JP3054282B2 - Authentication method - Google Patents

Authentication method

Info

Publication number
JP3054282B2
JP3054282B2 JP4348296A JP34829692A JP3054282B2 JP 3054282 B2 JP3054282 B2 JP 3054282B2 JP 4348296 A JP4348296 A JP 4348296A JP 34829692 A JP34829692 A JP 34829692A JP 3054282 B2 JP3054282 B2 JP 3054282B2
Authority
JP
Japan
Prior art keywords
communication
authentication key
communication device
authentication
signal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP4348296A
Other languages
Japanese (ja)
Other versions
JPH06204945A (en
Inventor
茂房 鈴木
龍男 野原
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP4348296A priority Critical patent/JP3054282B2/en
Priority to US08/171,663 priority patent/US5390252A/en
Priority to EP93120813A priority patent/EP0604911B1/en
Priority to DE69332238T priority patent/DE69332238T2/en
Publication of JPH06204945A publication Critical patent/JPH06204945A/en
Application granted granted Critical
Publication of JP3054282B2 publication Critical patent/JP3054282B2/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Landscapes

  • Mobile Radio Communication Systems (AREA)
  • Radio Transmission System (AREA)
  • Information Transfer Between Computers (AREA)
  • Computer And Data Communications (AREA)

Description

【発明の詳細な説明】DETAILED DESCRIPTION OF THE INVENTION

【0001】[0001]

【産業上の利用分野】この発明は例えば移動体通信(I
Cカードシステム)における基地局(カードリーダ)に
代表される通信処理装置が、それに接続される加入者端
末(ICカード)に代表される通信装置をサービス要求
の際に認証する方法に関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to mobile communication (I
The present invention relates to a method in which a communication processing device typified by a base station (card reader) in a C card system) authenticates a communication device typified by a subscriber terminal (IC card) connected thereto at the time of a service request.

【0002】[0002]

【従来の技術】この発明が適用されるシステムの例を図
4に示す。図4Aにおいては通信装置10が通信処理装
置20に通信回線40を介して接続され、通信処理装置
20が通信回線50を介して記憶装置30と接続され
る。通信回線40は無線回線又は有線回線であり、無線
回線の場合は、例えば移動体通信システムであって、通
信装置10は自動車電話機や携帯電話機であり、通信処
理装置20は基地局又は交換局である。通信回線40が
有線回線の場合は例えば一般加入者電話系を用いたパー
ソナル通信システムであって、通信装置10は電話機に
使用(位置)登録した利用者であり、通信処理装置20
は交換機である。これらの場合、自動車電話機、携帯電
話機、利用者が正しいものであるかの認証を行った後、
通信サービスを許す。また図4Bに示すようにICカー
ドシステムにおいては通信装置10としてICカードが
対応し、通信処理装置20として挿入されたICカード
のデータを読取り、また書込む処理をするカードリーダ
が対応し、カードリーダに挿入されたICカードが正規
のものか否かのチェック(認証)を行った後、そのIC
カードを利用したサービスを許す。2. Description of the Related Art FIG. 4 shows an example of a system to which the present invention is applied. 4A, the communication device 10 is connected to the communication processing device 20 via the communication line 40, and the communication processing device 20 is connected to the storage device 30 via the communication line 50. The communication line 40 is a wireless line or a wired line. In the case of a wireless line, for example, a mobile communication system, the communication device 10 is an automobile telephone or a mobile telephone, and the communication processing device 20 is a base station or an exchange. is there. When the communication line 40 is a wired line, it is a personal communication system using, for example, a general subscriber's telephone system, and the communication device 10 is a user who has registered (used) a position on a telephone, and has a communication processing device 20.
Is an exchange. In these cases, after verifying that the car phone, mobile phone, and user are correct,
Allow communication services. As shown in FIG. 4B, in the IC card system, an IC card corresponds to the communication device 10, and a card reader for reading and writing data of the inserted IC card corresponds to the communication processing device 20, After checking (authentication) whether the IC card inserted into the reader is legitimate, the IC card
Allow services using cards.

【0003】これらのシステムで従来行われていた認証
方法を図5に示す。通信装置10は、例えば電話機や自
動車電話機・携帯電話機・ICカードのような加入者端
末が該当し、通信処理装置20は、例えば移動体通信に
おける基地局や交換機、ICカードリーダ等が該当し、
記憶装置30は通信装置10の認証鍵に代表される通信
装置に関する情報を記憶しておく、例えばデータベース
である。FIG. 5 shows an authentication method conventionally used in these systems. The communication device 10 corresponds to, for example, a subscriber terminal such as a telephone, an automobile telephone, a mobile phone, or an IC card, and the communication processing device 20 corresponds to, for example, a base station, an exchange, or an IC card reader in mobile communication.
The storage device 30 is, for example, a database that stores information on a communication device represented by the authentication key of the communication device 10.

【0004】まず通信装置10がサービス要求信号を送
信する。これは例えば通信装置10としての携帯電話機
が発呼の際に発呼信号を送信することに相当する。この
信号を受信した通信処理装置20は記憶装置30に対し
て通信装置10を認証するための認証鍵Ka、すなわち
通信装置10が秘密裡に記憶している認証鍵Kaと同一
の認証鍵Kaを要求する。通信処理装置20はその認証
鍵Kaを記憶装置30から受け取ると、乱数rnd1を発生
させて通信装置10に送信する。その乱数rnd1を受け取
った通信装置10は認証鍵Kaを用いてその乱数rnd1を
暗号化し、その暗号化した信号Ka(rnd1)を認証応答と
して通信処理装置20に返送する。それを受けた通信処
理装置20は、その信号Ka(rnd1)を認証鍵Kaを用い
て暗号復号し、この復号した信号rnd1と先に通信装置1
0に送信していた乱数rnd1とを照合する。この照合の結
果、一致していれば通信装置10は正当な加入者である
と判断してサービスを開始する。First, the communication device 10 transmits a service request signal. This corresponds to, for example, transmitting a call signal when a mobile phone as the communication device 10 makes a call. Upon receiving this signal, the communication processing device 20 sends an authentication key Ka for authenticating the communication device 10 to the storage device 30, that is, the same authentication key Ka as the authentication key Ka that the communication device 10 stores secretly. Request. Upon receiving the authentication key Ka from the storage device 30, the communication processing device 20 generates a random number rnd1 and transmits it to the communication device 10. The communication device 10 that has received the random number rnd1 encrypts the random number rnd1 using the authentication key Ka, and returns the encrypted signal Ka (rnd1) to the communication processing device 20 as an authentication response. The communication processing device 20 that has received it decrypts the signal Ka (rnd1) using the authentication key Ka, and sends the decrypted signal rnd1 to the communication device 1 first.
The random number rnd1 transmitted to 0 is collated. As a result of the comparison, if they match, the communication device 10 determines that the subscriber is a valid subscriber and starts the service.

【0005】次に、例えばこの通信中に、ハンドオーバ
(通信中チャネル切替)等の第2のサービス要求があっ
た場合にも図5に示すように第1のサービス要求に対す
る手順とまったく同様な手順で通信装置10の認証が行
われる。Next, for example, when a second service request such as handover (channel switching during communication) is made during this communication, the procedure is exactly the same as the procedure for the first service request as shown in FIG. The authentication of the communication device 10 is performed.

【0006】[0006]

【発明が解決しようとする課題】上記従来の技術では、
全てのサービス要求について、サービス要求が発生する
たびに通信処理装置20は記憶装置30から認証鍵Ka
の取得が必要となり、認証処理に時間がかかり、通信開
始すなわち回線接続に伴う遅延が大きくなるという欠点
があった。In the above prior art,
For every service request, the communication processing device 20 stores the authentication key Ka in the storage device 30 every time a service request is generated.
It is necessary to acquire the password, and it takes a long time for the authentication process, and there is a disadvantage that a delay due to the start of communication, that is, a line connection is increased.

【0007】この発明は、2回目以後のサービス要求に
ついての認証処理に要する時間を短縮できる認証方法を
提供することを目的とする。An object of the present invention is to provide an authentication method capable of shortening the time required for authentication processing for the second and subsequent service requests.

【0008】[0008]

【課題を解決するための手段】この発明の認証方法は、
通信処理装置20は、1回目のサービス要求に対する認
証時に、通信装置10に対して、その後のサービス要求
時に認証鍵として用いる認証鍵Kaを、通信処理装置2
0独自の認証鍵Kbにより暗号化した信号Kb(Ka)
を送信しており、通信装置10は前記の信号Kb(K
a)を記憶している状況にあり、次のサービス要求時に
通信装置10は信号Kb(Ka)をサービス要求信号に
含めて送信し、通信処理装置20はそれを受信して認証
鍵Kbで復号し、その復号結果を認証鍵Kaと記憶し、
乱数rnd2を発生させ、通信装置10に送信し、これを受
信した通信装置10は、認証鍵Kaを用いて乱数rnd2を
暗号化した認証応答信号Ka(rnd2)を通信処理装置20
に送信し、通信処理装置20は、認証応答信号Ka(rnd
2)を、復号して得られた認証鍵Kaを用いて復号して得
られた復号結果と乱数rnd2とを照合、もしくは乱数rnd2
を、復号して得られた認証鍵Kaを用いて暗号化し、そ
の暗号化結果Ka(rnd2)と認証応答信号Ka(rnd2)とを
照合することにより認証を行なう。An authentication method according to the present invention comprises:
The communication processing device 20 transmits an authentication key Ka used as an authentication key at the time of a subsequent service request to the communication processing device 2 at the time of authentication for the first service request.
0 Signal Kb (Ka) encrypted with unique authentication key Kb
And the communication device 10 transmits the signal Kb (K
a) is stored, the communication device 10 transmits the signal Kb (Ka) included in the service request signal at the time of the next service request, and the communication processing device 20 receives it and decrypts it with the authentication key Kb. And stores the decryption result as an authentication key Ka,
The communication device 10 generates a random number rnd2, transmits the random number rnd2 to the communication device 10, and receives the authentication signal Ka (rnd2) obtained by encrypting the random number rnd2 using the authentication key Ka.
And the communication processing device 20 transmits the authentication response signal Ka (rnd
2) is compared with a decryption result obtained by decrypting using the authentication key Ka obtained by decryption and the random number rnd2, or the random number rnd2
Is encrypted by using the authentication key Ka obtained by decrypting the key, and the authentication is performed by comparing the encryption result Ka (rnd2) with the authentication response signal Ka (rnd2).

【0009】なお、通信処理装置20が複数ある場合に
も、共通の認証鍵Kbを予め管理することによって、課
題を解決することができる。[0009] Even when there are a plurality of communication processing devices 20, the problem can be solved by managing the common authentication key Kb in advance.

【0010】[0010]

【作用】この発明では1回目のサービス要求に対する処
理時に、サービス要求時に用いる認証鍵を通信装置10
〜通信処理装置20間で設定するため、2回目以後のサ
ービス要求時に通信処理装置20における記憶装置30
への認証鍵Kaの要求を省略できるから、認証処理を短
時間で行うことが可能となる。According to the present invention, at the time of processing the first service request, the authentication key used at the time of the service request is transmitted to the communication device 10.
To be set between the communication processing devices 20, the storage device 30 in the communication processing device 20 at the time of the second or subsequent service request.
Since the request for the authentication key Ka can be omitted, the authentication process can be performed in a short time.

【0011】[0011]

【実施例】図2Aにこの発明に用いられる通信装置10
の要部と、内部の信号の流れを説明するためのスイッチ
とを例示する。送信部11、受信部12はそれぞれスイ
ッチS11,S12を介して通信処理装置20と信号の送受
を行い、秘密に保持する認証鍵Kaはメモリ13に記憶
され、スイッチS13を通じて暗号化部14へ供給するこ
とができる。その暗号化信号をスイッチS14を通じて送
信部11へ供給することができる。受信部12からの信
号Kb(Ka)をスイッチS15を通じてメモリ15に記
憶することができ、その記憶信号Kb(Ka)をスイッ
チS16を通じて送信部11へ供給することができる。FIG. 2A shows a communication apparatus 10 used in the present invention.
And a switch for explaining the internal signal flow. The transmission unit 11 and the reception unit 12 transmit and receive signals to and from the communication processing device 20 via the switches S 11 and S 12 , respectively. The authentication key Ka kept secret is stored in the memory 13, and the encryption unit Ka is transmitted through the switch S 13. 14 can be provided. The encrypted signal may be supplied to the transmitter 11 via the switch S 14. Signal Kb from the receiving section 12 (Ka) can be stored in the memory 15 through the switch S 15, it is possible to supply the stored signal Kb of (Ka) to the transmitting unit 11 through the switch S 16.

【0012】図2Bに通信処理装置20の要部と、内部
の信号の流れを説明するためのスイッチとを例示する。
受信部21はスイッチS21により通信装置10からの信
号を受信してスイッチS22,S23,S24,S25をそれぞ
れ通じて通信処理装置20の独自の認証鍵Kbのメモリ
22、復号部23,24、比較部25′へ供給される。
メモリ22の鍵Kbは暗号化部26と復号部23とへ供
給され暗号化部26の出力はスイッチS26を通じ、乱数
発生部27より乱数は送信部28,暗号化部29,比較
部25へ供給され、送信部28はスイッチS27を通じて
信号を通信装置10へ送信する。記憶装置30からの鍵
KaはスイッチS28を通じて暗号化部26,29へ供給
され、復号部23の出力はスイッチS29を通じて暗号化
部29へ供給され、復号部24の出力は比較部25へ供
給され、暗号化部29の出力は比較部25′へ供給され
る。FIG. 2B illustrates a main part of the communication processing device 20 and a switch for explaining the flow of an internal signal.
Receiver 21 switches S switch S 22 receives a signal from the communication device 10 by 21, S 23, S 24, the unique authentication key Kb of the communication processing device 20 through S 25 of each of memory 22, the decoding section 23 and 24, and supplied to a comparison unit 25 '.
The output of the key Kb is encrypted unit 26 is supplied to the encryption section 26 and the decoding section 23 of the memory 22 through the switch S 26, the random number generating unit 27 from the random number transmission unit 28, encryption unit 29, the comparing unit 25 It is supplied, the transmission unit 28 transmits to the communication device 10 a signal through the switch S 27. Key Ka from the storage device 30 is supplied to the encryption section 26 and 29 through the switch S 28, the output of the decoding unit 23 is supplied to the encryption section 29 through the switch S 29, the decoder 24 outputs to the comparator unit 25 The output of the encryption unit 29 is supplied to the comparison unit 25 '.

【0013】図1はこの発明の認証方法を説明するもの
である。符号10〜30は図4のそれと同一である。こ
の発明では2つの処理モードがある。一つは第1回目の
サービス要求(サービス要求1)の信号に対する処理を
行うモードであり、もう一つは第2回目以後のサービス
要求(サービス要求2の信号やサービス要求3など)の
信号に対する処理を行うモードである。FIG. 1 illustrates an authentication method according to the present invention. Reference numerals 10 to 30 are the same as those in FIG. In the present invention, there are two processing modes. One is a mode for processing a signal of a first service request (service request 1), and the other is a mode for processing a signal of a second and subsequent service requests (a signal of a service request 2 and a signal of a service request 3). This is the mode in which processing is performed.

【0014】第一の処理モードから説明すると、まず通
信装置10がサービス要求1の信号を送信する。これは
通信装置10としての例えば携帯電話機10が発呼の際
に発呼信号を送信することに相当する。この信号をスイ
ッチS21を通じて受信部21に受信した通信処理装置2
0は記憶装置30に対して通信装置10を認証するため
の認証鍵Ka、すなわち通信装置10が秘密裡に記憶し
ている認証鍵Kaと同一の認証鍵Kaを要求する。通信
処理装置20はその認証鍵KaをスイッチS28を通じて
記憶装置30から受け取ると、乱数発生部27から乱数
rnd1を発生させ、またスイッチS22を通じてメモリ22
が読出されて、認証鍵Kaを通信処理装置20独自の認
証鍵Kbで暗号化部26において暗号化し、その暗号化
信号Kb(Ka)をスイッチS26を通じ、また発生させ
た乱数rnd1を送信部28からスイッチS27を介して通信
装置10に送信する。この乱数rnd1を発生させる工程
は、サービス要求1の信号を受けた後であれば必ずしも
ここでなくてもよい。前記の信号Kb(Ka)および乱
数rnd1をスイッチS12を介して受信部12に受け取った
通信装置10は、前記の信号Kb(Ka)をスイッチS
15を通じてメモリ15に記憶するとともに、スイッチS
13を介して認証鍵Kaを用いて受信した乱数rnd1を暗号
化部14で暗号Ka(rnd1)化し、スイッチS14より送信
部11にてスイッチS11を通して通信処理装置20に返
送する。それを受けた通信処理装置20は、その信号K
a(rnd1)をスイッチS24を通じて復号部24に入力して
認証鍵Kaを用いて暗号復号し、この復号した信号rnd1
と通信装置10に送信していた乱数rnd1とを比較部25
で照合、または通信装置10に送信していた乱数rnd1を
認証鍵Kaを用いて暗号化部29で暗号化し、その暗号
化信号Ka(rnd1)と、通信装置10から受信し、スイッ
チS25を介して比較部25′へ供給した信号Ka(rnd1)
と比較部25′で照合する。照合の結果、一致していれ
ば通信装置10は正当な加入者であると判断して通信
(サービス)を開始する。これが第一の処理モードでの
認証手順である。Starting from the first processing mode, first, the communication device 10 transmits a signal of service request 1. This corresponds to transmitting a call signal when, for example, the mobile phone 10 as the communication device 10 makes a call. The communication processing device 2 receives this signal at the receiving unit 21 through the switch S21.
0 requests the storage device 30 for an authentication key Ka for authenticating the communication device 10, that is, the same authentication key Ka that the communication device 10 secretly stores. When the communication processing unit 20 receives the authentication key Ka from the storage device 30 through the switch S 28, the random number from the random number generating unit 27
rnd1 is generated, and the memory 22 through the switch S 22
There are read, the authentication key Ka to encrypt the encryption unit 26 in the communication processing device 20 own authentication key Kb and the encrypted signal Kb of (Ka) through switches S 26, also transmits the random number rnd1 that caused section from 28 through the switch S 27 to the communication device 10. The step of generating the random number rnd1 is not necessarily performed here after receiving the signal of the service request 1. The signal Kb (Ka) and the communication device 10 a random number rnd1 received in receiver 12 via the switch S 12 is the signal Kb (Ka) switches S
15 to the memory 15 and the switch S
The random number rnd1 received using the authentication key Ka via the switch 13 is converted into an encryption Ka (rnd1) by the encryption unit 14, and is returned from the switch S14 to the communication processing device 20 by the transmission unit 11 through the switch S11. The communication processing device 20 having received the signal K
a (rnd1) is input to the decryption unit 24 through the switch S24, and is decrypted using the authentication key Ka.
And the random number rnd1 transmitted to the communication device 10
In verification, or a random number RND1 which has been transmitted to the communication apparatus 10 encrypts the encryption unit 29 using the authentication key Ka, and the encrypted signal Ka (RND1), received from the communication device 10, the switch S 25 Ka (rnd1) supplied to the comparison unit 25 'through the
And the comparison unit 25 '. As a result of the comparison, if they match, the communication device 10 determines that the subscriber is a valid subscriber and starts communication (service). This is the authentication procedure in the first processing mode.

【0015】次に第二の処理モードについて説明する。
これは例えば第一の処理モードで接続された通信の途中
で、ハンドオーバ(通信中チャネル切替)等の第2のサ
ービス要求があった場合の処理が該当する。通信装置1
0はサービス要求2の信号を送信する。この信号には、
スイッチS16をオンとして、第二の処理モードであるこ
とを指示する指示信号と、第一の処理モードの時にメモ
リ15に記憶した、認証鍵Kaを通信処理装置20で記
憶する認証鍵kbで暗号化した信号Kb(Ka)を含ま
せる。通信処理装置20はサービス要求2の信号を受信
して、第二の通信処理モードのサービス要求であること
を認識すると、スイッチS23を通じて復号部23に信号
Kb(Ka)を供給し、通信処理装置20のメモリ22
に記憶する認証鍵Kbで信号Kb(Ka)を復号するこ
とにより認証鍵Kaを得るとともに、乱数発生部27か
ら乱数rnd2を発生し、認証要求信号として通信装置10
に送信する。認証要求信号を受信した通信装置10は、
乱数rnd2を認証鍵Kaで暗号化した信号Ka(rnd2)を通
信処理装置20に返送する。それを受けた通信処理装置
20は、その信号Ka(rnd2)を、復号部23からの認証
鍵KaをスイッチS 30を通じて復号部24へ供給して暗
号復号し、この復号した信号rnd2と通信装置10に送信
していた乱数rnd2とを比較部25で照合、または通信装
置10に送信していた乱数rnd2をスイッチS29を通じて
復号部23からの認証鍵Kaを用いて暗号化部29で暗
号化し、その暗号化信号Ka(rnd2)と通信装置10から
受信した信号Ka(rnd2)とを比較部25′で照合する。
照合の結果、一致していれば通信装置10は正当な加入
者であると判断して通信(サービス)を開始する。Next, the second processing mode will be described.
This is, for example, during the communication connected in the first processing mode.
The second service such as handover (channel switching during communication)
The processing when there is a service request is applicable. Communication device 1
0 transmits a service request 2 signal. This signal includes:
Switch S16To turn on the second processing mode.
And a note signal in the first processing mode.
The authentication key Ka stored in the
Includes signal Kb (Ka) encrypted with authentication key kb
Let The communication processing device 20 receives the signal of the service request 2
And the service request in the second communication processing mode
Switch Stwenty threeTo the decoding unit 23 through
Kb (Ka), and the memory 22 of the communication processing device 20
Decrypting the signal Kb (Ka) with the authentication key Kb stored in the
To obtain the authentication key Ka, and the random number generation unit 27
Generates a random number rnd2 from the communication device 10 as an authentication request signal.
Send to The communication device 10 that has received the authentication request signal
A signal Ka (rnd2) obtained by encrypting a random number rnd2 with an authentication key Ka
It is returned to the communication processing device 20. Communication processing device receiving it
20 authenticates the signal Ka (rnd2) from the decryption unit 23
Key S to switch S 30To the decryption unit 24 through
And transmits the decoded signal rnd2 to the communication device 10.
The comparison unit 25 compares the random number rnd2 that has been
The random number rnd2 transmitted to the device 10 is switched to the switch S.29Through
Using the authentication key Ka from the decryption unit 23, the encryption
From the communication device 10 and the encrypted signal Ka (rnd2).
The received signal Ka (rnd2) is compared by the comparing unit 25 '.
As a result of the collation, if they match, the communication device 10 is authorized.
And starts communication (service).

【0016】また次に通信装置10がサービス要求3の
信号を送信した時には、この信号には、第二の処理モー
ドと同様に第一の処理モードの時に記憶した、認証鍵K
aを通信処理装置20で独自に記憶する認証鍵Kbで暗
号化した信号Kb(Ka)を含む。通信処理装置20は
サービス要求3の信号を受信して、第二の処理モードの
サービス要求であることを認識すると、通信処理装置2
0の記憶する認証鍵Kbで信号Kb(Ka)を復号する
ことにより認証鍵Kaを得るとともに、乱数rnd3を発生
し認証要求信号として通信装置10に送信する。認証要
求信号を受信した通信装置10は、認証鍵Kaを用いて
その乱数rnd3を暗号化し、通信処理装置20に返送す
る。それを受けた通信処理装置20は、その信号Ka(r
nd3)を認証鍵Kaを用いて暗号復号し、この復号した信
号rnd3と通信装置10に送信していた乱数rnd3を照合、
または通信装置10に送信していた乱数rnd3を認証鍵K
aを用いて暗号化した信号Ka(rnd3)と通信装置10か
ら受信した信号Ka(rnd3)を照合する。照合の結果、一
致していれば通信装置10は正当な加入者であると判断
して通信(サービス)を開始する。 図3はこの発明を
移動通信における通信中チャネル切替(ハンドオーバ)
に適用した場合の認証手順である。移動端末10は通信
装置に対応し、移動端末10が通信中の基地局(切替元
基地局という)20a、切替先の基地局(切替先基地局
という)20bはそれぞれ通信処理装置に対応し、それ
ぞれ基地局共通の認証鍵Kbを保持する。データベース
30が記憶装置と対応する。基地局20a,20bは交
換局60に属する。ここでは発呼処理が第一の処理モー
ドに、ハンドオーバ(通信中チャネル切替)が第二の処
理モードに対応する。Next, when the communication device 10 transmits the signal of the service request 3, this signal includes the authentication key K stored in the first processing mode as in the second processing mode.
a includes a signal Kb (Ka) encrypted with an authentication key Kb that is uniquely stored in the communication processing device 20. When the communication processing device 20 receives the signal of the service request 3 and recognizes that it is a service request of the second processing mode, the communication processing device 2
By decrypting the signal Kb (Ka) with the authentication key Kb stored in 0, the authentication key Ka is obtained, and a random number rnd3 is generated and transmitted to the communication device 10 as an authentication request signal. The communication device 10 that has received the authentication request signal encrypts the random number rnd3 using the authentication key Ka and returns it to the communication processing device 20. The communication processing device 20 receiving the signal Ka (r)
nd3) is decrypted using the authentication key Ka, and the decrypted signal rnd3 is compared with the random number rnd3 transmitted to the communication device 10,
Alternatively, the random number rnd3 transmitted to the communication device 10 is used as the authentication key K
The signal Ka (rnd3) encrypted using a is compared with the signal Ka (rnd3) received from the communication device 10. As a result of the comparison, if they match, the communication device 10 determines that the subscriber is a valid subscriber and starts communication (service). FIG. 3 is a diagram showing a channel switching during communication (handover) in mobile communication.
This is the authentication procedure when applied to. The mobile terminal 10 corresponds to a communication device, and the base station (referred to as a switching source base station) 20a and the switching destination base station (referred to as a switching destination base station) 20b with which the mobile terminal 10 is communicating correspond to a communication processing device, respectively. Each holds an authentication key Kb common to the base stations. The database 30 corresponds to a storage device. The base stations 20a and 20b belong to the exchange 60. Here, the calling process corresponds to the first processing mode, and the handover (channel switching during communication) corresponds to the second processing mode.

【0017】まず端末10が発呼信号を送信する。これ
が通信装置からのサービス要求1の信号に相当する。以
降は図1の第一の処理モードと同様の手順で認証を行っ
て通信を開始する。その後端末の移動に伴って他の無線
ゾーンに移行した時には、通信を継続するためにハンド
オーバを行う。この時、端末10はゾーン移行を検出し
てハンドオーバを行う際には、まず記憶している認証鍵
Kaを認証鍵Kbで暗号化した信号Kb(Ka)を含む
ハンドオーバ要求信号を切替先基地局20bに送信す
る。切替先基地局20bはそれを復号し認証鍵Kaを
得、乱数rnd2を発生し認証要求として端末10に送信
し、端末10は前記乱数rnd2を認証鍵Kaで暗号化した
信号Ka(rnd2)を認証応答信号として切替先基地局20
bに送信する。切替先基地局20bは、認証が完了する
と、ハンドオーバ受付信号を端末10に送信する。端末
10はこれにより認証が完了したことを認識する。First, the terminal 10 transmits a call signal. This corresponds to the signal of the service request 1 from the communication device. Thereafter, authentication is performed in the same procedure as in the first processing mode of FIG. 1 to start communication. Thereafter, when the terminal shifts to another wireless zone as the terminal moves, handover is performed to continue communication. At this time, when the terminal 10 detects a zone shift and performs handover, first, the terminal 10 transmits a handover request signal including a signal Kb (Ka) obtained by encrypting the stored authentication key Ka with the authentication key Kb. 20b. The switching destination base station 20b decrypts it, obtains an authentication key Ka, generates a random number rnd2, and transmits it to the terminal 10 as an authentication request. The terminal 10 generates a signal Ka (rnd2) obtained by encrypting the random number rnd2 with the authentication key Ka. Switching destination base station 20 as an authentication response signal
b. Upon completion of the authentication, the switching destination base station 20b transmits a handover acceptance signal to the terminal 10. The terminal 10 thereby recognizes that the authentication has been completed.

【0018】上述において第一の処理モードと第二の処
理モードとを区別するための識別子を通信装置10から
通信処理装置20へ送る信号に挿入してもよく、あるい
は第一の処理モードと第二の処理モードとの区別はKb
(Ka)の有無で行ってもよい。In the above, an identifier for distinguishing between the first processing mode and the second processing mode may be inserted into a signal sent from the communication device 10 to the communication processing device 20, or the first processing mode and the second processing mode may be inserted. The distinction between the two processing modes is Kb
The determination may be performed with or without (Ka).

【0019】[0019]

【発明の効果】以上述べたようにこの発明によれば、第
二の処理モードにおいては通信装置10の認証鍵Kaを
記憶装置30に要求して受取る必要がないため、それだ
け認証処理時間が短縮できるので、通信処理時間を短縮
でき、接続遅延を軽減することができる。As described above, according to the present invention, it is not necessary to request and receive the authentication key Ka of the communication device 10 from the storage device 30 in the second processing mode, so that the authentication processing time is shortened accordingly. As a result, the communication processing time can be reduced, and the connection delay can be reduced.

【図面の簡単な説明】[Brief description of the drawings]

【図1】この発明の認証方法の実施例の手順を示す図。FIG. 1 is a diagram showing a procedure of an embodiment of an authentication method of the present invention.

【図2】A及びBはそれぞれ通信装置10及び通信処理
装置20の各要部と信号の流れを示すためのスイッチと
を示すブロック図である。FIGS. 2A and 2B are block diagrams each showing a main part of a communication device 10 and a communication processing device 20 and a switch for indicating a signal flow;

【図3】この発明を通信中チャネル切替に適用した場合
の認証手順を説明する図。FIG. 3 is a diagram illustrating an authentication procedure when the present invention is applied to channel switching during communication.

【図4】この発明が対象としているシステムの例を示す
ブロック図。FIG. 4 is a block diagram showing an example of a system to which the present invention is applied.

【図5】従来の認証方法を説明する図。FIG. 5 is a diagram illustrating a conventional authentication method.

フロントページの続き (56)参考文献 特開 平5−336109(JP,A) 特開 平5−219053(JP,A) (58)調査した分野(Int.Cl.7,DB名) H04Q 7/00 - 7/38 H04B 7/24 - 7/26 102 H04L 9/00 - 9/38 H04K 1/00 - 3/00 Continuation of the front page (56) References JP-A-5-336109 (JP, A) JP-A-5-219053 (JP, A) (58) Fields investigated (Int. Cl. 7 , DB name) H04Q 7 / 00-7/38 H04B 7/24-7/26 102 H04L 9/00-9/38 H04K 1/00-3/00

Claims (3)

(57)【特許請求の範囲】(57) [Claims] 【請求項1】 認証鍵Kaを有する通信装置と、その通
信装置とは係わりない独自の認証鍵Kbを有し、かつ前
記通信装置と接続され、通信処理を行う通信処理装置
と、前記通信装置を認証するための認証鍵Kaを記憶し
前記通信処理装置からの要求に応じて前記認証鍵Kaを
前記通信処理装置に与える記憶装置とにより構成され、 前記通信処理には2つの処理モードを含み、 第一の処理モードでは、前記通信処理装置は前記通信装
置から第一の処理モードであることを指示する第一のサ
ービス要求信号を受信した時に、その通信装置の認証鍵
Kaを前記記憶装置に要求してそれを受信する工程と、
乱数を発生する工程と、その通信処理装置の有する認証
鍵Kbにより前記記憶装置から得た認証鍵Kaを暗号化
した信号と前記乱数とを前記通信装置に送信する工程
と、前記通信装置により認証鍵Kaを用いて前記乱数を
暗号化することにより生成された認証応答信号を受信す
る工程と、その認証応答信号を認証鍵Kaを用いて復号
する工程と、この復号した信号と前記乱数とが一致した
時に前記通信装置との間でサービスを開始する工程を含
み、また前記通信装置は前記認証鍵Kbにより認証鍵K
aを暗号化した信号を受信記憶する工程を含み、 第二の処理モードでは、前記通信処理装置は第二の処理
モードであることを指示し、かつ前記通信装置が記憶し
ている前記認証鍵Kbにより認証鍵Kaを暗号化した信
号を含む第二のサービス要求信号を前記通信装置から受
信した時に、前記認証鍵Kbを用いて前記暗号化信号を
復号する工程と、乱数を発生する工程と、その乱数を前
記通信装置に送信する工程と、前記通信装置により認証
鍵Kaを用いて前記乱数を暗号化することにより生成さ
れた認証応答信号を受信する工程と、前記認証鍵Kbを
用いて復号した認証鍵Kaにより前記認証応答信号を復
号する工程と、この復号した信号と前記乱数とが一致し
た時に前記通信装置との間でサービスを開始する工程を
含むことを特徴とする認証方法。1. A communication device having an authentication key Ka, a communication processing device having a unique authentication key Kb unrelated to the communication device, connected to the communication device and performing communication processing, and the communication device And a storage device for storing an authentication key Ka for authenticating the communication processing device and providing the authentication key Ka to the communication processing device in response to a request from the communication processing device. The communication processing includes two processing modes. In the first processing mode, when the communication processing device receives a first service request signal indicating that the communication device is in the first processing mode from the communication device, the communication processing device stores the authentication key Ka of the communication device in the storage device. Requesting and receiving it;
Generating a random number, transmitting a signal obtained by encrypting the authentication key Ka obtained from the storage device by the authentication key Kb of the communication processing device and the random number to the communication device, and performing authentication by the communication device. Receiving an authentication response signal generated by encrypting the random number using a key Ka; decrypting the authentication response signal using an authentication key Ka; Initiating a service with the communication device when there is a match, and wherein the communication device uses an authentication key Kb with the authentication key Kb.
receiving and storing a signal obtained by encrypting a. a, in a second processing mode, the communication processing device indicates that the communication processing device is in a second processing mode, and the authentication key stored in the communication device is stored. When receiving a second service request signal including a signal obtained by encrypting the authentication key Ka with Kb from the communication device, decrypting the encrypted signal using the authentication key Kb, and generating a random number; Transmitting the random number to the communication device, receiving the authentication response signal generated by encrypting the random number using the authentication key Ka by the communication device, and using the authentication key Kb. An authentication response signal using the decrypted authentication key Ka; and starting a service with the communication device when the decrypted signal matches the random number. Proof method. 【請求項2】 認証鍵Kaを有する通信装置と、その通
信装置とは係わりない独自の認証鍵Kbを有し、かつ前
記通信装置と接続され、通信処理を行う通信処理装置
と、前記通信装置を認証するための認証鍵Kaを記憶し
前記通信処理装置からの要求に応じて前記認証鍵Kaを
前記通信処理装置に与える記憶装置とにより構成され、 前記通信処理には2つの処理モードを含み、 第一の処理モードでは、前記通信処理装置は前記通信装
置から第一の処理モードであることを指示する第一のサ
ービス要求信号を受信した時に、その通信装置の認証鍵
Kaを前記記憶装置に要求してそれを受領する工程と、
乱数を発生する工程と、その通信処理装置の有する認証
鍵Kbにより前記記憶装置から得た認証鍵Kaを暗号化
した信号と前記乱数とを前記通信装置に送信する工程
と、前記通信装置により認証鍵Kaを用いて前記乱数を
暗号化することにより生成された認証応答信号を受信す
る工程と、前記乱数を前記認証鍵Kaを用いて暗号化す
る工程と、この暗号化した信号と前記認証応答信号とが
一致した時に前記通信装置との間でサービスを開始する
工程を含み、また前記通信装置は前記認証鍵Kbにより
認証鍵Kaを暗号化した信号を受信記憶する工程を含
み、 第二の処理モードでは、前記通信処理装置は第二の処理
モードであることを指示し、かつ前記通信装置が記憶し
ている認証鍵Kbにより認証鍵Kaを暗号化した信号を
含む第二のサービス要求信号を前記通信装置から受信し
た時に、前記認証鍵Kbを用いて前記暗号化信号を復号
する工程と、乱数を発生する工程と、その乱数を前記通
信装置に送信する工程と、前記通信装置により認証鍵K
aを用いて前記乱数を暗号化することにより生成された
認証応答信号を受信する工程と、前記乱数を、前記認証
鍵Kbを用いて復号した認証鍵Kaにより暗号化する工
程と、この暗号化した信号と前記認証応答信号とが一致
した時に前記通信装置との間でサービスを開始する工程
を含むことを特徴とする認証方法。2. A communication device having an authentication key Ka, a communication processing device having a unique authentication key Kb unrelated to the communication device, connected to the communication device and performing communication processing, and the communication device And a storage device for storing an authentication key Ka for authenticating the communication processing device and providing the authentication key Ka to the communication processing device in response to a request from the communication processing device. The communication processing includes two processing modes. In the first processing mode, when the communication processing device receives a first service request signal indicating that the communication device is in the first processing mode from the communication device, the communication processing device stores the authentication key Ka of the communication device in the storage device. Requesting and receiving it from
Generating a random number, transmitting a signal obtained by encrypting the authentication key Ka obtained from the storage device by the authentication key Kb of the communication processing device and the random number to the communication device, and performing authentication by the communication device. Receiving an authentication response signal generated by encrypting the random number using a key Ka; encrypting the random number using the authentication key Ka; and transmitting the encrypted signal and the authentication response A step of starting a service with the communication device when the signal matches, and a step of receiving and storing a signal obtained by encrypting an authentication key Ka with the authentication key Kb, the communication device further comprising: In the processing mode, the communication processing device indicates the second processing mode, and includes a second service including a signal obtained by encrypting the authentication key Ka with the authentication key Kb stored in the communication device. Receiving a communication request signal from the communication device, decrypting the encrypted signal using the authentication key Kb, generating a random number, transmitting the random number to the communication device, Authentication key K by the device
a) receiving an authentication response signal generated by encrypting the random number using a; encrypting the random number with an authentication key Ka decrypted using the authentication key Kb; An authentication method, comprising: starting a service with the communication device when the authenticated signal matches the authentication response signal. 【請求項3】 前記通信装置が携帯電話機であり、前記
通信処理装置が移動体通信における基地局であり、前記
第一のサービス要求が発呼であり、前記第二のサービス
要求が通信中チャネル切替であることを特徴とする請求
項1又は2記載の認証方法。3. The communication device is a mobile phone, the communication processing device is a base station in mobile communication, the first service request is an outgoing call, and the second service request is a communicating channel. The authentication method according to claim 1, wherein the authentication method is switching.
JP4348296A 1992-12-28 1992-12-28 Authentication method Expired - Lifetime JP3054282B2 (en)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP4348296A JP3054282B2 (en) 1992-12-28 1992-12-28 Authentication method
US08/171,663 US5390252A (en) 1992-12-28 1993-12-22 Authentication method and communication terminal and communication processing unit using the method
EP93120813A EP0604911B1 (en) 1992-12-28 1993-12-23 Authentication and communication terminal and communication processing unit using the method
DE69332238T DE69332238T2 (en) 1992-12-28 1993-12-23 Method for authentication and communication end device and communication processing unit using this method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP4348296A JP3054282B2 (en) 1992-12-28 1992-12-28 Authentication method

Publications (2)

Publication Number Publication Date
JPH06204945A JPH06204945A (en) 1994-07-22
JP3054282B2 true JP3054282B2 (en) 2000-06-19

Family

ID=18396085

Family Applications (1)

Application Number Title Priority Date Filing Date
JP4348296A Expired - Lifetime JP3054282B2 (en) 1992-12-28 1992-12-28 Authentication method

Country Status (1)

Country Link
JP (1) JP3054282B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8737354B2 (en) * 2011-01-10 2014-05-27 Alcatel Lucent Method of data path switching during inter-radio access technology handover

Also Published As

Publication number Publication date
JPH06204945A (en) 1994-07-22

Similar Documents

Publication Publication Date Title
US5390252A (en) Authentication method and communication terminal and communication processing unit using the method
JP3105361B2 (en) Authentication method in mobile communication system
EP0903887B1 (en) Cellular telephony authentication arrangement
US6490687B1 (en) Login permission with improved security
US5537474A (en) Method and apparatus for authentication in a communication system
EP1787486B1 (en) Bootstrapping authentication using distinguished random challenges
US5689563A (en) Method and apparatus for efficient real-time authentication and encryption in a communication system
US20020187808A1 (en) Method and arrangement for encrypting data transfer at an interface in mobile equipment in radio network, and mobile equipment in radio network
JP4536934B2 (en) Authentication method for cellular communication system
JPH10215488A (en) Host access method in mobile radio system
KR100796525B1 (en) System for sharing Subscriber Indentification Module information of mobile communication terminal and control method thereof
CN115022868A (en) Satellite terminal entity authentication method, system and storage medium
US8341703B2 (en) Authentication coordination system, terminal apparatus, storage medium, authentication coordination method, and authentication coordination program
JP2001505749A (en) Authentication between communicating parties in a telecommunications network
JP2723415B2 (en) Authentication method
JP3246969B2 (en) Authentication method
JP3054282B2 (en) Authentication method
US20010015969A1 (en) Internal line control system
JPH0759154A (en) Inter-network authentication key generating method
JP3421977B2 (en) Authentication method and system
JPH05183507A (en) Mobile communication verification method
JPH0897811A (en) Data service system
JPH04352525A (en) Mobile communication authentification system
JP2003101530A (en) Authentication system, and mobile authentication system by narrow area radio communication
JP2850391B2 (en) Confidential communication relay system

Legal Events

Date Code Title Description
FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090407

Year of fee payment: 9

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090407

Year of fee payment: 9

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100407

Year of fee payment: 10

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110407

Year of fee payment: 11

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120407

Year of fee payment: 12

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120407

Year of fee payment: 12

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130407

Year of fee payment: 13

EXPY Cancellation because of completion of term
FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130407

Year of fee payment: 13