JP2012068930A - Password authentication system and method, and encrypted communication system and method - Google Patents
Password authentication system and method, and encrypted communication system and method Download PDFInfo
- Publication number
- JP2012068930A JP2012068930A JP2010213726A JP2010213726A JP2012068930A JP 2012068930 A JP2012068930 A JP 2012068930A JP 2010213726 A JP2010213726 A JP 2010213726A JP 2010213726 A JP2010213726 A JP 2010213726A JP 2012068930 A JP2012068930 A JP 2012068930A
- Authority
- JP
- Japan
- Prior art keywords
- data
- password
- authenticated
- authentication
- child
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 97
- 230000006854 communication Effects 0.000 title claims description 108
- 238000004891 communication Methods 0.000 title claims description 108
- 239000000284 extract Substances 0.000 claims abstract description 20
- 238000000605 extraction Methods 0.000 claims abstract description 17
- 238000013075 data extraction Methods 0.000 claims description 60
- 238000012545 processing Methods 0.000 claims description 56
- 238000003672 processing method Methods 0.000 claims description 35
- 230000005540 biological transmission Effects 0.000 claims description 5
- 230000006870 function Effects 0.000 description 8
- 230000003203 everyday effect Effects 0.000 description 7
- 238000007726 management method Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 3
- 230000007175 bidirectional communication Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000006866 deterioration Effects 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003449 preventive effect Effects 0.000 description 1
- 230000001568 sexual effect Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Images
Abstract
Description
本発明は、パスワードを用いた認証システム及び方法、並びにパスワード認証を応用した暗号化通信システム及び方法に関する。 The present invention relates to an authentication system and method using a password, and an encryption communication system and method applying password authentication.
被認証者と認証者との間における認証では、一般に、パスワードを用いて認証成立の決定がなされている。そのパスワードによる認証に当たっては、キーロガー、スキミング、フィッシング等で第3者がパスワードを不正に取得して悪用することによる被害が生じている。
上記のパスワード不正使用に対する防止策として、一度の認証毎にパスワードを変更するワンタイム・パスワードが使用されており、その方式としてLamportが考案したS/Key方式(非特許文献1)や、RSA SecurIDのトークンを使用した方式などが実用化されている。また暗号化通信の安全性の向上のために、通信のたびに暗号鍵を変える方法が開示されている(特許文献1)。
In the authentication between the person to be authenticated and the authenticator, in general, a decision to establish authentication is made using a password. In the authentication using the password, damage is caused by a third party illegally acquiring and misusing the password by key logger, skimming, phishing, or the like.
As a preventive measure against the unauthorized use of the password, a one-time password that changes the password for each authentication is used, and the S / Key method (Non-Patent Document 1) devised by Lamport or RSA SecurID is used as the method. A method using tokens has been put into practical use. Also, a method of changing an encryption key every time communication is disclosed in order to improve the security of encrypted communication (Patent Document 1).
しかし、一方向性ハッシュ関数を使用したS/Key方式にはパスワードの使用回数に制限がある。また、ジャパンネット銀行など、現在多くのインターネット銀行で採用されているRSA SecurIDのトークンを使用した方式では、被認証者のトークン内蔵時計の時刻と認証者のサーバ・コンピュータ内蔵時計の時刻とを厳密に同期させる必要がある。又、被認証者はトークンに表示されたトークンコードである6〜8桁の数字をプッシュボタンで短時間に正確に入力するというストレスに曝される。更に、この方式には60秒以内のリプレー攻撃による第3者の「なりすまし」攻撃が可能であるというセキュリティ的にも難点がある。 However, the S / Key method using the one-way hash function has a limit on the number of times the password can be used. In addition, in the method using RSA SecurID tokens adopted by many Internet banks such as Japan Net Bank, the time of the authenticator's token built-in clock and the time of the authenticator's server computer built-in clock are strictly Need to be synchronized. Further, the person to be authenticated is exposed to the stress of accurately inputting a 6-8 digit number, which is the token code displayed on the token, in a short time with a push button. Furthermore, this system has a security problem that a “spoofing” attack by a third party by a replay attack within 60 seconds is possible.
一方、認証に引き続いて暗号化通信を行うに当たっては、認証に用いるパスワードと暗号化通信に使用する暗号鍵を一元的に管理するシステムや方法は存在しなかった。 On the other hand, when performing encrypted communication following authentication, there has been no system or method for centrally managing a password used for authentication and an encryption key used for encrypted communication.
又、暗号化通信の安全性の向上のためには、暗号鍵(セッション鍵)の配送問題に大きな課題が残されている、これを解決する目的で発明された特許文献1の方法では、次回の通信の暗号化鍵を作成する種になるデータを今回の通信回線上に流すため、悪意のある第3者にとっては暗号解読を行う手懸かりになる可能性がある。
Further, in order to improve the security of encrypted communication, there remains a big problem in the distribution problem of the encryption key (session key). In the method of
本発明はこのような点に鑑みてなされたものであり、セキュリティを確保し、パスワードの使用回数の制限をなくし、被認証者側と認証者側の内蔵時計の厳密な時刻管理を不要とし、被認証者のストレスを軽減するパスワード認証システムと方法を提供するものである。
又、認証に用いるパスワードと暗号化通信に使用する暗号鍵を一元的に管理する新たなシステムと方法を提供することにより、パスワードと暗号鍵の管理の手間を軽減すると共に、パスワード認証と、それに続く暗号化通信を連続的に行ことで、暗号文の誤配送を防止できるシステムと方法を提供するものである。
更には、暗号鍵(セッション鍵)の配送問題を解決してよりセキュリティの高い暗号化通信のシステムと方法を提供するものである。
The present invention has been made in view of such points, and ensures security, eliminates the limit on the number of times the password is used, eliminates the need for strict time management of the internal clock of the person to be authenticated and the person to be authenticated, The present invention provides a password authentication system and method for reducing the stress of the person to be authenticated.
In addition, by providing a new system and method for centrally managing passwords used for authentication and encryption keys used for encrypted communication, it is possible to reduce the time and effort of managing passwords and encryption keys, as well as password authentication, The present invention provides a system and a method that can prevent erroneous delivery of ciphertexts by continuously performing subsequent encrypted communication.
Furthermore, the present invention provides a system and method for encrypted communication with higher security by solving the distribution problem of the encryption key (session key).
前記課題を解決するために、本発明では、以下の(1)〜(3)を組み合わせてパスワード認証、パスワード認証とそれに引き続いた暗号化通信、及び暗号化通信、のシステムと方法を考案した。 In order to solve the above problems, the present invention devised a system and method for password authentication, password authentication and subsequent encrypted communication, and encrypted communication by combining the following (1) to (3).
(1)被認証者側と認証者側、あるいは暗号化通信を行う双方の側が、予め、事前に以下の(A)〜(C)を共有する。
(A)親データ、種データ、又は子データと種データ、の初期値。
(B)親データの一部を抽出して子データとする子データ抽出処理方法、親データの一部を抽出して種データとする種データ抽出処理方法、種データから次世代の親データを作成する親データ作成処理方法、子データからパスワードを作成するパスワード作成処理方法、子データから暗号鍵を作成する暗号鍵作成処理方法、複数の子データをパスワード作成の素となる子データPと暗号鍵作成の素となる子データKに選別する子データ選別処理方法、などの各データ処理方法。
(C)これらの各データ処理に必要なパラメータや条件設定など。
(1) The authenticated person side and the authenticator side or both sides performing encrypted communication share the following (A) to (C) in advance.
(A) Initial value of parent data, seed data, or child data and seed data.
(B) Child data extraction processing method that extracts a part of parent data and uses it as child data, seed data extraction processing method that extracts a part of parent data and uses it as seed data, and next generation parent data from seed data Parent data creation processing method to be created, password creation processing method to create a password from child data, encryption key creation processing method to create an encryption key from child data, child data P and encryption for creating a password for a plurality of child data Each data processing method, such as a child data sorting method for sorting into child data K that is a key creation source.
(C) Parameter and condition setting necessary for each data processing.
(2)パスワード認証や暗号化通信を実施するのに際しては、双方の側が独自に、独立して、親データの一部を抽出した種データから次世代の親データを作成し、次世代の親データの一部を抽出した次世代の種データから次次世代の親データを作成する、以下同様にループ状に連続してデータを抽出・作成するサイクルを実施する過程で、親データの一部を抽出して子データ、次世代の親データの一部を抽出して次世代の子データ、以下同様に、第何世代の親データの一部を抽出して第何世代の子データ、とするように、継続して親データから子データを抽出し、抽出した子データから実際に通信回線上を流れるパスワードや暗号鍵を作成して、それらを使い捨てに使用する。
この時、親データから子データを抽出する抽出方法と、親データから種データを抽出する抽出方法は異なる方法を用い、従って、子データと種データとは関連性が乏しく、従って子データから作成するパスワードや暗号鍵と種データとの関連性も乏しく、その結果、第3者が通信回線上を流れるパスワードや暗号鍵を取得しても、そのデータから次回のパスワードや暗号鍵を推測することを困難としたものである。
(2) When performing password authentication and encrypted communication, both sides independently create next-generation parent data from seed data from which a part of the parent data has been extracted. In the process of creating the next generation parent data from the next generation seed data from which a part of the data has been extracted, and then extracting and creating the data continuously in a loop, a part of the parent data Extract the child data, extract the next generation parent data to the next generation child data, and similarly, extract the generation of the parent data and the generation of the child data, and so on. As described above, child data is continuously extracted from the parent data, a password and an encryption key that actually flow on the communication line are created from the extracted child data, and these are used disposable.
At this time, the extraction method for extracting child data from the parent data and the extraction method for extracting seed data from the parent data use different methods. Therefore, the child data and the seed data are not related to each other. As a result, even if a third party obtains a password or encryption key that flows on the communication line, the next password or encryption key is guessed from that data. Is difficult.
(3)更に、上記のように、ループ状にデータ抽出・作成処理のサイクルをを続ける過程でパスワードや暗号鍵を使い捨てにすることは、親データから抽出される子データを使い捨てにすることになるので、種データのデータ量は少なくとも元の親データよりも子データの分だけ減少する。これを補う目的で、種データから親データを作成する過程でデータ量を増量して、次世代の親データのデータ量を少なくとも元の親データのデータ量と同量以上にするような方法をとることで、使い捨てにするパスワードや暗号鍵の素になる子データを継続的に抽出し続けることができる仕組みにしたことを特徴とするものである。 (3) Further, as described above, disposing passwords and encryption keys in the process of continuing the data extraction / creation process in a loop form disposes child data extracted from the parent data. Therefore, the data amount of the seed data is reduced by at least the child data than the original parent data. In order to compensate for this, a method to increase the amount of data in the process of creating parent data from the seed data so that the data amount of the next generation parent data is at least equal to the amount of data of the original parent data. It is characterized by having a mechanism that can continuously extract child data that can be used as a base for passwords and encryption keys to be disposable.
尚、請求項の各項目に記載の、「子データに基づいてパスワードを作成する」は、「子データそのものをパスワードとすること」と、「子データに所定の処理を行ってパスワードを作成すること」、の両者を含んだ概念で、「子データに基づいて暗号鍵を作成する」も同様の概念である。しかし、請求項6及び請求項13に記載の「子データに基づいてパスワードと暗号鍵を作成する」の場合は子データと暗号鍵は異なるデータとする必要があるため、両者ともに子データそのものとすることは含まれない概念である。
In addition, “Create a password based on child data” described in each item of the claims is “use the child data itself as a password” and “create a password by performing predetermined processing on the child data” "Create an encryption key based on child data" is a similar concept. However, in the case of “create a password and an encryption key based on the child data” according to
又、各データの抽出・作成処理方法は任意で、後述する実施の形態に提示した様に10進法の数字と四則計算を用いてもよいし、知られた暗号方式や、知られた一方向性ハッシュ関数を応用しても良いし、ID(識別子)や日付・時間関数を用いて処理したり、事前に取り決めた数値等をパラメータに用いて計算処理等を行ってもよいし、更には図形による作図や、画像や音の変換などを応用してもよい。 Further, the extraction / creation processing method of each data is arbitrary, and decimal numbers and four arithmetic calculations may be used as shown in the embodiments described later, or a known encryption method or a known one may be used. A directional hash function may be applied, processing may be performed using an ID (identifier) or a date / time function, a numerical value determined in advance may be used as a parameter, and calculation processing may be performed. May apply graphic drawing or image / sound conversion.
又、各データの抽出・作成処理方法は、毎回(各サイクル)の各処理で同じ処理を行ってもよいが、毎回(各サイクル)の各処理で同じ処理を行うことに限定されず、処理の毎に別の処理方法を用いたり、別のパラメータや条件設定を用いてもよい。この際に、無限に繰り返す処理方法やパラメータや条件設定を事前に共有するすることは困難で、それらは有限の周期で繰り返すことになり、この際、パスワードの使用回数に制限がある、一方向性ハッシュ関数を使用したS/Key方式に対する本発明の優位性の問題が発生するが、例えば、S/Key方式で、1万回のパスワードを事前に取り決めるのは現実的ではないのに対して、本発明ではそれ以上の回数を毎回別の処理方法やパラメータや条件設定で行う様に設定することは可能で、実質的にはデータ処理方法やパラメータや条件設定を毎回(各サイクル毎)に変更して使い捨てにすることと同等に設定することもできる。 The method for extracting / creating each data may be the same in each process (each cycle), but is not limited to performing the same process in each process (each cycle). Different processing methods may be used each time, or different parameters and condition settings may be used. In this case, it is difficult to share infinitely repeated processing methods, parameters and condition settings in advance, and they will be repeated in a finite cycle, and in this case, there is a limit on the number of times the password can be used. The problem of the superiority of the present invention over the S / Key method using the sexual hash function occurs. For example, it is not realistic to negotiate 10,000 passwords in advance in the S / Key method. In the present invention, it is possible to set the number of times more than that for each processing method, parameter, and condition setting. In practice, the data processing method, parameter, and condition setting is performed every time (each cycle). It can also be set to be equivalent to changing and making it disposable.
又、各データの抽出・作成処理方法やパラメータや条件設定は、基本的には事前に双方で共有するが、本発明は、全てのデータ処理を、事前に取り決めて共用したデータやパラメータや処理方法のみで行うことに限定したものではない。一度の認証や暗号通信毎、又は、複数回の認証や暗号通信の後、あるいは定期的に日時を決めて、双方で、各データの抽出・作成処理方法や使用するパラメータや処理の条件等の遣り取りを行ってもよい。 In addition, each data extraction / creation processing method, parameters, and condition settings are basically shared by both in advance. However, the present invention determines all data processing in advance and shares the data, parameters, and processing. It is not limited to the method alone. For each authentication / encryption communication, or after multiple authentications / encryption communication, or by periodically determining the date and time, both the data extraction / creation processing method, parameters used, processing conditions, etc. Exchanges may be made.
又、「子データは使い捨て」の記載は子データは一度の使用で使い捨てにすることに限定されたものではない。本システムや方法の運用に当たっては、一度の認証や暗号化通信毎に親データ・種データ・次世代の親データのループを1サイクル回すことに限定されたものではない。親データ・種データ・次世代の親データのループ状のデータ処理は一度の認証や暗号化通信毎に1サイクル回しても良いし、一度の認証や暗号化通信毎に複数サイクル回して複数の子データを抽出して使用しても良いし、パスワード認証や暗号化通信の頻度や重要度によっては、複数回子データを使用した後、或いは、定期的に日時決めて、親データ・種データ・次世代の親データのループ状のデータ処理を1サイクル回して次回の子データに変更てもよい。 Further, the description of “child data is disposable” is not limited to making the child data disposable once used. The operation of this system and method is not limited to one cycle of a loop of parent data, seed data, and next generation parent data for each authentication and encrypted communication. Loop processing of parent data, seed data, and next generation parent data may be performed one cycle for each authentication or encrypted communication, or multiple cycles may be performed for each authentication or encrypted communication. Child data may be extracted and used. Depending on the frequency and importance of password authentication and encrypted communication, parent data / species data may be used after child data is used multiple times or periodically. The loop data processing of the next generation parent data may be rotated one cycle and changed to the next child data.
更には、親データ、子データ、種データの数はそれぞれ1つずつに限定されたものではない。 Furthermore, the numbers of parent data, child data, and seed data are not limited to one each.
請求項1乃至請求項3の本発明は、パスワードを用いた認証システムで、被認証者側装置と認証者側装置の記憶部に事前に記憶された双方で同一のデータは、請求項1の本発明では親データ、請求項2の本発明では種データ、請求項3の本発明では子データと種データである。
従って初回のパスワードは、それぞれ、請求項1の本発明では、記憶部の親データから抽出した子データから、請求項2の本発明では、記憶部の種データから親データ作成手段が次世代の親データを作成し、更に次世代の親データから子データ抽出手段が抽出した次世代の子データから、請求項3の本発明では、記憶部の子データそのものから、それぞれパスワード作成手段が作成したパスワードである。
しかし、請求項1乃至請求項3の本発明は、親データ、種データ、次世代の親データ、次世代の種データ、とループ状に連続してデータを抽出・作成するサイクルを実施する過程で、継続して子データを抽出する仕組みは同一なので、これらの3者は、ループの入り口が異なるのみで、本質的には同一のシステムである。
又、請求項8、請求項9、及び請求項10の本発明は、それぞれ、請求項1、請求項2、及び請求項3のシステムで行う方法の発明で、同様に、それらは本質的には同一の方法である。
The present invention of
Therefore, the first password is generated from the child data extracted from the parent data of the storage unit in the present invention of
However, the present invention of
Also, the present inventions of claims 8, 9 and 10 are inventions of methods performed in the systems of
請求項4及び請求項5の本発明は、パスワード認証に引き続いて暗号化通信を行うパスワード認証及び暗号化通信システムで、一連のパスワード認証と暗号化通信を連続して行うために、複数の子データを抽出したものである。
請求項4の本発明では一度のパスワード認証とそれに引き続く暗号化通信に際して、双方の装置の親データ・種データ・次世代の親データのループ状のデータ処理の回数は1サイクルであるが、双方の子データ抽出手段は親データから1サイクルで複数の子データを抽出する。
一方、請求項5の本発明では一度のパスワード認証とそれに引き続く暗号化通信に当たって、親データ・種データ・次世代の親データのループ状のデータ処理を複数サイクル回すことで、子データと次世代の子データなど、複数の子データを抽出する。
以上のように一度のパスワード認証と引き続いた暗号化通信に際して、複数の子データを抽出して、それらをパスワードの素である子データPと暗号鍵の素である子データKに選別して使用することで、一連のパスワード認証と暗号化通信を連続的に行うことを可能としたものである。
又、請求項10及び請求項11の本発明は、それぞれ請求項4及び請求項5のシステムで行う方法の発明である。
The present invention of
In the present invention of
On the other hand, in the present invention of claim 5, in the case of one-time password authentication and subsequent encrypted communication, the loop data processing of the parent data, the seed data, and the next generation parent data is performed a plurality of cycles, so that the child data and the next generation are processed. Extract multiple child data, such as child data.
As described above, in the case of one-time password authentication and subsequent encrypted communication, a plurality of pieces of child data are extracted, and are selected and used as child data P which is a prime password and child data K which is a prime encryption key. By doing so, a series of password authentication and encrypted communication can be continuously performed.
The present invention of claim 10 and claim 11 is an invention of a method performed by the system of
請求項6の本発明は請求項4及び請求項5の本発明の変形で、一度のパスワード認証とそれに引き続く暗号化通信に当たって、親データ・種データ・次世代の親データのループ状のデータ処理を1サイクル回して抽出した子データを素に、2つの異なるデータを作成して、それをパスワードと暗号鍵に使用するものである。本システムでは通信回線上を流れるパスワードから暗号鍵を推測され難いようにパスワード作成及び暗号鍵作成の処理方法を工夫することが重要である。比較的簡単な方法としては、抽出した子データを暗号鍵に使用し、子データの一方向性ハッシュ関数によるハッシュ値をパスワードに使用する方法などがある。
又、請求項13の本発明は請求項6のシステムで行う方法の発明である。
The present invention of
The invention of claim 13 is an invention of a method performed by the system of
請求項7の本発明は、請求項4乃至請求項6の本発明であるパスワード認証及び暗号化通信システムからパスワード認証を省いた暗号化通信のみに限定したシステムである。
本発明ではパスワード認証を行わないので、暗号化通信を行うそれぞれの装置のデータ処理部にはパスワード作成手段や認証決定手段や子データ選別手段は必要ない。
尚、暗号化通信を行う双方で使用する暗号鍵は、一度の暗号化通信毎に1つの暗号鍵を使用してブロック暗号にしても、一度の暗号化通信に複数の暗号鍵を使用してブロック暗号にしても、親データ・種データ・次世代の親データのループ状のデータ処理を複数サイクル回して抽出される複数の子データを繋いだデータを暗号鍵に使用してストリーム暗号にしても良い。
又、請求項14の本発明は請求項7のシステムで行う方法の発明である。
The present invention of
In the present invention, since password authentication is not performed, the data processing unit of each apparatus that performs encrypted communication does not require password creation means, authentication determination means, or child data selection means.
Note that the encryption key used for both encrypted communications can be block cipher using one encryption key for each encrypted communication, even if multiple encryption keys are used for one encrypted communication. Even with block ciphers, data that connects multiple child data extracted through multiple cycles of parent data, seed data, and next-generation parent data loop processing is used as an encryption key to create a stream cipher. Also good.
Further, the present invention of
請求項1乃至請求項3、及び請求項8乃至請求項10の本発明によれば、被認証者と認証者の装置や末端などに同一内容の親データ、種データ、あるいは子データと種データを初期値として一旦設定し、共有すれば、双方は、独立して、独自に、同一の、親データ作成・種データ抽出・次世代の親データ作成のループ状のデータ処理サイクルを継続的に実施する過程で、継続して、双方で同一内容の使い捨てのパスワードが順次に自動的に作成されるので、被認証者と認証者の双方は親データ、種データ、あるいは子データと種データのみを管理すればよく、管理の手間を最小限に抑えることができる。
又、もし通信回線上を流れるパスワードを第3者が不正に取得したとしても、パスワードは使い捨てで、次回のパスワードを作成する素になる子データを抽出するのに必要な次世代の親データを作成するのに必要な種データは通信回線上を流れないため、次回の認証に用いるパスワードを推測することは極めて困難である。このためこの第3者が不正に次回の認証に成功することは極めて困難で、従来と同等以上のセキュリティを確保するパスワード認証システム及び方法を提供することができる。
According to the present invention of
Also, even if a third party illegally acquires a password that flows on the communication line, the password is disposable, and the next generation parent data necessary to extract the child data that will be used to create the next password Since the seed data necessary for creation does not flow on the communication line, it is extremely difficult to guess the password used for the next authentication. For this reason, it is extremely difficult for the third party to successfully succeed in the next authentication, and it is possible to provide a password authentication system and method that secures security equivalent to or higher than the conventional one.
請求項4乃至請求項6、及び請求項11乃至請求項13の本発明によれば、請求項1乃至請求項3、及び請求項8乃至請求項10」の本発明と同様の理由で、パスワードと暗号鍵の管理の手間を最小限に抑えながらも、従来と同等以上のセキュリティを確保するパスワード認証システム及び方法を提供することができる。
又、パスワードと暗号鍵(セッション鍵)とを一元的に管理する新たなシステムや方法を提供することができる。
又、使い捨ての暗号鍵(セッション鍵)を使うことで、暗号を解読されるリスクを軽減することができ、従来と同等以上のセキュリティを確保するパスワード認証及び暗号化通信システムと方法を提供することができる。
更には、パスワード認証に連続して暗号化通信を行うことで、暗号文の誤送信を防ぐことができる。
According to the present invention of
It is also possible to provide a new system and method for centrally managing passwords and encryption keys (session keys).
Also, by using a disposable encryption key (session key), it is possible to reduce the risk of decryption of the encryption, and to provide a password authentication and encryption communication system and method that ensures the same level of security as before. Can do.
Further, by performing encrypted communication following password authentication, it is possible to prevent erroneous transmission of ciphertext.
請求項7、及び請求項14の本発明によれば、請求項1乃至請求項3、及び請求項8乃至請求項10の本発明と同様の仕組みで、暗号鍵の管理の手間を最小限に抑えながらも、使い捨ての暗号鍵(セッション鍵)を使うことで、暗号を解読されるリスクを軽減することができ、また、もしも暗号鍵を解読されてもその被害の継続を断ち切ることができる。
According to the present invention of
[実施の形態1]
実施の形態1は、請求項1に記載の、被認証者側装置と認証者側装置との間でパスワードを用いて認証を行うシステムの実施例であって、図1〜図3及び図5を参照しながら説明する。
まず、図1には本パスワード認証システムの構成例を模式的にブロック図で表す。本パスワード認証システムは、通信網200(例えばインターネット等)を介して相互に通信可能に接続されている被認証者側装置100と認証者側装置300とからなる。被認証者側装置100と認証者側装置300は、それぞれサーバ、コンピュータ、携帯端末装置(例えば携帯型コンピュータや携帯電話等)の内のいずれかの機器が該当する。尚、これらの機器は被認証者側装置100と認証者側装置300の双方の機能を備えている場合が多いが、被認証者側と認証者側の機能を明確にするために分けて説明する。
[Embodiment 1]
The first embodiment is an embodiment of a system for performing authentication using a password between a device to be authenticated and a device on the authenticator side according to
First, FIG. 1 schematically shows a configuration example of the password authentication system in a block diagram. This password authentication system includes an
被認証者側装置100と認証者側装置300とは、共に記憶部110、310とデータ処理部120、320とから構成される。
記憶部110、310は、例えば主記憶装置、ハードディスク装置、フラッシュメモリ等のように記憶可能な装置や媒体が該当し、双方で同一内容の親データ111、311の初期値などを予め記憶する。親データ111、311の内容は任意に設定することが可能であり、例えば、数値、文字列、記号等が該当する。
The to-be-authenticated
The
被認証者側装置100のデータ処理部120は、子データ抽出手段130、パスワード作成手段140、通信手段150、種データ抽出手段170、親データ作成手段180、及びデータ更新手段190を有する。
子データ抽出手段130は親データ111の一部から子データ131を抽出する。
パスワード作成手段140は子データ抽出手段130により抽出された子データ131からパスワード141を作成する。
通信手段150はパスワード作成手段140により作成されたパスワード141を通信網200を介して認証者側装置300に送信して認証を依頼し、認証が成立した場合には認証者側装置300から送信される認証成立の信号を受信する。
種データ抽出手段170は、子データを抽出した方法とは異なる方法で、親データ111の一部を抽出して種データ171とする。
尚、子データ131と種データ171は異なるデータであり、従って、パスワード141と種データ171の関連性は乏しい。
親データ作成手段180は前記種データ171に所定の処理を行って次世代の親データ112を作成する。
データ更新手段190は親データ作成手段180により作成された次世代の親データ112で元の親データ111を更新する。
The
The child
The
The
The seed
The
The parent
The
認証者側装置300のデータ処理部320は、子データ抽出手段330、パスワード作成手段340、通信手段350、認証決定手段360、種データ抽出手段370、親データ作成手段380、及びデータ更新手段390を有する。
子データ抽出手段330、パスワード作成手段340、種データ抽出手段370、及び親データ作成手段380は、それぞれ、被認証者側装置100のデータ処理部120の子データ抽出手段130、パスワード作成手段140、種データ抽出手段170、及び親データ作成手段180と同一の所定の抽出・作成処理方法で、それぞれ子データ331、パスワード341、種データ371、及び次世代の親データ312を抽出・作成する。
通信手段350は被認証者側装置100から認証依頼の目的で送信されたパスワード141を受診し、認証が成立した場合には被認証者側装置100に認証成立の信号を送信する。
認証決定手段360は、自身のパスワード作成手段340によって作成されたパスワード341と被認証者側装置100から通信手段350が受診したパスワード141とが一致するか否かで認証成立か否かを決定する。
データ更新手段390は自身の親データ作成手段380によって作成された次世代の親データ312で元の親データ311を更新する。
The
The child
The
The
The
尚、本例では子データ抽出手段130、330、パスワード作成手段140、340、通信手段150、350、認証決定手段360、種データ抽出手段170、370、親データ作成手段180、380、データ更新手段190、390においては、それぞれCPUがプログラムを実行することで格機能を実行する。
又、子データ抽出手段130、330、パスワード作成手段140、340、種データ抽出手段170、370、親データ作成手段180、380などの、双方で同一のデータ処理を実行するプログラムやそのプログラムを実行するのに必要な各種パラメータや条件設定などは、予め、各データ作成手段に内蔵してもよいし、前記記憶部に記憶してもよい。尚、各データ作成・抽出手段でのデータ処理方法は任意である。
In this example, child data extraction means 130 and 330, password creation means 140 and 340, communication means 150 and 350, authentication determination means 360, seed data extraction means 170 and 370, parent data creation means 180 and 380, data update means In 190 and 390, the CPU executes the case function by executing the program.
In addition, the child data extraction means 130 and 330, the password creation means 140 and 340, the seed data extraction means 170 and 370, the parent data creation means 180 and 380, etc. execute the same data processing program and the program. Various parameters, condition settings, and the like necessary for this may be stored in advance in each data creation unit or stored in the storage unit. The data processing method in each data creation / extraction means is arbitrary.
上述のように構成されたパスワード認証システムにおいて実行される手続き例について図2を参照しながら説明する。
図2の左側には被認証者側装置100の手続き例を表し、右側には認証者側装置300の手続きを表す。
尚、通常パスワードを送受信する以前に、ログイン要求や識別子(ID)の送受信が行われるため、これを破線の上に記したが、この破線の上の部分は本発明の範囲外で、本発明は破線の下に記載された部分である。
An example of a procedure executed in the password authentication system configured as described above will be described with reference to FIG.
The left side of FIG. 2 represents an example of the procedure of the
In addition, since a login request and an identifier (ID) are transmitted / received before a normal password is transmitted / received, this is shown on the broken line, but the portion above the broken line is outside the scope of the present invention. Is the part described below the broken line.
まず、被認証者側装置100が認証者側装置300に識別子(ID)を送信して接続を要求し[ステップS10]、認証者側装置300は識別子(ID)を受信し、接続を要求されると[ステップS30]、自身のデータベースから識別子(ID)に該当する親データ311や各種処理方法やパラメータなどの情報を取得するとともに[ステップS31]、被認証者側装置100にパスワード141の送信を要求し[ステップS32]、被認証者側装置100はこれを受信する[ステップS12]。(ここまでは図2の破線の上で、本発明の範囲外である)。
すると、被認証者側装置100と認証者側装置300の子データ抽出手段130、330はそれぞれ独立して親データ111、311から子データ131、331を抽出し[ステップS13、ステップS33]。双方のパスワード作成手段140、340はステップS13、S33で抽出された前記子データ131、331からパスワード141、341を作成する[ステップS14、ステップS34]。
次に、被認証者側装置100の通信手段150はステップS14で作成されたパスワード141を認証者側装置300に送信して認証を依頼する[ステップS15]。
認証者側装置300の通信手段350がパスワード141を受信すると[ステップS35]、認証者側装置300の認証決定手段360はステップS34で作成されたパスワード341とステップS35で被認証者側装置100から受信したパスワード141とを照合し、それらが一致するか否かで認証成立か否かを決定し、認証が成立した場合には、認証者側装置300の通信手段350を介して認証成立の信号を被認証者側装置100に送信し[ステップS36]、被認証者側装置100の通信手段150は、この認証成立の信号を受信する[ステップS16]。
引き続いて、被認証者側装置100と認証者側装置300の種データ抽出手段170、370はそれぞれ独立して親データ111、311から種データ171、371を抽出し[ステップS17、ステップS37]、引き続いて、双方の親データ作成手段180、380はステップS17、S37で抽出された種データ171、371から次世代の親データ112、312を作成し[ステップS18、ステップS38]、引き続いて、双方のデータ更新手段190、390はステップS18、S38で作成された次世代の親データ112、312で元の親データ111、311を更新する[ステップS19、ステップS39]。
尚、本システムでは認証が成立しなければ(認証成立の信号の送受信がなければ)、そこで双方の手続きは停止して終了するが、認証者側装置300が被認証者側装置100に認証不成立の信号を送信して、それを合図にして双方で手続きを終了してもよい。
First, the to-
Then, the child data extraction means 130 and 330 of the to-be-authenticated
Next, the communication means 150 of the to-be-authenticated
When the
Subsequently, the seed data extraction means 170 and 370 of the to-be-authenticated
If authentication is not established in this system (no authentication establishment signal is transmitted / received), both procedures stop there and end, but the
尚、子データ131、331の抽出時期は予め認証処理の開始前に行ってもよいし、ログイン要求や識別子(ID)の送受信が行われた後に行ってもよい。
又、種データ171、371の抽出時期や次世代の親データ112、312の作成時期はそれぞれ認証処理の開始前、パスワード141送受信の前または後、あるいは認証成立後の、どの時点で行ってもよい。
又、本実施の形態のシステムでは、双方の装置のデータ更新手段190、390での親データの更新時期は、一度のパスワード141による認証が成立した後に行うが、認証の重要度や頻度によっては、パスワード141による認証を複数回行った後や、パスワード141送受信直後、あるいは両者の内蔵時計により、日時を決めて定期的に更新してもよい。
Note that the
In addition, the extraction time of the
In the system according to the present embodiment, the update time of the parent data in the data update means 190 and 390 of both apparatuses is performed after the authentication with the one
次に、被認証者側装置100と認証者側装置300でのデータ処理過程の具体的な一例について、各データを十進法の数字で構成する例を用いて図3と図5を参照しながら説明する。尚、後述するように、図3の2で記した破線で囲んだ部分は、請求項2に記載した、種データ171、371の初期値を記憶部に記憶する場合のデータ例で、本実施例には関係ない。
予め、双方の記憶部110、310には、親データ111、311の初期値として数値「6763840」が設定されていると仮定する(1)。
まず、双方の子データ抽出手段130、330で子データ131、331が抽出される(ステップS13、S33)。
本例での子データ抽出手段130、330のデータ抽出処理方法として親データ111、311の数値の上位三桁を子データ131、331として抽出すると仮定すると、本例では数値「676」が子データ131、331になる。次に、抽出された前記子データ131、331に基づいて、双方のパスワード作成手段140、340がパスワード141、341を作成する(ステップS14、S34)。本例のパスワード作成手段140、340のデータ作成処理方法としては、子データ131、331の数値をそのままパスワード141、341とすると仮定すると、本例では子データの数値「676」がそのままパスワード141、341となる。
次に、被認証者側装置100のパスワード141である数値「676」は通信手段150により認証者側装置300に送信されると(ステップS15)、通信網200を経由して認証者側装置300の通信手段350に受信され(ステップS35)、更に、認証決定手段360に送られる。
一方、認証者側装置300では、自身のパスワード作成手段340により作成されたパスワード341である数値「676」が認証決定手段360に送られる。次に、認証決定手段360では、前記被認証者側装置100から受信したパスワード141である数値「676」と自身のパスワード作成手段340により作成されたパスワード341である数値「676」とが照合され、両者は同一であるため、本例では認証成立が決定される。
認証が成立して、認証成立の信号が送受信されると、双方の種データ抽出手段170、370により、親データ111、311から種データ171、371が抽出される(ステップS17、S37)。
本例での種データ抽出手段170、370での抽出方法として親データ111、311の数値の下位四桁を種データ171、371として抽出すると仮定すると、本例では数値「3840」が種データ171、371になる。
次に、双方の親データ作成手段180、380で次世代(第2世代)の親データ112、312が作成される(ステップS18、S38)。
本例での親データ作成手段180、380の処理方法として、種データ171、371の数値を二乗し、双方で事前に共有した共通の数値を加算し、所定の桁数の数値を抽出すると仮定し、共通の数値が例えば「3427951」で所定の桁数が例えば「下七桁」であれば、
次式のように、”3840×3840+3427951=18173551”で、このうち下七桁の数値「8173551」が次回(2回め)の認証に必要な次世代(第2世代)の親データ112、312となる。
最後に、双方のデータ更新手段190、390は次世代(第2世代)の親データ112、312の数値「8173551」で、元の親データ111、311の数値「6763840」を更新する(ステップS19、S39)。
Next, a specific example of the data processing process in the to-be-authenticated
It is assumed that a numerical value “6763840” is set as an initial value of the
First,
Assuming that the upper three digits of the numerical values of the
Next, when the numerical value “676”, which is the
On the other hand, in the
When authentication is established and an authentication establishment signal is transmitted and received, the
Assuming that the lower four digits of the numerical values of the
Next, the next generation (second generation)
As a processing method of the parent data creation means 180 and 380 in this example, it is assumed that the numerical values of the
As shown in the following equation, “3840 × 3840 + 3427951 = 18173551”, of which the last seven digits of the value “8173551” are the next generation (second generation)
Finally, both the data updating means 190, 390 update the numerical value “6763840” of the
2回めの認証処理では、双方の第2世代の親データ111、311は数値「8173551」で、従って、第2世代の子データ131、331、即ち2回めのパスワード141、341は数値「817」である。
認証成立後の処理では、双方の第2世代の種データ171、371は数値「3551」で、従って次世代(第3世代)の親データ112、312は数値「6037552」であり、この値で元(第2世代)の親データ111、311の数値「8173551」を更新する。
In the second authentication process, both the second
In the process after the authentication is established, both the second
3回めの認証処理では、双方の第3世代の親データ111、311は数値「6037552」で、従って、第3世代の子データ131、331、即ち3回めのパスワード141、341は数値「603」である。
認証成立後の処理では、双方の第3世代の種データ171、371は数値「7552」で、従って次世代(第4世代)の親データ112、312は数値「0460655」であり、この値で元(第3世代)の親データ111、311の数値「6037552」を更新する。以下同様に行われる。
In the third authentication process, both of the third
In the processing after the authentication is established, both the third
1回めのパスワード141である数値「676」が第3者に不正に取得されたとしても、その第3者が、この数値「676」から2回めのパスワード141である数値「817」を推測することは困難である。同様に、2回めのパスワード141である数値「817」から第3者が3回めのパスワード141である数値「603」を推測することは困難である。以下同様で、従って、従来と同等以上のセキュリティを確保することができる。
Even if the numerical value “676” that is the
また、親データ111、311を一旦設定すれば、データ更新手段190、390が順次に次世代の親データ112、312で元の親データ111、311を更新してゆくので(図3と図5を参照)設定回数を最小限に抑えることができる。更に、親データ111、311のみを管理すればよいので、管理の手間を最小限に抑えることができる。
In addition, once the
[実施の形態2]
実施の形態2は、請求項4に記載の、被認証者側装置と認証者側装置との間でパスワードを用いて認証を行ったのに引き続いて暗号化通信を行うシステムの実施例で、図5を参照しながら、具体的な数値データ処理過程に絞って例示する。
本例では、1サイクルの親データ作成・種データ抽出・次世代の親データ作成のループ状のデータ処理過程で、子データ抽出手段は2つの子データ(子データP[2]と子データK[2])を抽出し、子データ選別手段は子データP[2]をパスワードの素に、子データK[2]を暗号鍵の素に選別し、パスワード作成手段は子データP[2]をそのままパスワードに、暗号鍵作成手段は子データK[2]をそのまま暗号鍵とすることとする。
なお、双方の装置において、記憶部の親データの初期値と、種データを抽出する種データ抽出手段の抽出処理方法と次世代の親データを作成する親データ作成手段の作成処理方法は実施の形態1と同一とし、パスワードに用いる子データP[2]は親データの上2桁、暗号鍵に用いる子データK[2]は親データの上から3桁目とする。また暗号化及び復号手段は任意の知られた暗号方式を利用することとする。
[Embodiment 2]
The second embodiment is an example of a system that performs encrypted communication subsequent to performing authentication using a password between the authenticator side device and the authenticator side device according to
In this example, in the loop-shaped data processing process of one cycle of parent data creation, seed data extraction, and next generation parent data creation, the child data extraction means includes two child data (child data P [2] and child data K). [2]) is extracted, the child data sorting means sorts the child data P [2] into the prime of the password and the child data K [2] into the prime of the encryption key, and the password creating means sorts the child data P [2]. Is directly used as a password, and the encryption key generating means uses the child data K [2] as it is as an encryption key.
In both apparatuses, the initial value of the parent data in the storage unit, the extraction processing method of the seed data extraction means for extracting the seed data, and the creation processing method of the parent data creation means for creating the next generation parent data are implemented. The child data P [2] used for the password is the first two digits of the parent data, and the child data K [2] used for the encryption key is the third digit from the top of the parent data. The encryption / decryption means uses any known encryption method.
まず、被認証者側装置は最初の子データP[2]である数値「67」をパスワードに使用して認証を行い、認証成立の信号を認証者側装置から受け取った後、最初の子データK[2]である数値「6」を暗号鍵に使用して暗号文を作成して認証者側装置に送信する。認証者側装置では最初の子データK[2]である数値「67」をパスワードとして使用した認証の成立後に暗号文を受信すると、最初の子データK[2]である数値「6」を自身で独自に算出してこれを暗号鍵に使用して受信した暗号文を復号する。次回の認証は2回めの子データK[2]である数値「81」をパスワードに、次回の暗号鍵は2回めの子データK[2]である数値「7」を使用する。以下同様に行われる。 First, the device to be authenticated uses the numerical value “67”, which is the first child data P [2], as a password for authentication, and after receiving a signal indicating the establishment of authentication from the device on the authenticator side, the first child data Using the numerical value “6” that is K [2] as an encryption key, a ciphertext is created and transmitted to the authenticator side device. If the ciphertext is received after the authentication using the numerical value “67” that is the first child data K [2] as a password is received, the authenticator side device sets the numerical value “6” that is the first child data K [2] to itself. And decrypts the received ciphertext using this as the encryption key. The next authentication uses the numerical value “81” that is the second child data K [2] as the password, and the next encryption key uses the numerical value “7” that is the second child data K [2]. Thereafter, the same operation is performed.
通信回線上には1回めのパスワードである数値「67」と数値「6」を暗号鍵に使用した1回めの暗号文、更に2回めのパスワードである数値「81」と数値「7」を暗号鍵に使用した2回めの暗号文などが流れるが、もしも第3者が1回めのパスワードである数値「67」と数値「6」を暗号鍵に使用した1回めの暗号文を不正に取得したとしても、その第3者がパスワードである数値「67」から暗号鍵である数値「6」を推測することは困難で、又、もしもその第3者が暗号解読に成功して暗号鍵である数値「6」を算出できたとしても、その第3者が暗号鍵である数値「6」から2回めのパスワードである数値「81」を推測することは困難で、2回めのパスワード認証が行われなければ2回めの暗号文は送信されない。従って暗号解読の被害が次の機会(2回め)に持ち越されることはない。従って、不正なパスワード認証や暗号解読に対するセキュリティは守られる。
また、親データを一旦設定すれば、データ更新手段が順次に次世代の親データで元の親データを更新してゆくので、パスワードと暗号鍵を一元的に管理することができとともに、暗号文の誤配送を避けることができる。更に、親データのみを管理すればよいので、管理の手間を最小限に抑えることができる。
On the communication line, the first-time ciphertext using the first password “67” and the second “6” as the encryption key, and the second password “81” and the second “7” are used. The second ciphertext using "" as the encryption key flows, but if the third party uses the first password "67" and the number "6" as the encryption key, the first encryption Even if the sentence is obtained illegally, it is difficult for the third party to guess the numerical value “6” as the encryption key from the numerical value “67” as the password, and if the third party succeeds in decryption Even if the numerical value “6” that is the encryption key can be calculated, it is difficult for the third party to guess the numerical value “81” that is the second password from the numerical value “6” that is the encryption key, If the second password authentication is not performed, the second ciphertext is not transmitted. Therefore, the damage of cryptanalysis is not carried over to the next opportunity (second time). Therefore, security against unauthorized password authentication and decryption is protected.
In addition, once the parent data is set, the data updating means sequentially updates the original parent data with the next generation parent data, so that the password and the encryption key can be managed centrally and the ciphertext Can avoid misdelivery. Furthermore, since only the parent data needs to be managed, the management effort can be minimized.
[実施の形態3]
実施の形態3は、請求項5に記載の、被認証者側装置と認証者側装置との間でパスワードを用いて認証を行ったのに引き続いて暗号化通信を行うシステムの実施例で、図5を参照しながら、具体的な数値データ処理過程に絞って例示する。
本例では一度のパスワード認証と引き続いた暗号化通信に際して、親データ作成・種データ抽出・次世代の親データ作成のループ状のデータ処理を2サイクル回すことで、子データ抽出手段は2つの子データを抽出し、子データ選別手段は2サイクルめの子データをパスワードの素になる子データP[3]に、1サイクルめの子データを暗号鍵の素になる子データK[3]に選別し、パスワード作成手段は子データP[3]をそのままパスワードに、暗号鍵作成手段は子データK[3]をそのまま暗号鍵とすることとする。
なお、双方の装置において、記憶部の親データの初期値と、各データ作成の処理方法は実施の形態1と同一とする。また暗号化及び復号手段は任意の知られた暗号方式を利用することとする。
[Embodiment 3]
The third embodiment is an example of a system that performs encrypted communication subsequent to performing authentication using a password between the authenticated-subject device and the authenticator-side device according to claim 5. With reference to FIG. 5, a specific numerical data processing process will be exemplified.
In this example, at the time of one-time password authentication and subsequent encrypted communication, the child data extraction means is configured to perform two cycles of data processing in a loop of parent data creation, seed data extraction, and next-generation parent data creation. The data is extracted, and the child data selection means converts the child data in the second cycle into child data P [3] that is a prime password, and the child data in the first cycle as child data K [3] that is a prime encryption key. The password creation means uses the child data P [3] as a password as it is, and the encryption key creation means uses the child data K [3] as it is as an encryption key.
In both apparatuses, the initial value of the parent data in the storage unit and the processing method for creating each data are the same as those in the first embodiment. The encryption / decryption means uses any known encryption method.
まず、被認証者側装置は最初の2サイクルめの子データである数値「817」を子データP[3]としてそのままパスワードに選別して認証を行い、認証成立の信号を認証者側装置から受け取った後、1サイクルめの子データである数値「676」を子データK[3]としてそのまま暗号鍵に選別して暗号文を作成して認証者側装置に送信する。
認証者側装置も独自に2サイクルめの子データである数値「817」を子データP[3]としてパスワード、1サイクルめ子データである数値「676」を子データK[3]、として暗号鍵に算出・選別して、数値「817」をパスワードに使用して認証成立後に暗号文を受信すると、数値「676」を暗号鍵に使用して受信した暗号文を復号する。次回の認証は4サイクルめの子データP[3]である数値「046」をパスワードに用い、暗号鍵は3サイクルめの子データK[3]である数値「603」を使用する。以下、同様に行われる。
First, the authentication-subjected device performs authentication by selecting the password “817”, which is the child data in the first second cycle, as the child data P [3], and directly authenticating the password. After the reception, the numerical value “676”, which is the child data in the first cycle, is selected as the child data K [3] as it is as an encryption key, and a ciphertext is created and transmitted to the authenticator side device.
The authenticator side device also encrypts the numerical value “817”, which is the child data of the second cycle, as the child data P [3], and the password, the numerical value “676”, which is the first cycle of the child data, as the child data K [3]. When the ciphertext is received after the authentication is established using the numerical value “817” as the password after being calculated and selected as a key, the received ciphertext is decrypted using the numerical value “676” as the encryption key. In the next authentication, the numerical value “046” that is the child data P [3] in the fourth cycle is used as the password, and the numerical value “603” that is the child data K [3] in the third cycle is used as the encryption key. Thereafter, the same operation is performed.
通信回線上には1回めのパスワードである数値「817」と1回めの暗号鍵である数値「676」を暗号鍵に用いた暗号文が流れるが、もしも、第3者が、1回めのパスワードである数値「817」を不正に取得したとしても、その第3者が、直後に通信回線上を流れる暗号文の暗号鍵である数値「676」や2回めのパスワードである数値「046」を推測することは困難である。又、もしも第3者が1回めの暗号文を取得して、さらに暗号解読に成功して暗号鍵である数値「676」を算出できたとしても、その第3者が、その第3者が暗号鍵である数値「676」から2回めのパスワードである数値「046」を推測することは困難である。
従って実施の形態2と同様に、不正なパスワード認証や暗号解読に対するセキュリティは守られ、パスワードと暗号鍵を一元的に管理することができ、暗号文の誤配送を避けることができ、更に、管理の手間を最小限に抑えることができる。
A ciphertext using the numerical value “817”, which is the first password, and the numerical value “676”, which is the first encryption key, flows on the communication line. Even if the numerical value “817”, which is the password for the password, is illegally acquired, the third party immediately follows the numerical value “676”, which is the encryption key of the ciphertext that flows on the communication line, and the numerical value that is the second password. It is difficult to guess “046”. Also, even if the third party obtains the first ciphertext and succeeds in decryption and can calculate the numerical value “676” as the encryption key, the third party is the third party. It is difficult to guess the numerical value “046” that is the second password from the numerical value “676” that is the encryption key.
Therefore, as in the second embodiment, security against unauthorized password authentication and decryption can be protected, passwords and encryption keys can be managed centrally, misdelivery of ciphertexts can be avoided, and management Can be minimized.
なお、実施の形態2、及び3において、認証に引き続く暗号化通信は被認証者側装置から認証者側装置への送信のみではなく、認証者側装置から被認証者側装置へ送信してもよく、双方向通信が可能である。 In the second and third embodiments, the encrypted communication subsequent to the authentication is not only transmitted from the authenticator side device to the authenticator side device, but also transmitted from the authenticator side device to the authenticator side device. Well, bidirectional communication is possible.
[実施の形態4]
実施の形態4は、請求項7に記載の暗号化通信システムを応用した暗号化放送システムの実施例で、放送局側装置から受信会員側装置に対して暗号鍵が毎日変更される暗号化ニュースの放送を行うシステムに対する適用例である。本例でも具体的な数値データ処理過程に絞って例示する。
尚、本例の放送局側装置と受信会員側装置は共に、実施の形態1の被認証者側装置のデータ処理部には、パスワード作成手段に替えてパスワード作成手段と同一の作成処理方法で暗号鍵を作成する暗号鍵作成手段とを備え、更に暗号化及び負復号手段を追加装備されており、双方の装置において、記憶部の親データの初期値と、各データの抽出・作成処理方法は実施の形態1と同一とする(図5を参照)。また暗号化及び復号手段は任意の知られた暗号方式を利用することとする。
[Embodiment 4]
Note that both the broadcasting station side device and the receiving member side device of this example use the same creation processing method as the password creation unit in place of the password creation unit in the data processing unit of the authenticated user side device of the first embodiment. An encryption key generating means for generating an encryption key, and additionally equipped with encryption and negative decryption means. In both devices, the initial value of the parent data of the storage unit and the method for extracting / creating each data Is the same as that of the first embodiment (see FIG. 5). The encryption / decryption means uses any known encryption method.
放送局側装置と初日からの受信会員の受信会員側装置の双方には予め放送開始前までに記憶部の親データに数値「6763840」が設定されている。放送局側装置からは、初日は1回めの子データである数値「676」を暗号鍵に使用して暗号化したニュースを、2日めは2回めの子データである数値「817」を暗号鍵に使用して暗号化したニュースを、3日めは3回めの子データである数値「603」を暗号鍵に使用して暗号化したニュースを、4日めは4回めの子データである数値「046」を暗号鍵に使用して暗号化したニュースを、以下同様に暗号化したニュースを暗号化放送として放送する。受信会員はそれぞれ独自に自身で毎日子データを抽出してそれを暗号鍵に使用して、受診した暗号化放送を復号してニュースを視聴・購読する。 In both the broadcasting station side device and the receiving member side device of the receiving member from the first day, a numerical value “6763840” is set in advance in the parent data of the storage unit before the broadcast starts. From the broadcasting station side device, the first day of the data encrypted using the numerical value “676” that is the child data is used as the encryption key, and the second day is the numerical value “817” that is the second child data. The news that was encrypted using the encryption key as the encryption key, the news that was encrypted using the numerical value “603”, which is the third child data on the third day, as the encryption key, the fourth time on the fourth day The news encrypted using the numerical value “046” as the child data as the encryption key is broadcast as the encrypted broadcast. Each receiving member independently extracts the child data every day and uses it as an encryption key to decrypt the encrypted broadcast received and view / subscribe to the news.
又、2日めからの新受信会員は入会時に数値「8173551」を、3日めからの新受信会員は入会時に数値「6037552」を、4日めからの新受信会員は入会時に数値「0460655」を、以下同様に入会日に応じて更新・抽出を繰り返して作成した数値をそれぞれ暗号放送とは別の経路で入手して記憶部の親データに設定することで、途中からの新入受信会員も以前の受信会員と同じ暗号化ニュースの放送を受信して複号することができる。 In addition, the new receiving member from the 2nd day has a numerical value “8173551” at the time of joining, the new receiving member from the 3rd day has a numerical value “6035372” at the time of joining, and the new receiving member from the 4th day has a numerical value “0460655” at the time of joining. In the same way, the numbers newly created by repeating the update and extraction according to the date of enrollment are obtained through a different route from the encryption broadcast and set as the parent data of the storage unit, so that new incoming receiving members from the middle Can receive and decrypt the same encrypted news broadcast as the previous receiving member.
放送局側装置では毎日自動的に暗号鍵が作成され、また受信会員側装置も入会時に親データを暗号化ニュース放送とは別の経路で入手して設定するのみで毎日自動的に暗号鍵が作成されるので、両者ともに暗号鍵の管理を最小限にとどめることができる。
又、もし非会員の第3者が暗号化ニュース放送を不正に取得したとしても、暗号鍵は毎日変化するので暗号解読は極めて困難で、更に、例え第3者が暗号化ニュースの解読に成功し、暗号鍵を算出できたとしても、暗号鍵は毎日変化するので、その暗号鍵はは翌日以降の暗号化放送の解読には使用できず、その第3者が不正にニュースの試聴・購読を継続することは困難である。
The broadcasting station side device automatically creates an encryption key every day, and the receiving member side device also automatically obtains the encryption key every day just by acquiring and setting the parent data through a different route from the encrypted news broadcast when joining. As both are created, encryption key management can be kept to a minimum.
Also, even if a non-member third party obtains an encrypted news broadcast illegally, the encryption key changes every day, so decryption is extremely difficult, and the third party succeeds in decrypting the encrypted news. Even if the encryption key can be calculated, the encryption key changes every day. Therefore, the encryption key cannot be used for decryption of encrypted broadcasts from the following day. It is difficult to continue.
なお本例では暗号化放送の形態をとったが、1対1の暗号化通信、1対複数の暗号化通信、複数対複数の暗号化通信の形態でもよい。また暗号鍵はここでは1日毎に更新したが、放送や、通信の頻度や内容の重要度に応じて1秒毎、1分毎、1年毎、或いは1通信毎、10通信毎等、暗号鍵の更新頻度は自由に設定できる。
また本例では暗号鍵には1つの子データのみを用いたが、子データと次世代の子データ、次次世代の子データなどを適宜組み合わせて処理を行ったデータを暗号鍵に使用してもよい。又、子データと次世代の子データ、次次世代の子データ...と連続する数値を暗号鍵に使用してストリーム暗号にしてもよい。
In this example, encrypted broadcasting is used. However, one-to-one encrypted communication, one-to-multiple encrypted communication, and multiple-to-multiple encrypted communication may be used. The encryption key is updated every day here, but it is encrypted every second, every minute, every year, every communication, every 10 communications, etc. depending on the frequency of broadcast and communication and the importance of the contents. The key update frequency can be set freely.
In this example, only one child data is used as the encryption key. However, data obtained by appropriately combining the child data with the next generation child data, the next generation child data, or the like is used as the encryption key. Also good. Child data, next generation child data, next generation child data. . . The stream cipher may be used by using a numerical value that is continuous as an encryption key.
以上のように実施の形態1〜4の十進法の数値を用いたデータ処理例では請求項1及び請求項7に記載の、親データの初期値を記憶部に設定する方法で提示した(図3の(1))。
これに対して、図3〜5に示した様に、請求項2及び請求項8に記載の、種データの初期値を記憶部に設定する方法の場合には、図3の2で破線で囲った中の、種データの初期値を数値「6583」とすれば(図3と図4の(2))、最初の親データは数値「6763840」となり、1回めの子データは数値「676」、2回めの子データは数値「817」、3回めの子データは数値「603」となり、以下も同様になるため、パスワードや暗号鍵に用いる数値は実施の形態1〜4と同一になる。
又、図3〜5に示した様に、請求項3及び請求項9に記載の、子データと種データの初期値を記憶部に記憶する方法の場合には、子データと種データの初期値をそれぞれ数値「676」と数値「3840」に設定すれば(図3と図4の(3))、パスワードや暗号鍵に用いる数値は実施の形態1〜4と同一になる。
As described above, in the data processing examples using the decimal numbers in the first to fourth embodiments, the initial values of the parent data are presented by the method of setting in the storage unit according to
On the other hand, as shown in FIGS. 3 to 5, in the method of setting the initial value of the seed data in the storage unit according to
Further, as shown in FIGS. 3 to 5, in the case of the method of storing the initial values of the child data and the seed data in the storage unit according to
[実施の形態5]
本発明では、親データ作成・種データ抽出・次世代の親データ作成とループ状に繰り返すデータ処理やループ状のデータ処理から派生する子データ抽出は毎サイクル共に同一の処理を行うように限定されるものではない。
実施の形態5は、請求項2に記載のパスワード認証システムの実施例で、図5を参照しながら、具体的な数値データ処理過程に絞って例示する。
本例では実施の形態1と異なり、種データの初期値を被認証者側装置と認証者側装置の双方の記憶部に記憶することとする。
又、本実施例の親データ作成手段の所定の処理として、種データの数値を二乗し、双方で事前に共有した共通の数値を加算し、所定の桁数の数値を抽出することと、加算する共通の数値は実施の形態1と同様に「3427951」とするが、以下のように、実施の形態1に替えて、所定の桁数を、奇数回めは「下七桁」、偶数回めは「全八桁」とし、又、本例での子データ抽出手段の抽出処理方法としては、奇数回めは、親データの数値の上位三桁を、偶数回目は親データの数値の上位四桁を抽出して子データとし、パスワード作成手段は子データの数値をそのままパスワードとすることとする。
尚、本例での種データ抽出手段での抽出方法は実施の形態1と同一方法とする。すると、図5に示したように1回めのパスワードである子データは数値「676」で、2回めのパスワードである子データは数値「1817」で、3回めのパスワードである子データは数値「603」で、4回めのパスワードである子データは数値「6046」で、以下同様である。尚、種データの数値は実施の形態1と同一である。
以上の様にパスワードの桁数がパスワード認証毎に異なることで、従来と同等以上のセキュリティを確保することができる。
[Embodiment 5]
In the present invention, parent data creation, seed data extraction, next-generation parent data creation and child data extraction derived from loop data processing and loop data processing are limited to perform the same processing in each cycle. It is not something.
The fifth embodiment is an example of the password authentication system according to the second aspect, and will be exemplified with a specific numerical data processing step with reference to FIG.
In this example, unlike the first embodiment, the initial value of the seed data is stored in the storage units of both the authenticator side device and the authenticator side device.
Also, as a predetermined process of the parent data creation means of this embodiment, the numerical value of the seed data is squared, a common numerical value shared in advance by both is added, and a numerical value of a predetermined number of digits is extracted, and addition The common numerical value is “3427951” as in the first embodiment, but instead of the first embodiment, the predetermined number of digits is changed to “lower seven digits”, even times In this example, the child data extraction means uses the upper three digits of the parent data value for the odd number and the upper number of the parent data value for the even number. Four digits are extracted and used as child data, and the password creation means uses the child data value as it is as the password.
The extraction method by the seed data extraction means in this example is the same as that in the first embodiment. Then, as shown in FIG. 5, the child data that is the first password is the numerical value “676”, the child data that is the second password is the numerical value “1817”, and the child data that is the third password. Is the numerical value “603”, the child data that is the fourth password is the numerical value “6046”, and so on. Note that the numerical values of the seed data are the same as those in the first embodiment.
As described above, since the number of digits of the password is different for each password authentication, it is possible to ensure the security equivalent to or higher than the conventional one.
実施の形態1〜5では、分かりやすくするために少ない桁数の数字を用いたが、実際に実用化する場合にはもっと桁数の大きな数値を用いてもよい。またこの十進法の数字を用いた形態に替えて、文字列や符号や記号やデジタル画像等、あるいはこれらを組み合わせて親データや種データとしてもよい。 In the first to fifth embodiments, numbers with a small number of digits are used for easy understanding, but numerical values with a larger number of digits may be used in practical use. Further, instead of the form using decimal numbers, a character string, a code, a symbol, a digital image, or the like, or a combination thereof may be used as parent data or seed data.
又、通信回線上に表れる子データから種データの種類(実施の形態1〜5では「数値」が種データだと推測されやすい)を推測されることによるセキュリティの低下を軽減するなどの目的で、子データに一定の操作を行って子データの形態を変換して(数値からアルファベットや符号や画像などに変換する、等)パスワードとして用いてもよい。
Also, for the purpose of alleviating the deterioration of security caused by inferring the kind of seed data from the child data appearing on the communication line (in
又、実施の形態1〜5では、簡単にするために、子データの抽出方法は、上三桁、上四桁、上二桁、あるいは三桁めとし、更に子データをそのままパスワードや暗号鍵とし、種データの抽出方法としては単純に下四桁としたが、もっと細かく細分化したものを組み合わせて子データや種データとし、その抽出された子データに複雑なデータ作成処理を行ってパスワードや暗号鍵を作成してもよい。又、親データ、子データ、種データは複数個で構成してもよい。重要なことはパスワードや暗号鍵の素になる子データと種データの間には関連性が乏しく、できる限り無関係になるよう抽出することで、それにより、パスワードや暗号鍵と種データの関連性を乏しくすることである。 In the first to fifth embodiments, for simplification, the extraction method of the child data is the upper three digits, the upper four digits, the upper two digits, or the third digit, and the child data is directly used as a password or an encryption key. The seed data extraction method is simply the last four digits, but it is combined with more detailed data to make child data and seed data, and the extracted child data is subjected to complicated data creation processing to create a password. Or an encryption key may be created. A plurality of parent data, child data, and seed data may be configured. The important thing is to extract the child data and seed data that are the source of the password and encryption key so that they are not related as much as possible. Is to make it scarce.
これにより通信回線上に流されたパスワードを第3者が不正に取得したとしても、この子データは使い捨てであり、また子データからは関連性の薄い種データを推測することは困難なため次回のパスワードである次世代の子データを推測することは困難である。また第3者に暗号化放送が不正に取得され、さらに暗号が解読されて暗号鍵の算出に成功されたとしても、翌日の暗号化放送の暗号鍵は別のものになるため、この被害は翌日以降に持ち越されることはない。以上から第3者が不正に認証をうけることや不正にニュースを継続して試聴・購読し続けることは困難で、認証や暗号化放送のセキュリティは保たれる。 As a result, even if a third party illegally obtains the password that was sent over the communication line, this child data is disposable, and it is difficult to infer seed data that is less relevant from the child data. It is difficult to guess the next-generation child data that is the password of. Even if an encrypted broadcast is illegally acquired by a third party and the encryption is further decrypted and the encryption key is calculated successfully, the encryption key for the next day's encrypted broadcast will be different, so this damage It will not be carried over to the next day. From the above, it is difficult for a third party to authenticate illegally and to continue illegally listening and subscribing to news, and the security of authentication and encrypted broadcasting is maintained.
なお、本発明を実施するための最良の形態について前記の様に実施の形態を説明したが、本発明は当該形態になんら限定されるものではなく、本発明の要旨を逸脱しない範囲内において、種々なる形態で種々の認証分野や暗号化通信分野で実施することができる。例えば認証は通信回線を使用したものに限らず、手紙やファックスや対面での認証にも利用することもできるし、所定の処理にはパソコンを必要としない手計算や作図による計測などを使用してもよい。 Although the embodiment has been described as described above with respect to the best mode for carrying out the present invention, the present invention is not limited to the embodiment at all and is within the scope not departing from the gist of the present invention. It can be implemented in various authentication fields and encrypted communication fields in various forms. For example, authentication is not limited to using communication lines, but can also be used for letters, faxes, and face-to-face authentication, and the prescribed processing uses manual calculation that does not require a personal computer or measurement by drawing. May be.
100 被認証者側装置
110、310 記憶部
111、311 親データ
112、312 次世代の親データ
120、320 データ処理部
130、330 子データ抽出手段
131、331 子データ
140、340 パスワード作成手段
141、341 パスワード
150、350 通信手段
170、370 種データ抽出手段
171、371 種データ
180、380 親データ作成手段
190、390データ更新手段
200 通信網
300 認証者側装置
360 認証決定手段
100 Authentication-subjected
Claims (14)
被認証者側装置と認証者側装置とはそれぞれ記憶部とデータ処理部とから構成され、
双方の装置の前記記憶部には、初期値として同一内容の親データが記憶されており、
被認証者側装置のデータ処理部は、前記親データの一部を所定の方法で抽出して子データとする子データ抽出手段と、前記子データ抽出手段により抽出された子データに基づいてパスワードを作成するパスワード作成手段と、前記パスワード作成手段により作成されたパスワードを認証者側装置に送信し、かつ認証者側装置からの認証成立の信号を受信する通信手段と、前記子データ抽出手段とは異なる抽出処理方法で、前記親データの一部を抽出して種データとする種データ抽出手段と、前記種データ抽出手段により抽出された種データに対して所定の処理を行って次回の認証依頼に必要な次世代の親データを作成する親データ作成手段と、前記親データ作成手段により作成された次世代の親データで前記記憶部に記憶された元の親データを更新するデータ更新手段と、を備え、
認証者側装置のデータ処理部は、前記被認証者側装置の子データ抽出手段と同一の抽出処理方法で、認証者側装置自身の前記記憶部に記憶された親データから子データを抽出する子データ抽出手段と、前記被認証者側装置のパスワード作成手段と同一の作成処理方法で、自身の前記子データ抽出手段により抽出された子データに基づいてパスワードを作成するパスワード作成手段と、前記被認証者側装置から送信されたパスワードを受信し、かつ認証が成立した場合には認証成立の信号を被認証者側装置に送信する通信手段と、前記自身のパスワード作成手段により作成されたパスワードと、前記通信手段が被認証者側装置から受診したパスワードと、を照合し、それらが一致するか否かで認証成立か否かを決定する認証決定手段と、前記被認証者側装置の種データ抽出手段と同一の抽出処理方法で、認証者側装置自身の前記記憶部に記憶された親データから種データを抽出する種データ抽出手段と、前記自身の種データ抽出手段により抽出された種データに対して前記被認証者側装置の親データ作成手段と同一の所定の作成処理を行って次回の認証決定に必要な次世代の親データを作成する親データ作成手段と、前記自身の親データ作成手段により作成された次世代の親データで自身の前記記憶部に記憶された元の親データを更新するデータ更新手段と、を備えることを特徴とするパスワード認証システム。 A password authentication system that performs authentication using a password between a device to be authenticated and a device on the authenticator side,
The person-to-be-authenticated device and the device to be authenticated have a storage unit and a data processing unit, respectively.
In the storage units of both devices, parent data having the same content is stored as an initial value,
The data processing unit of the device to be authenticated includes a child data extraction unit that extracts a part of the parent data by a predetermined method to obtain child data, and a password based on the child data extracted by the child data extraction unit A password creating means for creating a password, a communication means for transmitting a password created by the password creating means to an authenticator side device and receiving an authentication establishment signal from the authenticator side device, and the child data extracting means, Is a different extraction processing method, a seed data extracting means for extracting a part of the parent data as seed data, and performing a predetermined process on the seed data extracted by the seed data extracting means for the next authentication Parent data creation means for creating next-generation parent data necessary for the request, and original parent data stored in the storage unit with the next-generation parent data created by the parent data creation means Includes a data updating means for updating, a,
The data processing unit of the certifier side device extracts child data from the parent data stored in the storage unit of the certifier side device by the same extraction processing method as the child data extraction unit of the device to be authenticated Child data extraction means, and password creation means for creating a password based on the child data extracted by the child data extraction means in the same creation processing method as the password creation means of the device to be authenticated A communication unit that receives a password transmitted from the device to be authenticated and transmits a signal indicating the establishment of authentication to the device to be authenticated when the authentication is established, and a password created by the password creating unit And an authentication determining means for determining whether or not the authentication is established based on whether or not they match, and the password that the communication means has received from the device to be authenticated. Seed data extraction means for extracting seed data from parent data stored in the storage unit of the certifier side device by the same extraction processing method as the seed data extraction means of the witness side device, and the own seed data extraction Parent data creation means for creating the next generation parent data necessary for the next authentication decision by performing the same predetermined creation processing as the parent data creation means of the device to be authenticated for the seed data extracted by the means And a data updating unit for updating the original parent data stored in the storage unit with the next generation parent data created by the parent data creating unit. .
被認証者側装置と認証者側装置の記憶部には同一内容の親データに替えて同一内容の種データが記憶されており、
被認証者側装置と認証者側装置のデータ処理部に備えられたデータ更新手段は、次世代の親データに替えて、次世代の親データから種データ抽出手段により抽出された次世代の種データで、記憶部に記憶された元の種データを更新することを特徴とする、請求項1に記載のパスワード認証システム。 The password authentication system according to claim 1,
In the storage unit of the device to be authenticated and the device on the side of the authenticator, seed data of the same content is stored instead of the parent data of the same content,
The data updating means provided in the data processing unit of the device to be authenticated and the device on the authenticator side replaces the next generation parent data with the next generation seed data extracted by the seed data extraction means from the next generation parent data. The password authentication system according to claim 1, wherein the original seed data stored in the storage unit is updated with the data.
被認証者側装置と認証者側装置の記憶部には同一内容の親データに替えて同一内容の子データと種データとが記憶されており、
被認証者側装置と認証者側装置のデータ処理部に備えられたデータ更新手段は、次世代の親データに替えて、次世代の親データから子データ抽出手段と種データ抽出手段により抽出された次世代の子データと次世代の種データとで、記憶部に記憶された元の子データと種データとを更新することを特徴とする、請求項1に記載のパスワード認証システム。 The password authentication system according to claim 1,
The storage unit of the person-to-be-authenticated device and the device of the certifier side stores child data and seed data of the same content instead of the parent data of the same content,
The data update means provided in the data processing unit of the device to be authenticated and the device on the side of the authenticator are extracted from the next generation parent data by the child data extraction means and the seed data extraction means in place of the next generation parent data. The password authentication system according to claim 1, wherein the original child data and seed data stored in the storage unit are updated with the next-generation child data and the next-generation seed data.
被認証者側装置と被認証者側装置の双方のデータ処理部に備えられた子データ抽出手段は、一度のパスワード認証と引き続いた暗号化通信に際して、双方で同一の複数の子データを親データから抽出し、被認証者側装置と被認証者側装置の双方のデータ処理部に備えられた子データ選別手段は前記子データ抽出手段により抽出された複数の子データをパスワードの素になる子データPと暗号鍵の素になる子データKに選別し、パスワード作成手段は、前記子データ選別手段によりパスワードの素に選別された子データPに基づいてパスワードを作成し、被認証者側装置と被認証者側装置の双方のデータ処理部に追加して備えられた暗号鍵作成手段は、子データ選別手段により暗号鍵の素に選別された子データKに基づいて暗号鍵を作成し、被認証者側装置と被認証者側装置の双方のデータ処理部に備えられた通信手段は、被認証者側装置のパスワード作成手段で作成されたパスワードを被認証者側装置から認証者側装置に送信するのを送受信し、かつ認証成立の信号を認証者側装置から被認証者側装置に送信するのを送受信し、更にそれに加えて、認証成立の信号が送受信された後には双方間で後述する暗号化及び複号手段により作成された暗号文を送受信し、被認証者側装置と被認証者側装置の双方のデータ処理部に追加して備えられた暗号化及び複号手段は、双方の通信手段により認証成立の信号が送受信された後に、前記暗号鍵作成手段により作成された暗号鍵を使用して、文章や画像などのデジタルデータの平文を暗号化して暗号文とし、かつ受信した暗号文を復号する、ことを特徴とするパスワード認証および暗号化通信システム。 A plurality of pieces of child data extracted by the child data extraction unit are respectively stored in the data processing units of both the device to be authenticated and the device on the side of the certifier according to claims 1 to 3, respectively, on the same basis. Child data selection means for selecting the child data P that is the source of the password and the child data K that is the source of the encryption key, and the encryption key generation means for generating the encryption key by the same data processing method in both A password authentication and encryption communication system for performing encrypted communication subsequent to password authentication between both devices additionally equipped with encryption and decryption means adopting the same encryption and decryption method,
The child data extraction means provided in the data processing unit of both the device to be authenticated and the device to be authenticated has the same child data as the parent data in both password authentication and subsequent encrypted communication. The child data selection means provided in the data processing units of both the device to be authenticated and the device to be authenticated has a plurality of child data extracted by the child data extraction means as a child of a password. The data P and the child data K that is the prime of the encryption key are sorted, and the password creating means creates a password based on the child data P that is sorted into the password prime by the child data sorting means, and the authenticated person side device The encryption key creation means provided in addition to the data processing units of both the authentication device and the authenticated person side device creates the encryption key based on the child data K selected by the child data selection means as the prime of the encryption key, Covered The communication means provided in the data processing unit of both the witness side device and the authenticated person side device transfers the password created by the password creating means of the authenticated person side device from the authenticated person side device to the certifier side device. Send / receive transmission and transmission / reception of an authentication establishment signal from the authenticator side apparatus to the authenticated person side apparatus, and in addition, after the authentication establishment signal is transmitted / received, both sides will be described later. The encryption and decryption means provided in addition to the data processing unit of both the device to be authenticated and the device to be authenticated are both sent and received. After the authentication establishment signal is transmitted / received by the communication means, the plaintext of the digital data such as text or image is encrypted and received using the encryption key created by the encryption key creation means, and received. Decrypt the ciphertext, Password authentication and encrypted communication system characterized and.
被認証者側装置と被認証者側装置の双方のデータ処理部に備えられた子データ抽出手段、種データ抽出手段、親データ作成手段、及びデータ更新手段は、一度のパスワード認証とそれに引き続いた暗号化通信に際して、種データ抽出・次世代の親データ作成・次世代の種データ抽出のループ状のデータ処理を双方で同じ回数の複数サイクル施行する過程で、親データから子データ、次世代の親データから次世代の子データ、更に、第何世代の親データから第何世代の子データ、などのように複数の子データを抽出することを特徴とする請求項4に記載のパスワード認証および暗号化通信システム。 The password authentication and encryption communication system according to claim 4,
The child data extraction means, the seed data extraction means, the parent data creation means, and the data update means provided in the data processing units of both the device to be authenticated and the device to be authenticated have been subjected to password authentication once and subsequently. During encrypted communication, the loop data processing of seed data extraction, next-generation parent data generation, and next-generation seed data extraction is performed in the same number of cycles in both directions. 5. The password authentication and the password authentication according to claim 4, wherein a plurality of child data such as next generation child data from parent data, further generation child data from first generation parent data, and the like are extracted. Encrypted communication system.
被認証者側装置と被認証者側装置の双方のデータ処理部に備えられた双方で同一処理方法のパスワード作成手段と暗号鍵作成手段は、同一の子データに基づいて、双方で同一の、異なる2つのデータ作成処理方法で、2つの異なるデータである双方で同一のパスワードと暗号鍵とを作成することを特徴とする請求項4に記載のパスワード認証および暗号化通信システム。 The password authentication and encryption communication system according to claim 4,
The password creation means and the encryption key creation means of the same processing method in both of the data processing units of the device to be authenticated and the device to be authenticated are the same in both, based on the same child data. 5. The password authentication and encryption communication system according to claim 4, wherein the same password and encryption key are created by two different data by using two different data creation processing methods.
被認証者と認証者の双方は同一内容の親データを初期値として記憶し、
被認証者と認証者の双方は、それぞれ独立して、同一の所定の抽出処理方法で前記親データの一部を抽出して子データを作成し、作成した子データに基づいてそれぞれ同一の作成処理方法でパスワードを作成し、
被認証者は自身が作成した前記パスワードを認証者に連絡し、
認証者は被認証者からパスワードの連絡を受けると、自身が作成したパスワードと被認証者から受け取った前記パスワードとを照合してそれらが一致するか否かで認証成立か否かを決定し、認証が成立した場合には被認証者に認証成立の連絡を行い、
認証成立の連絡が行われた場合には、被認証者と認証者の双方はそれぞれ独立して、双方で同一の、前記子データを抽出した方法とは別の抽出処理方法で前記親データの一部を抽出して種データを作成し、作成された種データに対して双方で同一の所定の処理を行って次回の認証決定に必要な次世代の親データを作成し、作成された前記次世代の親データで元の親データを更新することを特徴とするパスワード認証方法。 A password authentication method for performing authentication using a password between a person to be authenticated and a certifier,
Both the person to be authenticated and the certifier store the same parent data as the initial value,
Both the person to be authenticated and the certifier independently extract a part of the parent data by the same predetermined extraction processing method to create child data, and the same creation based on the created child data. Create a password with the processing method,
The person to be authenticated notifies the certifier of the password created by himself / herself,
When the authenticator receives a password notification from the person to be authenticated, the password is verified by comparing the password created by the user and the password received from the person to be authenticated, and whether or not they match, If authentication is established, the person to be authenticated is notified that the authentication has been established,
When notification of authentication establishment is made, both the person to be authenticated and the certifier are independent of each other, and the parent data of the parent data is extracted by a different extraction processing method from the method of extracting the child data. Extract a part to create seed data, perform the same predetermined processing on the created seed data on both sides to create the next generation parent data necessary for the next authentication decision, A password authentication method characterized by updating original parent data with next-generation parent data.
被認証者と認証者の双方は同一内容の親データに替えて同一内容の種データを初期値として記憶し、
認証成立の連絡が行われた場合には、被認証者と認証者の双方はそれぞれ独立して、次世代の親データに替えて次世代の親データの一部を抽出した次世代の種データで元の種データを更新することを特徴とする請求項7に記載のパスワード認証方法。 The password authentication method according to claim 8, wherein
Both the to-be-authenticated person and the certifier store the seed data of the same content as the initial value instead of the parent data of the same content,
In the event of notification of the establishment of authentication, both the subject and the certifier will independently generate next-generation seed data that is extracted from the next-generation parent data instead of the next-generation parent data. The password authentication method according to claim 7, wherein the original seed data is updated.
被認証者と認証者の双方は同一内容の親データに替えて同一内容の子データと種データを初期値として記憶し、
認証成立の連絡が行われた場合には、被認証者と認証者の双方はそれぞれ独立して、次世代の親データに替えて次世代の親データの一部を抽出した次世代の子データと次世代の種データとで元の子データと種データを更新することを特徴とする請求項8に記載のパスワード認証方法。 The password authentication method according to claim 8, wherein
Both the to-be-authenticated person and the certifier store the child data and seed data having the same contents as the initial value instead of the parent data having the same contents,
In the event of notification of successful authentication, both the person to be authenticated and the certifier will be independent of each other, and the next-generation child data extracted from the next-generation parent data in place of the next-generation parent data. The password authentication method according to claim 8, wherein the original child data and seed data are updated with the next-generation seed data.
被認証者と認証者の双方は、一度のパスワード認証と引き続いた暗号化通信に際して親データから複数の子データを抽出し、更に、前記複数の子データからパスワードの素になる子データPと暗号鍵の素になる子データKとを双方で同一の所定の基準で選別し、
被認証者は、選別された前記子データPに基づいてパスワードを作成して認証者に連絡し、
認証者は被認証者からパスワードを受け取ると、選別された自身の前記子データPに基づいて被認証者と同一の作成処理方法で作成した自身のパスワードと、被認証者から受け取った前記パスワードと、を照合して、それらが一致するか否かで認証成立か否かを決定し、認証が成立した場合には被認証者に認証成立の連絡を行い、
認証成立の連絡が行われた場合には、引き続いて、被認証者と認証者の双方は、独自に、選別された自身の前記子データKを暗号鍵に使用して、双方間で文章や画像などのデジタルデータを暗号化した暗号文を送受信してそれらを復号することを特徴とするパスワード認証および暗号化通信方法。 A password authentication and encrypted communication method for performing encrypted communication between a person to be authenticated and an authenticator subsequent to the password authentication method according to claim 8,
Both the person to be authenticated and the authenticator extract a plurality of pieces of child data from the parent data at the time of one-time password authentication and subsequent encrypted communication. The child data K that is the key element is selected according to the same predetermined standard on both sides,
The person to be authenticated creates a password based on the selected child data P and contacts the certifier,
When the authenticator receives the password from the person to be authenticated, the password created by the same creation processing method as the person to be authenticated based on the selected child data P of the person to be authenticated, and the password received from the person to be authenticated , And whether or not the authentication is established is determined based on whether or not they match. When the authentication is established, the authentication person is notified of the establishment of the authentication,
In the case where the notification of the establishment of authentication is made, both the person to be authenticated and the authenticator independently use the selected child data K as the encryption key, A password authentication and encrypted communication method characterized by transmitting and receiving ciphertext obtained by encrypting digital data such as an image and decrypting them.
被認証者と認証者の双方は、一度のパスワード認証と引き続いた暗号化通信に際して、親データから種データを抽出し、抽出した種データから次世代の親データを作成し、次世代の親データから次世代の種データを抽出するループ状に連続したデータ処理を複数サイクル施行する過程で、親データから子データ、次世代の親データから次世代の子データ、更に、第何世代の親データから第何世代の子データ、などのように複数の子データを抽出することを特徴とする請求項10に記載のパスワード認証及び暗号化通信方法。 The password authentication and encrypted communication method according to claim 10,
Both the person to be authenticated and the certifier extract the seed data from the parent data and create the next generation parent data from the extracted seed data at the time of one-time password authentication and subsequent encrypted communication. Next-generation parent data from next-generation parent data to next-generation child data, and further generations of parent data in the process of performing multiple cycles of continuous data processing to extract next-generation seed data from The password authentication and encrypted communication method according to claim 10, wherein a plurality of pieces of child data are extracted from the first generation child data.
被認証者と認証者の双方は、親データから抽出された同一の子データに基づいて、異なる2つの処理を行って双方で同一のパスワードと暗号鍵を作成することを特徴とする請求項10に記載のパスワード認証及び暗号化通信方法。 The password authentication and encrypted communication method according to claim 10,
The both of the person to be authenticated and the certifier perform two different processes based on the same child data extracted from the parent data to create the same password and encryption key on both sides. The password authentication and encrypted communication method described in 1.
An encrypted communication method for performing communication between a plurality of password authentication and encrypted communication methods according to claim 11 by omitting a part related to password authentication.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010213726A JP2012068930A (en) | 2010-09-24 | 2010-09-24 | Password authentication system and method, and encrypted communication system and method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010213726A JP2012068930A (en) | 2010-09-24 | 2010-09-24 | Password authentication system and method, and encrypted communication system and method |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2012068930A true JP2012068930A (en) | 2012-04-05 |
Family
ID=46166132
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2010213726A Pending JP2012068930A (en) | 2010-09-24 | 2010-09-24 | Password authentication system and method, and encrypted communication system and method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2012068930A (en) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2014063392A (en) * | 2012-09-21 | 2014-04-10 | Yahoo Japan Corp | Information processor and method |
| JP2018110374A (en) * | 2016-10-24 | 2018-07-12 | フィッシャー−ローズマウント システムズ,インコーポレイテッド | Safe data transfer via data diode for security protected process control communication |
| JP2019161605A (en) * | 2018-03-16 | 2019-09-19 | 株式会社デンソー | Master electronic controller, slave electronic controller, electronic control system, communication control method, and communication control program |
| US11240201B2 (en) | 2016-10-24 | 2022-02-01 | Fisher-Rosemount Systems, Inc. | Publishing data across a data diode for secured process control communications |
-
2010
- 2010-09-24 JP JP2010213726A patent/JP2012068930A/en active Pending
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2014063392A (en) * | 2012-09-21 | 2014-04-10 | Yahoo Japan Corp | Information processor and method |
| US9081945B2 (en) | 2012-09-21 | 2015-07-14 | Yahoo Japan Corporation | Information processing device and method |
| JP2018110374A (en) * | 2016-10-24 | 2018-07-12 | フィッシャー−ローズマウント システムズ,インコーポレイテッド | Safe data transfer via data diode for security protected process control communication |
| US11240201B2 (en) | 2016-10-24 | 2022-02-01 | Fisher-Rosemount Systems, Inc. | Publishing data across a data diode for secured process control communications |
| JP7210135B2 (en) | 2016-10-24 | 2023-01-23 | フィッシャー-ローズマウント システムズ,インコーポレイテッド | Secure data transfer via data diode for secure process control communication |
| US11700232B2 (en) | 2016-10-24 | 2023-07-11 | Fisher-Rosemount Systems, Inc. | Publishing data across a data diode for secured process control communications |
| JP2019161605A (en) * | 2018-03-16 | 2019-09-19 | 株式会社デンソー | Master electronic controller, slave electronic controller, electronic control system, communication control method, and communication control program |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107251035B (en) | Account recovery protocol | |
| JP4866863B2 (en) | Security code generation method and user device | |
| KR101237632B1 (en) | Network helper for authentication between a token and verifiers | |
| CN106796631B (en) | Method and apparatus for logging in medical equipment | |
| US9294267B2 (en) | Method, system and program product for secure storage of content | |
| CN103763631B (en) | Authentication method, server and television set | |
| WO2018046009A1 (en) | Block chain identity system | |
| CN110958209B (en) | Bidirectional authentication method, system and terminal based on shared secret key | |
| JP2002140304A (en) | Wireless communication system, transmitting device, receiving device, and content data transfer method | |
| TW201004270A (en) | Network helper for authentication between a token and verifiers | |
| CN111615105A (en) | Information providing method, information obtaining method, information providing device, information obtaining device and terminal | |
| CN110198295A (en) | Safety certifying method and device and storage medium | |
| CN113411187A (en) | Identity authentication method and system, storage medium and processor | |
| CN108155987A (en) | Group message sending method, method of reseptance and its system and communicating terminal | |
| US20150082018A1 (en) | Secure data exchange method, and communication device and system implementing same | |
| CN107707562B (en) | A method and device for asymmetric dynamic token encryption and decryption algorithm | |
| CN109361512A (en) | Data transmission method | |
| JP2012068930A (en) | Password authentication system and method, and encrypted communication system and method | |
| US20030097559A1 (en) | Qualification authentication method using variable authentication information | |
| JP4615128B2 (en) | Voice and data encryption method using encryption key split combiner | |
| JP6631210B2 (en) | Terminal device authentication program, terminal device authentication method, server device, and authentication system | |
| JP2013109481A (en) | Password authentication system and method, and encryption communication system and method | |
| CN113961909A (en) | A user-free login method and system for a client | |
| CN114765542A (en) | Quantum cipher network encryption communication method based on quantum key card | |
| JP6165044B2 (en) | User authentication apparatus, system, method and program |