JP7300682B2 - ネットワーク接続認証システム、認証装置、ネットワーク接続認証方法、ネットワーク接続認証プログラム - Google Patents
ネットワーク接続認証システム、認証装置、ネットワーク接続認証方法、ネットワーク接続認証プログラム Download PDFInfo
- Publication number
- JP7300682B2 JP7300682B2 JP2021089465A JP2021089465A JP7300682B2 JP 7300682 B2 JP7300682 B2 JP 7300682B2 JP 2021089465 A JP2021089465 A JP 2021089465A JP 2021089465 A JP2021089465 A JP 2021089465A JP 7300682 B2 JP7300682 B2 JP 7300682B2
- Authority
- JP
- Japan
- Prior art keywords
- key
- authentication
- secret
- terminal
- distributed key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Storage Device Security (AREA)
Description
本発明は、インターネットなどのネットワーク接続するためのユーザ認証の技術に関する。
近年、情報通信技術(ICT)の利用により時間・空間を有効に活用する多様な就労・作業形態が提案されている。
例えば(1)オフィス設置の端末により社内システムを通じてインターネットに接続し、インターネット経由でクラウドサービスにアクセスするインハウス
(2)テレワーク端末を用いてインターネット経由でクラウドサービスにアクセスするテレワークなどが利用されている。
(2)テレワーク端末を用いてインターネット経由でクラウドサービスにアクセスするテレワークなどが利用されている。
このようなインターネット接続などのユーザ認証にあたっては、ICカード認証や指紋認証など様々な方式が提案され、パスワードを組み合わせた方式も数多く用いられている。
例えば非特許文献1などのパスワード認証の場合、ユーザは事前に認証サーバにパスワード情報(文字列)を秘密情報として登録しておく。認証を行う際には、ユーザは認証サーバにパスワードを送信し、認証サーバは登録されたパスワードと同じであればユーザ認証が成立し、それ以外であればユーザ認証を拒否する。
"第6章 リモートアクセスの請求理ティ対策技術 6.5ユーザ認証システム" 2019年11月27日検索 インターネットURL<https://www.ipa.go.jp/security/awareness/administrator/romote/capter6/5.html>
山澤昌夫,角田篤泰,近藤健,才所敏明,五太子政史,佐藤直,辻井重男,野田啓一,"暗号通貨(ビットコイン)・ブロックチェーンの高信頼化へ向けてのMELT-UP 活動-秘密鍵管理を中心に-," SCIS)2018, 4F2-2. Jan. 2018年1月.
山澤昌夫,角田篤泰,近藤健,才所敏明,五太子政史,佐藤直,山本博資,辻井重男,野田啓一,"暗号通貨(ビットコイン)・ブロックチェーンの高信頼化へ向けてのMELT-UP活動(II) -運用と倫理-," CSS2018, 3B3-5. 2018年10月.
山澤昌夫, 角田篤泰, 近藤健, 才所敏明, 五太子政史, 佐藤直, 山本博資, 辻井重男, 野田啓一,"セキュリティ・マネジメントのコンテクスト,より深い理解へのMELT-UP 活動-現代の課題と啓蒙," 日本セキュリティ・マネジメント学会第32 回全国大会,2018 年6 月
しかしながら、認証サーバへの通信路におけるパケットの盗聴や認証サーバへの侵入などによりユーザ名・パスワードが漏洩し、なりすまし等による不正アクセスが起こるおそれがある。
そこで、本発明は、非特許文献2~4の仮想通貨保全方式と同様にパスワード情報を秘密分散し、秘密鍵情報の漏洩・破壊・紛失などに対して安全なネットワーク接続の認証を実現することを解決課題としている。
(1)本発明の一態様は、クライアント端末のネットワーク接続を認証装置により認証するシステムであって、
前記認証装置は、前記端末の認証IDに応じた秘密鍵情報を秘密分散した分散鍵群のうち、少なくとも一つの前記分散鍵を前記IDと対応付けて保存する秘密分散格納部と、
前記分散鍵群に基づき前記秘密鍵情報を復元する秘密分散制御部と、
前記復元された前記秘密鍵情報に基づき前記認証を実行する認証制御部と、
を備え、
前記秘密分散格納部に保存された分散鍵以外の分散鍵を前記IDと併せて前記端末に送信する一方、
前記端末は、前記認証装置から送信された前記IDおよび前記分散鍵を受信し、該受信した分散鍵を再分散する分散鍵制御部と、
前記再分散された再分散鍵をそれぞれ別々に保存する複数の保存部と、
を備え、
前記認証の要求時に前記再分散鍵群から前記受信した前記分散鍵を復元するとともに、該復元された前記分散鍵および前記IDを前記認証装置に送信し、
前記秘密分散制御部は、前記端末から送信された前記分散鍵および前記IDを前記認証装置が受信すれば、該受信した前記IDに基づき前記秘密分散格納部の格納情報を検索して対応する前記分散鍵を抽出し、該抽出された前記分散鍵と該受信した前記分散鍵とから前記秘密鍵情報を復元し、
前記認証制御部が、前記秘密鍵情報の復元により前記認証の成功とすることを特徴としている。
前記認証装置は、前記端末の認証IDに応じた秘密鍵情報を秘密分散した分散鍵群のうち、少なくとも一つの前記分散鍵を前記IDと対応付けて保存する秘密分散格納部と、
前記分散鍵群に基づき前記秘密鍵情報を復元する秘密分散制御部と、
前記復元された前記秘密鍵情報に基づき前記認証を実行する認証制御部と、
を備え、
前記秘密分散格納部に保存された分散鍵以外の分散鍵を前記IDと併せて前記端末に送信する一方、
前記端末は、前記認証装置から送信された前記IDおよび前記分散鍵を受信し、該受信した分散鍵を再分散する分散鍵制御部と、
前記再分散された再分散鍵をそれぞれ別々に保存する複数の保存部と、
を備え、
前記認証の要求時に前記再分散鍵群から前記受信した前記分散鍵を復元するとともに、該復元された前記分散鍵および前記IDを前記認証装置に送信し、
前記秘密分散制御部は、前記端末から送信された前記分散鍵および前記IDを前記認証装置が受信すれば、該受信した前記IDに基づき前記秘密分散格納部の格納情報を検索して対応する前記分散鍵を抽出し、該抽出された前記分散鍵と該受信した前記分散鍵とから前記秘密鍵情報を復元し、
前記認証制御部が、前記秘密鍵情報の復元により前記認証の成功とすることを特徴としている。
(2)本発明の他の態様は、クライアント端末をネットワークに接続させるための認証装置であって、
前記端末の認証IDに応じた秘密鍵情報を秘密分散した分散鍵群のうち、少なくとも一つの前記分散鍵を前記IDと対応付けて保存する秘密分散格納部と、
前記分散鍵群に基づき前記秘密鍵情報を復元する秘密分散制御部と、
前記復元された前記秘密鍵情報に基づき前記認証を実行する認証制御部と、
を備え、
前記秘密分散格納部に保存された分散鍵以外の分散鍵を前記IDと併せて前記端末に送信し、
前記秘密分散制御部は、前記端末から送信された前記分散鍵および前記IDを前記認証装置が受信すれば、該受信した前記IDに基づき前記秘密分散格納部の格納情報を検索して対応する前記分散鍵を抽出し、該抽出された前記分散鍵と該受信した前記分散鍵とから前記秘密鍵情報を復元し、
前記認証制御部が、前記秘密鍵情報の復元により前記認証の成功とすることを特徴としている。
前記端末の認証IDに応じた秘密鍵情報を秘密分散した分散鍵群のうち、少なくとも一つの前記分散鍵を前記IDと対応付けて保存する秘密分散格納部と、
前記分散鍵群に基づき前記秘密鍵情報を復元する秘密分散制御部と、
前記復元された前記秘密鍵情報に基づき前記認証を実行する認証制御部と、
を備え、
前記秘密分散格納部に保存された分散鍵以外の分散鍵を前記IDと併せて前記端末に送信し、
前記秘密分散制御部は、前記端末から送信された前記分散鍵および前記IDを前記認証装置が受信すれば、該受信した前記IDに基づき前記秘密分散格納部の格納情報を検索して対応する前記分散鍵を抽出し、該抽出された前記分散鍵と該受信した前記分散鍵とから前記秘密鍵情報を復元し、
前記認証制御部が、前記秘密鍵情報の復元により前記認証の成功とすることを特徴としている。
(3)本発明のさらに他の態様は、クライアント端末のネットワーク接続を認証装置により認証する方法であって、
前記認証装置が、前記端末の認証IDに応じた秘密鍵情報を秘密分散した分散鍵群のうち、少なくとも一つの前記分散鍵を前記IDと対応付けて秘密分散格納部に保存するステップと、
前記認証装置が、前記秘密分散格納部に保存された分散鍵以外の分散鍵を前記IDと併せて前記端末に送信するステップと、
前記端末が、前記認証装置から送信された前記IDおよび前記分散鍵を受信し、該受信した分散鍵を再分散するステップと、
前記端末が、前記再分散された再分散鍵をそれぞれ別々に複数の保存部に保存するステップと、
前記端末が、前記認証の要求時に前記再分散鍵群から前記受信した前記分散鍵を復元し、該復元された前記分散鍵および前記IDを前記認証装置に送信するステップと、
前記認証装置が、前記端末から送信された前記分散鍵および前記IDを前記認証装置が受信すれば、受信した前記IDに基づき前記秘密分散格納部の格納情報を検索して対応する前記分散鍵を抽出し、該抽出された前記分散鍵と該受信した前記分散鍵とから前記秘密鍵情報を復元するステップと、
前記認証装置が、前記秘密鍵情報の復元により前記認証の成功とするステップと、を有することを特徴としている。
前記認証装置が、前記端末の認証IDに応じた秘密鍵情報を秘密分散した分散鍵群のうち、少なくとも一つの前記分散鍵を前記IDと対応付けて秘密分散格納部に保存するステップと、
前記認証装置が、前記秘密分散格納部に保存された分散鍵以外の分散鍵を前記IDと併せて前記端末に送信するステップと、
前記端末が、前記認証装置から送信された前記IDおよび前記分散鍵を受信し、該受信した分散鍵を再分散するステップと、
前記端末が、前記再分散された再分散鍵をそれぞれ別々に複数の保存部に保存するステップと、
前記端末が、前記認証の要求時に前記再分散鍵群から前記受信した前記分散鍵を復元し、該復元された前記分散鍵および前記IDを前記認証装置に送信するステップと、
前記認証装置が、前記端末から送信された前記分散鍵および前記IDを前記認証装置が受信すれば、受信した前記IDに基づき前記秘密分散格納部の格納情報を検索して対応する前記分散鍵を抽出し、該抽出された前記分散鍵と該受信した前記分散鍵とから前記秘密鍵情報を復元するステップと、
前記認証装置が、前記秘密鍵情報の復元により前記認証の成功とするステップと、を有することを特徴としている。
(4)なお、本発明は、前記認証装置または前記端末としてコンピュータを機能させるプログラムとして構成することができる。
本発明によれば、秘密鍵情報の漏洩・破壊・紛失などに対して安全なネットワーク接続の認証を実現することができる。
以下、本発明の実施形態に係るネットワーク接続認証システムを説明する。このシステムは、セキュリティボックス(認証装置)によりユーザおよびクライアント端末(ユーザの端末)を認証することでインターネット上のビジネスサービスにセキュアに接続させる。
図1および図2に基づき前記システム1の構成例を説明する。図1は、前記セキュリティボックスをルータ装置2の内蔵機能として実装した構成例を示している。ここではルータ装置2は、パソコン3・スマートフォン4など複数のクライアント端末とWi-Fi/有線により接続され、認証情報(秘密鍵情報)Sに基づきユーザおよびクライアント端末を認証する。この認証の成功によりインサー他ネットNへの接続が許可される。
図2は、前記セキュリティボックスをルータ装置2とは別のゲートウェイ装置(GW装置)5として用いた構成例を示している。このGW装置5は、複数の前記クライアント端末とWi-Fi/有線により接続され、認証情報Sに基づきユーザおよびクライアント端末を認証する。この認証の成功によりルータ装置2を通じたインターネットNへの接続が許可される。
≪セキュリティボックスの構成例≫
図3に基づき前記セキュリティボックスの構成例を説明する。図3中の10は前記セキュリティボックスを示している。ここでは一例として図1に示すルータ装置2の内蔵機能として実装されているものとする。
図3に基づき前記セキュリティボックスの構成例を説明する。図3中の10は前記セキュリティボックスを示している。ここでは一例として図1に示すルータ装置2の内蔵機能として実装されているものとする。
図3中では、便宜上ルータ装置2に一台のパソコン3が接続された状態が表されているが、実際は数十台のパソコン3・スマートフォン4が前記クライアント端末として接続されているものとする。
具体的にはセキュリティボックス10は、オペレーティングシステム(OS)11,TCP/IP制御部12,経路制御部13,秘密分散制御部(秘密分散ライブラリ:以下省略)14,認証制御部15,Wi-Fiアクセスポイント16,秘密分散格納部25を実装する。
すなわち、OS11により全体が制御され、TCP/IP制御部12により通信プロトコルが制御され、経路制御部13によりルータ装置2としてルーティングの経路が制御され、Wi-Fiアクセスポイント16によりユーザのパソコン3と無線通信でデータ送受信が行われる。このパソコン3は分散鍵制御部20と再分鍵鍵保存部26とを備え、カードリーダー21が接続自在となっている。
このときセキュリティボックス10によるパソコン3の認証動作は、秘密分散制御部14,認証制御部1を主体に実行される。すなわち、秘密分散制御部14が、クライアント端末のパソコン3用に認証IDおよび秘密鍵情報Sを生成し、秘密鍵情報Sを秘密分散してセキュリティボックス10とパソコン3とにそれぞれ保持させ、かつ認証制御部15により認証動作を実行する。
なお、前記各保存部25,26は、それぞれセキュリティボックス10・パソコン3のセキュアな領域(例えば暗号化された領域など)に構築されているものとする。以下、ネットワーク接続認証システムの認証動作の詳細を説明する。
≪セットアッププロセス≫
まず、図4および図5に基づき認証のセットアッププロセス、即ち秘密分散情報の生成と登録の処理内容(図4中のS01~S10)を説明する。なお、S01~S06はセキュリティボックス10の秘密分散制御部14により実行される一方、S07~S10はパソコン3の分散鍵制御部20により実行される。
まず、図4および図5に基づき認証のセットアッププロセス、即ち秘密分散情報の生成と登録の処理内容(図4中のS01~S10)を説明する。なお、S01~S06はセキュリティボックス10の秘密分散制御部14により実行される一方、S07~S10はパソコン3の分散鍵制御部20により実行される。
S01:セットアッププロセスの処理が開始されると、クライアント端末のパソコン3に認証IDを付与し、付与した認証IDに対応する図5の秘密鍵情報Sを生成する。
S02:S01で生成した秘密鍵情報Sを非特許文献2~4の秘密分散技術により秘密分散し、図5に示すように、分散鍵(分散片)A1~A3を生成する。
S03:認証IDおよび分散鍵A1を秘密分散格納部25に用意されたテーブルに登録する(S25)。このとき秘密鍵情報Sから「sha-256ハッシュ値」を計算して前記テーブルの「Hash」の欄に登録する。
表1は、前記テーブルの登録データ例を示している。ここでは各クライアント端末の認証IDごとに分散鍵A1および「sha-256ハッシュ値」が記述されている。
S04~S06:秘密鍵情報Sを消去し(S04)、その後にパソコン3に認証IDおよび分散鍵A2を送信する(S05)。また、分散鍵A3をバックアップ用として記録媒体(暗号機能付きUSBメモリなど)に書き込み(S06)、該記録媒体を安全な場所に保管する。
S07,S08:パソコン3側でS05の送信情報(認証ID・分散鍵A2)を受信した後、分散鍵A2を非特許文献2~4の秘密分散技術により再分散し、再分散鍵(分散鍵)B1~B3を生成する(S07)。この再散片B1~B3の生成後に分散鍵A2を消去する(S08)。
S09,S10:再分散鍵B1をカードに書き込んで保存し、また再分散鍵B2をパソコン3内の再分散鍵保存部26に保存する(S09)。この意味で前記カードおよび再分散鍵保存部26は、再分散鍵B1,B2をそれぞれ別々に保存する保存部としての役割を果たしている。
その後、認証IDおよび再分散鍵B3をセキュリティボックス10に送信する(S10)。なお、セキュリティボックス10側でS10の送信情報(認証ID・再分散鍵B3)を受信すれば、表1に示すように、前記テーブルの該当する認証IDのレコードに再分散鍵B3が追記され、セットアッププロセスの処理を終了する。
≪認証プロセス≫
図6および図7に基づきセキュリティボックス10による認証プロセス、即ち端末・本人の認証動作(図6中のS11~S16)を説明する。このプロセスは、ユーザのパソコン3によりインターネットNへの接続要求時の認証に関し、S11~S14はパソコン3側の分散鍵制御部20により実行され、S15はセキュリティボックス10側の秘密分散制御部14により実行され、S16は同認証制御部15により実行される。
図6および図7に基づきセキュリティボックス10による認証プロセス、即ち端末・本人の認証動作(図6中のS11~S16)を説明する。このプロセスは、ユーザのパソコン3によりインターネットNへの接続要求時の認証に関し、S11~S14はパソコン3側の分散鍵制御部20により実行され、S15はセキュリティボックス10側の秘密分散制御部14により実行され、S16は同認証制御部15により実行される。
S11:認証プロセスの開始時にユーザは、カードリーダー21により前記カードから図7の再分散鍵B1を読み込む。ここで読み込まれた再分散鍵B1は、図3中の矢印P1に示すように、パソコン3に送信される。
S12~S14:パソコン3内の再分散鍵保存部26に保存された認証用の再分散鍵B2を取り出し、図7に示すように、取り出された再分散鍵B2とS11で送信された再分散鍵B1とにより分散鍵A2を復元(再構成)する(S12)。
この復元の原理は後述するS15と同様とし、矢印P2に示すように、分散鍵A2と認証IDとがパソコン3からセキュリティボックス10に送信され(S13)、その送信後に復元された分散鍵A2が消去される(S14)。
S15:S13の送信情報(分散鍵A2,認証ID)は、Wi-Fiアクセスポイント10で受信され、矢印P3に示すように、秘密情報制御部14に送られる。これにより受信した認証IDをキーに前記テーブル(表1)が検索され、同じ認証IDのレコードが抽出される。ここで抽出されたレコードの分散鍵A1と、前記送られた分散鍵A2とにより秘密鍵情報Sを復元(再構成)する。図8に基づき復元の詳細を説明する。
すなわち、図8(a)に示すように、一次関数のy切片を秘密鍵情報Sとし、傾き「a」をランダムに選択すると一次関数「y=ax×S」が決まる。この一次関数の直線上にある点「w1,w2,w3...」を分散鍵情報とする。この場合に分散鍵情報の2点が集まれば、式(1)(2)の連立方程式を解くことで秘密鍵情報Sを復元することが可能となる。
式(1):y1=a×w1+S
式(2):y2=a×w2+S
その一方で図10(b)に示すように、「w1,w2」の一方のみだけでは、線分を固定できず、秘密鍵情報Sを復元することができない。このとき「w1=A1,w2=A2,w3=A3」とすれば、分散鍵A1~A3のうち閾値以上(二つ以上)が揃うことで秘密鍵情報Sを復元することが可能である。なお、復元の結果は、矢印P4に示すように、認証制御部15に送られる。
式(1):y1=a×w1+S
式(2):y2=a×w2+S
その一方で図10(b)に示すように、「w1,w2」の一方のみだけでは、線分を固定できず、秘密鍵情報Sを復元することができない。このとき「w1=A1,w2=A2,w3=A3」とすれば、分散鍵A1~A3のうち閾値以上(二つ以上)が揃うことで秘密鍵情報Sを復元することが可能である。なお、復元の結果は、矢印P4に示すように、認証制御部15に送られる。
S16:S15で送られた情報(復元の結果)から「sha-256ハッシュ値」を計算し、前記テーブル(表1)の該当レコードの「Hash」に登録された値と比較する。比較の結果、ハッシュ値同士が同一であれば秘密鍵情報Sが正しく復元されたものとし、正当なユーザ・クライアント端末と認証される。これにより認証が成功し、矢印P5の指令により経路制御部13で経路制御が設定される。
ここで設定された経路の情報を利用してパソコン3からインターネットNへアクセスでき、ターゲットビジネスサービスの利用が可能となる。一方、前記ハッシュ値が同一でなければ、秘密鍵情報Sが正しく復元されていないものとする。この場合には正当なユーザ・クライアント端末と認められず、認証を失敗とし、インターネットNへのアクセスが拒否される。
このような前記ネットワーク接続認証システム1によれば、以下に示すパソコン3側の第1段階プロセスと、セキュリティボックス10側の第2段階プロセスとによりユーザおよびクライアント端末の正当性を認証する。
(1)第1段階プロセス
カードリーダー21を用いて前記カードから読み込んだ再分散片B1と、分散鍵保存部26の再分散片B2とから分散片A2を復元する。
(2)第2段階プロセス
第1段階で復元された分散片A2と、前記テーブルの分散片A1とで秘密鍵情報Sを復元する。
(1)第1段階プロセス
カードリーダー21を用いて前記カードから読み込んだ再分散片B1と、分散鍵保存部26の再分散片B2とから分散片A2を復元する。
(2)第2段階プロセス
第1段階で復元された分散片A2と、前記テーブルの分散片A1とで秘密鍵情報Sを復元する。
このとき第1段階プロセスによれば、分散鍵A2の復元に再分散鍵B1~B3のうち二つ以上が必要なため、それぞれが個別に遺漏・紛失しても分散鍵A2を復元することができない。
この状態のまま認証を受けようとしても、第2段階プロセスで秘密鍵情報Sが復元できないため、拒否される。また、不正侵入などにより分散片A1が漏洩しても分散片A2が無ければ、第2段階のプロセスで秘密鍵情報Sを復元できないため、同様に認証が拒否される。
その結果、秘匿性が強化され、なりすまし等の不正アクセス(Wi-Fiのただ乗り)の危険を回避することが可能となり、この点で安全なネットワーク接続の認証を実現することができる。
また、S03,S08,S14に示すように、秘密鍵情報S・分散鍵A2は消去されるため、セキュリティボックス10・パソコン3内にそれぞれの情報が残ることなく、不正侵入などによる盗難リスクも限りなく低減されている。
さらにバックアップ用の再分散鍵B3がセキュリティボックス10に保存されるため、再分散鍵B1を書き込んだカードを紛失した場合などにはセキュリティボックス10に再分散鍵B3の送信を依頼すれば分散鍵A2を復元でき、この点で秘匿性のみならず可用性も向上させることができる。
この場合にはパソコン3内の再分散鍵B2と再分散鍵B3とを使用して分散鍵A2を復元(再構成)した後に再度分散鍵A2を再分散させた結果をもってカード内の再分散鍵1およびパソコン3内の再分散鍵B2、さらにセキュリティボックス10内に保存する再分散鍵B3をすべて再登録することで、紛失に対しても安全性を確保した運用が可能となる。
なお、前述のように再分散鍵B1単独では分散鍵A2を復元できないため、新たな再分散鍵B1が作成される以前においても不正アクセスなどのリスクを軽減することができる。
≪その他・他例≫
本発明は、上記実施形態に限定されるものではなく、各請求項に記載された範囲内で変形して実施することができる。以下に一例を説明する。
本発明は、上記実施形態に限定されるものではなく、各請求項に記載された範囲内で変形して実施することができる。以下に一例を説明する。
(1)S01~S10のセットアップロセスをセキュリティボックス10ではなく、別のコンピュータの専用アプリケーションで実行し、表1のテーブル情報を秘密分散格納部25に保存してもよい。
(2)再分散鍵B1を前記カードではなく、USBメモリなどの記録媒体に保存して利用してもよいものとする。この場合にはカードリーダー21は不要となる。
(3)クライアント端末がスマートフォンの場合には、NFCカードの利用またはスマートフォン自体のセキュア領域(暗号化された領域など)の利用が可能である。
(4)秘密分散鍵Sを四つ以上の分散鍵に秘密分散した場合には、秘密分散格納部25の前記テーブルに複数の分散鍵を登録することができる。この場合は、分散数に応じて閾値も変更される。また、分散鍵A2を四つ以上の再分散鍵に秘密分散した場合には、複数の外部記録媒体(カード,USBメモリなど)に保存する可能である。
(5)なお、本発明は、セキュリティボックス10/クライアント端末(パソコン3,スマートフォン)としてコンピュータを機能させるプログラムとして構成することもできる。このプログラムをインストールされたコンピュータによりS01~S10,S11~S16が実行される。このプログラムは、記録媒体に格納して配布してもよく、あるいはインターネットからダウンロードする形式で配布してもよい。
1…ネットワーク接続認証システム1
2…ルータ装置
3…パソコン(クライアント端末)
4…スマートフォン(クライアント端末)
5…ゲートウェイ装置
10…セキュリティボックス
11…オペレーションシステム
12…TCP/IP制御部
13…経路制御部
14…秘密分散制御部
15…認証制御部
16…Wi-Fiアクセスポイント
20…分散鍵制御部
21…カードリーダー
25…秘密分散格納部
26…分散鍵保存部
2…ルータ装置
3…パソコン(クライアント端末)
4…スマートフォン(クライアント端末)
5…ゲートウェイ装置
10…セキュリティボックス
11…オペレーションシステム
12…TCP/IP制御部
13…経路制御部
14…秘密分散制御部
15…認証制御部
16…Wi-Fiアクセスポイント
20…分散鍵制御部
21…カードリーダー
25…秘密分散格納部
26…分散鍵保存部
Claims (8)
- クライアント端末と認証装置とを備え、
前記端末のネットワーク接続を前記認証装置により認証するシステムであって、
前記認証装置は、前記端末の認証IDに応じた秘密鍵情報を秘密分散した分散鍵群のうち、少なくとも一つの前記分散鍵を前記IDと対応付けて保存する秘密分散格納部と、
前記分散鍵群に基づき前記秘密鍵情報を復元する秘密分散制御部と、
前記復元された前記秘密鍵情報に基づき前記認証を実行する認証制御部と、
を備え、
前記秘密分散格納部に保存された分散鍵以外の分散鍵を前記IDと併せて前記端末に送信する一方、
前記端末は、前記認証装置から送信された前記IDおよび前記分散鍵を受信し、該受信した分散鍵を三つ以上の再分散鍵に再分散する分散鍵制御部を備え、
前記認証の要求時に前記再分散鍵群から前記受信した前記分散鍵を復元するとともに、該復元された前記分散鍵および前記IDを前記認証装置に送信し、
前記秘密分散制御部は、前記端末から送信された前記分散鍵および前記IDを前記認証装置が受信すれば、該受信した前記IDに基づき前記秘密分散格納部の格納情報を検索して対応する前記分散鍵を抽出し、該抽出された前記分散鍵と該受信した前記分散鍵とから前記秘密鍵情報を復元し、前記認証制御部が、前記秘密鍵情報の復元により前記認証の成功とし、
前記分散鍵制御部は、前記再分散鍵の一つを前記端末の保存部に保存し、
前記再分散鍵の他の一つを前記認証装置に送信し、
その他の前記再分散鍵を個数に応じた外部デバイスに保存し、
前記秘密分散制御部は、受信した前記再分散鍵をバックアップ用として前記秘密分散格納部に保存する
ことを特徴とするネットワーク接続認証システム。 - 前記秘密分散制御部により前記IDに対応する前記秘密鍵情報が生成され、前記秘密鍵情報を秘密分散した前記分散鍵群が生成される
ことを特徴とする請求項1記載のネットワーク接続認証システム。 - 前記秘密分散制御部は、前記分散鍵の生成後に前記秘密鍵情報を消去することを特徴とする請求項2記載のネットワーク接続認証システム。
- 前記秘密分散制御部は、前記秘密鍵情報を三つ以上の前記分散鍵に秘密分散し、一つの前記分散鍵をバックアップ用として保存媒体に書き込んで保存する
ことを特徴とする請求項2または3記載のネットワーク接続認証システム。 - 前記分散鍵制御部は、前記復元された前記分散鍵および前記IDを前記認証装置に送信した後、
前記復元された前記分散鍵を消去することを特徴とする請求項1~4のいずれかに記載のネットワーク接続認証システム。 - 前記秘密分散格納部には、前記IDごとに前記秘密鍵情報のハッシュ値が記述され、
前記認証制御部は、前記秘密分散制御部の復元した結果から計算されたハッシュ値と前記秘密分散格納部に記述された該当IDのハッシュ値とを比較し、
比較の結果、前記ハッシュ値同士が同じであれば前記秘密鍵情報が復元されたものとする一方、前記ハッシュ値同士が同じでなければ前記秘密鍵情報が復元されていないものとする
ことを特徴とする請求項1~5のいずれかに記載のネットワーク接続認証システム。 - クライアント端末のネットワーク接続を認証装置により認証する方法であって、
前記認証装置が、前記端末の認証IDに応じた秘密鍵情報を秘密分散した分散鍵群のうち、少なくとも一つの前記分散鍵を前記IDと対応付けて秘密分散格納部に保存するステップと、
前記認証装置が、前記秘密分散格納部に保存された分散鍵以外の分散鍵を前記IDと併せて前記端末に送信するステップと、
前記端末が前記認証装置から送信された前記IDおよび前記分散鍵を受信し、該受信した分散鍵を三つ以上の再分散鍵に再分散するステップと、
前記端末が、前記認証の要求時に前記再分散鍵群から前記受信した前記分散鍵を復元し、該復元された前記分散鍵および前記IDを前記認証装置に送信するステップと、
前記認証装置が、前記端末から送信された前記分散鍵および前記IDを前記認証装置が受信すれば、該受信した前記IDに基づき前記秘密分散格納部の格納情報を検索して対応する前記分散鍵を抽出し、該抽出された前記分散鍵と該受信した前記分散鍵とから前記秘密鍵情報を復元するステップと、
前記認証装置が、前記秘密鍵情報の復元により前記認証の成功とするステップと、
を有し、
前記端末が、前記再分散鍵の一つを自身の保存部に保存するステップと、
前記端末が、前記再分散鍵の他の一つを前記認証装置に送信するステップと、
前記端末が、その他の前記再分散鍵を個数に応じた外部デバイスに保存するステップと、
前記認証装置が、受信した前記再分散鍵をバックアップ用として前記秘密分散格納部に保存するステップと、
をさらに有することを特徴とするネットワーク接続認証方法。 - 請求項1~6のいずれかに記載された前記認証装置として一のコンピュータを機能させ、
請求項1~6のいずれかに記載された前記端末として他のコンピュータを機能させる
ことを特徴とするネットワーク接続認証プログラム。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2021089465A JP7300682B2 (ja) | 2021-05-27 | 2021-05-27 | ネットワーク接続認証システム、認証装置、ネットワーク接続認証方法、ネットワーク接続認証プログラム |
| JP2023086570A JP2023106558A (ja) | 2021-05-27 | 2023-05-26 | ネットワーク接続認証システム、ネットワーク接続認証方法、ネットワーク接続認証プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2021089465A JP7300682B2 (ja) | 2021-05-27 | 2021-05-27 | ネットワーク接続認証システム、認証装置、ネットワーク接続認証方法、ネットワーク接続認証プログラム |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2023086570A Division JP2023106558A (ja) | 2021-05-27 | 2023-05-26 | ネットワーク接続認証システム、ネットワーク接続認証方法、ネットワーク接続認証プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2022182121A JP2022182121A (ja) | 2022-12-08 |
| JP7300682B2 true JP7300682B2 (ja) | 2023-06-30 |
Family
ID=84328983
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2021089465A Active JP7300682B2 (ja) | 2021-05-27 | 2021-05-27 | ネットワーク接続認証システム、認証装置、ネットワーク接続認証方法、ネットワーク接続認証プログラム |
| JP2023086570A Pending JP2023106558A (ja) | 2021-05-27 | 2023-05-26 | ネットワーク接続認証システム、ネットワーク接続認証方法、ネットワーク接続認証プログラム |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2023086570A Pending JP2023106558A (ja) | 2021-05-27 | 2023-05-26 | ネットワーク接続認証システム、ネットワーク接続認証方法、ネットワーク接続認証プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (2) | JP7300682B2 (ja) |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070160197A1 (en) | 2004-02-10 | 2007-07-12 | Makoto Kagaya | Secret information management scheme based on secret sharing scheme |
| JP2008009054A (ja) | 2006-06-28 | 2008-01-17 | Optrex Corp | 表示装置及びその製造方法 |
| JP2009181153A (ja) | 2008-01-29 | 2009-08-13 | Dainippon Printing Co Ltd | 利用者認証システム、および方法、プログラム、媒体 |
| JP2012123587A (ja) | 2010-12-08 | 2012-06-28 | Fujitsu Semiconductor Ltd | 認証システム、及び認証方法 |
| JP2013127647A (ja) | 2013-03-25 | 2013-06-27 | Panasonic Corp | 通信装置 |
| WO2017134759A1 (ja) | 2016-02-03 | 2017-08-10 | 株式会社情報スペース | 認証装置、認証システム及び認証プログラム |
| JP6863514B1 (ja) | 2020-09-02 | 2021-04-21 | 大日本印刷株式会社 | 鍵共有方法、鍵共有システム、認証デバイス、認証対象デバイス、コンピュータプログラム及び認証方法 |
| JP2021082985A (ja) | 2019-11-21 | 2021-05-27 | 凸版印刷株式会社 | Icカード発行システム及びicカード |
-
2021
- 2021-05-27 JP JP2021089465A patent/JP7300682B2/ja active Active
-
2023
- 2023-05-26 JP JP2023086570A patent/JP2023106558A/ja active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070160197A1 (en) | 2004-02-10 | 2007-07-12 | Makoto Kagaya | Secret information management scheme based on secret sharing scheme |
| JP2008009054A (ja) | 2006-06-28 | 2008-01-17 | Optrex Corp | 表示装置及びその製造方法 |
| JP2009181153A (ja) | 2008-01-29 | 2009-08-13 | Dainippon Printing Co Ltd | 利用者認証システム、および方法、プログラム、媒体 |
| JP2012123587A (ja) | 2010-12-08 | 2012-06-28 | Fujitsu Semiconductor Ltd | 認証システム、及び認証方法 |
| JP2013127647A (ja) | 2013-03-25 | 2013-06-27 | Panasonic Corp | 通信装置 |
| WO2017134759A1 (ja) | 2016-02-03 | 2017-08-10 | 株式会社情報スペース | 認証装置、認証システム及び認証プログラム |
| JP2021082985A (ja) | 2019-11-21 | 2021-05-27 | 凸版印刷株式会社 | Icカード発行システム及びicカード |
| JP6863514B1 (ja) | 2020-09-02 | 2021-04-21 | 大日本印刷株式会社 | 鍵共有方法、鍵共有システム、認証デバイス、認証対象デバイス、コンピュータプログラム及び認証方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2022182121A (ja) | 2022-12-08 |
| JP2023106558A (ja) | 2023-08-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2021218885A1 (zh) | 用于数据传输的安全保密方法和*** | |
| EP2780857B1 (en) | Method of securing a computing device | |
| CN114788226B (zh) | 用于建立分散式计算机应用的非托管工具 | |
| CN104662870A (zh) | 数据安全管理*** | |
| EP2544117A1 (en) | Method and system for sharing or storing personal data without loss of privacy | |
| Kaur et al. | A Secure Two‐Factor Authentication Framework in Cloud Computing | |
| CN104885093A (zh) | 基于加密的数据访问管理 | |
| KR102399667B1 (ko) | 블록체인 기반 데이터 거래 및 보관을 위한 보안 시스템 및 그 방법 | |
| CN111447220B (zh) | 认证信息管理方法、应用***的服务端及计算机存储介质 | |
| KR101441581B1 (ko) | 클라우드 컴퓨팅 환경을 위한 다계층 보안 장치 및 다계층 보안 방법 | |
| WO2020123926A1 (en) | Decentralized computing systems and methods for performing actions using stored private data | |
| JP4860779B1 (ja) | データ分散保管システム | |
| KR102010776B1 (ko) | 블록체인 기반의 패스워드 처리 방법, 사용자 로그인 인증 지원 방법 및 이를 이용한 서버 | |
| WO2013149426A1 (zh) | 应用接入智能卡的认证方法、装置和*** | |
| JP2013020314A (ja) | データ分散保管システム | |
| AU2020296853A1 (en) | Method and chip for authenticating to a device and corresponding authentication device and system | |
| US20140250499A1 (en) | Password based security method, systems and devices | |
| JP2018137587A (ja) | 認証鍵共有システムおよび認証鍵共有方法 | |
| Nakouri et al. | A new biometric-based security framework for cloud storage | |
| JP7300682B2 (ja) | ネットワーク接続認証システム、認証装置、ネットワーク接続認証方法、ネットワーク接続認証プログラム | |
| JP7235941B2 (ja) | 情報管理システム及びその方法 | |
| Lu | Keeping your API keys in a safe | |
| US11972000B2 (en) | Information dispersal for secure data storage | |
| WO2019216847A2 (en) | A sim-based data security system | |
| KR101221728B1 (ko) | 그래픽 otp 인증을 위한 인증처리서버 및 그 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220613 |
|
| A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20230228 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20230421 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230509 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230526 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230606 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230612 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7300682 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |