JP2006197065A - Terminal device and authentication device - Google Patents
Terminal device and authentication device Download PDFInfo
- Publication number
- JP2006197065A JP2006197065A JP2005004810A JP2005004810A JP2006197065A JP 2006197065 A JP2006197065 A JP 2006197065A JP 2005004810 A JP2005004810 A JP 2005004810A JP 2005004810 A JP2005004810 A JP 2005004810A JP 2006197065 A JP2006197065 A JP 2006197065A
- Authority
- JP
- Japan
- Prior art keywords
- encryption key
- expiration date
- password
- terminal
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、端末装置と、端末装置と共有する暗号鍵により端末装置を認証する認証装置とに関するものである。 The present invention relates to a terminal device and an authentication device that authenticates the terminal device with an encryption key shared with the terminal device.
従来の端末装置および認証装置としては、無線LANなどの狭域無線通信において、端末装置を認証するために、予め端末装置にデータ通信用の暗号鍵を配布しておき、その暗号鍵をもっているかどうかで認証装置が端末装置を認証し、更にその暗号鍵を用いてデータを暗号化して通信する方式が知られている。この方式では、全ての端末装置が同じ暗号鍵をデータ通信に用いるため、暗号鍵を持っている端末装置は、他の端末装置の通信も盗聴できるというセキュリティ上の課題があった。 As a conventional terminal device and authentication device, in order to authenticate the terminal device in narrow area wireless communication such as wireless LAN, an encryption key for data communication is distributed in advance to the terminal device, and whether or not the encryption key is possessed Thus, a method is known in which an authentication device authenticates a terminal device, and further communicates by encrypting data using the encryption key. In this method, since all the terminal devices use the same encryption key for data communication, there is a security problem that the terminal device having the encryption key can eavesdrop on communication of other terminal devices.
この課題を解決するため、認証時にデータ通信用の暗号鍵の交換を行う方式が利用され始めている。 In order to solve this problem, a method of exchanging encryption keys for data communication at the time of authentication has begun to be used.
図7に、この従来の方式における端末装置と認証装置(以下、認証サーバと記す)の構成を示す。この方式では、認証サーバ710を設置しアクセスポイント720と通信部712を用いて接続する。アクセスポイント720は端末装置700と通信するための狭域無線通信部721と認証サーバ710と通信するための通信部723とを有し、端末装置700から来たデータを認証サーバに、認証サーバから来たデータを端末装置700にプロトコル変換部722でプロトコル変換して送信する中継器として動作する。
FIG. 7 shows the configuration of a terminal device and an authentication device (hereinafter referred to as an authentication server) in this conventional method. In this method, an authentication server 710 is installed and connected to the access point 720 using the
1つの方法は、端末装置700がパスワードをもっていて、それをハッシュ化して認証サーバ710に送信する。認証サーバ710も端末装置700のパスワードをハッシュ化して比較することにより、端末装置700を認証する。この方式では、端末装置700の認証は可能であるが認証サーバ710の認証ができない。認証サーバ710からもパスワードを送信することが考えられるが、多数の端末装置を認証する認証サーバ710の場合、パスワードが漏洩する可能性が高く実用的ではない。 In one method, the terminal device 700 has a password, which is hashed and transmitted to the authentication server 710. The authentication server 710 also authenticates the terminal device 700 by hashing and comparing the password of the terminal device 700. In this method, the terminal device 700 can be authenticated, but the authentication server 710 cannot be authenticated. Although it is conceivable to transmit a password from the authentication server 710 as well, in the case of the authentication server 710 that authenticates a large number of terminal devices, there is a high possibility that the password will be leaked, which is not practical.
図8は、図7で示す従来の構成において、相互認証を行う認証のアルゴリズムを示す流れ図である。端末装置700と認証サーバ710はアクセスポイント720を中継器としてSecure Sockets Layer(SSL)やTransport Layer Security(TLS)などのセキュアな通信セッションを開設(S801)して認証(S802)し、認証結果をアクセスポイント720に返す(S804)。セキュアな通信を開設する(S801)ときに認証サーバ710を認証する。その後、セキュアな通信によって端末装置700のパスワードで端末装置700を認証(S802)する。セキュアな通信セッション開設時に端末装置700の認証も同時に行うことも可能である。認証結果を受けてアクセスポイント720と端末装置700との間でデータ通信用の暗号鍵の交換を行う(S805)。これにより、端末装置ごとに、更に通信ごとに暗号鍵が違うため盗聴されることはない。 FIG. 8 is a flowchart showing an authentication algorithm for performing mutual authentication in the conventional configuration shown in FIG. The terminal device 700 and the authentication server 710 establish a secure communication session such as Secure Sockets Layer (SSL) or Transport Layer Security (TLS) using the access point 720 as a repeater (S801), authenticate (S802), and obtain an authentication result. It returns to the access point 720 (S804). The authentication server 710 is authenticated when establishing a secure communication (S801). Thereafter, the terminal device 700 is authenticated with the password of the terminal device 700 by secure communication (S802). The terminal device 700 can be authenticated at the same time when a secure communication session is established. In response to the authentication result, the encryption key for data communication is exchanged between the access point 720 and the terminal device 700 (S805). Thereby, since the encryption key is different for each terminal device and for each communication, it is not wiretapped.
しかし、セキュアな通信セッションを開設するためには、複数回に渡ってデータの交換を行う必要があり、更に公開鍵方式などによる複雑な計算をする必要があり時間がかかる。これは認証時だけではなく、セキュアな通信を行うときは同様である。 However, in order to open a secure communication session, it is necessary to exchange data over a plurality of times, and it is necessary to perform complicated calculations using a public key method, which takes time. This is the same when performing secure communication, not only during authentication.
そこで、別の従来の端末装置と認証装置では、予め端末装置ごとに異なる暗号鍵を認証サーバと端末装置とで共有しておく。この暗号化鍵をデータ通信用の暗号鍵として利用する。または、セキュアなセッションを開設するために用いて開設時間を短縮する(たとえば、特許文献1参照)。
しかしながら、従来の端末装置と認証装置とにおいては、安全を確保するためには、セキュアな通信セッションを開設し暗号鍵の交換を行う必要があるが、そのためには時間がかかる。特に、自動車などで通信エリアを高速に移動、通過する場合、通信時間が限られているため、認証と暗号鍵交換に時間がかかるとデータ通信する時間が減少し、必要なデータ通信が行えなくなる。 However, in order to ensure safety in the conventional terminal device and the authentication device, it is necessary to establish a secure communication session and exchange the encryption key, which takes time. In particular, when moving or passing through a communication area at high speed in an automobile or the like, the communication time is limited. Therefore, if authentication and encryption key exchange take a long time, the time for data communication decreases and the necessary data communication cannot be performed. .
また、予め暗号鍵を共有し、その暗号鍵を用いてデータ交換用の暗号鍵交換を行う方式においても、次のような共通している暗号鍵の維持管理が課題となる。(a)共有鍵が解析された場合は、速やかに変更するための仕組みが必要である。(b)共有鍵を使い続けると、解析される可能性が増える。そのため、定期的に変更するほうが望ましいが、そのための仕組みが必要となる。 Further, even in a method of sharing an encryption key in advance and exchanging an encryption key for data exchange using the encryption key, the following maintenance and management of the common encryption key becomes a problem. (A) When a shared key is analyzed, a mechanism for prompt change is required. (B) If the shared key is continuously used, the possibility of being analyzed increases. Therefore, it is preferable to change it periodically, but a mechanism for that is required.
本発明の端末装置は、暗号鍵を生成する暗号鍵生成手段と、予め認証装置と共有し端末装置を識別する端末IDと利用者を識別するパスワードと暗号鍵生成手段で生成した第1の暗号鍵とを認証装置に秘匿で安全な通信経路で送信する第1の送信手段と、第1の暗号鍵で暗号化された第1の暗号鍵の第1の有効期限を認証装置から受信する第1の受信手段と、第1の受信手段で受信した暗号化された第1の有効期限を第1の暗号鍵で復号する復号手段と、第1の暗号鍵と第1の有効期限とを記憶する記憶手段とを含む構成を有している。 The terminal device according to the present invention includes an encryption key generation unit that generates an encryption key, a terminal ID that is shared with the authentication device in advance to identify the terminal device, a password that identifies the user, and a first encryption generated by the encryption key generation unit. A first transmission means for transmitting the key to the authentication device via a secret and secure communication path; and a first expiration date of the first encryption key encrypted with the first encryption key from the authentication device. 1 receiving means, decrypting means for decrypting the encrypted first validity period received by the first receiving means with the first encryption key, and storing the first encryption key and the first validity period And a storage means.
この構成により、認証用暗号鍵を事前に配布し秘匿しておく必要がなく、認証用暗号鍵の交換が可能で、さらには、暗号鍵の有効期限の設定も可能となり、認証用暗号鍵の維持管理が可能となる。 With this configuration, it is not necessary to distribute and conceal the authentication encryption key in advance, the authentication encryption key can be exchanged, and the expiration date of the encryption key can be set. Maintenance becomes possible.
本発明の認証装置は、予め端末装置と共有し端末装置を識別する端末IDと利用者を識別するパスワードと端末装置が生成した暗号鍵とを端末装置から秘匿で安全な通信経路で受信する第1の受信手段と、受信手段で受信した端末IDとパスワードとを用いて端末装置を認証する認証手段と、受信手段で端末IDとともに受信した第1の暗号鍵の有効期限を生成する有効期限生成手段と、有効期限生成手段で生成した第1の有効期限と端末IDと第1の暗号鍵とを関連付けて記憶する記憶手段と、第1の有効期限を第1の暗号鍵で暗号化する暗号化手段と、暗号化手段で第1の暗号鍵を用いて暗号化した第1の有効期限を端末装置に送信する第1の送信手段とを含む構成を有している。 The authentication device of the present invention receives a terminal ID that is shared with the terminal device in advance and identifies the terminal device, a password that identifies the user, and an encryption key generated by the terminal device from the terminal device via a secret and secure communication path. 1 receiving means, authentication means for authenticating the terminal device using the terminal ID and password received by the receiving means, and expiration date generation for generating the expiration date of the first encryption key received together with the terminal ID by the receiving means Means for storing the first validity period generated by the validity period generation means, the terminal ID and the first encryption key in association with each other, and encryption for encrypting the first validity period with the first encryption key. And a first transmission means for transmitting the first expiration date encrypted by the encryption means using the first encryption key to the terminal device.
この構成により、認証用暗号鍵を事前に配布し秘匿しておく必要がなく、認証用暗号鍵の交換が可能で、さらには、暗号鍵の有効期限の設定も可能となり、認証用暗号鍵の維持管理が可能となる。 With this configuration, it is not necessary to distribute and conceal the authentication encryption key in advance, the authentication encryption key can be exchanged, and the expiration date of the encryption key can be set. Maintenance becomes possible.
また、本発明の端末装置は、暗号鍵と有効期限とを更新する鍵更新手段をさらに含み、暗号鍵生成手段で生成した第2の暗号鍵を記憶手段に記憶した第1の暗号鍵でパスワードとともに暗号化し、第1の送信手段で認証装置に送信し、第1の受信手段で認証装置からの第2の暗号鍵で暗号化された第2の有効期限を受信し、復号手段が暗号化された第2の有効期限を第2の暗号鍵で復号し、鍵更新手段は有効期限の内容に基づいて記憶手段に記憶した第1の有効期限と第1の暗号鍵とを第2の有効期限と第2の暗号鍵とで更新し、更新された第1の有効期限と更新された第1の暗号鍵として記憶手段に記憶する構成を有している。 The terminal device according to the present invention further includes key update means for updating the encryption key and the expiration date, and the first encryption key stored in the storage means is the password using the first encryption key generated by the encryption key generation means. And the first transmission means transmits the data to the authentication apparatus, the first reception means receives the second validity period encrypted with the second encryption key from the authentication apparatus, and the decryption means encrypts the data. And the key updating means decrypts the first validity period and the first encryption key stored in the storage means based on the contents of the validity period, with the second validity key. An update is made with the expiration date and the second encryption key, and the updated first expiration date and the updated first encryption key are stored in the storage means.
この構成により、認証時に時間のかかるセキュアな通信セッションを開設する必要が無くなり認証用暗号鍵交換を短時間で行うことが可能となる。 With this configuration, it is not necessary to open a secure communication session that takes time during authentication, and authentication encryption key exchange can be performed in a short time.
また、本発明の認証装置は、暗号化された信号を復号する復号手段と、暗号鍵を更新する鍵更新手段とをさらに含み、第1の受信手段が端末装置から送信された第1の暗号鍵で暗号化されたパスワードと第2の暗号鍵を受信し、復号手段は第1の受信手段が受信した暗号化されたパスワードと第2の暗号鍵とを記憶手段に記憶した第1の暗号鍵で復号し、鍵更新手段は記憶手段に記憶したパスワードと復号したパスワードとを比較し一致すれば、有効期限生成手段が第1の有効期限を生成し、第2の暗号鍵で暗号化し、第1の送信手段が暗号化した第2の暗号鍵を端末装置に送信し、鍵更新手段は記憶手段が記憶した第1の暗号鍵と第1の有効期限とを第2の暗号鍵と第2の有効期限とで更新し、更新された第1の有効期限と更新された第1の暗号鍵として記憶手段に記憶する構成を有している。 The authentication apparatus of the present invention further includes a decryption unit that decrypts the encrypted signal and a key update unit that updates the encryption key, and the first reception unit transmits the first cipher transmitted from the terminal device. The first encryption key that receives the encrypted password and the second encryption key with the key, and the decryption means stores the encrypted password and the second encryption key received by the first reception means in the storage means. When the key update means compares the password stored in the storage means with the decrypted password, the expiration date generation means generates the first expiration date and encrypts it with the second encryption key. The first transmission means transmits the encrypted second encryption key to the terminal device, and the key update means stores the first encryption key and the first expiration date stored in the storage means with the second encryption key and the second encryption key. Updated with the expiration date of 2, the updated first expiration date and the updated first It has a configuration to be stored in the storage means as an encryption key.
この構成により、認証時に時間のかかるセキュアな通信セッションを開設する必要が無くなり認証用暗号鍵交換を短時間で行うことが可能となる。 With this configuration, it is not necessary to open a secure communication session that takes time during authentication, and authentication encryption key exchange can be performed in a short time.
また、本発明の端末装置は、暗号鍵と有効期限とを更新する鍵更新手段と、第1の送信手段とは通信特性が異なる第2の送信手段と、第1の受信手段とは通信特性が異なる第2の受信手段と、をさらに含み、暗号鍵生成手段で生成した第2の暗号鍵を記憶手段に記憶した第1の暗号鍵でパスワードとともに暗号化し、第2の送信手段で認証装置に送信し、第2の受信手段で認証装置からの第2の暗号鍵で暗号化された第2の有効期限を受信し、復号手段が暗号化された第2の有効期限を第2の暗号鍵で復号し、鍵更新手段は有効期限の内容に基づいて記憶手段に記憶した第1の有効期限と第1の暗号鍵とを第2の有効期限と第2の暗号鍵とで更新し、更新された第1の有効期限と更新された第1の暗号鍵として記憶手段に記憶する構成を有している。 Further, the terminal device of the present invention includes a key update unit that updates the encryption key and the expiration date, a second transmission unit that has different communication characteristics from the first transmission unit, and a communication characteristic that is different from the first reception unit. Second receiving means different from each other, wherein the second encryption key generated by the encryption key generating means is encrypted together with the password with the first encryption key stored in the storage means, and the second transmitting means authenticates the authentication device. And the second receiving means receives the second validity period encrypted with the second encryption key from the authentication device, and the decrypting means receives the encrypted second validity period as the second cipher. Decrypting with the key, and the key updating means updates the first expiration date and the first encryption key stored in the storage means based on the contents of the expiration date with the second expiration date and the second encryption key, The storage means stores the updated first expiration date and the updated first encryption key. There.
この構成により、認証時に時間のかかるセキュアな通信セッションを開設する必要が無くなり認証用暗号鍵交換を短時間で行うことが可能となる。 With this configuration, it is not necessary to open a secure communication session that takes time during authentication, and authentication encryption key exchange can be performed in a short time.
また、本発明の認証装置は、暗号化された信号を復号する復号手段と、暗号鍵を更新する鍵更新手段と、第1の受信手段とは通信特性が異なる第2の受信手段と、第1の送信手段とは通信特性が異なる第2の送信手段と、をさらに含み、第2の受信手段が端末装置から送信された第1の暗号鍵で暗号化されたパスワードと第2の暗号鍵とを受信し、復号手段は第2の受信手段が受信した暗号化されたパスワードと第2の暗号鍵とを記憶手段に記憶した第1の暗号鍵で復号し、鍵更新手段は記憶手段に記憶したパスワードと復号したパスワードとを比較し一致すれば、有効期限生成手段が第1の有効期限を生成し、第2の暗号鍵で暗号化し、第2の送信手段が暗号化した第2の暗号鍵を端末装置に送信し、鍵更新手段は記憶手段が記憶した第1の暗号鍵と第1の有効期限とを第2の暗号鍵と第2の有効期限とで更新し、更新された第1の有効期限と更新された第1の暗号鍵として記憶手段に記憶する構成を有している。 The authentication apparatus of the present invention includes a decryption unit that decrypts an encrypted signal, a key update unit that updates an encryption key, a second reception unit that has communication characteristics different from those of the first reception unit, And a second transmitting unit having a communication characteristic different from that of the first transmitting unit, wherein the second receiving unit encrypts the password and the second encryption key encrypted with the first encryption key transmitted from the terminal device. And the decryption means decrypts the encrypted password and the second encryption key received by the second reception means with the first encryption key stored in the storage means, and the key update means stores in the storage means If the stored password and the decrypted password are compared and matched, the expiration date generating means generates the first expiration date, encrypts it with the second encryption key, and encrypts the second password encrypted by the second transmission means. The encryption key is transmitted to the terminal device, and the key update means stores the first stored in the storage means. A configuration in which the encryption key and the first expiration date are updated with the second encryption key and the second expiration date, and stored in the storage unit as the updated first expiration date and the updated first encryption key. have.
この構成により、認証時に時間のかかるセキュアな通信セッションを開設する必要が無くなり認証用暗号鍵交換を短時間で行うことが可能となる。 With this configuration, it is not necessary to open a secure communication session that takes time during authentication, and authentication encryption key exchange can be performed in a short time.
また、本発明の端末装置は、第1の送信手段が、第1の暗号鍵でパスワードを暗号化して、端末IDと共に認証装置に送信し、第1の受信手段が、認証装置から第1の暗号鍵で暗号化された第3の有効期限を受信し、復号手段が、暗号化された第3の有効期限を復号し、記憶手段に記憶されている第1の有効期限と比較することで認証装置を認証する構成を有している。 In the terminal device of the present invention, the first transmission unit encrypts the password with the first encryption key and transmits the password together with the terminal ID to the authentication device, and the first reception unit receives the first from the authentication device. By receiving the third expiration date encrypted with the encryption key, the decryption means decrypts the encrypted third expiration date and compares it with the first expiration date stored in the storage means. The authentication apparatus is configured to authenticate.
この構成により、認証時に時間のかかるセキュアな通信セッションを開設する必要が無くなり認証を短時間で行うことが可能となる。 With this configuration, it is not necessary to establish a secure communication session that takes time during authentication, and authentication can be performed in a short time.
また、本発明の認証装置は、第1の受信手段が、端末装置から、端末IDと暗号化されたパスワードとを受信し、記憶装置から端末IDに対応する暗号鍵と有効期限、パスワードを取り出し、有効期限が切れていないことを確認し、復号手段が暗号鍵を用い、暗号化されたパスワードを復号し、パスワードと比較することにより端末を認証し、暗号化手段が有効期限を暗号鍵により暗号化し、第1の送信手段で送信する構成を有している。 In the authentication device of the present invention, the first receiving means receives the terminal ID and the encrypted password from the terminal device, and extracts the encryption key, the expiration date, and the password corresponding to the terminal ID from the storage device. Confirm that the expiration date has not expired, the decryption means uses the encryption key, decrypts the encrypted password, compares it with the password, authenticates the terminal, and the encryption means determines the expiration date using the encryption key It has the structure which encrypts and transmits with a 1st transmission means.
この構成により、認証時に時間のかかるセキュアな通信セッションを開設する必要が無くなり認証を短時間で行うことが可能となる。 With this configuration, it is not necessary to establish a secure communication session that takes time during authentication, and authentication can be performed in a short time.
また、本発明の端末装置は、第2の送信手段が、第1の暗号鍵でパスワードを暗号化して、端末IDと共に認証装置に送信し、第2の受信手段が、認証装置から第1の暗号鍵で暗号化された第3の有効期限を受信し、復号手段が、暗号化された第3の有効期限を復号し、記憶手段に記憶されている第1の有効期限と比較することで認証装置を認証する構成を有している。 In the terminal device of the present invention, the second transmitting means encrypts the password with the first encryption key and transmits the password together with the terminal ID to the authentication apparatus, and the second receiving means receives the first information from the authentication apparatus. By receiving the third expiration date encrypted with the encryption key, the decryption means decrypts the encrypted third expiration date and compares it with the first expiration date stored in the storage means. The authentication apparatus is configured to authenticate.
この構成により、認証時に時間のかかるセキュアな通信セッションを開設する必要が無くなり認証を短時間で行うことが可能となる。 With this configuration, it is not necessary to establish a secure communication session that takes time during authentication, and authentication can be performed in a short time.
また、本発明の認証装置は、第2の受信手段が、端末装置から、端末IDと暗号化されたパスワードとを受信し、記憶装置から端末IDに対応する暗号鍵と有効期限、パスワードを取り出し、有効期限が切れていないことを確認し、復号手段が暗号鍵を用い、暗号化されたパスワードを復号し、パスワードと比較することにより端末を認証し、暗号化手段が有効期限を暗号鍵により暗号化し、第2の送信手段で送信する構成を有している。 In the authentication device of the present invention, the second receiving means receives the terminal ID and the encrypted password from the terminal device, and extracts the encryption key, the expiration date, and the password corresponding to the terminal ID from the storage device. Confirm that the expiration date has not expired, the decryption means uses the encryption key, decrypts the encrypted password, compares it with the password, authenticates the terminal, and the encryption means determines the expiration date using the encryption key It has the structure which encrypts and transmits with a 2nd transmission means.
この構成により、認証時に時間のかかるセキュアな通信セッションを開設する必要が無くなり認証を短時間で行うことが可能となる。 With this configuration, it is not necessary to establish a secure communication session that takes time during authentication, and authentication can be performed in a short time.
また、本発明の端末装置は、第1の送信手段とは通信特性が異なる第2の送信手段と、第1の受信手段とは通信特性が異なる第2の受信手段と、をさらに含み、第2の送信手段が、第1の暗号鍵でパスワードを暗号化して、端末IDと共に認証装置に送信し、第2の受信手段が、認証装置から第1の暗号鍵で暗号化された第3の有効期限を受信し、復号手段が、暗号化された第3の有効期限を復号し、記憶手段に記憶されている第1の有効期限と比較することで認証装置を認証する構成を有している。 The terminal device of the present invention further includes a second transmission unit having a communication characteristic different from that of the first transmission unit, and a second reception unit having a communication characteristic different from that of the first reception unit. The second transmitting means encrypts the password with the first encryption key and transmits it to the authentication device together with the terminal ID, and the second receiving means transmits the third encrypted from the authentication device with the first encryption key. Receiving the expiration date, and having the configuration in which the decrypting means authenticates the authentication device by decrypting the encrypted third expiration date and comparing it with the first expiration date stored in the storage means. Yes.
この構成により、認証時に時間のかかるセキュアな通信セッションを開設する必要が無くなり認証を短時間で行うことが可能となる。 With this configuration, it is not necessary to establish a secure communication session that takes time during authentication, and authentication can be performed in a short time.
さらに、本発明の認証装置は、第1の受信手段とは通信特性が異なる第2の受信手段と、第1の送信手段とは通信特性が異なる第2の送信手段と、をさらに含み、第2の受信手段が、端末装置から、端末IDと暗号化されたパスワードとを受信し、記憶装置から端末IDに対応する暗号鍵と有効期限、パスワードを取り出し、有効期限が切れていないことを確認し、復号手段が暗号鍵を用い、暗号化されたパスワードを復号し、パスワードと比較することにより端末を認証し、暗号化手段で有効期限を暗号鍵を用いて暗号化し、第2の送信手段で送信する構成を有している。 Furthermore, the authentication apparatus of the present invention further includes a second receiving unit having a communication characteristic different from that of the first receiving unit, and a second transmitting unit having a communication characteristic different from that of the first transmitting unit, 2 receiving means receives the terminal ID and the encrypted password from the terminal device, takes out the encryption key, the expiration date, and the password corresponding to the terminal ID from the storage device, and confirms that the expiration date has not expired. And the decrypting means decrypts the encrypted password using the encryption key, compares the password with the password, authenticates the terminal, encrypts the expiration date using the encryption key by the encrypting means, and the second transmitting means. It has the structure which transmits by.
この構成により、認証時に時間のかかるセキュアな通信セッションを開設する必要が無くなり認証を短時間で行うことが可能となる。 With this configuration, it is not necessary to establish a secure communication session that takes time during authentication, and authentication can be performed in a short time.
本発明は、端末装置においては、暗号鍵を生成する暗号鍵生成手段と、予め認証装置と共有し端末装置を識別する端末IDと利用者を識別するパスワードと暗号鍵生成手段で生成した第1の暗号鍵とを認証装置に秘匿で安全な通信経路で送信する第1の送信手段と、第1の暗号鍵で暗号化された第1の暗号鍵の第1の有効期限を認証装置から受信する第1の受信手段と、第1の受信手段で受信した暗号化された第1の有効期限を第1の暗号鍵で復号する復号手段と、第1の暗号鍵と第1の有効期限とを記憶する記憶手段とを設けることにより、また、認証装置においては、予め端末装置と共有し端末装置を識別する端末IDと利用者を識別するパスワードと端末装置が生成した暗号鍵とを端末装置から秘匿で安全な通信経路で受信する第1の受信手段と、受信手段で受信した端末IDとパスワードとを用いて端末装置を認証する認証手段と、受信手段で端末IDとともに受信した第1の暗号鍵の有効期限を生成する有効期限生成手段と、有効期限生成手段で生成した第1の有効期限と端末IDと第1の暗号鍵とを関連付けて記憶する記憶手段と、第1の有効期限を第1の暗号鍵で暗号化する暗号化手段と、暗号化手段で第1の暗号鍵を用いて暗号化した第1の有効期限を端末装置に送信する第1の送信手段とを設けることにより、認証用暗号鍵を事前に配布し秘匿しておく必要がなく、認証用暗号鍵の交換が可能で、さらには、暗号鍵の有効期限の設定も可能となり、認証用暗号鍵の維持管理が可能となるという効果を有する端末装置および認証装置を提供することができる。 According to the present invention, in the terminal device, the encryption key generating means for generating the encryption key, the terminal ID that is shared with the authentication apparatus in advance to identify the terminal device, the password for identifying the user, and the encryption key generating means A first transmission means for transmitting the encryption key of the first encryption key to the authentication device through a secret and secure communication path, and a first expiration date of the first encryption key encrypted with the first encryption key from the authentication device First receiving means, decrypting means for decrypting the encrypted first validity period received by the first receiving means with a first encryption key, a first encryption key and a first validity period In addition, in the authentication device, a terminal ID that is shared with the terminal device to identify the terminal device, a password that identifies the user, and an encryption key generated by the terminal device are provided in the authentication device. First to receive from the secure and secure communication path Authenticating means for authenticating the terminal device using the terminal ID and password received by the receiving means, and an expiration date generating means for generating the expiration date of the first encryption key received together with the terminal ID by the receiving means; Storage means for associating and storing the first expiration date generated by the expiration date generation means, the terminal ID, and the first encryption key; and encryption means for encrypting the first expiration date with the first encryption key. And a first transmission means for transmitting the first expiration date encrypted with the first encryption key by the encryption means to the terminal device, thereby distributing and concealing the authentication encryption key in advance. The terminal device and the authentication device have the effect that the authentication encryption key can be exchanged, the expiration date of the encryption key can be set, and the authentication encryption key can be maintained and managed. Can be provided.
以下、本発明の実施の形態の端末装置および認証装置について、図面を参照しながら説明する。 Hereinafter, a terminal device and an authentication device according to an embodiment of the present invention will be described with reference to the drawings.
本発明の一実施の形態の端末装置(以下、単に、端末とも記す)および認証装置(以下、認証サーバとも記す)を図1に示す。 FIG. 1 shows a terminal device (hereinafter simply referred to as a terminal) and an authentication device (hereinafter also referred to as an authentication server) according to an embodiment of the present invention.
図1において、アクセスポイント(APとも記す)200は従来と同様、端末装置(単に、端末とも記す)100とアクセスする狭域無線通信部201と、認証サーバ300にアクセスする通信部203と、狭域無線通信部201と通信部203の間のプロトコルを変換するプロトコル変換部202とからなる。なお、認証サーバ300とは専用線やLANではなく公衆通信網、または、インターネットを介して通信してもよい。
In FIG. 1, an access point (also referred to as AP) 200 includes a narrow area
認証サーバ300は、アクセスポイント200と通信する通信部301と、図2に示す端末100のデータベースを記憶する記憶部303と、端末100を認証する認証部305と、端末100と鍵交換を行う鍵交換部302と、鍵を更新する鍵更新部304と、鍵の有効期限を生成する有効期限生成部306とを有する。更に、端末100と広域無線通信網400またはインターネット(図示せず)を介して通信する広域通信部307を有していることが望ましい。なお、通信部301は、アクセスポイント200と、広域通信網400、あるいはインターネット(図示せず)を介して通信する場合は広域通信部307と一体化することも可能である。
The authentication server 300 includes a
端末100は、アクセスポイント200と通信する狭域無線通信部101と、暗号鍵を生成する暗号鍵生成部106と、端末ID、パスワード、暗号鍵、暗号鍵の有効期限を記憶する記憶部103と、認証サーバ300の認証を行う認証部102と、認証サーバ300と鍵交換を行う鍵交換部104と、鍵を更新する鍵更新部105と、認証サーバ300と広域通信網400またはインターネットを介して通信する広域無線通信部107とを有する。
The terminal 100 includes a narrow area
図3は、本実施の形態の端末装置と認証装置の鍵交換部が行う認証用暗号鍵交換のフローチャートである。 FIG. 3 is a flowchart of authentication encryption key exchange performed by the terminal device of this embodiment and the key exchange unit of the authentication device.
端末100の狭域無線通信部101と認証サーバ300の通信部301とはアクセスポイント200を介してSSLやTSLといった従来の方式で秘匿で安全(セキュアとも記す)な通信セッションを開設する(S101)。なお、狭域無線通信部に代わって、広域通信網400を介し広域無線通信部107と広域通信部307との間でセッションを開設し通信を行ってもよい。以下、アクセスポイント200を介した通信の場合について説明する。
The narrow-area
端末100と認証サーバ300との間でセキュアなセッションを開設後、端末100は、記憶部103に記憶されている端末IDとパスワードをセキュアなセッションで送信し、認証サーバ300は、受信した端末IDに対応するパスワードを記憶部303から取り出し、受信したパスワードと比較することにより端末100を認証する(S102)。なお、セキュアな通信セッションを開設するときに相互認証を行っている場合は、パスワードによる認証は省略してもよい。また、認証に失敗した場合は、以降の処理には進まない。
After establishing a secure session between the terminal 100 and the authentication server 300, the terminal 100 transmits the terminal ID and password stored in the
暗号鍵交換はセキュアな通信セッションで通信を行う。まず、端末100の暗号鍵生成部106が暗号鍵を生成し記憶部103に記憶し、狭域無線通信部101からアクセスポイント200を経由して認証サーバ300に送信する(S103)。認証サーバ300は、受信した暗号鍵を記憶部303のデータベースに格納する(S104)。その後、有効期限生成部306を用いて現在時刻から有効期限を生成し、記憶部303のデータベースに格納し端末100が送信してきた暗号鍵で暗号化して端末100に送信する(S105)。端末100は狭域無線通信部101で受信したデータを認証サーバ300に送信した暗号鍵で復号化して記憶部103に記憶する(S106)。復号化した有効期限が意味のある有効期限であるかどうか、すなわち送信した暗号鍵で暗号化されたものかどうかを確認することにより、認証サーバ300と暗号鍵を共有できたことを確認する。
The encryption key exchange is performed in a secure communication session. First, the encryption
図4は、本実施の形態の端末装置および認証装置の認証部が行う認証のフローチャートである。端末100の認証部102は記憶部103に記憶されている端末IDとパスワードと暗号鍵とを取り出しパスワードを暗号鍵で暗号化する(S201)。端末IDと暗号化したパスワードを、狭域無線通信部101からアクセスポイント200経由で認証サーバ300に送信する(S202)。
FIG. 4 is a flowchart of authentication performed by the authentication unit of the terminal device and the authentication device according to the present embodiment. The
認証サーバ300の認証部305は通信部301経由でデータを受け取る。受信した端末IDを用いて記憶部303のデータベースから端末IDに該当するデータを取り出す(S203)。有効期限内の認証用暗号鍵があるかどうかを確認する(S204)。無い場合はアクセスポイント200に認証失敗を通信部301から返す(S210)。有効期限内の認証用暗号鍵がある場合は、受信したパスワードを認証用暗号鍵で複合化しデータベースのパスワードと比較する(S205)。
The
パスワードが一致しない場合は認証NGをアクセスポイント200に返す(S210)。パスワードが一致した場合は、有効期限を認証用暗号鍵で暗号化してアクセスポイント200経由で端末100に返した(S207)後、アクセスポイント200に認証OKを返す(S208)。この後、アクセスポイント200と端末100との間で従来の方式でデータ通信用暗号鍵を交換する(S209)。認証サーバ300と端末100との間のデータ交換は一往復で済み、また、共通鍵方式を用いているため、セキュアな通信セッションを開設するために必要な公開鍵方式よりは容易に暗号化、複合化が可能である。 If the passwords do not match, an authentication NG is returned to the access point 200 (S210). If the passwords match, the expiration date is encrypted with the authentication encryption key and returned to the terminal 100 via the access point 200 (S207), and then authentication OK is returned to the access point 200 (S208). Thereafter, the encryption key for data communication is exchanged between the access point 200 and the terminal 100 by a conventional method (S209). Data exchange between the authentication server 300 and the terminal 100 is only one round trip, and since the common key method is used, encryption is easier than the public key method necessary for establishing a secure communication session. Compounding is possible.
なお、認証用暗号鍵が交換されていない、または、有効期限が切れている場合は図5に示すように認証後、認証用の鍵を交換してからアクセスポイント200に認証OKを返せばよい。図5は、本実施の形態の端末装置と認証装置の初回認証の動作を示すフローチャートである。 If the authentication encryption key has not been exchanged or the expiration date has expired, as shown in FIG. 5, after authentication, the authentication key is exchanged and authentication OK is returned to the access point 200. . FIG. 5 is a flowchart showing the initial authentication operation of the terminal device and the authentication device of the present embodiment.
図6は、本実施の形態の端末装置と認証装置の鍵更新部が行う認証用暗号鍵更新のフローチャートである。端末100の鍵更新部105は暗号鍵生成部106を用いて新しい暗号鍵を生成する(S401)。記憶部103から端末IDとパスワードと現状の暗号鍵とを取り出し、生成した暗号鍵とパスワードを現状の暗号鍵で暗号化する(S402)。端末IDとともに暗号化したものを認証サーバ300に狭帯域無線通信部101を用いてアクセスポイントを介して送信する(S403)。
FIG. 6 is a flowchart of authentication encryption key update performed by the terminal device of this embodiment and the key update unit of the authentication device. The
認証サーバ300は通信部301を用いてデータを受信し、鍵交換部302に渡す。鍵交換部302は記憶部303のデータベースから端末100に対応する暗号鍵やパスワードなどを取り出す(S204)。有効期限内の暗号鍵がある場合は、それでデータを複合化してパスワードを認証部305が認証する(S205)。有効期限内の暗号鍵が無い、または、パスワードが不一致の場合はNGを端末100に送信する(S407)。そうでない場合は、受信した暗号鍵を複合化して記憶部303のデータベースに格納する(S404)。
The authentication server 300 receives data using the
その後、有効期限生成部306で有効期限を生成して格納し新しい暗号鍵で暗号化して端末100に送信する(S405)。端末100の鍵交換部302は受信した有効期限を新しい暗号化鍵で復号化して記憶部103に記憶する(S106)。以上、認証用暗号鍵の更新も認証同様に容易に行うことが可能である。
Thereafter, an expiration date is generated and stored by the expiration
本発明は、広域無線通信部といった第2の送受信手段を使用しないで、狭域無線通信といった第1の送受信手段のみで構成してもよい。 The present invention may be configured by only the first transmission / reception means such as the narrow area wireless communication without using the second transmission / reception means such as the wide area wireless communication unit.
広域無線通信部107といった狭域無線通信とは通信特性が異なる通信方式を用いて鍵交換と鍵更新を行えば、狭域無線通信部101、201によるアクセスポイント200および端末100の認証は時間をかげずに行うことが可能となる。更に、データ通信用にセキュアな通信セッションを確保する場合も、鍵更新部105、304を用いて新規鍵を交換する代わりにデータ通信用の暗号鍵を交換すればよい。
If key exchange and key update are performed using a communication method having communication characteristics different from that of the narrow area
以上のように、本発明にかかる端末装置は、暗号鍵を生成する暗号鍵生成手段と、予め認証装置と共有し端末装置を識別する端末IDと利用者を識別するパスワードと暗号鍵生成手段で生成した第1の暗号鍵とを認証装置に秘匿で安全な通信経路で送信する第1の送信手段と、第1の暗号鍵で暗号化された第1の暗号鍵の第1の有効期限を認証装置から受信する第1の受信手段と、第1の受信手段で受信した暗号化された第1の有効期限を第1の暗号鍵で復号する復号手段と、第1の暗号鍵と第1の有効期限とを記憶する記憶手段とを設けることにより、また、認証装置は、予め端末装置と共有し端末装置を識別する端末IDと利用者を識別するパスワードと端末装置が生成した暗号鍵とを端末装置から秘匿で安全な通信経路で受信する第1の受信手段と、受信手段で受信した端末IDとパスワードとを用いて端末装置を認証する認証手段と、受信手段で端末IDとともに受信した第1の暗号鍵の有効期限を生成する有効期限生成手段と、有効期限生成手段で生成した第1の有効期限と端末IDと第1の暗号鍵とを関連付けて記憶する記憶手段と、第1の有効期限を第1の暗号鍵で暗号化する暗号化手段と、暗号化手段で第1の暗号鍵を用いて暗号化した第1の有効期限を端末装置に送信する第1の送信手段とを設けることにより、認証用暗号鍵を事前に配布し秘匿しておく必要がなく、認証用暗号鍵の交換が可能で、さらには、暗号鍵の有効期限の設定も可能となり、認証用暗号鍵の維持管理が可能となるという効果を有し、認証装置と共有する暗号鍵により認証装置を認証する端末装置等として、また、端末装置と共有する暗号鍵により端末装置を認証する認証装置等として有用である。 As described above, the terminal device according to the present invention includes an encryption key generation unit that generates an encryption key, a terminal ID that is shared with the authentication device in advance and identifies the terminal device, a password that identifies the user, and an encryption key generation unit. A first transmission means for transmitting the generated first encryption key to the authentication device via a secret and secure communication path; and a first expiration date of the first encryption key encrypted with the first encryption key. A first receiving means for receiving from the authentication device; a decrypting means for decrypting the encrypted first validity period received by the first receiving means with a first encryption key; a first encryption key and a first And a storage unit for storing the expiration date of the authentication device, the authentication device is configured to share a terminal ID that identifies the terminal device in advance with the terminal device, a password that identifies the user, an encryption key generated by the terminal device, Is received from the terminal device via a secure and secure communication path A receiving unit; an authenticating unit that authenticates the terminal device using the terminal ID and password received by the receiving unit; and an expiration date generating unit that generates an expiration date of the first encryption key received together with the terminal ID by the receiving unit; Storage means for associating and storing the first expiration date generated by the expiration date generation means, the terminal ID, and the first encryption key; and encryption means for encrypting the first expiration date with the first encryption key. And a first transmission means for transmitting the first expiration date encrypted with the first encryption key by the encryption means to the terminal device, thereby distributing and concealing the authentication encryption key in advance. The authentication encryption key can be exchanged, the expiration date of the encryption key can be set, and the authentication encryption key can be maintained and managed. Authenticate the authentication device with the shared encryption key As end device, also useful as an authentication apparatus that authenticates the terminal device by the encryption key shared with the terminal device.
100 端末装置
101、201 狭域無線通信部
102、305 認証部
103、303 記憶部
104、302 鍵交換部
105、304 鍵更新部
106 暗号鍵生成部
107 広域無線通信部
200 アクセスポイント
202 プロトコル変換部
203、301 通信部
300 認証装置(認証サーバ)
306 有効期限生成部
307 広域通信部
400 広域通信網
DESCRIPTION OF SYMBOLS 100
306 Expiration
Claims (12)
A second receiving unit having a communication characteristic different from that of the first receiving unit; and a second transmitting unit having a communication characteristic different from that of the first transmitting unit, wherein the second receiving unit includes: Receiving the terminal ID and the encrypted password from the terminal device, taking out the encryption key and the expiration date corresponding to the terminal ID from the storage device, and confirming that the expiration date has not expired; The decryption means uses the encryption key, decrypts the encrypted password, authenticates the terminal by comparing with the password, encrypts the expiration date using the encryption key by the encryption means, The authentication apparatus according to claim 2 or 4, wherein transmission is performed by the second transmission unit.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005004810A JP2006197065A (en) | 2005-01-12 | 2005-01-12 | Terminal device and authentication device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005004810A JP2006197065A (en) | 2005-01-12 | 2005-01-12 | Terminal device and authentication device |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2006197065A true JP2006197065A (en) | 2006-07-27 |
Family
ID=36802803
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005004810A Pending JP2006197065A (en) | 2005-01-12 | 2005-01-12 | Terminal device and authentication device |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2006197065A (en) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009071707A (en) * | 2007-09-14 | 2009-04-02 | Oki Electric Ind Co Ltd | Key sharing method, and key distribution system |
JP2011164673A (en) * | 2010-02-04 | 2011-08-25 | Nippon Telegr & Teleph Corp <Ntt> | Content transmission/reception system and authentication method in the content transmission/reception system |
US8422670B2 (en) | 2008-07-10 | 2013-04-16 | National Institute Of Advanced Industrial Science And Technology | Password authentication method |
JP2016116203A (en) * | 2014-12-18 | 2016-06-23 | 株式会社ジャパンネット銀行 | Authentication device, information terminal device, program, and authentication method |
JP2016163173A (en) * | 2015-03-02 | 2016-09-05 | 株式会社バッファロー | Information processing system, information processing device, storage device, authentication method for information processing device, and program |
KR20180028705A (en) * | 2016-09-09 | 2018-03-19 | 코나아이 (주) | Security element operating with wireless router, the wireless router, and method of forming internet network using the security element |
JP2021097267A (en) * | 2019-12-13 | 2021-06-24 | コベルコ建機株式会社 | Key update system, key update method and key update program in work machine |
-
2005
- 2005-01-12 JP JP2005004810A patent/JP2006197065A/en active Pending
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009071707A (en) * | 2007-09-14 | 2009-04-02 | Oki Electric Ind Co Ltd | Key sharing method, and key distribution system |
US8422670B2 (en) | 2008-07-10 | 2013-04-16 | National Institute Of Advanced Industrial Science And Technology | Password authentication method |
JP2011164673A (en) * | 2010-02-04 | 2011-08-25 | Nippon Telegr & Teleph Corp <Ntt> | Content transmission/reception system and authentication method in the content transmission/reception system |
JP2016116203A (en) * | 2014-12-18 | 2016-06-23 | 株式会社ジャパンネット銀行 | Authentication device, information terminal device, program, and authentication method |
JP2016163173A (en) * | 2015-03-02 | 2016-09-05 | 株式会社バッファロー | Information processing system, information processing device, storage device, authentication method for information processing device, and program |
KR20180028705A (en) * | 2016-09-09 | 2018-03-19 | 코나아이 (주) | Security element operating with wireless router, the wireless router, and method of forming internet network using the security element |
JP2021097267A (en) * | 2019-12-13 | 2021-06-24 | コベルコ建機株式会社 | Key update system, key update method and key update program in work machine |
JP7327135B2 (en) | 2019-12-13 | 2023-08-16 | コベルコ建機株式会社 | Key update system, key update method, and key update program for work machine |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101032016B1 (en) | Constrained cryptographic keys | |
CN108599925B (en) | Improved AKA identity authentication system and method based on quantum communication network | |
CN1964258B (en) | Method for secure device discovery and introduction | |
EP1635502B1 (en) | Session control server and communication system | |
CN102970299B (en) | File safe protection system and method thereof | |
US7584505B2 (en) | Inspected secure communication protocol | |
CN108683501B (en) | Multiple identity authentication system and method with timestamp as random number based on quantum communication network | |
US20180131511A1 (en) | Systems and Methods for Dynamic Cypher Key Management | |
TWI581599B (en) | Key generation system, data signature and encryption system and method | |
CN108650028B (en) | Multiple identity authentication system and method based on quantum communication network and true random number | |
US20080137859A1 (en) | Public key passing | |
JP2015222915A (en) | Certificate issue system, client terminal, server device, certificate obtaining method and certificate issue method | |
CN103763356A (en) | Establishment method, device and system for connection of secure sockets layers | |
CN108964897B (en) | Identity authentication system and method based on group communication | |
CN108964896B (en) | Kerberos identity authentication system and method based on group key pool | |
CN108600152B (en) | Improved Kerberos identity authentication system and method based on quantum communication network | |
JP2006197065A (en) | Terminal device and authentication device | |
CN108964895B (en) | User-to-User identity authentication system and method based on group key pool and improved Kerberos | |
JP4938408B2 (en) | Address management system, address management method and program | |
JP7064653B2 (en) | Communications system | |
JP2007110487A (en) | Lan system and its communication method | |
CN108965266B (en) | User-to-User identity authentication system and method based on group key pool and Kerberos | |
JP2001111538A (en) | Communication system, method therefor, communication equipment and ic card | |
JP4924943B2 (en) | Authenticated key exchange system, authenticated key exchange method and program | |
CN112035820B (en) | Data analysis method used in Kerberos encryption environment |