通信システム、通信装置、情報処理プログラム及び認証方法
【課題】共通鍵を用いて相互に行うCHAP認証の新たな手法を提供する。
【解決手段】他の通信装置Bと通信経路を介して通信を行う際に互いに認証を行い、かつ、当該他の通信装置Bと共通に有する共通鍵CAを保存している通信装置Aであって、他の通信装置Bと通信を行う際に、当該他の通信装置Bとの接続が確立した後、選択した乱数RAを含むチャレンジを他の通信装置Bに送信する手段、他の通信装置Bから乱数RBを含むチャレンジを受信する手段、チャレンジを送信した後に、受信したチャレンジに対して当該通信装置Bとの共通鍵CA及び受信した乱数RBを変換して得られるハッシュ値HA2を含むレスポンスを送信する手段、チャレンジを受信した後に、通信装置Bからハッシュ値HB2を含むレスポンスを受信する手段、受信したハッシュ値HB2を用いて当該通信装置Bとの認証を行う手段、を有する通信装置Aにより、上記課題を解決する。
【解決手段】他の通信装置Bと通信経路を介して通信を行う際に互いに認証を行い、かつ、当該他の通信装置Bと共通に有する共通鍵CAを保存している通信装置Aであって、他の通信装置Bと通信を行う際に、当該他の通信装置Bとの接続が確立した後、選択した乱数RAを含むチャレンジを他の通信装置Bに送信する手段、他の通信装置Bから乱数RBを含むチャレンジを受信する手段、チャレンジを送信した後に、受信したチャレンジに対して当該通信装置Bとの共通鍵CA及び受信した乱数RBを変換して得られるハッシュ値HA2を含むレスポンスを送信する手段、チャレンジを受信した後に、通信装置Bからハッシュ値HB2を含むレスポンスを受信する手段、受信したハッシュ値HB2を用いて当該通信装置Bとの認証を行う手段、を有する通信装置Aにより、上記課題を解決する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、他の通信装置と通信経路を介して通信を行う際に互いに認証を行い、かつ、当該他の通信装置と共通に有する共通情報を保存している通信装置が含まれる通信システム及び方法等の技術分野に関する。
【背景技術】
【0002】
二つの装置間で通信経路を介して通信を行う際に、情報の漏洩を防止するセキュリティの観点から、認証を行う場合がある。認証方法の一つとして、共通鍵を用いたCHAP(Challenge Handshake Authentication Protocol)認証が知られている。
【0003】
CHAP認証を用いた認証方法として、特許文献1には、システム側機器とユーザ側機器との間で、共通鍵暗号アルゴリズム利用のチャレンジレスポンスにより行われる機器認証及び暗号通信システムが開示されている。
【特許文献1】特開2000−138674号公報
【発明の開示】
【発明が解決しようとする課題】
【0004】
近年、サーバ−クライアント型の通信方式の他に、通信手段を介して互いに接続された複数の通信装置によるピアツーピア(Peer to Peer(P2P))型の通信方式が注目されている。ピアツーピア型の通信方式においては、通信や情報の授受を行う際、セキュリティ上、通信装置同士が相互に認証を行うことが適切である。
【0005】
相互に行うCHAP認証においては、通常、図3に示すように、先に一方の通信装置Aが他方の通信装置Bにチャレンジを送信し、レスポンスを受信し、その後に認証を行って通信装置Aが通信装置Bを承認する。その後、逆に他方の通信装置Bが通信装置Aにチャレンジを送信し、レスポンスを受信し、その後に認証を行うことにより通信装置Aを承認する。
【0006】
本発明は、共通鍵(共通情報)を用いて相互に行うCHAP認証の新たな手法を提案するものであって、これに適した通信システム、通信装置及び方法等を提供することを目的とする。
【課題を解決するための手段】
【0007】
上記課題を解決するために、請求項1に記載の発明は、他の通信装置と通信経路を介して通信を行う際に互いに認証を行い、かつ、当該他の通信装置と共通に有する共通情報を保存している通信装置が含まれる通信システムであって、第1の通信装置と第2の通信装置とが通信を行う際に、当該第1の通信装置と当該第2の通信装置との接続が確立した後に、前記第1の通信装置が選択した乱数情報を含むチャレンジを前記第2の通信装置に送信する第1チャレンジ送信手段と、前記第2の通信装置が選択した乱数情報を含むチャレンジを前記第1の通信装置に送信する第2チャレンジ送信手段と、前記第2の通信装置が前記第2チャレンジ送信手段により前記第1の通信装置にチャレンジを送信した後に、前記第2の通信装置が受信した前記チャレンジに対して当該第1の通信装置との前記共通情報及び受信した前記乱数情報を変換して得られる変換情報を含むレスポンスを送信する第2レスポンス送信手段と、前記第1の通信装置が前記第1チャレンジ送信手段により前記第2の通信装置にチャレンジを送信した後に、前記第1の通信装置が受信した前記チャレンジに対して前記第2の通信装置との前記共通情報及び受信した前記乱数情報を変換して得られる変換情報を含むレスポンスを送信する第1レスポンス送信手段と、前記第1の通信装置が受信した前記変換情報を用いて当該第2の通信装置との認証を行う第1認証手段と、前記第2の通信装置が受信した前記変換情報を用いて当該第1の通信装置との認証を行う第2認証手段と、を有することを特徴とする。
【0008】
これによれば、通信システムが上記第2の通信装置の第2レスポンス送信手段と、上記第1の通信装置の第1レスポンス送信手段と、を有することにより、相互に行う新たなCHAP認証手法を提供することができ、また、第1の通信装置と第2の通信装置とが並行してCHAP認証を行うことになるため、互いに認証を早く行うことができ、その後の通信を速やかに行うことができる。
【0009】
上記課題を解決するために、請求項2に記載の発明は、他の通信装置と通信経路を介して通信を行う際に互いに認証を行い、かつ、当該他の通信装置と共通に有する共通情報を保存している通信装置が含まれる通信システムにおける認証方法であって、第1の通信装置と第2の通信装置とが通信を行う際に、当該第1の通信装置と当該第2の通信装置との接続が確立した後に、前記第1の通信装置が選択した乱数情報を含むチャレンジを前記第2の通信装置に送信する工程と、前記第2の通信装置が選択した乱数情報を含むチャレンジを前記第1の通信装置に送信する工程と、前記第2の通信装置が前記第1の通信装置にチャレンジを送信した後に、前記第2の通信装置が受信した前記チャレンジに対して当該第1の通信装置との前記共通情報及び受信した前記乱数情報を変換して得られる変換情報を含むレスポンスを送信する工程と、前記第1の通信装置が前記第2の通信装置にチャレンジを送信した後に、前記第1の通信装置が受信した前記チャレンジに対して前記第2の通信装置との前記共通情報及び受信した前記乱数情報を変換して得られる変換情報を含むレスポンスを送信する工程と、前記第1の通信装置が受信した前記変換情報を用いて当該第2の通信装置との認証を行う工程と、前記第2の通信装置が受信した前記変換情報を用いて当該第1の通信装置との認証を行う工程と、を有することを特徴とする。
【0010】
上記課題を解決するために、請求項3に記載の発明は、他の通信装置と通信経路を介して通信を行う際に互いに認証を行い、かつ、当該他の通信装置と共通に有する共通情報を保存している通信装置であって、他の通信装置と通信を行う際に、当該他の通信装置との接続が確立した後、選択した乱数情報を含むチャレンジを前記他の通信装置に送信するチャレンジ送信手段と、前記他の通信装置から乱数情報を含むチャレンジを受信するチャレンジ受信手段と、前記チャレンジ送信手段によりチャレンジを送信した後に、受信したチャレンジに対して当該他の通信装置との前記共通情報及び受信した前記乱数情報を変換して得られる変換情報を含むレスポンスを送信するレスポンス送信手段と、前記チャレンジ受信手段によりチャレンジを受信した後に、前記他の通信装置から変換情報を含むレスポンスを受信するレスポンス受信手段と、受信した前記変換情報を用いて当該他の通信装置との認証を行う認証手段と、を有することを特徴とする。
【0011】
これによれば、通信装置が上記レスポンス送信手段と、上記レスポンス受信手段と、を有することにより、相互に行う新たなCHAP認証手法を提供することができ、また、この通信装置と他の通信装置とが並行してCHAP認証を行うことになるため、互いに認証を早く行うことができ、その後の通信を速やかに行うことができる。
【0012】
上記課題を解決するために、請求項4に記載の発明は、請求項3に記載の通信装置であって、前記チャレンジ送信手段は、前記チャレンジ送信手段により送信した前記乱数情報と、前記チャレンジ受信手段により受信した前記乱数情報と、が同一の場合には、再度、選択した乱数情報を含むチャレンジを前記他の通信装置に送信し、前記レスポンス送信手段は、前記チャレンジ送信手段により送信した前記乱数情報と、前記チャレンジ受信手段により受信した前記乱数情報と、が同一の場合には、レスポンスを送信することを禁止し、前記認証手段は、前記チャレンジ送信手段により送信した前記乱数情報と、前記チャレンジ受信手段により受信した前記乱数情報と、が同一の場合には、認証を行うことを禁止することを特徴とする。
【0013】
これによれば、乱数情報が同一の場合には、レスポンスの送信や認証を禁止することにより、悪意のあるユーザの通信装置が、なりすましを行うことを防止できる。すなわち、悪意のあるユーザの通信装置が、相手の通信装置から受信したチャレンジの乱数情報を含めてチャレンジを送信し、そのレスポンスに含まれる変換情報を、自らもレスポンスに含ませて相手に送信することにより、相手において認証が成功し、なりすましが可能になってしまう。この発明によれば、自ら送信した乱数情報と、受信した乱数情報とが同一の場合には、再度チャレンジを送信し直すため、上述の手法で他の通信装置がなりすましを行った場合に、通信を行わないように制御できる。
【0014】
上記課題を解決するために、請求項5に記載の発明は、請求項4に記載の通信装置であって、前記チャレンジ送信手段により同一の他の通信装置にチャレンジを所定回数送信し、かつ、前記チャレンジ送信手段により最後に送信した前記乱数情報と、前記チャレンジ受信手段により最後に受信した前記乱数情報と、が同一の場合に、当該他の通信装置との接続を切断する接続切断手段を有することを特徴とする。
【0015】
これによれば、所定回数(例えば、3回等)自己が送信した乱数情報と同じ乱数情報を受信した場合には、相手を悪意のあるユーザの通信装置であるとみなして接続を切断し、通信を行うことを中止することができる。
【0016】
上記課題を解決するために、請求項6に記載の発明は、請求項3乃至5のいずれか一項に記載の通信装置であって、前記チャレンジ送信手段は、前記乱数情報及び前記通信装置自身の識別情報を組み合わせた情報を含むチャレンジを送信し、前記レスポンス送信手段は、前記チャレンジ送信手段により送信した前記乱数情報及び前記通信装置自身の識別情報を組み合わせた情報と、前記チャレンジ受信手段により受信した前記乱数情報及び前記他の通信装置の識別情報を組み合わせた情報と、が同一の場合には、レスポンスを送信することを禁止し、前記認証手段は、前記チャレンジ送信手段により送信した前記乱数情報及び前記通信装置自身の識別情報を組み合わせた情報と、前記チャレンジ受信手段により受信した前記乱数情報及び前記他の通信装置の識別情報を組み合わせた情報と、が同一の場合には、認証を行うことを禁止することを特徴とする。
【0017】
これによれば、チャレンジに通信装置自身の識別情報を含ませることにより、互いにチャレンジが同一の情報を含むことを防止できる。そして、チャレンジ送信手段により送信した乱数情報及び通信装置自身の識別情報を組み合わせた情報と、チャレンジ受信手段により受信した乱数情報及び他の通信装置の識別情報を組み合わせた情報と、が同一の場合には、レスポンスの送信や認証を禁止することにより、悪意のあるユーザの通信装置が、相手の通信装置のチャレンジの情報を利用してなりすましを行うことを防止できる。
【0018】
上記課題を解決するために、請求項7に記載の発明は、請求項6に記載の通信装置であって、前記チャレンジ送信手段により送信した前記乱数情報及び前記通信装置自身の識別情報を組み合わせた情報と、前記チャレンジ受信手段により受信した前記乱数情報及び前記他の通信装置の識別情報を組み合わせた情報と、が同一の場合には、当該他の通信装置との接続を切断する接続切断手段を有することを特徴とする。
【0019】
これによれば、チャレンジ送信手段により送信した乱数情報及び通信装置自身の識別情報を組み合わせた情報と、チャレンジ受信手段により受信した乱数情報及び他の通信装置の識別情報を組み合わせた情報と、が同一の場合には、相手を悪意のあるユーザの通信装置であるとみなして接続を切断し、通信を行うことを中止することができる。
【0020】
上記課題を解決するために、請求項8に記載の発明は、コンピュータを請求項3乃至7に記載の通信装置として機能させることを特徴とする情報処理プログラムである。
【0021】
上記課題を解決するために、請求項9に記載の発明は、他の通信装置と通信経路を介して通信を行う際に互いに認証を行い、かつ、当該他の通信装置と共通に有する共通情報を保存している通信装置における認証方法であって、他の通信装置と通信を行う際に、当該他の通信装置との接続が確立した後、選択した乱数情報を含むチャレンジを前記他の通信装置に送信する工程と、前記他の通信装置から乱数情報を含むチャレンジを受信する工程と、前記チャレンジを送信した後に、前記受信したチャレンジに対して当該他の通信装置との前記共通情報及び受信した前記乱数情報を変換して得られる変換情報を含むレスポンスを送信する工程と、前記チャレンジを受信した後に、前記他の通信装置から変換情報を含むレスポンスを受信する工程と、受信した前記変換情報を用いて当該他の通信装置との認証を行う工程と、を有することを特徴とする。
【発明の効果】
【0022】
本発明によれば、共通鍵(共通情報)を用いて相互に行うCHAP認証の新たな手法を提供でき、かつ、各通信装置間における互いの認証を早く行うことができる。
【発明を実施するための最良の形態】
【0023】
以下、本発明の最良の実施形態を図面に基づいて説明する。以下に説明する実施の形態は、本発明の通信システムに含まれる第1の通信装置としての通信装置A及び第2の通信装置としての通信装置Bを用いて説明したものである。また、本発明の共通情報を共通鍵C、乱数情報を乱数R、変換情報をハッシュ値H、識別情報をID(IDentification)として説明する。なお、本発明の通信システム等の各発明は、以下に説明する実施形態に限定されず、本発明の技術思想の範囲内で適宜変更して実施される。
【0024】
[1.第1実施形態]
[1.1.第1実施形態の概要]
第1実施形態の通信システムについて説明する前提として、図1乃至図3を参照してCHAP認証の基本的な流れについて説明する。なお、図1は、二つの通信装置が認証を行う前段階において、通信を確立する態様を説明する図である。図2は、CHAP認証の基本的な流れを示す図であり、図3は、二つの通信装置がCHAP認証を相互に行う態様を示す図である。
【0025】
図1に示すように、二つの通信装置A、Bが通信を行う場合には、まず、通信装置Aと通信装置Bとの接続を確立させる。具体的に、通信装置Aから通信を始める場合には、通常のTCPプロトコルにおいて、まず、通信装置Aが通信装置BへSYNパケット(通信を確立するための信号)を送信する。当該SYNパケットを通信装置Bが受信すると、通信装置Bはパッシブ・オープン処理を開始して、受信確認(ACK)と通信装置AへのSYNのパケットを送信する。当該ACK/SYNパケットを通信装置Aが受信すると、通信装置Aは受信確認(ACK)のパケットを通信装置Bに送信して、オープン処理が完了(ESTABLISHED)して接続が確立される。次いで、CHAP認証が開始されることとなる。
【0026】
また、図2に示すように、互いにCHAP認証を行う通信装置A、Bは、他の通信装置に対して秘密であり、両装置において共通の情報である共通鍵CA、CBをそれぞれ保有している。そして、先にチャレンジを送信する通信装置Aは、乱数Rを生成し、当該乱数Rを含むチャレンジを通信装置Bに送信する。
【0027】
チャレンジを送信した通信装置Aと、チャレンジを受信した通信装置Bと、はそれぞれ、共通鍵CA、CBと乱数Rについて、公知の手法でハッシュ値Hを計算する。具体的に、チャレンジを送信した通信装置Aは、共通鍵CAと乱数Rについてのハッシュ値HAを計算し、チャレンジを受信した通信装置Bは、共通鍵CBとチャレンジに含まれる乱数Rについてのハッシュ値HBを計算する。そして、通信装置Bは、計算したハッシュ値HBを含むレスポンスを通信装置Aに送信する。
【0028】
このとき、通信装置Aが、自身で計算したハッシュ値HAと受信したレスポンスに含まれるハッシュ値HBとの同一性を判断することにより、認証を行う。ハッシュ値HAとハッシュ値HBとが同一であれば、通信装置Aの共通鍵CAと通信装置Bの共通鍵CBとが同一であると判断されるため、通信装置Aは、通信装置Bを承認する。
【0029】
図3に示すように、図2を用いて説明した通信装置AによるCHAP認証の後、当該CHAP認証の通信装置Aと通信装置Bとの処理を逆転させて、通信装置Bから通信装置Aにチャレンジを送信して認証処理を行うことにより、通信装置Bが通信装置Aを承認し、その後、本来の通信が行われる。以上が相互に行うCHAP認証の基本的な流れである。
【0030】
次いで、第1実施形態の通信システムにおける認証の流れについて図4を参照して説明する。図4は、第1実施形態の通信システムにおける認証の流れを説明する概略図である。
【0031】
第1実施形態の通信システムは、図1を参照して上述したように、通信装置Aと通信装置Bとが通信を行う際に、まず、当該通信装置Aと当該通信装置Bとの接続を確立させ、その後、認証のためのチャレンジ・レスポンスの送受信を行う。
【0032】
チャレンジの送信は、図2及び図3を用いて説明したものと同様である。通信装置Aが選択した乱数RAを含むチャレンジを通信装置Bに送信し、また、通信装置Bが選択した乱数RBを含むチャレンジを通信装置Aに送信する。
【0033】
そして、レスポンスの送信について、通信装置Bは、通信装置Aに上記チャレンジを送信した後に、通信装置Bが受信したチャレンジに対して当該通信装置Aとの共通鍵CB及び受信した乱数RAを変換して得られるハッシュ値HB2を含むレスポンスを送信する。また、通信装置Aは、通信装置Bに上記チャレンジを送信した後に、通信装置Aが受信したチャレンジに対して通信装置Bとの共通鍵CA及び受信した乱数RBを変換して得られるハッシュ値HA2を含むレスポンスを送信する。
【0034】
次いで、通信装置Aが受信したハッシュ値HB2を用いて当該通信装置Bとの認証を行い、また、通信装置Bが受信したハッシュ値HA2を用いて当該通信装置Aとの認証を行う。このとき、通信装置Aは、送信したチャレンジに含まれる乱数RA及び通信装置Bとの共通鍵CAを変換して得られるハッシュ値HA1と、上記受信したハッシュ値HB2との同一性を判断する。また、通信装置Bは、送信したチャレンジに含まれる乱数RB及び通信装置Aとの共通鍵CBを変換して得られるハッシュ値HB1と、上記受信したハッシュ値HA2との同一性を判断する。
【0035】
上記通信システムにおける流れを通信装置Aを主体として言い換えると、他の通信装置Bと通信を行う際に、当該他の通信装置Bとの接続が確立した後、選択した乱数RAを含むチャレンジを他の通信装置Bに送信し、他の通信装置Bから乱数RBを含むチャレンジを受信する。通信装置Aは、チャレンジを送信した後に、受信したチャレンジに対して当該他の通信装置Bとの共通鍵CA及び受信した乱数RBを変換して得られるハッシュ値HA2を含むレスポンスを送信し、チャレンジを受信した後に、他の通信装置Bからハッシュ値HB2を含むレスポンスを受信し、受信したハッシュ値HB2を用いて当該他の通信装置Bとの認証を行う。
【0036】
このように、本実施形態の通信システム、通信装置A、Bにおいては、図4に示すように、通信装置A、Bによるチャレンジ・レスポンスが互いに並行して送受信されることとなる。
【0037】
[1.2.通信装置の構成等]
次に、図5を参照して、通信システムに含まれる通信装置A、B等の通信装置の構成および機能について説明する。尚、各通信装置の構成は同じであり、図5は、通信装置Aの概要構成例を示す図である。
【0038】
通信装置Aは、図5に示すように、演算機能を有するCPU,作業用RAM,各種データおよびプログラムを記憶するROM等から構成されたコンピュータとしての制御部11と、共通鍵CA、受信したチャレンジに含まれる乱数RB、受信したレスポンスに含まれるハッシュ値HB2、コンテンツデータおよびプログラム等を記憶保存(格納)するためのHD等から構成された記憶部12(コンテンツデータ等は、保存されていないノード装置1もある)と、受信したチャレンジに含まれる乱数RB、受信したレスポンスに含まれるハッシュ値HB2等を一時蓄積するバッファメモリ13と、コンテンツデータに含まれるエンコードされたビデオデータ(映像情報)およびオーディオデータ(音声情報)等をデコード(データ伸張や復号化等)するデコーダ部14と、当該デコードされたビデオデータ等に対して所定の描画処理を施しビデオ信号として出力する映像処理部15と、当該映像処理部15から出力されたビデオ信号に基づき映像表示するCRT,液晶ディスプレイ等の表示部16と、上記デコードされたオーディオデータをアナログオーディオ信号にD(Digital)/A(Analog)変換した後これをアンプにより増幅して出力する音声処理部17と、当該音声処理部17から出力されたオーディオ信号を音波として出力するスピーカ18と、ネットワーク30を通じて他の通信装置B等との間の情報の通信制御を行うための通信部20と、ユーザからの指示を受け付け当該指示に応じた指示信号を制御部11に対して与える入力部(例えば、キーボード、マウス、或いは、操作パネル等)21と、を備えて構成され、制御部11、記憶部12、バッファメモリ13、デコーダ部14および通信部20はバス22を介して相互に接続されている。
【0039】
そして、制御部11におけるCPUが記憶部12等に記憶された各種プログラムを実行することにより、通信装置A全体を統括制御するようになっており、また、入力部21からの指示信号に応じて、他の通信装置等と通信処理、認証処理等を行うようになっている。通信装置Aは、実行されるプログラムに応じて、各情報を受信、送信(転送)する。また、通信装置Aの制御部11は、本発明の第1チャレンジ送信手段、第2チャレンジ送信手段、チャレンジ送信手段、チャレンジ受信手段、第1レスポンス送信手段、第2レスポンス送信手段、レスポンス送信手段、レスポンス受信手段、第1認証手段、第2認証手段、認証手段として機能する。
【0040】
第1チャレンジ送信手段、第2チャレンジ送信手段又はチャレンジ送信手段としての制御部11は、通信装置A自身が選択した乱数RAを含むチャレンジを他の通信装置Bに送信する。チャレンジ受信手段としての制御部11は、他の通信装置Bから乱数RBを含むチャレンジを受信する。
【0041】
第1レスポンス送信手段、第2レスポンス送信手段又はレスポンス送信手段としての制御部11は、上記第1チャレンジ送信手段、第2チャレンジ送信手段又はチャレンジ送信手段によりチャレンジを送信した後に、受信したチャレンジに対して当該他の通信装置Bとの共通鍵CA及び受信した乱数RBを変換して得られるハッシュ値HA2を含むレスポンスを送信する。
【0042】
レスポンス受信手段としての制御部11は、上記チャレンジ受信手段によりチャレンジを受信した後に、他の通信装置Bからハッシュ値HB2を含むレスポンスを受信する。通信装置Aの制御部11が他の通信装置Bからチャレンジを受信した後に、他の通信装置Bからハッシュ値HB2を含むレスポンスを受信するためには、レスポンスを先に受信して当該レスポンスの情報をバッファメモリ13に記憶していた場合であっても、当該レスポンスの情報を参照せず、チャレンジを受信し、当該チャレンジの情報を参照した後にレスポンスの情報を参照するように制御する。
【0043】
第1認証手段、第2認証手段又は認証手段としての制御部11は、受信したハッシュ値HB2を用いて他の通信装置Bとの認証を行う。具体的に、制御部11は、送信したチャレンジに含まれる乱数RA及び通信装置Bとの共通鍵CAを変換して得られるハッシュ値HA1と、上記受信したハッシュ値HB2との同一性を判断することにより認証を行い、ハッシュ値HA1と、ハッシュ値HB2と、が同一の場合には、相手の通信装置Bを承認してその後の通信を行い、当該ハッシュ値が同一でない場合には、相手の通信装置Bを承認せず、当該通信装置Bとの通信(接続)を切断する。
【0044】
[1.3.動作]
次いで、図6を参照して、第1実施形態の通信システムにおける通信装置AのCHAP認証の動作について説明する。
【0045】
この動作の説明においては、通信装置Aのユーザが入力部21を用いて情報の取得等の指示を入力し、その情報の取得等のためには通信装置Bとの通信及び相互認証が必要であり、図1に示すように通信装置Aと通信装置Bとの接続が確立した後、動作が開始するものとする(スタート)。
【0046】
図6に示すように、通信装置Aにおける動作が開始すると、チャレンジ送信手段又は第1チャレンジ送信手段としての制御部11は乱数RAを選択して生成し(ステップS1)、乱数RAを含むチャレンジを通信装置Bに送信する(ステップS2)。次いで、チャレンジ受信手段としての制御部11は、乱数RBを含むチャレンジを通信装置Bから受信し、受信したチャレンジのデータを記憶部12に格納する(ステップS3)。
【0047】
次いで、制御部11は、送信したチャレンジについてのハッシュ値HA1(CA+RA)を計算し(ステップS4)、受信したチャレンジについてのハッシュ値HA2(CA+RB)を計算する(ステップS5)。次いで、レスポンス送信手段又は第1レスポンス送信手段としての制御部11は、計算したハッシュ値HA2を含むレスポンスを送信し(ステップS6)、レスポンス受信手段としての制御部11は、ハッシュ値HB2を含むレスポンスを受信し、受信したレスポンスのデータを記憶部12に格納する(ステップS7)。
【0048】
次いで、認証手段又は第1認証手段としての制御部11は、通信装置Bの認証を行う。具体的に、制御部11は、HA1とHB2が同一であるか否かを判断する(ステップS8)。HA1とHB2が同一である場合には(ステップS8;YES)、通信装置Bを承認し、通信装置Bと通信を行うこととし(ステップS9)、処理を終了する(エンド)。ステップS8において、HA1とHB2が同一でない場合には(ステップS8;NO)、通信装置Bを承認せず、通信装置Bとの通信を切断し(ステップS10)、処理を終了する(エンド)。ステップS9を経て動作を終了した場合には、通信装置Aは、通信装置Bから情報を取得する等の本来の目的の動作を行う。
【0049】
なお、本実施形態においては、チャレンジを送信した(ステップS2)後にレスポンスを送信すること(ステップS6)、チャレンジを受信した(ステップS3)後にレスポンスを送信すること(ステップS6)、チャレンジを受信した(ステップS3)後にレスポンスを受信すること(ステップS7)、のように各順序がなっており、その後認証が行われれば(ステップS8)、他の順序は上述の通りでなくてもよい。
【0050】
ここで、図3に示すように、従来は、一方の通信装置Aがチャレンジ送信、レスポンス受信によるCHAP認証を行い、その後、他方の通信装置Bがチャレンジ送信、レスポンス受信によるCHAP認証を行っていた。そのため、確実に一方のCHAP認証が終わるまで他方のCHAP認証を始めることができず、CHAP認証に時間がかかる場合があったが、上述の本実施形態の通信システム、通信装置A、Bによれば、図4に示すように、二つの通信装置A、BにおけるCHAP認証が並行して行われることになるため、早くCHAP認証を完了し、速やかにその後の通信を行うことができる。
【0051】
[2.第2実施形態]
[2.1.第2実施形態の前提]
第1実施形態の通信システムにおいては、認証処理を早く行うことができるという利点があるが、図7に示すように、悪意を持った不正な通信装置によりなりすましが可能となってしまう場合がある。図7は、不正な通信装置によるCHAP認証のなりすましの例を説明する図である。このような例を、通信装置Aが正規の通信装置であり、通信装置Dが不正な通信装置であるとして、図7を参照して説明する。
【0052】
通信装置Aが通常通り、通信の確立後に乱数RAを生成し、当該乱数RAを含めてチャレンジを通信装置Dに送信すると、悪意を持ったユーザの通信装置Dは、受信したチャレンジに含まれる乱数RAをそのまま乱数RDとしてチャレンジに含めて通信装置Aに送信することができる。そして、このチャレンジに対して、通信装置Aが通常通り、通信装置Dとの共通鍵CA及び受信した乱数RDを変換して得られるハッシュ値HA2を含むレスポンスを送信する。すると、悪意を持ったユーザの通信装置Dは、受信したHA2をそのままHD2としてレスポンスに含めて送信ができることとなる。
【0053】
このとき、通信装置Aも通信装置Dとの共通鍵CA及び送信した乱数RAを変換して得られるハッシュ値HA1を得ている。このハッシュ値HA1と、受信したレスポンスに含まれるHD2とが同一であり、CA=CDと考えられるため、通信装置Aは、通信装置Dを正規の通信装置と誤って承認してしまうおそれがある。そうすると、悪意を持ったユーザの通信装置Dは、正規の通信装置になりすますことが可能となってしまう。
【0054】
そこで、このような悪意を持ったユーザの通信装置Dが上述のような不正を行うことを防止するために、第2実施形態の通信システムを提供する。
【0055】
[2.2.第2実施形態の概要]
第2実施形態の通信システムにおける認証の流れについて図8を参照して説明する。図8は、第2実施形態の通信システムにおける認証の流れを説明する概略図である。
【0056】
第2実施形態の通信システムは、図1乃至図6を参照して上述したように、第1実施形態と同様に通信装置Aと通信装置BとがCHAP認証を行うものであって、通信装置Aが送信したチャレンジに含まれる乱数と通信装置Bが受信したチャレンジに含まれる乱数が同一の場合には、レスポンスの送信及び認証を行うことを禁止し、再度、生成した乱数を含むチャレンジを他の通信装置Bに送信するものである。
【0057】
図8に示すように、チャレンジの送信は、図2、図3及び図4を用いて説明したものと同様である。通信装置Aが選択した乱数RAを含むチャレンジを通信装置Bに送信し、通信装置Bが選択した乱数RBを含むチャレンジを通信装置Aに送信する。そして、チャレンジを受信した通信装置Aは、当該チャレンジに含まれる乱数RBと、自ら送信した乱数RAとが同一の場合には、再度乱数RAを生成してチャレンジを送信し直す。また、チャレンジを受信した通信装置Bは、当該チャレンジに含まれる乱数RAと、自ら送信した乱数RBとが同一の場合には、再度乱数RBを生成してチャレンジを送信し直す。このように受信したチャレンジに含まれる乱数と、自ら送信した乱数とが同一であることが所定回数、例えば、3回等続いた場合には、相手が不正な通信装置であるとして、通信を切断する。この所定回数は、特に限定されないが、通常、二者が乱数を選択した場合に、当該乱数が一致する可能性は極めて低いことから、上記3回程度が適当である。
【0058】
一方、チャレンジを受信した通信装置Aは、当該チャレンジに含まれるRBと、自ら送信したRAとが同一でない場合には、通常通り、レスポンスを送信し、CHAP認証を行う。また、チャレンジを受信した通信装置Bも、当該チャレンジに含まれるRAと、自ら送信したRBとが同一でない場合には、通常通り、レスポンスを送信し、CHAP認証を行う。
【0059】
なお、ハッシュ値Hの計算の説明や認証については、第1実施形態と同様であるため、省略する。
【0060】
また、通信装置A、Bの構成も、第1実施形態において図5を用いて説明したものとほぼ同様である。しかしながら、通信装置A、Bは、制御部11が本発明の接続切断手段として機能し、チャレンジ送信手段、レスポンス送信手段、認証手段としての制御部11も、以下のように機能する。
【0061】
チャレンジ送信手段としての制御部11は、チャレンジ送信手段により送信した乱数RAと、チャレンジ受信手段により受信した乱数RBと、が同一の場合には、再度、選択した乱数RAを含むチャレンジを他の通信装置Bに送信する。レスポンス送信手段としての制御部11は、チャレンジ送信手段により送信した乱数RAと、チャレンジ受信手段により受信した乱数RBと、が同一の場合には、レスポンスを送信することを禁止し、また、認証手段としての制御部11は、チャレンジ送信手段により送信した乱数RAと、チャレンジ受信手段により受信した乱数RBと、が同一の場合には、認証を行うことを禁止する。
【0062】
さらに、接続切断手段としての制御部11は、チャレンジ送信手段により同一の他の通信装置にチャレンジを所定回数送信し、かつ、チャレンジ送信手段により最後に送信した乱数RAと、チャレンジ受信手段により最後に受信した乱数RBと、が同一の場合に、当該他の通信装置Bとの接続(通信)を切断する。
【0063】
[2.3.動作]
次いで、図9を参照して、第2実施形態の通信システムにおける通信装置AのCHAP認証の動作について説明する。
【0064】
この動作の説明においては、通信装置Aのユーザが入力部21を用いて情報の取得等の指示を入力し、その情報の取得等のためには通信装置Bとの通信及び相互認証が必要であり、図1に示すように通信装置Aと通信装置Bとの接続が確立した後、動作が開始するものとする(スタート)。
【0065】
図9に示すように、通信装置Aにおける動作が開始すると、制御部11は乱数RAを選択して生成し(ステップS11)、乱数RAを含むチャレンジを通信装置Bに送信する(ステップS12)。次いで、制御部11は、乱数RBを含むチャレンジを通信装置Bから受信し、受信したチャレンジのデータを記憶部12に格納する(ステップS13)。
【0066】
次いで、チャレンジ送信手段、レスポンス送信手段及び認証手段としての制御部11は、送信したチャレンジに含まれる乱数RAと受信したチャレンジに含まれる乱数RBとが同一か否かを判断する(ステップS14)。乱数RAと乱数RBとが同一である場合には(ステップS14;YES)、チャレンジ送信手段、レスポンス送信手段及び認証手段としての制御部11は、通信装置Bが悪意を持った装置であり、なりすましを行っている可能性があるとして、ステップS15;NOを経てステップS11に戻る。この際、接続切断手段としての制御部11は、乱数RAと乱数RBとが同一であることが3回続いたか否かを判断する(ステップS15)。乱数RAと乱数RBとが同一であることが3回続いていない場合には(ステップS15;NO)、偶然乱数RAと乱数RBとが同一となった可能性もあることから、ステップS11に戻って同様の動作、ステップS11からS14を繰り返す。一方、このようにステップS11からS14;YESが繰り返されて、乱数RAと乱数RBとが同一であることが3回続いた場合には(ステップS15;YES)、接続切断手段としての制御部11は、通信装置Bを不正な通信装置とみなして承認せず、通信を切断して(ステップS16)、処理を終了する(エンド)。
【0067】
一方、ステップS14において、乱数RAと乱数RBとが同一である場合には(ステップS14;NO)、制御部11は、送信したチャレンジについてのハッシュ値HA1(CA+RA)を計算し(ステップS17)、受信したチャレンジについてのハッシュ値HA2(CA+RB)を計算する(ステップS18)。次いで、制御部11は、計算したハッシュ値HA2を含むレスポンスを送信し(ステップS19)、ハッシュ値HB2を含むレスポンスを受信し、受信したレスポンスのデータを記憶部12に格納する(ステップS20)。
【0068】
次いで、制御部11は、通信装置Bの認証を行う。具体的に、制御部11は、HA1とHB2が同一であるか否かを判断する(ステップS21)。HA1とHB2が同一である場合には(ステップS21;YES)、通信装置Bを承認し、通信装置Bと通信を行うこととし(ステップS22)、処理を終了する(エンド)。ステップS21において、HA1とHB2が同一でない場合には(ステップS21;NO)、通信装置Bを承認せず、通信装置Bとの通信を切断し(ステップS22)、処理を終了する(エンド)。ステップS22を経て動作を終了した場合には、通信装置Aは、通信装置Bから情報を取得する等の本来の目的の動作を行う。
【0069】
なお、第1実施形態の動作について記載したのと同様に、工程順が上述の通りでなくてもよい。
【0070】
第2実施形態の通信システム及び通信装置Aによれば、図7を参照して説明したような不正な通信装置Dによるなりすましを防止し、正規の通信装置のみを承認するよう、認証を行うことができる。
【0071】
[3.第3実施形態]
[3.1.第3実施形態の概要]
第3実施形態の通信システムは、第2実施形態と同様に、図7を参照して説明したような悪意を持ったユーザの通信装置Dによる不正を防止するものである。上述の各実施形態においては、乱数をRとして説明したが、第3実施形態においては、チャレンジに含める情報をRとして説明する。
【0072】
第3実施形態の通信システムにおける認証の流れについて図10を参照して説明する。図10は、第3実施形態の通信システムにおける認証の流れを説明する概略図である。
【0073】
第3実施形態の通信システムは、図1乃至図6を参照して上述したように、第1実施形態と同様に通信装置Aと通信装置BとがCHAP認証を行うものであって、通信装置Aが送信するチャレンジに、乱数と通信装置A自身の識別情報(以下、ID(IDentification)とする。)を含ませることにより、送信したチャレンジに含まれる情報と受信したチャレンジに含まれる情報が同一になることを防止し、仮に同一の場合には、レスポンスの送信及び認証を行うことを禁止し、通信を切断するものである。ここで、本発明の識別情報としてのIDは、各通信装置に固有のものとする。
【0074】
図10に示すように、チャレンジの送信は、通信装置Aが選択した乱数及び通信装置A自身のIDAを組み合わせた情報RAを含むチャレンジを通信装置Bに送信し、通信装置Bが選択した乱数及び通信装置B自身のIDBを組み合わせた情報RBを含むチャレンジを通信装置Aに送信する。
【0075】
そして、チャレンジを受信した通信装置Aは、当該チャレンジに含まれる情報RBと、自ら送信した情報RAとが同一の場合には、レスポンスの送信及び認証を行うことを禁止し、通信装置Bとの通信を切断する。また、チャレンジを受信した通信装置Bは、当該チャレンジに含まれる情報RAと、自ら送信した情報RBとが同一の場合には、レスポンスの送信及び認証を行うことを禁止し、通信装置Aとの通信を切断する。なお、二者が生成した乱数と通信装置に固有の識別情報を組み合わせた情報が一致することは通常あり得ず、一致した場合には、一方の通信装置が受信したチャレンジに含まれる情報をそのまま送信したものと考えられるため、認証をせずに通信を切断することとしている。
【0076】
一方、チャレンジを受信した通信装置Aは、当該チャレンジに含まれる情報RBと、自ら送信した情報RAとが同一でない場合には、通常通り、レスポンスを送信し、CHAP認証を行う。また、チャレンジを受信した通信装置Bも、当該チャレンジに含まれる情報RAと、自ら送信した情報RBとが同一でない場合には、通常通り、レスポンスを送信し、CHAP認証を行う。
【0077】
なお、ハッシュ値の計算の説明や認証については、第1実施形態と同様であるため、省略する。
【0078】
また、通信装置A、Bの構成も、第1実施形態において図5を用いて説明したものとほぼ同様である。しかしながら、通信装置A、Bは、制御部11が本発明の接続切断手段として機能し、チャレンジ送信手段、レスポンス送信手段、認証手段としての制御部11も、以下のように機能する。
【0079】
チャレンジ送信手段としての制御部11は、乱数及び通信装置A自身のIDAを組み合わせた情報RAを含むチャレンジを送信し、レスポンス送信手段としての制御部11は、チャレンジ送信手段により送信した乱数及び通信装置A自身のIDAを組み合わせた情報RAと、チャレンジ受信手段により受信した乱数及び他の通信装置BのIDBを組み合わせた情報RBと、が同一の場合には、レスポンスを送信することを禁止し、認証手段としての制御部11は、チャレンジ送信手段により送信した乱数及び通信装置A自身のIDAを組み合わせた情報RAと、チャレンジ受信手段により受信した乱数及び他の通信装置BのIDBを組み合わせた情報RBと、が同一の場合には、認証を行うことを禁止する。
【0080】
さらに、接続切断手段としての制御部11は、チャレンジ送信手段により送信した乱数及び通信装置A自身のIDAを組み合わせた情報RAと、チャレンジ受信手段により受信した乱数及び他の通信装置BのIDBを組み合わせた情報RBと、が同一の場合には、当該他の通信装置Bとの接続(通信)を切断する。
【0081】
[3.2.動作]
次いで、図11を参照して、第3実施形態の通信システムにおける通信装置AのCHAP認証の動作について説明する。
【0082】
この動作の説明においては、通信装置Aのユーザが入力部21を用いて情報の取得等の指示を入力し、その情報の取得等のためには通信装置Bとの通信及び相互認証が必要であり、図1に示すように通信装置Aと通信装置Bとの接続が確立した後、動作が開始するものとする(スタート)。
【0083】
図11に示すように、通信装置Aにおける動作が開始すると、チャレンジ送信手段としての制御部11は乱数を選択し、当該乱数と通信装置A自身のIDAを組み合わせた情報RAを生成し(ステップS31)、情報RAを含むチャレンジを通信装置Bに送信する(ステップS32)。次いで、制御部11は、情報RBを含むチャレンジを通信装置Bから受信し、受信したチャレンジのデータを記憶部12に格納する(ステップS33)。
【0084】
次いで、レスポンス送信手段、認証手段及び接続切断手段としての制御部11は、送信したチャレンジに含まれる情報RAと受信したチャレンジに含まれる情報RBとが同一か否かを判断する(ステップS34)。乱数RAと乱数RBとが同一である場合には(ステップS34;YES)、レスポンス送信手段、認証手段及び接続切断手段としての制御部11は、通信装置Bがなりすましを行っている不正な通信装置であるとみなして承認せず、通信を切断して(ステップS35)、処理を終了する(エンド)。
【0085】
一方、ステップS34において、情報RAと情報RBとが同一である場合には(ステップS34;NO)、制御部11は、送信したチャレンジについてのハッシュ値HA1(CA+RA)を計算し(ステップS36)、受信したチャレンジについてのハッシュ値HA2(CA+RB)を計算する(ステップS37)。次いで、制御部11は、計算したハッシュ値HA2を含むレスポンスを送信し(ステップS38)、ハッシュ値HB2を含むレスポンスを受信し、受信したレスポンスのデータを記憶部12に格納する(ステップS39)。
【0086】
次いで、制御部11は、通信装置Bの認証を行う。具体的に、制御部11は、HA1とHB2が同一であるか否かを判断する(ステップS40)。HA1とHB2が同一である場合には(ステップS40;YES)、通信装置Bを承認し、通信装置Bと通信を行うこととし(ステップS41)、処理を終了する(エンド)。ステップS40において、HA1とHB2が同一でない場合には(ステップS40;NO)、通信装置Bを承認せず、通信装置Bとの通信を切断し(ステップS42)、処理を終了する(エンド)。ステップS41を経て動作を終了した場合には、通信装置Aは、通信装置Bから情報を取得する等の本来の目的の動作を行う。
【0087】
なお、第1実施形態の動作について記載したのと同様に、工程順が上述の通りでなくてもよい。
【0088】
第3実施形態の通信システム及び通信装置Aによれば、図7を参照して説明したような不正な通信装置Dによるなりすましを防止し、正規の通信装置のみを承認するよう、認証を行うことができる。
【0089】
[4.その他]
本発明の各例として上述の各実施形態を説明したが、本発明はこれに限定されない。本発明の通信システムや通信装置は、ピアツーピア型の通信方式における相互認証に適しているが、これに限定されず、他の通信方式における相互認証に用いてもよい。上述の各実施形態の通信装置A又は通信装置Bの各動作に対応するプログラムをフレキシブルディスク又はハードディスク等の情報記録媒体に記録しておき、或いはインターネット等のネットワークを介して取得して記録しておき、これをマイクロコンピュータ等により読み出して実行することにより、当該マイクロコンピュータを各実施形態に係る制御部11等として機能させることも可能である。
【図面の簡単な説明】
【0090】
【図1】二つの通信装置が認証を行う前段階において、通信を確立する態様を説明する図である。
【図2】CHAP認証の基本的な流れを示す図である。
【図3】二つの通信装置がCHAP認証を相互に行う態様を示す図である。
【図4】第1実施形態の通信システムにおける認証の流れを説明する概略図である。
【図5】通信装置Aの概要構成例を示す図である。
【図6】第1実施形態の通信装置AにおけるCHAP認証の動作を示すフローチャートである。
【図7】不正な通信装置によるCHAP認証のなりすましの例を説明する図である。
【図8】第2実施形態の通信システムにおける認証の流れを説明する概略図である。
【図9】第2実施形態の通信装置AにおけるCHAP認証の動作を示すフローチャートである。
【図10】第3実施形態の通信システムにおける認証の流れを説明する概略図である。
【図11】第3実施形態の通信装置AにおけるCHAP認証の動作を示すフローチャートである。
【符号の説明】
【0091】
11 制御部
12 記憶部
13 バッファメモリ
14 デコーダ部
15 映像処理部
16 表示部
17 音声処理部
18 スピーカ
20 通信部
21 入力部
22 バス
30 ネットワーク
A、B、D 通信装置
【技術分野】
【0001】
本発明は、他の通信装置と通信経路を介して通信を行う際に互いに認証を行い、かつ、当該他の通信装置と共通に有する共通情報を保存している通信装置が含まれる通信システム及び方法等の技術分野に関する。
【背景技術】
【0002】
二つの装置間で通信経路を介して通信を行う際に、情報の漏洩を防止するセキュリティの観点から、認証を行う場合がある。認証方法の一つとして、共通鍵を用いたCHAP(Challenge Handshake Authentication Protocol)認証が知られている。
【0003】
CHAP認証を用いた認証方法として、特許文献1には、システム側機器とユーザ側機器との間で、共通鍵暗号アルゴリズム利用のチャレンジレスポンスにより行われる機器認証及び暗号通信システムが開示されている。
【特許文献1】特開2000−138674号公報
【発明の開示】
【発明が解決しようとする課題】
【0004】
近年、サーバ−クライアント型の通信方式の他に、通信手段を介して互いに接続された複数の通信装置によるピアツーピア(Peer to Peer(P2P))型の通信方式が注目されている。ピアツーピア型の通信方式においては、通信や情報の授受を行う際、セキュリティ上、通信装置同士が相互に認証を行うことが適切である。
【0005】
相互に行うCHAP認証においては、通常、図3に示すように、先に一方の通信装置Aが他方の通信装置Bにチャレンジを送信し、レスポンスを受信し、その後に認証を行って通信装置Aが通信装置Bを承認する。その後、逆に他方の通信装置Bが通信装置Aにチャレンジを送信し、レスポンスを受信し、その後に認証を行うことにより通信装置Aを承認する。
【0006】
本発明は、共通鍵(共通情報)を用いて相互に行うCHAP認証の新たな手法を提案するものであって、これに適した通信システム、通信装置及び方法等を提供することを目的とする。
【課題を解決するための手段】
【0007】
上記課題を解決するために、請求項1に記載の発明は、他の通信装置と通信経路を介して通信を行う際に互いに認証を行い、かつ、当該他の通信装置と共通に有する共通情報を保存している通信装置が含まれる通信システムであって、第1の通信装置と第2の通信装置とが通信を行う際に、当該第1の通信装置と当該第2の通信装置との接続が確立した後に、前記第1の通信装置が選択した乱数情報を含むチャレンジを前記第2の通信装置に送信する第1チャレンジ送信手段と、前記第2の通信装置が選択した乱数情報を含むチャレンジを前記第1の通信装置に送信する第2チャレンジ送信手段と、前記第2の通信装置が前記第2チャレンジ送信手段により前記第1の通信装置にチャレンジを送信した後に、前記第2の通信装置が受信した前記チャレンジに対して当該第1の通信装置との前記共通情報及び受信した前記乱数情報を変換して得られる変換情報を含むレスポンスを送信する第2レスポンス送信手段と、前記第1の通信装置が前記第1チャレンジ送信手段により前記第2の通信装置にチャレンジを送信した後に、前記第1の通信装置が受信した前記チャレンジに対して前記第2の通信装置との前記共通情報及び受信した前記乱数情報を変換して得られる変換情報を含むレスポンスを送信する第1レスポンス送信手段と、前記第1の通信装置が受信した前記変換情報を用いて当該第2の通信装置との認証を行う第1認証手段と、前記第2の通信装置が受信した前記変換情報を用いて当該第1の通信装置との認証を行う第2認証手段と、を有することを特徴とする。
【0008】
これによれば、通信システムが上記第2の通信装置の第2レスポンス送信手段と、上記第1の通信装置の第1レスポンス送信手段と、を有することにより、相互に行う新たなCHAP認証手法を提供することができ、また、第1の通信装置と第2の通信装置とが並行してCHAP認証を行うことになるため、互いに認証を早く行うことができ、その後の通信を速やかに行うことができる。
【0009】
上記課題を解決するために、請求項2に記載の発明は、他の通信装置と通信経路を介して通信を行う際に互いに認証を行い、かつ、当該他の通信装置と共通に有する共通情報を保存している通信装置が含まれる通信システムにおける認証方法であって、第1の通信装置と第2の通信装置とが通信を行う際に、当該第1の通信装置と当該第2の通信装置との接続が確立した後に、前記第1の通信装置が選択した乱数情報を含むチャレンジを前記第2の通信装置に送信する工程と、前記第2の通信装置が選択した乱数情報を含むチャレンジを前記第1の通信装置に送信する工程と、前記第2の通信装置が前記第1の通信装置にチャレンジを送信した後に、前記第2の通信装置が受信した前記チャレンジに対して当該第1の通信装置との前記共通情報及び受信した前記乱数情報を変換して得られる変換情報を含むレスポンスを送信する工程と、前記第1の通信装置が前記第2の通信装置にチャレンジを送信した後に、前記第1の通信装置が受信した前記チャレンジに対して前記第2の通信装置との前記共通情報及び受信した前記乱数情報を変換して得られる変換情報を含むレスポンスを送信する工程と、前記第1の通信装置が受信した前記変換情報を用いて当該第2の通信装置との認証を行う工程と、前記第2の通信装置が受信した前記変換情報を用いて当該第1の通信装置との認証を行う工程と、を有することを特徴とする。
【0010】
上記課題を解決するために、請求項3に記載の発明は、他の通信装置と通信経路を介して通信を行う際に互いに認証を行い、かつ、当該他の通信装置と共通に有する共通情報を保存している通信装置であって、他の通信装置と通信を行う際に、当該他の通信装置との接続が確立した後、選択した乱数情報を含むチャレンジを前記他の通信装置に送信するチャレンジ送信手段と、前記他の通信装置から乱数情報を含むチャレンジを受信するチャレンジ受信手段と、前記チャレンジ送信手段によりチャレンジを送信した後に、受信したチャレンジに対して当該他の通信装置との前記共通情報及び受信した前記乱数情報を変換して得られる変換情報を含むレスポンスを送信するレスポンス送信手段と、前記チャレンジ受信手段によりチャレンジを受信した後に、前記他の通信装置から変換情報を含むレスポンスを受信するレスポンス受信手段と、受信した前記変換情報を用いて当該他の通信装置との認証を行う認証手段と、を有することを特徴とする。
【0011】
これによれば、通信装置が上記レスポンス送信手段と、上記レスポンス受信手段と、を有することにより、相互に行う新たなCHAP認証手法を提供することができ、また、この通信装置と他の通信装置とが並行してCHAP認証を行うことになるため、互いに認証を早く行うことができ、その後の通信を速やかに行うことができる。
【0012】
上記課題を解決するために、請求項4に記載の発明は、請求項3に記載の通信装置であって、前記チャレンジ送信手段は、前記チャレンジ送信手段により送信した前記乱数情報と、前記チャレンジ受信手段により受信した前記乱数情報と、が同一の場合には、再度、選択した乱数情報を含むチャレンジを前記他の通信装置に送信し、前記レスポンス送信手段は、前記チャレンジ送信手段により送信した前記乱数情報と、前記チャレンジ受信手段により受信した前記乱数情報と、が同一の場合には、レスポンスを送信することを禁止し、前記認証手段は、前記チャレンジ送信手段により送信した前記乱数情報と、前記チャレンジ受信手段により受信した前記乱数情報と、が同一の場合には、認証を行うことを禁止することを特徴とする。
【0013】
これによれば、乱数情報が同一の場合には、レスポンスの送信や認証を禁止することにより、悪意のあるユーザの通信装置が、なりすましを行うことを防止できる。すなわち、悪意のあるユーザの通信装置が、相手の通信装置から受信したチャレンジの乱数情報を含めてチャレンジを送信し、そのレスポンスに含まれる変換情報を、自らもレスポンスに含ませて相手に送信することにより、相手において認証が成功し、なりすましが可能になってしまう。この発明によれば、自ら送信した乱数情報と、受信した乱数情報とが同一の場合には、再度チャレンジを送信し直すため、上述の手法で他の通信装置がなりすましを行った場合に、通信を行わないように制御できる。
【0014】
上記課題を解決するために、請求項5に記載の発明は、請求項4に記載の通信装置であって、前記チャレンジ送信手段により同一の他の通信装置にチャレンジを所定回数送信し、かつ、前記チャレンジ送信手段により最後に送信した前記乱数情報と、前記チャレンジ受信手段により最後に受信した前記乱数情報と、が同一の場合に、当該他の通信装置との接続を切断する接続切断手段を有することを特徴とする。
【0015】
これによれば、所定回数(例えば、3回等)自己が送信した乱数情報と同じ乱数情報を受信した場合には、相手を悪意のあるユーザの通信装置であるとみなして接続を切断し、通信を行うことを中止することができる。
【0016】
上記課題を解決するために、請求項6に記載の発明は、請求項3乃至5のいずれか一項に記載の通信装置であって、前記チャレンジ送信手段は、前記乱数情報及び前記通信装置自身の識別情報を組み合わせた情報を含むチャレンジを送信し、前記レスポンス送信手段は、前記チャレンジ送信手段により送信した前記乱数情報及び前記通信装置自身の識別情報を組み合わせた情報と、前記チャレンジ受信手段により受信した前記乱数情報及び前記他の通信装置の識別情報を組み合わせた情報と、が同一の場合には、レスポンスを送信することを禁止し、前記認証手段は、前記チャレンジ送信手段により送信した前記乱数情報及び前記通信装置自身の識別情報を組み合わせた情報と、前記チャレンジ受信手段により受信した前記乱数情報及び前記他の通信装置の識別情報を組み合わせた情報と、が同一の場合には、認証を行うことを禁止することを特徴とする。
【0017】
これによれば、チャレンジに通信装置自身の識別情報を含ませることにより、互いにチャレンジが同一の情報を含むことを防止できる。そして、チャレンジ送信手段により送信した乱数情報及び通信装置自身の識別情報を組み合わせた情報と、チャレンジ受信手段により受信した乱数情報及び他の通信装置の識別情報を組み合わせた情報と、が同一の場合には、レスポンスの送信や認証を禁止することにより、悪意のあるユーザの通信装置が、相手の通信装置のチャレンジの情報を利用してなりすましを行うことを防止できる。
【0018】
上記課題を解決するために、請求項7に記載の発明は、請求項6に記載の通信装置であって、前記チャレンジ送信手段により送信した前記乱数情報及び前記通信装置自身の識別情報を組み合わせた情報と、前記チャレンジ受信手段により受信した前記乱数情報及び前記他の通信装置の識別情報を組み合わせた情報と、が同一の場合には、当該他の通信装置との接続を切断する接続切断手段を有することを特徴とする。
【0019】
これによれば、チャレンジ送信手段により送信した乱数情報及び通信装置自身の識別情報を組み合わせた情報と、チャレンジ受信手段により受信した乱数情報及び他の通信装置の識別情報を組み合わせた情報と、が同一の場合には、相手を悪意のあるユーザの通信装置であるとみなして接続を切断し、通信を行うことを中止することができる。
【0020】
上記課題を解決するために、請求項8に記載の発明は、コンピュータを請求項3乃至7に記載の通信装置として機能させることを特徴とする情報処理プログラムである。
【0021】
上記課題を解決するために、請求項9に記載の発明は、他の通信装置と通信経路を介して通信を行う際に互いに認証を行い、かつ、当該他の通信装置と共通に有する共通情報を保存している通信装置における認証方法であって、他の通信装置と通信を行う際に、当該他の通信装置との接続が確立した後、選択した乱数情報を含むチャレンジを前記他の通信装置に送信する工程と、前記他の通信装置から乱数情報を含むチャレンジを受信する工程と、前記チャレンジを送信した後に、前記受信したチャレンジに対して当該他の通信装置との前記共通情報及び受信した前記乱数情報を変換して得られる変換情報を含むレスポンスを送信する工程と、前記チャレンジを受信した後に、前記他の通信装置から変換情報を含むレスポンスを受信する工程と、受信した前記変換情報を用いて当該他の通信装置との認証を行う工程と、を有することを特徴とする。
【発明の効果】
【0022】
本発明によれば、共通鍵(共通情報)を用いて相互に行うCHAP認証の新たな手法を提供でき、かつ、各通信装置間における互いの認証を早く行うことができる。
【発明を実施するための最良の形態】
【0023】
以下、本発明の最良の実施形態を図面に基づいて説明する。以下に説明する実施の形態は、本発明の通信システムに含まれる第1の通信装置としての通信装置A及び第2の通信装置としての通信装置Bを用いて説明したものである。また、本発明の共通情報を共通鍵C、乱数情報を乱数R、変換情報をハッシュ値H、識別情報をID(IDentification)として説明する。なお、本発明の通信システム等の各発明は、以下に説明する実施形態に限定されず、本発明の技術思想の範囲内で適宜変更して実施される。
【0024】
[1.第1実施形態]
[1.1.第1実施形態の概要]
第1実施形態の通信システムについて説明する前提として、図1乃至図3を参照してCHAP認証の基本的な流れについて説明する。なお、図1は、二つの通信装置が認証を行う前段階において、通信を確立する態様を説明する図である。図2は、CHAP認証の基本的な流れを示す図であり、図3は、二つの通信装置がCHAP認証を相互に行う態様を示す図である。
【0025】
図1に示すように、二つの通信装置A、Bが通信を行う場合には、まず、通信装置Aと通信装置Bとの接続を確立させる。具体的に、通信装置Aから通信を始める場合には、通常のTCPプロトコルにおいて、まず、通信装置Aが通信装置BへSYNパケット(通信を確立するための信号)を送信する。当該SYNパケットを通信装置Bが受信すると、通信装置Bはパッシブ・オープン処理を開始して、受信確認(ACK)と通信装置AへのSYNのパケットを送信する。当該ACK/SYNパケットを通信装置Aが受信すると、通信装置Aは受信確認(ACK)のパケットを通信装置Bに送信して、オープン処理が完了(ESTABLISHED)して接続が確立される。次いで、CHAP認証が開始されることとなる。
【0026】
また、図2に示すように、互いにCHAP認証を行う通信装置A、Bは、他の通信装置に対して秘密であり、両装置において共通の情報である共通鍵CA、CBをそれぞれ保有している。そして、先にチャレンジを送信する通信装置Aは、乱数Rを生成し、当該乱数Rを含むチャレンジを通信装置Bに送信する。
【0027】
チャレンジを送信した通信装置Aと、チャレンジを受信した通信装置Bと、はそれぞれ、共通鍵CA、CBと乱数Rについて、公知の手法でハッシュ値Hを計算する。具体的に、チャレンジを送信した通信装置Aは、共通鍵CAと乱数Rについてのハッシュ値HAを計算し、チャレンジを受信した通信装置Bは、共通鍵CBとチャレンジに含まれる乱数Rについてのハッシュ値HBを計算する。そして、通信装置Bは、計算したハッシュ値HBを含むレスポンスを通信装置Aに送信する。
【0028】
このとき、通信装置Aが、自身で計算したハッシュ値HAと受信したレスポンスに含まれるハッシュ値HBとの同一性を判断することにより、認証を行う。ハッシュ値HAとハッシュ値HBとが同一であれば、通信装置Aの共通鍵CAと通信装置Bの共通鍵CBとが同一であると判断されるため、通信装置Aは、通信装置Bを承認する。
【0029】
図3に示すように、図2を用いて説明した通信装置AによるCHAP認証の後、当該CHAP認証の通信装置Aと通信装置Bとの処理を逆転させて、通信装置Bから通信装置Aにチャレンジを送信して認証処理を行うことにより、通信装置Bが通信装置Aを承認し、その後、本来の通信が行われる。以上が相互に行うCHAP認証の基本的な流れである。
【0030】
次いで、第1実施形態の通信システムにおける認証の流れについて図4を参照して説明する。図4は、第1実施形態の通信システムにおける認証の流れを説明する概略図である。
【0031】
第1実施形態の通信システムは、図1を参照して上述したように、通信装置Aと通信装置Bとが通信を行う際に、まず、当該通信装置Aと当該通信装置Bとの接続を確立させ、その後、認証のためのチャレンジ・レスポンスの送受信を行う。
【0032】
チャレンジの送信は、図2及び図3を用いて説明したものと同様である。通信装置Aが選択した乱数RAを含むチャレンジを通信装置Bに送信し、また、通信装置Bが選択した乱数RBを含むチャレンジを通信装置Aに送信する。
【0033】
そして、レスポンスの送信について、通信装置Bは、通信装置Aに上記チャレンジを送信した後に、通信装置Bが受信したチャレンジに対して当該通信装置Aとの共通鍵CB及び受信した乱数RAを変換して得られるハッシュ値HB2を含むレスポンスを送信する。また、通信装置Aは、通信装置Bに上記チャレンジを送信した後に、通信装置Aが受信したチャレンジに対して通信装置Bとの共通鍵CA及び受信した乱数RBを変換して得られるハッシュ値HA2を含むレスポンスを送信する。
【0034】
次いで、通信装置Aが受信したハッシュ値HB2を用いて当該通信装置Bとの認証を行い、また、通信装置Bが受信したハッシュ値HA2を用いて当該通信装置Aとの認証を行う。このとき、通信装置Aは、送信したチャレンジに含まれる乱数RA及び通信装置Bとの共通鍵CAを変換して得られるハッシュ値HA1と、上記受信したハッシュ値HB2との同一性を判断する。また、通信装置Bは、送信したチャレンジに含まれる乱数RB及び通信装置Aとの共通鍵CBを変換して得られるハッシュ値HB1と、上記受信したハッシュ値HA2との同一性を判断する。
【0035】
上記通信システムにおける流れを通信装置Aを主体として言い換えると、他の通信装置Bと通信を行う際に、当該他の通信装置Bとの接続が確立した後、選択した乱数RAを含むチャレンジを他の通信装置Bに送信し、他の通信装置Bから乱数RBを含むチャレンジを受信する。通信装置Aは、チャレンジを送信した後に、受信したチャレンジに対して当該他の通信装置Bとの共通鍵CA及び受信した乱数RBを変換して得られるハッシュ値HA2を含むレスポンスを送信し、チャレンジを受信した後に、他の通信装置Bからハッシュ値HB2を含むレスポンスを受信し、受信したハッシュ値HB2を用いて当該他の通信装置Bとの認証を行う。
【0036】
このように、本実施形態の通信システム、通信装置A、Bにおいては、図4に示すように、通信装置A、Bによるチャレンジ・レスポンスが互いに並行して送受信されることとなる。
【0037】
[1.2.通信装置の構成等]
次に、図5を参照して、通信システムに含まれる通信装置A、B等の通信装置の構成および機能について説明する。尚、各通信装置の構成は同じであり、図5は、通信装置Aの概要構成例を示す図である。
【0038】
通信装置Aは、図5に示すように、演算機能を有するCPU,作業用RAM,各種データおよびプログラムを記憶するROM等から構成されたコンピュータとしての制御部11と、共通鍵CA、受信したチャレンジに含まれる乱数RB、受信したレスポンスに含まれるハッシュ値HB2、コンテンツデータおよびプログラム等を記憶保存(格納)するためのHD等から構成された記憶部12(コンテンツデータ等は、保存されていないノード装置1もある)と、受信したチャレンジに含まれる乱数RB、受信したレスポンスに含まれるハッシュ値HB2等を一時蓄積するバッファメモリ13と、コンテンツデータに含まれるエンコードされたビデオデータ(映像情報)およびオーディオデータ(音声情報)等をデコード(データ伸張や復号化等)するデコーダ部14と、当該デコードされたビデオデータ等に対して所定の描画処理を施しビデオ信号として出力する映像処理部15と、当該映像処理部15から出力されたビデオ信号に基づき映像表示するCRT,液晶ディスプレイ等の表示部16と、上記デコードされたオーディオデータをアナログオーディオ信号にD(Digital)/A(Analog)変換した後これをアンプにより増幅して出力する音声処理部17と、当該音声処理部17から出力されたオーディオ信号を音波として出力するスピーカ18と、ネットワーク30を通じて他の通信装置B等との間の情報の通信制御を行うための通信部20と、ユーザからの指示を受け付け当該指示に応じた指示信号を制御部11に対して与える入力部(例えば、キーボード、マウス、或いは、操作パネル等)21と、を備えて構成され、制御部11、記憶部12、バッファメモリ13、デコーダ部14および通信部20はバス22を介して相互に接続されている。
【0039】
そして、制御部11におけるCPUが記憶部12等に記憶された各種プログラムを実行することにより、通信装置A全体を統括制御するようになっており、また、入力部21からの指示信号に応じて、他の通信装置等と通信処理、認証処理等を行うようになっている。通信装置Aは、実行されるプログラムに応じて、各情報を受信、送信(転送)する。また、通信装置Aの制御部11は、本発明の第1チャレンジ送信手段、第2チャレンジ送信手段、チャレンジ送信手段、チャレンジ受信手段、第1レスポンス送信手段、第2レスポンス送信手段、レスポンス送信手段、レスポンス受信手段、第1認証手段、第2認証手段、認証手段として機能する。
【0040】
第1チャレンジ送信手段、第2チャレンジ送信手段又はチャレンジ送信手段としての制御部11は、通信装置A自身が選択した乱数RAを含むチャレンジを他の通信装置Bに送信する。チャレンジ受信手段としての制御部11は、他の通信装置Bから乱数RBを含むチャレンジを受信する。
【0041】
第1レスポンス送信手段、第2レスポンス送信手段又はレスポンス送信手段としての制御部11は、上記第1チャレンジ送信手段、第2チャレンジ送信手段又はチャレンジ送信手段によりチャレンジを送信した後に、受信したチャレンジに対して当該他の通信装置Bとの共通鍵CA及び受信した乱数RBを変換して得られるハッシュ値HA2を含むレスポンスを送信する。
【0042】
レスポンス受信手段としての制御部11は、上記チャレンジ受信手段によりチャレンジを受信した後に、他の通信装置Bからハッシュ値HB2を含むレスポンスを受信する。通信装置Aの制御部11が他の通信装置Bからチャレンジを受信した後に、他の通信装置Bからハッシュ値HB2を含むレスポンスを受信するためには、レスポンスを先に受信して当該レスポンスの情報をバッファメモリ13に記憶していた場合であっても、当該レスポンスの情報を参照せず、チャレンジを受信し、当該チャレンジの情報を参照した後にレスポンスの情報を参照するように制御する。
【0043】
第1認証手段、第2認証手段又は認証手段としての制御部11は、受信したハッシュ値HB2を用いて他の通信装置Bとの認証を行う。具体的に、制御部11は、送信したチャレンジに含まれる乱数RA及び通信装置Bとの共通鍵CAを変換して得られるハッシュ値HA1と、上記受信したハッシュ値HB2との同一性を判断することにより認証を行い、ハッシュ値HA1と、ハッシュ値HB2と、が同一の場合には、相手の通信装置Bを承認してその後の通信を行い、当該ハッシュ値が同一でない場合には、相手の通信装置Bを承認せず、当該通信装置Bとの通信(接続)を切断する。
【0044】
[1.3.動作]
次いで、図6を参照して、第1実施形態の通信システムにおける通信装置AのCHAP認証の動作について説明する。
【0045】
この動作の説明においては、通信装置Aのユーザが入力部21を用いて情報の取得等の指示を入力し、その情報の取得等のためには通信装置Bとの通信及び相互認証が必要であり、図1に示すように通信装置Aと通信装置Bとの接続が確立した後、動作が開始するものとする(スタート)。
【0046】
図6に示すように、通信装置Aにおける動作が開始すると、チャレンジ送信手段又は第1チャレンジ送信手段としての制御部11は乱数RAを選択して生成し(ステップS1)、乱数RAを含むチャレンジを通信装置Bに送信する(ステップS2)。次いで、チャレンジ受信手段としての制御部11は、乱数RBを含むチャレンジを通信装置Bから受信し、受信したチャレンジのデータを記憶部12に格納する(ステップS3)。
【0047】
次いで、制御部11は、送信したチャレンジについてのハッシュ値HA1(CA+RA)を計算し(ステップS4)、受信したチャレンジについてのハッシュ値HA2(CA+RB)を計算する(ステップS5)。次いで、レスポンス送信手段又は第1レスポンス送信手段としての制御部11は、計算したハッシュ値HA2を含むレスポンスを送信し(ステップS6)、レスポンス受信手段としての制御部11は、ハッシュ値HB2を含むレスポンスを受信し、受信したレスポンスのデータを記憶部12に格納する(ステップS7)。
【0048】
次いで、認証手段又は第1認証手段としての制御部11は、通信装置Bの認証を行う。具体的に、制御部11は、HA1とHB2が同一であるか否かを判断する(ステップS8)。HA1とHB2が同一である場合には(ステップS8;YES)、通信装置Bを承認し、通信装置Bと通信を行うこととし(ステップS9)、処理を終了する(エンド)。ステップS8において、HA1とHB2が同一でない場合には(ステップS8;NO)、通信装置Bを承認せず、通信装置Bとの通信を切断し(ステップS10)、処理を終了する(エンド)。ステップS9を経て動作を終了した場合には、通信装置Aは、通信装置Bから情報を取得する等の本来の目的の動作を行う。
【0049】
なお、本実施形態においては、チャレンジを送信した(ステップS2)後にレスポンスを送信すること(ステップS6)、チャレンジを受信した(ステップS3)後にレスポンスを送信すること(ステップS6)、チャレンジを受信した(ステップS3)後にレスポンスを受信すること(ステップS7)、のように各順序がなっており、その後認証が行われれば(ステップS8)、他の順序は上述の通りでなくてもよい。
【0050】
ここで、図3に示すように、従来は、一方の通信装置Aがチャレンジ送信、レスポンス受信によるCHAP認証を行い、その後、他方の通信装置Bがチャレンジ送信、レスポンス受信によるCHAP認証を行っていた。そのため、確実に一方のCHAP認証が終わるまで他方のCHAP認証を始めることができず、CHAP認証に時間がかかる場合があったが、上述の本実施形態の通信システム、通信装置A、Bによれば、図4に示すように、二つの通信装置A、BにおけるCHAP認証が並行して行われることになるため、早くCHAP認証を完了し、速やかにその後の通信を行うことができる。
【0051】
[2.第2実施形態]
[2.1.第2実施形態の前提]
第1実施形態の通信システムにおいては、認証処理を早く行うことができるという利点があるが、図7に示すように、悪意を持った不正な通信装置によりなりすましが可能となってしまう場合がある。図7は、不正な通信装置によるCHAP認証のなりすましの例を説明する図である。このような例を、通信装置Aが正規の通信装置であり、通信装置Dが不正な通信装置であるとして、図7を参照して説明する。
【0052】
通信装置Aが通常通り、通信の確立後に乱数RAを生成し、当該乱数RAを含めてチャレンジを通信装置Dに送信すると、悪意を持ったユーザの通信装置Dは、受信したチャレンジに含まれる乱数RAをそのまま乱数RDとしてチャレンジに含めて通信装置Aに送信することができる。そして、このチャレンジに対して、通信装置Aが通常通り、通信装置Dとの共通鍵CA及び受信した乱数RDを変換して得られるハッシュ値HA2を含むレスポンスを送信する。すると、悪意を持ったユーザの通信装置Dは、受信したHA2をそのままHD2としてレスポンスに含めて送信ができることとなる。
【0053】
このとき、通信装置Aも通信装置Dとの共通鍵CA及び送信した乱数RAを変換して得られるハッシュ値HA1を得ている。このハッシュ値HA1と、受信したレスポンスに含まれるHD2とが同一であり、CA=CDと考えられるため、通信装置Aは、通信装置Dを正規の通信装置と誤って承認してしまうおそれがある。そうすると、悪意を持ったユーザの通信装置Dは、正規の通信装置になりすますことが可能となってしまう。
【0054】
そこで、このような悪意を持ったユーザの通信装置Dが上述のような不正を行うことを防止するために、第2実施形態の通信システムを提供する。
【0055】
[2.2.第2実施形態の概要]
第2実施形態の通信システムにおける認証の流れについて図8を参照して説明する。図8は、第2実施形態の通信システムにおける認証の流れを説明する概略図である。
【0056】
第2実施形態の通信システムは、図1乃至図6を参照して上述したように、第1実施形態と同様に通信装置Aと通信装置BとがCHAP認証を行うものであって、通信装置Aが送信したチャレンジに含まれる乱数と通信装置Bが受信したチャレンジに含まれる乱数が同一の場合には、レスポンスの送信及び認証を行うことを禁止し、再度、生成した乱数を含むチャレンジを他の通信装置Bに送信するものである。
【0057】
図8に示すように、チャレンジの送信は、図2、図3及び図4を用いて説明したものと同様である。通信装置Aが選択した乱数RAを含むチャレンジを通信装置Bに送信し、通信装置Bが選択した乱数RBを含むチャレンジを通信装置Aに送信する。そして、チャレンジを受信した通信装置Aは、当該チャレンジに含まれる乱数RBと、自ら送信した乱数RAとが同一の場合には、再度乱数RAを生成してチャレンジを送信し直す。また、チャレンジを受信した通信装置Bは、当該チャレンジに含まれる乱数RAと、自ら送信した乱数RBとが同一の場合には、再度乱数RBを生成してチャレンジを送信し直す。このように受信したチャレンジに含まれる乱数と、自ら送信した乱数とが同一であることが所定回数、例えば、3回等続いた場合には、相手が不正な通信装置であるとして、通信を切断する。この所定回数は、特に限定されないが、通常、二者が乱数を選択した場合に、当該乱数が一致する可能性は極めて低いことから、上記3回程度が適当である。
【0058】
一方、チャレンジを受信した通信装置Aは、当該チャレンジに含まれるRBと、自ら送信したRAとが同一でない場合には、通常通り、レスポンスを送信し、CHAP認証を行う。また、チャレンジを受信した通信装置Bも、当該チャレンジに含まれるRAと、自ら送信したRBとが同一でない場合には、通常通り、レスポンスを送信し、CHAP認証を行う。
【0059】
なお、ハッシュ値Hの計算の説明や認証については、第1実施形態と同様であるため、省略する。
【0060】
また、通信装置A、Bの構成も、第1実施形態において図5を用いて説明したものとほぼ同様である。しかしながら、通信装置A、Bは、制御部11が本発明の接続切断手段として機能し、チャレンジ送信手段、レスポンス送信手段、認証手段としての制御部11も、以下のように機能する。
【0061】
チャレンジ送信手段としての制御部11は、チャレンジ送信手段により送信した乱数RAと、チャレンジ受信手段により受信した乱数RBと、が同一の場合には、再度、選択した乱数RAを含むチャレンジを他の通信装置Bに送信する。レスポンス送信手段としての制御部11は、チャレンジ送信手段により送信した乱数RAと、チャレンジ受信手段により受信した乱数RBと、が同一の場合には、レスポンスを送信することを禁止し、また、認証手段としての制御部11は、チャレンジ送信手段により送信した乱数RAと、チャレンジ受信手段により受信した乱数RBと、が同一の場合には、認証を行うことを禁止する。
【0062】
さらに、接続切断手段としての制御部11は、チャレンジ送信手段により同一の他の通信装置にチャレンジを所定回数送信し、かつ、チャレンジ送信手段により最後に送信した乱数RAと、チャレンジ受信手段により最後に受信した乱数RBと、が同一の場合に、当該他の通信装置Bとの接続(通信)を切断する。
【0063】
[2.3.動作]
次いで、図9を参照して、第2実施形態の通信システムにおける通信装置AのCHAP認証の動作について説明する。
【0064】
この動作の説明においては、通信装置Aのユーザが入力部21を用いて情報の取得等の指示を入力し、その情報の取得等のためには通信装置Bとの通信及び相互認証が必要であり、図1に示すように通信装置Aと通信装置Bとの接続が確立した後、動作が開始するものとする(スタート)。
【0065】
図9に示すように、通信装置Aにおける動作が開始すると、制御部11は乱数RAを選択して生成し(ステップS11)、乱数RAを含むチャレンジを通信装置Bに送信する(ステップS12)。次いで、制御部11は、乱数RBを含むチャレンジを通信装置Bから受信し、受信したチャレンジのデータを記憶部12に格納する(ステップS13)。
【0066】
次いで、チャレンジ送信手段、レスポンス送信手段及び認証手段としての制御部11は、送信したチャレンジに含まれる乱数RAと受信したチャレンジに含まれる乱数RBとが同一か否かを判断する(ステップS14)。乱数RAと乱数RBとが同一である場合には(ステップS14;YES)、チャレンジ送信手段、レスポンス送信手段及び認証手段としての制御部11は、通信装置Bが悪意を持った装置であり、なりすましを行っている可能性があるとして、ステップS15;NOを経てステップS11に戻る。この際、接続切断手段としての制御部11は、乱数RAと乱数RBとが同一であることが3回続いたか否かを判断する(ステップS15)。乱数RAと乱数RBとが同一であることが3回続いていない場合には(ステップS15;NO)、偶然乱数RAと乱数RBとが同一となった可能性もあることから、ステップS11に戻って同様の動作、ステップS11からS14を繰り返す。一方、このようにステップS11からS14;YESが繰り返されて、乱数RAと乱数RBとが同一であることが3回続いた場合には(ステップS15;YES)、接続切断手段としての制御部11は、通信装置Bを不正な通信装置とみなして承認せず、通信を切断して(ステップS16)、処理を終了する(エンド)。
【0067】
一方、ステップS14において、乱数RAと乱数RBとが同一である場合には(ステップS14;NO)、制御部11は、送信したチャレンジについてのハッシュ値HA1(CA+RA)を計算し(ステップS17)、受信したチャレンジについてのハッシュ値HA2(CA+RB)を計算する(ステップS18)。次いで、制御部11は、計算したハッシュ値HA2を含むレスポンスを送信し(ステップS19)、ハッシュ値HB2を含むレスポンスを受信し、受信したレスポンスのデータを記憶部12に格納する(ステップS20)。
【0068】
次いで、制御部11は、通信装置Bの認証を行う。具体的に、制御部11は、HA1とHB2が同一であるか否かを判断する(ステップS21)。HA1とHB2が同一である場合には(ステップS21;YES)、通信装置Bを承認し、通信装置Bと通信を行うこととし(ステップS22)、処理を終了する(エンド)。ステップS21において、HA1とHB2が同一でない場合には(ステップS21;NO)、通信装置Bを承認せず、通信装置Bとの通信を切断し(ステップS22)、処理を終了する(エンド)。ステップS22を経て動作を終了した場合には、通信装置Aは、通信装置Bから情報を取得する等の本来の目的の動作を行う。
【0069】
なお、第1実施形態の動作について記載したのと同様に、工程順が上述の通りでなくてもよい。
【0070】
第2実施形態の通信システム及び通信装置Aによれば、図7を参照して説明したような不正な通信装置Dによるなりすましを防止し、正規の通信装置のみを承認するよう、認証を行うことができる。
【0071】
[3.第3実施形態]
[3.1.第3実施形態の概要]
第3実施形態の通信システムは、第2実施形態と同様に、図7を参照して説明したような悪意を持ったユーザの通信装置Dによる不正を防止するものである。上述の各実施形態においては、乱数をRとして説明したが、第3実施形態においては、チャレンジに含める情報をRとして説明する。
【0072】
第3実施形態の通信システムにおける認証の流れについて図10を参照して説明する。図10は、第3実施形態の通信システムにおける認証の流れを説明する概略図である。
【0073】
第3実施形態の通信システムは、図1乃至図6を参照して上述したように、第1実施形態と同様に通信装置Aと通信装置BとがCHAP認証を行うものであって、通信装置Aが送信するチャレンジに、乱数と通信装置A自身の識別情報(以下、ID(IDentification)とする。)を含ませることにより、送信したチャレンジに含まれる情報と受信したチャレンジに含まれる情報が同一になることを防止し、仮に同一の場合には、レスポンスの送信及び認証を行うことを禁止し、通信を切断するものである。ここで、本発明の識別情報としてのIDは、各通信装置に固有のものとする。
【0074】
図10に示すように、チャレンジの送信は、通信装置Aが選択した乱数及び通信装置A自身のIDAを組み合わせた情報RAを含むチャレンジを通信装置Bに送信し、通信装置Bが選択した乱数及び通信装置B自身のIDBを組み合わせた情報RBを含むチャレンジを通信装置Aに送信する。
【0075】
そして、チャレンジを受信した通信装置Aは、当該チャレンジに含まれる情報RBと、自ら送信した情報RAとが同一の場合には、レスポンスの送信及び認証を行うことを禁止し、通信装置Bとの通信を切断する。また、チャレンジを受信した通信装置Bは、当該チャレンジに含まれる情報RAと、自ら送信した情報RBとが同一の場合には、レスポンスの送信及び認証を行うことを禁止し、通信装置Aとの通信を切断する。なお、二者が生成した乱数と通信装置に固有の識別情報を組み合わせた情報が一致することは通常あり得ず、一致した場合には、一方の通信装置が受信したチャレンジに含まれる情報をそのまま送信したものと考えられるため、認証をせずに通信を切断することとしている。
【0076】
一方、チャレンジを受信した通信装置Aは、当該チャレンジに含まれる情報RBと、自ら送信した情報RAとが同一でない場合には、通常通り、レスポンスを送信し、CHAP認証を行う。また、チャレンジを受信した通信装置Bも、当該チャレンジに含まれる情報RAと、自ら送信した情報RBとが同一でない場合には、通常通り、レスポンスを送信し、CHAP認証を行う。
【0077】
なお、ハッシュ値の計算の説明や認証については、第1実施形態と同様であるため、省略する。
【0078】
また、通信装置A、Bの構成も、第1実施形態において図5を用いて説明したものとほぼ同様である。しかしながら、通信装置A、Bは、制御部11が本発明の接続切断手段として機能し、チャレンジ送信手段、レスポンス送信手段、認証手段としての制御部11も、以下のように機能する。
【0079】
チャレンジ送信手段としての制御部11は、乱数及び通信装置A自身のIDAを組み合わせた情報RAを含むチャレンジを送信し、レスポンス送信手段としての制御部11は、チャレンジ送信手段により送信した乱数及び通信装置A自身のIDAを組み合わせた情報RAと、チャレンジ受信手段により受信した乱数及び他の通信装置BのIDBを組み合わせた情報RBと、が同一の場合には、レスポンスを送信することを禁止し、認証手段としての制御部11は、チャレンジ送信手段により送信した乱数及び通信装置A自身のIDAを組み合わせた情報RAと、チャレンジ受信手段により受信した乱数及び他の通信装置BのIDBを組み合わせた情報RBと、が同一の場合には、認証を行うことを禁止する。
【0080】
さらに、接続切断手段としての制御部11は、チャレンジ送信手段により送信した乱数及び通信装置A自身のIDAを組み合わせた情報RAと、チャレンジ受信手段により受信した乱数及び他の通信装置BのIDBを組み合わせた情報RBと、が同一の場合には、当該他の通信装置Bとの接続(通信)を切断する。
【0081】
[3.2.動作]
次いで、図11を参照して、第3実施形態の通信システムにおける通信装置AのCHAP認証の動作について説明する。
【0082】
この動作の説明においては、通信装置Aのユーザが入力部21を用いて情報の取得等の指示を入力し、その情報の取得等のためには通信装置Bとの通信及び相互認証が必要であり、図1に示すように通信装置Aと通信装置Bとの接続が確立した後、動作が開始するものとする(スタート)。
【0083】
図11に示すように、通信装置Aにおける動作が開始すると、チャレンジ送信手段としての制御部11は乱数を選択し、当該乱数と通信装置A自身のIDAを組み合わせた情報RAを生成し(ステップS31)、情報RAを含むチャレンジを通信装置Bに送信する(ステップS32)。次いで、制御部11は、情報RBを含むチャレンジを通信装置Bから受信し、受信したチャレンジのデータを記憶部12に格納する(ステップS33)。
【0084】
次いで、レスポンス送信手段、認証手段及び接続切断手段としての制御部11は、送信したチャレンジに含まれる情報RAと受信したチャレンジに含まれる情報RBとが同一か否かを判断する(ステップS34)。乱数RAと乱数RBとが同一である場合には(ステップS34;YES)、レスポンス送信手段、認証手段及び接続切断手段としての制御部11は、通信装置Bがなりすましを行っている不正な通信装置であるとみなして承認せず、通信を切断して(ステップS35)、処理を終了する(エンド)。
【0085】
一方、ステップS34において、情報RAと情報RBとが同一である場合には(ステップS34;NO)、制御部11は、送信したチャレンジについてのハッシュ値HA1(CA+RA)を計算し(ステップS36)、受信したチャレンジについてのハッシュ値HA2(CA+RB)を計算する(ステップS37)。次いで、制御部11は、計算したハッシュ値HA2を含むレスポンスを送信し(ステップS38)、ハッシュ値HB2を含むレスポンスを受信し、受信したレスポンスのデータを記憶部12に格納する(ステップS39)。
【0086】
次いで、制御部11は、通信装置Bの認証を行う。具体的に、制御部11は、HA1とHB2が同一であるか否かを判断する(ステップS40)。HA1とHB2が同一である場合には(ステップS40;YES)、通信装置Bを承認し、通信装置Bと通信を行うこととし(ステップS41)、処理を終了する(エンド)。ステップS40において、HA1とHB2が同一でない場合には(ステップS40;NO)、通信装置Bを承認せず、通信装置Bとの通信を切断し(ステップS42)、処理を終了する(エンド)。ステップS41を経て動作を終了した場合には、通信装置Aは、通信装置Bから情報を取得する等の本来の目的の動作を行う。
【0087】
なお、第1実施形態の動作について記載したのと同様に、工程順が上述の通りでなくてもよい。
【0088】
第3実施形態の通信システム及び通信装置Aによれば、図7を参照して説明したような不正な通信装置Dによるなりすましを防止し、正規の通信装置のみを承認するよう、認証を行うことができる。
【0089】
[4.その他]
本発明の各例として上述の各実施形態を説明したが、本発明はこれに限定されない。本発明の通信システムや通信装置は、ピアツーピア型の通信方式における相互認証に適しているが、これに限定されず、他の通信方式における相互認証に用いてもよい。上述の各実施形態の通信装置A又は通信装置Bの各動作に対応するプログラムをフレキシブルディスク又はハードディスク等の情報記録媒体に記録しておき、或いはインターネット等のネットワークを介して取得して記録しておき、これをマイクロコンピュータ等により読み出して実行することにより、当該マイクロコンピュータを各実施形態に係る制御部11等として機能させることも可能である。
【図面の簡単な説明】
【0090】
【図1】二つの通信装置が認証を行う前段階において、通信を確立する態様を説明する図である。
【図2】CHAP認証の基本的な流れを示す図である。
【図3】二つの通信装置がCHAP認証を相互に行う態様を示す図である。
【図4】第1実施形態の通信システムにおける認証の流れを説明する概略図である。
【図5】通信装置Aの概要構成例を示す図である。
【図6】第1実施形態の通信装置AにおけるCHAP認証の動作を示すフローチャートである。
【図7】不正な通信装置によるCHAP認証のなりすましの例を説明する図である。
【図8】第2実施形態の通信システムにおける認証の流れを説明する概略図である。
【図9】第2実施形態の通信装置AにおけるCHAP認証の動作を示すフローチャートである。
【図10】第3実施形態の通信システムにおける認証の流れを説明する概略図である。
【図11】第3実施形態の通信装置AにおけるCHAP認証の動作を示すフローチャートである。
【符号の説明】
【0091】
11 制御部
12 記憶部
13 バッファメモリ
14 デコーダ部
15 映像処理部
16 表示部
17 音声処理部
18 スピーカ
20 通信部
21 入力部
22 バス
30 ネットワーク
A、B、D 通信装置
【特許請求の範囲】
【請求項1】
他の通信装置と通信経路を介して通信を行う際に互いに認証を行い、かつ、当該他の通信装置と共通に有する共通情報を保存している通信装置が含まれる通信システムであって、
第1の通信装置と第2の通信装置とが通信を行う際に、当該第1の通信装置と当該第2の通信装置との接続が確立した後に、
前記第1の通信装置が選択した乱数情報を含むチャレンジを前記第2の通信装置に送信する第1チャレンジ送信手段と、
前記第2の通信装置が選択した乱数情報を含むチャレンジを前記第1の通信装置に送信する第2チャレンジ送信手段と、
前記第2の通信装置が前記第2チャレンジ送信手段により前記第1の通信装置にチャレンジを送信した後に、前記第2の通信装置が受信した前記チャレンジに対して当該第1の通信装置との前記共通情報及び受信した前記乱数情報を変換して得られる変換情報を含むレスポンスを送信する第2レスポンス送信手段と、
前記第1の通信装置が前記第1チャレンジ送信手段により前記第2の通信装置にチャレンジを送信した後に、前記第1の通信装置が受信した前記チャレンジに対して前記第2の通信装置との前記共通情報及び受信した前記乱数情報を変換して得られる変換情報を含むレスポンスを送信する第1レスポンス送信手段と、
前記第1の通信装置が受信した前記変換情報を用いて当該第2の通信装置との認証を行う第1認証手段と、
前記第2の通信装置が受信した前記変換情報を用いて当該第1の通信装置との認証を行う第2認証手段と、
を有することを特徴とする通信システム。
【請求項2】
他の通信装置と通信経路を介して通信を行う際に互いに認証を行い、かつ、当該他の通信装置と共通に有する共通情報を保存している通信装置が含まれる通信システムにおける認証方法であって、
第1の通信装置と第2の通信装置とが通信を行う際に、当該第1の通信装置と当該第2の通信装置との接続が確立した後に、
前記第1の通信装置が選択した乱数情報を含むチャレンジを前記第2の通信装置に送信する工程と、
前記第2の通信装置が選択した乱数情報を含むチャレンジを前記第1の通信装置に送信する工程と、
前記第2の通信装置が前記第1の通信装置にチャレンジを送信した後に、前記第2の通信装置が受信した前記チャレンジに対して当該第1の通信装置との前記共通情報及び受信した前記乱数情報を変換して得られる変換情報を含むレスポンスを送信する工程と、
前記第1の通信装置が前記第2の通信装置にチャレンジを送信した後に、前記第1の通信装置が受信した前記チャレンジに対して前記第2の通信装置との前記共通情報及び受信した前記乱数情報を変換して得られる変換情報を含むレスポンスを送信する工程と、
前記第1の通信装置が受信した前記変換情報を用いて当該第2の通信装置との認証を行う工程と、
前記第2の通信装置が受信した前記変換情報を用いて当該第1の通信装置との認証を行う工程と、
を有することを特徴とする認証方法。
【請求項3】
他の通信装置と通信経路を介して通信を行う際に互いに認証を行い、かつ、当該他の通信装置と共通に有する共通情報を保存している通信装置であって、
他の通信装置と通信を行う際に、当該他の通信装置との接続が確立した後、
選択した乱数情報を含むチャレンジを前記他の通信装置に送信するチャレンジ送信手段と、
前記他の通信装置から乱数情報を含むチャレンジを受信するチャレンジ受信手段と、
前記チャレンジ送信手段によりチャレンジを送信した後に、受信したチャレンジに対して当該他の通信装置との前記共通情報及び受信した前記乱数情報を変換して得られる変換情報を含むレスポンスを送信するレスポンス送信手段と、
前記チャレンジ受信手段によりチャレンジを受信した後に、前記他の通信装置から変換情報を含むレスポンスを受信するレスポンス受信手段と、
受信した前記変換情報を用いて当該他の通信装置との認証を行う認証手段と、
を有することを特徴とする通信装置。
【請求項4】
請求項3に記載の通信装置であって、
前記チャレンジ送信手段は、前記チャレンジ送信手段により送信した前記乱数情報と、前記チャレンジ受信手段により受信した前記乱数情報と、が同一の場合には、再度、選択した乱数情報を含むチャレンジを前記他の通信装置に送信し、
前記レスポンス送信手段は、前記チャレンジ送信手段により送信した前記乱数情報と、前記チャレンジ受信手段により受信した前記乱数情報と、が同一の場合には、レスポンスを送信することを禁止し、
前記認証手段は、前記チャレンジ送信手段により送信した前記乱数情報と、前記チャレンジ受信手段により受信した前記乱数情報と、が同一の場合には、認証を行うことを禁止することを特徴とする通信装置。
【請求項5】
請求項4に記載の通信装置であって、
前記チャレンジ送信手段により同一の他の通信装置にチャレンジを所定回数送信し、かつ、前記チャレンジ送信手段により最後に送信した前記乱数情報と、前記チャレンジ受信手段により最後に受信した前記乱数情報と、が同一の場合に、当該他の通信装置との接続を切断する接続切断手段を有することを特徴とする通信装置。
【請求項6】
請求項3乃至5のいずれか一項に記載の通信装置であって、
前記チャレンジ送信手段は、前記乱数情報及び前記通信装置自身の識別情報を組み合わせた情報を含むチャレンジを送信し、
前記レスポンス送信手段は、前記チャレンジ送信手段により送信した前記乱数情報及び前記通信装置自身の識別情報を組み合わせた情報と、前記チャレンジ受信手段により受信した前記乱数情報及び前記他の通信装置の識別情報を組み合わせた情報と、が同一の場合には、レスポンスを送信することを禁止し、
前記認証手段は、前記チャレンジ送信手段により送信した前記乱数情報及び前記通信装置自身の識別情報を組み合わせた情報と、前記チャレンジ受信手段により受信した前記乱数情報及び前記他の通信装置の識別情報を組み合わせた情報と、が同一の場合には、認証を行うことを禁止することを特徴とする通信装置。
【請求項7】
請求項6に記載の通信装置であって、
前記チャレンジ送信手段により送信した前記乱数情報及び前記通信装置自身の識別情報を組み合わせた情報と、前記チャレンジ受信手段により受信した前記乱数情報及び前記他の通信装置の識別情報を組み合わせた情報と、が同一の場合には、当該他の通信装置との接続を切断する接続切断手段を有することを特徴とする通信装置。
【請求項8】
コンピュータを請求項3乃至7に記載の通信装置として機能させることを特徴とする情報処理プログラム。
【請求項9】
他の通信装置と通信経路を介して通信を行う際に互いに認証を行い、かつ、当該他の通信装置と共通に有する共通情報を保存している通信装置における認証方法であって、
他の通信装置と通信を行う際に、当該他の通信装置との接続が確立した後、
選択した乱数情報を含むチャレンジを前記他の通信装置に送信する工程と、
前記他の通信装置から乱数情報を含むチャレンジを受信する工程と、
前記チャレンジを送信した後に、前記受信したチャレンジに対して当該他の通信装置との前記共通情報及び受信した前記乱数情報を変換して得られる変換情報を含むレスポンスを送信する工程と、
前記チャレンジを受信した後に、前記他の通信装置から変換情報を含むレスポンスを受信する工程と、
受信した前記変換情報を用いて当該他の通信装置との認証を行う工程と、
を有することを特徴とする認証方法。
【請求項1】
他の通信装置と通信経路を介して通信を行う際に互いに認証を行い、かつ、当該他の通信装置と共通に有する共通情報を保存している通信装置が含まれる通信システムであって、
第1の通信装置と第2の通信装置とが通信を行う際に、当該第1の通信装置と当該第2の通信装置との接続が確立した後に、
前記第1の通信装置が選択した乱数情報を含むチャレンジを前記第2の通信装置に送信する第1チャレンジ送信手段と、
前記第2の通信装置が選択した乱数情報を含むチャレンジを前記第1の通信装置に送信する第2チャレンジ送信手段と、
前記第2の通信装置が前記第2チャレンジ送信手段により前記第1の通信装置にチャレンジを送信した後に、前記第2の通信装置が受信した前記チャレンジに対して当該第1の通信装置との前記共通情報及び受信した前記乱数情報を変換して得られる変換情報を含むレスポンスを送信する第2レスポンス送信手段と、
前記第1の通信装置が前記第1チャレンジ送信手段により前記第2の通信装置にチャレンジを送信した後に、前記第1の通信装置が受信した前記チャレンジに対して前記第2の通信装置との前記共通情報及び受信した前記乱数情報を変換して得られる変換情報を含むレスポンスを送信する第1レスポンス送信手段と、
前記第1の通信装置が受信した前記変換情報を用いて当該第2の通信装置との認証を行う第1認証手段と、
前記第2の通信装置が受信した前記変換情報を用いて当該第1の通信装置との認証を行う第2認証手段と、
を有することを特徴とする通信システム。
【請求項2】
他の通信装置と通信経路を介して通信を行う際に互いに認証を行い、かつ、当該他の通信装置と共通に有する共通情報を保存している通信装置が含まれる通信システムにおける認証方法であって、
第1の通信装置と第2の通信装置とが通信を行う際に、当該第1の通信装置と当該第2の通信装置との接続が確立した後に、
前記第1の通信装置が選択した乱数情報を含むチャレンジを前記第2の通信装置に送信する工程と、
前記第2の通信装置が選択した乱数情報を含むチャレンジを前記第1の通信装置に送信する工程と、
前記第2の通信装置が前記第1の通信装置にチャレンジを送信した後に、前記第2の通信装置が受信した前記チャレンジに対して当該第1の通信装置との前記共通情報及び受信した前記乱数情報を変換して得られる変換情報を含むレスポンスを送信する工程と、
前記第1の通信装置が前記第2の通信装置にチャレンジを送信した後に、前記第1の通信装置が受信した前記チャレンジに対して前記第2の通信装置との前記共通情報及び受信した前記乱数情報を変換して得られる変換情報を含むレスポンスを送信する工程と、
前記第1の通信装置が受信した前記変換情報を用いて当該第2の通信装置との認証を行う工程と、
前記第2の通信装置が受信した前記変換情報を用いて当該第1の通信装置との認証を行う工程と、
を有することを特徴とする認証方法。
【請求項3】
他の通信装置と通信経路を介して通信を行う際に互いに認証を行い、かつ、当該他の通信装置と共通に有する共通情報を保存している通信装置であって、
他の通信装置と通信を行う際に、当該他の通信装置との接続が確立した後、
選択した乱数情報を含むチャレンジを前記他の通信装置に送信するチャレンジ送信手段と、
前記他の通信装置から乱数情報を含むチャレンジを受信するチャレンジ受信手段と、
前記チャレンジ送信手段によりチャレンジを送信した後に、受信したチャレンジに対して当該他の通信装置との前記共通情報及び受信した前記乱数情報を変換して得られる変換情報を含むレスポンスを送信するレスポンス送信手段と、
前記チャレンジ受信手段によりチャレンジを受信した後に、前記他の通信装置から変換情報を含むレスポンスを受信するレスポンス受信手段と、
受信した前記変換情報を用いて当該他の通信装置との認証を行う認証手段と、
を有することを特徴とする通信装置。
【請求項4】
請求項3に記載の通信装置であって、
前記チャレンジ送信手段は、前記チャレンジ送信手段により送信した前記乱数情報と、前記チャレンジ受信手段により受信した前記乱数情報と、が同一の場合には、再度、選択した乱数情報を含むチャレンジを前記他の通信装置に送信し、
前記レスポンス送信手段は、前記チャレンジ送信手段により送信した前記乱数情報と、前記チャレンジ受信手段により受信した前記乱数情報と、が同一の場合には、レスポンスを送信することを禁止し、
前記認証手段は、前記チャレンジ送信手段により送信した前記乱数情報と、前記チャレンジ受信手段により受信した前記乱数情報と、が同一の場合には、認証を行うことを禁止することを特徴とする通信装置。
【請求項5】
請求項4に記載の通信装置であって、
前記チャレンジ送信手段により同一の他の通信装置にチャレンジを所定回数送信し、かつ、前記チャレンジ送信手段により最後に送信した前記乱数情報と、前記チャレンジ受信手段により最後に受信した前記乱数情報と、が同一の場合に、当該他の通信装置との接続を切断する接続切断手段を有することを特徴とする通信装置。
【請求項6】
請求項3乃至5のいずれか一項に記載の通信装置であって、
前記チャレンジ送信手段は、前記乱数情報及び前記通信装置自身の識別情報を組み合わせた情報を含むチャレンジを送信し、
前記レスポンス送信手段は、前記チャレンジ送信手段により送信した前記乱数情報及び前記通信装置自身の識別情報を組み合わせた情報と、前記チャレンジ受信手段により受信した前記乱数情報及び前記他の通信装置の識別情報を組み合わせた情報と、が同一の場合には、レスポンスを送信することを禁止し、
前記認証手段は、前記チャレンジ送信手段により送信した前記乱数情報及び前記通信装置自身の識別情報を組み合わせた情報と、前記チャレンジ受信手段により受信した前記乱数情報及び前記他の通信装置の識別情報を組み合わせた情報と、が同一の場合には、認証を行うことを禁止することを特徴とする通信装置。
【請求項7】
請求項6に記載の通信装置であって、
前記チャレンジ送信手段により送信した前記乱数情報及び前記通信装置自身の識別情報を組み合わせた情報と、前記チャレンジ受信手段により受信した前記乱数情報及び前記他の通信装置の識別情報を組み合わせた情報と、が同一の場合には、当該他の通信装置との接続を切断する接続切断手段を有することを特徴とする通信装置。
【請求項8】
コンピュータを請求項3乃至7に記載の通信装置として機能させることを特徴とする情報処理プログラム。
【請求項9】
他の通信装置と通信経路を介して通信を行う際に互いに認証を行い、かつ、当該他の通信装置と共通に有する共通情報を保存している通信装置における認証方法であって、
他の通信装置と通信を行う際に、当該他の通信装置との接続が確立した後、
選択した乱数情報を含むチャレンジを前記他の通信装置に送信する工程と、
前記他の通信装置から乱数情報を含むチャレンジを受信する工程と、
前記チャレンジを送信した後に、前記受信したチャレンジに対して当該他の通信装置との前記共通情報及び受信した前記乱数情報を変換して得られる変換情報を含むレスポンスを送信する工程と、
前記チャレンジを受信した後に、前記他の通信装置から変換情報を含むレスポンスを受信する工程と、
受信した前記変換情報を用いて当該他の通信装置との認証を行う工程と、
を有することを特徴とする認証方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【公開番号】特開2008−85892(P2008−85892A)
【公開日】平成20年4月10日(2008.4.10)
【国際特許分類】
【出願番号】特願2006−265721(P2006−265721)
【出願日】平成18年9月28日(2006.9.28)
【出願人】(000005267)ブラザー工業株式会社 (13,856)
【Fターム(参考)】
【公開日】平成20年4月10日(2008.4.10)
【国際特許分類】
【出願日】平成18年9月28日(2006.9.28)
【出願人】(000005267)ブラザー工業株式会社 (13,856)
【Fターム(参考)】
[ Back to top ]