端末利用者認証システム
【課題】端末がロックし、通信鍵データのみを転送した状態でデータ転送装置において通信鍵データを紛失してしまった場合にロックの解除を行えない。
【解決手段】端末起動時に、利用者パスワード、鍵データが端末に配置されているかを確認し、かつ利用者パスワードと鍵データによる利用者認証を行なう。利用者パスワードと鍵データのいずれかが配置されていないか、または利用者認証に連続してN回以上失敗すると、端末において利用者パスワード、鍵データおよび端末認証用の通信鍵データの全てを削除する。これにより、データ転送装置から端末へ通信鍵データの平文による転送が可能となる。
【解決手段】端末起動時に、利用者パスワード、鍵データが端末に配置されているかを確認し、かつ利用者パスワードと鍵データによる利用者認証を行なう。利用者パスワードと鍵データのいずれかが配置されていないか、または利用者認証に連続してN回以上失敗すると、端末において利用者パスワード、鍵データおよび端末認証用の通信鍵データの全てを削除する。これにより、データ転送装置から端末へ通信鍵データの平文による転送が可能となる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、端末利用者認証システムに関し、詳しくは、端末装置がロックされた場合におけるロック解除に好適な端末利用者認証システムに関する。
【背景技術】
【0002】
携帯端末装置等の端末装置(以下、「端末」と記す)が正当に使用されるようにするためには、認証センタであるデータ転送装置から端末へ認証データを送信し、端末認証および利用者認証を行なう必要がある。従来のこの種の暗号化通信システムの一例では、端末認証のために通信鍵データ、利用者認証のために利用者パスワードおよび鍵データを使用する。端末にはデータ転送装置より予め共通鍵暗号方式の通信鍵データを転送する。
【0003】
通信鍵データは、初回転送時は暗号化せずに平文のまま転送するが、通信鍵データの変更時など二回目以降の転送時には、データ転送装置が正規の装置であることの端末認証の為に、今までの通信鍵データで端末認証を行った後に新しい通信鍵データの転送を行う。すでに通信鍵データが存在する場合に新しい通信鍵データを平文で端末に送信した場合は、端末には今までの通信鍵データが存在するためエラーとなり、新しい通信鍵データを保存することはできない。このときは、端末からデータ転送装置に通信鍵エラーを通知する。
【0004】
データ転送装置から端末へ利用者パスワード、鍵データおよびアプリケーションプログラム(以下、「アプリケーション」と記す)で使用する機密データ(以下、「機密データ」)を転送するに当たっては、データ転送装置接続されている相手端末が正規の装置であることを確認するための端末認証を実施する。端末認証の方法は、データ転送装置と端末に共通したキーワードをデータ転送装置にて通信鍵データを用いて暗号化し、暗号済のキーワードを端末に送信する。端末は受信した暗号済のキーワードを通信鍵データで復号化し、予め保存されているキーワードと一致することを確認する。
【0005】
データ転送装置と端末の間で通信鍵認証に成功した場合のみ以降の通信を許可しデータ転送処理を実施する。データ転送装置から端末へ利用者パスワード、鍵データおよび機密データを転送する。端末を利用する場合は、利用者は端末に利用者パスワードを入力する。端末は利用者パスワードと鍵データを使用して利用者認証を行う。利用者認証は、利用者パスワードは鍵データで暗号化されているため、鍵データで復号化した後に利用者によって入力されたパスワードと復号化済のパスワードが一致することを確認することで行う。
【0006】
端末のアプリケーションは、鍵データにて利用者パスワードを認証した後に利用が可能となる。そのとき、暗号化されている機密データが鍵データで復号化されて使用される。利用者が不正な利用者パスワードを入力した場合、端末は、利用者パスワード、鍵データおよび機密データを削除し、端末が利用できなくなるようにする。この状態を端末がロックの状態にあるという。ロックを解除するためには、再度、通信鍵データ、鍵データ、利用者パスワードおよび機密データを転送する必要がある。
【0007】
図6は、端末上のアプリケーションの起動動作を示すフローチャートである。端末上には通信鍵データが存在しているものとする。正常な場合は、利用者パスワードおよび鍵データが配置されており(図6のステップB1、B2)、利用者認証(図6のステップB3)も成功するので、次に、鍵データにて機密データを復号化することによって、利用者はアプリケーションを利用したサービスの提供(図6のステップB4)を受ける。サービスの提供を終了した場合、アプリケーションは終了する。
【0008】
一方、端末101に利用者パスワード104bと鍵データ105bの何れかが配置されていない場合(図6のステップB1、ステップB2)は、利用者認定(図6のステップB3)を待つまでもなく、アプリケーションは終了する。したがって、サービスを利用することはできない。また、利用者認証(図6のステップB3)に失敗した場合、アプリケーションは終了するが、端末においては、連続して利用者認証に失敗した回数をカウントし、失敗回数が予め定められたn回以上になると(図6のステップB5)、パスワード総当りによる攻撃から防衛するために、利用者パスワード、鍵データおよび機密データを削除する(図6のステップB6)。
【0009】
ところで、この暗号化通信システムでは、携帯端末がロックしてしまった際に、ロック解除の処理中に通信鍵データのみを転送した状態でデータ転送装置において通信鍵データを削除してしまったり、ハードウェアの故障などにより紛失してしまった場合、ロックの解除ができなくなる。それは、このような場合、新たに通信鍵データを転送しても、端末には古い通信鍵データが残ったままとなり、新しい通信鍵データによる端末認証に失敗するため、新しい通信鍵データを転送することができなくなってしまうからである。
【0010】
また、端末認証に失敗するため、利用者パスワードや鍵データも転送できなくなってしまい、端末のロックを解除できなくなってしまい、ロックを解除するためには、端末を工場に送付して専用装置での初期化作業が必要となって、送付コストや作業コストがかかってしまう。
【0011】
なお、ユーザ認証に失敗すると、用記憶装置に記憶されている(通信文に対するデジタル署名)秘密鍵を削除するスマートカードシステムや、鍵受信側装置と鍵送信側装置の動的鍵(共通鍵)の不一致が起きた場合、鍵受信側装置がメッセージを送信することにより双方の動的鍵を初期化する共通鍵暗号化通信システムや、パスワードを忘れた場合には、特定のスイッチを操作することで、そのパスワードおよびパスワードで保護されている(データを暗号化するための)秘密暗号鍵を全て消去する暗号通信機能付きファクシミリ装置等が知られている。
【先行技術文献】
【特許文献】
【0012】
【特許文献1】特開2003-323599
【特許文献2】特開2004-186814
【特許文献3】特開平07-154611
【発明の概要】
【発明が解決しようとする課題】
【0013】
解決しようとする問題点は、端末がロックし、通信鍵データのみを転送した状態でデータ転送装置において通信鍵データを紛失してしまった場合にロックの解除を行えない点である。
【課題を解決するための手段】
【0014】
本発明は、端末起動時に、通信鍵データ,利用者パスワードおよび鍵データの全てが当該端末装置に配置されていない場合には、当該端末装置に配置されている通信鍵データ,利用者パスワード,鍵データの全てを当該端末装置で削除することを最も主要な特徴とする。
【発明の効果】
【0015】
本発明の端末利用者認証システムは、端末のロック時に、通信鍵データのみを転送した状態でデータ転送装置において通信鍵データを紛失してしまった場合に、新しい通信鍵データを使用することによって端末を利用可能にするという利点がある。その理由は、端末のロック時に、通信鍵データ、鍵データ、利用者パスワード、機密データを削除し、端末の起動時には、これらデータの全てが存在するかの確認を行い、全てのデータがそろっていない場合は、すべてのデータを再度削除し、データ転送装置において通信鍵データを紛失してしまった場合にも、通信鍵データの不一致による転送エラーを防止することができるためである。つまり、通信鍵データによる認証なしに平文にて通信鍵データの転送が可能である。
【図面の簡単な説明】
【0016】
【図1】本発明の暗号化通信システムの実施例1を示すブロック図である。
【図2】端末上のアプリケーションの起動動作を示す流れ図である。
【図3】端末の機器構成を示すブロック図である。
【図4】データ転送装置の機器構成を示すブロック図である。
【図5】本発明の暗号化通信システムの実施例2を示すブロック図である。
【図6】従来の端末上のアプリケーションの起動動作を示す流れ図である。
【発明を実施するための形態】
【0017】
次に、本発明を実施するための形態について図面を参照して詳細に説明する。
【実施例1】
【0018】
図1を参照すると、本発明の暗号化通信システムの実施例1は、携帯型のコンピュータである端末101と、認証センタとして端末101を管理するためのコンピュータであるデータ転送装置102とで構成されている。端末101は、利用者にサービスを提供するアプリケーション106を有しており、端末101が正当に使用されるようにするためには、データ転送装置102から端末101へ認証データを送信し、端末認証および利用者認証を行なう必要がある。このようにして、端末101は不当な利用から保護される。
【0019】
この目的のために、データ転送装置102の記憶装置には、通信鍵データ103a、利用者パスワード104aおよび機密データ110aが記憶されており、端末101へ転送される。転送時には、第三者への情報漏洩防止のため、通信鍵データ103aは鍵データ105aで、利用者パスワード104aおよび機密データ110aは鍵データ105aと通信鍵データ103aとで二重に、鍵データ105aは通信鍵データ103aで、それぞれ暗号化される。通信鍵データ103aは転送路を暗号化し、端末101側の通信鍵データ103bにより復号化する。
【0020】
ただし、端末101に通信鍵データ103bが存在しない場合の初回転送時に限り、通信鍵データ103aは平文のまま転送される。この間の通信は、第三者に傍受されないように有線LANにて直結して行なうなどの対策を実施する。
【0021】
先ず、端末101に通信鍵データ103bが存在しない場合は、データ転送装置102は平文の通信鍵データ103aを端末101へ転送する。端末101は受信した通信鍵データ103aを通信鍵データ103bとして端末101の記憶装置に記憶する。次に、データ転送装置102は利用者パスワード104aを鍵データ105aにて暗号化し、さらに通信鍵データ103aにて暗号化して端末101へ転送する。端末101は受信した利用者パスワードを通信鍵データ103bにて復号化し、利用者パスワード104bとして端末101の記憶装置に記憶する。つまり、利用者パスワード104bは鍵データ105aで暗号化された状態のまま保存する。
【0022】
次に、データ転送装置102は鍵データ105aを通信鍵データ103aにて暗号化して携帯端末101へ転送する。端末101は受信した鍵データを通信鍵データ103bにて復号化し、鍵データ105bとして端末101の記憶装置に記憶する。
【0023】
最後に、データ転送装置102は機密データ110aを鍵データ105aにて暗号化し、さらに通信鍵データ103aにて暗号化して端末101へ転送する。端末101は受信した機密データを通信鍵データ103bにて復号化し、機密データ110bとして端末101の記憶装置に記憶する。つまり、機密データ110bは鍵データ105aで暗号化された状態のままで保存する。
【0024】
なお、端末101に通信鍵データ103bが存在する場合は、端末認証の為に、今までの通信鍵データで端末認証を行った後に新しい通信鍵データの転送を行う。新しい通信鍵データは、通信鍵データ103aを鍵データ105aで暗号化したものとする。
【0025】
通信鍵データ103aと103bは、データ転送装置102が端末101との間で端末認証を行なうためのデータである。データ転送装置102は、データ転送装置102と端末101に共通したキーワードを通信鍵データ103aを用いて暗号化し、暗号済のキーワードを端末101に送信する。端末101は受信した暗号済のキーワードを通信鍵データ103bで復号化し、予め保存されているキーワードと一致することを確認する。一致すれば端末認証は成功、不一致なら不成功となる。
【0026】
利用者パスワード104aと104b、および鍵データ105aと105bは、アプリケーション106にて利用者認証をするためのデータである。端末101を利用する場合、利用者は端末101に利用者パスワードを入力する。アプリケーション106は利用者パスワード104bと鍵データ105bを使用して利用者認証を行う。利用者パスワード104bは利用者パスワード104aが鍵データ105aで暗号化されたものであるため、鍵データ105bで復号した後に利用者によって入力されたパスワードと復号化済のパスワードが一致することを確認することで行う。
【0027】
機密データ110aと110b、および鍵データ105aと105bは、アプリケーション106を使用するために必要なデータである。利用者がアプリケーション106を利用する場合、必要なサービスを提供する際に機密データ110bが必要となる。機密データ110bは、機密データ110aが鍵データ105aで暗号化されたものであるため、鍵データ105bで復号されて使用される。
【0028】
さて、端末101上のアプリケーション106の起動動作につき、図2のフローチャートを参照して説明する。なお、端末101上には通信鍵データ103bが存在しているものとする。
【0029】
先ず、正常な場合は、利用者パスワード104bが配置され(図2のステップA1)、鍵データ105bが配置され(図2のステップA2)、利用者認証に成功する(図2のステップA3)。利用者認証は、利用者より入力されたパスワードと、利用者パスワード104bが鍵データ105bで復号化された利用者パスワードとが一致するかにより行う。両方の利用者パスワードと一致すると、次に、鍵データ105bにて機密データ110bを復号化することによって、利用者はアプリケーション106を利用したサービスの提供を受ける(図3のステップA4)。サービスの提供を終了した場合、アプリケーションは終了する。
【0030】
次に、端末101に利用者パスワード104bと鍵データ105bとの両方または一方が配置されていない場合(図2のステップA1、ステップA2)は、利用者認定(図2のステップA3)を待つまでもなく、利用者パスワード104b、鍵データ105bおよび機密データ110bを削除し(図2のステップA6)、かつ通信鍵データ103bも削除して(図2のステップA7)、アプリケーションは終了する。したがって、サービスを利用することはできない。利用者パスワード104b、鍵データ105bおよび機密データ110bを削除するのは、通信鍵データ103bを削除するため、存続させても無意味だからである。
【0031】
また、正当な利用者がパスワードを誤って入力したり、不正な利用者が当てずっぽうでパスワードを入力した場合は、利用者認証(図2のステップA3)に失敗し、アプリケーションは終了する。端末101においては、連続して利用者認証に失敗した回数をカウントし、失敗回数が予め定められたn回未満ならアプリケーションが終了するのみである。しかし、失敗回数が予め定められたn回以上になると(図2のステップA5)、パスワード総当りによる攻撃から防衛するために、利用者パスワード104b、鍵データ105bおよび機密データ110bを削除し(図2のステップA6)、かつ通信鍵データ103bも削除して(図2のステップA7)、アプリケーションは終了する。
【0032】
これらの場合に端末101はロック状態となる。このとき、上述のように、利用者パスワード104bと鍵データ105bのいずれかが配置されていても、それを削除し(図2のステップA6)、かつ通信鍵データ103bも削除する(図2のステップA7)。アプリケーションの終了は、その後である。このように、通信鍵データ103bを削除するステップ(図2のステップA7)を追加することにより、利用者データ104bや鍵データ105bが配置されていない状態でデータ転送装置102の通信鍵データ103aを紛失してしまった場合の復旧手段を提供する。
【0033】
ロック状態の携帯端末101には、アプリケーション106のみが配置されており、通信鍵データ103b、利用者パスワード104b、鍵データ105bおよび機密データ110bは配置されておらず、アプリケーション106を起動してもサービスを利用することはできない。再びサービスを利用することができるようにするためには、データ転送装置102通信鍵データ103b、利用者パスワード104b、鍵データ105bおよび機密データ110bを端末101することが必要である。
【0034】
そこで、データ転送装置102は通信鍵データ103aを用いて利用者データ104a、鍵データ105a、機密データ110aを端末101へ転送しようと試みる。この場合、端末101においては通信鍵データ103bが削除されているため、通信鍵エラー(通信鍵無し)が端末101からデータ転送装置102へ通知される。通信鍵エラー(通信鍵無し)が発生した場合は、データ転送装置102において新たな通信鍵データ103aを生成し、携帯端末101へ転送することにより、利用者パスワード104bおよび鍵データ105bを転送することが可能となるのである。
【0035】
ところで、利用者パスワード104bおよび鍵データ105bを配置していない状態のときに、データ転送装置102の破損などにより通信鍵データ103aを紛失するという事態が発生することが考えられる。従来のように通信鍵データ103bを削除せず端末101に通信鍵データ103bを残したままでいると、データ転送装置102から携帯端末101へ利用者パスワード104a、鍵データ105aおよび機密データ110aを転送する場合に、データ転送装置102上に現在端末101に存在する旧通信鍵データ103aがないため、暗号化が行えず、転送することができない。
【0036】
即ち、端末101に通信鍵データ103bが配置されている状態での通信鍵データ103bの変更は、失った通信鍵データ103aを使用した暗号化を行う必要があるところ、データ転送装置102上に新たに作成した通信鍵データ103a'では暗号化ができないため、端末101に配置することができない。
【0037】
この問題を回避するために、アプリケーション106の起動時に、利用者パスワード104bおよび鍵データ105bが配置されているかの確認を行い、利用者パスワード104bと鍵データ105bのどれか一つでもが配置されていない場合は、アプリケーションによるサービスを利用することができない状態であるため、端末101上の通信鍵データ103bの消去を行うこととした。これにより、データ転送装置102上に新たに通信鍵データ103aを作成し、データ転送装置102より携帯端末101へ、平文の通信鍵データ103aを転送することが可能となり、通信鍵データ103aで暗号化した利用者パスワード104aと鍵データ105aと機密データ110aを転送し、携帯端末101上のアプリケーション106によるサービスを利用することが可能となる。
【0038】
図3は端末101の機器構成を示している。端末101は、構成する各機器の制御や暗号化の演算処理を行う演算装置10と、アプリケーションプログラムや各データを記憶する記憶装置11と、操作者が処理開始指示などを行うための入力装置12と、携帯端末と通信を行うための通信装置13と、通信の結果や処理結果などが出力される出力装置14と、通信鍵データや利用者パスワードや鍵データや機密データ等のセキュリティ情報を記憶するセキュリティ記憶装置16と、セキュリティ記憶装置16にアクセスするための暗号化処理や復号化処理を行うセキュリティ演算装置15で構成される。セキュリティ記憶装置16には暗号化処理が施されているため、セキュリティ演算装置15を介してのみアクセスでき、演算装置10からは直接アクセスすることができない。
【0039】
図4はデータ転送装置102の機器構成を示している。データ転送装置102は、構成する各機器の制御や暗号化等の演算処理を行う演算装置20と、アプリケーションプログラムや通信用鍵データや利用者パスワードや鍵データや機密データ等を記憶する記憶装置21と、操作者が転送の開始指示などを行うための入力装置203と、端末と通信を行うための通信装置204と、通信の結果などが出力される出力装置205で構成される。図4のデータ転送装置102の通信装置23と図3の端末101の通信装置13が通信路として結ばれる。この通信路を通じてデータ転送装置102から端末101へ通信鍵データ103aや利用パスワード104aや鍵データ105aや機密データ110aが暗号化されて転送される。
【実施例2】
【0040】
パスワード形式のみによる利用者認証では、なりすましによる不正利用の可能性がある。一方、指紋認証や虹彩認証などのためのバイオメトリクス認証情報のみによる本人認証は、誤認識による本人拒否や他人受入が発生する危険性があるため、これ単独の利用者認証は避けるのがよい。従って、パスワード形式およびバイオメトリクス形式による同時認証を実施することが望ましい。
【0041】
図5は、パスワード形式およびバイオメトリクス形式による同時認証を実施するために、利用者パスワード104a,104bに代わって、利用者パスワード/バイオメトリクス認証情報114a,114bを採用した実施例2を示している。
利用者パスワード/バイオメトリクス認証情報114aをデータ転送装置102から携帯端末401へ転送する場合は、データ端末装置102の通信用秘密鍵データ108でデータの暗号化を行い、さらに鍵データ105aによって暗号化することにより、二重に暗号化を実施し、利用者パスワード/バイオメトリクス認証情報104aが外部へ漏洩することを防止する。
【0042】
利用者パスワード/バイオメトリクス認証情報114a,114bは利用者パスワード104a,104bと同様な扱いをされる。ただし、携帯端末401に配置する通信鍵データ103b、利用者パスワード/バイオメトリクス認証情報114b、通信鍵データ105bおよび機密データ110bは、耐タンパ性のあるセキュリティIC111上に配置し、通信鍵データ103b、利用者パスワード/バイオメトリクス認証情報114b、通信鍵データ105bおよび機密データ110bを利用する場合は、セキュリティIC111上で動作するセキュリティアプリケーション107にて認証処理や削除処理を行いアプリケーション106からは直接アクセスしないようにすることが望ましい。
【0043】
上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
【0044】
(付記1)認証センタであるデータ転送装置と端末装置との間の共通鍵方式による端末利用者認証システムにおいて、前記共通鍵は、少なくとも、前記データ転送装置が端末装置との間で端末認証を行なうための通信鍵データと、前記端末装置におけるアプリケーションプログラムにより利用者認証を行なうための利用者パスワードおよび鍵データで構成され、前記端末装置起動時に、前記通信鍵データ,利用者パスワードおよび鍵データの全てが当該端末装置に配置されていない場合には、当該端末装置に配置されている前記通信鍵データ,利用者パスワード,鍵データの全てを当該端末装置で削除することを特徴とする端末利用者認証システム。
【0045】
(付記2)認証センタであるデータ転送装置と端末装置との間の共通鍵方式による端末利用者認証システムにおいて、前記共通鍵は、少なくとも、前記データ転送装置が端末装置との間で端末認証を行なうための通信鍵データと、前記端末装置におけるアプリケーションプログラムにより利用者認証を行なうための利用者パスワードおよび鍵データで構成され、前記端末装置起動時に、前記利用者パスワードおよび鍵データを用いた利用者認証に連続して所定回数失敗すると、当該端末装置に配置されている前記通信鍵データ,利用者パスワード,鍵データの全てを当該端末装置で削除することを特徴とする端末利用者認証システム。
【0046】
(付記3)前記共通鍵は、前記アプリケーションプログラムを使用するために必要な機密データを含み、該機密データも前記抹消の対象とされることを特徴とする付記1または付記2に記載の端末利用者認証システム。
【産業上の利用可能性】
【0047】
本発明は、電子マネーICカードに入金処理、支払い処理を行うための携帯端末型POS装置に対して適用できる。
【符号の説明】
【0048】
10,20 演算装置
11,21 記憶装置
12,22 入力装置
13,23 通信装置
14,24 出力装置
15 セキュリティ演算装置
16 セキュリティ記憶装置
101 端末装置
102 データ転送装置
103 通信鍵データ
104 利用者パスワード
105 鍵データ
106 アプリケーション
107 セキュリティアプリケーション
108 通信用秘密鍵データ
110 機密データ
111 セキュリティ領域
【技術分野】
【0001】
本発明は、端末利用者認証システムに関し、詳しくは、端末装置がロックされた場合におけるロック解除に好適な端末利用者認証システムに関する。
【背景技術】
【0002】
携帯端末装置等の端末装置(以下、「端末」と記す)が正当に使用されるようにするためには、認証センタであるデータ転送装置から端末へ認証データを送信し、端末認証および利用者認証を行なう必要がある。従来のこの種の暗号化通信システムの一例では、端末認証のために通信鍵データ、利用者認証のために利用者パスワードおよび鍵データを使用する。端末にはデータ転送装置より予め共通鍵暗号方式の通信鍵データを転送する。
【0003】
通信鍵データは、初回転送時は暗号化せずに平文のまま転送するが、通信鍵データの変更時など二回目以降の転送時には、データ転送装置が正規の装置であることの端末認証の為に、今までの通信鍵データで端末認証を行った後に新しい通信鍵データの転送を行う。すでに通信鍵データが存在する場合に新しい通信鍵データを平文で端末に送信した場合は、端末には今までの通信鍵データが存在するためエラーとなり、新しい通信鍵データを保存することはできない。このときは、端末からデータ転送装置に通信鍵エラーを通知する。
【0004】
データ転送装置から端末へ利用者パスワード、鍵データおよびアプリケーションプログラム(以下、「アプリケーション」と記す)で使用する機密データ(以下、「機密データ」)を転送するに当たっては、データ転送装置接続されている相手端末が正規の装置であることを確認するための端末認証を実施する。端末認証の方法は、データ転送装置と端末に共通したキーワードをデータ転送装置にて通信鍵データを用いて暗号化し、暗号済のキーワードを端末に送信する。端末は受信した暗号済のキーワードを通信鍵データで復号化し、予め保存されているキーワードと一致することを確認する。
【0005】
データ転送装置と端末の間で通信鍵認証に成功した場合のみ以降の通信を許可しデータ転送処理を実施する。データ転送装置から端末へ利用者パスワード、鍵データおよび機密データを転送する。端末を利用する場合は、利用者は端末に利用者パスワードを入力する。端末は利用者パスワードと鍵データを使用して利用者認証を行う。利用者認証は、利用者パスワードは鍵データで暗号化されているため、鍵データで復号化した後に利用者によって入力されたパスワードと復号化済のパスワードが一致することを確認することで行う。
【0006】
端末のアプリケーションは、鍵データにて利用者パスワードを認証した後に利用が可能となる。そのとき、暗号化されている機密データが鍵データで復号化されて使用される。利用者が不正な利用者パスワードを入力した場合、端末は、利用者パスワード、鍵データおよび機密データを削除し、端末が利用できなくなるようにする。この状態を端末がロックの状態にあるという。ロックを解除するためには、再度、通信鍵データ、鍵データ、利用者パスワードおよび機密データを転送する必要がある。
【0007】
図6は、端末上のアプリケーションの起動動作を示すフローチャートである。端末上には通信鍵データが存在しているものとする。正常な場合は、利用者パスワードおよび鍵データが配置されており(図6のステップB1、B2)、利用者認証(図6のステップB3)も成功するので、次に、鍵データにて機密データを復号化することによって、利用者はアプリケーションを利用したサービスの提供(図6のステップB4)を受ける。サービスの提供を終了した場合、アプリケーションは終了する。
【0008】
一方、端末101に利用者パスワード104bと鍵データ105bの何れかが配置されていない場合(図6のステップB1、ステップB2)は、利用者認定(図6のステップB3)を待つまでもなく、アプリケーションは終了する。したがって、サービスを利用することはできない。また、利用者認証(図6のステップB3)に失敗した場合、アプリケーションは終了するが、端末においては、連続して利用者認証に失敗した回数をカウントし、失敗回数が予め定められたn回以上になると(図6のステップB5)、パスワード総当りによる攻撃から防衛するために、利用者パスワード、鍵データおよび機密データを削除する(図6のステップB6)。
【0009】
ところで、この暗号化通信システムでは、携帯端末がロックしてしまった際に、ロック解除の処理中に通信鍵データのみを転送した状態でデータ転送装置において通信鍵データを削除してしまったり、ハードウェアの故障などにより紛失してしまった場合、ロックの解除ができなくなる。それは、このような場合、新たに通信鍵データを転送しても、端末には古い通信鍵データが残ったままとなり、新しい通信鍵データによる端末認証に失敗するため、新しい通信鍵データを転送することができなくなってしまうからである。
【0010】
また、端末認証に失敗するため、利用者パスワードや鍵データも転送できなくなってしまい、端末のロックを解除できなくなってしまい、ロックを解除するためには、端末を工場に送付して専用装置での初期化作業が必要となって、送付コストや作業コストがかかってしまう。
【0011】
なお、ユーザ認証に失敗すると、用記憶装置に記憶されている(通信文に対するデジタル署名)秘密鍵を削除するスマートカードシステムや、鍵受信側装置と鍵送信側装置の動的鍵(共通鍵)の不一致が起きた場合、鍵受信側装置がメッセージを送信することにより双方の動的鍵を初期化する共通鍵暗号化通信システムや、パスワードを忘れた場合には、特定のスイッチを操作することで、そのパスワードおよびパスワードで保護されている(データを暗号化するための)秘密暗号鍵を全て消去する暗号通信機能付きファクシミリ装置等が知られている。
【先行技術文献】
【特許文献】
【0012】
【特許文献1】特開2003-323599
【特許文献2】特開2004-186814
【特許文献3】特開平07-154611
【発明の概要】
【発明が解決しようとする課題】
【0013】
解決しようとする問題点は、端末がロックし、通信鍵データのみを転送した状態でデータ転送装置において通信鍵データを紛失してしまった場合にロックの解除を行えない点である。
【課題を解決するための手段】
【0014】
本発明は、端末起動時に、通信鍵データ,利用者パスワードおよび鍵データの全てが当該端末装置に配置されていない場合には、当該端末装置に配置されている通信鍵データ,利用者パスワード,鍵データの全てを当該端末装置で削除することを最も主要な特徴とする。
【発明の効果】
【0015】
本発明の端末利用者認証システムは、端末のロック時に、通信鍵データのみを転送した状態でデータ転送装置において通信鍵データを紛失してしまった場合に、新しい通信鍵データを使用することによって端末を利用可能にするという利点がある。その理由は、端末のロック時に、通信鍵データ、鍵データ、利用者パスワード、機密データを削除し、端末の起動時には、これらデータの全てが存在するかの確認を行い、全てのデータがそろっていない場合は、すべてのデータを再度削除し、データ転送装置において通信鍵データを紛失してしまった場合にも、通信鍵データの不一致による転送エラーを防止することができるためである。つまり、通信鍵データによる認証なしに平文にて通信鍵データの転送が可能である。
【図面の簡単な説明】
【0016】
【図1】本発明の暗号化通信システムの実施例1を示すブロック図である。
【図2】端末上のアプリケーションの起動動作を示す流れ図である。
【図3】端末の機器構成を示すブロック図である。
【図4】データ転送装置の機器構成を示すブロック図である。
【図5】本発明の暗号化通信システムの実施例2を示すブロック図である。
【図6】従来の端末上のアプリケーションの起動動作を示す流れ図である。
【発明を実施するための形態】
【0017】
次に、本発明を実施するための形態について図面を参照して詳細に説明する。
【実施例1】
【0018】
図1を参照すると、本発明の暗号化通信システムの実施例1は、携帯型のコンピュータである端末101と、認証センタとして端末101を管理するためのコンピュータであるデータ転送装置102とで構成されている。端末101は、利用者にサービスを提供するアプリケーション106を有しており、端末101が正当に使用されるようにするためには、データ転送装置102から端末101へ認証データを送信し、端末認証および利用者認証を行なう必要がある。このようにして、端末101は不当な利用から保護される。
【0019】
この目的のために、データ転送装置102の記憶装置には、通信鍵データ103a、利用者パスワード104aおよび機密データ110aが記憶されており、端末101へ転送される。転送時には、第三者への情報漏洩防止のため、通信鍵データ103aは鍵データ105aで、利用者パスワード104aおよび機密データ110aは鍵データ105aと通信鍵データ103aとで二重に、鍵データ105aは通信鍵データ103aで、それぞれ暗号化される。通信鍵データ103aは転送路を暗号化し、端末101側の通信鍵データ103bにより復号化する。
【0020】
ただし、端末101に通信鍵データ103bが存在しない場合の初回転送時に限り、通信鍵データ103aは平文のまま転送される。この間の通信は、第三者に傍受されないように有線LANにて直結して行なうなどの対策を実施する。
【0021】
先ず、端末101に通信鍵データ103bが存在しない場合は、データ転送装置102は平文の通信鍵データ103aを端末101へ転送する。端末101は受信した通信鍵データ103aを通信鍵データ103bとして端末101の記憶装置に記憶する。次に、データ転送装置102は利用者パスワード104aを鍵データ105aにて暗号化し、さらに通信鍵データ103aにて暗号化して端末101へ転送する。端末101は受信した利用者パスワードを通信鍵データ103bにて復号化し、利用者パスワード104bとして端末101の記憶装置に記憶する。つまり、利用者パスワード104bは鍵データ105aで暗号化された状態のまま保存する。
【0022】
次に、データ転送装置102は鍵データ105aを通信鍵データ103aにて暗号化して携帯端末101へ転送する。端末101は受信した鍵データを通信鍵データ103bにて復号化し、鍵データ105bとして端末101の記憶装置に記憶する。
【0023】
最後に、データ転送装置102は機密データ110aを鍵データ105aにて暗号化し、さらに通信鍵データ103aにて暗号化して端末101へ転送する。端末101は受信した機密データを通信鍵データ103bにて復号化し、機密データ110bとして端末101の記憶装置に記憶する。つまり、機密データ110bは鍵データ105aで暗号化された状態のままで保存する。
【0024】
なお、端末101に通信鍵データ103bが存在する場合は、端末認証の為に、今までの通信鍵データで端末認証を行った後に新しい通信鍵データの転送を行う。新しい通信鍵データは、通信鍵データ103aを鍵データ105aで暗号化したものとする。
【0025】
通信鍵データ103aと103bは、データ転送装置102が端末101との間で端末認証を行なうためのデータである。データ転送装置102は、データ転送装置102と端末101に共通したキーワードを通信鍵データ103aを用いて暗号化し、暗号済のキーワードを端末101に送信する。端末101は受信した暗号済のキーワードを通信鍵データ103bで復号化し、予め保存されているキーワードと一致することを確認する。一致すれば端末認証は成功、不一致なら不成功となる。
【0026】
利用者パスワード104aと104b、および鍵データ105aと105bは、アプリケーション106にて利用者認証をするためのデータである。端末101を利用する場合、利用者は端末101に利用者パスワードを入力する。アプリケーション106は利用者パスワード104bと鍵データ105bを使用して利用者認証を行う。利用者パスワード104bは利用者パスワード104aが鍵データ105aで暗号化されたものであるため、鍵データ105bで復号した後に利用者によって入力されたパスワードと復号化済のパスワードが一致することを確認することで行う。
【0027】
機密データ110aと110b、および鍵データ105aと105bは、アプリケーション106を使用するために必要なデータである。利用者がアプリケーション106を利用する場合、必要なサービスを提供する際に機密データ110bが必要となる。機密データ110bは、機密データ110aが鍵データ105aで暗号化されたものであるため、鍵データ105bで復号されて使用される。
【0028】
さて、端末101上のアプリケーション106の起動動作につき、図2のフローチャートを参照して説明する。なお、端末101上には通信鍵データ103bが存在しているものとする。
【0029】
先ず、正常な場合は、利用者パスワード104bが配置され(図2のステップA1)、鍵データ105bが配置され(図2のステップA2)、利用者認証に成功する(図2のステップA3)。利用者認証は、利用者より入力されたパスワードと、利用者パスワード104bが鍵データ105bで復号化された利用者パスワードとが一致するかにより行う。両方の利用者パスワードと一致すると、次に、鍵データ105bにて機密データ110bを復号化することによって、利用者はアプリケーション106を利用したサービスの提供を受ける(図3のステップA4)。サービスの提供を終了した場合、アプリケーションは終了する。
【0030】
次に、端末101に利用者パスワード104bと鍵データ105bとの両方または一方が配置されていない場合(図2のステップA1、ステップA2)は、利用者認定(図2のステップA3)を待つまでもなく、利用者パスワード104b、鍵データ105bおよび機密データ110bを削除し(図2のステップA6)、かつ通信鍵データ103bも削除して(図2のステップA7)、アプリケーションは終了する。したがって、サービスを利用することはできない。利用者パスワード104b、鍵データ105bおよび機密データ110bを削除するのは、通信鍵データ103bを削除するため、存続させても無意味だからである。
【0031】
また、正当な利用者がパスワードを誤って入力したり、不正な利用者が当てずっぽうでパスワードを入力した場合は、利用者認証(図2のステップA3)に失敗し、アプリケーションは終了する。端末101においては、連続して利用者認証に失敗した回数をカウントし、失敗回数が予め定められたn回未満ならアプリケーションが終了するのみである。しかし、失敗回数が予め定められたn回以上になると(図2のステップA5)、パスワード総当りによる攻撃から防衛するために、利用者パスワード104b、鍵データ105bおよび機密データ110bを削除し(図2のステップA6)、かつ通信鍵データ103bも削除して(図2のステップA7)、アプリケーションは終了する。
【0032】
これらの場合に端末101はロック状態となる。このとき、上述のように、利用者パスワード104bと鍵データ105bのいずれかが配置されていても、それを削除し(図2のステップA6)、かつ通信鍵データ103bも削除する(図2のステップA7)。アプリケーションの終了は、その後である。このように、通信鍵データ103bを削除するステップ(図2のステップA7)を追加することにより、利用者データ104bや鍵データ105bが配置されていない状態でデータ転送装置102の通信鍵データ103aを紛失してしまった場合の復旧手段を提供する。
【0033】
ロック状態の携帯端末101には、アプリケーション106のみが配置されており、通信鍵データ103b、利用者パスワード104b、鍵データ105bおよび機密データ110bは配置されておらず、アプリケーション106を起動してもサービスを利用することはできない。再びサービスを利用することができるようにするためには、データ転送装置102通信鍵データ103b、利用者パスワード104b、鍵データ105bおよび機密データ110bを端末101することが必要である。
【0034】
そこで、データ転送装置102は通信鍵データ103aを用いて利用者データ104a、鍵データ105a、機密データ110aを端末101へ転送しようと試みる。この場合、端末101においては通信鍵データ103bが削除されているため、通信鍵エラー(通信鍵無し)が端末101からデータ転送装置102へ通知される。通信鍵エラー(通信鍵無し)が発生した場合は、データ転送装置102において新たな通信鍵データ103aを生成し、携帯端末101へ転送することにより、利用者パスワード104bおよび鍵データ105bを転送することが可能となるのである。
【0035】
ところで、利用者パスワード104bおよび鍵データ105bを配置していない状態のときに、データ転送装置102の破損などにより通信鍵データ103aを紛失するという事態が発生することが考えられる。従来のように通信鍵データ103bを削除せず端末101に通信鍵データ103bを残したままでいると、データ転送装置102から携帯端末101へ利用者パスワード104a、鍵データ105aおよび機密データ110aを転送する場合に、データ転送装置102上に現在端末101に存在する旧通信鍵データ103aがないため、暗号化が行えず、転送することができない。
【0036】
即ち、端末101に通信鍵データ103bが配置されている状態での通信鍵データ103bの変更は、失った通信鍵データ103aを使用した暗号化を行う必要があるところ、データ転送装置102上に新たに作成した通信鍵データ103a'では暗号化ができないため、端末101に配置することができない。
【0037】
この問題を回避するために、アプリケーション106の起動時に、利用者パスワード104bおよび鍵データ105bが配置されているかの確認を行い、利用者パスワード104bと鍵データ105bのどれか一つでもが配置されていない場合は、アプリケーションによるサービスを利用することができない状態であるため、端末101上の通信鍵データ103bの消去を行うこととした。これにより、データ転送装置102上に新たに通信鍵データ103aを作成し、データ転送装置102より携帯端末101へ、平文の通信鍵データ103aを転送することが可能となり、通信鍵データ103aで暗号化した利用者パスワード104aと鍵データ105aと機密データ110aを転送し、携帯端末101上のアプリケーション106によるサービスを利用することが可能となる。
【0038】
図3は端末101の機器構成を示している。端末101は、構成する各機器の制御や暗号化の演算処理を行う演算装置10と、アプリケーションプログラムや各データを記憶する記憶装置11と、操作者が処理開始指示などを行うための入力装置12と、携帯端末と通信を行うための通信装置13と、通信の結果や処理結果などが出力される出力装置14と、通信鍵データや利用者パスワードや鍵データや機密データ等のセキュリティ情報を記憶するセキュリティ記憶装置16と、セキュリティ記憶装置16にアクセスするための暗号化処理や復号化処理を行うセキュリティ演算装置15で構成される。セキュリティ記憶装置16には暗号化処理が施されているため、セキュリティ演算装置15を介してのみアクセスでき、演算装置10からは直接アクセスすることができない。
【0039】
図4はデータ転送装置102の機器構成を示している。データ転送装置102は、構成する各機器の制御や暗号化等の演算処理を行う演算装置20と、アプリケーションプログラムや通信用鍵データや利用者パスワードや鍵データや機密データ等を記憶する記憶装置21と、操作者が転送の開始指示などを行うための入力装置203と、端末と通信を行うための通信装置204と、通信の結果などが出力される出力装置205で構成される。図4のデータ転送装置102の通信装置23と図3の端末101の通信装置13が通信路として結ばれる。この通信路を通じてデータ転送装置102から端末101へ通信鍵データ103aや利用パスワード104aや鍵データ105aや機密データ110aが暗号化されて転送される。
【実施例2】
【0040】
パスワード形式のみによる利用者認証では、なりすましによる不正利用の可能性がある。一方、指紋認証や虹彩認証などのためのバイオメトリクス認証情報のみによる本人認証は、誤認識による本人拒否や他人受入が発生する危険性があるため、これ単独の利用者認証は避けるのがよい。従って、パスワード形式およびバイオメトリクス形式による同時認証を実施することが望ましい。
【0041】
図5は、パスワード形式およびバイオメトリクス形式による同時認証を実施するために、利用者パスワード104a,104bに代わって、利用者パスワード/バイオメトリクス認証情報114a,114bを採用した実施例2を示している。
利用者パスワード/バイオメトリクス認証情報114aをデータ転送装置102から携帯端末401へ転送する場合は、データ端末装置102の通信用秘密鍵データ108でデータの暗号化を行い、さらに鍵データ105aによって暗号化することにより、二重に暗号化を実施し、利用者パスワード/バイオメトリクス認証情報104aが外部へ漏洩することを防止する。
【0042】
利用者パスワード/バイオメトリクス認証情報114a,114bは利用者パスワード104a,104bと同様な扱いをされる。ただし、携帯端末401に配置する通信鍵データ103b、利用者パスワード/バイオメトリクス認証情報114b、通信鍵データ105bおよび機密データ110bは、耐タンパ性のあるセキュリティIC111上に配置し、通信鍵データ103b、利用者パスワード/バイオメトリクス認証情報114b、通信鍵データ105bおよび機密データ110bを利用する場合は、セキュリティIC111上で動作するセキュリティアプリケーション107にて認証処理や削除処理を行いアプリケーション106からは直接アクセスしないようにすることが望ましい。
【0043】
上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
【0044】
(付記1)認証センタであるデータ転送装置と端末装置との間の共通鍵方式による端末利用者認証システムにおいて、前記共通鍵は、少なくとも、前記データ転送装置が端末装置との間で端末認証を行なうための通信鍵データと、前記端末装置におけるアプリケーションプログラムにより利用者認証を行なうための利用者パスワードおよび鍵データで構成され、前記端末装置起動時に、前記通信鍵データ,利用者パスワードおよび鍵データの全てが当該端末装置に配置されていない場合には、当該端末装置に配置されている前記通信鍵データ,利用者パスワード,鍵データの全てを当該端末装置で削除することを特徴とする端末利用者認証システム。
【0045】
(付記2)認証センタであるデータ転送装置と端末装置との間の共通鍵方式による端末利用者認証システムにおいて、前記共通鍵は、少なくとも、前記データ転送装置が端末装置との間で端末認証を行なうための通信鍵データと、前記端末装置におけるアプリケーションプログラムにより利用者認証を行なうための利用者パスワードおよび鍵データで構成され、前記端末装置起動時に、前記利用者パスワードおよび鍵データを用いた利用者認証に連続して所定回数失敗すると、当該端末装置に配置されている前記通信鍵データ,利用者パスワード,鍵データの全てを当該端末装置で削除することを特徴とする端末利用者認証システム。
【0046】
(付記3)前記共通鍵は、前記アプリケーションプログラムを使用するために必要な機密データを含み、該機密データも前記抹消の対象とされることを特徴とする付記1または付記2に記載の端末利用者認証システム。
【産業上の利用可能性】
【0047】
本発明は、電子マネーICカードに入金処理、支払い処理を行うための携帯端末型POS装置に対して適用できる。
【符号の説明】
【0048】
10,20 演算装置
11,21 記憶装置
12,22 入力装置
13,23 通信装置
14,24 出力装置
15 セキュリティ演算装置
16 セキュリティ記憶装置
101 端末装置
102 データ転送装置
103 通信鍵データ
104 利用者パスワード
105 鍵データ
106 アプリケーション
107 セキュリティアプリケーション
108 通信用秘密鍵データ
110 機密データ
111 セキュリティ領域
【特許請求の範囲】
【請求項1】
認証センタであるデータ転送装置と端末装置との間の共通鍵方式による端末利用者認証システムにおいて、
前記共通鍵は、少なくとも、前記データ転送装置が端末装置との間で端末認証を行なうための通信鍵データと、前記端末装置におけるアプリケーションプログラムにより利用者認証を行なうための利用者パスワードおよび鍵データで構成され、
前記端末装置起動時に、前記通信鍵データ,利用者パスワードおよび鍵データの全てが当該端末装置に配置されていない場合には、当該端末装置に配置されている前記通信鍵データ,利用者パスワード,鍵データの全てを当該端末装置で削除することを特徴とする端末利用者認証システム。
【請求項2】
認証センタであるデータ転送装置と端末装置との間の共通鍵方式による端末利用者認証システムにおいて、
前記共通鍵は、少なくとも、前記データ転送装置が端末装置との間で端末認証を行なうための通信鍵データと、前記端末装置におけるアプリケーションプログラムにより利用者認証を行なうための利用者パスワードおよび鍵データで構成され、
前記端末装置起動時に、前記利用者パスワードおよび鍵データを用いた利用者認証に連続して所定回数失敗すると、当該端末装置に配置されている前記通信鍵データ,利用者パスワード,鍵データの全てを当該端末装置で削除することを特徴とする端末利用者認証システム。
【請求項3】
前記共通鍵は、前記アプリケーションプログラムを使用するために必要な機密データを含み、該機密データも前記抹消の対象とされることを特徴とする請求項1または請求項2に記載の端末利用者認証システム。
【請求項1】
認証センタであるデータ転送装置と端末装置との間の共通鍵方式による端末利用者認証システムにおいて、
前記共通鍵は、少なくとも、前記データ転送装置が端末装置との間で端末認証を行なうための通信鍵データと、前記端末装置におけるアプリケーションプログラムにより利用者認証を行なうための利用者パスワードおよび鍵データで構成され、
前記端末装置起動時に、前記通信鍵データ,利用者パスワードおよび鍵データの全てが当該端末装置に配置されていない場合には、当該端末装置に配置されている前記通信鍵データ,利用者パスワード,鍵データの全てを当該端末装置で削除することを特徴とする端末利用者認証システム。
【請求項2】
認証センタであるデータ転送装置と端末装置との間の共通鍵方式による端末利用者認証システムにおいて、
前記共通鍵は、少なくとも、前記データ転送装置が端末装置との間で端末認証を行なうための通信鍵データと、前記端末装置におけるアプリケーションプログラムにより利用者認証を行なうための利用者パスワードおよび鍵データで構成され、
前記端末装置起動時に、前記利用者パスワードおよび鍵データを用いた利用者認証に連続して所定回数失敗すると、当該端末装置に配置されている前記通信鍵データ,利用者パスワード,鍵データの全てを当該端末装置で削除することを特徴とする端末利用者認証システム。
【請求項3】
前記共通鍵は、前記アプリケーションプログラムを使用するために必要な機密データを含み、該機密データも前記抹消の対象とされることを特徴とする請求項1または請求項2に記載の端末利用者認証システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公開番号】特開2012−70197(P2012−70197A)
【公開日】平成24年4月5日(2012.4.5)
【国際特許分類】
【出願番号】特願2010−212928(P2010−212928)
【出願日】平成22年9月23日(2010.9.23)
【出願人】(303013763)NECエンジニアリング株式会社 (651)
【Fターム(参考)】
【公開日】平成24年4月5日(2012.4.5)
【国際特許分類】
【出願日】平成22年9月23日(2010.9.23)
【出願人】(303013763)NECエンジニアリング株式会社 (651)
【Fターム(参考)】
[ Back to top ]