JP6701011B2 - Terminal registration method and terminal registration system - Google Patents
Terminal registration method and terminal registration system Download PDFInfo
- Publication number
- JP6701011B2 JP6701011B2 JP2016128847A JP2016128847A JP6701011B2 JP 6701011 B2 JP6701011 B2 JP 6701011B2 JP 2016128847 A JP2016128847 A JP 2016128847A JP 2016128847 A JP2016128847 A JP 2016128847A JP 6701011 B2 JP6701011 B2 JP 6701011B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- registration
- terminal device
- terminal
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 115
- 230000005540 biological transmission Effects 0.000 claims description 16
- 238000012545 processing Methods 0.000 description 225
- 238000004891 communication Methods 0.000 description 91
- 230000010365 information processing Effects 0.000 description 22
- 238000012795 verification Methods 0.000 description 21
- 238000010586 diagram Methods 0.000 description 13
- 230000006870 function Effects 0.000 description 11
- 238000005516 engineering process Methods 0.000 description 6
- 230000004044 response Effects 0.000 description 3
- 238000006243 chemical reaction Methods 0.000 description 2
- 238000003384 imaging method Methods 0.000 description 2
- 230000010354 integration Effects 0.000 description 2
- 239000004973 liquid crystal related substance Substances 0.000 description 2
- 238000010295 mobile communication Methods 0.000 description 2
- 238000012790 confirmation Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Images
Description
本発明は、端末登録方法、及び端末登録システムに関する。 The present invention relates to a terminal registration method and a terminal registration system.
近年、認証処理のセキュリティを向上させる試みが行われており、例えば、予め登録された固有情報に基づいて、認証処理を行う技術が知られている(例えば、特許文献1を参照)。また、例えば、FIDO(Fast IDentity Online)認証などの利用者と端末装置との間の認証と、端末装置とサーバ装置との間の認証との2段階の認証により、利用者の正当性を検出する技術が提案されている。 In recent years, attempts have been made to improve the security of authentication processing, and for example, a technique for performing authentication processing based on pre-registered unique information is known (for example, see Patent Document 1). Further, for example, the legitimacy of the user is detected by two-step authentication including authentication between the user and the terminal device such as FIDO (Fast IDentity Online) authentication and authentication between the terminal device and the server device. The technology to do is proposed.
しかしながら、上述した技術では、例えば、2台目以降の端末装置を利用する際に、1台目の端末装置の登録時に登録した情報(例えば、秘密鍵)を利用又は移植できないため、2台目以降の端末装置を新たに登録し直す必要があった。また、例えば、FIDO認証などの認証技術では、端末装置を登録する際に、例えば、パスワードによる本人認証を必要とする必要があり、パスワード認証の脆弱性を利用して、不正に端末装置が登録される可能性があった。 However, in the above-described technique, for example, when using the second and subsequent terminal devices, the information (for example, secret key) registered when the first terminal device is registered cannot be used or ported, so that the second device is not used. It was necessary to newly register the subsequent terminal devices. In addition, for example, in authentication technology such as FIDO authentication, when registering a terminal device, for example, it is necessary to authenticate the user with a password, and the terminal device is illegally registered by utilizing the vulnerability of password authentication. There was a possibility to be.
本発明は、上記問題を解決すべくなされたもので、その目的は、端末装置を登録する際の脆弱性を低減することができる端末登録方法、及び端末登録システムを提供することにある。 The present invention has been made to solve the above problems, and an object of the present invention is to provide a terminal registration method and a terminal registration system that can reduce vulnerability when registering a terminal device.
上記問題を解決するために、本発明の一態様は、サーバ装置に登録済の第1端末装置が、第1秘密鍵に基づく第1認証情報を生成し、前記第1秘密鍵に対応する第1公開鍵が登録されている前記サーバ装置に送信する端末認証要求ステップと、前記サーバ装置が、前記第1公開鍵と、前記第1認証情報とに基づいて、前記第1端末装置の正当性を検証する端末認証ステップと、前記サーバ装置に未登録の第2端末装置が、第2秘密鍵及び当該第2秘密鍵に対応する第2公開鍵を生成し、生成した前記第2公開鍵を少なくとも含む登録情報を前記サーバ装置に送信する登録要求ステップと、前記第2端末装置が、所定の暗号鍵に基づいて、前記登録情報を暗号処理し、当該暗号処理された前記登録情報を前記第1端末装置に送信する第1送信ステップと、前記第1端末装置が、前記暗号処理された前記登録情報を、前記所定の暗号鍵に対応する所定の復号鍵に基づいて復号処理し、当該復号処理された前記登録情報を含む第2認証情報を生成し、生成した前記第2認証情報を前記サーバ装置に送信する第2送信ステップと、前記サーバ装置が、前記第2端末装置から受信した前記登録情報と、前記第1端末装置から受信した前記第2認証情報に含まれる前記登録情報とが一致する場合に、前記登録情報に含まれる前記第2公開鍵を登録する登録ステップとを含むことを特徴とする端末登録方法である。 In order to solve the above problem, in one aspect of the present invention, a first terminal device registered in a server device generates first authentication information based on a first secret key, and corresponds to the first secret key. 1 terminal authentication request step of transmitting to the server device in which one public key is registered, and the server device based on the first public key and the first authentication information, the legitimacy of the first terminal device. And a second terminal device that is not registered in the server device generates a second secret key and a second public key corresponding to the second secret key, and generates the second public key. A registration request step of transmitting at least registration information including the registration information to the server device, the second terminal device cryptographically processing the registration information based on a predetermined encryption key, and the encryption-processed registration information A first transmitting step of transmitting to one terminal device, and the first terminal device decrypts the encrypted registration information based on a predetermined decryption key corresponding to the predetermined encryption key, and A second transmitting step of generating second authentication information including the processed registration information and transmitting the generated second authentication information to the server device; and the server device receiving the second authentication information from the second terminal device. A registration step of registering the second public key included in the registration information when the registration information matches the registration information included in the second authentication information received from the first terminal device. Is a terminal registration method.
また、本発明の一態様は、上記の端末登録方法において、前記所定の暗号鍵は、前記第1端末装置の利用者から前記第1端末装置が取得した個人識別情報を含む情報であり、前記所定の復号鍵は、前記所定の暗号鍵と等しい情報であり、前記利用者から前記第2端末装置が取得した個人識別情報を含む情報であることを特徴とする。 Further, according to an aspect of the present invention, in the terminal registration method, the predetermined encryption key is information including personal identification information acquired by the first terminal device from a user of the first terminal device, The predetermined decryption key is information equal to the predetermined encryption key, and is information including personal identification information acquired by the second terminal device from the user.
また、本発明の一態様は、上記の端末登録方法において、前記所定の暗号鍵は、前記サーバ装置から前記第1端末装置が取得した前記第1公開鍵であり、前記所定の復号鍵は、前記第1秘密鍵であることを特徴とする。 Further, according to an aspect of the present invention, in the above terminal registration method, the predetermined encryption key is the first public key acquired by the first terminal device from the server device, and the predetermined decryption key is It is characterized in that it is the first secret key.
また、本発明の一態様は、上記の端末登録方法において、前記第2送信ステップにおいて、前記第1端末装置が、復号処理された前記登録情報から前記第1秘密鍵に基づく署名情報を生成し、生成した当該署名情報と前記登録情報とを含む前記第2認証情報を生成し、前記登録ステップにおいて、前記サーバ装置が、前記第1端末装置から受信した前記第2認証情報に含まれる署名情報の正当性を、前記第1公開鍵に基づいて検証し、前記署名情報が正当であり、且つ、前記第2端末装置から受信した前記登録情報と、前記第2認証情報に含まれる前記登録情報とが一致する場合に、前記登録情報に含まれる前記第2公開鍵を登録することを特徴とする。 Further, according to an aspect of the present invention, in the above terminal registration method, in the second transmitting step, the first terminal device generates signature information based on the first secret key from the decrypted registration information. Generating the second authentication information including the generated signature information and the registration information, and in the registration step, the server device includes signature information included in the second authentication information received from the first terminal device. Is verified based on the first public key, the signature information is valid, the registration information received from the second terminal device, and the registration information included in the second authentication information. The second public key included in the registration information is registered when and are matched.
また、本発明の一態様は、上記の端末登録方法において、前記サーバ装置が、利用者に対応する固有情報に基づいて、第1秘密情報と、第2秘密情報と、第3秘密情報とを生成する秘密情報生成ステップを含み、前記登録要求ステップにおいて、前記第2端末装置が、前記サーバ装置から取得した前記第2秘密情報を前記登録情報に付加して前記サーバ装置に送信し、前記第2送信ステップにおいて、前記第1端末装置が、前記復号処理された前記登録情報に、前記サーバ装置から取得した前記第1秘密情報を含む前記第2認証情報を前記サーバ装置に送信し、前記登録ステップにおいて、前記サーバ装置が、前記第2端末装置から受信した前記登録情報と、前記第2端末装置から受信した前記第2認証情報に含まれる前記登録情報とが一致する場合、且つ、前記第2認証情報に含まれる前記第1秘密情報と、前記第2端末装置から前記登録情報に付加されて送信された前記第2秘密情報と、前記第3秘密情報とに基づいて復元した情報が、前記秘密情報生成ステップにおいて生成された前記固有情報と一致する場合に、前記登録情報に含まれる前記第2公開鍵を登録することを特徴とする。 Further, according to an aspect of the present invention, in the above terminal registration method, the server device may generate the first secret information, the second secret information, and the third secret information based on unique information corresponding to a user. In the registration requesting step, the second terminal device adds the second secret information acquired from the server device to the registration information and transmits the registration information to the server device. In the second transmitting step, the first terminal device transmits, to the server device, the second authentication information that includes the first secret information acquired from the server device in the decrypted registration information, and the registration is performed. In the step, in the case where the server device matches the registration information received from the second terminal device with the registration information included in the second authentication information received from the second terminal device, and 2 information restored based on the first secret information included in the authentication information, the second secret information added and transmitted from the second terminal device to the registration information, and the third secret information, The second public key included in the registration information may be registered when the unique information generated in the secret information generation step matches.
また、本発明の一態様は、上記の端末登録方法において、前記登録要求ステップにおいて、前記第2端末装置が、前記登録情報を暗号処理して前記サーバ装置に送信し、前記登録ステップにおいて、前記サーバ装置が、前記第2端末装置から受信した暗号処理された前記登録情報を復号処理した前記登録情報と、前記第1端末装置から受信した前記第2認証情報に含まれる前記登録情報とが一致する場合に、前記登録情報に含まれる前記第2公開鍵を登録することを特徴とする。 Further, according to an aspect of the present invention, in the above terminal registration method, in the registration request step, the second terminal device performs an encryption process on the registration information and transmits the registration information to the server device. The registration information in which the server device decrypts the encrypted registration information received from the second terminal device matches the registration information included in the second authentication information received from the first terminal device. In this case, the second public key included in the registration information is registered.
また、本発明の一態様は、上記の端末登録方法において、前記端末認証要求ステップにおいて、前記第1端末装置が、前記第1端末装置の利用者を認証した認証結果を、前記第1秘密鍵に基づいて暗号処理して、前記第1認証情報を生成することを特徴とする。 Further, according to an aspect of the present invention, in the terminal registration method described above, in the terminal authentication requesting step, an authentication result obtained by the first terminal device authenticating a user of the first terminal device is represented by the first secret key. It is characterized in that the first authentication information is generated by performing encryption processing based on the above.
また、本発明の一態様は、サーバ装置と、前記サーバ装置に登録済の第1端末装置と、前記サーバ装置に未登録の第2端末装置とを備え、前記第2端末装置は、第2秘密鍵及び当該第2秘密鍵に対応する第2公開鍵を生成し、生成した前記第2公開鍵を少なくとも含む登録情報を前記サーバ装置に送信する登録要求部と、所定の暗号鍵に基づいて、前記登録情報を暗号処理し、当該暗号処理された前記登録情報を前記第1端末装置に送信する第1送信部とを備え、前記第1端末装置は、第1秘密鍵に基づく第1認証情報を生成し、前記第1秘密鍵に対応する第1公開鍵が登録されている前記サーバ装置に送信する端末認証要求部と、前記暗号処理された前記登録情報を、前記所定の暗号鍵に対応する所定の復号鍵に基づいて復号処理し、当該復号処理された前記登録情報を含む第2認証情報を生成し、生成した前記第2認証情報を前記サーバ装置に送信する第2送信部とを備え、前記サーバ装置は、前記第1公開鍵と、前記第1認証情報とに基づいて、前記第1端末装置の正当性を検証する端末認証部と、前記第2端末装置から受信した前記登録情報と、前記第1端末装置から受信した前記第2認証情報に含まれる前記登録情報とが一致する場合に、前記登録情報に含まれる前記第2公開鍵を登録する登録部とを備えることを特徴とする端末登録システムである。 One aspect of the present invention includes a server device, a first terminal device registered in the server device, and a second terminal device not registered in the server device, and the second terminal device is a second terminal device. A registration request unit that generates a secret key and a second public key corresponding to the second secret key, and transmits registration information including at least the generated second public key to the server device, and based on a predetermined encryption key. And a first transmitting unit that cryptographically processes the registration information and transmits the cryptographically processed registration information to the first terminal device, wherein the first terminal device performs a first authentication based on a first secret key. A terminal authentication request unit for generating information and transmitting it to the server device in which the first public key corresponding to the first secret key is registered, and the encrypted registration information as the predetermined encryption key. A second transmitting unit that performs a decryption process based on a corresponding predetermined decryption key, generates second authentication information including the decrypted registration information, and transmits the generated second authentication information to the server device. The server device includes a terminal authentication unit that verifies the validity of the first terminal device based on the first public key and the first authentication information; and the server device that receives from the second terminal device. A registration unit for registering the second public key included in the registration information when the registration information and the registration information included in the second authentication information received from the first terminal device match. It is a terminal registration system characterized by.
本発明によれば、端末装置を登録する際の脆弱性を低減することができる。 According to the present invention, vulnerability when registering a terminal device can be reduced.
以下、本発明の実施形態による端末登録方法及び端末登録システムについて図面を参照して説明する。
[第1の実施形態]
図1は、本実施形態による認証システム1の一例を示すブロック図である。
図1に示すように、認証システム1(端末登録システムの一例)は、端末装置10と、端末装置20と、サーバ装置30とを備えている。端末装置10と、端末装置20と、サーバ装置30とは、ネットワークNW1を介して接続されている。
Hereinafter, a terminal registration method and a terminal registration system according to embodiments of the present invention will be described with reference to the drawings.
[First Embodiment]
FIG. 1 is a block diagram showing an example of an
As shown in FIG. 1, the authentication system 1 (an example of a terminal registration system) includes a
端末装置10(第1端末装置の一例)は、サーバ装置30に登録済の端末装置であり、例えば、スマートフォンなどの携帯電話、PDA(Personal Digital Assistant)、パーソナルコンピュータ(PC)などの情報端末、等である。端末装置10は、NW(ネットワーク)通信部11と、NFC(Near Field Communication)通信部12と、入力部13と、表示部14と、セキュア処理部15と、端末制御部16とを備えている。
The terminal device 10 (an example of a first terminal device) is a terminal device that is already registered in the
NW通信部11は、例えば、携帯電話などの移動通信、無線LAN(Local Area Network)通信などを利用してネットワークNW1に接続し、ネットワークNW1を介して各種通信を行う。NW通信部11は、例えば、ネットワークNW1を介して、サーバ装置30に接続し、各種通信を行う。
NFC通信部12は、近距離無線通信を利用した通信を行う。NFC通信部12は、例えば、端末装置20の端末登録処理を行う際に、端末装置20との間の通信を行う。
The NW
The NFC
入力部13は、例えば、タッチパネルなどの入力デバイスであり、端末装置10に対する各種入力を受け付ける。入力部13は、例えば、登録を行う端末装置20の利用者によりPIN(Personal Identification Number)などの個人識別情報の入力を受け付ける。
表示部14は、例えば、液晶ディスプレイ装置などであり、各種情報を表示する。表示部14は、例えば、端末装置20の端末登録処理の際の操作メニュー、入力情報などを表示する。
The
The
セキュア処理部15は、例えば、TEE(Trusted Execution Environment)であり、各種セキュア処理を実行する。セキュア処理部15は、例えば、RSA暗号などの公開鍵暗号の公開鍵及び秘密鍵の生成、当該公開鍵及び秘密鍵を用いた暗号処理、復号処理、署名情報の生成処理、生体認証を利用した利用者認証処理(本人検証処理)などのセキュア処理を実行する。また、セキュア処理部15は、ハードウェアによりセキュアに保護する領域としてセキュア記憶部151を備えている。
The
セキュア記憶部151は、アプリケーションプログラム(端末制御部16)から直接アクセスできない記憶領域であり、OS(Operating System)を介してアクセス可能である。セキュア記憶部151は、例えば、利用者認証用の生体認証情報や、公開鍵暗号の秘密鍵及び公開鍵などのセキュアな情報を記憶する。なお、本実施形態では、端末装置10は、サーバ装置30に登録済であり、セキュア記憶部151は、利用者認証用の秘密鍵SK1(第1秘密鍵の一例)及び公開鍵PK1(第1公開鍵の一例)と、本人検証用の生体認証情報とが予め記憶されているものとする。ここで、生体認証情報は、例えば、指紋、音声、顔などにより利用者を検証する情報である。
The
端末制御部16は、例えば、CPU(Central Processing Unit)などを含むプロセッサであり、端末装置10を統括的に制御する。端末制御部16は、例えば、端末装置20を追加登録する処理を実行するアプリケーションプログラムを実行する。端末制御部16は、例えば、端末認証要求部161と、登録処理部162とを備えている。
The
端末認証要求部161は、端末装置10とサーバ装置30との間で利用者認証を行う。端末認証要求部161は、例えば、セキュア処理部15に生体認証などによる利用者認証を実行させて、当該利用者認証によって端末装置10の利用者を認証した認証結果を取得する。端末認証要求部161は、さらに、セキュア処理部15に当該認証結果を秘密鍵SK1に基づいて暗号処理させて認証情報(第1認証情報)を生成させる。端末認証要求部161は、セキュア処理部15から取得した認証情報を、NW通信部11を介して、サーバ装置30に送信する。なお、サーバ装置30は、秘密鍵SK1に対応する公開鍵PK1が登録されているものとする。
このように、端末認証要求部161は、秘密鍵SK1に基づく認証情報を生成し、秘密鍵SK1に対応する公開鍵PK1(第1公開鍵)が登録されているサーバ装置30に送信する端末認証要求処理を実行する。
The terminal
In this way, the terminal
登録処理部162は、端末装置20の端末登録処理に関する各種処理を実行する。登録処理部162は、例えば、上述した端末認証要求処理により送信した認証情報に対する認証成功通知を、NW通信部11を介して、サーバ装置30から受信した場合に、端末装置20の追加登録要求を、NW通信部11を介して、サーバ装置30に送信する。また、登録処理部162は、例えば、追加登録要求に応じた端末登録処理の開始指示(追加登録開始指示)を、NW通信部11を介して、サーバ装置30から受信した場合に、NFC通信部12を介して、追加登録処理依頼を端末装置20に送信する。
The
また、登録処理部162は、例えば、暗号化(暗号処理)された端末装置20の登録情報を、NFC通信部12を介して、端末装置20から受信した場合に、入力部13から受け付けた端末装置20の利用者のPINを取得する。登録処理部162は、当該PIN(所定の復号鍵の一例)に基づいて、暗号化された登録情報を復号(復号処理)する。なお、登録情報の詳細については後述する。また、本実施形態において、端末装置20の利用者と、端末装置10の利用者とは、同一であってもよいし、同一でなく異なっていてもよい。
また、登録処理部162は、復号(復号処理)された登録情報から秘密鍵SK1に基づく署名情報を、セキュア処理部15に生成させる。登録処理部162は、セキュア処理部15から取得した署名情報と復号(復号処理)された登録情報とを含む認証情報(第2認証情報の一例)を生成し、生成した認証情報を、NW通信部11を介して、サーバ装置30に送信する。すなわち、登録処理部162は、復号処理された登録情報から秘密鍵SK1に基づく署名情報を生成し、生成した当該署名情報と登録情報とを含む認証情報を生成する。そして、登録処理部162は、生成した認証情報をサーバ装置30に送信する。
Further, the
Further, the
このように、登録処理部162は、暗号処理された登録情報を、所定の暗号鍵に対応する所定の復号鍵に基づいて復号処理し、当該復号処理された登録情報を含む認証情報(第2認証情報)を生成し、生成した認証情報をサーバ装置30に送信する送信処理(第2送信処理の一例)を実行する。なお、本実施形態では、所定の復号鍵は、利用者から端末装置20が取得したPIN(個人識別情報)、又はPINを含む情報である。なお、PINを含む情報は、例えば、日付情報、時刻情報、端末装置20の場所情報(位置情報)などをPINに付加した情報である。
In this way, the
端末装置20(第2端末装置の一例)は、サーバ装置30に未登録の端末装置であり、例えば、スマートフォンなどの携帯電話、PDA(Personal Digital Assistant)、パーソナルコンピュータ(PC)などの情報端末、等である。端末装置20は、NW通信部21と、NFC通信部22と、入力部23と、表示部24と、セキュア処理部25と、端末制御部26とを備えている。
The terminal device 20 (an example of a second terminal device) is a terminal device that is not registered in the
NW通信部21は、例えば、携帯電話などの移動通信、無線LAN通信などを利用してネットワークNW1に接続し、ネットワークNW1を介して各種通信を行う。NW通信部21は、例えば、ネットワークNW1を介して、サーバ装置30に接続し、各種通信を行う。
NFC通信部22は、近距離無線通信を利用した通信を行う。NFC通信部22は、例えば、端末装置20の端末登録処理を行う際に、端末装置10との間の通信を行う。
The
The
入力部23は、例えば、タッチパネルなどの入力デバイスであり、端末装置20に対する各種入力を受け付ける。入力部23は、例えば、登録を行う端末装置20の利用者によりPINなどの個人識別情報の入力を受け付ける。
表示部24は、例えば、液晶ディスプレイ装置などであり、各種情報を表示する。表示部24は、例えば、端末装置20の端末登録処理の際の操作メニュー、入力情報などを表示する。
The
The
セキュア処理部25は、例えば、TEEであり、各種セキュア処理を実行する。セキュア処理部25は、基本的には、上述したセキュア処理部15と同等の機能を有する。セキュア処理部25は、例えば、RSA暗号などの公開鍵暗号の公開鍵及び秘密鍵の生成、当該公開鍵及び秘密鍵を用いた暗号処理、復号処理、署名情報の生成処理、生体認証を利用した利用者認証処理(本人検証処理)などのセキュア処理を実行する。また、セキュア処理部25は、ハードウェアによりセキュアに保護する領域としてセキュア記憶部251を備えている。
The
セキュア記憶部251は、アプリケーションプログラム(端末制御部26)から直接アクセスできない記憶領域であり、OS(Operating System)を介してアクセス可能である。セキュア記憶部251は、例えば、利用者認証用の生体認証情報や、公開鍵暗号の秘密鍵及び公開鍵などのセキュアな情報を記憶する。なお、本実施形態では、端末装置20は、サーバ装置30に未登録であり、端末登録処理の際に、セキュア記憶部251には、本人検証用の生体認証情報、利用者認証用の秘密鍵SK2(第2秘密鍵の一例)及び公開鍵PK2(第2公開鍵の一例)が記憶される。なお、セキュア記憶部251は、本人検証用の生体認証情報を端末登録処理前に予め記憶していてもよい。
The
端末制御部26は、例えば、CPUなどを含むプロセッサであり、端末装置20を統括的に制御する。端末制御部26は、例えば、端末装置20を追加登録する処理を実行するアプリケーションプログラムを実行する。端末制御部26は、例えば、端末認証要求部261と、登録処理部262とを備えている。
端末認証要求部261は、端末装置20とサーバ装置30との間で利用者認証を行い、
上述した端末装置10の端末認証要求部161と同様の機能を有している。
The
The terminal
It has the same function as the terminal
登録処理部262は、端末装置20の端末登録処理に関する各種処理を実行する。登録処理部262は、例えば、NFC通信部22を介して、端末装置10から追加登録処理依頼を受信した場合に、秘密鍵SK2及び秘密鍵SK2に対応する公開鍵PK2をセキュア処理部25に生成させる。なお、セキュア処理部25は、生成した秘密鍵SK2及び公開鍵PK2をセキュア記憶部251に記憶させる。登録処理部262は、セキュア処理部25から公開鍵PK2を取得し、当該公開鍵PK2を少なくとも含む登録情報を、NW通信部21を介して、サーバ装置30に送信する。すなわち、登録処理部262は、秘密鍵SK2及び公開鍵PK2を生成し、生成した公開鍵PK2を少なくとも含む登録情報をサーバ装置30に送信する登録要求処理を実行する。ここで、図2を参照して、登録情報について説明する。
The
図2は、本実施形態における登録情報の一例を示す図である。
図2に示すように、登録情報には、「利用者ID」と、「デバイスID」と、「公開鍵」とが含まれている。ここで、「利用者ID」は、端末装置20の利用者を識別する利用者識別情報である。また、「デバイスID」は、端末装置20を識別する端末識別情報である。また、「公開鍵」は、セキュア処理部25によって生成された公開鍵PK2である。
図2に示す例では、「利用者ID」が“XXX_YYY”であり、「デバイスID」が“12345678”であり、「公開鍵」(PK2)が、“1A2B3C4D5E6F・・・”であることを示している。なお、登録情報は、FIDO認証の仕様(FIDO Specification)で規定される登録情報の一部又は全部を含むものであってもよい。
登録処理部262は、このような登録情報を生成し、生成した登録情報をサーバ装置30に送信する。なお、登録処理部262は、登録情報をサーバ装置30に送信する際に、所定の暗号鍵(例えば、秘密鍵SK2など)により暗号化して送信してもよい。
FIG. 2 is a diagram showing an example of registration information in this embodiment.
As shown in FIG. 2, the registration information includes a “user ID”, a “device ID”, and a “public key”. Here, the “user ID” is user identification information that identifies the user of the
In the example shown in FIG. 2, the “user ID” is “XXX_YYY”, the “device ID” is “12345678”, and the “public key” (PK2) is “1A2B3C4D5E6F... ”. ing. Note that the registration information may include a part or all of the registration information defined by the FIDO authentication specifications (FIDO Specification).
The
また、登録処理部262は、所定の暗号鍵に基づいて、登録情報を暗号処理し、当該暗号処理された登録情報を端末装置10に送信する送信処理(第1送信処理)を実行する。本実施形態では、所定の暗号鍵は、端末装置20の利用者から端末装置10が取得したPIN又はPINを含む情報である。すなわち、登録処理部262は、例えば、入力部13から受け付けた端末装置20の利用者のPINを取得し、当該PINを所定の暗号鍵として、登録情報を暗号化し、暗号化された登録情報を、NFC通信部22を介して、端末装置10に送信する。
In addition, the
サーバ装置30は、例えば、利用者及び端末装置を登録することで所定のサービスを提供する。サーバ装置30は、NW通信部31と、サーバ記憶部32と、サーバ制御部33とを備えている。
NW通信部31は、例えば、LAN通信などを利用してネットワークNW1に接続し、ネットワークNW1を介して各種通信を行う。NW通信部31は、例えば、ネットワークNW1を介して、端末装置10及び端末装置20に接続し、各種通信を行う。
The
The
サーバ記憶部32は、サーバ装置30の各種処理に利用する情報を記憶する。サーバ記憶部32は、例えば、登録情報記憶部321を備えている。
登録情報記憶部321は、登録が完了した端末装置の登録情報を記憶する。登録情報記憶部321は、例えば、図3に示すように、「index」と、「利用者ID」と、「デバイスID」と、「公開鍵」とを対応付けて記憶する。
The
The registration
図3は、本実施形態における登録情報記憶部321のデータ例を示す図である。
図3において、「index」は、登録情報の索引番号を示し、「利用者ID」及び「デバイスID」は、登録済みの利用者識別情報及び端末識別情報を示している。また、「公開鍵」は、登録済みの公開鍵を示している。
例えば、図3に示す例では、「index」が“1”の登録情報として、「利用者ID」及び「デバイスID」が“XXX_YYYY”及び“12345678”が登録されており、対応する「公開鍵」が“1A2B3C4D5E6F・・・”であることを示している。
FIG. 3 is a diagram showing an example of data in the registration
In FIG. 3, “index” indicates an index number of registration information, and “user ID” and “device ID” indicate registered user identification information and terminal identification information. Further, "public key" indicates a registered public key.
For example, in the example shown in FIG. 3, "user ID" and "device ID" of "XXX_YYYY" and "12345678" are registered as the registration information of "index" of "1", and the corresponding "public key" is registered. Is "1A2B3C4D5E6F... ".
再び、図1に戻り、サーバ制御部33は、CPUなどを含むプロセッサであり、サーバ装置30を統括的に制御する。サーバ制御部33は、例えば、認証情報検証部331と、追加端末登録部332とを備えている。
Returning to FIG. 1 again, the
認証情報検証部331(端末認証部の一例)は、公開鍵PK1と、端末装置10から受信した認証情報とに基づいて、端末装置10の正当性を検証する。認証情報検証部331は、上述した端末装置10から、NW通信部31を介して受信した認証情報を含む端末認証要求に応じて、サーバ記憶部32から端末装置10の公開鍵PK1を取得し、取得した公開鍵PK1により認証情報を復号処理して、端末装置10の正当性を検証する。認証情報検証部331は、端末装置10の正当性が検証された場合に、当該正当性の検証結果を認証成功通知として、NW通信部31を介して端末装置10に送信する。
The authentication information verification unit 331 (an example of a terminal authentication unit) verifies the validity of the
追加端末登録部332(登録部の一例)は、端末装置20から受信した登録情報と、端末装置10から受信した認証情報に含まれる登録情報とが一致する場合に、登録情報に含まれる公開鍵PK2を登録する登録処理を実行する。追加端末登録部332は、例えば、端末装置10からNW通信部31を介して受信した認証情報に含まれる署名情報の正当性を、公開鍵PK1に基づいて検証する。追加端末登録部332は、署名情報が正当であり、且つ、端末装置20からNW通信部31を介して受信した登録情報と、認証情報に含まれる登録情報とが一致する場合に、登録情報に含まれる公開鍵PK2を登録する。追加端末登録部332は、例えば、図3に示すように、「index」と、「利用者ID」と、「デバイスID」と、「公開鍵」とを対応付けて登録情報記憶部321に記憶させる。
The additional terminal registration unit 332 (an example of a registration unit) includes a public key included in the registration information when the registration information received from the
なお、追加端末登録部332は、端末装置20から受信した登録情報が、例えば、秘密鍵SK2により暗号化されている場合には、端末装置10から受信した認証情報に含まれる登録情報の公開鍵PK2に基づいて、端末装置20から受信した登録情報を復号(復号処理)して、当該登録情報と、認証情報に含まれる登録情報とが一致するか否かを判定する。追加端末登録部332は、登録情報が一致する場合に、登録情報を登録情報記憶部321に記憶させる。このように、追加端末登録部332は、端末装置20から受信した暗号処理された登録情報を復号処理した登録情報と、端末装置10から受信した認証情報に含まれる登録情報とが一致する場合に、登録情報に含まれる公開鍵PK2を登録する。
If the registration information received from the
次に、図4を参照して、本実施形態による認証システム1の動作について説明する。
図4は、本実施形態による認証システム1の端末登録処理の一例を示す図である。
図4に示す例では、端末装置10が予めサーバ装置30に登録されており、未登録の端末装置20を新たにサーバ装置30に登録させる場合の処理である。
Next, the operation of the
FIG. 4 is a diagram showing an example of a terminal registration process of the
In the example illustrated in FIG. 4, the
図4に示すように、まず、認証システム1の端末装置10は、利用者認証処理を実行する(ステップS101)。すなわち、端末装置10の端末認証要求部161は、例えば、セキュア処理部15に生体認証などによる利用者認証を実行させて、当該利用者認証によって端末装置10の利用者を認証した認証結果を取得する。
As shown in FIG. 4, first, the
次に、端末装置10は、認証結果と秘密鍵SK1とから認証情報を生成する(ステップS102)。すなわち、端末認証要求部161は、セキュア処理部15に認証結果を秘密鍵SK1に基づいて暗号処理させて認証情報を生成させる。
Next, the
次に、端末装置10は、認証要求をサーバ装置30に送信する(ステップS103)。すなわち、端末認証要求部161は、生成した認証情報を含む端末認証要求を、NW通信部11を介して、サーバ装置30に送信する。
Next, the
次に、サーバ装置30は、公開鍵PK1により認証情報を検証する(ステップS104)。すなわち、サーバ装置30の認証情報検証部331は、NW通信部31を介して受信した端末認証要求に応じて、サーバ記憶部32から端末装置10の公開鍵PK1を取得する。認証情報検証部331は、取得した公開鍵PK1により認証情報を復号処理して、端末装置10の正当性を検証する。
Next, the
次に、サーバ装置30は、認証成功通知を送信する(ステップS105)。すなわち、認証情報検証部331は、例えば、端末装置10の正当性が検証された場合に、当該正当性の検証結果を認証成功通知として、NW通信部31を介して端末装置10に送信する。
Next, the
次に、端末装置10は、追加登録要求をサーバ装置30に送信する(ステップS106)。すなわち、端末装置10の登録処理部162は、例えば、NW通信部11を介して、サーバ装置30から認証成功通知を受信した場合に、端末装置20の追加登録要求を、NW通信部11を介して、サーバ装置30に送信する。
Next, the
次に、サーバ装置30は、追加登録開始指示を端末装置10に送信する(ステップS107)。すなわち、サーバ装置30の追加端末登録部332は、NW通信部31を介して、端末装置10から追加登録要求を受信した場合に、NW通信部31を介して、追加登録開始指示を端末装置10に送信する。
Next, the
次に、端末装置10は、追加登録処理依頼を端末装置20に送信する(ステップS108)。すなわち、登録処理部162は、例えば、NW通信部11を介して、追加登録開始指示をサーバ装置30から受信した場合に、NFC通信部12を介して、追加登録処理依頼を端末装置20に送信する。
Next, the
次に、端末装置20は、生体認証情報の登録を行う(ステップS109)。すなわち、端末装置20の登録処理部262は、利用者によって入力された、例えば、指紋情報などの生体認証情報を取得し、当該生体認証情報をセキュア処理部25に登録させる。セキュア処理部25は、生体認証情報をセキュア記憶部251に記憶させる。
Next, the
次に、端末装置20は、秘密鍵SK2及び公開鍵PK2を生成する(ステップS110)。すなわち、端末装置20の登録処理部262は、例えば、NFC通信部22を介して、端末装置10から追加登録処理依頼を受信した場合に、秘密鍵SK2及び秘密鍵SK2に対応する公開鍵PK2をセキュア処理部25に生成させる。なお、セキュア処理部25は、生成した秘密鍵SK2及び公開鍵PK2をセキュア記憶部251に記憶させる。
Next, the
次に、端末装置20は、登録情報を生成する(ステップS111)。すなわち、登録処理部262は、セキュア処理部25から公開鍵PK2を取得し、図2に示すような登録情報を生成する。なお、登録情報に含まれる情報(例えば、利用者識別情報などのユーザ情報)は、入力部23を介して、利用者によって入力されてもよい。また、登録処理部262は、登録情報を暗号化し、暗号化された登録情報を生成してもよい。
Next, the
次に、端末装置20は、登録情報をサーバ装置30に送信する(ステップS112)。すなわち、登録処理部262は、例えば、公開鍵PK2を含む登録情報を、NW通信部21を介して、サーバ装置30に送信する。
Next, the
次に、端末装置20は、PINを取得する(ステップS113)。すなわち、登録処理部262は、表示部14に、端末装置20の利用者にPINの入力を促す表示を表示させて、入力部13が受け付けた端末装置20の利用者のPINを取得する。登録処理部262は、取得したPINを所定の暗号鍵として利用する。
Next, the
次に、端末装置20は、PINにより登録情報を暗号処理する(ステップS114)。すなわち、登録処理部262は、取得したPIN(所定の暗号鍵)に基づいて、登録情報を暗号処理して、暗号化された登録情報(暗号登録情報)を生成する。
Next, the
次に、端末装置20は、暗号登録情報を端末装置10に送信する(ステップS115)。すなわち、登録処理部262は、PINにより暗号化された登録情報(暗号登録情報)を、NFC通信部22を介して、端末装置10に送信する。
Next, the
次に、端末装置10は、PINを取得する(ステップS116)。すなわち、登録処理部162は、表示部14に、端末装置20の利用者にPINの入力を促す表示を表示させて、入力部13が受け付けた端末装置20の利用者のPINを取得する。ここで、登録処理部162が取得するPINは、端末装置20の利用者によって入力されたPINであり、端末装置に入力されたPIN(所定の暗号鍵)と等しい情報である。登録処理部162は、取得したPINを所定の復号鍵として利用する。
Next, the
次に、端末装置10は、PINにより暗号登録情報を復号処理する(ステップS117)。すなわち、登録処理部162は、取得したPIN(所定の復号鍵)に基づいて、暗号登録情報を復号し、復号された登録情報(平文)を生成する。
Next, the
次に、端末装置10は、登録情報と秘密鍵SK1とにより署名情報を生成する(ステップS118)。すなわち、登録処理部162は、復号(復号処理)された登録情報から秘密鍵SK1に基づく署名情報を、セキュア処理部15に生成させる。セキュア処理部15は、例えば、所定のハッシュ関数により、登録情報からハッシュ情報を生成し、セキュア記憶部151が記憶する秘密鍵SK1を用いて、登録情報の署名情報を生成する。
Next, the
次に、端末装置10は、認証情報をサーバ装置30に送信する(ステップS119)。すなわち、登録処理部162は、セキュア処理部15から署名情報を取得し、取得した署名情報と登録情報とを含む認証情報(第2認証情報)を生成する。そして、登録処理部162は、生成した認証情報を、NW通信部11を介して、サーバ装置30に送信する。
Next, the
サーバ装置30は、署名情報が正当であるか否かを判定する(ステップS120)。すなわち、サーバ装置30の追加端末登録部332は、例えば、NW通信部31を介して、端末装置10から署名情報と登録情報とを含む認証情報を受信した場合に、署名情報が正当であるか否かを判定する。追加端末登録部332は、例えば、登録情報記憶部321から端末装置10の公開鍵PK1を取得し、取得した公開鍵PK1により署名情報を復号処理する。また、追加端末登録部332は、所定のハッシュ関数により、受信した認証情報に含まれる登録情報からハッシュ情報を生成する。追加端末登録部332は、署名情報を復号処理した情報と、生成したハッシュ情報とが一致するか否かによって署名情報が正当であるか否かを判定する。
The
追加端末登録部332は、署名情報が正当である場合(ステップS120:YES)に、処理をステップS121に進める。また、追加端末登録部332は、署名情報が正当でない場合(ステップS120:NO)に、端末装置20を登録せずに、端末登録処理を終了する。
If the signature information is valid (step S120: YES), the additional terminal registration unit 332 advances the process to step S121. If the signature information is not valid (step S120: NO), the additional terminal registration unit 332 ends the terminal registration process without registering the
ステップS121において、追加端末登録部332は、登録情報が一致するか否かを判定する。すなわち、追加端末登録部332は、端末装置20からNW通信部31を介して受信した登録情報と、認証情報に含まれる登録情報とが一致するか否かを判定する。なお、端末装置20からNW通信部31を介して受信した登録情報が暗号化されている場合には、追加端末登録部332は、暗号化された登録情報を復号(復号処理)して、登録情報を取得する。
In step S121, the additional terminal registration unit 332 determines whether the registration information matches. That is, the additional terminal registration unit 332 determines whether the registration information received from the
追加端末登録部332は、登録情報が一致する場合(ステップS121:YES)に、処理をステップS122に進める。また、追加端末登録部332は、登録情報が一致しない場合(ステップS121:NO)に、端末装置20を登録せずに、端末登録処理を終了する。
If the registration information matches (step S121: YES), the additional terminal registration unit 332 advances the process to step S122. If the registration information does not match (step S121: NO), the additional terminal registration unit 332 ends the terminal registration process without registering the
ステップS122において、追加端末登録部332は、公開鍵PK2を含む登録情報を登録する。すなわち、追加端末登録部332は、端末装置20の登録情報を、例えば、図3に示すように、「index」と、「利用者ID」と、「デバイスID」と、「公開鍵」とを対応付けて登録情報記憶部321に記憶させる。
In step S122, the additional terminal registration unit 332 registers the registration information including the public key PK2. That is, the additional terminal registration unit 332 stores the registration information of the
なお、図4に示す例において、ステップS101からステップS103の処理が、端末認証要求ステップの処理に対応し、ステップS104及びステップS105の処理が、端末認証ステップの処理に対応する。また、ステップS109からステップS112の処理が、登録要求ステップの処理に対応し、ステップS113からステップS115の処理が、第1送信ステップの処理に対応する。また、ステップS116からステップS119の処理が、第2送信ステップの処理に対応し、ステップS120からステップS122の処理が、登録ステップの処理に対応する。
また、ステップS118及びステップS119の一連の処理を、FIDO認証のTransaction Confirmationを基に実現してもよい。
In the example shown in FIG. 4, the processes of steps S101 to S103 correspond to the process of the terminal authentication request step, and the processes of steps S104 and S105 correspond to the process of the terminal authentication step. Further, the processing of steps S109 to S112 corresponds to the processing of the registration request step, and the processing of steps S113 to S115 corresponds to the processing of the first transmission step. Further, the processing of steps S116 to S119 corresponds to the processing of the second transmission step, and the processing of steps S120 to S122 corresponds to the processing of the registration step.
Further, the series of processes of step S118 and step S119 may be realized based on the Transaction Confirmation of FIDO authentication.
以上説明したように、本実施形態による端末登録方法は、端末認証要求ステップと、端末認証ステップと、登録要求ステップと、第1送信ステップと、第2送信ステップと、登録ステップとを含んでいる。端末認証要求ステップにおいて、サーバ装置30に登録済の端末装置10(第1端末装置)が、秘密鍵SK1(第1秘密鍵)に基づく第1認証情報を生成し、秘密鍵SK1に対応する公開鍵PK1(第1公開鍵)が登録されているサーバ装置30に送信する。端末認証ステップにおいて、サーバ装置30が、公開鍵PK1と、第1認証情報とに基づいて、端末装置10の正当性を検証する。登録要求ステップにおいて、サーバ装置30に未登録の端末装置20(第2端末装置)が、秘密鍵SK2(第2秘密鍵)及び秘密鍵SK2に対応する公開鍵PK2(第2公開鍵)を生成し、生成した公開鍵PK2を少なくとも含む登録情報をサーバ装置30に送信する。第1送信ステップにおいて、端末装置20が、所定の暗号鍵に基づいて、登録情報を暗号処理し、当該暗号処理された登録情報を端末装置10に送信する。第2送信ステップにおいて、端末装置10が、暗号処理された登録情報を、所定の暗号鍵に対応する所定の復号鍵に基づいて復号処理し、当該復号処理された登録情報を含む第2認証情報を生成し、生成した第2認証情報をサーバ装置30に送信する。登録ステップにおいて、サーバ装置30が、端末装置20から受信した登録情報と、端末装置10から受信した第2認証情報に含まれる登録情報とが一致する場合に、登録情報に含まれる公開鍵PK2を登録する。
As described above, the terminal registration method according to the present embodiment includes the terminal authentication request step, the terminal authentication step, the registration request step, the first transmission step, the second transmission step, and the registration step. .. In the terminal authentication request step, the terminal device 10 (first terminal device) registered in the
これにより、本実施形態による端末登録方法では、登録済みの端末装置10の正当性を確認した上で、未登録の端末装置20の端末登録の際の正当性を、端末装置10を利用して確認する。そのため、本実施形態による端末登録方法では、端末登録の際に、例えば、パスワードや予め設定された固有情報による本人及び端末装置20の認証を行う必要がない。よって、本実施形態による端末登録方法は、端末装置20を登録する際の脆弱性を低減することができる。
As a result, in the terminal registration method according to the present embodiment, the legitimacy of the registered
また、本実施形態では、上述の所定の暗号鍵は、端末装置20の利用者から端末装置10が取得した個人識別情報を含む情報(例えば、PIN、又はPINを含む情報)である。また、上述の所定の復号鍵は、所定の暗号鍵と等しい情報であり、利用者から端末装置20が取得した個人識別情報を含む情報(例えば、PIN、又はPINを含む情報)である。
これにより、本実施形態による端末登録方法では、個人識別情報(例えば、PIN)を利用して暗号化した情報を端末装置20から端末装置10に送信するため、端末装置20から端末装置10に送信する登録情報が改竄されるリスク及び漏洩するリスクを低減することができる。よって、本実施形態による端末登録方法は、端末装置20を登録する際の脆弱性をさらに低減することができる。
Further, in the present embodiment, the above-mentioned predetermined encryption key is information (for example, PIN or information including PIN) including the personal identification information acquired by the
As a result, in the terminal registration method according to the present embodiment, since the information encrypted using the personal identification information (for example, PIN) is transmitted from the
また、本実施形態では、第2送信ステップにおいて、端末装置10が、復号処理された登録情報から秘密鍵SK1に基づく署名情報を生成し、生成した当該署名情報と登録情報とを含む第2認証情報を生成する。そして、登録ステップにおいて、サーバ装置30が、端末装置10から受信した第2認証情報に含まれる署名情報の正当性を、公開鍵PK1に基づいて検証し、署名情報が正当であり、且つ、端末装置20から受信した登録情報と、第2認証情報に含まれる登録情報とが一致する場合に、登録情報に含まれる公開鍵PK2を登録する。
これにより、本実施形態による端末登録方法では、端末装置20からサーバ装置30に送信する登録情報が改竄されるリスク及び漏洩するリスクを低減することができる。よって、本実施形態による端末登録方法は、端末装置20を登録する際の脆弱性をさらに低減することができる。
Further, in the present embodiment, in the second transmission step, the
As a result, the terminal registration method according to the present embodiment can reduce the risk that the registration information transmitted from the
また、本実施形態では、登録要求ステップにおいて、端末装置20が、登録情報を暗号処理してサーバ装置30に送信する。そして、登録ステップにおいて、サーバ装置30が、端末装置20から受信した暗号処理された登録情報を復号処理した登録情報と、端末装置10から受信した第2認証情報に含まれる登録情報とが一致する場合に、登録情報に含まれる公開鍵PK2を登録する。
これにより、本実施形態による端末登録方法では、端末装置10からサーバ装置30に送信する登録情報が改竄されるリスク及び漏洩するリスクを低減することができる。よって、本実施形態による端末登録方法は、端末装置20を登録する際の脆弱性をさらに低減することができる。
Further, in the present embodiment, in the registration request step, the
As a result, the terminal registration method according to the present embodiment can reduce the risk that the registration information transmitted from the
また、本実施形態では、端末認証要求ステップにおいて、端末装置10が、端末装置10の利用者を認証した認証結果を、秘密鍵SK1に基づいて暗号処理して、第1認証情報を生成する。
これにより、本実施形態による端末登録方法では、例えば、利用者の生体認証情報やパスワードなどの秘密情報を外部に出力する必要がなく、公開鍵ベースの端末認証を行うことで、安全性と利便性とを両立させた端末装置10の認証を行うことができる。
Further, in the present embodiment, in the terminal authentication request step, the
As a result, in the terminal registration method according to the present embodiment, for example, it is not necessary to output secret information such as biometric authentication information and password of the user to the outside. It is possible to perform the authentication of the
また、実施形態による認証システム1(端末登録システム)は、サーバ装置30と、サーバ装置30に登録済の端末装置10と、サーバ装置30に未登録の端末装置20とを備えている。端末装置20は、登録要求部(登録処理部262)と、第1送信部(登録処理部262)とを備えている。すなわち、登録処理部262(登録要求部)は、秘密鍵SK2及び秘密鍵SK2に対応する公開鍵PK2を生成し、生成した公開鍵PK2を少なくとも含む登録情報をサーバ装置30に送信する。登録処理部262(第1送信部)は、所定の暗号鍵に基づいて、登録情報を暗号処理し、当該暗号処理された登録情報を端末装置10に送信する。また、端末装置10は、端末認証要求部161と、登録処理部162(第2送信部)とを備えている。端末認証要求部161は、秘密鍵SK1に基づく第1認証情報を生成し、秘密鍵SK1に対応する公開鍵PK1が登録されているサーバ装置30に送信する。登録処理部162は、暗号処理された登録情報を、所定の暗号鍵に対応する所定の復号鍵に基づいて復号処理し、当該復号処理された登録情報を含む第2認証情報を生成し、生成した第2認証情報をサーバ装置30に送信する。また、サーバ装置30は、認証情報検証部331(端末認証部)と、追加端末登録部332(登録部)とを備えている。認証情報検証部331は、公開鍵PK1と、第1認証情報とに基づいて、端末装置10の正当性を検証する。追加端末登録部332は、端末装置20から受信した登録情報と、端末装置10から受信した第2認証情報に含まれる登録情報とが一致する場合に、登録情報に含まれる公開鍵PK2を登録する。
これにより、本実施形態による認証システム1は、上述した本実施形態による端末登録方法と同様に、端末装置20を登録する際の脆弱性を低減することができる。
The authentication system 1 (terminal registration system) according to the embodiment includes a
As a result, the
[第2の実施形態]
次に、図面を参照して、第2の実施形態による認証システム1aについて説明する。
図5は、本実施形態による認証システム1aの一例を示すブロック図である。
図5に示すように、認証システム1a(端末登録システムの一例)は、端末装置10aと、端末装置20aと、サーバ装置30aとを備えている。端末装置10aと、端末装置20aと、サーバ装置30aとは、ネットワークNW1を介して接続されている。なお、図5において、図1と同一の構成には同一の符号を付与して、その説明を省略する。
[Second Embodiment]
Next, an authentication system 1a according to the second embodiment will be described with reference to the drawings.
FIG. 5 is a block diagram showing an example of the authentication system 1a according to this embodiment.
As shown in FIG. 5, the authentication system 1a (an example of a terminal registration system) includes a
本実施形態では、端末装置20aから端末装置10aに登録情報を送信する際に、PINの代わりに、端末装置10aの公開鍵PK1を利用して暗号処理する点が、第1の実施形態と異なる。
The present embodiment is different from the first embodiment in that when the registration information is transmitted from the
端末装置20a(第2端末装置の一例)は、サーバ装置30aに未登録の端末装置であり、基本的には、第1の実施形態の端末装置20と同様である。端末装置20aは、NW通信部21と、NFC通信部22と、入力部23と、表示部24と、セキュア処理部25と、端末制御部26aとを備えている。また、端末制御部26aは、端末認証要求部261と、登録処理部262aとを備えている。
The
登録処理部262aは、第1の実施形態の登録処理部262と同様に、端末装置20aの端末登録処理に関する各種処理を実行する。登録処理部262aは、サーバ装置30aからNW通信部21を介して、公開鍵PK1を含む追加登録処理依頼を受信した場合に、端末登録処理を開始する点と、受信した公開鍵PK1を所定の暗号鍵として、登録情報を暗号化して、端末装置10に送信する点が、第1の実施形態と異なる。登録処理部262aは、サーバ装置30aから取得した端末装置10aの公開鍵PK1を所定の暗号鍵として、登録情報を暗号化して、暗号登録情報を生成する。登録処理部262aは、生成した暗号登録情報を、NFC通信部22を介して、端末装置10aに送信する。
The
端末装置10a(第1端末装置の一例)は、サーバ装置30aに登録済の端末装置であり、基本的には、第1の実施形態の端末装置10と同様である。端末装置10aは、NW通信部11と、NFC通信部12と、入力部13と、表示部14と、セキュア処理部15と、端末制御部16aとを備えている。また、端末制御部16aは、端末認証要求部161と、登録処理部162aとを備えている。
The
登録処理部162aは、第1の実施形態の登録処理部162と同様に、端末装置20aの端末登録処理に関する各種処理を実行する。登録処理部162aは、端末装置10aからNFC通信部12を介して、暗号登録情報を受信した場合に、秘密鍵SK1を所定の復号鍵として、暗号登録情報を復号処理する点が、第1の実施形態と異なる。登録処理部162aは、NFC通信部12を介して、暗号登録情報を受信した場合に、秘密鍵SK1に基づく暗号登録情報の復号処理をセキュア処理部15に実行させる。登録処理部162aは、復号処理された端末装置20の登録情報をセキュア処理部15から取得する。
このように、本実施形態では、所定の暗号鍵は、サーバ装置30aから端末装置10aが取得した公開鍵PK1であり、所定の復号鍵は、秘密鍵SK1である。
The registration processing unit 162a executes various processes related to the terminal registration process of the
Thus, in the present embodiment, the predetermined encryption key is the public key PK1 acquired by the
サーバ装置30aは、NW通信部31と、サーバ記憶部32と、サーバ制御部33aとを備えている。また、サーバ制御部33aは、例えば、認証情報検証部331と、追加端末登録部332aとを備えている。
The
追加端末登録部332a(登録部の一例)は、基本的には、第1の実施形態の追加端末登録部332と同様であるが、端末装置10aから追加登録要求を受信した際に、端末装置10aの公開鍵PK1を含む追加登録処理依頼を、端末装置20aに送信する点が、第1の実施形態と異なる。追加端末登録部332aは、NW通信部31を介して、端末装置10aから追加登録要求を受信した場合に、登録情報記憶部321から端末装置10aの公開鍵PK1を取得する。追加端末登録部332aは、取得した公開鍵PK1を含む追加登録処理依頼を、NW通信部31を介して、端末装置20aに送信する。
The additional
次に、図6を参照して、本実施形態による認証システム1aの動作について説明する。
図6は、本実施形態による認証システム1aの端末登録処理の一例を示す図である。
図6に示す例では、端末装置10aが予めサーバ装置30aに登録されており、未登録の端末装置20aを新たにサーバ装置30aに登録させる場合の処理である。
Next, the operation of the authentication system 1a according to the present embodiment will be described with reference to FIG.
FIG. 6 is a diagram showing an example of a terminal registration process of the authentication system 1a according to this embodiment.
In the example illustrated in FIG. 6, the
図6において、ステップS201からステップS206の処理は、図4に示すステップS101からステップS106の処理と同様であるため、ここではその説明を省略する。
ステップS207において、サーバ装置30aは、公開鍵PK1を含む追加登録処理依頼を端末装置20aに送信する。すなわち、サーバ装置30aの追加端末登録部332aは、NW通信部31を介して、端末装置10aから追加登録要求を受信した場合に、登録情報記憶部321から端末装置10aの公開鍵PK1を取得する。そして、追加端末登録部332aは、取得した公開鍵PK1を含む追加登録処理依頼を、NW通信部31を介して、端末装置20aに送信する。
In FIG. 6, the processing from step S201 to step S206 is similar to the processing from step S101 to step S106 shown in FIG. 4, so description thereof will be omitted here.
In step S207, the
続くステップS208からステップS211の処理は、図4に示すステップS109からステップS112の処理と同様であるため、ここではその説明を省略する。
ステップS212において、端末装置20aは、公開鍵PK1により登録情報を暗号処理する。すなわち、登録処理部262aは、サーバ装置30aから取得した公開鍵PK1(所定の暗号鍵)に基づいて、登録情報を暗号処理して、暗号化された登録情報(暗号登録情報)を生成する。
The subsequent processing from step S208 to step S211 is similar to the processing from step S109 to step S112 shown in FIG. 4, and therefore the description thereof is omitted here.
In step S212, the
次に、端末装置20aは、暗号登録情報を端末装置10aに送信する(ステップS213)。すなわち、登録処理部262aは、公開鍵PK1により暗号化された登録情報(暗号登録情報)を、NFC通信部22を介して、端末装置10aに送信する。
Next, the
次に、端末装置10aは、秘密鍵SK1により暗号登録情報を復号処理する(ステップS214)。すなわち、登録処理部162aは、NFC通信部12を介して、暗号登録情報を受信した場合に、秘密鍵SK1に基づく暗号登録情報の復号処理をセキュア処理部15に実行させる。登録処理部162aは、復号処理された端末装置20の登録情報をセキュア処理部15から取得する。
続くステップS215からステップS219の処理は、図4に示すステップS118からステップS122の処理と同様であるため、ここではその説明を省略する。
Next, the
The subsequent processing of steps S215 to S219 is similar to the processing of steps S118 to S122 shown in FIG. 4, so description thereof will be omitted here.
なお、図6に示す例において、ステップS201からステップS203の処理が、端末認証要求ステップの処理に対応し、ステップS204及びステップS205の処理が、端末認証ステップの処理に対応する。また、ステップS208からステップS211の処理が、登録要求ステップの処理に対応し、ステップS212及びステップS213の処理が、第1送信ステップの処理に対応する。また、ステップS214からステップS216の処理が、第2送信ステップの処理に対応し、ステップS217からステップS219の処理が、登録ステップの処理に対応する。 In the example shown in FIG. 6, the processing of steps S201 to S203 corresponds to the processing of the terminal authentication request step, and the processing of steps S204 and S205 corresponds to the processing of the terminal authentication step. Further, the processing of steps S208 to S211 corresponds to the processing of the registration request step, and the processing of steps S212 and S213 corresponds to the processing of the first transmission step. Further, the processing of steps S214 to S216 corresponds to the processing of the second transmission step, and the processing of steps S217 to S219 corresponds to the processing of the registration step.
以上説明したように、本実施形態による端末登録方法では、上述した所定の暗号鍵は、サーバ装置30aから端末装置10aが取得した公開鍵PK1であり、上述した所定の復号鍵は、秘密鍵SK1である。
これにより、本実施形態による端末登録方法では、端末装置10aの公開鍵PK1を利用して暗号化した情報を端末装置20aから端末装置10aに送信するため、第1の実施形態と同様に、端末装置20aから端末装置10aに送信する登録情報が改竄されるリスク及び漏洩するリスクを低減することができる。よって、本実施形態による端末登録方法は、端末装置20aを登録する際の脆弱性をさらに低減することができる。
As described above, in the terminal registration method according to the present embodiment, the above-mentioned predetermined encryption key is the public key PK1 acquired by the
As a result, in the terminal registration method according to the present embodiment, the information encrypted using the public key PK1 of the
[第3の実施形態]
次に、図面を参照して、第3の実施形態による認証システム1bについて説明する。
図7は、本実施形態による認証システム1bの一例を示すブロック図である。
図7に示すように、認証システム1b(端末登録システムの一例)は、端末装置10bと、端末装置20bと、サーバ装置30bとを備えている。端末装置10bと、端末装置20bと、サーバ装置30bとは、ネットワークNW1を介して接続されている。なお、図7において、図1及び図5と同一の構成には同一の符号を付与して、その説明を省略する。
[Third Embodiment]
Next, an authentication system 1b according to the third embodiment will be described with reference to the drawings.
FIG. 7 is a block diagram showing an example of the authentication system 1b according to this embodiment.
As shown in FIG. 7, the authentication system 1b (an example of a terminal registration system) includes a
本実施形態では、端末装置10b及び端末装置20bの正当性の検証に、利用者に対応する固有情報から生成した秘密情報(第1秘密情報〜第3秘密情報)を利用した検証を追加している点が、第2の実施形態と異なる。
In the present embodiment, verification using the secret information (first secret information to third secret information) generated from the unique information corresponding to the user is added to the verification of the legitimacy of the
端末装置20b(第2端末装置の一例)は、サーバ装置30bに未登録の端末装置であり、基本的には、第2の実施形態の端末装置20aと同様である。端末装置20bは、NW通信部21と、NFC通信部22と、入力部23と、表示部24と、セキュア処理部25と、端末制御部26bとを備えている。また、端末制御部26bは、端末認証要求部261と、登録処理部262bとを備えている。
The
登録処理部262bは、第2の実施形態の登録処理部262aと同様に、端末装置20aの端末登録処理に関する各種処理を実行する。登録処理部262bは、サーバ装置30bから取得した第2秘密情報を登録情報に付加してサーバ装置30bに送信する点が第2の実施形態と異なる。登録処理部262bは、例えば、登録情報に第2秘密情報を付加し、暗号化して、NW通信部21を介して、サーバ装置30bに送信する。
The registration processing unit 262b executes various processes related to the terminal registration process of the
端末装置10b(第1端末装置の一例)は、サーバ装置30bに登録済の端末装置であり、基本的には、第2の実施形態の端末装置10aと同様である。端末装置10bは、NW通信部11と、NFC通信部12と、入力部13と、表示部14と、セキュア処理部15と、端末制御部16bとを備えている。また、端末制御部16bは、端末認証要求部161と、登録処理部162bとを備えている。
The
登録処理部162bは、第2の実施形態の登録処理部162aと同様に、端末装置20bの端末登録処理に関する各種処理を実行する。登録処理部162bは、復号処理された登録情報に、サーバ装置30bから取得した第1秘密情報を含む認証情報をサーバ装置30bに送信する点が第2の実施形態と異なる。登録処理部162bは、復号(復号処理)された登録情報及び第1秘密情報から秘密鍵SK1に基づく署名情報を、セキュア処理部15に生成させる。登録処理部162bは、セキュア処理部15から取得した署名情報と、復号(復号処理)された登録情報と、第1秘密情報とを含む認証情報を生成し、生成した認証情報を、NW通信部11を介して、サーバ装置30bに送信する。
The
サーバ装置30bは、NW通信部31と、サーバ記憶部32aと、サーバ制御部33aとを備えている。また、サーバ制御部33bは、例えば、認証情報検証部331と、追加端末登録部332bと、秘密情報処理部333とを備えている。また、サーバ記憶部32aは、登録情報記憶部321と、秘密情報記憶部322とを備えている。
本実施形態では、サーバ装置30bは、秘密情報処理部333と、秘密情報記憶部322とを備え、追加端末登録部332bの処理に秘密情報に関する処理が追加されている点が、第2の実施形態と異なる。
The
In the second embodiment, the
秘密情報処理部333は、利用者に対応する固有情報から秘密情報を生成する生成処理、及び秘密情報から固有情報を復元する復元処理を実行する。ここで、固有情報は、例えば、利用者IDなどの利用者情報に登録時刻、登録日付などの情報を付加した情報でもよいし、乱数などであってもよい。秘密情報処理部333は、例えば、図8に示すように、秘密情報の生成処理及び固有情報の復元処理を実行する。
The secret
図8は、本実施形態による秘密情報処理部333の処理の一例を説明する図である。
図8(a)は、秘密情報処理部333の秘密情報の生成処理の一例を示している。秘密情報処理部333は、固有情報を復元可能な処理により、第1秘密情報と、第2秘密情報と、第3秘密情報とを生成する。秘密情報処理部333は、例えば、固有情報を単純に3つに分割する処理により、第1秘密情報と、第2秘密情報と、第3秘密情報とを生成してもよいし、暗号処理などの所定の変換を行った上で、3つに分割することで第1秘密情報と、第2秘密情報と、第3秘密情報とを生成してもよい。
FIG. 8 is a diagram illustrating an example of processing of the secret
FIG. 8A shows an example of secret information generation processing of the secret
また、図8(b)は、秘密情報処理部333の固有情報の復元処理の一例を示している。秘密情報処理部333は、秘密情報の生成処理の逆変換を行うことで、固有情報を復元する。秘密情報処理部333は、例えば、第1秘密情報と、第2秘密情報と、第3秘密情報とが、固有情報を3つに分割したものである場合には、第1秘密情報と、第2秘密情報と、第3秘密情報とを結合して固有情報を復元する。
Further, FIG. 8B shows an example of the unique information restoration processing of the secret
秘密情報記憶部322は、図9に示すように、固有情報と、秘密情報処理部333が生成した第1秘密情報と、第2秘密情報と、第3秘密情報とを対応付けて記憶する。
図9は、本実施形態による秘密情報記憶部322のデータ例を示す図である。
図9に示すように、秘密情報記憶部322は、例えば、「利用者ID」と、「固有情報」と、「第1秘密情報」と、「第2秘密情報」と、「第3秘密情報」とを対応付けて記憶する。
図9に示す例では、「利用者ID」が“XXX_YYYY”に対応する「固有情報」が“123456789ABC”であり、「第1秘密情報」が“147A”であまた、「第2秘密情報」が“258B”であり、「第3秘密情報」が“369C”であることを示している。なお、秘密情報記憶部322は、端末登録処理中の固有情報と、第1秘密情報と、第2秘密情報と、第3秘密情報とを記憶し、端末登録処理が完了した場合に、これらの情報が削除されるようにしてもよい。
As shown in FIG. 9, the secret information storage unit 322 stores the unique information, the first secret information generated by the secret
FIG. 9 is a diagram showing an example of data in the secret information storage unit 322 according to this embodiment.
As shown in FIG. 9, the secret information storage unit 322 stores, for example, a “user ID”, “unique information”, “first secret information”, “second secret information”, and “third secret information”. Are stored in association with each other.
In the example shown in FIG. 9, the “unique information” corresponding to the “user ID” of “XXX_YYYY” is “123456789ABC”, the “first secret information” is “147A”, and the “second secret information” is The value is “258B” and the “third secret information” is “369C”. The secret information storage unit 322 stores the unique information during the terminal registration process, the first secret information, the second secret information, and the third secret information, and these are stored when the terminal registration process is completed. The information may be deleted.
追加端末登録部332b(登録部の一例)は、基本的には、第2の実施形態の追加端末登録部332aと同様であるが、固有情報及び秘密情報に関する処理が追加されている点が、第2の実施形態と異なる。追加端末登録部332bは、利用者に対応する固有情報を生成し、秘密情報処理部333に、当該固有情報に基づいて、第1秘密情報と、第2秘密情報と、第3秘密情報とを生成させる。追加端末登録部332bは、秘密情報処理部333が生成した第1秘密情報と、第2秘密情報と、第3秘密情報とを取得し、図9に示すように、固有情報と、生成した第1秘密情報と、第2秘密情報と、第3秘密情報とを対応付けて秘密情報記憶部322に記憶させる。
また、追加端末登録部332bは、生成した第1秘密情報を、NW通信部31を介して、端末装置10bに送信する。また、追加端末登録部332bは、生成した第1秘密情報及び端末装置10aの公開鍵PK1を含む追加登録処理依頼を、端末装置20bに送信する。
The additional
In addition, the additional
また、追加端末登録部332bは、端末装置20bから受信した登録情報と、端末装置20bから受信した認証情報(第2認証情報)に含まれる登録情報とが一致する場合、且つ、認証情報に含まれる第1秘密情報と、端末装置20bから登録情報に付加されて送信された第2秘密情報と、第3秘密情報とに基づいて復元した情報が、秘密情報生成ステップにおいて生成された固有情報と一致する場合に、登録情報に含まれる公開鍵PK2を登録する。
In addition, the additional
すなわち、追加端末登録部332bは、端末装置10bから受信した第1秘密情報と、端末装置20bから受信した第2秘密情報と、秘密情報記憶部322が記憶する第3秘密情報とから、固有情報を復元する復元処理を秘密情報処理部333に実行させる。追加端末登録部332bは、復元された固有情報を秘密情報処理部333から取得し、復元された固有情報と、秘密情報記憶部322が記憶する固有情報とが一致するか否かを判定する。追加端末登録部332bは、固有情報が一致する場合、且つ、端末装置20bから受信した登録情報と、端末装置20bから受信した認証情報(第2認証情報)に含まれる登録情報とが一致する場合に、登録情報を登録情報記憶部321に記憶させる。
That is, the additional
次に、図10を参照して、本実施形態による認証システム1bの動作について説明する。
図10は、本実施形態による認証システム1bの端末登録処理の一例を示す図である。
図10に示す例では、端末装置10bが予めサーバ装置30bに登録されており、未登録の端末装置20bを新たにサーバ装置30bに登録させる場合の処理である。
Next, the operation of the authentication system 1b according to the present embodiment will be described with reference to FIG.
FIG. 10 is a diagram showing an example of a terminal registration process of the authentication system 1b according to this embodiment.
In the example shown in FIG. 10, the
図10において、ステップS301からステップS306の処理は、図6に示すステップS201からステップS206の処理と同様であるため、ここではその説明を省略する。
ステップS307において、サーバ装置30bは、固有情報を生成する。すなわち、サーバ装置30bの追加端末登録部332bは、利用者に対応する固有情報を、例えば、利用者IDなどの利用者情報に登録時刻、登録日付などの情報を付加する、又は、乱数などにより生成する。
In FIG. 10, the processing from step S301 to step S306 is the same as the processing from step S201 to step S206 shown in FIG. 6, and therefore the description thereof is omitted here.
In step S307, the
次に、サーバ装置30bは、第1秘密情報と、第2秘密情報と、第3秘密情報とを生成する(ステップS308)。すなわち、追加端末登録部332bは、生成した固有情報に基づいて、第1秘密情報と、第2秘密情報と、第3秘密情報とを秘密情報処理部333に生成させる。追加端末登録部332bは、固有情報と、第1秘密情報と、第2秘密情報と、第3秘密情報とを対応付けて、秘密情報記憶部322に記憶させる。
Next, the
次に、サーバ装置30bは、第1秘密情報を端末装置10bに送信する(ステップS309)。すなわち、追加端末登録部332bは、秘密情報処理部333に生成させた第1秘密情報を、NW通信部31を介して、端末装置10bに送信する。
Next, the
次に、サーバ装置30bは、公開鍵PK1と、第2秘密情報とを含む追加登録処理依頼を、端末装置20bに送信する(ステップS310)。すなわち、追加端末登録部332bは、秘密情報処理部333に生成させた第2秘密情報と、端末装置10bの公開鍵PK1とを含む追加登録処理依頼を生成し、当該追加登録処理依頼を、NW通信部31を介して、端末装置20bに送信する。なお、サーバ装置30bは、追加登録処理依頼を、例えば、SMS(Short Message Service)やPush技術を用いて端末装置20bに送信してもよい。
Next, the
続くステップS311からステップS313の処理は、図6に示すステップS208からステップS210の処理と同様であるため、ここではその説明を省略する。
ステップS314において、端末装置20bは、登録情報及び第2秘密情報をサーバ装置30bに送信する。すなわち、登録処理部262bは、公開鍵PK2を含む登録情報に第2秘密情報を付加して、NW通信部21を介して、サーバ装置30bに送信する。
The subsequent processing from step S311 to step S313 is the same as the processing from step S208 to step S210 shown in FIG. 6, so description thereof will be omitted here.
In step S314, the
続くステップS315からステップS317の処理は、図6に示すステップS212からステップS214の処理と同様であるため、ここではその説明を省略する。
ステップS318において、端末装置10bは、登録情報及び第1秘密情報から秘密鍵SK1により署名情報を生成する。すなわち、登録処理部162bは、復号(復号処理)された登録情報及び第1秘密情報から秘密鍵SK1に基づく署名情報を、セキュア処理部15に生成させる。セキュア処理部15は、例えば、所定のハッシュ関数により、登録情報及び第1秘密情報からハッシュ情報を生成し、セキュア記憶部151が記憶する秘密鍵SK1を用いて、登録情報及び第1秘密情報の署名情報を生成する。
Since the processes of subsequent steps S315 to S317 are similar to the processes of steps S212 to S214 shown in FIG. 6, the description thereof is omitted here.
In step S318, the
次に、端末装置10bは、認証情報をサーバ装置30bに送信する(ステップS319)。すなわち、登録処理部162bは、セキュア処理部15から署名情報を取得し、取得した署名情報と登録情報と、第1秘密情報とを含む認証情報(第2認証情報)を生成する。そして、登録処理部162bは、生成した認証情報を、NW通信部11を介して、サーバ装置30bに送信する。
Next, the
次に、サーバ装置30bは、受信した第1秘密情報及び第2秘密情報と、第3秘密情報とから固有情報を復元する(ステップS320)。すなわち、追加端末登録部332bは、端末装置10bから受信した第1秘密情報と、端末装置20bから受信した第2秘密情報と、秘密情報記憶部322が記憶する第3秘密情報とから、固有情報を復元する復元処理を秘密情報処理部333に実行させる。
Next, the
次に、サーバ装置30bは、固有情報が一致するか否かを判定する(ステップS321)。すなわち、追加端末登録部332bは、復元された固有情報と、秘密情報記憶部322が記憶する固有情報とが一致するか否かを判定する。追加端末登録部332bは、固有情報が一致する場合(ステップS321:YES)に、処理をステップS322に進める。また、追加端末登録部332bは、固有情報が一致しない場合(ステップS321:NO)に、端末装置20bを登録せずに、端末登録処理を終了する。
続く、ステップS322からステップS324の処理は、図6に示すステップS217からステップS219の処理と同様であるため、ここではその説明を省略する。
Next, the
Subsequent processing of steps S322 to S324 is similar to the processing of steps S217 to S219 shown in FIG. 6, and therefore description thereof will be omitted here.
なお、図10に示す例において、ステップS301からステップS303の処理が、端末認証要求ステップの処理に対応し、ステップS304及びステップS305の処理が、端末認証ステップの処理に対応する。また、ステップS307及びステップS308の処理が、秘密情報生成ステップの処理に対応し、ステップS311からステップS314の処理が、登録要求ステップの処理に対応し、ステップS315及びステップS316の処理が、第1送信ステップの処理に対応する。また、ステップS317からステップS319の処理が、第2送信ステップの処理に対応し、ステップS320からステップS324の処理が、登録ステップの処理に対応する。 In the example shown in FIG. 10, the processing of steps S301 to S303 corresponds to the processing of the terminal authentication request step, and the processing of steps S304 and S305 corresponds to the processing of the terminal authentication step. Further, the processing of steps S307 and S308 corresponds to the processing of the secret information generation step, the processing of steps S311 to S314 corresponds to the processing of the registration request step, and the processing of steps S315 and S316 corresponds to the first processing. Corresponds to the processing of the transmission step. Further, the processing of steps S317 to S319 corresponds to the processing of the second transmission step, and the processing of steps S320 to S324 corresponds to the processing of the registration step.
以上説明したように、本実施形態による端末登録方法は、サーバ装置30bが、利用者に対応する固有情報に基づいて、第1秘密情報と、第2秘密情報と、第3秘密情報とを生成する秘密情報生成ステップを含んでいる。登録要求ステップにおいて、端末装置20bが、サーバ装置30bから取得した第2秘密情報を登録情報に付加してサーバ装置30bに送信する。第2送信ステップにおいて、端末装置10bが、復号処理された登録情報に、サーバ装置30bから取得した第1秘密情報を含む第2認証情報をサーバ装置30bに送信する。そして、登録ステップにおいて、サーバ装置30bが、端末装置20bから受信した登録情報と、端末装置20bから受信した第2認証情報に含まれる登録情報とが一致する場合、且つ、第2認証情報に含まれる第1秘密情報と、端末装置20bから登録情報に付加されて送信された第2秘密情報と、第3秘密情報とに基づいて復元した情報が、秘密情報生成ステップにおいて生成された固有情報と一致する場合に、登録情報に含まれる公開鍵PK2を登録する。
As described above, in the terminal registration method according to the present embodiment, the
これにより、本実施形態による端末登録方法では、第1秘密情報と、第2秘密情報と、第3秘密情報とを利用することで、サーバ装置30bと、端末装置10bと、端末装置20bとのそれぞれの正当性を確保することが可能になる。よって、本実施形態による端末登録方法は、端末装置20bを登録する際の脆弱性をさらに低減することができ、さらに安全性を向上させることができる。
As a result, in the terminal registration method according to the present embodiment, the
なお、本発明は、上記の各実施形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲で変更可能である。
例えば、上記の各実施形態において、端末装置10(10a、10b)と、端末装置20(20a、20b)との間の通信を、NFCを用いて行う例を説明したがこれに限定されるものではない。例えば、端末装置10(10a、10b)と、端末装置20(20a、20b)との間の通信を、QRコード(登録商標)やバーコードなどの二次元コードを用いて行ってもよい。例えば、端末装置10が、端末装置20に追加登録処理依頼を送付する際に、表示部14に追加登録処理依頼を示す二次元コードを表示させて、端末装置20が撮像部(不図示)を用いて二次元コードを読み取って通信してもよい。また、端末装置20(20a、20b)が、端末装置10(10a、10b)に登録情報を送付する際に、表示部24に登録情報を示す二次元コードを表示させて、端末装置10(10a、10b)が撮像部(不図示)を用いて二次元コードを読み取って通信してもよい。また、二次元コードは、表示部14(24)の代わりに、プリンタなどに印刷して送信してもよい。
It should be noted that the present invention is not limited to each of the above-described embodiments, and can be modified within a range not departing from the spirit of the present invention.
For example, in each of the above embodiments, an example in which communication between the terminal device 10 (10a, 10b) and the terminal device 20 (20a, 20b) is performed using NFC has been described, but the present invention is not limited to this. is not. For example, the communication between the terminal device 10 (10a, 10b) and the terminal device 20 (20a, 20b) may be performed using a two-dimensional code such as a QR code (registered trademark) or a bar code. For example, when the
また、上記の各実施形態において、第2認証情報は、署名情報を含む例を説明したが、これに限定されるものではなく、端末装置10(10a、10b)は、例えば、登録情報(又は登録情報及び第1秘密情報)を、秘密鍵SK1により暗号化して、第2認証情報を生成するようにしてもよい。
また、上記の各実施形態において、サーバ装置30(30a、30b)は、1台の装置である例を説明したが、複数の装置(複数のサーバ装置)により構成されるようにしてもよい。
Further, in each of the above embodiments, the example in which the second authentication information includes the signature information has been described, but the second authentication information is not limited to this, and the terminal device 10 (10a, 10b) may, for example, register information (or The registration information and the first secret information) may be encrypted with the secret key SK1 to generate the second authentication information.
Further, in each of the above embodiments, the example in which the server device 30 (30a, 30b) is one device has been described, but it may be configured by a plurality of devices (a plurality of server devices).
また、上記の各実施形態において、端末装置10(10a、10b)の利用者と、端末装置20(20a、20b)の利用者は、同一でなくてもよい。端末装置10(10a、10b)の利用者は、例えば、システムの管理者などであり、端末装置10(10a、10b)は、サーバ装置30(30a、30b)に登録済の端末装置であれば、システム管理用の端末装置であってもよい。 Further, in each of the above-described embodiments, the user of the terminal device 10 (10a, 10b) and the user of the terminal device 20 (20a, 20b) do not have to be the same. The user of the terminal device 10 (10a, 10b) is, for example, a system administrator or the like, and the terminal device 10 (10a, 10b) is a terminal device registered in the server device 30 (30a, 30b). It may be a terminal device for system management.
また、上記の第3の実施形態において、秘密情報に関する処理を第2の実施形態に追加した例を説明したが、第1の実施形態に対して同様に、秘密情報に関する処理するようにしてもよい。
また、上記の第3の実施形態において、サーバ装置30bは、第1秘密情報と、第2秘密情報と、第3秘密情報とを復元した固有情報が一致する場合に、登録情報を登録する例を説明したが、第1秘密情報及び第2秘密情報をそれぞれ比較し、一致する場合に、登録情報を登録するようにしてもよい。
Further, in the above-described third embodiment, an example in which the process related to secret information is added to the second embodiment has been described, but similarly to the first embodiment, the process related to secret information may be performed. Good.
Further, in the third embodiment described above, the
なお、上述した認証システム1(1a、1b)が備える各構成は、内部に、コンピュータシステムを有している。そして、上述した認証システム1(1a、1b)が備える各構成の機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することにより上述した認証システム1(1a、1b)が備える各構成における処理を行ってもよい。ここで、「記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行する」とは、コンピュータシステムにプログラムをインストールすることを含む。ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものとする。
また、「コンピュータシステム」は、インターネットやWAN、LAN、専用回線等の通信回線を含むネットワークを介して接続された複数のコンピュータ装置を含んでもよい。また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、CD−ROM等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。このように、プログラムを記憶した記録媒体は、CD−ROM等の非一過性の記録媒体であってもよい。
Each configuration included in the above-described authentication system 1 (1a, 1b) has a computer system inside. Then, a program for realizing the function of each configuration included in the above-described authentication system 1 (1a, 1b) is recorded in a computer-readable recording medium, and the program recorded in this recording medium is read by the computer system. Alternatively, the processing in each configuration included in the authentication system 1 (1a, 1b) described above may be performed. Here, “reading and executing a program recorded in a recording medium on a computer system” includes installing the program in the computer system. The “computer system” mentioned here includes an OS and hardware such as peripheral devices.
Further, the “computer system” may include a plurality of computer devices connected via a network including a communication line such as the Internet, WAN, LAN, and a dedicated line. Further, the “computer-readable recording medium” refers to a portable medium such as a flexible disk, a magneto-optical disk, a ROM, a CD-ROM, or a storage device such as a hard disk built in a computer system. As described above, the recording medium storing the program may be a non-transitory recording medium such as a CD-ROM.
また、記録媒体には、当該プログラムを配信するために配信サーバからアクセス可能な内部又は外部に設けられた記録媒体も含まれる。なお、プログラムを複数に分割し、それぞれ異なるタイミングでダウンロードした後に認証システム1(1a、1b)が備える各構成で合体される構成や、分割されたプログラムのそれぞれを配信する配信サーバが異なっていてもよい。さらに「コンピュータ読み取り可能な記録媒体」とは、ネットワークを介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(RAM)のように、一定時間プログラムを保持しているものも含むものとする。また、上記プログラムは、上述した機能の一部を実現するためのものであってもよい。さらに、上述した機能をコンピュータシステムに既に記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。 The recording medium also includes a recording medium provided inside or outside accessible from the distribution server to distribute the program. It should be noted that the programs are divided into a plurality of programs, the programs are downloaded at different timings, and then combined in each configuration of the authentication system 1 (1a, 1b), and the distribution server that distributes each of the divided programs is different. Good. Further, the "computer-readable recording medium" holds a program for a certain period of time, such as a volatile memory (RAM) inside a computer system that serves as a server or a client when the program is transmitted via a network. It also includes things. Further, the program may be for realizing a part of the functions described above. Further, it may be a so-called difference file (difference program) that can realize the above-mentioned functions in combination with a program already recorded in the computer system.
また、上述した機能の一部又は全部を、LSI(Large Scale Integration)等の集積回路として実現してもよい。上述した各機能は個別にプロセッサ化してもよいし、一部、又は全部を集積してプロセッサ化してもよい。また、集積回路化の手法はLSIに限らず専用回路、又は汎用プロセッサで実現してもよい。また、半導体技術の進歩によりLSIに代替する集積回路化の技術が出現した場合、当該技術による集積回路を用いてもよい。 Further, some or all of the above-described functions may be realized as an integrated circuit such as an LSI (Large Scale Integration). Each of the functions described above may be individually implemented as a processor, or part or all of the functions may be integrated and implemented as a processor. Further, the method of circuit integration is not limited to LSI, and may be realized by a dedicated circuit or a general-purpose processor. In addition, when a technology for forming an integrated circuit that replaces the LSI appears due to the progress of semiconductor technology, an integrated circuit according to the technology may be used.
1、1a、1b 認証システム
10、10a、10b、20、20a、20b 端末装置
11、21、31 NW通信部
12、22 NFC通信部
13、23 入力部
14、24 表示部
15、25 セキュア処理部
16、16a、16b、26、26a、26b 端末制御部
32、32a サーバ記憶部
33、33a、33b サーバ制御部
151、251 セキュア記憶部
161、261 端末認証要求部
162、162a、162b、262、262a、262b 登録処理部
321 登録情報記憶部
322 秘密情報記憶部
331 認証情報検証部
332、332a、332b 追加端末登録部
333 秘密情報処理部
NW1 ネットワーク
1, 1a,
Claims (8)
前記サーバ装置が、前記第1公開鍵と、前記第1認証情報とに基づいて、前記第1端末装置の正当性を検証する端末認証ステップと、
前記サーバ装置に未登録の第2端末装置が、第2秘密鍵及び当該第2秘密鍵に対応する第2公開鍵を生成し、生成した前記第2公開鍵を少なくとも含む登録情報を前記サーバ装置に送信する登録要求ステップと、
前記第2端末装置が、所定の暗号鍵に基づいて、前記登録情報を暗号処理し、当該暗号処理された前記登録情報を前記第1端末装置に送信する第1送信ステップと、
前記第1端末装置が、前記暗号処理された前記登録情報を、前記所定の暗号鍵に対応する所定の復号鍵に基づいて復号処理し、当該復号処理された前記登録情報を含む第2認証情報を生成し、生成した前記第2認証情報を前記サーバ装置に送信する第2送信ステップと、
前記サーバ装置が、前記第2端末装置から受信した前記登録情報と、前記第1端末装置から受信した前記第2認証情報に含まれる前記登録情報とが一致する場合に、前記登録情報に含まれる前記第2公開鍵を登録する登録ステップと
を含むことを特徴とする端末登録方法。 A terminal in which a first terminal device registered in the server device generates first authentication information based on a first secret key and transmits the first authentication information to the server device in which a first public key corresponding to the first secret key is registered. Authentication request step,
A terminal authentication step in which the server device verifies the validity of the first terminal device based on the first public key and the first authentication information;
A second terminal device, which is not registered in the server device, generates a second secret key and a second public key corresponding to the second secret key, and registration information including at least the generated second public key is registered in the server device. A registration request step to send to
A first transmitting step in which the second terminal device cryptographically processes the registration information based on a predetermined cryptographic key and transmits the cryptographically processed registration information to the first terminal device;
The first terminal device decrypts the encrypted registration information based on a predetermined decryption key corresponding to the predetermined encryption key, and second authentication information including the decrypted registration information. And a second transmitting step of transmitting the generated second authentication information to the server device,
Included in the registration information when the server device matches the registration information received from the second terminal device with the registration information included in the second authentication information received from the first terminal device. A registration step of registering the second public key, and the terminal registration method.
前記所定の復号鍵は、前記所定の暗号鍵と等しい情報であり、前記利用者から前記第2端末装置が取得した個人識別情報を含む復号鍵である
ことを特徴とする請求項1に記載の端末登録方法。 The predetermined encryption key is information including personal identification information acquired by the first terminal device from a user of the first terminal device,
The predetermined decryption key is information equivalent to the predetermined encryption key, and is a decryption key including personal identification information acquired by the second terminal device from the user. Terminal registration method.
前記所定の復号鍵は、前記第1秘密鍵である
ことを特徴とする請求項1に記載の端末登録方法。 The predetermined encryption key is the first public key acquired by the first terminal device from the server device,
The terminal registration method according to claim 1, wherein the predetermined decryption key is the first secret key.
前記登録ステップにおいて、前記サーバ装置が、前記第1端末装置から受信した前記第2認証情報に含まれる署名情報の正当性を、前記第1公開鍵に基づいて検証し、前記署名情報が正当であり、且つ、前記第2端末装置から受信した前記登録情報と、前記第2認証情報に含まれる前記登録情報とが一致する場合に、前記登録情報に含まれる前記第2公開鍵を登録する
ことを特徴とする請求項1から3のいずれか一項に記載の端末登録方法。 In the second transmitting step, the first terminal device generates signature information based on the first secret key from the decrypted registration information, and the second including the generated signature information and the registration information. Generate credentials,
In the registration step, the server device verifies the validity of the signature information included in the second authentication information received from the first terminal device based on the first public key, and the signature information is valid. If the registration information received from the second terminal device matches the registration information included in the second authentication information, the second public key included in the registration information is registered. The terminal registration method according to any one of claims 1 to 3, wherein:
前記登録要求ステップにおいて、前記第2端末装置が、前記サーバ装置から取得した前記第2秘密情報を前記登録情報に付加して前記サーバ装置に送信し、
前記第2送信ステップにおいて、前記第1端末装置が、前記復号処理された前記登録情報に、前記サーバ装置から取得した前記第1秘密情報を含む前記第2認証情報を前記サーバ装置に送信し、
前記登録ステップにおいて、前記サーバ装置が、前記第2端末装置から受信した前記登録情報と、前記第2端末装置から受信した前記第2認証情報に含まれる前記登録情報とが一致する場合、且つ、前記第2認証情報に含まれる前記第1秘密情報と、前記第2端末装置から前記登録情報に付加されて送信された前記第2秘密情報と、前記第3秘密情報とに基づいて復元した情報が、前記秘密情報生成ステップにおいて生成された前記固有情報と一致する場合に、前記登録情報に含まれる前記第2公開鍵を登録する
ことを特徴とする請求項1から4のいずれか一項に記載の端末登録方法。 The server device includes a secret information generation step of generating first secret information, second secret information, and third secret information based on unique information corresponding to the user,
In the registration request step, the second terminal device adds the second secret information acquired from the server device to the registration information and transmits the registration information to the server device,
In the second transmitting step, the first terminal device transmits the second authentication information including the first secret information acquired from the server device to the decrypted registration information, to the server device,
In the registration step, when the server device matches the registration information received from the second terminal device with the registration information included in the second authentication information received from the second terminal device, and Information restored based on the first secret information included in the second authentication information, the second secret information added and transmitted from the second terminal device to the registration information, and the third secret information Register the second public key included in the registration information when the same matches the unique information generated in the secret information generating step. The terminal registration method described.
前記登録ステップにおいて、前記サーバ装置が、前記第2端末装置から受信した暗号処理された前記登録情報を復号処理した前記登録情報と、前記第1端末装置から受信した前記第2認証情報に含まれる前記登録情報とが一致する場合に、前記登録情報に含まれる前記第2公開鍵を登録する
ことを特徴とする請求項1から5のいずれか一項に記載の端末登録方法。 In the registration request step, the second terminal device encrypts the registration information and transmits it to the server device,
In the registration step, the server device includes the registration information obtained by decrypting the encrypted registration information received from the second terminal device and the second authentication information received from the first terminal device. The terminal registration method according to any one of claims 1 to 5, wherein the second public key included in the registration information is registered when the registration information matches.
ことを特徴とする請求項1から6のいずれか一項に記載の端末登録方法。 In the terminal authentication request step, the first terminal device performs an encryption process on the authentication result of authenticating the user of the first terminal device based on the first secret key to generate the first authentication information. The terminal registration method according to any one of claims 1 to 6, characterized in that:
前記第2端末装置は、
第2秘密鍵及び当該第2秘密鍵に対応する第2公開鍵を生成し、生成した前記第2公開鍵を少なくとも含む登録情報を前記サーバ装置に送信する登録要求部と、
所定の暗号鍵に基づいて、前記登録情報を暗号処理し、当該暗号処理された前記登録情報を前記第1端末装置に送信する第1送信部と
を備え、
前記第1端末装置は、
第1秘密鍵に基づく第1認証情報を生成し、前記第1秘密鍵に対応する第1公開鍵が登録されている前記サーバ装置に送信する端末認証要求部と、
前記暗号処理された前記登録情報を、前記所定の暗号鍵に対応する所定の復号鍵に基づいて復号処理し、当該復号処理された前記登録情報を含む第2認証情報を生成し、生成した前記第2認証情報を前記サーバ装置に送信する第2送信部と
を備え、
前記サーバ装置は、
前記第1公開鍵と、前記第1認証情報とに基づいて、前記第1端末装置の正当性を検証する端末認証部と、
前記第2端末装置から受信した前記登録情報と、前記第1端末装置から受信した前記第2認証情報に含まれる前記登録情報とが一致する場合に、前記登録情報に含まれる前記第2公開鍵を登録する登録部と
を備えることを特徴とする端末登録システム。 A server device; a first terminal device registered in the server device; and a second terminal device not registered in the server device,
The second terminal device,
A registration request unit that generates a second secret key and a second public key corresponding to the second secret key, and transmits registration information including at least the generated second public key to the server device;
A first transmitting unit that performs a cryptographic process on the registration information based on a predetermined cryptographic key and transmits the cryptographically processed registration information to the first terminal device;
The first terminal device,
A terminal authentication requesting unit for generating first authentication information based on the first secret key and transmitting the first authentication information to the server device in which the first public key corresponding to the first secret key is registered;
The decrypted registration information is decrypted based on a predetermined decryption key corresponding to the predetermined encryption key, second authentication information including the decrypted registration information is generated, and the generated second authentication information is generated. A second transmission unit for transmitting second authentication information to the server device,
The server device is
A terminal authentication unit that verifies the legitimacy of the first terminal device based on the first public key and the first authentication information;
When the registration information received from the second terminal device and the registration information included in the second authentication information received from the first terminal device match, the second public key included in the registration information A terminal registration system, comprising: a registration unit for registering.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016128847A JP6701011B2 (en) | 2016-06-29 | 2016-06-29 | Terminal registration method and terminal registration system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016128847A JP6701011B2 (en) | 2016-06-29 | 2016-06-29 | Terminal registration method and terminal registration system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2018006896A JP2018006896A (en) | 2018-01-11 |
JP6701011B2 true JP6701011B2 (en) | 2020-05-27 |
Family
ID=60946459
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016128847A Active JP6701011B2 (en) | 2016-06-29 | 2016-06-29 | Terminal registration method and terminal registration system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6701011B2 (en) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2019125538A (en) | 2018-01-19 | 2019-07-25 | 株式会社日立製作所 | Negative electrode, half secondary cell, and secondary cell |
JP7344071B2 (en) * | 2019-10-02 | 2023-09-13 | 株式会社日立製作所 | Authentication system and authentication method |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002297548A (en) * | 2001-03-30 | 2002-10-11 | Matsushita Electric Ind Co Ltd | Terminal registration system, and device and method for constituting the same |
FI122847B (en) * | 2006-10-23 | 2012-07-31 | Valimo Wireless Oy | Procedure and system for secure registration of a Public Key Infrastructure (PKI) key in a mobile environment |
JP5373852B2 (en) * | 2011-05-25 | 2013-12-18 | ヤフー株式会社 | Authentication system and authentication method |
JP5881401B2 (en) * | 2011-12-14 | 2016-03-09 | セコム株式会社 | User registration system and registration server |
JP2014090372A (en) * | 2012-10-31 | 2014-05-15 | Sony Corp | Information processing device, information processing system, information processing method, and computer program |
JP6076890B2 (en) * | 2013-12-09 | 2017-02-08 | 日本電信電話株式会社 | Authentication method, authentication system, Web server, authentication program, and recording medium |
-
2016
- 2016-06-29 JP JP2016128847A patent/JP6701011B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2018006896A (en) | 2018-01-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
ES2687191T3 (en) | Network authentication method for secure electronic transactions | |
JP6514337B2 (en) | Method and apparatus for securing mobile applications | |
KR101863953B1 (en) | System and method for providing electronic signature service | |
JP6399382B2 (en) | Authentication system | |
CN112425114B (en) | Password manager protected by public key-private key pair | |
KR20180117715A (en) | Method and system for user authentication with improved security | |
EP3207514A1 (en) | Securing host card emulation credentials | |
US20170171183A1 (en) | Authentication of access request of a device and protecting confidential information | |
KR101897715B1 (en) | System for non-password secure biometric digital signagure | |
JP5380583B1 (en) | Device authentication method and system | |
CN110830471B (en) | OTP (one time password) verification method, server, client and computer-readable storage medium | |
CN111316596B (en) | Encryption chip with identity verification function | |
KR20160121231A (en) | Method, system and recording medium for user authentication using double encryption | |
US9674166B2 (en) | Method for securing a request for executing a first application, by a second application | |
WO2017050152A1 (en) | Password security system adopted by mobile apparatus and secure password entering method thereof | |
JP6701011B2 (en) | Terminal registration method and terminal registration system | |
JP7400444B2 (en) | Public key certificate generation method for IoT key management system, secure device, IoT device, device management device, and secure element | |
KR101451638B1 (en) | Identification and theft prevention system, and method thereof | |
KR101933090B1 (en) | System and method for providing electronic signature service | |
JP2005208841A (en) | Communication system, portable terminal and program | |
CN110968878A (en) | Information transmission method, system, electronic device and readable medium | |
KR20190048422A (en) | System and method for authentication | |
KR102445379B1 (en) | Operation method of server apparatus, operation method of terminal and server apparatus | |
KR20200137126A (en) | Apparatus and method for registering biometric information, apparatus and method for biometric authentication | |
JP2004320229A (en) | Mutual authentication method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190419 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200228 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200407 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200501 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6701011 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |