JP7259578B2 - Authentication system and authentication method - Google Patents
Authentication system and authentication method Download PDFInfo
- Publication number
- JP7259578B2 JP7259578B2 JP2019112691A JP2019112691A JP7259578B2 JP 7259578 B2 JP7259578 B2 JP 7259578B2 JP 2019112691 A JP2019112691 A JP 2019112691A JP 2019112691 A JP2019112691 A JP 2019112691A JP 7259578 B2 JP7259578 B2 JP 7259578B2
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- terminal device
- processing terminal
- data
- template
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Storage Device Security (AREA)
- Lock And Its Accessories (AREA)
Description
本発明は、認証システムおよび認証方法に関するものである。 The present invention relates to an authentication system and an authentication method.
現在、非接触式ICカードをかざすことで、開閉可能な電子錠が一般化している。例えば、非接触式ICカードに認証用の情報を記憶しておき、電子錠に設置しているリーダライタで、NFC(Near Field Communication)通信によって、非接触式ICカードに記憶している認証用の情報を読み出して認証識別し、電子錠の開閉を行う認証システムが使用されている。 Currently, electronic locks that can be opened and closed by holding a non-contact IC card over them are common. For example, information for authentication is stored in a contactless IC card, and a reader/writer installed in an electronic lock reads the authentication information stored in the contactless IC card through NFC (Near Field Communication) communication. An authentication system is used to read out the information of the user, authenticate and identify the user, and open and close the electronic lock.
従来の認証システムは、特許文献1の様に、情報媒体が、認証用秘密データを秘密分散法により分散データに分散して2回の通信に分けて認証処理端末装置に送信し、その分散データを受信した認証処理端末装置が、その分散データから認証用秘密データを復元することで情報媒体を認証する認証システムが提案されている。 In a conventional authentication system, as in Patent Document 1, an information medium distributes authentication secret data into distributed data by a secret sharing method, divides it into two communications, and transmits the distributed data to an authentication processing terminal device. An authentication system has been proposed in which an authentication processing terminal device that receives the information authenticates the information medium by restoring the authentication secret data from the distributed data.
しかしながら、このような従来の認証システムでは、分散データから復元した認証用秘密データが正しいデータであるかを確認するための認証用テンプレートとその認証用テンプレートを更新する技術が開示されていなかった。 However, such a conventional authentication system does not disclose an authentication template for confirming whether or not the authentication secret data restored from distributed data is correct data, and a technique for updating the authentication template.
そのため、本発明の課題は、分散データから復元した認証用秘密データが正しいデータであるかを確認するための認証用テンプレートの技術を提示し、また、悪意の第三者に通信を盗聴されて認証用のデータが盗取されても、その第三者が情報媒体に成りすまされない、認証処理のセキュリティが高い認証システムを提供することを課題とする。 Therefore, an object of the present invention is to present a technology of an authentication template for confirming whether or not secret data for authentication restored from distributed data is correct data, and to prevent communication from being wiretapped by a malicious third party. To provide an authentication system with high security of authentication processing that prevents a third party from impersonating an information medium even if data for authentication is stolen.
本発明は、上記の課題を解決するために、情報媒体と認証処理端末装置と認証設定装置から成る認証システムであって、
前記情報媒体が、認証用秘密データを生成する秘密データ生成手段と、前記認証用秘密データを複数の分散データに分散する分散手段と、認証用テンプレートを暗号化して暗号化認証用テンプレートを作成する認証用テンプレート暗号化手段を有し、
前記認証処理端末装置が、前記分散データを前記認証用秘密データに復元する復元手段と、
前記暗号化認証用テンプレートから認証用テンプレートを復号する暗号文復号手段と、前記復元手段により復元した前記認証用秘密データを前記認証用テンプレートを用いて照合する確認手段を有し、
前記情報媒体が、前記秘密データ生成手段を用いて通信毎に更新して異ならせた認証用秘密データと認証用テンプレートを作成し、前記複数の分散データを複数回の通信に分けて前記認証処理端末装置に送信し、かつ、暗号化認証用テンプレートを前記認証処理端末装置に送信し、
前記認証処理端末装置が、
前記復元手段を用いて前記複数の分散データから前記認証用秘密データを復元し、
前記暗号文復号手段を用いて前記暗号化認証用テンプレートを前記認証用テンプレートに復号し、
前記確認手段を用いて前記認証用テンプレートを使って前記認証用秘密データを照合して前記情報媒体を認証することを特徴とする認証システムである。
In order to solve the above problems, the present invention is an authentication system comprising an information medium, an authentication processing terminal device, and an authentication setting device,
The information medium comprises secret data generation means for generating secret data for authentication, distribution means for distributing the secret data for authentication into a plurality of distributed data, and encryption of an authentication template to create an encrypted authentication template. having authentication template encryption means;
restoration means for the authentication processing terminal device to restore the distributed data to the authentication secret data;
a ciphertext decrypting means for decrypting the authentication template from the encrypted authentication template; and a confirmation means for comparing the authentication secret data restored by the restoring means with the authentication template,
The information medium creates authentication secret data and an authentication template that are updated and changed for each communication by using the secret data generating means, divides the plurality of distributed data into a plurality of communications, and performs the authentication process. sending to a terminal device, and sending an encrypted authentication template to the authentication processing terminal device;
The authentication processing terminal device
using the restoring means to restore the authentication secret data from the plurality of distributed data;
decrypting the encrypted authentication template into the authentication template using the ciphertext decryption means;
The authentication system is characterized in that the information medium is authenticated by collating the authentication secret data using the authentication template using the authentication means.
本発明は、この構成により、悪意の第三者によって被認証側から認証側へ送られる認証用のデータが盗取されても、その第三者は、次回の認証時に相手方に成りすますために十分な情報が得られず、第三者による相手方への成り済ましを防止することができるセキュリティの高い認証システムが得られる効果がある。 With this configuration, even if a malicious third party steals the authentication data sent from the authenticated side to the authenticating side, the third party will impersonate the other party at the next authentication. There is an effect that a high-security authentication system can be obtained that can prevent a third party from pretending to be the other party because sufficient information cannot be obtained by the third party.
また、本発明は、上記の認証システムであって、前記認証処理端末装置と前記情報媒体が暗号鍵データを記憶し、前記情報媒体が、前記暗号鍵データを用いて前記認証処理端末装置を認証した場合に限り、前記分散データを前記認証処理端末装置に送信して前記認証処理端末装置に認証されることを特徴とする認証システムである。 Further, the present invention is the authentication system described above, wherein the authentication processing terminal device and the information medium store encryption key data, and the information medium authenticates the authentication processing terminal device using the encryption key data. The authentication system is characterized in that the distributed data is transmitted to the authentication processing terminal device to be authenticated by the authentication processing terminal device only when the authentication processing terminal device performs authentication.
また、本発明は、上記の認証システムであって、前記認証処理端末装置が、サービス番号で区別した複数の前記情報媒体を、前記情報媒体毎に異なる前記認証用秘密データを利用して認証することを特徴とする認証システムである。 Further, the present invention is the authentication system described above, wherein the authentication processing terminal device authenticates a plurality of the information media distinguished by service numbers by using the authentication secret data different for each information medium. This authentication system is characterized by:
また、本発明は、情報媒体と認証処理端末装置と認証設定装置から成る認証方法であって、
前記情報媒体が、秘密データ生成手段を用いて通信毎に更新して異ならせた認証用秘密データと認証用テンプレートを作成し、分散手段を用いて前記認証用秘密データを複数の分散データに分散し、認証用テンプレート暗号化手段を用いて、認証用テンプレートを暗号化して暗号化認証用テンプレートを作成し、
前記情報媒体が、前記複数の分散データを、複数回の通信に分けて前記認証処理端末装置に送信し、かつ、暗号化認証用テンプレートを前記認証処理端末装置に送信し、
前記認証処理端末装置が、
前記復元手段を用いて前記複数の分散データから前記認証用秘密データを復元し、
前記暗号文復号手段を用いて前記暗号化認証用テンプレートを前記認証用テンプレートに復号し、
前記確認手段を用いて前記認証用テンプレートを使って前記認証用秘密データを照合して前記情報媒体を認証することを特徴とする認証方法である。
Further, the present invention is an authentication method comprising an information medium, an authentication processing terminal device, and an authentication setting device,
The information medium creates authentication secret data and an authentication template that are updated and changed for each communication using secret data generation means, and distributes the authentication secret data to a plurality of distributed data using distribution means. and using the authentication template encryption means to encrypt the authentication template to create an encrypted authentication template,
the information medium divides the plurality of distributed data into multiple communications and transmits them to the authentication processing terminal device, and transmits an encrypted authentication template to the authentication processing terminal device;
The authentication processing terminal device
using the restoring means to restore the authentication secret data from the plurality of distributed data;
decrypting the encrypted authentication template into the authentication template using the ciphertext decryption means;
The authentication method is characterized in that the information medium is authenticated by collating the authentication secret data using the authentication template using the authentication means.
また、本発明は、上記の認証方法であって、前記認証処理端末装置と前記情報媒体が暗号鍵データを記憶し、前記情報媒体が、前記暗号鍵データを用いて前記認証処理端末装置を認証した場合に限り、前記分散データを前記認証処理端末装置に送信して前記認証処理端末装置に認証されることを特徴とする認証方法である。 Further, the present invention is the authentication method described above, wherein the authentication processing terminal device and the information medium store encryption key data, and the information medium authenticates the authentication processing terminal device using the encryption key data. The authentication method is characterized in that the distributed data is transmitted to the authentication processing terminal device to be authenticated by the authentication processing terminal device only when the authentication processing terminal device performs authentication.
また、本発明は、上記の認証方法であって、前記認証処理端末装置が、サービス番号で区別した複数の前記情報媒体を、前記情報媒体毎に異なる前記認証用秘密データを利用して認証することを特徴とする認証方法である。 Further, the present invention is the authentication method described above, wherein the authentication processing terminal device authenticates a plurality of the information media distinguished by service numbers by using the authentication secret data different for each information medium. This authentication method is characterized by:
本発明によれば、情報媒体が、通信毎に更新して異ならせた認証用秘密データと認証用テンプレートを作成し、認証処理端末装置が、暗号化認証用テンプレートを復号して認証用テンプレートを得る。また、認証処理端末装置は、複数回の通信に分けて送信される分散データが揃わなければ認証用秘密データが復元できない。そして、認証処理端末装置は、確認手段を用いて認証用テンプレートを使って認証用秘密データを照合して情報媒体を認証する。 According to the present invention, the information medium creates the authentication secret data and the authentication template that are updated and changed for each communication, and the authentication processing terminal device decrypts the encrypted authentication template to generate the authentication template. obtain. Further, the authentication processing terminal device cannot restore the secret data for authentication unless the distributed data transmitted in multiple communications are collected. Then, the authentication processing terminal device authenticates the information medium by verifying the authentication secret data using the authentication template using the confirmation means.
そのため、悪意の第三者によって被認証側から認証側へ送られる認証用のデータが盗取されても、その第三者は、次回の認証時に相手方に成りすますために十分な情報が得られず、第三者による相手方への成り済ましを防止することができるセキュリティの高い認証システムが得られる効果がある。 Therefore, even if a malicious third party steals authentication data sent from the authenticated side to the authenticating side, the third party can obtain sufficient information to impersonate the other party at the next authentication. It is possible to obtain an authentication system with high security that can prevent a third party from pretending to be the other party.
<第1の実施形態>
以下、本発明の第1の実施形態の認証システムを図面を参照して説明する。
<First embodiment>
An authentication system according to a first embodiment of the present invention will be described below with reference to the drawings.
(認証システムの構成)
本発明の認証システムは、図1のブロック図のように、パーソナルコンピュータなどの認証設定装置10と、電子鍵などの情報媒体20と、電子錠や電子ドア等の認証処理端末装置30とで構成する。情報媒体20と認証処理端末装置30は電気接続方式、又は非接触近距離無線通信方式でデータを通信させることができる。
(Authentication system configuration)
As shown in the block diagram of FIG. 1, the authentication system of the present invention comprises an
(認証設定装置10)
認証設定装置10は、秘密データ生成手段11と、分散手段12と、記憶手段13と、認証用テンプレート暗号化手段14を有している。認証設定装置10は、図2と図3の様に、秘密データ生成手段11が、1回目の認証に用いる認証用秘密データSとして認証用秘密データAを作成し、分散手段12が、認証用秘密データAから分散データa1と分散データa2を作成する。また、認証設定装置10は、認証用秘密データAを確認するための認証用テンプレートTaを作成し、認証用テンプレート暗号化手段14が、認証用テンプレートTaを、認証用秘密データAを鍵として暗号化して暗号化認証用テンプレートEncA(Ta)を作成する。
(Authentication setting device 10)
The
認証設定装置10は、図3の様に、暗号化認証用テンプレートEncA(Ta)と、分散データa1を認証処理端末装置30に記憶させ、分散データa2を情報媒体20に記憶させる。
The
(情報媒体20)
情報媒体20は、秘密データ生成手段21と、分散手段22と、記憶手段23と、認証用テンプレート暗号化手段24を有している。そして、図2と図4と図6の様に、秘密データ生成手段21が、通信毎に更新して異ならせた、認証用秘密データSと認証用テンプレートを作成する。分散手段22は、認証用秘密データSから2つの分散データy1とy2を作成する。認証用テンプレート暗号化手段24は、認証用テンプレートを、認証用秘密データを鍵として暗号化して、暗号化認証用テンプレートを作成する。
(Information medium 20)
The
(認証処理端末装置30)
認証処理端末装置30は、記憶手段31と、復元手段32と、暗号文復号手段33と、確認手段34と、開錠手段35を有している。復元手段32は、図2と図5と図7の様に、分散データy1とy2から認証用秘密データSを復元する。また、暗号文復号手段33は、暗号化認証用テンプレートから認証用テンプレートを復号する。
(Authentication processing terminal device 30)
The authentication
(秘密分散法)
認証設定装置10の秘密データ生成手段11と情報媒体20の秘密データ生成手段21は、それぞれ、図2の様に、情報媒体20の認証に用いる認証用秘密データSを生成する。
(Secret sharing method)
The secret data generating means 11 of the
認証設定装置10の分散手段12と情報媒体20の分散手段22は、それぞれ、図2の様に、認証用秘密データSを、秘密分散法によって2つの分散データに分散する。例えば、分散手段は分散データ計算用に、認証用秘密データSとランダムに作成した係数aを使った以下の式1を作成する。
(式1) y=S+aX
The distributing means 12 of the
(Formula 1) y=S+aX
そして、式1を使って2つの分散データ:
(式2) y1=S+a,
(式3) y2=S+2a,
を作成する。
この2つの分散データy1とy2を使って、点(1,y1)と点(2,y2)を結ぶ直線を求めることで式1が再現でき、その式1のy切片として認証用秘密データSが計算できる。
Then, using Equation 1, the two distributed data:
(Formula 2) y1=S+a,
(Formula 3) y2=S+2a,
to create
Equation 1 can be reproduced by obtaining a straight line connecting points (1, y1) and points (2, y2) using these two distributed data y1 and y2. can be calculated.
(1回目の認証用秘密データA)
認証設定装置10は、図3の様に、1回目の認証に用いる認証用秘密データSとして認証用秘密データAを作成し、その分散データy1=a1と分散データy2=a2を作成し、その認証用秘密データAを確認するための認証用テンプレートTaを作成する。次に、認証用テンプレート暗号化手段14が、認証用テンプレートTaを、認証用秘密データAを鍵として暗号化して暗号化認証用テンプレートEncA(Ta)を作成する。
(Secret data for authentication A for the first time)
As shown in FIG. 3, the
また、認証設定装置10は、図3の様に、暗号化認証用テンプレートEncA(Ta)と、1回目の認証に用いる分散データy1=a1を認証処理端末装置30に記憶させ、分散データy2=a2を情報媒体20に記憶させる。
In addition, as shown in FIG. 3, the
(2回目以降の認証用秘密データ)
情報媒体20は、図4と図6のブロック図の様に、認証処理端末装置30にアクセスする都度、次回の認証に用いる認証用秘密データS=Bを作成し、その分散データy1=b1と分散データy2=b2を作成し、その認証用秘密データBを確認するための認証用テンプレートTbと暗号化認証用テンプレートEncB(Tb)を作成する。
(Secret data for authentication after the second time)
As shown in the block diagrams of FIGS. 4 and 6, each time the information medium 20 accesses the authentication
そして、情報媒体20は、図4のブロック図の様に、認証処理端末装置30へ1回目に
アクセスして自身を認証させる際には、認証設定装置10から与えられていた1回目の認証に用いる認証用秘密データS=Aの分散データa2と、自身が作成した次回の認証に用いる認証用秘密データS=Bの分散データy1=b1と暗号化認証用テンプレートEncB(Tb)を認証処理端末装置30に送信する。分散データy2=b2は、次回のアクセスで送信するために記憶手段23で記憶する。
Then, as shown in the block diagram of FIG. 4, when the information medium 20 accesses the authentication
(認証処理端末装置30の認証処理)
認証処理端末装置30は、図5のブロック図の様に、情報媒体20から受信した、次回の認証に用いる認証用秘密データS=Bの分散データy1=b1と暗号化認証用テンプレートEncB(Tb)を記憶手段で記憶する。
(Authentication processing of authentication processing terminal device 30)
As shown in the block diagram of FIG. ) is stored in the storage means.
認証処理端末装置30の復元手段32は、情報媒体20から受信した1回目の認証に用いる認証用秘密データS=Aの分散データy2=a2を、記憶手段が記憶している認証用秘密データS=Aの分散データy1=a1と合わせることで、式1のランダムに作成した係数aと認証用秘密データS=Aを演算する復元処理を行う。
The restoring means 32 of the authentication
認証処理端末装置30の確認手段34は、復元手段32が復元した認証用秘密データSを使って暗号化認証用テンプレートを復号して認証用テンプレートを算出する。そして、その認証用テンプレートを認証用秘密データSと照合して認証用秘密データSの正当性を確認することで情報媒体20を認証する。認証処理端末装置30が情報媒体20を認証した場合は、開錠手段35で電子錠や電子ドア等を開ける等の所定の動作を実行する
The confirmation means 34 of the authentication
以上の秘密分散法を用いることにより、認証用テンプレートは、認証用秘密データSを使って暗号化認証用テンプレートを復号して得るので、認証用秘密データSが分からなければ得られない。また、認証用秘密データSは、分散データy1と分散データy2が揃わなければ復元できない。 By using the above-described secret sharing method, the authentication template is obtained by decrypting the encrypted authentication template using the authentication secret data S, so it cannot be obtained unless the authentication secret data S is known. Moreover, the authentication secret data S cannot be restored unless the distributed data y1 and the distributed data y2 are prepared.
そのため、悪意の第三者は、認証用秘密データSを復元するには、分散されて通信された分散データy1と分散データy2とを揃えて取得しなければ復元できない。しかも、通信を傍受して分散データy2が分かった時点では、その分散データy2を使って復元する認証用秘密データSが既に使われていて次の認証には使えないので、セキュリティの高い認証システムが構成できる効果がある。 Therefore, a malicious third party cannot restore the authentication secret data S unless the distributed data y1 and the distributed data y2 distributed and communicated are obtained together. Moreover, when the distributed data y2 is found by intercepting the communication, the authentication secret data S to be restored using the distributed data y2 has already been used and cannot be used for the next authentication, so the authentication system has high security. has the effect of constructing
(認証システムの動作)
以下で、図8から図10のフローチャートを参照して、図1の認証システムの、認証設定装置10と、情報媒体20と、認証処理端末装置30の動作を説明する。
(Operation of authentication system)
The operations of the
(初期設定)
認証設定装置10が、図8のステップS1からステップS4の動作を行い、図3の様に、初期動作用のデータを作成し、それらのデータを認証処理端末装置30と情報媒体20に記憶させて初期設定する。
(Initial setting)
The
(ステップS1)認証設定装置10による各装置の初期設定
まず、図3のように、認証設定装置10が、1つ目の認証用秘密データAと、認証用テンプレートTaを作成する。認証用テンプレートTaは、認証用秘密データAと等しくする。
(Step S1) Initial Setting of Each Device by
認証用テンプレートTaは、複数に分散された分散データを合わせて認証用秘密データAを復元したときに、その認証用秘密データAが正しいデータであるか否かを確認するために用いるデータである。 The authentication template Ta is data used for confirming whether or not the authentication secret data A is correct data when the authentication secret data A is restored by combining a plurality of distributed data. .
(ステップS2)
次に、認証設定装置10の認証用テンプレート暗号化手段14が、認証用テンプレートTaを、認証用秘密データAを鍵として暗号化して、暗号化認証用テンプレートEncA(Ta)を作成する。
(Step S2)
Next, the authentication template encryption means 14 of the
(ステップS3)
次に、認証設定装置10は、作成した認証用秘密データAを、図2で説明した秘密分散法を使用して分散データa1と分散データa2とに分散する。
(Step S3)
Next, the
(ステップS4)
次に、認証設定装置10は、認証処理端末装置30に分散データa1と暗号化認証用テンプレートEncA(Ta)を格納する。そして、情報媒体20に分散データa2を格納する。
(Step S4)
Next, the
(認証処理の初期動作)
次に、図9のフローチャートのステップS5からS13の処理を行うことで、図4の様に、情報媒体20から認証処理端末装置30に、1つ目の認証用秘密データAの分散データa2と次の認証用秘密データBの分散データb1と暗号化認証用テンプレートEncB(Tb)を送信させ、認証処理端末装置30に情報媒体20を認証させる初期動作を実行させ、認証処理の動作を確認する。
(Initial operation of authentication processing)
Next, by performing the processing of steps S5 to S13 in the flowchart of FIG. 9, as shown in FIG. Next, the distributed data b1 of the authentication secret data B and the encrypted authentication template EncB (Tb) are transmitted, the authentication
(ステップS5)情報媒体20の初期動作
先ず、情報媒体20が秘密データ生成手段21を用いて、図4の様に、2つ目の認証用秘密データBと、認証用テンプレートTbを作成する。認証用テンプレートTbは、認証用秘密データBと等しくする。秘密データ生成手段21は、通信毎に更新して異ならせた、認証用秘密データと認証用テンプレートを作成する。
(Step S5) Initial Operation of
(ステップS6)
次に、情報媒体20の認証用テンプレート暗号化手段24が、認証用テンプレートTbを、認証用秘密データBを鍵として暗号化して、暗号化認証用テンプレートEncB(Tb)を作成する。
(Step S6)
Next, the authentication template encryption means 24 of the
(ステップS7)
次に、情報媒体20は、認証用秘密データBを、秘密分散法を使用して分散データb1と、分散データb2とに分散する。
(Step S7)
Next, the
(ステップS8)
次に、情報媒体20は、認証処理端末装置30に、分散データa2と分散データb1と暗号化認証用テンプレートEncB(Tb)を送信する。
(Step S8)
Next, the information medium 20 transmits the distributed data a2, the distributed data b1, and the encrypted authentication template EncB(Tb) to the authentication
(ステップS9)認証処理端末装置30による情報媒体20の初期認証動作
認証処理端末装置30は、図5の様に、情報媒体20から、分散データa2と分散データb1と暗号化認証用テンプレートEncB(Tb)を受信して動作する。
(Step S9) Initial authentication operation of the
(ステップS10)
認証処理端末装置30は、受信した分散データa2と記憶手段31が記憶していた分散データa1を、復元手段32が結合し認証用秘密データAを復元する。
(Step S10)
In the authentication
(ステップS11)
認証処理端末装置30の暗号文復号手段33は、復元した認証用秘密データAを鍵として、記憶手段31が記憶していた暗号化認証用テンプレートEncA(Ta)を復号し認証用テンプレートTaを得る。
(Step S11)
The ciphertext decryption means 33 of the authentication
(ステップS12)
認証処理端末装置30は、復元した認証用秘密データAを認証用テンプレートTaと照合する。照合の結果、認証用テンプレートTaと復元された認証用秘密データAとが一致しないと判定した場合は、認証処理端末装置30は、情報媒体20に、照合NG通知を送信して、処理を終了する。
(Step S12)
The authentication
(ステップS13)
認証処理端末装置30が、認証用テンプレートTaと復元された認証用秘密データAとが等しいと判断すると、認証処理端末装置30は、情報媒体20が正当な相手であると認証する。
(Step S13)
When the authentication
そして、認証処理端末装置30は、情報媒体20に、照合OK通知を送信する。
The authentication
また、認証処理端末装置30は、分散データb1と暗号化認証用テンプレートEncB(Tb)を、次回の情報媒体20の認証のために記憶手段で記憶する。
Further, the authentication
また、認証処理端末装置30は、電子錠や電子ドア等を開ける動作等の所定の動作を実行する初期動作を行う。
Further, the authentication
このステップS13までの動作を、初期動作として実行する。 The operations up to step S13 are executed as initial operations.
(ステップS14)情報媒体20の通常認証動作
情報媒体20は、次に認証処理端末装置30と通信する際に、図10のフローチャートに従い、秘密データ生成手段21を用いて、図6の様に3つ目の認証用秘密データCと、認証用テンプレートTcを作成する。認証用テンプレートTcは、認証用秘密データCと等しくする。秘密データ生成手段21は、通信毎に更新して異ならせた、認証用秘密データと認証用テンプレートを作成する。
(Step S14) Normal authentication operation of information medium 20 When the information medium 20 next communicates with the authentication
(ステップS15)
次に、情報媒体20の認証用テンプレート暗号化手段24が、認証用テンプレートTcを、認証用秘密データCを鍵として暗号化して、暗号化認証用テンプレートEncC(Tc)を作成する。
(Step S15)
Next, the authentication template encryption means 24 of the
(ステップS16)
次に、情報媒体20は、認証用秘密データCを、秘密分散法を使用して分散データc1と、分散データc2とに分散する。
(Step S16)
Next, the
(ステップS17)
次に、情報媒体20は、認証処理端末装置30に、分散データb2と分散データc1と暗号化認証用テンプレートEncC(Tc)を送信する。
(Step S17)
Next, the information medium 20 transmits the distributed data b2, the distributed data c1, and the encrypted authentication template EncC(Tc) to the authentication
(ステップS18)
認証処理端末装置30は、図7の様に、情報媒体20から、分散データb2と分散データc1と暗号化認証用テンプレートEncC(Tc)を受信して動作する。
(Step S18)
The authentication
(ステップS19)
次に、認証処理端末装置30の復元手段32が、受信した分散データb2と記憶手段31が記憶していた分散データb1を、復元手段32が結合し認証用秘密データBを復元する。
(Step S19)
Next, the restoring means 32 of the authentication
(ステップS20)
認証処理端末装置30の暗号文復号手段33は、復元した認証用秘密データBを鍵として、記憶手段31が記憶していた暗号化認証用テンプレートEncB(Tb)を復号し認証用テンプレートTbを得る。
(Step S20)
The ciphertext decryption means 33 of the authentication
(ステップS21)
確認手段34は、復元した認証用秘密データBを認証用テンプレートTbと照合する。照合の結果、認証用テンプレートTbと復元された認証用秘密データBとが一致しないと判定した場合は、認証処理端末装置30は、情報媒体20に、照合NG通知を送信して、処理を終了する。
(Step S21)
The confirmation means 34 compares the restored secret data B for authentication with the template Tb for authentication. If it is determined that the authentication template Tb and the restored secret authentication data B do not match as a result of the collation, the authentication
(ステップS22)
認証処理端末装置30が、認証用テンプレートTbと復元された認証用秘密データBとが等しいと判断すると、認証処理端末装置30は、情報媒体20が正当な相手であると認証する。
(Step S22)
When the authentication
そして、認証処理端末装置30は、情報媒体20に、照合OK通知を送信する。
The authentication
また、認証処理端末装置30は、分散データc1と暗号化認証用テンプレートEncC(Tc)を、次回の情報媒体20の認証のために記憶手段で記憶する。
Further, the authentication
また、認証処理端末装置30は、電子錠や電子ドア等を開ける動作等の所定の動作を実行する。
Further, the authentication
次回の認証においては、分散データc1と暗号化認証用テンプレートEncC(Tc)を用いて、ステップS14からステップS22の処理を行う。こうして、認証用秘密データSを更新しつつ、ステップS14からステップS22の処理を繰り返す。 In the next authentication, the processes from step S14 to step S22 are performed using the shared data c1 and the encrypted authentication template EncC(Tc). Thus, while updating the authentication secret data S, the processing from step S14 to step S22 is repeated.
情報媒体20は、図4と図6の様に、認証用秘密データSの分散データy1および分散データy2を前回と今回との2回の伝送に分けて、認証処理端末装置30へ送信し、認証処理端末装置30は、図5と図7の様に、前回に受信し記憶手段31で記憶していた分散データy1と、今回受信した分散データy2とを結合して認証用秘密データBを復元する。そして、その復元された認証用秘密データBを鍵にして、前回に受信し記憶手段31で記憶していた暗号化認証用テンプレートEncB(Tb)を復号して認証用テンプレートTbを得る。その認証用テンプレートTbを認証用秘密データBと照合する事で、復元された認証用秘密データBが正しい事を確認する。
4 and 6, the information medium 20 divides the distributed data y1 and the distributed data y2 of the authentication secret data S into two transmissions, the previous transmission and the current transmission, and transmits them to the authentication
このように、本実施形態では、認証処理端末装置30が情報媒体20を認証するために用いる認証用秘密データSと認証用テンプレートを毎回更新して認証処理を行うことで、悪意の第三者によって情報媒体20から認証処理端末装置30へ送られる1回の伝送における認証用のデータが盗取されても、その第三者が次回に情報媒体に成りすますための情報が不十分なため、成りすます事ができないようにでき、認証処理のセキュリティを高くできる効果がある。
As described above, in the present embodiment, the authentication
<第2の実施形態>
第2の実施形態の認証システムは、第1の実施形態と同様に、図1の様に、認証設定装
置10と、情報媒体20と、認証処理端末装置30とで構成し、認証処理端末装置30が秘密分散法によって情報媒体20を認証する。すなわち、第2の実施形態は、第1の実施形態と同様に、情報媒体20は、秘密データ生成手段21と、分散手段22と、記憶手段23と、認証用テンプレート暗号化手段24を有し、認証処理端末装置30は、記憶手段31と、復元手段32と、暗号文復号手段33と、確認手段34と、開錠手段35を有している。
<Second embodiment>
As in the first embodiment, the authentication system of the second embodiment comprises an
そして、図2と図4と図6の様に、情報媒体20の秘密データ生成手段21が認証用秘密データSを作成し、分散手段22が2つの分散データy1とy2を作成する。認証用テンプレート暗号化手段24は、認証用テンプレートを、認証用秘密データを鍵として暗号化して、暗号化認証用テンプレートを作成する。認証処理端末装置30の復元手段32は、図2と図5と図7の様に、分散データy1とy2から認証用秘密データSを復元し、暗号文復号手段33は、暗号化認証用テンプレートから認証用テンプレートを復号する。
Then, as shown in FIGS. 2, 4 and 6, the secret data generating means 21 of the
第2の実施形態が第1の実施形態と相違する点は、情報媒体20は、暗号鍵データを用いた通信を利用して認証処理端末装置30を認証した場合に限り、秘密分散法による認証用秘密データSの分散データy2等のデータを認証処理端末装置30に送信する点である。
The difference between the second embodiment and the first embodiment is that the information medium 20 uses the secret sharing method for authentication only when the authentication
(認証処理端末装置30の認証用の暗号鍵データの設定)
そのために、認証設定装置10が、図11の様に、認証に用いる暗号鍵データの鍵ペアとして、認証処理端末装置30用の秘密鍵データSec1と情報媒体20用の公開鍵データSec2を作成し、秘密鍵データSec1を認証処理端末装置30に記憶させ、公開鍵データSec2を情報媒体20に記憶させる。分散データa1とa2及び認証用テンプレートTaも第1の実施形態と同様に作成して認証処理端末装置30と情報媒体20に記憶させる。
(Setting of encryption key data for authentication of authentication processing terminal device 30)
Therefore, as shown in FIG. 11, the
そして、情報媒体20と認証処理端末装置30が図12のステップS31からステップS37の動作による、暗号鍵データを用いた通信を行い、情報媒体20が認証処理端末装置30を認証した場合に限り、図9のステップS5からステップS13の動作、又は、図10のステップS14からステップS22の動作を行う。
Only when the
(認証処理端末装置30の認証処理)
(ステップS31)
すなわち、先ず、情報媒体20が、認証用乱数データを作成する。
(Authentication processing of authentication processing terminal device 30)
(Step S31)
That is, first, the
(ステップS32)
情報媒体20が、認証用乱数データを公開鍵データSec2で暗号化した暗号化乱数データRnSを作成し認証処理端末装置30に送信する。
(Step S32)
The
(ステップS33)
認証処理端末装置30は、受信した暗号化乱数データRnSを秘密鍵データSec1で復号して認証用乱数データを得る。
(Step S33)
The authentication
(ステップS34)
認証処理端末装置30は、その認証用乱数データを秘密鍵データSec1で暗号化した返信用暗号化乱数データRnRを作成し情報媒体20に送信する。
(Step S34)
The authentication
(ステップS35)
情報媒体20は、受信した返信用暗号化乱数データRnRを公開鍵データSec2で復
号して認証用乱数データを得る。
(Step S35)
The information medium 20 decrypts the received encrypted random number data for reply RnR with the public key data Sec2 to obtain random number data for authentication.
(ステップS36)
情報媒体20は、その認証用乱数データを、先に送信した認証用乱数データと照合することで、認証処理端末装置30を認証する。情報媒体20は、照合結果が不一致の場合は、認証処理端末装置30を認証せず、処理を終了する。
(Step S36)
The
(ステップS37)
情報媒体20は、認証処理端末装置30を認証した場合は、第1の実施形態のステップS5からステップS13の動作、又は、ステップS14からステップS22の動作を行う。すなわち、秘密データSを作成し、分散データy1とy2を作成し、認証用テンプレートを作成して、認証処理端末装置30に必要なデータを送信して情報媒体20を認証させ、認証処理端末装置30に、ドアの開閉などの所定の動作を実行させる。
(Step S37)
When the authentication
第2の実施形態では、以上の処理を行うことで、情報媒体20が、先ず、認証処理端末装置30を認証した上で、認証処理端末装置30に、認証用秘密データSの分散データy2等のデータを送信する。
In the second embodiment, by performing the above processing, the information medium 20 first authenticates the authentication
また、第2の実施形態で用いる暗号鍵データは、秘密鍵データと公開鍵データに限らず、暗号鍵データとして共通鍵データを情報媒体20と認証処理端末装置30に記憶させて、情報媒体20は、その共通鍵データを用いて認証処理端末装置30を認証した場合に限り、秘密分散法による認証用秘密データSの分散データy2等のデータを認証処理端末装置30に送信する事もできる。
The encryption key data used in the second embodiment is not limited to secret key data and public key data. can also transmit data such as the distributed data y2 of the authentication secret data S according to the secret sharing method to the authentication
これにより、情報媒体20は、認証処理端末装置30に成りすました悪意の第三者の端末装置に認証用秘密データSの分散データy2を知らせる事が無い。そのため、悪意の第三者の端末装置が、情報媒体20から分散データy2を盗み取って、その分散データy2と、その他のデータを認証処理端末装置30に送信することで情報媒体20に成りすまして認証処理端末装置30にアクセスする事を防ぐ事ができる。
As a result, the
<第3の実施形態>
第3の実施形態の認証システムは、第1の実施形態と同様に、図1の様に、認証設定装置10と、情報媒体20と、認証処理端末装置30とで構成し、認証処理端末装置30が秘密分散法によって情報媒体20を認証する。すなわち、第3の実施形態は、第1の実施形態と同様に、情報媒体20は、秘密データ生成手段21と、分散手段22と、記憶手段23と、認証用テンプレート暗号化手段24を有し、認証処理端末装置30は、記憶手段31と、復元手段32と、暗号文復号手段33と、確認手段34と、開錠手段35を有している。
<Third Embodiment>
As in the first embodiment, the authentication system of the third embodiment comprises an
そして、図2と図4と図6の様に、情報媒体20の秘密データ生成手段21が認証用秘密データSを作成し、分散手段22が2つの分散データy1とy2を作成する。認証用テンプレート暗号化手段24は、認証用テンプレートを、認証用秘密データを鍵として暗号化して、暗号化認証用テンプレートを作成する。認証処理端末装置30の復元手段32は、図2と図5と図7の様に、分散データy1とy2から認証用秘密データSを復元し、暗号文復号手段33は、暗号化認証用テンプレートから認証用テンプレートを復号する。
Then, as shown in FIGS. 2, 4 and 6, the secret data generating means 21 of the
第3の実施形態が第1の実施形態と相違する点は、図13の様に構成して、認証処理端末装置30が、サービス番号で区別した複数の情報媒体20を、サービス番号毎に異なる認証用秘密データを用いた秘密分散法によって認証する点である。先ず、認証設定装置10が、図13の様に、情報媒体20aと認証処理端末装置30のサービス番号ID1の認証処理用に秘密データAを作成し、その秘密データAを分散手段12で秘密データa1と秘密データa2に分散し、情報媒体20bと認証処理端末装置30を設定して、サービス番号ID1の、情報媒体20aの秘密分散法による認証処理を行わせる。
The difference between the third embodiment and the first embodiment is that the authentication
更に、認証設定装置10が、図13の様に、情報媒体20bと認証処理端末装置30のサービス番号ID2の認証処理用に秘密データFを作成し、その秘密データFを分散手段12で秘密データf1と秘密データf2に分散し、情報媒体20bと認証処理端末装置30を設定して、サービス番号ID2の、情報媒体20bの秘密分散法による認証処理を行わせる。
Further, as shown in FIG. 13, the
それにより、サービス番号ID1の秘密分散法の認証処理により、認証処理端末装置30に、情報媒体20aを認証させ、サービス番号ID2の秘密分散法の認証処理により、認証処理端末装置30に、情報媒体20bを認証させる。
As a result, the information medium 20a is authenticated by the authentication
なお、本発明は、以上の実施形態に限定されず、情報媒体20と認証処理端末装置30は電気接続方式や非接触近距離無線通信方式で互いにデータを通信する以外に、通信回線を介して、遠地間でデータを通信させて動作させる事もできる。
The present invention is not limited to the above embodiments, and the
また、認証処理端末装置30が、秘密分散法により情報媒体20を認証した場合に開錠手段35を動作させる認証システムに限定されず、本発明により、認証処理端末装置30が、秘密分散法により情報媒体20を認証した場合に、認証処理端末装置30から所定のコンテンツのデータを情報媒体20に送信する認証システムを構成する事もできる。
Further, the authentication
10・・・認証設定装置
11・・・秘密データ生成手段
12・・・分散手段
13・・・記憶手段
14・・・認証用テンプレート暗号化手段
20、20a、20b・・・情報媒体
21・・・秘密データ生成手段
22・・・分散手段
23・・・記憶手段
24・・・認証用テンプレート暗号化手段
30・・・認証処理端末装置
31・・・記憶手段
32・・・復元手段
33・・・暗号文復号手段
34・・・確認手段
35・・・開錠手段
A、B、C、F、S・・・認証用秘密データ
a・・・ランダムに作成した係数
a1、a2、b1、b2、c1、c2、d1、d2、f1、f2、y1、y2・・・分散データ
EncA(Ta)、EncB(Tb)、EncC(Tc)・・・暗号化認証用テンプレート
ID1、ID2・・・サービス番号
S1~S37・・・処理ステップ
Sec1・・・秘密鍵データ
Sec2・・・公開鍵データ
Ta、Tb、Tc・・・認証用テンプレート
Claims (6)
前記情報媒体が、認証用秘密データを生成する秘密データ生成手段と、前記認証用秘密データを複数の分散データに分散する分散手段と、認証用テンプレートを暗号化して暗号化認証用テンプレートを作成する認証用テンプレート暗号化手段を有し、
前記認証処理端末装置が、前記分散データを前記認証用秘密データに復元する復元手段と、
前記暗号化認証用テンプレートから認証用テンプレートを復号する暗号文復号手段と、前記復元手段により復元した前記認証用秘密データを前記認証用テンプレートを用いて照合する確認手段を有し、
前記情報媒体が、前記秘密データ生成手段を用いて通信毎に更新して異ならせた認証用秘密データと認証用テンプレートを作成し、前記複数の分散データを複数回の通信に分けて前記認証処理端末装置に送信し、かつ、暗号化認証用テンプレートを前記認証処理端末装置に送信し、
前記認証処理端末装置が、
前記復元手段を用いて前記複数の分散データから前記認証用秘密データを復元し、
前記暗号文復号手段を用いて前記暗号化認証用テンプレートを前記認証用テンプレートに復号し、
前記確認手段を用いて前記認証用テンプレートを使って前記認証用秘密データを照合して前記情報媒体を認証することを特徴とする認証システム。 An authentication system comprising an information medium, an authentication processing terminal device, and an authentication setting device,
The information medium comprises secret data generation means for generating secret data for authentication, distribution means for distributing the secret data for authentication into a plurality of distributed data, and encryption of an authentication template to create an encrypted authentication template. having authentication template encryption means;
restoration means for the authentication processing terminal device to restore the distributed data to the authentication secret data;
a ciphertext decrypting means for decrypting the authentication template from the encrypted authentication template; and a confirmation means for comparing the authentication secret data restored by the restoring means with the authentication template,
The information medium creates authentication secret data and an authentication template that are updated and changed for each communication by using the secret data generating means, divides the plurality of distributed data into a plurality of communications, and performs the authentication process. sending to a terminal device, and sending an encrypted authentication template to the authentication processing terminal device;
The authentication processing terminal device
using the restoring means to restore the authentication secret data from the plurality of distributed data;
decrypting the encrypted authentication template into the authentication template using the ciphertext decryption means;
An authentication system that authenticates the information medium by collating the authentication secret data using the authentication template using the authentication means.
前記情報媒体が、秘密データ生成手段を用いて通信毎に更新して異ならせた認証用秘密データと認証用テンプレートを作成し、分散手段を用いて前記認証用秘密データを複数の分散データに分散し、認証用テンプレート暗号化手段を用いて、認証用テンプレートを暗号化して暗号化認証用テンプレートを作成し、
前記情報媒体が、前記複数の分散データを、複数回の通信に分けて前記認証処理端末装置に送信し、かつ、暗号化認証用テンプレートを前記認証処理端末装置に送信し、
前記認証処理端末装置が、
前記復元手段を用いて前記複数の分散データから前記認証用秘密データを復元し、
前記暗号文復号手段を用いて前記暗号化認証用テンプレートを前記認証用テンプレートに復号し、
前記確認手段を用いて前記認証用テンプレートを使って前記認証用秘密データを照合して前記情報媒体を認証することを特徴とする認証方法。 An authentication method comprising an information medium, an authentication processing terminal device, and an authentication setting device,
The information medium creates authentication secret data and an authentication template that are updated and changed for each communication using secret data generation means, and distributes the authentication secret data to a plurality of distributed data using distribution means. and using the authentication template encryption means to encrypt the authentication template to create an encrypted authentication template,
the information medium divides the plurality of distributed data into multiple communications and transmits them to the authentication processing terminal device, and transmits an encrypted authentication template to the authentication processing terminal device;
The authentication processing terminal device
using the restoring means to restore the authentication secret data from the plurality of distributed data;
decrypting the encrypted authentication template into the authentication template using the ciphertext decryption means;
An authentication method, wherein the verification means uses the authentication template to verify the authentication secret data to authenticate the information medium.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019112691A JP7259578B2 (en) | 2019-06-18 | 2019-06-18 | Authentication system and authentication method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019112691A JP7259578B2 (en) | 2019-06-18 | 2019-06-18 | Authentication system and authentication method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2020205548A JP2020205548A (en) | 2020-12-24 |
| JP7259578B2 true JP7259578B2 (en) | 2023-04-18 |
Family
ID=73837611
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2019112691A Active JP7259578B2 (en) | 2019-06-18 | 2019-06-18 | Authentication system and authentication method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7259578B2 (en) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005151524A (en) | 2003-10-21 | 2005-06-09 | Denda Associates Co Ltd | Authentication system and method |
| JP2006215786A (en) | 2005-02-03 | 2006-08-17 | Mizuho Bank Ltd | User authentication method and user authentication program |
| JP2010146245A (en) | 2008-12-18 | 2010-07-01 | Hitachi Ltd | Biometric authentication system and method therefor |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4840036B2 (en) * | 2006-09-07 | 2011-12-21 | 凸版印刷株式会社 | Biometric authentication apparatus and method |
-
2019
- 2019-06-18 JP JP2019112691A patent/JP7259578B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005151524A (en) | 2003-10-21 | 2005-06-09 | Denda Associates Co Ltd | Authentication system and method |
| JP2006215786A (en) | 2005-02-03 | 2006-08-17 | Mizuho Bank Ltd | User authentication method and user authentication program |
| JP2010146245A (en) | 2008-12-18 | 2010-07-01 | Hitachi Ltd | Biometric authentication system and method therefor |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2020205548A (en) | 2020-12-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1689297B (en) | Method of preventing unauthorized distribution and use of electronic keys using a key seed | |
| CN101828357B (en) | Credential provisioning method and device | |
| US8171527B2 (en) | Method and apparatus for securing unlock password generation and distribution | |
| CN109728909A (en) | Identity identifying method and system based on USBKey | |
| CN108683501B (en) | Multiple identity authentication system and method with timestamp as random number based on quantum communication network | |
| US20060195402A1 (en) | Secure data transmission using undiscoverable or black data | |
| US10089627B2 (en) | Cryptographic authentication and identification method using real-time encryption | |
| CN108650028B (en) | Multiple identity authentication system and method based on quantum communication network and true random number | |
| WO2001084761A1 (en) | Method for securing communications between a terminal and an additional user equipment | |
| JP2000502532A (en) | Application level security system and method | |
| EP2304636A1 (en) | Mobile device assisted secure computer network communications | |
| US10044684B2 (en) | Server for authenticating smart chip and method thereof | |
| EP1081891A2 (en) | Autokey initialization of cryptographic devices | |
| JP2010231404A (en) | System, method, and program for managing secret information | |
| US20020018570A1 (en) | System and method for secure comparison of a common secret of communicating devices | |
| CN113507372A (en) | Bidirectional authentication method for interface request | |
| US10764260B2 (en) | Distributed processing of a product on the basis of centrally encrypted stored data | |
| EP3955142B1 (en) | Method and system for authentication of a computing device | |
| CN106953917B (en) | Method of data synchronization and system | |
| CN109299618A (en) | Anti- quantum calculation cloud storage method and system based on quantum key card | |
| JP2001344214A (en) | Method for certifying terminal and cipher communication system | |
| JP7259578B2 (en) | Authentication system and authentication method | |
| EP3185504A1 (en) | Security management system for securing a communication between a remote server and an electronic device | |
| CN101521571A (en) | Method for authenticating safety unit and server side of mobile hardware | |
| CN110138547B (en) | Quantum communication service station key negotiation method and system based on asymmetric key pool pair and serial number |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220525 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20230213 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230307 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230320 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7259578 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |