[go: up one dir, main page]

JP3721176B2 - Authentication system and encrypted communication system - Google Patents

Authentication system and encrypted communication system Download PDF

Info

Publication number
JP3721176B2
JP3721176B2 JP2003162588A JP2003162588A JP3721176B2 JP 3721176 B2 JP3721176 B2 JP 3721176B2 JP 2003162588 A JP2003162588 A JP 2003162588A JP 2003162588 A JP2003162588 A JP 2003162588A JP 3721176 B2 JP3721176 B2 JP 3721176B2
Authority
JP
Japan
Prior art keywords
user terminal
communication system
management server
machine number
communication systems
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2003162588A
Other languages
Japanese (ja)
Other versions
JP2004364164A (en
Inventor
智也 新井
知彦 齋藤
勇太郎 上原
克之 藤井
俊一 丸山
八郎 澤田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT DOCOMO BUSINESS, Inc.
NEC Platforms Ltd
NEC Corp
NTT Communications Corp
Original Assignee
NTT DOCOMO BUSINESS, Inc.
NEC Corp
NTT Communications Corp
NEC Infrontia Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT DOCOMO BUSINESS, Inc., NEC Corp, NTT Communications Corp, NEC Infrontia Corp filed Critical NTT DOCOMO BUSINESS, Inc.
Priority to JP2003162588A priority Critical patent/JP3721176B2/en
Publication of JP2004364164A publication Critical patent/JP2004364164A/en
Application granted granted Critical
Publication of JP3721176B2 publication Critical patent/JP3721176B2/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Description

【0001】
【発明の属する技術分野】
本発明は、異なる通信方式を有する複数の通信システムと通信可能なユーザ端末を用いた通信に利用する。例えば、携帯電話あるいはPHSと無線LANとが一つのユーザ端末によって利用可能であるような通信システムに関する。
【0002】
【従来の技術】
ネットワークアクセスの通信手段の一つである無線LANは、高帯域かつ高品質な通信システムではあるが、従来のシステムでは認証方式や暗号化方式に脆弱性があり、秘匿性に問題があると言われている。
【0003】
秘匿性を高めるための通信システム暗号化方式として、通信する相互間で鍵を共有する共有鍵暗号化方式と公開鍵で暗号化された情報を秘密鍵で復号する公開鍵暗号化方式がある。共有鍵暗号化方式は公開鍵暗号化方式に比べ処理が非常に高速であるため、データ通信において使用されることが多い(例えば、特許文献1〜5参照)。
【0004】
【特許文献1】
特開2000−083274号公報
【特許文献2】
特開2001−344214号公報
【特許文献3】
特開2002−159072号公報
【特許文献4】
特開2003−023420号公報
【特許文献5】
特開昭62−221231号公報
【0005】
【発明が解決しようとする課題】
しかしながら、使用する鍵情報を相手に伝える手段として、口頭やメモなどで直接伝えたりする場合は、近くにいる第三者に聞かれたり見られたりすることにより、また、メールなどで伝えたりする場合には、悪意のある第三者に参照されたりして、鍵情報が漏洩してしまう問題点がある。
【0006】
また、ネットワークアクセスするためのユーザID/パスワードによる従来の接続認証では使用するユーザの正当性のみの確認となり、ユーザIDやパスワードの漏洩による不正な端末からのなりすましが可能となってしまう。不正な端末からの接続を排除する方法として、例えば無線LANなどでは、MACアドレスを使用した機器認証なども実施できるが、MACアドレスはユーザが簡単に変更できるため、完全とは言えない。
【0007】
本発明は、このような背景に行われたものであって、秘密鍵が第三者に漏洩する可能性を低減させ、秘匿性の高いネットワークアクセスを実現することができ、また、本来、秘匿性の低い通信システムのセキュリティを向上させることができる認証システムおよび暗号化通信システムおよび方法を提供することを目的とする。
【0008】
【課題を解決するための手段】
本発明は、複数のデータ通信方式を有するユーザ端末において、公衆移動体通信(例:携帯電話、PHS)にて使用される機体番号を、セキュリティが低い無線通信システム(例:無線LAN)などにおける認証情報または鍵情報として使用し、秘匿性やセキュリティを向上させる仕組みである。
【0009】
また、上記ユーザ端末が使用する機体番号を通知する方法として、異なる種別の複数の無線通信路を使用して交換した情報を用いて共有鍵を生成し、その共有鍵を使用した暗号化を実施することにより、秘匿性の高い機体番号通知方法を提供する。
【0010】
すなわち、本発明の第一の観点は、認証システムであって、本発明の特徴とするところは、複数の通信システムと、この複数の通信システムと通信する手段を備えたユーザ端末と、前記複数の通信システムとの共通網に備えられ接続端末情報を管理する手段を備えた管理サーバとを備え、前記複数の通信システムのいずれかを第一の通信システムとし、この第一の通信システムとは異なるいずれかを第二の通信システムとし、この第二の通信システムは前記第一の通信システムと比較して通信の秘匿性が低いとするとき、前記ユーザ端末は、前記第一および第二の通信システムを介して前記管理サーバに対してそれぞれ行った機体番号登録要求に対する応答として、前記管理サーバが生成した第一および第二の乱数を前記管理サーバから前記第一および第二の通信システムを介してそれぞれ受信する手段と、この第一および第二の乱数の双方に基づき前記管理サーバと自己との間の共有鍵を生成する手段と、この共有鍵に基づき自己にあらかじめ割当てられていた機体番号を暗号化する手段と、この暗号化された機体番号を自己の端末情報と共に前記管理サーバに前記第一の通信システムを介して送信する手段とを備え、前記管理サーバは、前記ユーザ端末からの前記第一および第二の通信システムを介してそれぞれ受信した機体番号登録要求に基づき前記第一および第二の乱数をそれぞれ生成する手段と、この第一および第二の乱数を前記ユーザ端末に前記第一および第二の通信システムを介してそれぞれ送信する手段と、前記第一および第二の乱数に基づき前記共有鍵を生成して保持する手段と、前記ユーザ端末から受信した前記ユーザ端末の暗号化された機体番号を前記共有鍵により復号化して当該機体番号と共に受信した前記ユーザ端末の端末情報と共に保持する手段とを備え、前記第二の通信システムに設けられたゲートウェイ装置は、前記ユーザ端末からの認証要求を受信すると前記管理サーバに当該ユーザ端末の機体番号通知を要求してこれを受け取ると共に第三の乱数を生成して当該ユーザ端末に送信する手段を備え、前記ユーザ端末は、前記第三の乱数および自己の端末情報および自己の機体番号に基づきハッシュ値を生成して自己の端末情報と共に前記第二の通信システムに送信する手段を備え、前記ゲートウェイ装置は、前記ユーザ端末から受信した前記端末情報と自己が保持する前記第三の乱数および機体番号とに基づきハッシュ値を生成する手段と、この生成する手段により生成されたハッシュ値と前記ユーザ端末から受信したハッシュ値とを比較する手段と、この比較する手段の比較結果が一致したときに前記ユーザ端末を正当なユーザ端末として認証する手段とを備えたところにある。
【0011】
このように、機体番号を暗号化するための秘密鍵である共有鍵を、異なる種別の複数の通信システムにてやり取りした情報(乱数)を元に、同一アルゴリズムを使用して生成し使用することにより、秘匿性が高い方法で機体番号を通知することができる。例えば、単一通信システムを使用して共有鍵を生成するための情報を送受信する方式の場合、定常的に監視することによりアルゴリズムが漏洩し、第三者に暗号化情報が解読されてしまう危険性がある。本発明においては、2種類(またはそれ以上)の通信システムを使用することにより、全ての通信システムにて盗聴されない限り、アルゴリズムや暗号化情報の漏洩はされることはない。
【0012】
また、秘匿性の高い通信システムにおける端末固有不変の情報である機体番号を、秘匿性の低い通信システムにおいて認証や暗号化情報を生成するための鍵情報として使用することにより、セキュリティを向上させることができる。例えばPHSと無線LANの一体型カードによる接続を実施した場合に、PHSにおける機体番号を無線LANの鍵情報生成のための一要素として使用することにより、不正なユーザや端末からの接続を排除することができる。
【0013】
あるいは、本発明の第二の観点は、暗号化通信システムであって、本発明の特徴とするところは、複数の通信システムと、この複数の通信システムと通信する手段を備えたユーザ端末と、前記複数の通信システムとの共通網に備えられ接続端末情報を管理する手段を備えた管理サーバとを備え、前記複数の通信システムのいずれかを第一の通信システムとし、この第一の通信システムとは異なるいずれかを第二の通信システムとし、この第二の通信システムは前記第一の通信システムと比較して通信の秘匿性が低いとするとき、前記ユーザ端末は、前記第一および第二の通信システムを介して前記管理サーバに対してそれぞれ行った機体番号登録要求に対する応答として、前記管理サーバが生成した第一および第二の乱数を前記管理サーバから前記第一および第二の通信システムを介してそれぞれ受信する手段と、この第一および第二の乱数の双方に基づき前記管理サーバと自己との間の共有鍵を生成する手段と、この共有鍵に基づき自己にあらかじめ割当てられていた機体番号を暗号化する手段と、この暗号化された機体番号を自己の端末情報と共に前記管理サーバに前記第一の通信システムを介して送信する手段とを備え、前記管理サーバは、前記ユーザ端末からの前記第一および第二の通信システムを介してそれぞれ受信した機体番号登録要求に基づき前記第一および第二の乱数をそれぞれ生成する手段と、この第一および第二の乱数を前記ユーザ端末に前記第一および第二の通信システムを介してそれぞれ送信する手段と、前記第一および第二の乱数に基づき前記共有鍵を生成して保持する手段と、前記ユーザ端末から受信した前記ユーザ端末の暗号化された機体番号を前記共有鍵により復号化して当該機体番号と共に受信した前記ユーザ端末の端末情報と共に保持する手段とを備え、前記第二の通信システムに設けられたゲートウェイ装置は、前記ユーザ端末からの端末情報を含む通信要求を受信すると前記管理サーバに当該ユーザ端末の機体番号通知を要求してこれを受け取ると共に第三の乱数を生成して当該ユーザ端末に送信する手段を備え、前記ユーザ端末は、前記第三の乱数および自己の端末情報および自己の機体番号に基づき前記第二の通信システムとの共有鍵を生成する手段と、この共有鍵により前記第二の通信システムとの間で送受信されるデータを暗号化または復号化する手段とを備え、前記ゲートウェイ装置は、前記ユーザ端末の端末情報と自己が保持する前記第三の乱数および機体番号とに基づき前記ユーザ端末との共有鍵を生成する手段と、この共有鍵により前記ユーザ端末との間で送受信されるデータを暗号化または復号化する手段とを備えたところにある。
【0014】
このようにして、データを暗号化して送受信する場合にも本発明のシステムを有効に適用することができる。
【0015】
また、本発明の第三の観点は、複数の通信システムと、この複数の通信システムと通信する手段を備えたユーザ端末と、前記複数の通信システムとの共通網に備えられ接続端末情報を管理する手段を備えた管理サーバとを備えた認証システムに適用される前記ユーザ端末である。
【0016】
ここで、本発明の特徴とするところは、前記複数の通信システムのいずれかを第一の通信システムとし、この第一の通信システムとは異なるいずれかを第二の通信システムとし、この第二の通信システムは前記第一の通信システムと比較して通信の秘匿性が低いとするとき、前記第一および第二の通信システムを介して前記管理サーバに対してそれぞれ行った機体番号登録要求に対する応答として、前記管理サーバが生成した第一および第二の乱数を前記管理サーバから前記第一および第二の通信システムを介してそれぞれ受信する手段と、この第一および第二の乱数の双方に基づき前記管理サーバと自己との間の共有鍵を生成する手段と、この共有鍵に基づき自己にあらかじめ割当てられていた機体番号を暗号化する手段と、この暗号化された機体番号を自己の端末情報と共に前記管理サーバに前記第一の通信システムを介して送信する手段とを備え、前記管理サーバは、前記ユーザ端末からの前記第一および第二の通信システムを介してそれぞれ受信した機体番号登録要求に基づき前記第一および第二の乱数をそれぞれ生成し、この第一および第二の乱数を前記ユーザ端末に前記第一および第二の通信システムを介してそれぞれ送信し、前記第一および第二の乱数に基づき前記共有鍵を生成して保持し、前記ユーザ端末から受信した前記ユーザ端末の暗号化された機体番号を前記共有鍵により復号化して当該機体番号と共に受信した前記ユーザ端末の端末情報と共に保持し、前記第二の通信システムに設けられたゲートウェイ装置は、前記ユーザ端末からの認証要求を受信すると前記管理サーバに当該ユーザ端末の機体番号通知を要求してこれを受け取ると共に第三の乱数を生成して当該ユーザ端末に送信し、前記第三の乱数および自己の端末情報および自己の機体番号に基づきハッシュ値を生成して自己の端末情報と共に前記第二の通信システムに送信する手段を備えたところにある。
【0017】
本発明の第四の観点は、複数の通信システムと、この複数の通信システムと通信する手段を備えたユーザ端末と、前記複数の通信システムとの共通網に備えられ接続端末情報を管理する手段を備えた管理サーバとを備えた認証システムに適用される前記管理サーバである。
【0018】
ここで、本発明の特徴とするところは、前記複数の通信システムのいずれかを第一の通信システムとし、この第一の通信システムとは異なるいずれかを第二の通信システムとし、この第二の通信システムは前記第一の通信システムと比較して通信の秘匿性が低いとするとき、前記ユーザ端末は、前記第一および第二の通信システムを介して前記管理サーバに対してそれぞれ行った機体番号登録要求に対する応答として、前記管理サーバが生成した第一および第二の乱数を前記管理サーバから前記第一および第二の通信システムを介してそれぞれ受信し、この第一および第二の乱数の双方に基づき前記管理サーバと自己との間の共有鍵を生成し、この共有鍵に基づき自己にあらかじめ割当てられていた機体番号を暗号化し、この暗号化された機体番号を自己の端末情報と共に前記管理サーバに前記第一の通信システムを介して送信し、前記ユーザ端末からの前記第一および第二の通信システムを介してそれぞれ受信した機体番号登録要求に基づき前記第一および第二の乱数をそれぞれ生成する手段と、この第一および第二の乱数を前記ユーザ端末に前記第一および第二の通信システムを介してそれぞれ送信する手段と、前記第一および第二の乱数に基づき前記共有鍵を生成して保持する手段と、前記ユーザ端末から受信した前記ユーザ端末の暗号化された機体番号を前記共有鍵により復号化して当該機体番号と共に受信した前記ユーザ端末の端末情報と共に保持する手段とを備えたところにある。
【0019】
また、本発明の第五の観点は、複数の通信システムと、この複数の通信システムと通信する手段を備えたユーザ端末と、前記複数の通信システムとの共通網に備えられ接続端末情報を管理する手段を備えた管理サーバとを備えた認証システムに適用され、前記複数の通信システムのいずれかを第一の通信システムとし、この第一の通信システムとは異なるいずれかを第二の通信システムとし、この第二の通信システムは前記第一の通信システムと比較して通信の秘匿性が低いとする前記第二の通信システムに設けられたゲートウェイ装置である。
【0020】
ここで、本発明の特徴とするところは、前記ユーザ端末は、前記第一および第二の通信システムを介して前記管理サーバに対してそれぞれ行った機体番号登録要求に対する応答として、前記管理サーバが生成した第一および第二の乱数を前記管理サーバから前記第一および第二の通信システムを介してそれぞれ受信し、この第一および第二の乱数の双方に基づき前記管理サーバと自己との間の共有鍵を生成し、この共有鍵に基づき自己にあらかじめ割当てられていた機体番号を暗号化し、この暗号化された機体番号を自己の端末情報と共に前記管理サーバに前記第一の通信システムを介して送信し、前記管理サーバは、前記ユーザ端末からの前記第一および第二の通信システムを介してそれぞれ受信した機体番号登録要求に基づき前記第一および第二の乱数をそれぞれ生成し、この第一および第二の乱数を前記ユーザ端末に前記第一および第二の通信システムを介してそれぞれ送信し、前記第一および第二の乱数に基づき前記共有鍵を生成して保持し、前記ユーザ端末から受信した前記ユーザ端末の暗号化された機体番号を前記共有鍵により復号化して当該機体番号と共に受信した前記ユーザ端末の端末情報と共に保持し、前記ユーザ端末からの認証要求を受信すると前記管理サーバに当該ユーザ端末の機体番号通知を要求してこれを受け取ると共に第三の乱数を生成して当該ユーザ端末に送信する手段を備え、前記ユーザ端末は、前記第三の乱数および自己の端末情報および自己の機体番号に基づきハッシュ値を生成して自己の端末情報と共に前記第二の通信システムに送信し、前記ユーザ端末から受信した前記端末情報と自己が保持する前記第三の乱数および機体番号とに基づきハッシュ値を生成する手段と、この生成する手段により生成されたハッシュ値と前記ユーザ端末から受信したハッシュ値とを比較する手段と、この比較する手段の比較結果が一致したときに前記ユーザ端末を正当なユーザ端末として認証する手段とを備えたところにある。
【0021】
本発明の第六の観点は、複数の通信システムと、この複数の通信システムと通信する手段を備えたユーザ端末と、前記複数の通信システムとの共通網に備えられ接続端末情報を管理する手段を備えた管理サーバとを備えた暗号通信システムに適用される前記ユーザ端末である。
【0022】
ここで、本発明の特徴とするところは、前記複数の通信システムのいずれかを第一の通信システムとし、この第一の通信システムとは異なるいずれかを第二の通信システムとし、この第二の通信システムは前記第一の通信システムと比較して通信の秘匿性が低いとするとき、前記第一および第二の通信システムを介して前記管理サーバに対してそれぞれ行った機体番号登録要求に対する応答として、前記管理サーバが生成した第一および第二の乱数を前記管理サーバから前記第一および第二の通信システムを介してそれぞれ受信する手段と、この第一および第二の乱数の双方に基づき前記管理サーバと自己との間の共有鍵を生成する手段と、この共有鍵に基づき自己にあらかじめ割当てられていた機体番号を暗号化する手段と、この暗号化された機体番号を自己の端末情報と共に前記管理サーバに前記第一の通信システムを介して送信する手段とを備え、前記管理サーバは、前記ユーザ端末からの前記第一および第二の通信システムを介してそれぞれ受信した機体番号登録要求に基づき前記第一および第二の乱数をそれぞれ生成し、この第一および第二の乱数を前記ユーザ端末に前記第一および第二の通信システムを介してそれぞれ送信し、前記第一および第二の乱数に基づき前記共有鍵を生成して保持し、前記ユーザ端末から受信した前記ユーザ端末の暗号化された機体番号を前記共有鍵により復号化して当該機体番号と共に受信した前記ユーザ端末の端末情報と共に保持し、前記第二の通信システムに設けられたゲートウェイ装置は、前記ユーザ端末からの端末情報を含む通信要求を受信すると前記管理サーバに当該ユーザ端末の機体番号通知を要求してこれを受け取ると共に第三の乱数を生成して当該ユーザ端末に送信し、前記第三の乱数および自己の端末情報および自己の機体番号に基づき前記第二の通信システムとの共有鍵を生成する手段と、この共有鍵により前記第二の通信システムとの間で送受信されるデータを暗号化または復号化する手段とを備えたところにある。
【0023】
また、本発明の第七の観点は、複数の通信システムと、この複数の通信システムと通信する手段を備えたユーザ端末と、前記複数の通信システムとの共通網に備えられ接続端末情報を管理する手段を備えた管理サーバとを備えた暗号化通信システムに適用される前記管理サーバである。
【0024】
ここで、本発明の特徴とするところは、前記複数の通信システムのいずれかを第一の通信システムとし、この第一の通信システムとは異なるいずれかを第二の通信システムとし、この第二の通信システムは前記第一の通信システムと比較して通信の秘匿性が低いとするとき、前記ユーザ端末は、前記第一および第二の通信システムを介して前記管理サーバに対してそれぞれ行った機体番号登録要求に対する応答として、前記管理サーバが生成した第一および第二の乱数を前記管理サーバから前記第一および第二の通信システムを介してそれぞれ受信し、この第一および第二の乱数の双方に基づき前記管理サーバと自己との間の共有鍵を生成し、この共有鍵に基づき自己にあらかじめ割当てられていた機体番号を暗号化し、この暗号化された機体番号を自己の端末情報と共に前記管理サーバに前記第一の通信システムを介して送信し、前記ユーザ端末からの前記第一および第二の通信システムを介してそれぞれ受信した機体番号登録要求に基づき前記第一および第二の乱数をそれぞれ生成する手段と、この第一および第二の乱数を前記ユーザ端末に前記第一および第二の通信システムを介してそれぞれ送信する手段と、前記第一および第二の乱数に基づき前記共有鍵を生成して保持する手段と、前記ユーザ端末から受信した前記ユーザ端末の暗号化された機体番号を前記共有鍵により復号化して当該機体番号と共に受信した前記ユーザ端末の端末情報と共に保持する手段とを備えたところにある。
【0025】
本発明の第八の観点は、複数の通信システムと、この複数の通信システムと通信する手段を備えたユーザ端末と、前記複数の通信システムとの共通網に備えられ接続端末情報を管理する手段を備えた管理サーバとを備え暗号化通信システムに適用され、前記複数の通信システムのいずれかを第一の通信システムとし、この第一の通信システムとは異なるいずれかを第二の通信システムとし、この第二の通信システムは前記第一の通信システムと比較して通信の秘匿性が低いとする前記第二の通信システムに設けられたゲートウェイ装置である。
【0026】
ここで、本発明の特徴とするところは、前記ユーザ端末は、前記第一および第二の通信システムを介して前記管理サーバに対してそれぞれ行った機体番号登録要求に対する応答として、前記管理サーバが生成した第一および第二の乱数を前記管理サーバから前記第一および第二の通信システムを介してそれぞれ受信し、この第一および第二の乱数の双方に基づき前記管理サーバと自己との間の共有鍵を生成し、この共有鍵に基づき自己にあらかじめ割当てられていた機体番号を暗号化し、この暗号化された機体番号を自己の端末情報と共に前記管理サーバに前記第一の通信システムを介して送信し、前記管理サーバは、前記ユーザ端末からの前記第一および第二の通信システムを介してそれぞれ受信した機体番号登録要求に基づき前記第一および第二の乱数をそれぞれ生成し、この第一および第二の乱数を前記ユーザ端末に前記第一および第二の通信システムを介してそれぞれ送信し、前記第一および第二の乱数に基づき前記共有鍵を生成して保持し、前記ユーザ端末から受信した前記ユーザ端末の暗号化された機体番号を前記共有鍵により復号化して当該機体番号と共に受信した前記ユーザ端末の端末情報と共に保持し、前記ユーザ端末からの端末情報を含む通信要求を受信すると前記管理サーバに当該ユーザ端末の機体番号通知を要求してこれを受け取ると共に第三の乱数を生成して当該ユーザ端末に送信する手段を備え、前記ユーザ端末は、前記第三の乱数および自己の端末情報および自己の機体番号に基づき前記第二の通信システムとの共有鍵を生成し、この共有鍵により前記第二の通信システムとの間で送受信されるデータを暗号化または復号化し、前記ユーザ端末の端末情報と自己が保持する前記第三の乱数および機体番号とに基づき前記ユーザ端末との共有鍵を生成する手段と、この共有鍵により前記ユーザ端末との間で送受信されるデータを暗号化または復号化する手段とを備えたところにある。
【0027】
本発明の第九の観点は、複数の通信システムと、この複数の通信システムと通信するユーザ端末と、前記複数の通信システムとの共通網に備えられ接続端末情報を管理する管理サーバとを備えた認証システムに適用される認証方法である。
【0028】
ここで、本発明の特徴とするところは、前記複数の通信システムのいずれかを第一の通信システムとし、この第一の通信システムとは異なるいずれかを第二の通信システムとし、この第二の通信システムは前記第一の通信システムと比較して通信の秘匿性が低いとするとき、前記ユーザ端末は、前記第一および第二の通信システムを介して前記管理サーバに対してそれぞれ行った機体番号登録要求に対する応答として、前記管理サーバが生成した第一および第二の乱数を前記管理サーバから前記第一および第二の通信システムを介してそれぞれ受信するステップと、この第一および第二の乱数の双方に基づき前記管理サーバと自己との間の共有鍵を生成するステップと、この共有鍵に基づき自己にあらかじめ割当てられていた機体番号を暗号化するステップと、この暗号化された機体番号を自己の端末情報と共に前記管理サーバに前記第一の通信システムを介して送信するステップとを実行し、前記管理サーバは、前記ユーザ端末からの前記第一および第二の通信システムを介してそれぞれ受信した機体番号登録要求に基づき前記第一および第二の乱数をそれぞれ生成するステップと、この第一および第二の乱数を前記ユーザ端末に前記第一および第二の通信システムを介してそれぞれ送信するステップと、前記第一および第二の乱数に基づき前記共有鍵を生成して保持するステップと、前記ユーザ端末から受信した前記ユーザ端末の暗号化された機体番号を前記共有鍵により復号化して当該機体番号と共に受信した前記ユーザ端末の端末情報と共に保持するステップとを実行し、前記第二の通信システムに設けられたゲートウェイ装置は、前記ユーザ端末からの認証要求を受信すると前記管理サーバに当該ユーザ端末の機体番号通知を要求してこれを受け取ると共に第三の乱数を生成して当該ユーザ端末に送信するステップを実行し、前記ユーザ端末は、前記第三の乱数および自己の端末情報および自己の機体番号に基づきハッシュ値を生成して自己の端末情報と共に前記第二の通信システムに送信するステップを実行し、前記ゲートウェイ装置は、前記ユーザ端末から受信した前記端末情報と自己が保持する前記第三の乱数および機体番号とに基づきハッシュ値を生成するステップと、この生成するステップにより生成されたハッシュ値と前記ユーザ端末から受信したハッシュ値とを比較するステップと、この比較するステップの比較結果が一致したときに前記ユーザ端末を正当なユーザ端末として認証するステップとを実行するところにある。
【0029】
本発明の第十の観点は、複数の通信システムと、この複数の通信システムと通信するユーザ端末と、前記複数の通信システムとの共通網に備えられ接続端末情報を管理する管理サーバとを備えた暗号化通信システムに適用される暗号化通信方法である。
【0030】
ここで、本発明の特徴とするところは、前記複数の通信システムのいずれかを第一の通信システムとし、この第一の通信システムとは異なるいずれかを第二の通信システムとし、この第二の通信システムは前記第一の通信システムと比較して通信の秘匿性が低いとするとき、前記ユーザ端末は、前記第一および第二の通信システムを介して前記管理サーバに対してそれぞれ行った機体番号登録要求に対する応答として、前記管理サーバが生成した第一および第二の乱数を前記管理サーバから前記第一および第二の通信システムを介してそれぞれ受信するステップと、この第一および第二の乱数の双方に基づき前記管理サーバと自己との間の共有鍵を生成するステップと、この共有鍵に基づき自己にあらかじめ割当てられていた機体番号を暗号化するステップと、この暗号化された機体番号を自己の端末情報と共に前記管理サーバに前記第一の通信システムを介して送信するステップとを実行し、前記管理サーバは、前記ユーザ端末からの前記第一および第二の通信システムを介してそれぞれ受信した機体番号登録要求に基づき前記第一および第二の乱数をそれぞれ生成するステップと、この第一および第二の乱数を前記ユーザ端末に前記第一および第二の通信システムを介してそれぞれ送信するステップと、前記第一および第二の乱数に基づき前記共有鍵を生成して保持するステップと、前記ユーザ端末から受信した前記ユーザ端末の暗号化された機体番号を前記共有鍵により復号化して当該機体番号と共に受信した前記ユーザ端末の端末情報と共に保持するステップとを実行し、前記第二の通信システムに設けられたゲートウェイ装置は、前記ユーザ端末からの端末情報を含む通信要求を受信すると前記管理サーバに当該ユーザ端末の機体番号通知を要求してこれを受け取ると共に第三の乱数を生成して当該ユーザ端末に送信するステップを実行し、前記ユーザ端末は、前記第三の乱数および自己の端末情報および自己の機体番号に基づき前記第二の通信システムとの共有鍵を生成するステップと、この共有鍵により前記第二の通信システムとの間で送受信されるデータを暗号化または復号化するステップとを実行し、前記ゲートウェイ装置は、前記ユーザ端末の端末情報と自己が保持する前記第三の乱数および機体番号とに基づき前記ユーザ端末との共有鍵を生成するステップと、この共有鍵により前記ユーザ端末との間で送受信されるデータを暗号化または復号化するステップとを実行するところにある。
【0031】
本発明の第十一の観点は、プログラムであって、本発明の特徴とするところは、情報処理装置にインストールすることにより、その情報処理装置に、本発明のユーザ端末あるいは本発明の管理サーバあるいは本発明のゲートウェイ装置に相応する機能を実現させるところにある。
【0032】
本発明のプログラムは記録媒体に記録されることにより、前記情報処理装置は、この記録媒体を用いて本発明のプログラムをインストールすることができる。あるいは、本発明のプログラムを保持するサーバからネットワークを介して直接前記情報処理装置に本発明のプログラムをインストールすることもできる。
【0033】
これにより、情報処理装置を用いて、秘密鍵が第三者に漏洩する可能性を低減させ、秘匿性の高いネットワークアクセスを実現することができ、また、本来、秘匿性の低い通信システムのセキュリティを向上させることができる認証システムまたは暗号化通信システムを実現することができる。
【0034】
【発明の実施の形態】
本発明実施形態を図1ないし図10を参照して説明する。図1は本実施形態の認証システムまたは暗号化通信システムの構成図である。図2は本実施形態のユーザ端末の構成図である。図3は本実施形態の管理サーバの構成図である。図4は本実施形態の無線基地局のブロック構成図である。図5は本実施形態の管理サーバにおける接続情報テーブルの構成図である。図6は本実施形態の管理サーバにおける端末管理テーブルの構成図である。図7は本実施形態の無線基地局における接続情報テーブルの構成図である。図8は本実施形態の機体番号登録手順を示すシーケンス図である。図9は本実施形態の認証手順を示すシーケンス図である。図10は本実施形態の暗号化通信手順を示すシーケンス図である。
【0035】
(第一実施形態)
第一実施形態は認証システムであって、第一実施形態の特徴とするところは、図1に示すように、通信システム200および300と、図2に示すように、この通信システム200および300と通信する接続部110および120を備えたユーザ端末100と、図3に示すように、通信システム200および300との共通網400に備えられ接続端末情報を管理する端末管理テーブル417および接続情報テーブル416を備えた管理サーバ410とを備え、通信システム300は通信システム200と比較して通信の秘匿性が低いとするとき、ユーザ端末100は、図2に示すように、通信システム200および300を介して管理サーバ410に対してそれぞれ行った機体番号登録要求に対する応答として、管理サーバ410が生成した乱数500および501を管理サーバ410から通信システム200および300を介してそれぞれ受信する接続制御部130と、この乱数500および501の双方に基づき管理サーバ410と自己との間の共有鍵502を生成する鍵生成部140と、この共有鍵502に基づき自己にあらかじめ割当てられていた機体番号を暗号化する暗号化部150と、この暗号化された機体番号を自己の端末情報と共に管理サーバ410に通信システム200を介して送信する接続制御部130とを備え、管理サーバ410は、図3に示すように、ユーザ端末100からの通信システム200および300を介してそれぞれ受信した機体番号登録要求に基づき乱数500および501をそれぞれ生成する乱数発生部413と、この乱数500および501をユーザ端末100に通信システム200および300を介してそれぞれ送信する接続制御部412と、乱数500および501に基づき共有鍵502を生成して保持する鍵生成部414および接続情報テーブル416と、ユーザ端末100から受信したユーザ端末100の暗号化された機体番号を共有鍵502により復号化して当該機体番号と共に受信したユーザ端末100の端末情報と共に保持する端末管理テーブル417とを備え、通信システム300に設けられたゲートウェイ装置320は、図4に示すように、ユーザ端末100からの認証要求を受信すると管理サーバ410に当該ユーザ端末100の機体番号通知を要求してこれを受け取ると共に乱数503を生成する乱数発生部323と、この乱数503を当該ユーザ端末100に送信する接続制御部322とを備え、ユーザ端末100は、図1に示すように、乱数503および自己の端末情報および自己の機体番号に基づきハッシュ値505を生成して自己の端末情報と共に通信システム300に送信する接続制御部130を備え、ゲートウェイ装置320は、図4に示すように、ユーザ端末100から受信した端末情報と自己が保持する乱数503および機体番号とに基づきハッシュ値505を生成する暗号化部325と、この暗号化部325により生成されたハッシュ値505とユーザ端末100から受信したハッシュ値505とを比較する接続制御部322とを備え、接続制御部322は、この比較結果が一致したときにユーザ端末100を正当なユーザ端末として認証するところにある。
【0036】
以下では、本実施形態の認証システムをさらに詳細に説明する。図1において、ユーザ端末100は通信システム200および通信システム300の2つの通信システムと接続しデータ通信を行う機能を有する。管理サーバ410は、秘匿性の高い通信システム200と、通信システム200に比べ秘匿性の低い通信システム300との両通信システムに接続されている共通網400上に配置され、接続端末情報を管理している。
【0037】
例えば、ユーザ端末100が通信システム300を介してインターネット600に初めて接続しようとする場合、後記認証や暗号化にて使用するために、ユーザ端末100が保持している不変で固有である機体番号を管理サーバ410に通知する。通知方法は、はじめに通信システム200を使用して鍵生成要素として乱数500を共有し、次に通信システム300を使用して乱数501を共有し、ユーザ端末100の鍵生成部にて乱数500と乱数501を使用して共有鍵502を生成し、共有鍵502を用いて機体番号を暗号化し、管理サーバ401に通知する。2種類の通信システムを使用した鍵生成論理により、従来よりも安全に機体番号を通知することができる。
【0038】
次に、この通知した機体番号を、通信システム300を経由するデータ通信において、認証や暗号化に使用する共有鍵を生成するための情報として用いることができる。機体番号という改竄が不可能でユニークな番号を共有鍵の生成情報として用いることにより、通信システム300においてセキュリティ向上を図ることができる。
【0039】
すなわち、図1を参照すると、本実施形態の通信システムはユーザ端末100と通信システム200と接続するための無線基地局210と通信システム200を介してインターネット600に接続するためのゲートウェイ装置220と、通信システム300と接続するための無線基地局310と通信システム300を介してインターネット600に接続するためのゲートウェイ装置320と、共通網400とそこに配置される管理サーバ410とインターネット600とそこに配置されるサーバ510とから構成される。
【0040】
データ通信に際して秘匿性が高いPHS網などを想定する通信システム200は、共通網400と接続されており、ユーザ端末100は無線基地局210と接続を確立することにより管理サーバ410と、ゲートウェイ装置220を介してインターネット600に設置されているサーバ510と通信することができる。
【0041】
データ通信に際して秘匿性が通信システム200より低い無線LAN網などの通信システム300は、共通網400と接続されており、ユーザ端末100は無線基地局310との接続を確立することより、管理サーバ410と、ゲートウェイ装置320とを介してインターネット600に設置されているサーバ510と通信することができる。
【0042】
IPネットワーク等により構成されるインターネット600および共通網400は、管理サーバ410やサーバ510が設置されており、ユーザ端末100は通信システム200や通信システム300を介してアクセスできる。
【0043】
図1、図2を用いて、ユーザ端末の構成について説明する。図1のユーザ端末100において、110と120は接続部、130は接続制御部、140は鍵生成部、150は暗号化部を表す。接続部110は、例えばPHS接続カードなどを想定し、接続制御部130からの要求により、無線基地局210と無線接続の接続や切断を実施する。また、接続部110は電話番号などの端末情報111と不変で端末使用ユーザが変更することができない秘匿性の高い機体番号112を保持する。接続部120は、例えば無線LAN接続カードなどを想定し、接続制御部130からの要求により、無線基地局310と無線接続の接続や切断を実施する。また、接続部120はMACアドレスなどの端末情報121を保持する。
【0044】
接続制御部130は、接続部110や接続部120に対して接続要求や切断要求を指示することにより通信システム200や通信システム300との接続を確立する機能と、ゲートウェイ装置220またはゲートウェイ装置320との接続を確立することにより、管理サーバ410とデータ通信する機能と、管理サーバ410から通知される乱数500と乱数501とを保持し、それを元に鍵生成部140と連携して共有鍵502を取得し保持する機能と、端末種別111と共有鍵502とを元に、暗号化部150と連携して暗号化機体番号113を取得し、通信システム200を介して管理サーバ410に通知する機能と、ゲートウェイ装置220またはゲートウェイ装置320から通知される乱数503を保持し、それを元に鍵生成部140と連携して共有鍵504を取得し保持する機能を具備する。
【0045】
鍵生成部140は、3つの値から共有鍵を算出する関数f1とf2とを持ち、共有鍵を生成する機能を持つ。管理サーバ410は関数f1と同じアルゴリズムの関数を持ち、ゲートウェイ装置220または320は関数f2と同じアルゴリズムの関数を持つ。
【0046】
暗号化部150は、ある1つの値に対する暗号化情報を2つの値を元に算出する関数g1と、複数の値を元にある1つの値のハッシュ値を計算する関数g2と、鍵とデータとを元に暗号化データを計算するg3を持つ。管理サーバ410は関数g1にて暗号化された情報を復号化するアルゴリズムである関数を持ち、ゲートウェイ装置220または320は関数g2と同じアルゴリズムを持つ関数と関数g3にて暗号化された情報を復号化するアルゴリズムである関数を持つ。
【0047】
図1、図3を用いて、管理サーバについて説明する。図3の管理サーバにおいて、411は接続部、412は接続制御部、413は乱数発生部、414は鍵生成部、415は暗号化部、416は接続情報テーブル、417は端末管理テーブルを表す。接続部411は、共通網400に接続される通信システム200または通信システム300を介して、ユーザ端末100と通信する機能を具備する。
【0048】
接続制御部412は、ユーザ端末100に対して共有鍵502の生成のための情報を乱数500と501を乱数発生部413から取得し、接続部411を介して通知する機能と、同時に鍵生成部414を使用して、ユーザ端末100と共有する共有鍵502を取得し、通知される端末情報111と共に接続情報テーブル416に登録する機能と、共有鍵502とユーザ端末100より通知された暗号化機体番号113から、暗号化部415と連携して機体番号112を復号化し、接続情報テーブル416に登録する機能を具備する。また、ゲートウェイ装置220または320に対して、登録されている機体番号に対する取得要求に応答する機能を具備する。
【0049】
乱数発生部413は、接続制御部412からの指示により乱数を発生させる機能を具備する。鍵生成部414は、3つの値から共有鍵を算出する関数f1を持ち、共有鍵を生成する機能を持つ。ユーザ端末100は、この関数f1と同じアルゴリズムの関数を持つ。暗号化部415は、2つの値から暗号化情報を復号化する関数h1を持ち、暗号化情報を復号化する機能を持つ。ユーザ端末100は、この関数h1に対応する暗号化情報を算出するアルゴリズムの関数g1を持つ。
【0050】
図1、図4を用いて、ゲートウェイ装置320について説明する。図4のゲートウェイ装置320において、321は接続部、322は接続制御部、323は乱数発生部、324は鍵生成部、325は暗号化部、326は接続情報テーブルを表す。接続部321は、通信システム300を介して共通網400上やサーバやユーザ端末100と通信する機能を具備する。
【0051】
接続制御部322は、管理サーバ410に対して機体番号を問い合わせる機能と、ユーザ端末100に対して共有鍵504の生成のための情報を乱数発生部323から取得し接続部321を介して通知する機能と、同時に鍵生成部324を使用して、ユーザ端末100と共有する共有鍵504を取得し、通知される端末情報111と共に接続情報テーブル326に登録する機能を具備する。
【0052】
乱数発生部323は、接続制御部322からの指示により乱数を発生させる機能を具備する。鍵生成部324は、3つの値から共有鍵を算出する関数f2を持ち、共有鍵を生成する機能を持つ。ユーザ端末100は、この関数f2と同じアルゴリズムの関数を持つ。
【0053】
暗号化部325は、複数の値を元にある1つの値のハッシュ値を計算する関数g2を持ち、ハッシュ値を生成する機能と、暗号化されたデータを鍵情報を用いることにより復号化する関数h3を持ち、暗号化データを復号化する機能を持つ。ユーザ端末100は、この関数g2と同じアルゴリズムを持つ関数と、関数h3に対する暗号化アルゴリズムである関数を持つ。
【0054】
次に、本発明の実施例の動作を図5〜図9を用いて説明する。ユーザ端末100が管理サーバ410に対して、機体番号112を登録する場合の動作を図8を用いて説明する。まず、接続制御部130より制御部110に対して接続要求を実施し、通信システム200に対する無線接続を確立する。次に接続制御部130は、接続部110が保持している端末情報111を取得し、管理サーバ410に送信する。
【0055】
管理サーバ410は、その端末情報111を受信し、端末情報111を元に図6に示す端末管理テーブル417を検索し、該当エントリがない場合、乱数発生部413から乱数500を取得し、端末情報111と共に図5に示す接続情報テーブル416の空いているエントリに登録し、その後、前記乱数500をユーザ端末100に送信する。
【0056】
ユーザ端末100の接続制御部130は前記乱数500を受信し内部保持した後、接続部120に対して接続要求を実施し、通信システム300に対する接続を確立する。接続確立後、前動作と同様に接続部110が保持する端末情報111と端末情報121を、通信システム300を介して送信する。
【0057】
管理サーバ410は、その端末情報111と端末情報121を受信し、端末情報111を元に端末管理テーブル417を検索し、該当エントリが登録されていない場合、続けて接続情報テーブル416を検索し、該当エントリがあるが共有鍵が登録されていない場合、乱数発生部413から乱数501を取得し、該当エントリに乱数501を登録し、その後前記乱数501をユーザ端末100に通信システム300を介して送信する。続けて接続制御部412は、乱数500と乱数501と端末情報111とを鍵生成部414に渡し、鍵生成部414はその渡された情報を元に関数f1を用いて共有鍵502を生成し、接続制御部412は接続情報テーブル416の該当エントリにその共有鍵502を登録する。
【0058】
ユーザ端末100の接続制御部130は、前記乱数501を受信し内部保持した後、鍵生成部140に乱数500と乱数501と端末情報111とを渡し、鍵生成部140は渡された情報を元に関数f1を用いて共有鍵502を生成し、内部保持する。続けて、暗号化部150に共有鍵502と機体番号112とを渡し、暗号化部150は渡された2つの情報を元に関数g1を用いて機体番号112を暗号化し、暗号化機体番号113を生成する。接続制御部130は暗号化機体番号113を端末情報111と端末情報121と共に通信システム200を介して管理サーバ410に送信する。
【0059】
管理サーバ410の接続制御部412は、その暗号化機体番号113と端末情報111とを受信し、端末情報111より端末管理テーブル417の該当エントリを検索し、該当エントリが登録されていない場合、接続情報テーブル416を検索し該当エントリより共有鍵502を取得する。続けて、共有鍵502と暗号化機体番号113を暗号化部415に渡し、暗号化部415はその2つの情報を元に関数h1を用いて機体番号112を復号化し、接続制御部412はその機体番号112と端末情報111、端末情報121とを端末管理テーブル416の該当エントリに登録する。
【0060】
以上の動作により、機体番号112をユーザ端末100と管理サーバ410にて安全に共有することができる。この共有した機体番号112を用いて、秘匿性の低い通信システム300において、認証処理や暗号化データ通信を実施する。その実施方法を以下に示す。機体番号112を用いて、ゲートウェイ装置320と管理サーバ410とが連携して認証処理を実施する方法を図9を用いて説明する。
【0061】
前記機体番号共有方法により、ユーザ端末100と管理サーバ410にて、機体番号が通知された後、ユーザ端末はインターネットに接続するため、端末情報111を付与した接続要求を通信システム300上のゲートウェイ装置320に対して送信する。ゲートウェイ装置320の接続制御部322は、接続要求を受信した後、機体番号検索要求を端末情報111を付与して管理サーバ410に送信する。管理サーバ410の接続制御部412は、端末情報111を元に端末管理テーブル417を検索し、該当エントリの機体番号112を返す。
【0062】
ゲートウェイ装置320の接続制御部322は機体番号112受信後、乱数発生部323から乱数503を取得し、図7に示す接続情報テーブル326の空きエントリに機体番号112と端末情報111と乱数503とを登録した後、乱数503をユーザ端末100に返す。
【0063】
ユーザ端末100の接続制御部130は乱数503を受信し、乱数503と端末情報111と機体番号112とを暗号化部150に渡し、暗号化部150は渡された情報を元に関数g2を用いてハッシュ値505を求め、そのハッシュ値505を付与した認証要求をゲートウェイ装置320に対して送信する。
【0064】
ゲートウェイ装置320の接続制御部322は、認証要求受信後、端末情報111より接続情報テーブル326の該当エントリを検索後、機体番号112と乱数503と端末情報111とを暗号化部325に渡し、暗号化部325は渡された情報を元に関数g2を用いてハッシュ値506を求め、受信したハッシュ値505と計算し取得したハッシュ値506が一致する場合、認証結果が正常であるとして応答を返す。
【0065】
以上の処理により、通信システム200の情報である機体番号112を使用した、通信システム300における機器認証が実施可能となる。
【0066】
(第二実施形態)
第二実施形態は、暗号化通信システムであって、第二実施形態の特徴とするところは、図1に示すように、通信システム200および300と、図2に示すように、この通信システム200および300と通信する接続部110および120を備えたユーザ端末100と、図3に示すように、通信システム200および300との共通網400に備えられ接続端末情報を管理する端末管理テーブル417および接続情報テーブル416を備えた管理サーバ410とを備え、通信システム300は通信システム200と比較して通信の秘匿性が低いとするとき、ユーザ端末100は、図2に示すように、通信システム200および300を介して管理サーバ410に対してそれぞれ行った機体番号登録要求に対する応答として、管理サーバ410が生成した乱数500および501を管理サーバ410から通信システム200および300を介してそれぞれ受信する接続制御部130と、この乱数500および501の双方に基づき管理サーバ410と自己との間の共有鍵502を生成する鍵生成部140と、この共有鍵に基づき自己にあらかじめ割当てられていた機体番号を暗号化する暗号化部150と、この暗号化された機体番号を自己の端末情報と共に管理サーバ410に通信システム200を介して送信する接続部110とを備え、管理サーバ410は、図3に示すように、ユーザ端末100からの通信システム200および300を介してそれぞれ受信した機体番号登録要求に基づき乱数500および501をそれぞれ生成する乱数発生部413と、この乱数500および501をユーザ端末100に通信システム200および300を介してそれぞれ送信する接続制御部412と、乱数500および501に基づき共有鍵502を生成して保持する鍵生成部414および接続情報テーブル416と、ユーザ端末100から受信したユーザ端末100の暗号化された機体番号を共有鍵502により復号化して当該機体番号と共に受信したユーザ端末100の端末情報と共に保持する端末管理テーブル417とを備え、ゲートウェイ装置320は、図4に示すように、ユーザ端末100からの端末情報を含む通信要求を受信すると管理サーバ410に当該ユーザ端末100の機体番号通知を要求してこれを受け取ると共に乱数503を生成する乱数発生部323と、この乱数503を当該ユーザ端末100に送信する接続制御部322とを備え、ユーザ端末100は、図2に示すように、乱数503および自己の端末情報および自己の機体番号に基づき通信システム300との共有鍵504を生成する接続制御部130と、この共有鍵504により通信システム300との間で送受信されるデータを暗号化または復号化する暗号化部150とを備え、ゲートウェイ装置320は、図4に示すように、ユーザ端末100の端末情報と自己が保持する乱数503および機体番号とに基づきユーザ端末100との共有鍵504を生成する鍵生成部324と、この共有鍵504によりユーザ端末100との間で送受信されるデータを暗号化または復号化する暗号化部325とを備えたところにある。
【0067】
以下では、第二実施形態をさらに詳細に説明する。なお、図8に示す機体番号登録までの手順は第一実施形態と同じなので説明は省略する。
【0068】
機体番号112を用いて、ゲートウェイ装置320(またはゲートウェイ装置220)と管理サーバ410とを連携して暗号化通信を実施する方法を図10を用いて説明する。
【0069】
前記機体番号共有方式により、ユーザ端末100と管理サーバ410にて、機体番号が通知された後、ユーザ端末はインターネットに接続するため、端末情報111を付与した接続要求を通信システム300上のゲートウェイ装置320に対して送信する。ゲートウェイ装置320の接続制御部322は、接続要求を受信した後、機体番号検索要求を端末情報111を付与して管理サーバ410に送信する。管理サーバ410の接続制御部412は、端末情報111を元に端末管理テーブル417を検索し、該当エントリの機体番号112を返す。
【0070】
ゲートウェイ装置320の接続制御部322は機体番号112を受信後、乱数発生部323から乱数503を取得し、接続情報テーブル326の空きエントリに機体番号112と端末情報111と乱数503とを登録した後、乱数503をユーザ端末100に返す。
【0071】
ユーザ端末100の接続制御部130は乱数503を受信し、乱数503と端末情報111と機体番号112とを鍵生成部140に渡し、鍵生成部140は渡された情報を元に関数f2を用いて共有鍵504を生成する。
【0072】
ユーザ端末100において、アプリケーションからのサーバ510に対するデータ送信が発生した場合、接続制御部130は共有鍵504と送信データを元に暗号化部150の関数g3を使用して、暗号化データを生成し、そのデータをゲートウェイ装置320に送信する。
【0073】
ゲートウェイ装置320の接続制御部322は、受信した暗号化データと共有鍵504を元に暗号化部325の関数h3を使用して、暗号化データを復号化し、データをサーバ510に送信する。
【0074】
以上により、秘匿性の高い機体番号112を使用した、安全性の高い鍵を生成しそれを使用した暗号化通信が可能となる。
【0075】
第二実施形態は、ユーザ端末100からサーバ510に向かう方向のデータ送信について述べられているが、サーバ510からユーザ端末100に対するデータ送信も同様に、ゲートウェイ装置320にてデータ暗号化、ユーザ端末100にてデータの復号化を実施する。したがって、暗号化部150、325、415は、暗号化のみならず復号化の機能も有する。また、暗号化部325は、ハッシュ値生成の機能も有する。
【0076】
また、本発明は、汎用の情報処理装置にインストールすることにより、その情報処理装置に本発明の認証システムまたは暗号化通信システムに相応する機能を実現させるプログラムとして実現することができる。このプログラムは、記録媒体に記録されて情報処理装置にインストールされ、あるいは通信回線を介して情報処理装置にインストールされることにより当該情報処理装置に、本実施形態で説明したユーザ端末100あるいはゲートウェイ装置320あるいは管理サーバ410にそれぞれ相応する機能を実現させることができる。
【0077】
【発明の効果】
以上説明したように、本発明の第一の効果は、機体番号を暗号化するための秘密鍵である共有鍵を、異なる種別の複数の通信システムにてやり取りした情報(乱数)を元に、同一アルゴリズムを使用して生成し使用することにより、秘匿性が高い方法で機体番号を通知することができる。例えば、単一通信システムを使用して共有鍵を生成するための情報を送受信する方式の場合、定常的に監視することによりアルゴリズムが漏洩し、第三者に暗号化情報が解読されてしまう危険性がある。本発明においては、2種類(またはそれ以上)の通信システムを使用することにより、全ての通信システムにて盗聴されない限り、アルゴリズムや暗号化情報の漏洩はされることはない。
【0078】
本発明の第二の効果は、秘匿性の高い通信システムにおける端末固有不変の情報である機体番号を、秘匿性の低い通信システムにおいて認証や暗号化情報を生成するための鍵情報として使用することにより、セキュリティを向上させることができる。例えばPHSと無線LANの一体型カードによる接続を実施した場合に、PHSにおける機体番号を無線LANの鍵情報生成のための一要素として使用することにより、不正なユーザや端末からの接続を排除することができる。
【図面の簡単な説明】
【図1】本実施形態の認証システムまたは暗号化通信システムの構成図。
【図2】本実施形態のユーザ端末の構成図。
【図3】本実施形態の管理サーバの構成図。
【図4】本実施形態の無線基地局のブロック構成図。
【図5】本実施形態の管理サーバにおける接続情報テーブルの構成図。
【図6】本実施形態の管理サーバにおける端末管理テーブルの構成図。
【図7】本実施形態の無線基地局における接続情報テーブルの構成図。
【図8】本実施形態の機体番号登録手順を示すシーケンス図。
【図9】本実施形態の認証手順を示すシーケンス図。
【図10】本実施形態の暗号化通信手順を示すシーケンス図。
【符号の説明】
100 ユーザ端末
111、121 端末情報
112 機体番号
113 暗号化機体番号
110、120、321、411 接続部
130、322、412 接続制御部
140、324、414 鍵生成部
150、325、415 暗号化部
210、310 無線基地局
200、300 通信システム
220、320 ゲートウェイ装置
323、413 乱数発生部
326、416 接続情報テーブル
400 共通網
410 管理サーバ
417 端末管理テーブル
500、501、503 乱数
502、504 共有鍵
505 ハッシュ値
510 サーバ
600 インターネット[0001]
BACKGROUND OF THE INVENTION
The present invention is used for communication using a user terminal capable of communicating with a plurality of communication systems having different communication methods. For example, the present invention relates to a communication system in which a mobile phone or PHS and a wireless LAN can be used by one user terminal.
[0002]
[Prior art]
The wireless LAN, which is one of the network access communication means, is a high-bandwidth and high-quality communication system, but the conventional system is vulnerable to the authentication method and encryption method, and there is a problem with confidentiality. It has been broken.
[0003]
As a communication system encryption system for enhancing confidentiality, there are a shared key encryption system for sharing a key between communicating parties and a public key encryption system for decrypting information encrypted with a public key with a private key. Since the shared key encryption method is much faster than the public key encryption method, it is often used in data communication (see, for example, Patent Documents 1 to 5).
[0004]
[Patent Document 1]
JP 2000-083274 A
[Patent Document 2]
JP 2001-344214 A
[Patent Document 3]
JP 2002-159072 A
[Patent Document 4]
Japanese Patent Laid-Open No. 2003-023420
[Patent Document 5]
JP-A-62-2212231
[0005]
[Problems to be solved by the invention]
However, as a means to convey the key information to be used to the other party, when speaking directly or verbally, it may be heard or seen by a nearby third party or by e-mail etc. In this case, there is a problem that key information is leaked by being referred to by a malicious third party.
[0006]
Further, in the conventional connection authentication using the user ID / password for network access, only the legitimacy of the user to be used is confirmed, and impersonation from an unauthorized terminal due to leakage of the user ID or password becomes possible. As a method for eliminating connections from unauthorized terminals, for example, in a wireless LAN, device authentication using a MAC address can be performed. However, since the MAC address can be easily changed by a user, it cannot be said to be complete.
[0007]
The present invention has been made in such a background, and can reduce the possibility of a secret key leaking to a third party, and can realize highly confidential network access. It is an object of the present invention to provide an authentication system, an encrypted communication system, and a method capable of improving the security of a communication system with low reliability.
[0008]
[Means for Solving the Problems]
The present invention relates to a user terminal having a plurality of data communication schemes in which a machine number used in public mobile communication (eg, mobile phone, PHS) is assigned to a wireless communication system (eg, wireless LAN) with low security. It is a mechanism to improve confidentiality and security by using it as authentication information or key information.
[0009]
In addition, as a method for notifying the machine number used by the user terminal, a shared key is generated using information exchanged using a plurality of different types of wireless communication channels, and encryption using the shared key is performed. By doing so, a highly confidential machine number notification method is provided.
[0010]
That is, a first aspect of the present invention is an authentication system, and the present invention is characterized by a plurality of communication systems, a user terminal provided with means for communicating with the plurality of communication systems, and the plurality of the communication systems. A management server provided with a means for managing connection terminal information provided in a common network with the communication system of any one of the plurality of communication systems as a first communication system, When the second communication system is a different one, and the second communication system has lower communication confidentiality than the first communication system, the user terminal As a response to the machine number registration request made to the management server via the communication system, the first and second random numbers generated by the management server are sent from the management server to the management server. Means for receiving via the first and second communication systems, means for generating a shared key between the management server and itself based on both the first and second random numbers, and based on the shared key Means for encrypting a machine number previously assigned to itself, and means for transmitting the encrypted machine number together with its own terminal information to the management server via the first communication system, The management server includes means for generating the first and second random numbers based on the machine number registration requests respectively received from the user terminal via the first and second communication systems, and the first and second Means for transmitting a second random number to the user terminal via the first and second communication systems, respectively, and generating the shared key based on the first and second random numbers. Means for holding, and means for decrypting the encrypted machine number of the user terminal received from the user terminal with the shared key and holding together with the terminal information of the user terminal received together with the machine number, When the gateway device provided in the second communication system receives the authentication request from the user terminal, it requests the management server to notify the machine number of the user terminal and receives it, and generates a third random number. Means for transmitting to the user terminal, wherein the user terminal generates a hash value based on the third random number, its own terminal information and its own machine number, and sends it to the second communication system together with its own terminal information. Means for transmitting, wherein the gateway device receives the terminal information received from the user terminal and the third random number stored by itself. The comparison result of the means for generating the hash value based on the machine number and the means for comparing the hash value generated by the generating means with the hash value received from the user terminal coincides with each other. And a means for authenticating the user terminal as a valid user terminal.
[0011]
In this way, a shared key, which is a secret key for encrypting the machine number, is generated and used using the same algorithm based on information (random numbers) exchanged in different types of communication systems. Thus, the machine number can be notified in a highly confidential manner. For example, in the case of a method for transmitting and receiving information for generating a shared key using a single communication system, there is a risk that the algorithm leaks due to constant monitoring and the encrypted information is decrypted by a third party There is sex. In the present invention, by using two types (or more) of communication systems, an algorithm or encrypted information is not leaked unless it is eavesdropped on all communication systems.
[0012]
In addition, security is improved by using the machine number, which is terminal-invariant information in a highly confidential communication system, as key information for generating authentication and encryption information in a less confidential communication system. Can do. For example, when connection is made using an integrated card of PHS and wireless LAN, connection from unauthorized users or terminals is eliminated by using the machine number in PHS as an element for generating wireless LAN key information. be able to.
[0013]
Alternatively, a second aspect of the present invention is an encrypted communication system, and the feature of the present invention is that a plurality of communication systems and a user terminal provided with means for communicating with the plurality of communication systems, A management server provided in a common network with the plurality of communication systems and having means for managing connection terminal information, wherein any one of the plurality of communication systems is a first communication system, and the first communication system When the second communication system has a lower communication confidentiality than the first communication system, the user terminal In response to the machine number registration request made to the management server via the second communication system, the first and second random numbers generated by the management server are sent to the management server. Means for receiving via the first and second communication systems, means for generating a shared key between the management server and itself based on both the first and second random numbers, and the shared key Means for encrypting a machine number previously assigned to itself based on the information, and means for transmitting the encrypted machine number together with its own terminal information to the management server via the first communication system. The management server generates the first and second random numbers based on the machine number registration requests respectively received from the user terminal via the first and second communication systems; And a means for transmitting a second random number to the user terminal via the first and second communication systems, respectively, and the shared key based on the first and second random numbers. And a means for decrypting the encrypted machine number of the user terminal received from the user terminal with the shared key and holding the terminal information of the user terminal received together with the machine number. And a gateway device provided in the second communication system, upon receiving a communication request including terminal information from the user terminal, requests the management server to notify the machine number of the user terminal and receives the request. Means for generating a third random number and transmitting the generated random number to the user terminal, wherein the user terminal obtains a shared key with the second communication system based on the third random number, its own terminal information, and its own machine number. Means for generating, and means for encrypting or decrypting data transmitted / received to / from the second communication system using the shared key. The gateway device generates a shared key with the user terminal based on the terminal information of the user terminal and the third random number and machine number held by the terminal device, and between the user terminal using the shared key. And means for encrypting or decrypting data to be transmitted and received.
[0014]
In this way, the system of the present invention can be effectively applied even when data is encrypted and transmitted / received.
[0015]
A third aspect of the present invention is to manage connection terminal information provided in a common network of a plurality of communication systems, a user terminal having means for communicating with the plurality of communication systems, and the plurality of communication systems. It is the said user terminal applied to the authentication system provided with the management server provided with the means to do.
[0016]
Here, a feature of the present invention is that any one of the plurality of communication systems is a first communication system, and any one different from the first communication system is a second communication system. When the communication system of the first communication system has lower communication confidentiality than the first communication system, the machine number registration request made to the management server via the first and second communication systems respectively. As a response, means for receiving the first and second random numbers generated by the management server from the management server via the first and second communication systems, respectively, and both the first and second random numbers And a means for generating a shared key between the management server and itself based on the shared key, a means for encrypting a machine number previously assigned to the management server based on the shared key, Means for transmitting the machine number together with its own terminal information to the management server via the first communication system, the management server via the first and second communication systems from the user terminal. The first and second random numbers are respectively generated based on the received machine number registration request, and the first and second random numbers are transmitted to the user terminal via the first and second communication systems, respectively. The shared key is generated and held based on the first and second random numbers, and the encrypted machine number of the user terminal received from the user terminal is decrypted with the shared key together with the machine number The gateway device provided with the received terminal information of the user terminal and provided in the second communication system receives an authentication request from the user terminal Requests and receives a machine number notification of the user terminal from the management server and generates a third random number and transmits it to the user terminal. The third random number, its own terminal information, and its own machine number There is provided a means for generating a hash value based on the terminal information and transmitting it to the second communication system together with its own terminal information.
[0017]
According to a fourth aspect of the present invention, there is provided a user terminal having a plurality of communication systems, means for communicating with the plurality of communication systems, and means for managing connection terminal information provided in a common network of the plurality of communication systems. The management server applied to an authentication system comprising a management server comprising
[0018]
Here, a feature of the present invention is that any one of the plurality of communication systems is a first communication system, and any one different from the first communication system is a second communication system. When the communication system of the first communication system is less confidential than the first communication system, the user terminal performs the management server via the first and second communication systems, respectively. In response to the machine number registration request, the first and second random numbers generated by the management server are received from the management server via the first and second communication systems, respectively. A shared key between the management server and itself is generated based on both, and the machine number previously assigned to itself is encrypted based on the shared key, and the encrypted machine is encrypted. The number is transmitted to the management server together with its own terminal information via the first communication system, and based on the machine number registration request received from the user terminal via the first and second communication systems, respectively. Means for generating first and second random numbers, respectively, means for transmitting the first and second random numbers to the user terminal via the first and second communication systems, and the first and second Means for generating and holding the shared key based on a second random number, and the user terminal that receives the encrypted machine number of the user terminal received from the user terminal together with the machine number after decrypting with the shared key And means for holding together with the terminal information.
[0019]
A fifth aspect of the present invention is to manage connection terminal information provided in a common network of a plurality of communication systems, a user terminal having means for communicating with the plurality of communication systems, and the plurality of communication systems. One of the plurality of communication systems is used as a first communication system, and one of the plurality of communication systems different from the first communication system is used as a second communication system. The second communication system is a gateway device provided in the second communication system, which has lower communication confidentiality than the first communication system.
[0020]
Here, a feature of the present invention is that, as a response to the machine number registration request made to the management server by the user terminal via the first and second communication systems, the management server The generated first and second random numbers are received from the management server via the first and second communication systems, respectively, and between the management server and itself based on both the first and second random numbers. Based on the shared key, and encrypting the machine number assigned to itself based on the shared key, and encrypting the machine number together with its own terminal information to the management server via the first communication system. The management server transmits the first and second machine number registration requests received from the user terminal via the first and second communication systems, respectively. Respectively, and the first and second random numbers are respectively transmitted to the user terminal via the first and second communication systems, and based on the first and second random numbers, Generate and hold a shared key, decrypt the encrypted machine number of the user terminal received from the user terminal with the shared key and hold it together with the terminal information of the user terminal received together with the machine number, When receiving an authentication request from a user terminal, the management server is requested to receive a machine number notification of the user terminal and receive it, and a third random number is generated and transmitted to the user terminal. , Generating a hash value based on the third random number and its own terminal information and its own machine number and transmitting it together with its own terminal information to the second communication system, A means for generating a hash value based on the terminal information received from the user terminal and the third random number and machine number held by the terminal, a hash value generated by the generating means, and the user terminal received from the user terminal Means for comparing the hash value and means for authenticating the user terminal as a valid user terminal when the comparison result of the means for comparison matches.
[0021]
A sixth aspect of the present invention is a user terminal provided with a plurality of communication systems, a means for communicating with the plurality of communication systems, and a means for managing connection terminal information provided in a common network of the plurality of communication systems. It is the said user terminal applied to the encryption communication system provided with the management server provided with.
[0022]
Here, a feature of the present invention is that any one of the plurality of communication systems is a first communication system, and any one different from the first communication system is a second communication system. When the communication system of the first communication system has lower communication confidentiality than the first communication system, the machine number registration request made to the management server via the first and second communication systems respectively. As a response, means for receiving the first and second random numbers generated by the management server from the management server via the first and second communication systems, respectively, and both the first and second random numbers And a means for generating a shared key between the management server and itself based on the shared key, a means for encrypting a machine number previously assigned to the management server based on the shared key, Means for transmitting the machine number together with its own terminal information to the management server via the first communication system, the management server via the first and second communication systems from the user terminal. The first and second random numbers are respectively generated based on the received machine number registration request, and the first and second random numbers are transmitted to the user terminal via the first and second communication systems, respectively. The shared key is generated and held based on the first and second random numbers, and the encrypted machine number of the user terminal received from the user terminal is decrypted with the shared key together with the machine number The gateway apparatus provided with the received terminal information of the user terminal and provided in the second communication system includes communication including the terminal information from the user terminal. When the request is received, the management server is requested to receive the machine number notification of the user terminal, receives the request, generates a third random number, and transmits the third random number to the user terminal. Means for generating a shared key with the second communication system based on the machine number, and means for encrypting or decrypting data transmitted to and received from the second communication system using the shared key. There is.
[0023]
A seventh aspect of the present invention is to manage connection terminal information provided in a common network of a plurality of communication systems, a user terminal having means for communicating with the plurality of communication systems, and the plurality of communication systems. The management server is applied to an encrypted communication system including a management server including means for performing the above-described operation.
[0024]
Here, a feature of the present invention is that any one of the plurality of communication systems is a first communication system, and any one different from the first communication system is a second communication system. When the communication system of the first communication system is less confidential than the first communication system, the user terminal performs the management server via the first and second communication systems, respectively. In response to the machine number registration request, the first and second random numbers generated by the management server are received from the management server via the first and second communication systems, respectively. A shared key between the management server and itself is generated based on both, and the machine number previously assigned to itself is encrypted based on the shared key, and the encrypted machine is encrypted. The number is transmitted to the management server together with its own terminal information via the first communication system, and based on the machine number registration request received from the user terminal via the first and second communication systems, respectively. Means for generating first and second random numbers, respectively, means for transmitting the first and second random numbers to the user terminal via the first and second communication systems, and the first and second Means for generating and holding the shared key based on a second random number, and the user terminal that has received the encrypted machine number of the user terminal received from the user terminal with the shared key and decrypted it with the shared key And means for holding together with the terminal information.
[0025]
An eighth aspect of the present invention is a user terminal comprising a plurality of communication systems, means for communicating with the plurality of communication systems, and means for managing connection terminal information provided in a common network of the plurality of communication systems. One of the plurality of communication systems is used as a first communication system, and one of the plurality of communication systems different from the first communication system is used as a second communication system. The second communication system is a gateway device provided in the second communication system, which is assumed to have lower communication confidentiality than the first communication system.
[0026]
Here, a feature of the present invention is that, as a response to the machine number registration request made to the management server by the user terminal via the first and second communication systems, the management server The generated first and second random numbers are received from the management server via the first and second communication systems, respectively, and between the management server and itself based on both the first and second random numbers. Based on the shared key, and encrypting the machine number assigned to itself based on the shared key, and encrypting the machine number together with its own terminal information to the management server via the first communication system. The management server transmits the first and second machine number registration requests received from the user terminal via the first and second communication systems, respectively. Respectively, and the first and second random numbers are respectively transmitted to the user terminal via the first and second communication systems, and based on the first and second random numbers, Generate and hold a shared key, decrypt the encrypted machine number of the user terminal received from the user terminal with the shared key and hold it together with the terminal information of the user terminal received together with the machine number, When receiving a communication request including terminal information from a user terminal, the management server is requested to receive a machine number notification of the user terminal and receive it, and a third random number is generated and transmitted to the user terminal. The user terminal generates a shared key with the second communication system based on the third random number, its own terminal information, and its own machine number, and uses this shared key A key shared with the user terminal based on the terminal information of the user terminal and the third random number and the machine number held by the terminal, and the data transmitted to and received from the second communication system And means for encrypting or decrypting data transmitted / received to / from the user terminal using the shared key.
[0027]
A ninth aspect of the present invention includes a plurality of communication systems, user terminals that communicate with the plurality of communication systems, and a management server that is provided in a common network for the plurality of communication systems and manages connection terminal information. This is an authentication method applied to the authentication system.
[0028]
Here, a feature of the present invention is that any one of the plurality of communication systems is a first communication system, and any one different from the first communication system is a second communication system. When the communication system of the first communication system is less confidential than the first communication system, the user terminal performs the management server via the first and second communication systems, respectively. Receiving the first and second random numbers generated by the management server from the management server via the first and second communication systems, respectively, as a response to the machine number registration request; A step of generating a shared key between the management server and itself based on both of the random numbers of the machine, and encrypting a machine number previously assigned to itself based on the shared key And transmitting the encrypted body number together with its own terminal information to the management server via the first communication system, the management server receiving the first number from the user terminal. Generating the first and second random numbers based on the machine number registration requests respectively received via the first and second communication systems, and sending the first and second random numbers to the user terminal. Transmitting through the second communication system, generating and holding the shared key based on the first and second random numbers, and encrypting the user terminal received from the user terminal Performing the step of decrypting the machine number with the shared key and holding it together with the terminal information of the user terminal received together with the machine number, When the gateway device provided in the second communication system receives an authentication request from the user terminal, it requests the management server to notify the machine number of the user terminal and receives it, and generates a third random number. Transmitting to the user terminal, the user terminal generates a hash value based on the third random number, its own terminal information, and its own machine number, and together with its own terminal information, the second communication A step of transmitting to the system, and the gateway device generates a hash value based on the terminal information received from the user terminal and the third random number and machine number held by the gateway device; The step of comparing the hash value generated by the step with the hash value received from the user terminal and the comparison And authenticating the user terminal as a valid user terminal when the comparison results of the steps match.
[0029]
A tenth aspect of the present invention includes a plurality of communication systems, a user terminal that communicates with the plurality of communication systems, and a management server that is provided in a common network of the plurality of communication systems and manages connection terminal information. This is an encrypted communication method applied to the encrypted communication system.
[0030]
Here, a feature of the present invention is that any one of the plurality of communication systems is a first communication system, and any one different from the first communication system is a second communication system. When the communication system of the first communication system is less confidential than the first communication system, the user terminal performs the management server via the first and second communication systems, respectively. Receiving the first and second random numbers generated by the management server from the management server via the first and second communication systems, respectively, as a response to the machine number registration request; A step of generating a shared key between the management server and itself based on both of the random numbers of the machine, and encrypting a machine number previously assigned to itself based on the shared key And transmitting the encrypted body number together with its own terminal information to the management server via the first communication system, the management server receiving the first number from the user terminal. Generating the first and second random numbers based on the machine number registration requests respectively received via the first and second communication systems, and sending the first and second random numbers to the user terminal. Transmitting through the second communication system, generating and holding the shared key based on the first and second random numbers, and encrypting the user terminal received from the user terminal Performing the step of decrypting the machine number with the shared key and holding it together with the terminal information of the user terminal received together with the machine number, When the gateway device provided in the second communication system receives a communication request including terminal information from the user terminal, it requests the management server to notify the machine number of the user terminal and receives it. A step of generating a random number and transmitting it to the user terminal is executed, and the user terminal generates a shared key with the second communication system based on the third random number, its own terminal information, and its own machine number And the step of encrypting or decrypting data transmitted / received to / from the second communication system using the shared key, and the gateway device holds the terminal information of the user terminal and itself Generating a shared key with the user terminal based on the third random number and the machine number, and using the shared key with the user terminal And encrypting or decrypting data transmitted and received between them.
[0031]
An eleventh aspect of the present invention is a program, and the feature of the present invention is that it is installed in the information processing apparatus so that the user terminal of the present invention or the management server of the present invention is installed in the information processing apparatus. Alternatively, a function corresponding to the gateway device of the present invention is realized.
[0032]
By recording the program of the present invention on a recording medium, the information processing apparatus can install the program of the present invention using the recording medium. Alternatively, the program of the present invention can be directly installed in the information processing apparatus via a network from a server holding the program of the present invention.
[0033]
As a result, it is possible to reduce the possibility that the secret key is leaked to a third party using the information processing apparatus, and to realize highly confidential network access. An authentication system or an encrypted communication system can be realized.
[0034]
DETAILED DESCRIPTION OF THE INVENTION
An embodiment of the present invention will be described with reference to FIGS. FIG. 1 is a configuration diagram of an authentication system or an encrypted communication system according to the present embodiment. FIG. 2 is a configuration diagram of the user terminal according to the present embodiment. FIG. 3 is a configuration diagram of the management server of this embodiment. FIG. 4 is a block diagram of the radio base station according to this embodiment. FIG. 5 is a configuration diagram of a connection information table in the management server of this embodiment. FIG. 6 is a configuration diagram of a terminal management table in the management server of the present embodiment. FIG. 7 is a configuration diagram of a connection information table in the radio base station of this embodiment. FIG. 8 is a sequence diagram showing the machine number registration procedure of the present embodiment. FIG. 9 is a sequence diagram showing an authentication procedure of the present embodiment. FIG. 10 is a sequence diagram showing the encrypted communication procedure of this embodiment.
[0035]
(First embodiment)
The first embodiment is an authentication system, and the features of the first embodiment are that communication systems 200 and 300 as shown in FIG. 1, and communication systems 200 and 300 as shown in FIG. As shown in FIG. 3, a terminal management table 417 and a connection information table 416 for managing connection terminal information provided in a common network 400 for the user terminal 100 including the connection units 110 and 120 for communication and the communication systems 200 and 300, respectively. 2, and the communication system 300 has lower communication confidentiality than the communication system 200, the user terminal 100 passes through the communication systems 200 and 300 as shown in FIG. 2. As a response to the machine number registration request made to the management server 410, the management server 410 generates The connection control unit 130 that receives the random numbers 500 and 501 from the management server 410 via the communication systems 200 and 300, respectively, and generates the shared key 502 between the management server 410 and itself based on both of the random numbers 500 and 501 The key generation unit 140 that performs the encryption, the encryption unit 150 that encrypts the machine number previously assigned to itself based on the shared key 502, and the encrypted machine number together with its own terminal information communicated to the management server 410 The management server 410 includes a connection control unit 130 that transmits via the system 200, and the management server 410 generates random numbers based on the machine number registration requests received via the communication systems 200 and 300 from the user terminal 100 as shown in FIG. 500 and 501 for generating random numbers 500 and 501, respectively. A connection control unit 412 that transmits 501 to the user terminal 100 via the communication systems 200 and 300, a key generation unit 414 that generates and holds a shared key 502 based on the random numbers 500 and 501, a connection information table 416, and a user And a terminal management table 417 for decrypting the encrypted machine number of the user terminal 100 received from the terminal 100 with the shared key 502 and holding it together with the terminal information of the user terminal 100 received together with the machine number. As shown in FIG. 4, the provided gateway device 320 receives the authentication request from the user terminal 100, requests the management server 410 to notify the machine number of the user terminal 100, receives it, and generates a random number 503. A random number generator 323 and the random number 503 1, the user terminal 100 generates a hash value 505 based on the random number 503, its own terminal information, and its own machine number, as shown in FIG. 4, the gateway device 320 includes a hash value 505 based on the terminal information received from the user terminal 100, the random number 503 and the machine number held by the gateway device 320, as shown in FIG. 4. And a connection control unit 322 that compares the hash value 505 generated by the encryption unit 325 with the hash value 505 received from the user terminal 100. The connection control unit 322 includes: When the comparison results match, the user terminal 100 is authenticated as a valid user terminal.
[0036]
Below, the authentication system of this embodiment is demonstrated in detail. In FIG. 1, a user terminal 100 has a function of connecting to two communication systems of a communication system 200 and a communication system 300 to perform data communication. The management server 410 is disposed on the common network 400 connected to both the communication system 200 with high confidentiality and the communication system 300 with low confidentiality compared to the communication system 200, and manages the connection terminal information. ing.
[0037]
For example, when the user terminal 100 tries to connect to the Internet 600 for the first time via the communication system 300, the invariable and unique machine number held by the user terminal 100 is used for use in authentication and encryption described later. The management server 410 is notified. In the notification method, first, the communication system 200 is used to share the random number 500 as a key generation element, the communication system 300 is then used to share the random number 501, and the key generation unit of the user terminal 100 uses the random number 500 and the random number. A shared key 502 is generated using 501, the machine number is encrypted using the shared key 502, and notified to the management server 401. With the key generation logic using two types of communication systems, the machine number can be notified more safely than before.
[0038]
Next, the notified machine number can be used as information for generating a shared key used for authentication and encryption in data communication via the communication system 300. Security can be improved in the communication system 300 by using a unique number, which is a machine number that cannot be tampered, as shared key generation information.
[0039]
That is, referring to FIG. 1, the communication system of the present embodiment includes a radio base station 210 for connecting the user terminal 100 and the communication system 200, a gateway device 220 for connecting to the Internet 600 through the communication system 200, A wireless base station 310 for connecting to the communication system 300, a gateway device 320 for connecting to the Internet 600 through the communication system 300, a common network 400, a management server 410 disposed therein, and the Internet 600, disposed therein Server 510 to be configured.
[0040]
A communication system 200 that assumes a highly confidential PHS network for data communication is connected to a common network 400, and the user terminal 100 establishes a connection with the radio base station 210 to establish a management server 410 and a gateway device 220. It is possible to communicate with a server 510 installed in the Internet 600 via the Internet.
[0041]
A communication system 300 such as a wireless LAN network whose confidentiality is lower than that of the communication system 200 in data communication is connected to the common network 400, and the user terminal 100 establishes a connection with the wireless base station 310, thereby the management server 410. And the server 510 installed in the Internet 600 through the gateway device 320.
[0042]
A management server 410 and a server 510 are installed in the Internet 600 and the common network 400 configured by an IP network or the like, and the user terminal 100 can be accessed via the communication system 200 or the communication system 300.
[0043]
The configuration of the user terminal will be described with reference to FIGS. In the user terminal 100 of FIG. 1, 110 and 120 are connection units, 130 is a connection control unit, 140 is a key generation unit, and 150 is an encryption unit. The connection unit 110 assumes a PHS connection card, for example, and performs connection and disconnection of the wireless connection with the wireless base station 210 according to a request from the connection control unit 130. Further, the connection unit 110 holds terminal information 111 such as a telephone number and a highly confidential body number 112 that is unchanged and cannot be changed by a user using the terminal. The connection unit 120 assumes a wireless LAN connection card, for example, and performs connection and disconnection of the wireless connection with the wireless base station 310 according to a request from the connection control unit 130. The connection unit 120 holds terminal information 121 such as a MAC address.
[0044]
The connection control unit 130 has a function of establishing a connection with the communication system 200 or the communication system 300 by instructing a connection request or a disconnection request to the connection unit 110 or the connection unit 120, and the gateway device 220 or the gateway device 320. By establishing the connection, the function for data communication with the management server 410, the random number 500 and the random number 501 notified from the management server 410 are held, and the shared key 502 is linked with the key generation unit 140 based on the function. And a function of acquiring the encryption machine number 113 in cooperation with the encryption unit 150 based on the terminal type 111 and the shared key 502, and notifying the management server 410 via the communication system 200 And the random number 503 notified from the gateway device 220 or the gateway device 320, and the key generation unit 1 based on the random number 503 0 cooperation with a provided with a function of holding acquires the shared key 504.
[0045]
The key generation unit 140 has functions f1 and f2 for calculating a shared key from three values, and has a function of generating a shared key. The management server 410 has the same algorithm function as the function f1, and the gateway device 220 or 320 has the same algorithm function as the function f2.
[0046]
The encryption unit 150 includes a function g1 that calculates encryption information for one value based on two values, a function g2 that calculates a hash value of one value based on a plurality of values, a key, and data And g3 for calculating encrypted data based on the above. The management server 410 has a function that is an algorithm for decrypting information encrypted by the function g1, and the gateway device 220 or 320 decrypts the function having the same algorithm as the function g2 and the information encrypted by the function g3. It has a function that is an algorithm to convert.
[0047]
The management server will be described with reference to FIGS. In the management server of FIG. 3, 411 is a connection unit, 412 is a connection control unit, 413 is a random number generation unit, 414 is a key generation unit, 415 is an encryption unit, 416 is a connection information table, and 417 is a terminal management table. The connection unit 411 has a function of communicating with the user terminal 100 via the communication system 200 or the communication system 300 connected to the common network 400.
[0048]
The connection control unit 412 acquires information for generating the shared key 502 from the random number generation unit 413 to the user terminal 100 from the random number generation unit 413, and simultaneously notifies the user terminal 100 via the connection unit 411. 414 is used to acquire a shared key 502 shared with the user terminal 100 and register it in the connection information table 416 together with the notified terminal information 111, and the encryption key body notified from the shared key 502 and the user terminal 100 A function of decrypting the machine number 112 from the number 113 in cooperation with the encryption unit 415 and registering it in the connection information table 416 is provided. Further, the gateway device 220 or 320 has a function of responding to an acquisition request for a registered machine number.
[0049]
The random number generation unit 413 has a function of generating a random number according to an instruction from the connection control unit 412. The key generation unit 414 has a function f1 for calculating a shared key from three values, and has a function of generating a shared key. The user terminal 100 has the same algorithm function as the function f1. The encryption unit 415 has a function h1 for decrypting encrypted information from two values, and has a function for decrypting encrypted information. The user terminal 100 has an algorithm function g1 for calculating encryption information corresponding to the function h1.
[0050]
The gateway device 320 will be described with reference to FIGS. In the gateway device 320 of FIG. 4, 321 is a connection unit, 322 is a connection control unit, 323 is a random number generation unit, 324 is a key generation unit, 325 is an encryption unit, and 326 is a connection information table. The connection unit 321 has a function of communicating with the common network 400, the server, and the user terminal 100 via the communication system 300.
[0051]
The connection control unit 322 acquires a function for inquiring the machine number from the management server 410 and information for generating the shared key 504 from the random number generation unit 323 and notifies the user terminal 100 via the connection unit 321. And a function for acquiring a shared key 504 shared with the user terminal 100 using the key generation unit 324 and registering it in the connection information table 326 together with the notified terminal information 111.
[0052]
The random number generation unit 323 has a function of generating a random number according to an instruction from the connection control unit 322. The key generation unit 324 has a function f2 for calculating a shared key from three values and has a function of generating a shared key. The user terminal 100 has the same algorithm function as the function f2.
[0053]
The encryption unit 325 has a function g2 for calculating a hash value of one value based on a plurality of values, and decrypts the encrypted data by using key information and a function for generating the hash value. It has a function h3 and has a function of decrypting encrypted data. The user terminal 100 has a function having the same algorithm as the function g2 and a function that is an encryption algorithm for the function h3.
[0054]
Next, the operation of the embodiment of the present invention will be described with reference to FIGS. The operation when the user terminal 100 registers the machine number 112 in the management server 410 will be described with reference to FIG. First, the connection control unit 130 issues a connection request to the control unit 110 to establish a wireless connection to the communication system 200. Next, the connection control unit 130 acquires the terminal information 111 held by the connection unit 110 and transmits it to the management server 410.
[0055]
The management server 410 receives the terminal information 111, searches the terminal management table 417 shown in FIG. 6 based on the terminal information 111, and if there is no corresponding entry, acquires the random number 500 from the random number generator 413, 111 is registered in a free entry in the connection information table 416 shown in FIG. 5, and then the random number 500 is transmitted to the user terminal 100.
[0056]
After receiving and internally holding the random number 500, the connection control unit 130 of the user terminal 100 makes a connection request to the connection unit 120 and establishes a connection to the communication system 300. After the connection is established, the terminal information 111 and the terminal information 121 held by the connection unit 110 are transmitted via the communication system 300 as in the previous operation.
[0057]
The management server 410 receives the terminal information 111 and the terminal information 121, searches the terminal management table 417 based on the terminal information 111. If the corresponding entry is not registered, the management server 410 continues to search the connection information table 416. When there is a corresponding entry but the shared key is not registered, the random number 501 is acquired from the random number generation unit 413, the random number 501 is registered in the corresponding entry, and then the random number 501 is transmitted to the user terminal 100 via the communication system 300. To do. Subsequently, the connection control unit 412 passes the random number 500, the random number 501, and the terminal information 111 to the key generation unit 414, and the key generation unit 414 generates the shared key 502 using the function f1 based on the passed information. The connection control unit 412 registers the shared key 502 in the corresponding entry of the connection information table 416.
[0058]
The connection control unit 130 of the user terminal 100 receives the random number 501 and internally stores the random number 501, and then passes the random number 500, the random number 501, and the terminal information 111 to the key generation unit 140. The shared key 502 is generated using the function f1 and stored internally. Subsequently, the shared key 502 and the machine number 112 are passed to the encryption unit 150. The encryption unit 150 encrypts the machine number 112 using the function g1 based on the two pieces of passed information, and the encrypted machine number 113. Is generated. The connection control unit 130 transmits the encrypted machine number 113 together with the terminal information 111 and the terminal information 121 to the management server 410 via the communication system 200.
[0059]
The connection control unit 412 of the management server 410 receives the encrypted machine number 113 and the terminal information 111, searches the terminal information 111 for a corresponding entry in the terminal management table 417, and if the corresponding entry is not registered, The information table 416 is searched and the shared key 502 is obtained from the corresponding entry. Subsequently, the shared key 502 and the encrypted machine number 113 are passed to the encryption unit 415. The encryption unit 415 decrypts the machine number 112 using the function h1 based on the two pieces of information, and the connection control unit 412 The machine number 112, terminal information 111, and terminal information 121 are registered in the corresponding entry of the terminal management table 416.
[0060]
With the above operation, the machine number 112 can be safely shared between the user terminal 100 and the management server 410. Using this shared machine number 112, authentication processing and encrypted data communication are performed in the communication system 300 with low secrecy. The implementation method is shown below. A method of performing authentication processing in cooperation with the gateway device 320 and the management server 410 using the machine number 112 will be described with reference to FIG.
[0061]
After the machine number is notified by the user terminal 100 and the management server 410 according to the machine number sharing method, the user terminal connects to the Internet. To 320. After receiving the connection request, the connection control unit 322 of the gateway device 320 sends the machine number search request to the management server 410 with the terminal information 111 added. The connection control unit 412 of the management server 410 searches the terminal management table 417 based on the terminal information 111 and returns the machine number 112 of the corresponding entry.
[0062]
After receiving the machine number 112, the connection control unit 322 of the gateway device 320 acquires the random number 503 from the random number generation unit 323, and stores the machine number 112, the terminal information 111, and the random number 503 in the empty entry of the connection information table 326 shown in FIG. After registration, a random number 503 is returned to the user terminal 100.
[0063]
The connection control unit 130 of the user terminal 100 receives the random number 503, passes the random number 503, the terminal information 111, and the machine number 112 to the encryption unit 150, and the encryption unit 150 uses the function g2 based on the received information. The hash value 505 is obtained, and an authentication request with the hash value 505 is transmitted to the gateway device 320.
[0064]
After receiving the authentication request, the connection control unit 322 of the gateway device 320 retrieves the corresponding entry in the connection information table 326 from the terminal information 111, and then passes the machine number 112, the random number 503, and the terminal information 111 to the encryption unit 325. The generating unit 325 obtains a hash value 506 using the function g2 based on the passed information, and returns a response that the authentication result is normal when the received hash value 505 matches the calculated hash value 506. .
[0065]
Through the above processing, device authentication in the communication system 300 using the machine number 112 that is information of the communication system 200 can be performed.
[0066]
(Second embodiment)
The second embodiment is an encrypted communication system, and the second embodiment is characterized by communication systems 200 and 300 as shown in FIG. 1, and this communication system 200 as shown in FIG. 3 and the terminal management table 417 for managing the connection terminal information provided in the common network 400 with the communication systems 200 and 300 as shown in FIG. 2 and a management server 410 including an information table 416. When the communication system 300 is lower in communication confidentiality than the communication system 200, the user terminal 100 includes the communication system 200 and the communication server 200 as shown in FIG. As a response to the machine number registration request made to the management server 410 via 300, the management server 41 The connection control unit 130 that receives the random numbers 500 and 501 generated by the management server 410 via the communication systems 200 and 300, respectively, and the shared key 502 between the management server 410 and itself based on both of the random numbers 500 and 501. A key generation unit 140 for generating a device number, an encryption unit 150 for encrypting a device number previously assigned to itself based on the shared key, and the encrypted device number together with its own terminal information to the management server 410. The management server 410 includes a connection unit 110 that transmits via the communication system 200, and the management server 410 generates random numbers based on the machine number registration requests received from the user terminal 100 via the communication systems 200 and 300, respectively, as shown in FIG. Random number generator 413 for generating 500 and 501 respectively, and random numbers 500 and 501 01 is transmitted to the user terminal 100 via the communication systems 200 and 300, the key generation unit 414 that generates and holds the shared key 502 based on the random numbers 500 and 501, the connection information table 416, and the user The gateway device 320 includes a terminal management table 417 that decrypts the encrypted machine number of the user terminal 100 received from the terminal 100 with the shared key 502 and holds the information together with the terminal information of the user terminal 100 received together with the machine number. 4, when a communication request including terminal information from the user terminal 100 is received, the management server 410 requests the machine number notification of the user terminal 100 to receive it and generate a random number 503. 323 and this random number 503 are transmitted to the user terminal 100. As shown in FIG. 2, the user terminal 100 includes a connection control unit 322 that generates a shared key 504 with the communication system 300 based on a random number 503, its own terminal information, and its own machine number. And an encryption unit 150 that encrypts or decrypts data transmitted / received to / from the communication system 300 using the shared key 504, and the gateway device 320 includes terminal information of the user terminal 100 as shown in FIG. And a key generation unit 324 that generates a shared key 504 with the user terminal 100 based on the random number 503 and the machine number held by itself, and data transmitted / received to / from the user terminal 100 using the shared key 504 And an encryption unit 325 for decryption.
[0067]
Hereinafter, the second embodiment will be described in more detail. Since the procedure up to registration of the machine number shown in FIG. 8 is the same as that in the first embodiment, the description thereof is omitted.
[0068]
A method for performing encrypted communication in cooperation with the gateway device 320 (or the gateway device 220) and the management server 410 using the machine number 112 will be described with reference to FIG.
[0069]
After the machine number is notified by the user terminal 100 and the management server 410 by the machine number sharing method, the user terminal connects to the Internet, so that the connection request with the terminal information 111 is sent to the gateway device on the communication system 300. To 320. After receiving the connection request, the connection control unit 322 of the gateway device 320 sends the machine number search request to the management server 410 with the terminal information 111 added. The connection control unit 412 of the management server 410 searches the terminal management table 417 based on the terminal information 111 and returns the machine number 112 of the corresponding entry.
[0070]
After receiving the machine number 112, the connection control unit 322 of the gateway device 320 acquires the random number 503 from the random number generation unit 323, and registers the machine number 112, the terminal information 111, and the random number 503 in the empty entry of the connection information table 326. , The random number 503 is returned to the user terminal 100.
[0071]
The connection control unit 130 of the user terminal 100 receives the random number 503, passes the random number 503, the terminal information 111, and the machine number 112 to the key generation unit 140, and the key generation unit 140 uses the function f2 based on the received information. To generate a shared key 504.
[0072]
When data transmission from the application to the server 510 occurs in the user terminal 100, the connection control unit 130 generates encrypted data using the function g3 of the encryption unit 150 based on the shared key 504 and the transmission data. The data is transmitted to the gateway device 320.
[0073]
The connection control unit 322 of the gateway device 320 decrypts the encrypted data using the function h3 of the encryption unit 325 based on the received encrypted data and the shared key 504, and transmits the data to the server 510.
[0074]
As described above, it is possible to generate a highly secure key using the highly confidential machine number 112 and perform encrypted communication using the key.
[0075]
In the second embodiment, data transmission in the direction from the user terminal 100 to the server 510 is described. Similarly, data transmission from the server 510 to the user terminal 100 is also performed by the gateway device 320 using data encryption. Decrypt data at. Therefore, the encryption units 150, 325, and 415 have not only encryption but also a decryption function. The encryption unit 325 also has a hash value generation function.
[0076]
Further, the present invention can be realized as a program that, when installed in a general-purpose information processing apparatus, causes the information processing apparatus to realize a function corresponding to the authentication system or the encrypted communication system of the present invention. This program is recorded on a recording medium and installed in the information processing apparatus, or installed in the information processing apparatus via a communication line, whereby the user terminal 100 or the gateway apparatus described in the present embodiment is installed in the information processing apparatus. 320 or the management server 410 can realize corresponding functions.
[0077]
【The invention's effect】
As described above, the first effect of the present invention is based on information (random numbers) obtained by exchanging a shared key, which is a secret key for encrypting the machine number, in a plurality of different types of communication systems. By generating and using the same algorithm, the machine number can be notified in a highly confidential manner. For example, in the case of a method for transmitting and receiving information for generating a shared key using a single communication system, there is a risk that the algorithm leaks due to constant monitoring and the encrypted information is decrypted by a third party There is sex. In the present invention, by using two types (or more) of communication systems, an algorithm or encrypted information is not leaked unless it is eavesdropped on all communication systems.
[0078]
The second effect of the present invention is to use a machine number, which is terminal-invariant information in a highly confidential communication system, as key information for generating authentication and encryption information in a less confidential communication system. Thus, security can be improved. For example, when connection is made using an integrated card of PHS and wireless LAN, connection from unauthorized users or terminals is eliminated by using the machine number in PHS as an element for generating wireless LAN key information. be able to.
[Brief description of the drawings]
FIG. 1 is a configuration diagram of an authentication system or an encrypted communication system according to an embodiment.
FIG. 2 is a configuration diagram of a user terminal according to the present embodiment.
FIG. 3 is a configuration diagram of a management server according to the present embodiment.
FIG. 4 is a block diagram of a radio base station according to the present embodiment.
FIG. 5 is a configuration diagram of a connection information table in the management server of the present embodiment.
FIG. 6 is a configuration diagram of a terminal management table in the management server of the present embodiment.
FIG. 7 is a configuration diagram of a connection information table in the radio base station according to the present embodiment.
FIG. 8 is a sequence diagram showing a machine number registration procedure of the embodiment.
FIG. 9 is a sequence diagram illustrating an authentication procedure according to the embodiment.
FIG. 10 is a sequence diagram illustrating an encrypted communication procedure according to the present embodiment.
[Explanation of symbols]
100 user terminal
111, 121 terminal information
112 Aircraft number
113 Encryption machine number
110, 120, 321, 411 connection
130, 322, 412 Connection control unit
140, 324, 414 Key generator
150, 325, 415 encryption unit
210, 310 Radio base station
200, 300 Communication system
220, 320 Gateway device
323, 413 random number generator
326, 416 connection information table
400 Common network
410 Management server
417 Terminal management table
500, 501, 503 random numbers
502, 504 Shared key
505 hash value
510 server
600 Internet

Claims (11)

複数の通信システムと、
この複数の通信システムと通信する手段を備えたユーザ端末と、
前記複数の通信システムとの共通網に備えられ接続端末情報を管理する手段を備えた管理サーバと
を備え、
前記複数の通信システムのいずれかを第一の通信システムとし、この第一の通信システムとは異なるいずれかを第二の通信システムとし、この第二の通信システムは前記第一の通信システムと比較して通信の秘匿性が低いとするとき、
前記ユーザ端末は、
前記第一および第二の通信システムを介して前記管理サーバに対してそれぞれ行った機体番号登録要求に対する応答として、前記管理サーバが生成した第一および第二の乱数を前記管理サーバから前記第一および第二の通信システムを介してそれぞれ受信する手段と、
この第一および第二の乱数の双方に基づき前記管理サーバと自己との間の共有鍵を生成する手段と、
この共有鍵に基づき自己にあらかじめ割当てられていた機体番号を暗号化する手段と、
この暗号化された機体番号を自己の端末情報と共に前記管理サーバに前記第一の通信システムを介して送信する手段と
を備え、
前記管理サーバは、
前記ユーザ端末からの前記第一および第二の通信システムを介してそれぞれ受信した機体番号登録要求に基づき前記第一および第二の乱数をそれぞれ生成する手段と、
この第一および第二の乱数を前記ユーザ端末に前記第一および第二の通信システムを介してそれぞれ送信する手段と、
前記第一および第二の乱数に基づき前記共有鍵を生成して保持する手段と、
前記ユーザ端末から受信した前記ユーザ端末の暗号化された機体番号を前記共有鍵により復号化して当該機体番号と共に受信した前記ユーザ端末の端末情報と共に保持する手段と
を備え、
前記第二の通信システムに設けられたゲートウェイ装置は、前記ユーザ端末からの認証要求を受信すると前記管理サーバに当該ユーザ端末の機体番号通知を要求してこれを受け取ると共に第三の乱数を生成して当該ユーザ端末に送信する手段を備え、
前記ユーザ端末は、前記第三の乱数および自己の端末情報および自己の機体番号に基づきハッシュ値を生成して自己の端末情報と共に前記第二の通信システムに送信する手段を備え、
前記ゲートウェイ装置は、
前記ユーザ端末から受信した前記端末情報と自己が保持する前記第三の乱数および機体番号とに基づきハッシュ値を生成する手段と、
この生成する手段により生成されたハッシュ値と前記ユーザ端末から受信したハッシュ値とを比較する手段と、
この比較する手段の比較結果が一致したときに前記ユーザ端末を正当なユーザ端末として認証する手段と
を備えたことを特徴とする認証システム。A plurality of communication systems;
A user terminal comprising means for communicating with the plurality of communication systems;
A management server provided with a means for managing connection terminal information provided in a common network with the plurality of communication systems,
Any one of the plurality of communication systems is a first communication system, and any one different from the first communication system is a second communication system. The second communication system is compared with the first communication system. If the confidentiality of communication is low,
The user terminal is
In response to the machine number registration request made to the management server via the first and second communication systems, the first and second random numbers generated by the management server are sent from the management server to the first And means for receiving respectively via the second communication system;
Means for generating a shared key between the management server and itself based on both the first and second random numbers;
Means for encrypting the machine number previously assigned to itself based on this shared key;
Means for transmitting the encrypted body number together with its own terminal information to the management server via the first communication system,
The management server
Means for generating the first and second random numbers based on the machine number registration request respectively received via the first and second communication systems from the user terminal;
Means for transmitting the first and second random numbers to the user terminal via the first and second communication systems, respectively;
Means for generating and holding the shared key based on the first and second random numbers;
Means for decrypting the encrypted machine number of the user terminal received from the user terminal with the shared key and holding together with the terminal information of the user terminal received together with the machine number;
When the gateway apparatus provided in the second communication system receives an authentication request from the user terminal, the gateway apparatus requests the management server to notify the machine number of the user terminal and receives it, and generates a third random number. Means for transmitting to the user terminal
The user terminal comprises means for generating a hash value based on the third random number and its own terminal information and its own machine number and transmitting it together with its own terminal information to the second communication system,
The gateway device is
Means for generating a hash value based on the terminal information received from the user terminal and the third random number and machine number held by the terminal;
Means for comparing the hash value generated by the generating means and the hash value received from the user terminal;
An authentication system comprising: means for authenticating the user terminal as a valid user terminal when the comparison result of the means for comparing matches. 複数の通信システムと、
この複数の通信システムと通信する手段を備えたユーザ端末と、
前記複数の通信システムとの共通網に備えられ接続端末情報を管理する手段を備えた管理サーバと
を備え、
前記複数の通信システムのいずれかを第一の通信システムとし、この第一の通信システムとは異なるいずれかを第二の通信システムとし、この第二の通信システムは前記第一の通信システムと比較して通信の秘匿性が低いとするとき、
前記ユーザ端末は、
前記第一および第二の通信システムを介して前記管理サーバに対してそれぞれ行った機体番号登録要求に対する応答として、前記管理サーバが生成した第一および第二の乱数を前記管理サーバから前記第一および第二の通信システムを介してそれぞれ受信する手段と、
この第一および第二の乱数の双方に基づき前記管理サーバと自己との間の共有鍵を生成する手段と、
この共有鍵に基づき自己にあらかじめ割当てられていた機体番号を暗号化する手段と、
この暗号化された機体番号を自己の端末情報と共に前記管理サーバに前記第一の通信システムを介して送信する手段と
を備え、
前記管理サーバは、
前記ユーザ端末からの前記第一および第二の通信システムを介してそれぞれ受信した機体番号登録要求に基づき前記第一および第二の乱数をそれぞれ生成する手段と、
この第一および第二の乱数を前記ユーザ端末に前記第一および第二の通信システムを介してそれぞれ送信する手段と、
前記第一および第二の乱数に基づき前記共有鍵を生成して保持する手段と、
前記ユーザ端末から受信した前記ユーザ端末の暗号化された機体番号を前記共有鍵により復号化して当該機体番号と共に受信した前記ユーザ端末の端末情報と共に保持する手段と
を備え、
前記第二の通信システムに設けられたゲートウェイ装置は、前記ユーザ端末からの端末情報を含む通信要求を受信すると前記管理サーバに当該ユーザ端末の機体番号通知を要求してこれを受け取ると共に第三の乱数を生成して当該ユーザ端末に送信する手段を備え、
前記ユーザ端末は、
前記第三の乱数および自己の端末情報および自己の機体番号に基づき前記第二の通信システムとの共有鍵を生成する手段と、
この共有鍵により前記第二の通信システムとの間で送受信されるデータを暗号化または復号化する手段と
を備え、
前記ゲートウェイ装置は、
前記ユーザ端末の端末情報と自己が保持する前記第三の乱数および機体番号とに基づき前記ユーザ端末との共有鍵を生成する手段と、
この共有鍵により前記ユーザ端末との間で送受信されるデータを暗号化または復号化する手段と
を備えたことを特徴とする暗号化通信システム。A plurality of communication systems;
A user terminal comprising means for communicating with the plurality of communication systems;
A management server provided with a means for managing connection terminal information provided in a common network with the plurality of communication systems,
Any one of the plurality of communication systems is a first communication system, and any one different from the first communication system is a second communication system. The second communication system is compared with the first communication system. If the confidentiality of communication is low,
The user terminal is
In response to the machine number registration request made to the management server via the first and second communication systems, the first and second random numbers generated by the management server are sent from the management server to the first And means for receiving respectively via the second communication system;
Means for generating a shared key between the management server and itself based on both the first and second random numbers;
Means for encrypting the machine number previously assigned to itself based on this shared key;
Means for transmitting the encrypted body number together with its own terminal information to the management server via the first communication system,
The management server
Means for generating the first and second random numbers based on the machine number registration request respectively received via the first and second communication systems from the user terminal;
Means for transmitting the first and second random numbers to the user terminal via the first and second communication systems, respectively;
Means for generating and holding the shared key based on the first and second random numbers;
Means for decrypting the encrypted machine number of the user terminal received from the user terminal with the shared key and holding together with the terminal information of the user terminal received together with the machine number;
When the gateway apparatus provided in the second communication system receives a communication request including terminal information from the user terminal, the gateway apparatus requests the management server to notify the machine number of the user terminal and receives the request. Means for generating a random number and transmitting it to the user terminal;
The user terminal is
Means for generating a shared key with the second communication system based on the third random number and its own terminal information and its own machine number;
Means for encrypting or decrypting data transmitted / received to / from the second communication system using this shared key,
The gateway device is
Means for generating a shared key with the user terminal based on the terminal information of the user terminal and the third random number and machine number held by the terminal;
An encryption communication system comprising: means for encrypting or decrypting data transmitted / received to / from the user terminal using the shared key. 複数の通信システムと、この複数の通信システムと通信する手段を備えたユーザ端末と、前記複数の通信システムとの共通網に備えられ接続端末情報を管理する手段を備えた管理サーバとを備えた認証システムに適用される前記ユーザ端末において、
前記複数の通信システムのいずれかを第一の通信システムとし、この第一の通信システムとは異なるいずれかを第二の通信システムとし、この第二の通信システムは前記第一の通信システムと比較して通信の秘匿性が低いとするとき、
前記第一および第二の通信システムを介して前記管理サーバに対してそれぞれ行った機体番号登録要求に対する応答として、前記管理サーバが生成した第一および第二の乱数を前記管理サーバから前記第一および第二の通信システムを介してそれぞれ受信する手段と、
この第一および第二の乱数の双方に基づき前記管理サーバと自己との間の共有鍵を生成する手段と、
この共有鍵に基づき自己にあらかじめ割当てられていた機体番号を暗号化する手段と、
この暗号化された機体番号を自己の端末情報と共に前記管理サーバに前記第一の通信システムを介して送信する手段と
を備え、
前記管理サーバは、前記ユーザ端末からの前記第一および第二の通信システムを介してそれぞれ受信した機体番号登録要求に基づき前記第一および第二の乱数をそれぞれ生成し、この第一および第二の乱数を前記ユーザ端末に前記第一および第二の通信システムを介してそれぞれ送信し、前記第一および第二の乱数に基づき前記共有鍵を生成して保持し、前記ユーザ端末から受信した前記ユーザ端末の暗号化された機体番号を前記共有鍵により復号化して当該機体番号と共に受信した前記ユーザ端末の端末情報と共に保持し、前記第二の通信システムに設けられたゲートウェイ装置は、前記ユーザ端末からの認証要求を受信すると前記管理サーバに当該ユーザ端末の機体番号通知を要求してこれを受け取ると共に第三の乱数を生成して当該ユーザ端末に送信し、
前記第三の乱数および自己の端末情報および自己の機体番号に基づきハッシュ値を生成して自己の端末情報と共に前記第二の通信システムに送信する手段を備えた
ことを特徴とするユーザ端末。A plurality of communication systems, a user terminal provided with means for communicating with the plurality of communication systems, and a management server provided with a means for managing connection terminal information provided in a common network with the plurality of communication systems. In the user terminal applied to the authentication system,
Any one of the plurality of communication systems is a first communication system, and any one different from the first communication system is a second communication system. The second communication system is compared with the first communication system. If the confidentiality of communication is low,
In response to the machine number registration request made to the management server via the first and second communication systems, the first and second random numbers generated by the management server are sent from the management server to the first And means for receiving respectively via the second communication system;
Means for generating a shared key between the management server and itself based on both the first and second random numbers;
Means for encrypting the machine number previously assigned to itself based on this shared key;
Means for transmitting the encrypted body number together with its own terminal information to the management server via the first communication system,
The management server generates the first and second random numbers based on the machine number registration requests received from the user terminal via the first and second communication systems, respectively. Are transmitted to the user terminal via the first and second communication systems, respectively, and the shared key is generated and held based on the first and second random numbers, and received from the user terminal. The gateway device provided in the second communication system is configured to decrypt the encrypted device number of the user terminal with the shared key and hold it together with the terminal information of the user terminal received together with the device number. When receiving the authentication request from the user, it requests the management server to notify the machine number of the user terminal and receives it, and generates a third random number to generate the user number. Sent to The terminal,
A user terminal comprising means for generating a hash value based on the third random number, own terminal information, and own machine number, and transmitting the hash value together with the own terminal information to the second communication system. 複数の通信システムと、この複数の通信システムと通信する手段を備えたユーザ端末と、前記複数の通信システムとの共通網に備えられ接続端末情報を管理する手段を備えた管理サーバとを備えた認証システムに適用される前記管理サーバにおいて、
前記複数の通信システムのいずれかを第一の通信システムとし、この第一の通信システムとは異なるいずれかを第二の通信システムとし、この第二の通信システムは前記第一の通信システムと比較して通信の秘匿性が低いとするとき、
前記ユーザ端末は、前記第一および第二の通信システムを介して前記管理サーバに対してそれぞれ行った機体番号登録要求に対する応答として、前記管理サーバが生成した第一および第二の乱数を前記管理サーバから前記第一および第二の通信システムを介してそれぞれ受信し、この第一および第二の乱数の双方に基づき前記管理サーバと自己との間の共有鍵を生成し、この共有鍵に基づき自己にあらかじめ割当てられていた機体番号を暗号化し、この暗号化された機体番号を自己の端末情報と共に前記管理サーバに前記第一の通信システムを介して送信し、前記ユーザ端末からの前記第一および第二の通信システムを介してそれぞれ受信した機体番号登録要求に基づき前記第一および第二の乱数をそれぞれ生成する手段と、
この第一および第二の乱数を前記ユーザ端末に前記第一および第二の通信システムを介してそれぞれ送信する手段と、
前記第一および第二の乱数に基づき前記共有鍵を生成して保持する手段と、
前記ユーザ端末から受信した前記ユーザ端末の暗号化された機体番号を前記共有鍵により復号化して当該機体番号と共に受信した前記ユーザ端末の端末情報と共に保持する手段と
を備えた
ことを特徴とする管理サーバ。A plurality of communication systems, a user terminal provided with means for communicating with the plurality of communication systems, and a management server provided with a means for managing connection terminal information provided in a common network with the plurality of communication systems. In the management server applied to the authentication system,
Any one of the plurality of communication systems is a first communication system, and any one different from the first communication system is a second communication system. The second communication system is compared with the first communication system. If the confidentiality of communication is low,
The user terminal manages the first and second random numbers generated by the management server as a response to the machine number registration request made to the management server via the first and second communication systems, respectively. Receiving from the server via the first and second communication systems, respectively, generating a shared key between the management server and itself based on both the first and second random numbers, and based on the shared key The machine number previously assigned to itself is encrypted, and the encrypted machine number is transmitted to the management server together with its own terminal information via the first communication system, and the first terminal from the user terminal is transmitted. And means for generating the first and second random numbers based on the machine number registration request respectively received via the second communication system;
Means for transmitting the first and second random numbers to the user terminal via the first and second communication systems, respectively;
Means for generating and holding the shared key based on the first and second random numbers;
And a means for decrypting the encrypted machine number of the user terminal received from the user terminal with the shared key and holding it together with the terminal information of the user terminal received together with the machine number. server. 複数の通信システムと、この複数の通信システムと通信する手段を備えたユーザ端末と、前記複数の通信システムとの共通網に備えられ接続端末情報を管理する手段を備えた管理サーバとを備えた認証システムに適用され、前記複数の通信システムのいずれかを第一の通信システムとし、この第一の通信システムとは異なるいずれかを第二の通信システムとし、この第二の通信システムは前記第一の通信システムと比較して通信の秘匿性が低いとする前記第二の通信システムに設けられたゲートウェイ装置において、
前記ユーザ端末は、前記第一および第二の通信システムを介して前記管理サーバに対してそれぞれ行った機体番号登録要求に対する応答として、前記管理サーバが生成した第一および第二の乱数を前記管理サーバから前記第一および第二の通信システムを介してそれぞれ受信し、この第一および第二の乱数の双方に基づき前記管理サーバと自己との間の共有鍵を生成し、この共有鍵に基づき自己にあらかじめ割当てられていた機体番号を暗号化し、この暗号化された機体番号を自己の端末情報と共に前記管理サーバに前記第一の通信システムを介して送信し、前記管理サーバは、前記ユーザ端末からの前記第一および第二の通信システムを介してそれぞれ受信した機体番号登録要求に基づき前記第一および第二の乱数をそれぞれ生成し、この第一および第二の乱数を前記ユーザ端末に前記第一および第二の通信システムを介してそれぞれ送信し、前記第一および第二の乱数に基づき前記共有鍵を生成して保持し、前記ユーザ端末から受信した前記ユーザ端末の暗号化された機体番号を前記共有鍵により復号化して当該機体番号と共に受信した前記ユーザ端末の端末情報と共に保持し、
前記ユーザ端末からの認証要求を受信すると前記管理サーバに当該ユーザ端末の機体番号通知を要求してこれを受け取ると共に第三の乱数を生成して当該ユーザ端末に送信する手段を備え、
前記ユーザ端末は、前記第三の乱数および自己の端末情報および自己の機体番号に基づきハッシュ値を生成して自己の端末情報と共に前記第二の通信システムに送信し、
前記ユーザ端末から受信した前記端末情報と自己が保持する前記第三の乱数および機体番号とに基づきハッシュ値を生成する手段と、
この生成する手段により生成されたハッシュ値と前記ユーザ端末から受信したハッシュ値とを比較する手段と、
この比較する手段の比較結果が一致したときに前記ユーザ端末を正当なユーザ端末として認証する手段と
を備えたことを特徴とするゲートウェイ装置。A plurality of communication systems, a user terminal provided with means for communicating with the plurality of communication systems, and a management server provided with a means for managing connection terminal information provided in a common network with the plurality of communication systems. One of the plurality of communication systems is applied as a first communication system, and one of the plurality of communication systems different from the first communication system is set as a second communication system. In the gateway device provided in the second communication system that communication confidentiality is low compared to one communication system,
The user terminal manages the first and second random numbers generated by the management server as a response to the machine number registration request made to the management server via the first and second communication systems, respectively. Receiving from the server via the first and second communication systems, respectively, generating a shared key between the management server and itself based on both the first and second random numbers, and based on the shared key The machine number previously assigned to itself is encrypted, and the encrypted machine number is transmitted to the management server together with the terminal information of the machine via the first communication system, and the management server sends the user terminal The first and second random numbers are generated based on the machine number registration requests respectively received from the first and second communication systems from Transmitting the first and second random numbers to the user terminal via the first and second communication systems, respectively, generating and holding the shared key based on the first and second random numbers, and the user terminal The encrypted machine number of the user terminal received from the terminal is decrypted with the shared key and held together with the terminal information of the user terminal received together with the machine number,
When receiving an authentication request from the user terminal, the management server is provided with means for requesting and receiving a machine number notification of the user terminal and generating a third random number and transmitting it to the user terminal.
The user terminal generates a hash value based on the third random number and its own terminal information and its own machine number, and transmits the hash value together with its own terminal information to the second communication system,
Means for generating a hash value based on the terminal information received from the user terminal and the third random number and machine number held by the terminal;
Means for comparing the hash value generated by the generating means and the hash value received from the user terminal;
A gateway device comprising: means for authenticating the user terminal as a valid user terminal when the comparison result of the means for comparing matches. 複数の通信システムと、この複数の通信システムと通信する手段を備えたユーザ端末と、前記複数の通信システムとの共通網に備えられ接続端末情報を管理する手段を備えた管理サーバとを備えた暗号通信システムに適用される前記ユーザ端末において、
前記複数の通信システムのいずれかを第一の通信システムとし、この第一の通信システムとは異なるいずれかを第二の通信システムとし、この第二の通信システムは前記第一の通信システムと比較して通信の秘匿性が低いとするとき、
前記第一および第二の通信システムを介して前記管理サーバに対してそれぞれ行った機体番号登録要求に対する応答として、前記管理サーバが生成した第一および第二の乱数を前記管理サーバから前記第一および第二の通信システムを介してそれぞれ受信する手段と、
この第一および第二の乱数の双方に基づき前記管理サーバと自己との間の共有鍵を生成する手段と、
この共有鍵に基づき自己にあらかじめ割当てられていた機体番号を暗号化する手段と、
この暗号化された機体番号を自己の端末情報と共に前記管理サーバに前記第一の通信システムを介して送信する手段と
を備え、
前記管理サーバは、前記ユーザ端末からの前記第一および第二の通信システムを介してそれぞれ受信した機体番号登録要求に基づき前記第一および第二の乱数をそれぞれ生成し、この第一および第二の乱数を前記ユーザ端末に前記第一および第二の通信システムを介してそれぞれ送信し、前記第一および第二の乱数に基づき前記共有鍵を生成して保持し、前記ユーザ端末から受信した前記ユーザ端末の暗号化された機体番号を前記共有鍵により復号化して当該機体番号と共に受信した前記ユーザ端末の端末情報と共に保持し、前記第二の通信システムに設けられたゲートウェイ装置は、前記ユーザ端末からの端末情報を含む通信要求を受信すると前記管理サーバに当該ユーザ端末の機体番号通知を要求してこれを受け取ると共に第三の乱数を生成して当該ユーザ端末に送信し、
前記第三の乱数および自己の端末情報および自己の機体番号に基づき前記第二の通信システムとの共有鍵を生成する手段と、
この共有鍵により前記第二の通信システムとの間で送受信されるデータを暗号化または復号化する手段と
を備えた
ことを特徴とするユーザ端末。A plurality of communication systems, a user terminal provided with means for communicating with the plurality of communication systems, and a management server provided with a means for managing connection terminal information provided in a common network with the plurality of communication systems. In the user terminal applied to the cryptographic communication system,
Any one of the plurality of communication systems is a first communication system, and any one different from the first communication system is a second communication system. The second communication system is compared with the first communication system. If the confidentiality of communication is low,
In response to the machine number registration request made to the management server via the first and second communication systems, the first and second random numbers generated by the management server are sent from the management server to the first And means for receiving respectively via the second communication system;
Means for generating a shared key between the management server and itself based on both the first and second random numbers;
Means for encrypting the machine number previously assigned to itself based on this shared key;
Means for transmitting the encrypted body number together with its own terminal information to the management server via the first communication system,
The management server generates the first and second random numbers based on the machine number registration requests received from the user terminal via the first and second communication systems, respectively. Are transmitted to the user terminal via the first and second communication systems, respectively, and the shared key is generated and held based on the first and second random numbers, and received from the user terminal. The gateway device provided in the second communication system is configured to decrypt the encrypted device number of the user terminal with the shared key and hold it together with the terminal information of the user terminal received together with the device number. When receiving the communication request including the terminal information from the server, the management server is requested to receive the machine number notification of the user terminal and receives this, and the third random number is received. Forms and sends to the user terminal,
Means for generating a shared key with the second communication system based on the third random number and its own terminal information and its own machine number;
A user terminal comprising: means for encrypting or decrypting data transmitted / received to / from the second communication system using the shared key. 複数の通信システムと、この複数の通信システムと通信する手段を備えたユーザ端末と、前記複数の通信システムとの共通網に備えられ接続端末情報を管理する手段を備えた管理サーバとを備えた暗号化通信システムに適用される前記管理サーバにおいて、
前記複数の通信システムのいずれかを第一の通信システムとし、この第一の通信システムとは異なるいずれかを第二の通信システムとし、この第二の通信システムは前記第一の通信システムと比較して通信の秘匿性が低いとするとき、
前記ユーザ端末は、前記第一および第二の通信システムを介して前記管理サーバに対してそれぞれ行った機体番号登録要求に対する応答として、前記管理サーバが生成した第一および第二の乱数を前記管理サーバから前記第一および第二の通信システムを介してそれぞれ受信し、この第一および第二の乱数の双方に基づき前記管理サーバと自己との間の共有鍵を生成し、この共有鍵に基づき自己にあらかじめ割当てられていた機体番号を暗号化し、この暗号化された機体番号を自己の端末情報と共に前記管理サーバに前記第一の通信システムを介して送信し、
前記ユーザ端末からの前記第一および第二の通信システムを介してそれぞれ受信した機体番号登録要求に基づき前記第一および第二の乱数をそれぞれ生成する手段と、
この第一および第二の乱数を前記ユーザ端末に前記第一および第二の通信システムを介してそれぞれ送信する手段と、
前記第一および第二の乱数に基づき前記共有鍵を生成して保持する手段と、
前記ユーザ端末から受信した前記ユーザ端末の暗号化された機体番号を前記共有鍵により復号化して当該機体番号と共に受信した前記ユーザ端末の端末情報と共に保持する手段と
を備えた
ことを特徴とする管理サーバ。A plurality of communication systems, a user terminal provided with means for communicating with the plurality of communication systems, and a management server provided with a means for managing connection terminal information provided in a common network with the plurality of communication systems. In the management server applied to the encrypted communication system,
Any one of the plurality of communication systems is a first communication system, and any one different from the first communication system is a second communication system. The second communication system is compared with the first communication system. If the confidentiality of communication is low,
The user terminal manages the first and second random numbers generated by the management server as a response to the machine number registration request made to the management server via the first and second communication systems, respectively. Receiving from the server via the first and second communication systems, respectively, generating a shared key between the management server and itself based on both the first and second random numbers, and based on the shared key Encrypting the machine number assigned in advance to itself, and sending this encrypted machine number together with its terminal information to the management server via the first communication system,
Means for generating the first and second random numbers based on the machine number registration request respectively received via the first and second communication systems from the user terminal;
Means for transmitting the first and second random numbers to the user terminal via the first and second communication systems, respectively;
Means for generating and holding the shared key based on the first and second random numbers;
And a means for decrypting the encrypted machine number of the user terminal received from the user terminal with the shared key and holding it together with the terminal information of the user terminal received together with the machine number. server. 複数の通信システムと、この複数の通信システムと通信する手段を備えたユーザ端末と、前記複数の通信システムとの共通網に備えられ接続端末情報を管理する手段を備えた管理サーバとを備え暗号化通信システムに適用され、前記複数の通信システムのいずれかを第一の通信システムとし、この第一の通信システムとは異なるいずれかを第二の通信システムとし、この第二の通信システムは前記第一の通信システムと比較して通信の秘匿性が低いとする前記第二の通信システムに設けられたゲートウェイ装置において、
前記ユーザ端末は、前記第一および第二の通信システムを介して前記管理サーバに対してそれぞれ行った機体番号登録要求に対する応答として、前記管理サーバが生成した第一および第二の乱数を前記管理サーバから前記第一および第二の通信システムを介してそれぞれ受信し、この第一および第二の乱数の双方に基づき前記管理サーバと自己との間の共有鍵を生成し、この共有鍵に基づき自己にあらかじめ割当てられていた機体番号を暗号化し、この暗号化された機体番号を自己の端末情報と共に前記管理サーバに前記第一の通信システムを介して送信し、前記管理サーバは、前記ユーザ端末からの前記第一および第二の通信システムを介してそれぞれ受信した機体番号登録要求に基づき前記第一および第二の乱数をそれぞれ生成し、この第一および第二の乱数を前記ユーザ端末に前記第一および第二の通信システムを介してそれぞれ送信し、前記第一および第二の乱数に基づき前記共有鍵を生成して保持し、前記ユーザ端末から受信した前記ユーザ端末の暗号化された機体番号を前記共有鍵により復号化して当該機体番号と共に受信した前記ユーザ端末の端末情報と共に保持し、
前記ユーザ端末からの端末情報を含む通信要求を受信すると前記管理サーバに当該ユーザ端末の機体番号通知を要求してこれを受け取ると共に第三の乱数を生成して当該ユーザ端末に送信する手段を備え、
前記ユーザ端末は、前記第三の乱数および自己の端末情報および自己の機体番号に基づき前記第二の通信システムとの共有鍵を生成し、この共有鍵により前記第二の通信システムとの間で送受信されるデータを暗号化または復号化し、
前記ユーザ端末の端末情報と自己が保持する前記第三の乱数および機体番号とに基づき前記ユーザ端末との共有鍵を生成する手段と、
この共有鍵により前記ユーザ端末との間で送受信されるデータを暗号化または復号化する手段と
を備えたことを特徴とするゲートウェイ装置。A plurality of communication systems; a user terminal provided with means for communicating with the plurality of communication systems; and a management server provided with a means for managing connection terminal information provided in a common network with the plurality of communication systems. One of the plurality of communication systems is used as a first communication system, and one of the plurality of communication systems different from the first communication system is used as a second communication system. In the gateway device provided in the second communication system that the confidentiality of communication is low compared to the first communication system,
The user terminal manages the first and second random numbers generated by the management server as a response to the machine number registration request made to the management server via the first and second communication systems, respectively. Receiving from the server via the first and second communication systems, respectively, generating a shared key between the management server and itself based on both the first and second random numbers, and based on the shared key The machine number previously assigned to itself is encrypted, and the encrypted machine number is transmitted to the management server together with the terminal information of the machine via the first communication system, and the management server sends the user terminal The first and second random numbers are generated based on the machine number registration requests respectively received from the first and second communication systems from Transmitting the first and second random numbers to the user terminal via the first and second communication systems, respectively, generating and holding the shared key based on the first and second random numbers, and the user terminal The encrypted machine number of the user terminal received from the terminal is decrypted with the shared key and held together with the terminal information of the user terminal received together with the machine number,
When receiving a communication request including terminal information from the user terminal, the management server is requested to receive a machine number notification of the user terminal and receive it, and a third random number is generated and transmitted to the user terminal. ,
The user terminal generates a shared key with the second communication system based on the third random number, own terminal information, and own machine number, and uses the shared key to communicate with the second communication system. Encrypt or decrypt data sent and received,
Means for generating a shared key with the user terminal based on the terminal information of the user terminal and the third random number and machine number held by the terminal;
A gateway device comprising: means for encrypting or decrypting data transmitted / received to / from the user terminal using the shared key. 複数の通信システムと、この複数の通信システムと通信するユーザ端末と、前記複数の通信システムとの共通網に備えられ接続端末情報を管理する管理サーバとを備えた認証システムに適用される認証方法において、
前記複数の通信システムのいずれかを第一の通信システムとし、この第一の通信システムとは異なるいずれかを第二の通信システムとし、この第二の通信システムは前記第一の通信システムと比較して通信の秘匿性が低いとするとき、
前記ユーザ端末は、
前記第一および第二の通信システムを介して前記管理サーバに対してそれぞれ行った機体番号登録要求に対する応答として、前記管理サーバが生成した第一および第二の乱数を前記管理サーバから前記第一および第二の通信システムを介してそれぞれ受信するステップと、
この第一および第二の乱数の双方に基づき前記管理サーバと自己との間の共有鍵を生成するステップと、
この共有鍵に基づき自己にあらかじめ割当てられていた機体番号を暗号化するステップと、
この暗号化された機体番号を自己の端末情報と共に前記管理サーバに前記第一の通信システムを介して送信するステップと
を実行し、
前記管理サーバは、
前記ユーザ端末からの前記第一および第二の通信システムを介してそれぞれ受信した機体番号登録要求に基づき前記第一および第二の乱数をそれぞれ生成するステップと、
この第一および第二の乱数を前記ユーザ端末に前記第一および第二の通信システムを介してそれぞれ送信するステップと、
前記第一および第二の乱数に基づき前記共有鍵を生成して保持するステップと、
前記ユーザ端末から受信した前記ユーザ端末の暗号化された機体番号を前記共有鍵により復号化して当該機体番号と共に受信した前記ユーザ端末の端末情報と共に保持するステップと
を実行し、
前記第二の通信システムに設けられたゲートウェイ装置は、前記ユーザ端末からの認証要求を受信すると前記管理サーバに当該ユーザ端末の機体番号通知を要求してこれを受け取ると共に第三の乱数を生成して当該ユーザ端末に送信するステップを実行し、
前記ユーザ端末は、前記第三の乱数および自己の端末情報および自己の機体番号に基づきハッシュ値を生成して自己の端末情報と共に前記第二の通信システムに送信するステップを実行し、
前記ゲートウェイ装置は、
前記ユーザ端末から受信した前記端末情報と自己が保持する前記第三の乱数および機体番号とに基づきハッシュ値を生成するステップと、
この生成するステップにより生成されたハッシュ値と前記ユーザ端末から受信したハッシュ値とを比較するステップと、
この比較するステップの比較結果が一致したときに前記ユーザ端末を正当なユーザ端末として認証するステップと
を実行することを特徴とする認証方法。An authentication method applied to an authentication system comprising a plurality of communication systems, a user terminal communicating with the plurality of communication systems, and a management server provided in a common network for the plurality of communication systems and managing connection terminal information In
Any one of the plurality of communication systems is a first communication system, and any one different from the first communication system is a second communication system. The second communication system is compared with the first communication system. If the confidentiality of communication is low,
The user terminal is
In response to the machine number registration request made to the management server via the first and second communication systems, the first and second random numbers generated by the management server are sent from the management server to the first And receiving respectively via the second communication system;
Generating a shared key between the management server and itself based on both the first and second random numbers;
A step of encrypting a machine number previously assigned to itself based on the shared key;
Transmitting the encrypted body number together with its own terminal information to the management server via the first communication system,
The management server
Generating the first and second random numbers based on the machine number registration request respectively received via the first and second communication systems from the user terminal;
Transmitting the first and second random numbers to the user terminal via the first and second communication systems, respectively;
Generating and holding the shared key based on the first and second random numbers;
Performing the step of decrypting the encrypted machine number of the user terminal received from the user terminal with the shared key and holding the terminal information of the user terminal received together with the machine number;
When the gateway apparatus provided in the second communication system receives an authentication request from the user terminal, the gateway apparatus requests the management server to notify the machine number of the user terminal and receives it, and generates a third random number. Execute the step of transmitting to the user terminal,
The user terminal executes a step of generating a hash value based on the third random number and its own terminal information and its own machine number and transmitting the hash value together with its own terminal information to the second communication system,
The gateway device is
Generating a hash value based on the terminal information received from the user terminal and the third random number and machine number held by the terminal;
Comparing the hash value generated by the generating step with the hash value received from the user terminal;
And authenticating the user terminal as a valid user terminal when the comparison results of the comparing steps match. 複数の通信システムと、この複数の通信システムと通信するユーザ端末と、前記複数の通信システムとの共通網に備えられ接続端末情報を管理する管理サーバとを備えた暗号化通信システムに適用される暗号化通信方法において、
前記複数の通信システムのいずれかを第一の通信システムとし、この第一の通信システムとは異なるいずれかを第二の通信システムとし、この第二の通信システムは前記第一の通信システムと比較して通信の秘匿性が低いとするとき、
前記ユーザ端末は、
前記第一および第二の通信システムを介して前記管理サーバに対してそれぞれ行った機体番号登録要求に対する応答として、前記管理サーバが生成した第一および第二の乱数を前記管理サーバから前記第一および第二の通信システムを介してそれぞれ受信するステップと、
この第一および第二の乱数の双方に基づき前記管理サーバと自己との間の共有鍵を生成するステップと、
この共有鍵に基づき自己にあらかじめ割当てられていた機体番号を暗号化するステップと、
この暗号化された機体番号を自己の端末情報と共に前記管理サーバに前記第一の通信システムを介して送信するステップと
を実行し、
前記管理サーバは、
前記ユーザ端末からの前記第一および第二の通信システムを介してそれぞれ受信した機体番号登録要求に基づき前記第一および第二の乱数をそれぞれ生成するステップと、
この第一および第二の乱数を前記ユーザ端末に前記第一および第二の通信システムを介してそれぞれ送信するステップと、
前記第一および第二の乱数に基づき前記共有鍵を生成して保持するステップと、
前記ユーザ端末から受信した前記ユーザ端末の暗号化された機体番号を前記共有鍵により復号化して当該機体番号と共に受信した前記ユーザ端末の端末情報と共に保持するステップと
を実行し、
前記第二の通信システムに設けられたゲートウェイ装置は、前記ユーザ端末からの端末情報を含む通信要求を受信すると前記管理サーバに当該ユーザ端末の機体番号通知を要求してこれを受け取ると共に第三の乱数を生成して当該ユーザ端末に送信するステップを実行し、
前記ユーザ端末は、
前記第三の乱数および自己の端末情報および自己の機体番号に基づき前記第二の通信システムとの共有鍵を生成するステップと、
この共有鍵により前記第二の通信システムとの間で送受信されるデータを暗号化または復号化するステップと
を実行し、
前記ゲートウェイ装置は、
前記ユーザ端末の端末情報と自己が保持する前記第三の乱数および機体番号とに基づき前記ユーザ端末との共有鍵を生成するステップと、
この共有鍵により前記ユーザ端末との間で送受信されるデータを暗号化または復号化するステップと
を実行することを特徴とする暗号化通信方法。The present invention is applied to an encryption communication system including a plurality of communication systems, a user terminal that communicates with the plurality of communication systems, and a management server that is provided in a common network of the plurality of communication systems and manages connection terminal information. In the encrypted communication method,
Any one of the plurality of communication systems is a first communication system, and any one different from the first communication system is a second communication system. The second communication system is compared with the first communication system. If the confidentiality of communication is low,
The user terminal is
In response to the machine number registration request made to the management server via the first and second communication systems, the first and second random numbers generated by the management server are sent from the management server to the first And receiving respectively via the second communication system;
Generating a shared key between the management server and itself based on both the first and second random numbers;
A step of encrypting a machine number previously assigned to itself based on the shared key;
Transmitting the encrypted body number together with its own terminal information to the management server via the first communication system,
The management server
Generating the first and second random numbers based on the machine number registration request respectively received via the first and second communication systems from the user terminal;
Transmitting the first and second random numbers to the user terminal via the first and second communication systems, respectively;
Generating and holding the shared key based on the first and second random numbers;
Performing the step of decrypting the encrypted machine number of the user terminal received from the user terminal with the shared key and holding the terminal information of the user terminal received together with the machine number;
When the gateway apparatus provided in the second communication system receives a communication request including terminal information from the user terminal, the gateway apparatus requests the management server to notify the machine number of the user terminal and receives the request. Executing a step of generating a random number and sending it to the user terminal;
The user terminal is
Generating a shared key with the second communication system based on the third random number and its own terminal information and its own machine number;
Performing encryption or decryption of data transmitted / received to / from the second communication system using the shared key;
The gateway device is
Generating a shared key with the user terminal based on the terminal information of the user terminal and the third random number and machine number held by the user terminal;
And a step of encrypting or decrypting data transmitted / received to / from the user terminal using the shared key. 情報処理装置にインストールすることにより、その情報処理装置に、請求項3または6記載のユーザ端末あるいは請求項4または7記載の管理サーバあるいは請求項5または8記載のゲートウェイ装置に相応する機能を実現させることを特徴とするプログラム。When installed in the information processing apparatus, the information processing apparatus realizes a function corresponding to the user terminal according to claim 3 or 6, the management server according to claim 4 or 7, or the gateway apparatus according to claim 5 or 8. A program characterized by letting
JP2003162588A 2003-06-06 2003-06-06 Authentication system and encrypted communication system Expired - Lifetime JP3721176B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003162588A JP3721176B2 (en) 2003-06-06 2003-06-06 Authentication system and encrypted communication system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003162588A JP3721176B2 (en) 2003-06-06 2003-06-06 Authentication system and encrypted communication system

Publications (2)

Publication Number Publication Date
JP2004364164A JP2004364164A (en) 2004-12-24
JP3721176B2 true JP3721176B2 (en) 2005-11-30

Family

ID=34054698

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003162588A Expired - Lifetime JP3721176B2 (en) 2003-06-06 2003-06-06 Authentication system and encrypted communication system

Country Status (1)

Country Link
JP (1) JP3721176B2 (en)

Also Published As

Publication number Publication date
JP2004364164A (en) 2004-12-24

Similar Documents

Publication Publication Date Title
KR101438243B1 (en) SIM based authentication method
CN100574511C (en) The method and system of opposite end identity validation in a kind of mobile terminal communication
CN101039181B (en) Method for Preventing Service Functional Entities in Universal Authentication Framework from Attacking
JP2010158030A (en) Method, computer program, and apparatus for initializing secure communication among and for exclusively pairing device
CN106101068A (en) Terminal communicating method and system
CN108769029B (en) Authentication device, method and system for application system
JP2010178394A (en) Methods and apparatus for finding shared secret without compromising non-shared secret
CN101917710A (en) Method, system and related device for mobile internet encryption communication
CN101895881B (en) Method for realizing GBA secret key and pluggable equipment of terminal
CN111918289B (en) Terminal access method, device and server
CN101442656B (en) Method and system for safe communication between machine cards
CN111698203A (en) Cloud data encryption method
CN113676468B (en) Three-party enhanced authentication system design method based on message verification technology
CN112019553B (en) Data sharing method based on IBE/IBBE
CN111800791B (en) Authentication method, core network equipment and terminal
JP3721176B2 (en) Authentication system and encrypted communication system
JP2007074761A (en) Data encrypting method, data decrypting method, lan control device including illegal access prevention function, and information processing apparatus
CN116980122B (en) Quantum key distribution management system
CN116647415B (en) Terminal bidirectional authentication method, device and cross-network and cross-domain data exchange system
CN115348578B (en) Method and device for tracking contacter
CN118369887A (en) Secure data transmission
CN120583421A (en) Wireless access authentication method and device for resisting calculation force threat
KR20250091986A (en) Encrypt Key Management Device And Method Thereof
CN119892356A (en) Personal application-level global quantum security encryption proxy gateway and communication system
CN117294522A (en) Block chain-based financial data sharing method, device, equipment and storage medium

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20050830

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20050909

R150 Certificate of patent or registration of utility model

Ref document number: 3721176

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080916

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090916

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090916

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100916

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110916

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120916

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130916

Year of fee payment: 8

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

EXPY Cancellation because of completion of term