JP5099771B2 - 二要素認証システム - Google Patents
二要素認証システム Download PDFInfo
- Publication number
- JP5099771B2 JP5099771B2 JP2008118729A JP2008118729A JP5099771B2 JP 5099771 B2 JP5099771 B2 JP 5099771B2 JP 2008118729 A JP2008118729 A JP 2008118729A JP 2008118729 A JP2008118729 A JP 2008118729A JP 5099771 B2 JP5099771 B2 JP 5099771B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- terminal device
- server
- value
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3228—One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
Description
次に、第1実施例として、RSA公開鍵暗号方式を使った二要素認証システムの実施例を説明するが、その前に、いくつかの背景知識、及び以下の説明において用いる記号について説明しておく。
図4は、二要素認証システム1の初期化処理を説明する図である。図4には、二要素認証システム1において、初期化処理で用いられるユーザの端末装置200及びサーバの認証装置300におけるシステム要素が示されている。図4を参照して、ユーザの端末装置200とサーバの認証装置300との間の二要素認証システムの初期化動作を説明する。
次に、二要素認証システム2のシステム例について説明する。図7および図8は、二要素認証システム2の初期化処理を説明する図である。図7に初期化処理で用いられるユーザの端末装置200のシステム要素が示されており、図8に初期化処理で用いられるサーバの認証装置300システム要素が示されている。図7および図8を参照して、ユーザの端末装置200とサーバの認証装置300との間の二要素認証システムの初期化動作を説明する。
次に、二要素認証システム3のシステム例について説明する。図11および図12は、二要素認証システム3の初期化処理を説明する図である。図11に初期化処理で用いられるユーザの端末装置200のシステム要素が示されており、図12には、初期化処理で用いられるサーバの認証装置300システム要素が示されている。図11および図12を参照して、ユーザの端末装置200とサーバの認証装置300との間の二要素認証システムの初期化処理を説明する。
次に、第2実施例として、DH鍵共有プロトコルを使った二要素認証システムの実施例を、二要素認証システム4のシステム例として説明する。ここで、DH鍵共有プロトコルを使った実施例を説明する前に、以下の説明において用いる整数論と記号について説明しておく。
図15および図16は、二要素認証システム4の初期化処理を説明する図である。図15に、二要素認証システムの初期化処理のシステム要素が示されている。二要素認証システム4の初期化処理では、ユーザの端末装置200は、ユーザから入力されたパスワードに基づいて、サーバの認証装置300と安全な通信路(例えば、直接に登録したり、郵便で送付したり、あるいは電話で知らせるなど)を用いて初期化処理を行い、ユーザの端末装置は200の内部にあるメモリへ記録情報としてCS1を保存し、サーバの認証装置300は内部にあるメモリあるいはデータベースへ記録情報としてSS1を保存する。
101 通信路
200 ユーザの端末装置
201 記録情報の格納装置
202 認証処理部
203 秘密更新器
300 サーバの認証装置
301 記録情報の格納装置
302 認証処理部
303 秘密更新器
Claims (6)
- ユーザから入力されたパスワードとユーザの端末装置およびサーバの認証装置にそれぞれ保存されている記録情報を用いて、ユーザの端末装置とサーバの認証装置との間で相互認証しながらセッション鍵を確立する二要素認証システムであって、
ユーザの端末装置とサーバの認証装置においてそれぞれに前記パスワードに基づいて作成された乱数を含む記録情報を記録する格納装置と、
ユーザの端末装置とサーバの認証装置においてそれぞれに前記格納装置に記録された記録情報を用い、(i)サーバの認証装置は、前記記録情報とユーザの端末装置から受信した二つの暗号文より計算して得られた二つの乱数、暗号文を含むデータのハッシュ値である第一の認証子(Vsi)を生成してユーザの端末装置へ送信し、ユーザの端末装置は、受信した認証子が正しく生成された値であるかを確認し、正しい値である場合には、前記記録情報と前記二つの乱数、前記暗号文を含む新たなハッシュ値である第二の認証子(Vc)を生成してサーバの認証装置へ送信し、サーバの認証装置で新たなハッシュ値を認証するか、(ii) サーバの認証装置は、前記記録情報とユーザの端末装置から受信した一つ又は二つの暗号文より計算して得られた一つ又は二つの乱数を含むデータのハッシュ値である認証子を生成してユーザの端末装置へ送信し、ユーザの端末装置は、受信した認証子が正しく生成された値であるかを確認し、正しい値である場合には、前記記録情報と前記一つ又は二つの乱数を有するデータを署名鍵で計算した署名文をサーバの認証装置へ送信し、サーバの認証装置で署名文を認証するか、(iii)サーバの認証装置は、前記記録情報とユーザの端末装置から受信した第一のDH値と乱数とその乱数に基づいて生成した第二のDH値から、DH鍵を生成し、DH鍵を含むデータのハッシュ値である第一の認証子を生成してユーザの端末装置へ送信し、ユーザの端末装置は、受信した第一の認証子が正しく生成された値であるかを確認し、正しい値である場合には、前記記録情報とサーバの認証装置から受信した第二のDH値と乱数とその乱数に基づいて生成した第一のDH値からDH鍵を生成し、前記DH鍵を含むデータから新たなハッシュ値である第二の認証子を生成してサーバの認証装置へ送信し、サーバの認証装置で新たなハッシュ値を認証することで認証プロトコルの実行を行い、ユーザの端末装置とサーバの認証装置との間で相互認証しながらセッション鍵を確立する処理を行う認証処理部と、
前記セッション鍵を生成するたびに格納装置に記録されている記録情報を変更する秘密値更新器と
を備えることを特徴とする二要素認証システム。 - 前記請求項1に記載された二要素認証システムにおいて、更に、
ユーザの端末装置とサーバの認証装置においてそれぞれに前記パスワードに基づいて記録情報を作成する初期化処理部を備え、
前記格納装置は前記初期化処理部により作成された記録情報を初期値として記録する
ことを特徴とする二要素認証システム。 - 前記請求項1に記載された二要素認証システムにおいて、
秘密値更新器は、前記カウント値に基づいて格納装置に記録する記録情報の更新を管理する
ことを特徴とする二要素認証システム。 - 前記請求項1に記載された二要素認証システムにおいて、
認証処理部は、ユーザの端末装置とサーバの認証装置との間で相互認証し、セッション鍵を確立する処理は、RSA公開鍵に基づく認証プロトコルの処理により行う
ことを特徴とする二要素認証システム。 - 前記請求項1に記載された二要素認証システムにおいて、
認証処理部は、ユーザの端末装置が前記記録情報とDH鍵を含む認証子を送信する認証プロトコルの実行を行った場合は、ユーザの端末装置とサーバの認証装置との間で相互認証し、セッション鍵を確立する処理は、DH鍵共有プロトコルに基づく認証処理により行う
ことを特徴とする二要素認証システム。 - ユーザの端末装置にパスワードを入力し、
ユーザの端末装置とサーバの認証装置においてそれぞれに前記パスワードに基づいて作成された乱数を含む記録情報を記録し、
(i)ユーザの端末装置とサーバの認証装置においてそれぞれに前記格納装置に記録された記録情報を用い、サーバの認証装置は、前記記録情報とユーザの端末装置から受信した二つの暗号文より計算して得られた二つの乱数、暗号文を含むデータのハッシュ値である第一の認証子(Vsi)を生成してユーザの端末装置へ送信し、ユーザの端末装置は、受信した認証子が正しく生成された値であるかを確認し、正しい値である場合には、前記記録情報と二つの乱数、暗号文を含む新たなハッシュ値である第二の認証子(Vc)を生成してサーバの認証装置へ送信し、サーバの認証装置で新たなハッシュ値を認証すること、
または、(ii)ユーザの端末装置とサーバの認証装置においてそれぞれに前記格納装置に記録された記録情報を用い、サーバの認証装置は、前記記録情報とユーザの端末装置から受信した一つ又は二つの暗号文より計算して得られた一つ又は二つの乱数を含むデータのハッシュ値である認証子を生成してユーザの端末装置へ送信し、ユーザの端末装置は、受信した認証子が正しく生成された値であるかを確認し、正しい値である場合には、前記記録情報と前記一つ又は二つの乱数を有するデータを署名鍵で計算した署名文をサーバの認証装置へ送信し、サーバの認証装置で署名文を認証すること、
または、(iii)ユーザの端末装置とサーバの認証装置においてそれぞれに前記格納装置に記録された記録情報を用い、サーバの認証装置は、前記記録情報とユーザの端末装置から受信した第一のDH値と乱数とその乱数に基づいて生成した第二のDH値から、DH鍵を生成し、DH鍵を含むデータのハッシュ値である第一の認証子を生成してユーザの端末装置へ送信し、ユーザの端末装置は、受信した第一の認証子が正しく生成された値であるかを確認し、正しい値である場合には、前記記録情報とサーバの認証装置から受信した第二のDH値と乱数とその乱数に基づいて生成した第一のDH値からDH鍵を生成し、前記DH鍵を含むデータから新たなハッシュ値である第二の認証子を生成してサーバの認証装置へ送信し、サーバの認証装置で新たなハッシュ値を認証することで認証プロトコルの実行を行い、
ユーザの端末装置とサーバの認証装置との間で相互認証しながらセッション鍵の確立を行い、セッション鍵が生成されるごとに秘密値更新器により、前記記録情報を更新することを特徴とする二要素認証方法。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008118729A JP5099771B2 (ja) | 2008-04-30 | 2008-04-30 | 二要素認証システム |
PCT/JP2009/058313 WO2009133869A1 (ja) | 2008-04-30 | 2009-04-28 | 二要素認証システム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008118729A JP5099771B2 (ja) | 2008-04-30 | 2008-04-30 | 二要素認証システム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2009271581A JP2009271581A (ja) | 2009-11-19 |
JP5099771B2 true JP5099771B2 (ja) | 2012-12-19 |
Family
ID=41255085
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008118729A Active JP5099771B2 (ja) | 2008-04-30 | 2008-04-30 | 二要素認証システム |
Country Status (2)
Country | Link |
---|---|
JP (1) | JP5099771B2 (ja) |
WO (1) | WO2009133869A1 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8422670B2 (en) | 2008-07-10 | 2013-04-16 | National Institute Of Advanced Industrial Science And Technology | Password authentication method |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105933112B (zh) * | 2016-06-01 | 2020-04-21 | 深圳市证通电子股份有限公司 | 无人值守终端的密钥更新方法及装置 |
-
2008
- 2008-04-30 JP JP2008118729A patent/JP5099771B2/ja active Active
-
2009
- 2009-04-28 WO PCT/JP2009/058313 patent/WO2009133869A1/ja active Application Filing
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8422670B2 (en) | 2008-07-10 | 2013-04-16 | National Institute Of Advanced Industrial Science And Technology | Password authentication method |
JP5224481B2 (ja) * | 2008-07-10 | 2013-07-03 | 独立行政法人産業技術総合研究所 | パスワード認証方法 |
Also Published As
Publication number | Publication date |
---|---|
JP2009271581A (ja) | 2009-11-19 |
WO2009133869A1 (ja) | 2009-11-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Wazid et al. | Design of secure key management and user authentication scheme for fog computing services | |
TWI233739B (en) | Systems, methods and computer readable recording medium for remote password authentication using multiple servers | |
US9628273B2 (en) | Cryptographic method and system for secure authentication and key exchange | |
US8437473B2 (en) | Small public-key based digital signatures for authentication | |
US8589693B2 (en) | Method for two step digital signature | |
JP5224481B2 (ja) | パスワード認証方法 | |
US9660805B2 (en) | Methods and devices for securing keys when key-management processes are subverted by an adversary | |
Odelu et al. | A secure and efficient ECC‐based user anonymity preserving single sign‐on scheme for distributed computer networks | |
Tsai et al. | An ECC‐based blind signcryption scheme for multiple digital documents | |
Shakiba | Security analysis for chaotic maps-based mutual authentication and key agreement using smart cards for wireless networks | |
Huszti et al. | A simple authentication scheme for clouds | |
Sengupta et al. | Distritrust: Distributed and low-latency access validation in zero-trust architecture | |
Schwab et al. | Entity authentication in a mobile-cloud environment | |
Chang et al. | On making U2F protocol leakage-resilient via re-keying | |
JP5099771B2 (ja) | 二要素認証システム | |
Eldefrawy et al. | One-time password system with infinite nested hash chains | |
JP5004086B2 (ja) | 短い系列を用いた認証システム | |
Sahoo et al. | Design of An Authentication Scheme for Cloud-Based IoT Applications | |
Hölbl et al. | Improvement of the Peyravian–Jeffries’s user authentication protocol and password change protocol | |
Islam et al. | Improved remote login scheme based on ECC | |
Sadqi et al. | A secure and efficient user authentication scheme for the web | |
JP5392741B2 (ja) | Rsaをベースとしたパスワード認証方式及びその応用 | |
Syed et al. | On the Pivotal Role of Digital Signatures: A Review of Conception, Mensuration, and Applications | |
Téllez et al. | Security in mobile payment systems | |
Shekhawat et al. | Quantum-resistance blockchain-assisted certificateless data authentication and key exchange scheme for the smart grid metering infrastructure |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100224 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120403 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120531 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120703 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120831 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20120918 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120920 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20151005 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5099771 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |