暗号パラメータ処理部15に伝送される。
ステップS108において、送信ユーザは送信ユーザ端末装置に本人のID・PWを直接入力する。ユーザにより入力されたID、パスワードは入力部13を介して暗号パラメータ処理部15に出力される。また、ステップS109において、送信ユーザは、暗号化に用いる暗号アルゴリズムと変換表、暗号鍵を指定し、鍵入力部14を介して端末装置に入力する。鍵入力部14を介して送信ユーザにより指定された暗号アルゴリズムと変換表、暗号鍵は暗号パラメータ処理部15に伝達される。ステップS110において、暗号パラメータ処理部15は、暗号化処理部12で暗号化されたID、パスワードの暗文と、この暗号化に用いられた暗号鍵の平文、および入力部13を介して送信ユーザにより直接入力されたID、パスワードの平文を、送信ユーザにより指定された暗号アルゴリズムと変換表、暗号鍵を用いて暗号化して認証データを生成する。
また、ステップS110において、暗号パラメータ処理部15は認証データを作成するとともに、この認証データを作成するにあたって使用した暗号アルゴリズム、変換表、暗号鍵を含み、認証データとともに送信される暗号パラメータを作成する。暗号パラメータは、認証データを復号化するために必要な情報を受信側の認証装置に提供するものであり、認証データの暗号化に用いた暗号アルゴリズム、変換表、暗号鍵を含むものである。図3に示すサーバ2あるいは受信側ユーザ端末装置5は、送信側ユーザ端末装置から送信されてきた認証データと暗号パラメータを受信して、暗号パラメータから暗号アルゴリズム、変換表、暗号鍵を読み出して認証データを復号化して認証を行う。暗号パラメータの一例を図7に示す。図7「暗号パラメータのフォーマット」に示すように、暗号パラメータ(Key.s)は、送信ユーザにより選択されて認証データの暗号化に用いられた暗号アルゴリズム、変換表、暗号鍵の3つの情報を含んでいる。
例えば、図7「使用可能な暗号アルゴリズム」に示すように、使用可能な暗号アルゴリズムとして「複合シフトレジスタ(10)」、「DES(11)」等があるとする。そして、「入力例」に示すように、暗号アルゴリズムとして「DES(11)」、変換表として「第32表」、暗号鍵として「0123456789abcde」を設定したとする。その場合、「暗号パラメータの設定例」に示すように、暗号パラメータKey.sは「11320123456789abcde」となる。この暗号パラメータは、単に暗号アルゴリズムおよび変換表の番号と暗号鍵をそのまま並べて作成したものである。しかしながら、暗号パラメータは認証データとともに送信されるものであり、しかも認証データを復号化する情報を含んでいるものであるから、実際にはより複雑な形式に加工してセキュリティ強度を上げて使用される。ステップS111において、暗号パラメータ処理部15で生成された認証データと暗号パラメータは認証データ保管部16に出力される。ステップS112において、通信処理部17は認証データ保管部16に保管された認証データと暗号パラメータを読み出して送信する。
以下のステップは、図3に示すサーバ2、あるいは図5に示すサーバ22により実行される認証工程である。ステップS113において、サーバ22の通信処理部23は、図4に示す端末装置7から送信された認証データと暗号パラメータを受信する。受信した認証データは認証データ保管部24に保管された後、鍵読取部25において自動的に暗号パラメータより暗号アルゴリズム、変換表、暗号鍵を読み取り、認証データの復号化に必要な情報を認識する。ステップS114において、第一の復号化処理部26は、鍵読取部25が読み出した変換表と暗号鍵を用いて認証データを復号化し、送信側ユーザが端末装置に直接入力したID、パスワードの平文と、ブロック暗号で暗号化されているID、パスワードの暗文、およびその暗号鍵を読み出す。。
ステップS115において、第二の復号化処理部27はID、パスワードの暗文を第一の復号鍵により復号化して、認証用記録媒体内に記録されていたID、パスワードの平文を得る。ステップS116において、比較判定部28は、ユーザから入力されたID、パスワードと、認証用記録媒体内に記録されていたID、パスワードとを比較して両者が一致している確認する。ステップS117において、両者が一致していれば送信ユーザは本人であると判断し、ステップS118において認証確認のプロンプトを送信側ユーザ端末装置に送信する。一方、ステップS117において、両者が一致しなければ送信ユーザは本人ではない第3者と判断し、ステップS119において認証未確認のプロンプトを送信側ユーザ端末装置に送信する。
次に、図3に示す送信側ユーザ端末装置1、受信側ユーザ端末装置5間で実行される、送信ユーザが自ら名乗ったとおりの本人であるか確認することを目的とする認証方法について図2を参照して説明する。なお、図2に示すステップS201以降の処理を実行する前に、端末装置1と端末装置5(ともに図4に示す端末装置7)はそれぞれサーバ2、サーバ4の認証を受け、通信ネットワーク3へのログインを許可されているものとする。ステップS201において、端末装置1は送信する電子メール本文に図1に示すステップS105からステップS112で作成した認証データ、暗号パラメータを添付する。そして、ステップS202において端末装置5あてに認証データ、暗号パラメータが添付された電子メールを送信する。ステップS203において、端末装置5は、端末装置1から送信された電子メールを受信する。
ステップS204において、端末装置5の図4に示す鍵読取部18は、暗号パラメータより暗号アルゴリズム、変換表、暗号鍵を読み出し、第一の復号化処理部19は変換表、暗号鍵を用いて認証データを復号化し、ユーザにより入力されたID、パスワードの平文と、認証用記録媒体から読み出されたID、パスワードがブロック暗号により暗号化された暗文と、ブロック暗号鍵の平文を得る。ステップS205において、第二の復号化処理部20は、ブロック暗号により暗号化された暗文をブロック暗号鍵を用いて復号化して、認証用記録媒体に記録されていたID、パスワードの平文を得る。そして、ステップS206において、比較判定部21は、ユーザから入力されたID、パスワードと、認証用記録媒体に記録されていたID、パスワードとを比較して両者が一致するか確認する。ステップS207において、両者が一致した場合、ステップS208において認証確認メッセージが受信側ユーザ端末装置の表示画面に表示される。一方、両者が不一致であった場合、認証未確認メッセージが表示画面に表示される。
以上説明したように、上記説明による認証方法は、暗号化されたID、パスワードを記録した認証用記録媒体から読み出したID、パスワードと、ユーザが端末装置に入力したID、パスワードを暗号化した認証データを作成してサーバに送信し、サーバは認証データを復号化して、認証データに含まれる認証用記録媒体のID、パスワードと、ユーザが入力したID、パスワードの一致を確認することにより認証を行うので、サーバはユーザのIDさえ管理しておけば、ユーザのパスワードを知らなくても認証を行うことが可能である。したがって、サーバにユーザのパスワードを管理させる必要がなくなり、サーバに対する不正行為によってユーザのパスワードが外部に漏洩する危険性を抑制することができる。
また、上記認証方法は、サーバによるネットワークへのアクセス制御を目的とする認証のみならず、受信側ユーザにより、送信者が自ら名乗ったとおりの本人であることを確認する認証にも適用できるので、コンピュータ通信の信頼性が確保される。
また、上記認証方法は、認証データを復号化するための情報を暗号パラメータに含ませておくことにより、サーバなどの受信側でユーザによる操作を必要とせず、自動的に認証データを復号化することが可能となる。また、この暗号パラメータを使用することにより、ユーザは暗号化に用いる暗号アルゴリズムを自由に設定変更でき、受信側にもその内容を通知することができるので、通信を傍受する第3者が、使用されている暗号アルゴリズムを推測することは困難になる。
また、上記説明による認証用記録媒体は、ユーザのID、パスワードを暗号化して記録するので、認証用記録媒体を取得した者が認証用記録媒体内のID、パスワードを知ることはできない。また、認証用記録媒体内のデータを改ざんすることもできないので、認証用記録媒体内のID、パスワードを他のID、パスワードに改ざんして通信ネットワークにアクセスする事もできないので、認証用記録媒体の所有者になりすます不正行為を防止することができる。
また、上記端末装置は、認証データをユーザ自身が選択した暗号アルゴリズムを用いて作成し、この暗号化に用いた暗号アルゴリズム、復号鍵、変換表を含み、受信側で認証データを復号化するのに必要な情報となる暗号パラメータを認証データとともに送信するので、送受信者間で自由に暗号アルゴリズムを設定でき、通信を傍受した第3者に対する通信の守秘性が高められる。また、自動的に認証データを復号化して認証を行うことが可能になる。
また、認証用記録媒体作成装置は、鍵番号に対応する公開鍵が内部に記憶されており、ユーザのID、パスワードを鍵番号に対応する公開鍵で暗号化するので、認証用記録媒体作成装置を操作する媒体作成者は鍵番号に対応する公開鍵を知ることはできないため、認証用記録媒体内のデータを改ざんすることはできない。また、公開鍵暗号方式は共通鍵暗号方式と比較して管理すべき鍵の数が少ないので、鍵管理も容易である。
本発明に係る認証方法の処理を説明するフローチャートである。 本発明に係る認証方法の処理を説明するフローチャートである。 本発明に係るコンピュータ通信システムの一例を示す概念図である。 端末装置の構成を示すブロック図である。 サーバの構成を示すブロック図である。 本発明に係る認証用記録媒体作成装置の構成を示すブロック図である。 暗号パラメータの一例を示す説明図である。 従来の認証方法の処理を説明するフローチャートである。
符号の説明
1 端末装置、2 認証装置(サーバ)、3 通信ネットワーク、
4 認証装置(サーバ)、5 端末装置、6 認証用記録媒体、7 端末装置、
8 認証データ作成部、9 認証部、10 媒体入力部、11 復号化処理部、
12 暗号化処理部、13 入力部、14 鍵入力部、15 暗号パラメータ処理部、 16 認証データ保管部、17 通信処理部、18 鍵読取部、
19 第一の復号化処理部、20 第二の復号化処理部、21 比較判定部、
22 サーバ、23 通信処理部、24 認証データ保管部、25 鍵読取部、
26 第一の復号化処理部、27 第二の復号化処理部、28 比較判定部、
29 認証用記録媒体作成装置、30 認証用記録媒体、31 入力部、
32 暗号化処理部、33 出力部、34 格納部。

Claims (3)

  1. 公開鍵を用いて暗号化された利用者のID及びパスワードが記録された認証用記録媒体から前記公開鍵に対応する秘密鍵を用いて利用者のID及びパスワードを復元し、その復元した利用者のID及びパスワードをブロック暗号により暗号化したものと前記利用者が入力部に入力したID及びパスワードとを前記利用者が指定した暗号アルゴリズムにより暗号化して認証データを作成し、その作成した認証データと当該認証データを復号化する復号鍵及び前記暗号アルゴリズムの情報を含む暗号パラメータとを送信する端末装置と、前記暗号パラメータに含まれる前記復号鍵及び前記暗号アルゴリズムの情報を用いて前記認証データから前記ブロック暗号により暗号化した利用者のID及びパスワードと前記利用者により入力されたID及びパスワードとを復号化し、その復号化した前記ブロック暗号により暗号化した前記利用者のID及びパスワードから前記利用者のID及びパスワードを復元し、その復元した前記利用者のID及びパスワードと前記利用者により入力されたID及びパスワードとを比較してユーザ認証を行う認証装置を備えた認証用記録媒体を用いた認証システム。
  2. 前記認証装置は、ネットワークに接続されたサーバ装置である請求項1記載の認証用記録媒体を用いた認証システム。
  3. 利用者のアクセスが管理された装置のユーザ認証に用いられる認証用記録媒体の作成方法において、前記装置に対するアクセスを許可する利用者から通知されたID及びパスワードと前記装置の管理者が前記利用者に割り当てた鍵番号とを入力部に入力する工程と、前記管理者によって管理された利用者毎の鍵番号及びこれら鍵番号に対応する公開鍵が記録された情報と前記入力部に入力された利用者の鍵番号とから当該鍵番号に対応する公開鍵を選択し、その公開鍵を用いて前記入力部に入力された前記利用者のID及びパスワードを暗号化する工程と、その暗号化された前記利用者のID及びパスワードの暗文と前記利用者に割り当てられた鍵番号とを前記利用者の認証用記録媒体に書き込む工程とを備えた認証用記録媒体の作成方法。

JP2005118704A 2005-04-15 2005-04-15 認証用記録媒体を用いた認証システムおよび認証用記録媒体の作成方法 Expired - Fee Related JP4140617B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005118704A JP4140617B2 (ja) 2005-04-15 2005-04-15 認証用記録媒体を用いた認証システムおよび認証用記録媒体の作成方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005118704A JP4140617B2 (ja) 2005-04-15 2005-04-15 認証用記録媒体を用いた認証システムおよび認証用記録媒体の作成方法

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2000100337A Division JP3690237B2 (ja) 2000-04-03 2000-04-03 認証方法、記録媒体、認証システム、端末装置、及び認証用記録媒体作成装置

Publications (2)

Publication Number Publication Date
JP2005237037A true JP2005237037A (ja) 2005-09-02
JP4140617B2 JP4140617B2 (ja) 2008-08-27

Family

ID=35019446

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005118704A Expired - Fee Related JP4140617B2 (ja) 2005-04-15 2005-04-15 認証用記録媒体を用いた認証システムおよび認証用記録媒体の作成方法

Country Status (1)

Country Link
JP (1) JP4140617B2 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009015744A (ja) * 2007-07-09 2009-01-22 Panasonic Corp 認証システム、及び認証装置
JP2011521553A (ja) * 2008-05-14 2011-07-21 ネーデルランツ オルガニサティー フォール トゥーゲパストナトゥールヴェテンシャッペリーク オンデルズーク テーエンオー 共有の秘密の確認の方法およびシステム
JP2014165570A (ja) * 2013-02-22 2014-09-08 Dainippon Printing Co Ltd 暗号処理装置および情報処理装置

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009015744A (ja) * 2007-07-09 2009-01-22 Panasonic Corp 認証システム、及び認証装置
JP2011521553A (ja) * 2008-05-14 2011-07-21 ネーデルランツ オルガニサティー フォール トゥーゲパストナトゥールヴェテンシャッペリーク オンデルズーク テーエンオー 共有の秘密の確認の方法およびシステム
JP2014165570A (ja) * 2013-02-22 2014-09-08 Dainippon Printing Co Ltd 暗号処理装置および情報処理装置

Also Published As

Publication number Publication date
JP4140617B2 (ja) 2008-08-27

Similar Documents

Publication Publication Date Title
CN1939028B (zh) 从多个设备存取网络存储器上的保护数据
TWI486045B (zh) 使用機密視覺信息以用於螢幕上認證的方法及系統
US7353393B2 (en) Authentication receipt
US10089627B2 (en) Cryptographic authentication and identification method using real-time encryption
NO326037B1 (no) Databekreftelsesmetode og apparat
CN114175580B (zh) 增强的安全加密和解密***
JP2009103774A (ja) 秘密分散システム
JPH07325785A (ja) ネットワーク利用者認証方法および暗号化通信方法とアプリケーションクライアントおよびサーバ
TW201223225A (en) Method for personal identity authentication utilizing a personal cryptographic device
JP2004501458A (ja) 安全なバイオメトリック認証/識別方法、バイオメトリックデータ入力モジュールおよび検証モジュール
JPH09147072A (ja) 個人認証システム、個人認証カードおよびセンタ装置
US7587051B2 (en) System and method for securing information, including a system and method for setting up a correspondent pairing
JP3690237B2 (ja) 認証方法、記録媒体、認証システム、端末装置、及び認証用記録媒体作成装置
JP4140617B2 (ja) 認証用記録媒体を用いた認証システムおよび認証用記録媒体の作成方法
JP2008234143A (ja) バイオメトリクスを使用した本人限定メール開封システムおよびその方法ならびにそのためのプログラム
US20020184501A1 (en) Method and system for establishing secure data transmission in a data communications network notably using an optical media key encrypted environment (omkee)
JP2008502045A5 (ja)
CN103188215A (zh) 电子银行的安全管理方法及服务终端、电子银行***
JP2002247021A (ja) アクセス制限付コンテンツ表示方法およびその装置
Gerberick Cryptographic key management
KR100842014B1 (ko) 다수의 장치로부터 네트워크 저장 장치상의 보호 데이터에대한 접근
JP4626001B2 (ja) 暗号化通信システム及び暗号化通信方法
WO2003024019A1 (en) Authentication receipt
JP2001285285A (ja) 認証方法及び認証システム
Piper Encryption

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080520

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080602

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110620

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110620

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees