[go: up one dir, main page]

JP2007019824A - Token authentication method and system - Google Patents

Token authentication method and system Download PDF

Info

Publication number
JP2007019824A
JP2007019824A JP2005198854A JP2005198854A JP2007019824A JP 2007019824 A JP2007019824 A JP 2007019824A JP 2005198854 A JP2005198854 A JP 2005198854A JP 2005198854 A JP2005198854 A JP 2005198854A JP 2007019824 A JP2007019824 A JP 2007019824A
Authority
JP
Japan
Prior art keywords
authentication
card
program
management device
token
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2005198854A
Other languages
Japanese (ja)
Inventor
Shinichi Hirata
真一 平田
Shuichiro Yamamoto
修一郎 山本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Inc
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2005198854A priority Critical patent/JP2007019824A/en
Publication of JP2007019824A publication Critical patent/JP2007019824A/en
Pending legal-status Critical Current

Links

Images

Abstract

【課題】 認証方式や認証用の鍵が異なるICカードシステム間でもICカードの認証が可能なトークン認証方法及びシステムを提供することにある。
【解決手段】 自システムに属するICカードを他のシステムで認証可能とするために、自システム内のカード管理装置に、他のシステムに固有の認証プログラムを格納するとともに、他のシステムの認証用の鍵を格納し、必要に応じて該カード管理装置から該管理装置が管理するICカードに、他のシステムに固有の認証プログラムをダウンロードするとともに、他のシステムの認証用の鍵を設定し、該認証プログラムと鍵を用いて認証のためのトークンを生成する
【選択図】 図2PROBLEM TO BE SOLVED: To provide a token authentication method and system capable of authenticating an IC card even between IC card systems having different authentication methods and authentication keys.
In order to enable authentication of an IC card belonging to the own system by another system, an authentication program unique to the other system is stored in the card management apparatus in the own system, and for authentication of the other system. And, if necessary, download an authentication program specific to the other system to the IC card managed by the management device from the card management device, and set an authentication key for the other system, Generate a token for authentication using the authentication program and key [selection figure]

Description

本発明はICカードシステムにおけるトークン認証方法及びシステムに関するものである。   The present invention relates to a token authentication method and system in an IC card system.

近年、公共、金融、通信、交通、医療の分野、そしてインターネット上の電子商取引等において、セキュリティ上安全なICカードの利用が広まりつつある。従来のICカードシステムでは、カード利用者に対し種々のサービスを安全且つ確実に提供するために、システム固有の認証方式を用いてICカードを認証しており 〈例えば特許文献1参照)、認証方式の異なるシステムではICカードの認証は行えず、異なるシステム間でのICカードの相互利用はできなかった。また、同一の認証方式でも、各システムで認証に使用する鍵の登録認証局が異なると、認証を
行うことはできなかった。例えば、PKI(公開鍵基盤)に基づく認証方式をとるシステムの場合、登録認証局が異なるシステムでは、あるシステムで有効な認証用の鍵は他のシステムでは無効であるため、あるシステムに所属するICカードは他のシステムでは認証を行えず、異なるシステム間でICカードを相互利用することができなかった。また、公開鍵暗号をベースとするので、暗号/署名演算に時間がかかることや、多数のシステム間でICカードを相互利用しようとした場合には認証用の鍵やプログラムの格納容量が大きくなり、ICカードでは実現できないという問題があった。 In recent years, the use of IC cards that are safe for security is becoming widespread in the fields of public, finance, communication, transportation, medical care, and electronic commerce on the Internet. In the conventional IC card system, in order to provide various services safely and surely to the card user, the IC card is authenticated using a system-specific authentication method (see, for example, Patent Document 1). IC cards cannot be authenticated in different systems, and IC cards cannot be used mutually between different systems. In addition, even if the same authentication method is used, authentication cannot be performed if the registration authority of the key used for authentication in each system is different. For example, in the case of a system that uses an authentication method based on PKI (public key infrastructure), an authentication key that is valid in one system is invalid in another system in a system with a different registration certificate authority, and therefore belongs to a certain system. The IC card cannot be authenticated in other systems, and the IC card cannot be used between different systems. In addition, since it is based on public key cryptography, it takes time to perform encryption / signature computation, and the storage capacity of authentication keys and programs increases when IC cards are used interchangeably among many systems. There is a problem that it cannot be realized with an IC card.

特開2001−069140号公報Japanese Patent Laid-Open No. 2001-069140

本発明の目的は、認証方式や認証用の鍵が異なるICカードシステム間でもICカードの相互認証が可能なトークン認証方法及びシステムを提供することにある。   An object of the present invention is to provide a token authentication method and system capable of mutual authentication of IC cards even between IC card systems having different authentication methods and different authentication keys.

本発明は、認証方式や認証用の鍵が異なる少なくとも2つのICカードシステム間でICカードの認証を行う認証方法において、自システムに属するICカードを他のシステムで認証可能とするために、自システム内のカード管理装置に、他のシステムに固有の認証プログラムを格納するとともに、他のシステムの認証用の鍵を格納し、必要に応じて該カード管理装置から該管理装置が管理するICカードに、他のシステムに固有の認証プログラムをダウンロードするとともに、他のシステムの認証用の鍵を設定し、該認証プログラムと鍵を用いて認証のためのトークンを生成することを特徴とする。   The present invention provides an authentication method for authenticating an IC card between at least two IC card systems having different authentication methods and authentication keys, so that the IC card belonging to the own system can be authenticated by another system. An IC card that stores an authentication program unique to another system and stores an authentication key for the other system in the card management apparatus in the system, and is managed by the management apparatus from the card management apparatus as necessary In addition, an authentication program unique to another system is downloaded, an authentication key for the other system is set, and a token for authentication is generated using the authentication program and the key.

本発明の認証方法では、更に、自システム内のカード管理装置が他のシステムに固有のトークンプログラムを格納する際に、該システム内の認証局は該トークンプログラムの証明書を発行するのが好ましい。これにより、カード管理装置は他のシステムに固有の認証プログラムを格納する際にこの証明書によりその正当性を認証することができる。また、ICカードは自システム内のカード管理装置から他のシステムに固有の認証プログラムをダウンロードする際に、このプログラム証明書によりその正当性を認証することができる。   In the authentication method of the present invention, it is preferable that the certificate authority in the system issues a certificate of the token program when the card management device in the own system stores a token program unique to another system. . As a result, the card management apparatus can authenticate the authenticity by using this certificate when storing an authentication program unique to another system. Further, when an IC card downloads an authentication program specific to another system from a card management device in its own system, the validity of the IC card can be authenticated by this program certificate.

本発明のトークン認証方法を実施するシステムは、
各システム内のカード管理装置は、他のシステムに固有のトークン認証プログラムと認証用の鍵を格納する手段を具え、
該管理装置により管理されるICカードは、必要に応じて該カード管理装置から他のシステムに固有の認証プログラムと認証用の鍵をダウンロードする手段と、ダウンロードした認証プログラムを認証用の鍵を用いて認証のためのトークンを生成する手段を具えることを特徴とする。 A system for implementing the token authentication method of the present invention includes:
The card management device in each system comprises means for storing a token authentication program and an authentication key unique to other systems,
The IC card managed by the management device uses a means for downloading an authentication program and an authentication key specific to another system from the card management device as needed, and uses the authentication key for the downloaded authentication program. And a means for generating a token for authentication.

本発明の認証システムでは、更に、自システム内のカード管理装置が他のシステムに固有のプログラムを格納する際に、自システム内の認証局は該プログラムの証明書を発行する手段を具えるのが好ましい。   The authentication system of the present invention further comprises means for issuing a certificate of the program when the card management device in the own system stores a program unique to the other system. Is preferred.

この場合、自システム内のカード管理装置には、他のシステムに固有のプログラムを格納する際に該プログラム証明書によりその正当性を認証する手段を設け、自システム内のICカードには、自システム内のカード管理装置から他のシステムに固有のプログラムをダウンロードする際に、該プログラム証明書によりその正当性を認証する手段を設けるのが好ましい。   In this case, the card management apparatus in the own system is provided with means for authenticating the validity by the program certificate when storing a program unique to another system. When downloading a program specific to another system from a card management device in the system, it is preferable to provide means for authenticating the validity of the program certificate.

本発明の認証方法及びシステムによれば、自システムに属するICカードが他のシステムに属するサービスを受けたい場合には、当該ICカードは、必要に応じて当該ICカードを管理するカード管理装置から他のシステムに固有の認証プログラムをダウンロードするとともに他のシステムの認証用の鍵を設定し、該認証プログラムと鍵を使用してトークンを生成し他のシステムにて認証することが可能となる。また、該認証プログラムはトークンを生成するものであるから、PKIベースの認証プログラムに比べてプログラムサイズを小さくすることが可能となり、メモリ容量に限界のあるICカードに対して好適であるとともに、処理が軽く、高速処理が可能になる。尚、トークンは共通鍵に基づく方式のみならず、ハッシュやパスワードに基づく方式を用いてもよい。   According to the authentication method and system of the present invention, when an IC card belonging to the own system wants to receive a service belonging to another system, the IC card is removed from the card management apparatus that manages the IC card as necessary. It is possible to download an authentication program unique to another system, set an authentication key for the other system, generate a token using the authentication program and the key, and authenticate with the other system. In addition, since the authentication program generates a token, the program size can be reduced as compared with a PKI-based authentication program, which is suitable for an IC card having a limited memory capacity and processing. Is light and enables high-speed processing. The token may be based not only on a common key but also on a hash or password.

更に、本発明の認証方法及びシステムでは、ダウンロードした認証プログラムは利用後に削除することにより、ICカードの使用メモリ容量を削減することが可能となる。この認証プログラムの削除は、必要がなくなったとき、メモリ容量が足りなくなったとき、あるいは一定期間後に行うことができる。   Furthermore, in the authentication method and system of the present invention, the downloaded authentication program can be deleted after use, thereby reducing the used memory capacity of the IC card. This authentication program can be deleted when it is no longer necessary, when the memory capacity is insufficient, or after a certain period of time.

以上説明したように、本発明によれば、PKIベースの認証方式を用いる認証システムのICカードでも共通鍵ベースのトークン認証方式を用いる他の認証システムのカード管理装置の認証を受け、他のシステムのサービスを受けることができる。また、必要に応じ他のシステムに固有のトークンプログラムをダウンロードすればよく、トークンプログラムはPKIベースの認証プログラムに比べてプログラムサイズが小さいので、メモリ容量に限界のあるICカードに対して好適である。また、処理が軽く、高速処理が可能になる。   As described above, according to the present invention, an IC card of an authentication system using a PKI-based authentication method is authenticated by the card management apparatus of another authentication system using a common key-based token authentication method, and the other system Can receive services. In addition, a token program specific to another system may be downloaded if necessary, and the token program has a smaller program size than a PKI-based authentication program, which is suitable for an IC card with a limited memory capacity. . In addition, the processing is light and high-speed processing is possible.

図1は本発明のトークン認証方法を実施するシステムの構成図であり、Iはある組織または地域のICカードシステム、IIは他の組織または地域のICカードシステムである。システムIおよびIIは認証方式が異なり、本例ではシステムIはPKIベースの認証方式を用い、システムIIは共通鍵ベースの認証方式を用いている。   FIG. 1 is a block diagram of a system that implements the token authentication method of the present invention, where I is an IC card system in one organization or region, and II is an IC card system in another organization or region. The system I and II have different authentication methods. In this example, the system I uses a PKI-based authentication method, and the system II uses a common key-based authentication method.

図中、100はシステムIに属するICカード、200はシステムIに属するICカードを管理するカード管理装置であり、具体的には管理するICカードにサービスを提供するカード発行装置やサービス提供装置であり、300はシステムIに属するICカード100やカード管理装置200を登録管理する認証局である。400はシステムIIに属するICカード(図示せず)を管理するカード管理装置であり、具体的には管理するICカードにサービスを提供するカード発行装置やサービス提供装置であり、本例ではシステムIIは共通鍵ベースの認証方式を用いているので、システムIIには認証局は存在しない。尚、本発明はICカードシステムの認証方法に関するものであるから、図には、本発明の認証方法の理解に必要な構成しか示されていない点に注意されたい。   In the figure, reference numeral 100 denotes an IC card belonging to the system I, and reference numeral 200 denotes a card management apparatus that manages the IC card belonging to the system I. Specifically, a card issuing apparatus or a service providing apparatus that provides a service to the managed IC card. A certificate authority 300 registers and manages the IC card 100 and the card management apparatus 200 belonging to the system I. Reference numeral 400 denotes a card management device that manages IC cards (not shown) belonging to the system II, and more specifically, a card issuing device and a service providing device that provide services to the IC cards to be managed. Uses a common key-based authentication scheme, so there is no certificate authority in System II. Note that since the present invention relates to an authentication method of an IC card system, only the configuration necessary for understanding the authentication method of the present invention is shown in the figure.

システムI内の認証局300は、システムIに属するカード管理装置200やICカード100の公開鍵などを登録し管理する鍵管理部311と、登録した公開鍵証明書などを発行する証明書発行部312と、証明書検証部313と、格納部314を具える。カード管理装置200は、認証局300の鍵管理部311に登録された当該カード管理装置の公開鍵や当該管理装置が管理するICカード100の公開鍵や認証局300の公開鍵を管理する鍵管理部211と、当該管理装置が管理するICカード100を認証するカード認証部212と、種々のプログラムを管理するプログラム管理部213を具え、プログラム管理部213はプログラム検証部214と格納部215を具える。   The certificate authority 300 in the system I includes a key management unit 311 for registering and managing the public keys of the card management device 200 and the IC card 100 belonging to the system I, and a certificate issuing unit for issuing the registered public key certificate. 312, a certificate verification unit 313, and a storage unit 314. The card management device 200 manages the public key of the card management device registered in the key management unit 311 of the certificate authority 300, the public key of the IC card 100 managed by the management device, and the public key of the certificate authority 300. Unit 211, a card authentication unit 212 that authenticates the IC card 100 managed by the management apparatus, and a program management unit 213 that manages various programs. The program management unit 213 includes a program verification unit 214 and a storage unit 215. Yeah.

ICカード100は、認証局300の鍵管理部311に登録されたカード管理装置200やICカード100の公開鍵鍵や認証局の公開鍵などを管理する鍵管理部111と、システムI内のカード管理装置200を認証する認証部112と、種々のプログラムを検証するプログラム検証部113と、種々のプログラムなどを格納する格納部114と、種々のプログラムを実行するプログラム実行部115とを具える。
従って、システムI内のICカード100とカード管理装置200は、それぞれの認証部112、212でそれぞれの公開鍵を使ってPKIベースの認証を行うことができる。 The IC card 100 includes a card management device 200 registered in the key management unit 311 of the certification authority 300, a key management unit 111 that manages the public key key of the IC card 100, the public key of the certification authority, and the like, and a card in the system I. An authentication unit 112 that authenticates the management apparatus 200, a program verification unit 113 that verifies various programs, a storage unit 114 that stores various programs, and a program execution unit 115 that executes various programs.
Therefore, the IC card 100 and the card management apparatus 200 in the system I can perform PKI-based authentication using the respective public keys in the respective authentication units 112 and 212.

システムII内のカード管理装置400は、プログラム管理部410とトークン認証部420を具える。プログラム管理部410は、鍵管理部411と、ププログラム検証部412と、格納部413と、プログラム識別情報管理部414と、ハッシュ演算部415とを具える。トークン認証部420は、トークン生成情報管理部421と、トークン生成情報管理部421で生成されるシステムIIの認証用の鍵(共通鍵)などを格納する格納部422と、トークン検証部423と、鍵管理部424と、認証情報生成部425とを具え、認証情報生成部425は乱数生成部426とタイマ427を具え、システムII内のICカード(図示せず)と共通鍵ベースのトークン認証を行う。   The card management device 400 in the system II includes a program management unit 410 and a token authentication unit 420. The program management unit 410 includes a key management unit 411, a program verification unit 412, a storage unit 413, a program identification information management unit 414, and a hash calculation unit 415. The token authentication unit 420 includes a token generation information management unit 421, a storage unit 422 that stores a system II authentication key (common key) generated by the token generation information management unit 421, a token verification unit 423, A key management unit 424 and an authentication information generation unit 425; an authentication information generation unit 425 includes a random number generation unit 426 and a timer 427; Do.

従って、システムI内のICカード100とカード管理装置200は、PKIベースの認証を行うことができ、システムII内のICカード(図示せず)とカード管理装置400は、共通鍵ベースのトークン認証を行うことができる。
しかし、システムI内のICカード100はシステムIIに固有の認証プログラム(トークンプログラム)を持たず、またシステムIIの認証用の鍵(共通鍵)を持たないので、システムII内のカード管理装置400で認証されず、システムIIのサービスを受けることはできない。 Therefore, the IC card 100 and the card management apparatus 200 in the system I can perform PKI-based authentication, and the IC card (not shown) and the card management apparatus 400 in the system II can perform token authentication based on the common key. It can be performed.
However, since the IC card 100 in the system I does not have an authentication program (token program) unique to the system II and does not have an authentication key (common key) for the system II, the card management apparatus 400 in the system II. You will not be able to receive System II services.

本発明の方法では、この間題を解決するために、最初に、システムIIに固有のトークンプログラムをシステムIの認証局300に登録した後に、カード管理装置200に格納する。尚、システムIIのカード管理装置400は予めシステムIの認証局300の公開鍵を鍵管理部411に持っているものとする。
この手順の詳細を図2に示す。最初に、システムIIのカード管理装置400は、プログラム管理部410内のプログラム識別情報管理部414にて、プログラム識別IDを生成し、ハッシュ演算部415にてプログラムのハッシュ値を生成し、格納部413に格納した後、システムIの認証局300に送信する。 In the method of the present invention, in order to solve this problem, a token program unique to the system II is first registered in the certificate authority 300 of the system I and then stored in the card management device 200. It is assumed that the card management device 400 of the system II has the public key of the certificate authority 300 of the system I in the key management unit 411 in advance.
Details of this procedure are shown in FIG. First, the card management apparatus 400 of the system II generates a program identification ID in the program identification information management unit 414 in the program management unit 410, generates a hash value of the program in the hash calculation unit 415, and stores the storage unit. After being stored in 413, it is transmitted to the certificate authority 300 of the system I.

システムIの認証局300は、受信したプログラム識別情報を格納部314に格納し、受信した情報、システムIの認証局識別情報、認証局の鍵情報とともに認証局の秘密鍵で署名を生成し、プログラム証明書を作成し、格納部314に格納(登録)した後、システムIIのカード管理装置400に送信する。   The certificate authority 300 of the system I stores the received program identification information in the storage unit 314, generates a signature with the received information, the certificate authority identification information of the system I, the key information of the certificate authority, and the secret key of the certificate authority, A program certificate is created, stored (registered) in the storage unit 314, and then transmitted to the card management apparatus 400 of the system II.

システムIIのカード管理装置400は、受信したプログラム証明書をプログラム管理部410にて鍵管理部411に格納してあるシステムIの認証局の公開鍵によりプログラム証明書を検証し、格納部413に格納する。   The system II card management device 400 verifies the received program certificate with the public key of the system I certification authority stored in the key management unit 411 in the program management unit 410 and stores it in the storage unit 413. Store.

次に、カード管理装置400は、プログラム管理部410の格納部413より、トークンプログラム、プログラム識別情報、プログラム証明書を読み出すとともに、トークン認証部420のトーク生成情報管理部421にて、トークン生成情報(サービス識別ID、鍵ID、鍵)を生成し、格納部422に格納した後、トークンプログラム、プログラム識別情報、プログラム証明書と共にシステムIのカード管理装置200に送信する。   Next, the card management device 400 reads the token program, program identification information, and program certificate from the storage unit 413 of the program management unit 410, and at the token generation information management unit 421 of the token authentication unit 420, the token generation information (Service identification ID, key ID, key) is generated, stored in the storage unit 422, and then transmitted to the card management apparatus 200 of the system I together with the token program, program identification information, and program certificate.

システムIのカード管理装置200は、受信したプログラム証明書をプログラム検証部214にてシステムIの認証局の公開鍵で検証し、検証が正しければ、受信したトークンプログラム、プログラム識別情報、プログラム証明書、トークン生成情報(サービス識別ID、鍵ID、鍵)を格納部215に格納し、その結果をシステムIIのカード管理装置400に通知する。   The card management apparatus 200 of the system I verifies the received program certificate with the public key of the certification authority of the system I at the program verification unit 214. If the verification is correct, the received token program, program identification information, program certificate The token generation information (service identification ID, key ID, key) is stored in the storage unit 215, and the result is notified to the card management apparatus 400 of the system II.

次に、本発明の方法では、必要に応じて、システムIのカード管理装置200に格納されたシステムIIに固有のトークンプログラムと鍵をシステムIのICカード1にダウンロードする。   Next, in the method of the present invention, a token program and a key specific to the system II stored in the card management apparatus 200 of the system I are downloaded to the IC card 1 of the system I as necessary.

この手順の詳細を図3に示す。先ず、カード管理装置200とICカード100はそれぞれの認証部112、212でそれぞれの公開鍵を使って相互認証を行う。   Details of this procedure are shown in FIG. First, the card management apparatus 200 and the IC card 100 perform mutual authentication using the respective public keys in the respective authentication units 112 and 212.

この相互認証後に、カード管理装置200はプログラム管理部213の格納部215に格納されているシステムIIに固有のトークンプログラム、プログラム識別情報、プログラム証明書、トークン生成情報(サービス識別ID、鍵ID、鍵)をICカード100に送る。   After the mutual authentication, the card management apparatus 200 uses the token program, program identification information, program certificate, and token generation information (service identification ID, key ID, key ID) unique to the system II stored in the storage unit 215 of the program management unit 213. Key) to the IC card 100.

ICカード100は受信したプログラム証明書をプログラム検証部113で鍵管理部111に格納されている認証局300の公開鍵で検証し、検証が正しければ、システムIIに固有のトークンプログラムとトークン生成情報(サービス識別ID、鍵ID、鍵)を格納部114にダウンロードする。   The IC card 100 verifies the received program certificate with the public key of the certificate authority 300 stored in the key management unit 111 by the program verification unit 113, and if the verification is correct, the token program and token generation information unique to the system II (Service identification ID, key ID, key) is downloaded to the storage unit 114.

こうして、システムIIに固有のトークンプログラムと鍵がダウンロードされたシステムI内のICカードはシステムII内のカード管理装置400の認証を受けて特定のサービスを受けることができる。   In this way, the IC card in the system I in which the token program and key unique to the system II are downloaded can receive a specific service upon receiving the authentication of the card management device 400 in the system II.

この手順を図3に示す。システムII内のカード管理装置400はトークン認証部420からトークンプログラム選択コマンドをシステムIのICカード100に送る。ICカード100はこのコマンドに応答して選択されたトークンプログラムを格納部114よりプログラム実行部115に読み込む。   This procedure is shown in FIG. The card management device 400 in the system II sends a token program selection command from the token authentication unit 420 to the IC card 100 of the system I. The IC card 100 reads the token program selected in response to this command from the storage unit 114 to the program execution unit 115.

次に、システムIIのカード管理装置400は、トークン認証部420の認証情報生成部425にて認証情報を生成し、ICカード100に送信する。この認証情報は、図示の例では認証情報生成部425内の乱数生成部426より発生される乱数とタイマ部427より発生される現在時間とで構成するが、これに限定されない。   Next, the card management apparatus 400 of the system II generates authentication information by the authentication information generation unit 425 of the token authentication unit 420 and transmits it to the IC card 100. In the illustrated example, the authentication information is composed of a random number generated by the random number generation unit 426 in the authentication information generation unit 425 and a current time generated by the timer unit 427, but is not limited thereto.

システムIのICカード100は、認証情報を受け取ると、格納部114より、プログラムロード時に受信格納されたトークン生成情報(サービス識別ID、鍵ID、鍵)をプログラム実行部115に読み込み、プログラム実行部115にて、受信した認証情報(乱数、時間情報)とサービスIDを読み込んだ鍵で暗号化し、サービス識別ID、鍵IDを付加してトークンを生成し、システムIIのカード管理装置400のトークン認証部420に送信する。 When receiving the authentication information, the IC card 100 of the system I reads the token generation information (service identification ID, key ID, key) received and stored at the time of loading the program from the storage unit 114 into the program execution unit 115, and the program execution unit At 115, the received authentication information (random number, time information) and the service ID are encrypted with the read key, and the token is generated by adding the service identification ID and the key ID, and the token authentication of the card management apparatus 400 of the system II To the unit 420.

システムIIのカード管理装置400のトークン認証部420は受信したサービス識別IDをトークン生成情報管理部421にて検索し、格納部422に存在するかチェックを行い、あれば、受信した鍵IDを鍵管理部424にて検索し、対応する鍵を格納部422よりトークン検証部423に読み込み、この鍵を用いて受信した暗号化情報を復号し、送信した乱数、時間情報、サービス識別IDと一致するかチェックすることでトークン検証を行い、検証が正しければカード管理装置400はサービスを開始する。   The token authentication unit 420 of the system II card management device 400 searches the token generation information management unit 421 for the received service identification ID and checks whether it exists in the storage unit 422. The management unit 424 searches, reads the corresponding key from the storage unit 422 into the token verification unit 423, decrypts the encrypted information received using this key, and matches the transmitted random number, time information, and service identification ID. Token verification is performed by checking whether or not, and if the verification is correct, the card management device 400 starts the service.

以上、本発明によるトークン認証方法及びシステムの構成及び処理手順を説明したが、図1に示す本発明のトークン認証システムを構成するICカード、認証局、カード管理装置の種々の構成部はコンピュータにより実現され、図2〜図4に示す本発明のトークン認証方法の処理手順は認証局やカード管理装置やICカードを構成するコンピュータにより実行され、本発明はこれらの処理手順を実行させるためのコンピュータプログラム及び該コンピュータプログラムを記録した記録媒体も本発明の範囲に含むものである。   The token authentication method and system configuration and processing procedure according to the present invention have been described above. The various components of the IC card, certificate authority, and card management apparatus that constitute the token authentication system of the present invention shown in FIG. 2 to 4, the processing procedure of the token authentication method of the present invention shown in FIGS. 2 to 4 is executed by a certificate authority, a card management device, and a computer constituting an IC card, and the present invention is a computer for executing these processing procedures. A program and a recording medium recording the computer program are also included in the scope of the present invention.

本発明のトークン認証方法を実施するシステムの構成図である。It is a block diagram of the system which implements the token authentication method of this invention. 本発明のトークン認証方法においてシステムIIに固有のトークンプログラムをシステムIの認証局に登録した後にカード管理装置にダウンロードする手順を示す図である。It is a figure which shows the procedure which downloads to the card | curd management apparatus after registering the token program intrinsic | native to system II in the certification | authentication authority of system I in the token authentication method of this invention. 本発明のトークン認証方法においてシステムIIに固有のトークンプログラムをシステムIのカード管理装置からICカードにダウンロードする手順を示す図である。It is a figure which shows the procedure which downloads the token program intrinsic | native to the system II from the card management apparatus of the system I to an IC card in the token authentication method of this invention. システムIのICカードをシステムIIで認証する手順を示す図である。It is a figure which shows the procedure which authenticates the IC card of the system I by the system II.

符号の説明Explanation of symbols

I システム
II システム
100 ICカード
200 カード管理装置
300 認証局
400 カード管理装置
111 鍵管理部
112 認証部
113 プログラム検証部
114 格納部
115 プログラム実行部
211 鍵管理部
212 カード認証部
213 プログラム管理部
214 プログラム検証部
215 格納部
311 鍵管理部
312 証明書発行部
313 証明書検証部
314 格納部
410 プログラム管理部
411 鍵管理部
412 プログラム検証部
413 格納部
414 プログラム識別情報管理部
415 ハッシュ演算部
420 トークン認証部
421 トークン生成情報管理部
422 格納部
423 トークン検証部
425 認証情報生成部 I system
II system 100 IC card 200 card management device 300 certificate authority 400 card management device 111 key management unit 112 authentication unit 113 program verification unit 114 storage unit 115 program execution unit 211 key management unit 212 card authentication unit 213 program management unit 214 program verification unit 215 Storage unit 311 Key management unit 312 Certificate issue unit 313 Certificate verification unit 314 Storage unit 410 Program management unit 411 Key management unit 412 Program verification unit 413 Storage unit 414 Program identification information management unit 415 Hash operation unit 420 Token authentication unit 421 Token generation information management unit 422 Storage unit 423 Token verification unit 425 Authentication information generation unit

Claims (9)

認証方式や認証用の鍵が異なる少なくとも2つのICカードシステム間でICカードの認証を行う認証方法において、自システムに属するICカードを他のシステムで認証可能とするために、自システム内のカード管理装置に、他のシステムに固有の認証プログラムを格納するとともに、他のシステムの認証用の鍵を格納し、必要に応じて該カード管理装置から該管理装置が管理するICカードに、他のシステムに固有の認証プログラムをダウンロードするとともに、他のシステムの認証用の鍵を設定し、該認証プログラムと鍵を用いて認証のためのトークンを生成することを特徴とするトークン認証方法。   In an authentication method for authenticating an IC card between at least two IC card systems having different authentication methods and authentication keys, in order to enable an IC card belonging to the own system to be authenticated by another system, the card in the own system An authentication program unique to another system is stored in the management apparatus, and an authentication key for the other system is stored. If necessary, an IC card managed by the management apparatus is transferred from the card management apparatus to another IC card. A token authentication method comprising downloading an authentication program unique to a system, setting a key for authentication of another system, and generating a token for authentication using the authentication program and the key. 自システム内のカード管理装置が他のシステムに固有のプログラムを格納する際に、自システム内の認証局は該プログラムの証明書を発行し、自システム内のカード管理装置は他のシステムに固有のプログラムを格納する際に前記プログラム証明書によりその正当性を認証することを特徴とする請求項1記載の方法。   When the card management device in its own system stores a program specific to another system, the certificate authority in its own system issues a certificate for the program, and the card management device in its own system is unique to the other system. 2. The method according to claim 1, wherein when the program is stored, the validity is authenticated by the program certificate. ICカードは自システム内のカード管理装置から他のシステムに固有のプログラムをダウンロードする際に、前記プログラム証明書によりその正当性を認証することを特徴とする請求項2記載の方法。   3. The method according to claim 2, wherein when the IC card downloads a program specific to another system from a card management apparatus in the system, the validity of the IC card is verified by the program certificate. 請求項1記載の方法を実施するトークン認証システムにおいて、各システム内のカード管理装置は、他のシステムに固有のトークン認証プログラムと認証用の鍵を格納する手段を具え、
該管理装置により管理されるICカードは、必要に応じて該カード管理装置から他のシステムに固有の認証プログラムと認証用の鍵をダウンロードする手段と、ダウンロードした認証プログラムを認証用の鍵を用いて認証のためのトークンを生成する手段を具えることを特徴とするトークン認証システム。 The token authentication system for implementing the method according to claim 1, wherein the card management device in each system comprises means for storing a token authentication program and an authentication key unique to another system,
The IC card managed by the management device uses a means for downloading an authentication program and an authentication key specific to another system from the card management device as needed, and uses the authentication key for the downloaded authentication program. And a means for generating a token for authentication. 各システム内のカード管理装置が他のシステムに固有のプログラムを格納する際に、当該システム内の認証局は該プログラムの証明書を発行する手段を具え、当該カード管理装置は他のシステムに固有のプログラムを格納する際に該証明書によりその正当性を認証する手段を具えることを特徴とする請求項4記載のシステム。   When the card management device in each system stores a program specific to the other system, the certificate authority in the system has means for issuing a certificate of the program, and the card management device is unique to the other system. 5. The system according to claim 4, further comprising means for authenticating the validity of the program by using the certificate. ICカードは、自システム内のカード管理装置から他のシステムに国有のプログラムをダウンロードする際に、前記プログラム証明書によりその正当性を認証する手段を具えることを特徴とする請求項5記載のシステム。   6. The IC card according to claim 5, further comprising means for authenticating the legitimacy by the program certificate when a state-owned program is downloaded from a card management device in the own system to another system. system. 請求項1記載の方法を実行するためのコンピュータプログラムであって、自システム内のカード管理装置に、他のシステムに固有の認証プログラムを格納するとともに、他のシステムの認証用の鍵を格納し、必要に応じて該カード管理装置から該管理装置が管理するICカードに、他のシステムに固有の認証プログラムをダウンロードするとともに、他のシステムの認証用の鍵を設定し、該認証プログラムと鍵を用いて認証のためのトークンを生成する手順を実行させることを特徴とするコンピュータプログラム。   A computer program for executing the method according to claim 1, wherein an authentication program specific to another system is stored in a card management device in the own system, and an authentication key for the other system is stored. If necessary, an authentication program specific to the other system is downloaded from the card management device to the IC card managed by the management device, and an authentication key for the other system is set. A computer program for executing a procedure for generating a token for authentication using a computer. 自システム内のカード管理装置が他のシステムに固有のプログラムを格納する際に、該システム内の認証局に、該プログラムの証明書を発行させ、カード管理装置が他のシステムに固有のプログラムを格納する際に、該カード管理装置に、前記証明書によりその正当性を認証させる手順を実行させることを特徴とする請求項7記載のコンピュータプログラム。   When the card management device in its own system stores a program specific to another system, the certificate authority in the system issues a certificate for the program, and the card management device issues a program specific to the other system. 8. The computer program according to claim 7, wherein, when storing, causes the card management device to execute a procedure for authenticating the validity by the certificate. ICカードが自システム内のカード管理装置から他のシステムに固有のプログラムをダウンロードする際に、該ICカードに、前記プログラム証明書によりその正当性を認証させる手順を実行させることを特徴とする請求項8記載のコンピュータプログラム。   When an IC card downloads a program specific to another system from a card management device in its own system, the IC card is caused to execute a procedure for authenticating its validity with the program certificate. Item 9. The computer program according to Item 8.
JP2005198854A 2005-07-07 2005-07-07 Token authentication method and system Pending JP2007019824A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005198854A JP2007019824A (en) 2005-07-07 2005-07-07 Token authentication method and system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005198854A JP2007019824A (en) 2005-07-07 2005-07-07 Token authentication method and system

Publications (1)

Publication Number Publication Date
JP2007019824A true JP2007019824A (en) 2007-01-25

Family

ID=37756585

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005198854A Pending JP2007019824A (en) 2005-07-07 2005-07-07 Token authentication method and system

Country Status (1)

Country Link
JP (1) JP2007019824A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110119946A (en) * 2018-02-05 2019-08-13 库币科技有限公司 The pairing authentication method of electronic transaction device

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110119946A (en) * 2018-02-05 2019-08-13 库币科技有限公司 The pairing authentication method of electronic transaction device
CN110119946B (en) * 2018-02-05 2022-12-13 库币科技有限公司 Pairing authentication method of electronic transaction device

Similar Documents

Publication Publication Date Title
JP4067985B2 (en) Application authentication system and device
US8943311B2 (en) System and methods for online authentication
US10243745B2 (en) Method and system for producing a secure communication channel for terminals
US8806206B2 (en) Cooperation method and system of hardware secure units, and application device
JP2004304751A5 (en)
KR20090075705A (en) A system, apparatus, method, and computer readable recording medium for authenticating a communication party using an electronic certificate containing personal information
JP2011082662A (en) Communication device, and method and program for processing information
US20050071636A1 (en) Home network device, home network system and method for automating take ownership process
CN101872399A (en) A Dynamic Digital Copyright Protection Method Based on Double Identity Authentication
KR20110140122A (en) Methods for producing products with certificates and keys
JP3749640B2 (en) IC card using device, IC card and storage medium
JP4790574B2 (en) Apparatus and method for managing a plurality of certificates
KR100939725B1 (en) Mobile terminal authentication method
CN115801232B (en) A method, apparatus, device, and storage medium for protecting private keys.
CN1960363B (en) A method for realizing remote update of information security equipment by using network
WO2005117336A1 (en) Parent-child card authentication system
KR20000024445A (en) User Authentication Algorithm Using Digital Signature and/or Wireless Digital Signature with a Portable Device
JP2003143131A (en) Electronic information management device, portable information terminal device, management server device, and program
JP4818664B2 (en) Device information transmission method, device information transmission device, device information transmission program
JP6199712B2 (en) Communication terminal device, communication terminal association method, and computer program
JP2011077650A (en) Download management server of content, management method, management system, and mobile terminal
KR101118424B1 (en) System for Processing Automatic Renewal with Certificate of Attestation
JP2009060528A (en) Key setting method and key setting system
JP2008219787A (en) Key management system, key management program, and IC card
JP2007019824A (en) Token authentication method and system

Legal Events

Date Code Title Description
RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20070614

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20070614