JP2006197065A - Terminal device and authentication device - Google Patents

Terminal device and authentication device Download PDF

Info

Publication number
JP2006197065A
JP2006197065A JP2005004810A JP2005004810A JP2006197065A JP 2006197065 A JP2006197065 A JP 2006197065A JP 2005004810 A JP2005004810 A JP 2005004810A JP 2005004810 A JP2005004810 A JP 2005004810A JP 2006197065 A JP2006197065 A JP 2006197065A
Authority
JP
Japan
Prior art keywords
encryption key
expiration date
password
terminal
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2005004810A
Other languages
Japanese (ja)
Inventor
Takami Motoyama
貴巳 本山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Holdings Corp
Original Assignee
Matsushita Electric Industrial Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Matsushita Electric Industrial Co Ltd filed Critical Matsushita Electric Industrial Co Ltd
Priority to JP2005004810A priority Critical patent/JP2006197065A/en
Publication of JP2006197065A publication Critical patent/JP2006197065A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide a terminal device and an authentication device capable of speedily and easily exchanging keys. <P>SOLUTION: The terminal 100 ciphers a password with an encryption key. A terminal ID and the ciphered password are sent to an authentication server 300 through an access point 200. The authentication server 300 takes data corresponding to the terminal ID out of the database of a storage section 303 by using the terminal ID. It is confirmed whether there is an encryption key for authentication whose term of validity does not expire. When not, a failure in authentication is sent back to the access point 200 from a communication section 301. When there is the encryption key for authentication, the received password is deciphered and compared with passwords in the database. When a matching password is found, the term of validity is ciphered and sent back to the terminal 100 and then authentication OK is sent back to the access point 200. Encryption keys for data communication are exchanged between the access point 200 and terminal 100 by the conventional way. <P>COPYRIGHT: (C)2006,JPO&NCIPI

Description

本発明は、端末装置と、端末装置と共有する暗号鍵により端末装置を認証する認証装置とに関するものである。   The present invention relates to a terminal device and an authentication device that authenticates the terminal device with an encryption key shared with the terminal device.

従来の端末装置および認証装置としては、無線LANなどの狭域無線通信において、端末装置を認証するために、予め端末装置にデータ通信用の暗号鍵を配布しておき、その暗号鍵をもっているかどうかで認証装置が端末装置を認証し、更にその暗号鍵を用いてデータを暗号化して通信する方式が知られている。この方式では、全ての端末装置が同じ暗号鍵をデータ通信に用いるため、暗号鍵を持っている端末装置は、他の端末装置の通信も盗聴できるというセキュリティ上の課題があった。   As a conventional terminal device and authentication device, in order to authenticate the terminal device in narrow area wireless communication such as wireless LAN, an encryption key for data communication is distributed in advance to the terminal device, and whether or not the encryption key is possessed Thus, a method is known in which an authentication device authenticates a terminal device, and further communicates by encrypting data using the encryption key. In this method, since all the terminal devices use the same encryption key for data communication, there is a security problem that the terminal device having the encryption key can eavesdrop on communication of other terminal devices.

この課題を解決するため、認証時にデータ通信用の暗号鍵の交換を行う方式が利用され始めている。   In order to solve this problem, a method of exchanging encryption keys for data communication at the time of authentication has begun to be used.

図7に、この従来の方式における端末装置と認証装置(以下、認証サーバと記す)の構成を示す。この方式では、認証サーバ710を設置しアクセスポイント720と通信部712を用いて接続する。アクセスポイント720は端末装置700と通信するための狭域無線通信部721と認証サーバ710と通信するための通信部723とを有し、端末装置700から来たデータを認証サーバに、認証サーバから来たデータを端末装置700にプロトコル変換部722でプロトコル変換して送信する中継器として動作する。   FIG. 7 shows the configuration of a terminal device and an authentication device (hereinafter referred to as an authentication server) in this conventional method. In this method, an authentication server 710 is installed and connected to the access point 720 using the communication unit 712. The access point 720 includes a narrow-area wireless communication unit 721 for communicating with the terminal device 700 and a communication unit 723 for communicating with the authentication server 710. Data coming from the terminal device 700 is sent to the authentication server and from the authentication server. It operates as a repeater that performs protocol conversion by the protocol conversion unit 722 and transmits the received data to the terminal device 700.

1つの方法は、端末装置700がパスワードをもっていて、それをハッシュ化して認証サーバ710に送信する。認証サーバ710も端末装置700のパスワードをハッシュ化して比較することにより、端末装置700を認証する。この方式では、端末装置700の認証は可能であるが認証サーバ710の認証ができない。認証サーバ710からもパスワードを送信することが考えられるが、多数の端末装置を認証する認証サーバ710の場合、パスワードが漏洩する可能性が高く実用的ではない。   In one method, the terminal device 700 has a password, which is hashed and transmitted to the authentication server 710. The authentication server 710 also authenticates the terminal device 700 by hashing and comparing the password of the terminal device 700. In this method, the terminal device 700 can be authenticated, but the authentication server 710 cannot be authenticated. Although it is conceivable to transmit a password from the authentication server 710 as well, in the case of the authentication server 710 that authenticates a large number of terminal devices, there is a high possibility that the password will be leaked, which is not practical.

図8は、図7で示す従来の構成において、相互認証を行う認証のアルゴリズムを示す流れ図である。端末装置700と認証サーバ710はアクセスポイント720を中継器としてSecure Sockets Layer(SSL)やTransport Layer Security(TLS)などのセキュアな通信セッションを開設(S801)して認証(S802)し、認証結果をアクセスポイント720に返す(S804)。セキュアな通信を開設する(S801)ときに認証サーバ710を認証する。その後、セキュアな通信によって端末装置700のパスワードで端末装置700を認証(S802)する。セキュアな通信セッション開設時に端末装置700の認証も同時に行うことも可能である。認証結果を受けてアクセスポイント720と端末装置700との間でデータ通信用の暗号鍵の交換を行う(S805)。これにより、端末装置ごとに、更に通信ごとに暗号鍵が違うため盗聴されることはない。   FIG. 8 is a flowchart showing an authentication algorithm for performing mutual authentication in the conventional configuration shown in FIG. The terminal device 700 and the authentication server 710 establish a secure communication session such as Secure Sockets Layer (SSL) or Transport Layer Security (TLS) using the access point 720 as a repeater (S801), authenticate (S802), and obtain an authentication result. It returns to the access point 720 (S804). The authentication server 710 is authenticated when establishing a secure communication (S801). Thereafter, the terminal device 700 is authenticated with the password of the terminal device 700 by secure communication (S802). The terminal device 700 can be authenticated at the same time when a secure communication session is established. In response to the authentication result, the encryption key for data communication is exchanged between the access point 720 and the terminal device 700 (S805). Thereby, since the encryption key is different for each terminal device and for each communication, it is not wiretapped.

しかし、セキュアな通信セッションを開設するためには、複数回に渡ってデータの交換を行う必要があり、更に公開鍵方式などによる複雑な計算をする必要があり時間がかかる。これは認証時だけではなく、セキュアな通信を行うときは同様である。   However, in order to open a secure communication session, it is necessary to exchange data over a plurality of times, and it is necessary to perform complicated calculations using a public key method, which takes time. This is the same when performing secure communication, not only during authentication.

そこで、別の従来の端末装置と認証装置では、予め端末装置ごとに異なる暗号鍵を認証サーバと端末装置とで共有しておく。この暗号化鍵をデータ通信用の暗号鍵として利用する。または、セキュアなセッションを開設するために用いて開設時間を短縮する(たとえば、特許文献1参照)。
特開平7−212356号公報 Therefore, in another conventional terminal device and authentication device, an encryption key different for each terminal device is shared in advance between the authentication server and the terminal device. This encryption key is used as an encryption key for data communication. Alternatively, it is used for establishing a secure session to shorten the establishment time (see, for example, Patent Document 1).
JP-A-7-212356

しかしながら、従来の端末装置と認証装置とにおいては、安全を確保するためには、セキュアな通信セッションを開設し暗号鍵の交換を行う必要があるが、そのためには時間がかかる。特に、自動車などで通信エリアを高速に移動、通過する場合、通信時間が限られているため、認証と暗号鍵交換に時間がかかるとデータ通信する時間が減少し、必要なデータ通信が行えなくなる。   However, in order to ensure safety in the conventional terminal device and the authentication device, it is necessary to establish a secure communication session and exchange the encryption key, which takes time. In particular, when moving or passing through a communication area at high speed in an automobile or the like, the communication time is limited. Therefore, if authentication and encryption key exchange take a long time, the time for data communication decreases and the necessary data communication cannot be performed. .

また、予め暗号鍵を共有し、その暗号鍵を用いてデータ交換用の暗号鍵交換を行う方式においても、次のような共通している暗号鍵の維持管理が課題となる。(a)共有鍵が解析された場合は、速やかに変更するための仕組みが必要である。(b)共有鍵を使い続けると、解析される可能性が増える。そのため、定期的に変更するほうが望ましいが、そのための仕組みが必要となる。   Further, even in a method of sharing an encryption key in advance and exchanging an encryption key for data exchange using the encryption key, the following maintenance and management of the common encryption key becomes a problem. (A) When a shared key is analyzed, a mechanism for prompt change is required. (B) If the shared key is continuously used, the possibility of being analyzed increases. Therefore, it is preferable to change it periodically, but a mechanism for that is required.

本発明の端末装置は、暗号鍵を生成する暗号鍵生成手段と、予め認証装置と共有し端末装置を識別する端末IDと利用者を識別するパスワードと暗号鍵生成手段で生成した第1の暗号鍵とを認証装置に秘匿で安全な通信経路で送信する第1の送信手段と、第1の暗号鍵で暗号化された第1の暗号鍵の第1の有効期限を認証装置から受信する第1の受信手段と、第1の受信手段で受信した暗号化された第1の有効期限を第1の暗号鍵で復号する復号手段と、第1の暗号鍵と第1の有効期限とを記憶する記憶手段とを含む構成を有している。   The terminal device according to the present invention includes an encryption key generation unit that generates an encryption key, a terminal ID that is shared with the authentication device in advance to identify the terminal device, a password that identifies the user, and a first encryption generated by the encryption key generation unit. A first transmission means for transmitting the key to the authentication device via a secret and secure communication path; and a first expiration date of the first encryption key encrypted with the first encryption key from the authentication device. 1 receiving means, decrypting means for decrypting the encrypted first validity period received by the first receiving means with the first encryption key, and storing the first encryption key and the first validity period And a storage means.

この構成により、認証用暗号鍵を事前に配布し秘匿しておく必要がなく、認証用暗号鍵の交換が可能で、さらには、暗号鍵の有効期限の設定も可能となり、認証用暗号鍵の維持管理が可能となる。   With this configuration, it is not necessary to distribute and conceal the authentication encryption key in advance, the authentication encryption key can be exchanged, and the expiration date of the encryption key can be set. Maintenance becomes possible.

本発明の認証装置は、予め端末装置と共有し端末装置を識別する端末IDと利用者を識別するパスワードと端末装置が生成した暗号鍵とを端末装置から秘匿で安全な通信経路で受信する第1の受信手段と、受信手段で受信した端末IDとパスワードとを用いて端末装置を認証する認証手段と、受信手段で端末IDとともに受信した第1の暗号鍵の有効期限を生成する有効期限生成手段と、有効期限生成手段で生成した第1の有効期限と端末IDと第1の暗号鍵とを関連付けて記憶する記憶手段と、第1の有効期限を第1の暗号鍵で暗号化する暗号化手段と、暗号化手段で第1の暗号鍵を用いて暗号化した第1の有効期限を端末装置に送信する第1の送信手段とを含む構成を有している。   The authentication device of the present invention receives a terminal ID that is shared with the terminal device in advance and identifies the terminal device, a password that identifies the user, and an encryption key generated by the terminal device from the terminal device via a secret and secure communication path. 1 receiving means, authentication means for authenticating the terminal device using the terminal ID and password received by the receiving means, and expiration date generation for generating the expiration date of the first encryption key received together with the terminal ID by the receiving means Means for storing the first validity period generated by the validity period generation means, the terminal ID and the first encryption key in association with each other, and encryption for encrypting the first validity period with the first encryption key. And a first transmission means for transmitting the first expiration date encrypted by the encryption means using the first encryption key to the terminal device.

この構成により、認証用暗号鍵を事前に配布し秘匿しておく必要がなく、認証用暗号鍵の交換が可能で、さらには、暗号鍵の有効期限の設定も可能となり、認証用暗号鍵の維持管理が可能となる。   With this configuration, it is not necessary to distribute and conceal the authentication encryption key in advance, the authentication encryption key can be exchanged, and the expiration date of the encryption key can be set. Maintenance becomes possible.

また、本発明の端末装置は、暗号鍵と有効期限とを更新する鍵更新手段をさらに含み、暗号鍵生成手段で生成した第2の暗号鍵を記憶手段に記憶した第1の暗号鍵でパスワードとともに暗号化し、第1の送信手段で認証装置に送信し、第1の受信手段で認証装置からの第2の暗号鍵で暗号化された第2の有効期限を受信し、復号手段が暗号化された第2の有効期限を第2の暗号鍵で復号し、鍵更新手段は有効期限の内容に基づいて記憶手段に記憶した第1の有効期限と第1の暗号鍵とを第2の有効期限と第2の暗号鍵とで更新し、更新された第1の有効期限と更新された第1の暗号鍵として記憶手段に記憶する構成を有している。   The terminal device according to the present invention further includes key update means for updating the encryption key and the expiration date, and the first encryption key stored in the storage means is the password using the first encryption key generated by the encryption key generation means. And the first transmission means transmits the data to the authentication apparatus, the first reception means receives the second validity period encrypted with the second encryption key from the authentication apparatus, and the decryption means encrypts the data. And the key updating means decrypts the first validity period and the first encryption key stored in the storage means based on the contents of the validity period, with the second validity key. An update is made with the expiration date and the second encryption key, and the updated first expiration date and the updated first encryption key are stored in the storage means.

この構成により、認証時に時間のかかるセキュアな通信セッションを開設する必要が無くなり認証用暗号鍵交換を短時間で行うことが可能となる。   With this configuration, it is not necessary to open a secure communication session that takes time during authentication, and authentication encryption key exchange can be performed in a short time.

また、本発明の認証装置は、暗号化された信号を復号する復号手段と、暗号鍵を更新する鍵更新手段とをさらに含み、第1の受信手段が端末装置から送信された第1の暗号鍵で暗号化されたパスワードと第2の暗号鍵を受信し、復号手段は第1の受信手段が受信した暗号化されたパスワードと第2の暗号鍵とを記憶手段に記憶した第1の暗号鍵で復号し、鍵更新手段は記憶手段に記憶したパスワードと復号したパスワードとを比較し一致すれば、有効期限生成手段が第1の有効期限を生成し、第2の暗号鍵で暗号化し、第1の送信手段が暗号化した第2の暗号鍵を端末装置に送信し、鍵更新手段は記憶手段が記憶した第1の暗号鍵と第1の有効期限とを第2の暗号鍵と第2の有効期限とで更新し、更新された第1の有効期限と更新された第1の暗号鍵として記憶手段に記憶する構成を有している。   The authentication apparatus of the present invention further includes a decryption unit that decrypts the encrypted signal and a key update unit that updates the encryption key, and the first reception unit transmits the first cipher transmitted from the terminal device. The first encryption key that receives the encrypted password and the second encryption key with the key, and the decryption means stores the encrypted password and the second encryption key received by the first reception means in the storage means. When the key update means compares the password stored in the storage means with the decrypted password, the expiration date generation means generates the first expiration date and encrypts it with the second encryption key. The first transmission means transmits the encrypted second encryption key to the terminal device, and the key update means stores the first encryption key and the first expiration date stored in the storage means with the second encryption key and the second encryption key. Updated with the expiration date of 2, the updated first expiration date and the updated first It has a configuration to be stored in the storage means as an encryption key.

この構成により、認証時に時間のかかるセキュアな通信セッションを開設する必要が無くなり認証用暗号鍵交換を短時間で行うことが可能となる。   With this configuration, it is not necessary to open a secure communication session that takes time during authentication, and authentication encryption key exchange can be performed in a short time.

また、本発明の端末装置は、暗号鍵と有効期限とを更新する鍵更新手段と、第1の送信手段とは通信特性が異なる第2の送信手段と、第1の受信手段とは通信特性が異なる第2の受信手段と、をさらに含み、暗号鍵生成手段で生成した第2の暗号鍵を記憶手段に記憶した第1の暗号鍵でパスワードとともに暗号化し、第2の送信手段で認証装置に送信し、第2の受信手段で認証装置からの第2の暗号鍵で暗号化された第2の有効期限を受信し、復号手段が暗号化された第2の有効期限を第2の暗号鍵で復号し、鍵更新手段は有効期限の内容に基づいて記憶手段に記憶した第1の有効期限と第1の暗号鍵とを第2の有効期限と第2の暗号鍵とで更新し、更新された第1の有効期限と更新された第1の暗号鍵として記憶手段に記憶する構成を有している。   Further, the terminal device of the present invention includes a key update unit that updates the encryption key and the expiration date, a second transmission unit that has different communication characteristics from the first transmission unit, and a communication characteristic that is different from the first reception unit. Second receiving means different from each other, wherein the second encryption key generated by the encryption key generating means is encrypted together with the password with the first encryption key stored in the storage means, and the second transmitting means authenticates the authentication device. And the second receiving means receives the second validity period encrypted with the second encryption key from the authentication device, and the decrypting means receives the encrypted second validity period as the second cipher. Decrypting with the key, and the key updating means updates the first expiration date and the first encryption key stored in the storage means based on the contents of the expiration date with the second expiration date and the second encryption key, The storage means stores the updated first expiration date and the updated first encryption key. There.

この構成により、認証時に時間のかかるセキュアな通信セッションを開設する必要が無くなり認証用暗号鍵交換を短時間で行うことが可能となる。   With this configuration, it is not necessary to open a secure communication session that takes time during authentication, and authentication encryption key exchange can be performed in a short time.

また、本発明の認証装置は、暗号化された信号を復号する復号手段と、暗号鍵を更新する鍵更新手段と、第1の受信手段とは通信特性が異なる第2の受信手段と、第1の送信手段とは通信特性が異なる第2の送信手段と、をさらに含み、第2の受信手段が端末装置から送信された第1の暗号鍵で暗号化されたパスワードと第2の暗号鍵とを受信し、復号手段は第2の受信手段が受信した暗号化されたパスワードと第2の暗号鍵とを記憶手段に記憶した第1の暗号鍵で復号し、鍵更新手段は記憶手段に記憶したパスワードと復号したパスワードとを比較し一致すれば、有効期限生成手段が第1の有効期限を生成し、第2の暗号鍵で暗号化し、第2の送信手段が暗号化した第2の暗号鍵を端末装置に送信し、鍵更新手段は記憶手段が記憶した第1の暗号鍵と第1の有効期限とを第2の暗号鍵と第2の有効期限とで更新し、更新された第1の有効期限と更新された第1の暗号鍵として記憶手段に記憶する構成を有している。   The authentication apparatus of the present invention includes a decryption unit that decrypts an encrypted signal, a key update unit that updates an encryption key, a second reception unit that has communication characteristics different from those of the first reception unit, And a second transmitting unit having a communication characteristic different from that of the first transmitting unit, wherein the second receiving unit encrypts the password and the second encryption key encrypted with the first encryption key transmitted from the terminal device. And the decryption means decrypts the encrypted password and the second encryption key received by the second reception means with the first encryption key stored in the storage means, and the key update means stores in the storage means If the stored password and the decrypted password are compared and matched, the expiration date generating means generates the first expiration date, encrypts it with the second encryption key, and encrypts the second password encrypted by the second transmission means. The encryption key is transmitted to the terminal device, and the key update means stores the first stored in the storage means. A configuration in which the encryption key and the first expiration date are updated with the second encryption key and the second expiration date, and stored in the storage unit as the updated first expiration date and the updated first encryption key. have.

この構成により、認証時に時間のかかるセキュアな通信セッションを開設する必要が無くなり認証用暗号鍵交換を短時間で行うことが可能となる。   With this configuration, it is not necessary to open a secure communication session that takes time during authentication, and authentication encryption key exchange can be performed in a short time.

また、本発明の端末装置は、第1の送信手段が、第1の暗号鍵でパスワードを暗号化して、端末IDと共に認証装置に送信し、第1の受信手段が、認証装置から第1の暗号鍵で暗号化された第3の有効期限を受信し、復号手段が、暗号化された第3の有効期限を復号し、記憶手段に記憶されている第1の有効期限と比較することで認証装置を認証する構成を有している。   In the terminal device of the present invention, the first transmission unit encrypts the password with the first encryption key and transmits the password together with the terminal ID to the authentication device, and the first reception unit receives the first from the authentication device. By receiving the third expiration date encrypted with the encryption key, the decryption means decrypts the encrypted third expiration date and compares it with the first expiration date stored in the storage means. The authentication apparatus is configured to authenticate.

この構成により、認証時に時間のかかるセキュアな通信セッションを開設する必要が無くなり認証を短時間で行うことが可能となる。   With this configuration, it is not necessary to establish a secure communication session that takes time during authentication, and authentication can be performed in a short time.

また、本発明の認証装置は、第1の受信手段が、端末装置から、端末IDと暗号化されたパスワードとを受信し、記憶装置から端末IDに対応する暗号鍵と有効期限、パスワードを取り出し、有効期限が切れていないことを確認し、復号手段が暗号鍵を用い、暗号化されたパスワードを復号し、パスワードと比較することにより端末を認証し、暗号化手段が有効期限を暗号鍵により暗号化し、第1の送信手段で送信する構成を有している。   In the authentication device of the present invention, the first receiving means receives the terminal ID and the encrypted password from the terminal device, and extracts the encryption key, the expiration date, and the password corresponding to the terminal ID from the storage device. Confirm that the expiration date has not expired, the decryption means uses the encryption key, decrypts the encrypted password, compares it with the password, authenticates the terminal, and the encryption means determines the expiration date using the encryption key It has the structure which encrypts and transmits with a 1st transmission means.

この構成により、認証時に時間のかかるセキュアな通信セッションを開設する必要が無くなり認証を短時間で行うことが可能となる。   With this configuration, it is not necessary to establish a secure communication session that takes time during authentication, and authentication can be performed in a short time.

また、本発明の端末装置は、第2の送信手段が、第1の暗号鍵でパスワードを暗号化して、端末IDと共に認証装置に送信し、第2の受信手段が、認証装置から第1の暗号鍵で暗号化された第3の有効期限を受信し、復号手段が、暗号化された第3の有効期限を復号し、記憶手段に記憶されている第1の有効期限と比較することで認証装置を認証する構成を有している。   In the terminal device of the present invention, the second transmitting means encrypts the password with the first encryption key and transmits the password together with the terminal ID to the authentication apparatus, and the second receiving means receives the first information from the authentication apparatus. By receiving the third expiration date encrypted with the encryption key, the decryption means decrypts the encrypted third expiration date and compares it with the first expiration date stored in the storage means. The authentication apparatus is configured to authenticate.

この構成により、認証時に時間のかかるセキュアな通信セッションを開設する必要が無くなり認証を短時間で行うことが可能となる。   With this configuration, it is not necessary to establish a secure communication session that takes time during authentication, and authentication can be performed in a short time.

また、本発明の認証装置は、第2の受信手段が、端末装置から、端末IDと暗号化されたパスワードとを受信し、記憶装置から端末IDに対応する暗号鍵と有効期限、パスワードを取り出し、有効期限が切れていないことを確認し、復号手段が暗号鍵を用い、暗号化されたパスワードを復号し、パスワードと比較することにより端末を認証し、暗号化手段が有効期限を暗号鍵により暗号化し、第2の送信手段で送信する構成を有している。   In the authentication device of the present invention, the second receiving means receives the terminal ID and the encrypted password from the terminal device, and extracts the encryption key, the expiration date, and the password corresponding to the terminal ID from the storage device. Confirm that the expiration date has not expired, the decryption means uses the encryption key, decrypts the encrypted password, compares it with the password, authenticates the terminal, and the encryption means determines the expiration date using the encryption key It has the structure which encrypts and transmits with a 2nd transmission means.

この構成により、認証時に時間のかかるセキュアな通信セッションを開設する必要が無くなり認証を短時間で行うことが可能となる。   With this configuration, it is not necessary to establish a secure communication session that takes time during authentication, and authentication can be performed in a short time.

また、本発明の端末装置は、第1の送信手段とは通信特性が異なる第2の送信手段と、第1の受信手段とは通信特性が異なる第2の受信手段と、をさらに含み、第2の送信手段が、第1の暗号鍵でパスワードを暗号化して、端末IDと共に認証装置に送信し、第2の受信手段が、認証装置から第1の暗号鍵で暗号化された第3の有効期限を受信し、復号手段が、暗号化された第3の有効期限を復号し、記憶手段に記憶されている第1の有効期限と比較することで認証装置を認証する構成を有している。   The terminal device of the present invention further includes a second transmission unit having a communication characteristic different from that of the first transmission unit, and a second reception unit having a communication characteristic different from that of the first reception unit. The second transmitting means encrypts the password with the first encryption key and transmits it to the authentication device together with the terminal ID, and the second receiving means transmits the third encrypted from the authentication device with the first encryption key. Receiving the expiration date, and having the configuration in which the decrypting means authenticates the authentication device by decrypting the encrypted third expiration date and comparing it with the first expiration date stored in the storage means. Yes.

この構成により、認証時に時間のかかるセキュアな通信セッションを開設する必要が無くなり認証を短時間で行うことが可能となる。   With this configuration, it is not necessary to establish a secure communication session that takes time during authentication, and authentication can be performed in a short time.

さらに、本発明の認証装置は、第1の受信手段とは通信特性が異なる第2の受信手段と、第1の送信手段とは通信特性が異なる第2の送信手段と、をさらに含み、第2の受信手段が、端末装置から、端末IDと暗号化されたパスワードとを受信し、記憶装置から端末IDに対応する暗号鍵と有効期限、パスワードを取り出し、有効期限が切れていないことを確認し、復号手段が暗号鍵を用い、暗号化されたパスワードを復号し、パスワードと比較することにより端末を認証し、暗号化手段で有効期限を暗号鍵を用いて暗号化し、第2の送信手段で送信する構成を有している。   Furthermore, the authentication apparatus of the present invention further includes a second receiving unit having a communication characteristic different from that of the first receiving unit, and a second transmitting unit having a communication characteristic different from that of the first transmitting unit, 2 receiving means receives the terminal ID and the encrypted password from the terminal device, takes out the encryption key, the expiration date, and the password corresponding to the terminal ID from the storage device, and confirms that the expiration date has not expired. And the decrypting means decrypts the encrypted password using the encryption key, compares the password with the password, authenticates the terminal, encrypts the expiration date using the encryption key by the encrypting means, and the second transmitting means. It has the structure which transmits by.

この構成により、認証時に時間のかかるセキュアな通信セッションを開設する必要が無くなり認証を短時間で行うことが可能となる。   With this configuration, it is not necessary to establish a secure communication session that takes time during authentication, and authentication can be performed in a short time.

本発明は、端末装置においては、暗号鍵を生成する暗号鍵生成手段と、予め認証装置と共有し端末装置を識別する端末IDと利用者を識別するパスワードと暗号鍵生成手段で生成した第1の暗号鍵とを認証装置に秘匿で安全な通信経路で送信する第1の送信手段と、第1の暗号鍵で暗号化された第1の暗号鍵の第1の有効期限を認証装置から受信する第1の受信手段と、第1の受信手段で受信した暗号化された第1の有効期限を第1の暗号鍵で復号する復号手段と、第1の暗号鍵と第1の有効期限とを記憶する記憶手段とを設けることにより、また、認証装置においては、予め端末装置と共有し端末装置を識別する端末IDと利用者を識別するパスワードと端末装置が生成した暗号鍵とを端末装置から秘匿で安全な通信経路で受信する第1の受信手段と、受信手段で受信した端末IDとパスワードとを用いて端末装置を認証する認証手段と、受信手段で端末IDとともに受信した第1の暗号鍵の有効期限を生成する有効期限生成手段と、有効期限生成手段で生成した第1の有効期限と端末IDと第1の暗号鍵とを関連付けて記憶する記憶手段と、第1の有効期限を第1の暗号鍵で暗号化する暗号化手段と、暗号化手段で第1の暗号鍵を用いて暗号化した第1の有効期限を端末装置に送信する第1の送信手段とを設けることにより、認証用暗号鍵を事前に配布し秘匿しておく必要がなく、認証用暗号鍵の交換が可能で、さらには、暗号鍵の有効期限の設定も可能となり、認証用暗号鍵の維持管理が可能となるという効果を有する端末装置および認証装置を提供することができる。   According to the present invention, in the terminal device, the encryption key generating means for generating the encryption key, the terminal ID that is shared with the authentication apparatus in advance to identify the terminal device, the password for identifying the user, and the encryption key generating means A first transmission means for transmitting the encryption key of the first encryption key to the authentication device through a secret and secure communication path, and a first expiration date of the first encryption key encrypted with the first encryption key from the authentication device First receiving means, decrypting means for decrypting the encrypted first validity period received by the first receiving means with a first encryption key, a first encryption key and a first validity period In addition, in the authentication device, a terminal ID that is shared with the terminal device to identify the terminal device, a password that identifies the user, and an encryption key generated by the terminal device are provided in the authentication device. First to receive from the secure and secure communication path Authenticating means for authenticating the terminal device using the terminal ID and password received by the receiving means, and an expiration date generating means for generating the expiration date of the first encryption key received together with the terminal ID by the receiving means; Storage means for associating and storing the first expiration date generated by the expiration date generation means, the terminal ID, and the first encryption key; and encryption means for encrypting the first expiration date with the first encryption key. And a first transmission means for transmitting the first expiration date encrypted with the first encryption key by the encryption means to the terminal device, thereby distributing and concealing the authentication encryption key in advance. The terminal device and the authentication device have the effect that the authentication encryption key can be exchanged, the expiration date of the encryption key can be set, and the authentication encryption key can be maintained and managed. Can be provided.

以下、本発明の実施の形態の端末装置および認証装置について、図面を参照しながら説明する。   Hereinafter, a terminal device and an authentication device according to an embodiment of the present invention will be described with reference to the drawings.

本発明の一実施の形態の端末装置(以下、単に、端末とも記す)および認証装置(以下、認証サーバとも記す)を図1に示す。   FIG. 1 shows a terminal device (hereinafter simply referred to as a terminal) and an authentication device (hereinafter also referred to as an authentication server) according to an embodiment of the present invention.

図1において、アクセスポイント(APとも記す)200は従来と同様、端末装置(単に、端末とも記す)100とアクセスする狭域無線通信部201と、認証サーバ300にアクセスする通信部203と、狭域無線通信部201と通信部203の間のプロトコルを変換するプロトコル変換部202とからなる。なお、認証サーバ300とは専用線やLANではなく公衆通信網、または、インターネットを介して通信してもよい。   In FIG. 1, an access point (also referred to as AP) 200 includes a narrow area wireless communication unit 201 that accesses a terminal device (also simply referred to as a terminal) 100, a communication unit 203 that accesses an authentication server 300, and It comprises a protocol conversion unit 202 that converts a protocol between the area wireless communication unit 201 and the communication unit 203. The authentication server 300 may communicate with the authentication server 300 via a public communication network or the Internet instead of a dedicated line or LAN.

認証サーバ300は、アクセスポイント200と通信する通信部301と、図2に示す端末100のデータベースを記憶する記憶部303と、端末100を認証する認証部305と、端末100と鍵交換を行う鍵交換部302と、鍵を更新する鍵更新部304と、鍵の有効期限を生成する有効期限生成部306とを有する。更に、端末100と広域無線通信網400またはインターネット(図示せず)を介して通信する広域通信部307を有していることが望ましい。なお、通信部301は、アクセスポイント200と、広域通信網400、あるいはインターネット(図示せず)を介して通信する場合は広域通信部307と一体化することも可能である。   The authentication server 300 includes a communication unit 301 that communicates with the access point 200, a storage unit 303 that stores the database of the terminal 100 illustrated in FIG. 2, an authentication unit 305 that authenticates the terminal 100, and a key that exchanges keys with the terminal 100. The exchange unit 302 includes a key update unit 304 that updates a key, and an expiration date generation unit 306 that generates an expiration date of the key. Furthermore, it is desirable to have a wide area communication unit 307 that communicates with the terminal 100 via the wide area wireless communication network 400 or the Internet (not shown). Note that the communication unit 301 can be integrated with the wide area communication unit 307 when communicating with the access point 200 via the wide area communication network 400 or the Internet (not shown).

端末100は、アクセスポイント200と通信する狭域無線通信部101と、暗号鍵を生成する暗号鍵生成部106と、端末ID、パスワード、暗号鍵、暗号鍵の有効期限を記憶する記憶部103と、認証サーバ300の認証を行う認証部102と、認証サーバ300と鍵交換を行う鍵交換部104と、鍵を更新する鍵更新部105と、認証サーバ300と広域通信網400またはインターネットを介して通信する広域無線通信部107とを有する。   The terminal 100 includes a narrow area wireless communication unit 101 that communicates with the access point 200, an encryption key generation unit 106 that generates an encryption key, and a storage unit 103 that stores a terminal ID, a password, an encryption key, and an expiration date of the encryption key. The authentication unit 102 that performs authentication of the authentication server 300, the key exchange unit 104 that performs key exchange with the authentication server 300, the key update unit 105 that updates the key, the authentication server 300, the wide area communication network 400, or the Internet. And a wide area wireless communication unit 107 for communication.

図3は、本実施の形態の端末装置と認証装置の鍵交換部が行う認証用暗号鍵交換のフローチャートである。   FIG. 3 is a flowchart of authentication encryption key exchange performed by the terminal device of this embodiment and the key exchange unit of the authentication device.

端末100の狭域無線通信部101と認証サーバ300の通信部301とはアクセスポイント200を介してSSLやTSLといった従来の方式で秘匿で安全(セキュアとも記す)な通信セッションを開設する(S101)。なお、狭域無線通信部に代わって、広域通信網400を介し広域無線通信部107と広域通信部307との間でセッションを開設し通信を行ってもよい。以下、アクセスポイント200を介した通信の場合について説明する。   The narrow-area wireless communication unit 101 of the terminal 100 and the communication unit 301 of the authentication server 300 establish a secret and secure communication session (also referred to as secure) using the conventional method such as SSL or TSL via the access point 200 (S101). . Instead of the narrow area wireless communication unit, a communication may be established by establishing a session between the wide area wireless communication unit 107 and the wide area communication unit 307 via the wide area communication network 400. Hereinafter, the case of communication via the access point 200 will be described.

端末100と認証サーバ300との間でセキュアなセッションを開設後、端末100は、記憶部103に記憶されている端末IDとパスワードをセキュアなセッションで送信し、認証サーバ300は、受信した端末IDに対応するパスワードを記憶部303から取り出し、受信したパスワードと比較することにより端末100を認証する(S102)。なお、セキュアな通信セッションを開設するときに相互認証を行っている場合は、パスワードによる認証は省略してもよい。また、認証に失敗した場合は、以降の処理には進まない。   After establishing a secure session between the terminal 100 and the authentication server 300, the terminal 100 transmits the terminal ID and password stored in the storage unit 103 in a secure session, and the authentication server 300 receives the received terminal ID. The password corresponding to is extracted from the storage unit 303 and compared with the received password to authenticate the terminal 100 (S102). If mutual authentication is performed when a secure communication session is established, password authentication may be omitted. If authentication fails, the process does not proceed.

暗号鍵交換はセキュアな通信セッションで通信を行う。まず、端末100の暗号鍵生成部106が暗号鍵を生成し記憶部103に記憶し、狭域無線通信部101からアクセスポイント200を経由して認証サーバ300に送信する(S103)。認証サーバ300は、受信した暗号鍵を記憶部303のデータベースに格納する(S104)。その後、有効期限生成部306を用いて現在時刻から有効期限を生成し、記憶部303のデータベースに格納し端末100が送信してきた暗号鍵で暗号化して端末100に送信する(S105)。端末100は狭域無線通信部101で受信したデータを認証サーバ300に送信した暗号鍵で復号化して記憶部103に記憶する(S106)。復号化した有効期限が意味のある有効期限であるかどうか、すなわち送信した暗号鍵で暗号化されたものかどうかを確認することにより、認証サーバ300と暗号鍵を共有できたことを確認する。   The encryption key exchange is performed in a secure communication session. First, the encryption key generation unit 106 of the terminal 100 generates an encryption key, stores it in the storage unit 103, and transmits it from the narrow area wireless communication unit 101 to the authentication server 300 via the access point 200 (S103). The authentication server 300 stores the received encryption key in the database of the storage unit 303 (S104). Thereafter, the expiration date is generated from the current time using the expiration date generation unit 306, stored in the database of the storage unit 303, encrypted with the encryption key transmitted by the terminal 100, and transmitted to the terminal 100 (S105). The terminal 100 decrypts the data received by the narrow area wireless communication unit 101 with the encryption key transmitted to the authentication server 300 and stores it in the storage unit 103 (S106). It is confirmed that the encryption key can be shared with the authentication server 300 by confirming whether or not the decrypted expiration date is a meaningful expiration date, that is, whether or not it is encrypted with the transmitted encryption key.

図4は、本実施の形態の端末装置および認証装置の認証部が行う認証のフローチャートである。端末100の認証部102は記憶部103に記憶されている端末IDとパスワードと暗号鍵とを取り出しパスワードを暗号鍵で暗号化する(S201)。端末IDと暗号化したパスワードを、狭域無線通信部101からアクセスポイント200経由で認証サーバ300に送信する(S202)。   FIG. 4 is a flowchart of authentication performed by the authentication unit of the terminal device and the authentication device according to the present embodiment. The authentication unit 102 of the terminal 100 takes out the terminal ID, password, and encryption key stored in the storage unit 103 and encrypts the password with the encryption key (S201). The terminal ID and the encrypted password are transmitted from the narrow area wireless communication unit 101 to the authentication server 300 via the access point 200 (S202).

認証サーバ300の認証部305は通信部301経由でデータを受け取る。受信した端末IDを用いて記憶部303のデータベースから端末IDに該当するデータを取り出す(S203)。有効期限内の認証用暗号鍵があるかどうかを確認する(S204)。無い場合はアクセスポイント200に認証失敗を通信部301から返す(S210)。有効期限内の認証用暗号鍵がある場合は、受信したパスワードを認証用暗号鍵で複合化しデータベースのパスワードと比較する(S205)。   The authentication unit 305 of the authentication server 300 receives data via the communication unit 301. Using the received terminal ID, data corresponding to the terminal ID is extracted from the database in the storage unit 303 (S203). It is confirmed whether there is an authentication encryption key within the expiration date (S204). If there is no authentication, an authentication failure is returned from the communication unit 301 to the access point 200 (S210). If there is an authentication encryption key within the validity period, the received password is decrypted with the authentication encryption key and compared with the database password (S205).

パスワードが一致しない場合は認証NGをアクセスポイント200に返す(S210)。パスワードが一致した場合は、有効期限を認証用暗号鍵で暗号化してアクセスポイント200経由で端末100に返した(S207)後、アクセスポイント200に認証OKを返す(S208)。この後、アクセスポイント200と端末100との間で従来の方式でデータ通信用暗号鍵を交換する(S209)。認証サーバ300と端末100との間のデータ交換は一往復で済み、また、共通鍵方式を用いているため、セキュアな通信セッションを開設するために必要な公開鍵方式よりは容易に暗号化、複合化が可能である。   If the passwords do not match, an authentication NG is returned to the access point 200 (S210). If the passwords match, the expiration date is encrypted with the authentication encryption key and returned to the terminal 100 via the access point 200 (S207), and then authentication OK is returned to the access point 200 (S208). Thereafter, the encryption key for data communication is exchanged between the access point 200 and the terminal 100 by a conventional method (S209). Data exchange between the authentication server 300 and the terminal 100 is only one round trip, and since the common key method is used, encryption is easier than the public key method necessary for establishing a secure communication session. Compounding is possible.

なお、認証用暗号鍵が交換されていない、または、有効期限が切れている場合は図5に示すように認証後、認証用の鍵を交換してからアクセスポイント200に認証OKを返せばよい。図5は、本実施の形態の端末装置と認証装置の初回認証の動作を示すフローチャートである。   If the authentication encryption key has not been exchanged or the expiration date has expired, as shown in FIG. 5, after authentication, the authentication key is exchanged and authentication OK is returned to the access point 200. . FIG. 5 is a flowchart showing the initial authentication operation of the terminal device and the authentication device of the present embodiment.

図6は、本実施の形態の端末装置と認証装置の鍵更新部が行う認証用暗号鍵更新のフローチャートである。端末100の鍵更新部105は暗号鍵生成部106を用いて新しい暗号鍵を生成する(S401)。記憶部103から端末IDとパスワードと現状の暗号鍵とを取り出し、生成した暗号鍵とパスワードを現状の暗号鍵で暗号化する(S402)。端末IDとともに暗号化したものを認証サーバ300に狭帯域無線通信部101を用いてアクセスポイントを介して送信する(S403)。   FIG. 6 is a flowchart of authentication encryption key update performed by the terminal device of this embodiment and the key update unit of the authentication device. The key update unit 105 of the terminal 100 generates a new encryption key using the encryption key generation unit 106 (S401). The terminal ID, the password, and the current encryption key are extracted from the storage unit 103, and the generated encryption key and password are encrypted with the current encryption key (S402). The encrypted information together with the terminal ID is transmitted to the authentication server 300 via the access point using the narrowband wireless communication unit 101 (S403).

認証サーバ300は通信部301を用いてデータを受信し、鍵交換部302に渡す。鍵交換部302は記憶部303のデータベースから端末100に対応する暗号鍵やパスワードなどを取り出す(S204)。有効期限内の暗号鍵がある場合は、それでデータを複合化してパスワードを認証部305が認証する(S205)。有効期限内の暗号鍵が無い、または、パスワードが不一致の場合はNGを端末100に送信する(S407)。そうでない場合は、受信した暗号鍵を複合化して記憶部303のデータベースに格納する(S404)。   The authentication server 300 receives data using the communication unit 301 and passes it to the key exchange unit 302. The key exchange unit 302 takes out the encryption key and password corresponding to the terminal 100 from the database of the storage unit 303 (S204). If there is an encryption key within the expiration date, the authentication unit 305 authenticates the password by decrypting the data (S205). If there is no encryption key within the expiration date or the passwords do not match, NG is transmitted to the terminal 100 (S407). Otherwise, the received encryption key is decrypted and stored in the database of the storage unit 303 (S404).

その後、有効期限生成部306で有効期限を生成して格納し新しい暗号鍵で暗号化して端末100に送信する(S405)。端末100の鍵交換部302は受信した有効期限を新しい暗号化鍵で復号化して記憶部103に記憶する(S106)。以上、認証用暗号鍵の更新も認証同様に容易に行うことが可能である。   Thereafter, an expiration date is generated and stored by the expiration date generation unit 306, encrypted with a new encryption key, and transmitted to the terminal 100 (S405). The key exchange unit 302 of the terminal 100 decrypts the received expiration date with the new encryption key and stores it in the storage unit 103 (S106). As described above, the authentication encryption key can be updated as easily as the authentication.

本発明は、広域無線通信部といった第2の送受信手段を使用しないで、狭域無線通信といった第1の送受信手段のみで構成してもよい。   The present invention may be configured by only the first transmission / reception means such as the narrow area wireless communication without using the second transmission / reception means such as the wide area wireless communication unit.

広域無線通信部107といった狭域無線通信とは通信特性が異なる通信方式を用いて鍵交換と鍵更新を行えば、狭域無線通信部101、201によるアクセスポイント200および端末100の認証は時間をかげずに行うことが可能となる。更に、データ通信用にセキュアな通信セッションを確保する場合も、鍵更新部105、304を用いて新規鍵を交換する代わりにデータ通信用の暗号鍵を交換すればよい。   If key exchange and key update are performed using a communication method having communication characteristics different from that of the narrow area wireless communication unit 107 such as the wide area wireless communication unit 107, the authentication of the access point 200 and the terminal 100 by the narrow area wireless communication units 101 and 201 takes time. It is possible to carry out without any difficulty. Furthermore, when securing a secure communication session for data communication, instead of exchanging a new key using the key update units 105 and 304, an encryption key for data communication may be exchanged.

以上のように、本発明にかかる端末装置は、暗号鍵を生成する暗号鍵生成手段と、予め認証装置と共有し端末装置を識別する端末IDと利用者を識別するパスワードと暗号鍵生成手段で生成した第1の暗号鍵とを認証装置に秘匿で安全な通信経路で送信する第1の送信手段と、第1の暗号鍵で暗号化された第1の暗号鍵の第1の有効期限を認証装置から受信する第1の受信手段と、第1の受信手段で受信した暗号化された第1の有効期限を第1の暗号鍵で復号する復号手段と、第1の暗号鍵と第1の有効期限とを記憶する記憶手段とを設けることにより、また、認証装置は、予め端末装置と共有し端末装置を識別する端末IDと利用者を識別するパスワードと端末装置が生成した暗号鍵とを端末装置から秘匿で安全な通信経路で受信する第1の受信手段と、受信手段で受信した端末IDとパスワードとを用いて端末装置を認証する認証手段と、受信手段で端末IDとともに受信した第1の暗号鍵の有効期限を生成する有効期限生成手段と、有効期限生成手段で生成した第1の有効期限と端末IDと第1の暗号鍵とを関連付けて記憶する記憶手段と、第1の有効期限を第1の暗号鍵で暗号化する暗号化手段と、暗号化手段で第1の暗号鍵を用いて暗号化した第1の有効期限を端末装置に送信する第1の送信手段とを設けることにより、認証用暗号鍵を事前に配布し秘匿しておく必要がなく、認証用暗号鍵の交換が可能で、さらには、暗号鍵の有効期限の設定も可能となり、認証用暗号鍵の維持管理が可能となるという効果を有し、認証装置と共有する暗号鍵により認証装置を認証する端末装置等として、また、端末装置と共有する暗号鍵により端末装置を認証する認証装置等として有用である。   As described above, the terminal device according to the present invention includes an encryption key generation unit that generates an encryption key, a terminal ID that is shared with the authentication device in advance and identifies the terminal device, a password that identifies the user, and an encryption key generation unit. A first transmission means for transmitting the generated first encryption key to the authentication device via a secret and secure communication path; and a first expiration date of the first encryption key encrypted with the first encryption key. A first receiving means for receiving from the authentication device; a decrypting means for decrypting the encrypted first validity period received by the first receiving means with a first encryption key; a first encryption key and a first And a storage unit for storing the expiration date of the authentication device, the authentication device is configured to share a terminal ID that identifies the terminal device in advance with the terminal device, a password that identifies the user, an encryption key generated by the terminal device, Is received from the terminal device via a secure and secure communication path A receiving unit; an authenticating unit that authenticates the terminal device using the terminal ID and password received by the receiving unit; and an expiration date generating unit that generates an expiration date of the first encryption key received together with the terminal ID by the receiving unit; Storage means for associating and storing the first expiration date generated by the expiration date generation means, the terminal ID, and the first encryption key; and encryption means for encrypting the first expiration date with the first encryption key. And a first transmission means for transmitting the first expiration date encrypted with the first encryption key by the encryption means to the terminal device, thereby distributing and concealing the authentication encryption key in advance. The authentication encryption key can be exchanged, the expiration date of the encryption key can be set, and the authentication encryption key can be maintained and managed. Authenticate the authentication device with the shared encryption key As end device, also useful as an authentication apparatus that authenticates the terminal device by the encryption key shared with the terminal device.

本発明の一実施の形態における端末装置と認証装置の構成を示すブロック図The block diagram which shows the structure of the terminal device and authentication device in one embodiment of this invention 本発明の一実施の形態における認証装置が記憶するデータベースの内容を示す図The figure which shows the content of the database which the authentication apparatus in one embodiment of this invention memorize | stores 本発明の一実施の形態における端末装置と認証装置との鍵交換の動作を示すフローチャートThe flowchart which shows the operation | movement of key exchange with the terminal device and authentication apparatus in one embodiment of this invention 本発明の一実施の形態における端末装置と認証装置との認証の動作を示すフローチャートThe flowchart which shows the operation | movement of the authentication with the terminal device and authentication device in one embodiment of this invention 本発明の一実施の形態における端末装置と認証装置との初回認証の動作を示すフローチャートThe flowchart which shows operation | movement of the first time authentication with the terminal device and authentication apparatus in one embodiment of this invention 本発明の一実施の形態における端末装置と認証装置との鍵更新の動作を示すフローチャートThe flowchart which shows operation | movement of the key update with the terminal device and authentication apparatus in one embodiment of this invention 従来の端末装置と認証装置の構成を示すブロック図Block diagram showing the configuration of a conventional terminal device and authentication device 従来の端末装置と認証装置における認証の動作を示すフローチャートThe flowchart which shows the operation | movement of the authentication in the conventional terminal device and an authentication apparatus

符号の説明Explanation of symbols

100 端末装置
101、201 狭域無線通信部
102、305 認証部
103、303 記憶部
104、302 鍵交換部
105、304 鍵更新部
106 暗号鍵生成部
107 広域無線通信部
200 アクセスポイント
202 プロトコル変換部
203、301 通信部
300 認証装置(認証サーバ)
306 有効期限生成部
307 広域通信部
400 広域通信網

DESCRIPTION OF SYMBOLS 100 Terminal device 101, 201 Narrow-area wireless communication part 102, 305 Authentication part 103, 303 Storage part 104, 302 Key exchange part 105, 304 Key update part 106 Encryption key generation part 107 Wide-area wireless communication part 200 Access point 202 Protocol conversion part 203, 301 Communication unit 300 Authentication device (authentication server)
306 Expiration Date Generation Unit 307 Wide Area Communication Unit 400 Wide Area Communication Network

Claims (12)

暗号鍵を生成する暗号鍵生成手段と、予め認証装置と共有し端末装置を識別する端末IDと利用者を識別するパスワードと前記暗号鍵生成手段で生成した第1の暗号鍵とを前記認証装置に秘匿で安全な通信経路で送信する第1の送信手段と、前記第1の暗号鍵で暗号化された前記第1の暗号鍵の第1の有効期限を前記認証装置から受信する第1の受信手段と、前記第1の受信手段で受信した暗号化された第1の有効期限を前記第1の暗号鍵で復号する復号手段と、前記第1の暗号鍵と前記第1の有効期限とを記憶する記憶手段と、を含む端末装置。 An encryption key generating means for generating an encryption key; a terminal ID previously shared with the authentication apparatus for identifying the terminal apparatus; a password for identifying the user; and a first encryption key generated by the encryption key generating means. A first transmission means for transmitting via a secret and secure communication path, and a first expiration date of the first encryption key encrypted with the first encryption key from the authentication device. Receiving means; decrypting means for decrypting the encrypted first validity period received by the first receiving means with the first encryption key; the first encryption key and the first validity period; And a storage means for storing the terminal device. 予め端末装置と共有し前記端末装置を識別する端末IDと利用者を識別するパスワードと前記端末装置が生成した暗号鍵とを前記端末装置から秘匿で安全な通信経路で受信する第1の受信手段と、前記受信手段で受信した端末IDとパスワードとを用いて前記端末装置を認証する認証手段と、前記受信手段で前記端末IDとともに受信した第1の暗号鍵の有効期限を生成する有効期限生成手段と、前記有効期限生成手段で生成した第1の有効期限と前記端末IDと前記第1の暗号鍵とを関連付けて記憶する記憶手段と、前記第1の有効期限を前記第1の暗号鍵で暗号化する暗号化手段と、前記暗号化手段で前記第1の暗号鍵を用いて暗号化した第1の有効期限を前記端末装置に送信する第1の送信手段と、を含む認証装置。 First receiving means for receiving a terminal ID that is shared with the terminal device in advance to identify the terminal device, a password for identifying the user, and an encryption key generated by the terminal device from the terminal device via a secret and secure communication path Authentication means for authenticating the terminal device using the terminal ID and password received by the receiving means, and expiration date generation for generating an expiration date of the first encryption key received together with the terminal ID by the receiving means Means, storage means for associating and storing the first expiration date generated by the expiration date generation means, the terminal ID, and the first encryption key, and the first encryption key as the first encryption key. An authentication apparatus comprising: encryption means for encrypting with a first transmission means for transmitting the first expiration date encrypted with the first encryption key by the encryption means to the terminal device. 暗号鍵と有効期限とを更新する鍵更新手段をさらに含み、前記暗号鍵生成手段で生成した第2の暗号鍵を前記記憶手段に記憶した第1の暗号鍵で前記パスワードとともに暗号化し、前記第1の送信手段で前記認証装置に送信し、前記第1の受信手段で前記認証装置からの第2の暗号鍵で暗号化された第2の有効期限を受信し、前記復号手段が前記暗号化された第2の有効期限を前記第2の暗号鍵で復号し、前記鍵更新手段は有効期限の内容に基づいて前記記憶手段に記憶した第1の有効期限と第1の暗号鍵とを第2の有効期限と第2の暗号鍵とで更新し、更新された第1の有効期限と更新された第1の暗号鍵として前記記憶手段に記憶する請求項1記載の端末装置。 A key updating unit that updates an encryption key and an expiration date, and encrypts the second encryption key generated by the encryption key generation unit together with the password with the first encryption key stored in the storage unit; 1 is transmitted to the authentication device by the first transmission unit, the second reception unit receives the second expiration date encrypted by the second encryption key from the authentication device, and the decryption unit performs the encryption. The second validity period is decrypted with the second encryption key, and the key update means stores the first validity period and the first encryption key stored in the storage means based on the contents of the validity period. 2. The terminal device according to claim 1, wherein the terminal device is updated with an expiration date of 2 and a second encryption key, and is stored in the storage unit as the updated first expiration date and the updated first encryption key. 暗号化された信号を復号する復号手段と、暗号鍵を更新する鍵更新手段とをさらに含み、前記第1の受信手段が前記端末装置から送信された第1の暗号鍵で暗号化されたパスワードと第2の暗号鍵を受信し、前記復号手段は前記第1の受信手段が受信した暗号化されたパスワードと第2の暗号鍵とを前記記憶手段に記憶した第1の暗号鍵で復号し、前記鍵更新手段は前記記憶手段に記憶したパスワードと復号したパスワードとを比較し一致すれば、前記有効期限生成手段が前記第1の有効期限を生成し、前記第2の暗号鍵で暗号化し、前記第1の送信手段が暗号化した第2の暗号鍵を前記端末装置に送信し、前記鍵更新手段は前記記憶手段が記憶した第1の暗号鍵と第1の有効期限とを第2の暗号鍵と第2の有効期限とで更新し、更新された第1の有効期限と更新された第1の暗号鍵として前記記憶手段に記憶する請求項2記載の認証装置。 A password encrypted by the first encryption key transmitted from the terminal device by the first receiving means, further comprising: a decrypting means for decrypting the encrypted signal; and a key updating means for updating the encryption key. And the second encryption key, and the decryption means decrypts the encrypted password and the second encryption key received by the first reception means with the first encryption key stored in the storage means. The key update means compares the password stored in the storage means with the decrypted password, and if they match, the expiration date generation means generates the first expiration date and encrypts it with the second encryption key. The second transmission key encrypted by the first transmission unit is transmitted to the terminal device, and the key update unit stores the first encryption key stored in the storage unit and the first expiration date as a second value. Updated with the encryption key and the second expiration date Authentication device according to claim 2, wherein storing the first of said storage means as an encryption key which is updated with the first expiry. 暗号鍵と有効期限とを更新する鍵更新手段と、前記第1の送信手段とは通信特性が異なる第2の送信手段と、前記第1の受信手段とは通信特性が異なる第2の受信手段と、をさらに含み、前記暗号鍵生成手段で生成した第2の暗号鍵を前記記憶手段に記憶した第1の暗号鍵で前記パスワードとともに暗号化し、前記第2の送信手段で前記認証装置に送信し、前記第2の受信手段で前記認証装置からの第2の暗号鍵で暗号化された第2の有効期限を受信し、前記復号手段が前記暗号化された第2の有効期限を前記第2の暗号鍵で復号し、前記鍵更新手段は有効期限の内容に基づいて前記記憶手段に記憶した第1の有効期限と第1の暗号鍵とを第2の有効期限と第2の暗号鍵とで更新し、更新された第1の有効期限と更新された第1の暗号鍵として前記記憶手段に記憶する請求項1記載の端末装置。 Key update means for updating the encryption key and expiration date, second transmission means having different communication characteristics from the first transmission means, and second reception means having communication characteristics different from the first reception means The second encryption key generated by the encryption key generation unit is encrypted together with the password with the first encryption key stored in the storage unit, and transmitted to the authentication device by the second transmission unit The second receiving unit receives the second expiration date encrypted with the second encryption key from the authentication device, and the decryption unit receives the encrypted second expiration date. The key update means decrypts the first expiration date and the first encryption key stored in the storage means based on the contents of the expiration date, the second expiration date and the second encryption key. And the updated first expiration date and the updated first encryption key. Terminal apparatus according to claim 1, wherein the storing in the storage means. 暗号化された信号を復号する復号手段と、暗号鍵を更新する鍵更新手段と、前記第1の受信手段とは通信特性が異なる第2の受信手段と、前記第1の送信手段とは通信特性が異なる第2の送信手段と、をさらに含み、前記第2の受信手段が前記端末装置から送信された第1の暗号鍵で暗号化されたパスワードと第2の暗号鍵とを受信し、前記復号手段は前記第2の受信手段が受信した暗号化されたパスワードと第2の暗号鍵とを前記記憶手段に記憶した第1の暗号鍵で復号し、前記鍵更新手段は前記記憶手段に記憶したパスワードと復号したパスワードとを比較し一致すれば、前記有効期限生成手段が前記第1の有効期限を生成し、前記第2の暗号鍵で暗号化し、前記第2の送信手段が暗号化した第2の暗号鍵を前記端末装置に送信し、前記鍵更新手段は前記記憶手段が記憶した第1の暗号鍵と第1の有効期限とを第2の暗号鍵と第2の有効期限とで更新し、更新された第1の有効期限と更新された第1の暗号鍵として前記記憶手段に記憶する請求項2記載の認証装置。 Decryption means for decrypting the encrypted signal, key update means for updating the encryption key, second reception means having different communication characteristics from the first reception means, and communication between the first transmission means Second transmission means having different characteristics, wherein the second reception means receives the password encrypted with the first encryption key transmitted from the terminal device and the second encryption key, The decryption unit decrypts the encrypted password and the second encryption key received by the second reception unit with the first encryption key stored in the storage unit, and the key update unit stores in the storage unit If the stored password and the decrypted password match and match, the expiration date generation means generates the first expiration date, encrypts it with the second encryption key, and the second transmission means encrypts it. The second encryption key sent to the terminal device, The updating unit updates the first encryption key and the first expiration date stored by the storage unit with the second encryption key and the second expiration date, and the updated first expiration date is updated. The authentication apparatus according to claim 2, wherein the authentication unit stores the first encryption key in the storage unit. 前記第1の送信手段が、前記第1の暗号鍵で前記パスワードを暗号化して、前記端末IDと共に前記認証装置に送信し、前記第1の受信手段が、前記認証装置から前記第1の暗号鍵で暗号化された第3の有効期限を受信し、前記復号手段が、前記暗号化された第3の有効期限を復号し、前記記憶手段に記憶されている第1の有効期限と比較することで前記認証装置を認証する請求項1、請求項3、請求項5のいずれか記載の端末装置。 The first transmission unit encrypts the password with the first encryption key and transmits the encrypted password together with the terminal ID to the authentication device, and the first reception unit receives the first encryption from the authentication device. The third validity period encrypted with the key is received, and the decryption means decrypts the encrypted third validity period and compares it with the first validity period stored in the storage means. The terminal device according to claim 1, wherein the authentication device is authenticated. 前記第1の受信手段が、前記端末装置から、前記端末IDと暗号化されたパスワードとを受信し、前記記憶装置から前記端末IDに対応する暗号鍵と有効期限、パスワードを取り出し、有効期限が切れていないことを確認し、前記復号手段が前記暗号鍵を用い、前記暗号化されたパスワードを復号し、前記パスワードと比較することにより端末を認証し、前記暗号化手段が前記有効期限を前記暗号鍵により暗号化し、前記第1の送信手段で送信する請求項2、請求項4、請求項6のいずれか記載の認証装置。 The first receiving means receives the terminal ID and the encrypted password from the terminal device, takes out the encryption key, the expiration date, and the password corresponding to the terminal ID from the storage device, and the expiration date is Confirming that it has not expired, the decryption means uses the encryption key, decrypts the encrypted password, compares the password with the password, authenticates the terminal, and the encryption means sets the expiration date to the The authentication apparatus according to claim 2, wherein the authentication apparatus encrypts the data with an encryption key and transmits the encrypted data using the first transmission unit. 前記第2の送信手段が、前記第1の暗号鍵で前記パスワードを暗号化して、前記端末IDと共に前記認証装置に送信し、前記第2の受信手段が、前記認証装置から前記第1の暗号鍵で暗号化された第3の有効期限を受信し、前記復号手段が、前記暗号化された第3の有効期限を復号し、前記記憶手段に記憶されている第1の有効期限と比較することで前記認証装置を認証する請求項5記載の端末装置。 The second transmission means encrypts the password with the first encryption key and transmits the encrypted password together with the terminal ID to the authentication device, and the second reception means transmits the first encryption from the authentication device. The third validity period encrypted with the key is received, and the decryption means decrypts the encrypted third validity period and compares it with the first validity period stored in the storage means. The terminal device according to claim 5, wherein the authentication device is authenticated. 前記第2の受信手段が、前記端末装置から、前記端末IDと暗号化されたパスワードとを受信し、前記記憶装置から前記端末IDに対応する暗号鍵と有効期限、パスワードを取り出し、有効期限が切れていないことを確認し、前記復号手段が前記暗号鍵を用い、前記暗号化されたパスワードを復号し、前記パスワードと比較することにより端末を認証し、前記暗号化手段が前記有効期限を前記暗号鍵により暗号化し、前記第2の送信手段で送信する請求項6記載の認証装置。 The second receiving means receives the terminal ID and the encrypted password from the terminal device, takes out the encryption key, the expiration date, and the password corresponding to the terminal ID from the storage device, and the expiration date is Confirming that it has not expired, the decryption means uses the encryption key, decrypts the encrypted password, compares the password with the password, authenticates the terminal, and the encryption means sets the expiration date to the The authentication apparatus according to claim 6, wherein the authentication apparatus encrypts the data with an encryption key and transmits the encrypted data using the second transmission unit. 前記第1の送信手段とは通信特性が異なる第2の送信手段と、前記第1の受信手段とは通信特性が異なる第2の受信手段と、をさらに含み、前記第2の送信手段が、前記第1の暗号鍵で前記パスワードを暗号化して、前記端末IDと共に前記認証装置に送信し、前記第2の受信手段が、前記認証装置から前記第1の暗号鍵で暗号化された第3の有効期限を受信し、前記復号手段が、前記暗号化された第3の有効期限を復号し、前記記憶手段に記憶されている第1の有効期限と比較することで前記認証装置を認証する請求項1または請求項3記載の端末装置。 A second transmission unit having a communication characteristic different from that of the first transmission unit; and a second reception unit having a communication characteristic different from that of the first reception unit, wherein the second transmission unit includes: The password is encrypted with the first encryption key and transmitted to the authentication device together with the terminal ID, and the second reception means is encrypted with the first encryption key from the authentication device. And the decrypting means authenticates the authentication device by decrypting the encrypted third validity period and comparing it with the first validity period stored in the storage means. The terminal device according to claim 1 or 3. 前記第1の受信手段とは通信特性が異なる第2の受信手段と、前記第1の送信手段とは通信特性が異なる第2の送信手段と、をさらに含み、前記第2の受信手段が、前記端末装置から、前記端末IDと暗号化されたパスワードとを受信し、前記記憶装置から前記端末IDに対応する暗号鍵と有効期限、パスワードを取り出し、有効期限が切れていないことを確認し、前記復号手段が前記暗号鍵を用い、前記暗号化されたパスワードを復号し、前記パスワードと比較することにより端末を認証し、前記暗号化手段で前記有効期限を前記暗号鍵を用いて暗号化し、前記第2の送信手段で送信する請求項2または請求項4記載の認証装置。

A second receiving unit having a communication characteristic different from that of the first receiving unit; and a second transmitting unit having a communication characteristic different from that of the first transmitting unit, wherein the second receiving unit includes: Receiving the terminal ID and the encrypted password from the terminal device, taking out the encryption key and the expiration date corresponding to the terminal ID from the storage device, and confirming that the expiration date has not expired; The decryption means uses the encryption key, decrypts the encrypted password, authenticates the terminal by comparing with the password, encrypts the expiration date using the encryption key by the encryption means, The authentication apparatus according to claim 2 or 4, wherein transmission is performed by the second transmission unit.

JP2005004810A 2005-01-12 2005-01-12 Terminal device and authentication device Pending JP2006197065A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005004810A JP2006197065A (en) 2005-01-12 2005-01-12 Terminal device and authentication device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005004810A JP2006197065A (en) 2005-01-12 2005-01-12 Terminal device and authentication device

Publications (1)

Publication Number Publication Date
JP2006197065A true JP2006197065A (en) 2006-07-27

Family

ID=36802803

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005004810A Pending JP2006197065A (en) 2005-01-12 2005-01-12 Terminal device and authentication device

Country Status (1)

Country Link
JP (1) JP2006197065A (en)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009071707A (en) * 2007-09-14 2009-04-02 Oki Electric Ind Co Ltd Key sharing method, and key distribution system
JP2011164673A (en) * 2010-02-04 2011-08-25 Nippon Telegr & Teleph Corp <Ntt> Content transmission/reception system and authentication method in the content transmission/reception system
US8422670B2 (en) 2008-07-10 2013-04-16 National Institute Of Advanced Industrial Science And Technology Password authentication method
JP2016116203A (en) * 2014-12-18 2016-06-23 株式会社ジャパンネット銀行 Authentication device, information terminal device, program, and authentication method
JP2016163173A (en) * 2015-03-02 2016-09-05 株式会社バッファロー Information processing system, information processing device, storage device, authentication method for information processing device, and program
KR20180028705A (en) * 2016-09-09 2018-03-19 코나아이 (주) Security element operating with wireless router, the wireless router, and method of forming internet network using the security element
JP2021097267A (en) * 2019-12-13 2021-06-24 コベルコ建機株式会社 Key update system, key update method and key update program in work machine

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009071707A (en) * 2007-09-14 2009-04-02 Oki Electric Ind Co Ltd Key sharing method, and key distribution system
US8422670B2 (en) 2008-07-10 2013-04-16 National Institute Of Advanced Industrial Science And Technology Password authentication method
JP2011164673A (en) * 2010-02-04 2011-08-25 Nippon Telegr & Teleph Corp <Ntt> Content transmission/reception system and authentication method in the content transmission/reception system
JP2016116203A (en) * 2014-12-18 2016-06-23 株式会社ジャパンネット銀行 Authentication device, information terminal device, program, and authentication method
JP2016163173A (en) * 2015-03-02 2016-09-05 株式会社バッファロー Information processing system, information processing device, storage device, authentication method for information processing device, and program
KR20180028705A (en) * 2016-09-09 2018-03-19 코나아이 (주) Security element operating with wireless router, the wireless router, and method of forming internet network using the security element
JP2021097267A (en) * 2019-12-13 2021-06-24 コベルコ建機株式会社 Key update system, key update method and key update program in work machine
JP7327135B2 (en) 2019-12-13 2023-08-16 コベルコ建機株式会社 Key update system, key update method, and key update program for work machine

Similar Documents

Publication Publication Date Title
KR101032016B1 (en) Constrained cryptographic keys
CN108599925B (en) Improved AKA identity authentication system and method based on quantum communication network
CN1964258B (en) Method for secure device discovery and introduction
EP1635502B1 (en) Session control server and communication system
CN102970299B (en) File safe protection system and method thereof
US7584505B2 (en) Inspected secure communication protocol
CN108683501B (en) Multiple identity authentication system and method with timestamp as random number based on quantum communication network
US20180131511A1 (en) Systems and Methods for Dynamic Cypher Key Management
TWI581599B (en) Key generation system, data signature and encryption system and method
CN108650028B (en) Multiple identity authentication system and method based on quantum communication network and true random number
US20080137859A1 (en) Public key passing
JP2015222915A (en) Certificate issue system, client terminal, server device, certificate obtaining method and certificate issue method
CN103763356A (en) Establishment method, device and system for connection of secure sockets layers
CN108964897B (en) Identity authentication system and method based on group communication
CN108964896B (en) Kerberos identity authentication system and method based on group key pool
CN108600152B (en) Improved Kerberos identity authentication system and method based on quantum communication network
JP2006197065A (en) Terminal device and authentication device
CN108964895B (en) User-to-User identity authentication system and method based on group key pool and improved Kerberos
JP4938408B2 (en) Address management system, address management method and program
JP7064653B2 (en) Communications system
JP2007110487A (en) Lan system and its communication method
CN108965266B (en) User-to-User identity authentication system and method based on group key pool and Kerberos
JP2001111538A (en) Communication system, method therefor, communication equipment and ic card
JP4924943B2 (en) Authenticated key exchange system, authenticated key exchange method and program
CN112035820B (en) Data analysis method used in Kerberos encryption environment