Nothing Special   »   [go: up one dir, main page]

JP4113274B2 - 認証装置および方法 - Google Patents

認証装置および方法 Download PDF

Info

Publication number
JP4113274B2
JP4113274B2 JP02414298A JP2414298A JP4113274B2 JP 4113274 B2 JP4113274 B2 JP 4113274B2 JP 02414298 A JP02414298 A JP 02414298A JP 2414298 A JP2414298 A JP 2414298A JP 4113274 B2 JP4113274 B2 JP 4113274B2
Authority
JP
Japan
Prior art keywords
information
authentication
data
verification
control information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP02414298A
Other languages
English (en)
Other versions
JPH11225142A (ja
Inventor
徹 荒谷
るみ子 筧
仁樹 京嶋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujifilm Business Innovation Corp
Original Assignee
Fuji Xerox Co Ltd
Fujifilm Business Innovation Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fuji Xerox Co Ltd, Fujifilm Business Innovation Corp filed Critical Fuji Xerox Co Ltd
Priority to JP02414298A priority Critical patent/JP4113274B2/ja
Priority to US09/244,129 priority patent/US6516413B1/en
Publication of JPH11225142A publication Critical patent/JPH11225142A/ja
Application granted granted Critical
Publication of JP4113274B2 publication Critical patent/JP4113274B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/60Digital content management, e.g. content distribution
    • H04L2209/603Digital right managament [DRM]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Description

【0001】
【発明の属する技術分野】
本発明は、暗復号を応用した、デジタルデータやサービスに対するアクセス資格認証技術に関する。
【0002】
【背景技術】
ユーザのアクセス権を認証する方法は、大きく以下の2つに類別することができる。
【0003】
▲1▼アクセス制御リストを使う方法
アクセス権の検証器は、アクセスの対象物毎に、該対象物に対してアクセス可能なユーザのリスト(アクセス制御リスト)をもち、ユーザからのアクセス要求があった場合に、ユーザがアクセス制御リストに入っているかを調べて、アクセスの可否を決定する。
【0004】
▲2▼ケーパビリティ(capability)を使う方法
ユーザが、アクセスの対象物に対するアクセス資格を表すデータ(ケーパビリティ)を持っており、ユーザは、アクセスを要求する際にケーパビリティを所持していることをアクセス権の検証器に証明し、アクセス権の検証器はケーパビリティの所持が正しく証明されたことをチェックして、アクセスの可否を決定する。
【0005】
アクセスの対象物が、デジタルデータや計算機上で動作するアプリケーションのようなデジタルコンテンツの場合、前者の方法には致命的な問題がある。
【0006】
デジタルコンテンツは、複製が容易であるために、オリジナルに対するアクセス権は正しく認証できても、複製されたデジタルコンテンツに対するアクセス権の認証はできない。
【0007】
この問題を解決するために、デジタルコンテンツとアクセス権の検証器とアクセス制御リストを不可分にしておき、複製を作るとデジタルコンテンツとともに検証器とアクセス制御リストも複製されるよう構成することもできるが、この場合、アクセス制御リストの変更があった場合に、すべてのデジタルコンテンツに付随するアクセス制御リストを変更するという事実上不可能な作業を行なわなければならない。
【0008】
したがって、デジタルコンテンツのアクセス権認証に有効な手段は、ケーパビリティを使う方法になるが、これにも問題がある。
【0009】
ケーパビリティはアクセス資格を表すデータであり、複製が可能である。あるデジタルコンテンツに対するケーパビリティを持つユーザがケーパビリティを複製し、アクセスしてはならない第三者に複製を渡すと、その第三者も該デジタルコンテンツにアクセスすることが可能になる。
【0010】
この問題を解決したものに、特願平8−62076号において提案された手法がある。特願平8−62076号に記載されたアクセス制御装置は、デジタルコンテンツに対するアクセス権の所持を証明する証明装置と、証明装置による証明を検証する検証装置からなる。
【0011】
証明装置は、ユーザ毎に違うユーザ固有情報をユーザに秘密に保持している。デジタルコンテンツに対するケーパビリティは、ユーザ固有情報を使ってマスクが施された形でユーザに配布される。マスクされたケーパビリティをアクセスチケットと呼ぶ。
【0012】
証明装置は、アクセスチケットと格納しているユーザ固有情報とを利用して、ケーパビリティを所持していることを証明する。アクセスチケットはユーザ毎に違う値でマスクされているので、複製して第三者に渡しても、該第三者はその複製を使ってケーパビリティを所持することを証明できない。
【0013】
したがって、特願平8−62076号の手法は、ケーパビリティをユーザに配布する方法であって、しかもケーパビリティの複製による不正者のアクセスを防ぐことが可能なものである。
【0014】
特願平8−62076号のアクセス制御装置の詳細を以下に述べる。
【0015】
特願平8−62076の検証装置は、暗号化されたデジタルコンテンツと、その復号鍵KをRSA(Rivest−Shamir−Adleman)法数n、暗号鍵Eで暗合化した暗号化鍵K*(=KE mod n)を持っている。証明装置は、巾乗剰余の演算機能と一方向性ハッシュf(x;y)の計算機能を持ったICカードを持っている。ICカードの中には、ユーザ固有情報eが蓄積されている。
【0016】
RSA法数n、暗号鍵Eに対する復号鍵がDが、デジタルコンテンツをアクセスするためのケーパビリティである。アクセスチケットtは、
【0017】
【数1】
t=D−f(d;n)
という値のデータである。
【0018】
ケーパビリティの所持は、証明装置がK*を正しく復号し、デジタルコンテンツの復号鍵Kを取出すことができることで証明される。
【0019】
▲1▼検証装置は、乱数rを生成する。
▲2▼検証装置は、C=rE* mod nを計算し、nとCを証明装置に送る。
▲3▼証明装置は、ICカード内でR1=Cf(d;n) mod nを計算する。
▲4▼証明装置は、R2=Ct mod nを計算する。
▲5▼証明装置は、R=R12 mod nを計算し、検証装置に送る。
▲6▼検証装置は、r-1r≡1 mod nとなるr-1を計算し、K’=r-1R mod nを計算する。
【0020】
上記の手順が正しく行われれば、K≡K’ mod nとなり、ケーパビリティの所持が証明されることは、以下の式からわかる。
【0021】
【数2】
K’≡r-1
≡r-112
≡r-1f(d;n)t
≡r-1f(d;n)+t
≡r-1D
≡r-1(rE*D
≡r-1(rEED
≡r-1rK
≡K mod n
この方式では、ユーザがユーザ毎にeの違うICカードを持てば、あるデジタルコンテンツにアクセスするためのアクセスチケットは、ユーザ毎に違うものになる。他人のアクセスチケットをコピーしてもそれを使ってケーパビリティの所持を証明することはできない。
【0022】
【発明が解決しようとする課題】
上記に述べたように、特願平8−62076号で提案されている手法は、ケーパビリティをユーザに配布するための改善された方法であるが、ケーパビリティの設定の自由度が限られているという問題がある。
【0023】
特願平8−62076号の手法においてケーパビリティは、RSAの復号鍵Dである。このケーパビリティは、K*を作るときに利用したRSA公開鍵がDに対応したものであるようなデジタルコンテンツに対して、アクセス権を持つことを示す。このことは、ケーパビリティD1でアクセスできるデジタルコンテンツと、それとことなるケーパビリティD2でアクセスできるデジタルコンテンツが重複しないことを要求する。このような制限のあるケーパビリティを使った場合、ユーザ毎のアクセスできるデジタルコンテンツの範囲が複雑に入り組んだ情況に対応するのは、非常に難しい。
【0024】
たとえば、以下のような場合を考える。
【0025】
▲1▼ユーザAのアクセスできるデジタルコンテンツの集合SAは、ユーザBのアクセスできるデジタルコンテンツの集合SBの部分集合である。
【0026】
▲2▼ユーザAのアクセスできるデジタルコンテンツの集合SAと、ユーザBのアクセスできるデジタルコンテンツの集合SBは一致しないが、空集合でない交わりを持つ。
【0027】
このような場合、特願平8−62076号の手法では、ユーザAが持つ種々のデジタルコンテンツに対するアクセス権を単一のケーパビリティDAで、ユーザBが持つ種々のデジタルコンテンツに対するアクセス権を単一のケーパビリティDBで表現することはできない。そのかわり、例えば、▲1▼の例では、
(1)SAに対するアクセス権の範囲を表すケーパビリティD1
(2)SB−SAに対するアクセス権の範囲を表すケーパビリティD2
を用意して、ユーザAはケーパビリティD1のアクセスチケットを持ち、ユーザBはケーパビリティD1のアクセスチケットとケーパビリティD2のアクセスチケットの両方を持つようにしなければならない。
【0028】
また、▲2▼の例では、
(1)SA∩SBに対するアクセス権の範囲を表すケーパビリティD1
(2)SA−SBに対するアクセス権の範囲を表すケーパビリティD2
(3)SB−SAに対するアクセス権の範囲を表すケーパビリティD3
を用意して、ユーザAはケーパビリティD1のアクセスチケットとケーパビリティD2のアクセスチケットを持ち、ユーザBはケーパビリティD1のアクセスチケットとケーパビリティD3のアクセスチケットを持つようにしなければならない。
【0029】
多くのユーザのアクセス権の間に上記の例のような複雑な関係が存在しえる場合、特願平8−62076号の手法では、ひとつのデジタルコンテンツに対してひとつのケーパビリティを用意し、各ユーザは自分がアクセスできるすべてのデジタルコンテンツと同じ数のアクセスチケットを持つことになる。デジタルコンテンツの数が多くなれば、ケーパビリティを配布する側の管理コストや、ユーザが持つアクセスチケットの管理コストが膨大になってしまう。
【0030】
例えば、オフィスにおける文書アクセス権制御では、管理すべきデジタルコンテンツは数十万のオーダーであり、個人がアクセスできるデジタルコンテンツは数万のオーダーになることが予想されるが、ケーパビリティを配布する側がこれらすべてのケーパビリティを管理し、ユーザが数万にのぼるアクセスチケットを管理することは、非常に難しい。
【0031】
本発明は、以上の事情を考慮してなされたものであり、アクセスチケットを用いてケーパビリティを配布しながら、しかも、アクセスチケットの管理が容易になるようにすることを目的としている。
【0032】
【課題を解決するための手段】
本発明によれば、上述の目的を達成するために、ユーザの権限を証明するために生成された証明用データ(R)の正当性を検証することにより、上記ユーザの権限を認証する認証装置に、認証用データ(C)を記憶する第1の記憶手段と、上記証明用データを生成するための制御情報(L)を記憶する第2の記憶手段と、認証の特徴情報(D)と上記第2の記憶手段に記憶されている証明用データを生成するための制御情報(L)とに所定の演算を施して生成される認証用補助情報(t)を保持する第3の記憶手段と、上記証明用データを生成するための必須情報(I)を記憶する第4の記憶手段と、上記制御情報(L)と、上記必須情報(I)が所定の関係を満たすことを検査する必須情報検査手段と、上記必須情報検査手段の検査結果に従って、少なくとも上記認証用データ(C)、上記制御情報(L)、上記必須情報(I)および上記認証用補助情報(t)を用いて証明用データ(R)を生成する証明用データ生成手段と、上記証明用データ生成手段により生成された証明用データが上記認証の特徴情報(D)に基づき生成されたものであるかどうかに依存する処理を行う検証手段とを設け、上記証明用データ生成手段は、正当な上記認証用データ(C)、正当な上記制御情報(L)、正当な上記必須情報(I)および正当な上記認証用補助情報(t)が与えられた時のみ正当な証明用データ(R)を生成するようになっている。
【0033】
この構成においては、特願平8−62076号の手法のように認証の特徴情報をケーパビリティにすることなく、制御情報が、ユーザが持つケーパビリティの範囲を規定する情報を含み、必須情報が、コンテンツが必要とするケーパビリティを規定する情報を含むよう構成することにより、制御情報にユーザが持つケーパビリティの範囲を自由に設定でき、かつ、上記必須情報検査手段で、コンテンツが必要とするケーパビリティをユーザが持つことを検査することができる。
【0034】
また、ユーザによる不正な制御情報や不正な必須情報の使用は、正当な証明用データ(R)の生成を不能にするので、制御情報や必須情報を差し替えるという攻撃に対して安全である。
【0035】
また、本発明によれば、上述の目的を達成するために、ユーザの権限を証明するために生成された証明用データ(R)の正当性を検証することにより、上記ユーザの権限を認証する認証装置に、認証用データ(C)を記憶する第1の記憶手段と、上記証明用データを生成するための制御情報(L)を記憶する第2の記憶手段と、認証の特徴情報(D)と上記第2の記憶手段に記憶されている証明用データを生成するための制御情報(L)とに所定の演算を施して生成される認証用補助情報(t)を保持する第3の記憶手段と、上記証明用データを生成するための必須情報(I)を記憶する第4の記憶手段と、上記必須情報の検査情報を記憶する第5の記憶手段と、上記第1の記憶手段に保持されている認証用データと、上記第4の記憶手段に記憶されているアクセス資格認証の必須情報とに所定の演算を施した結果が、上記第5の記憶手段に記憶されている検査情報と所定の関係にあることを検査する第1の必須情報検査手段と、上記制御情報(L)と、上記必須情報(I)が所定の関係を満たすことを検査する第2の必須情報検査手段と、上記第1、2の必須情報検査手段の検査結果に従って、少なくとも上記認証用データ(C)、上記制御情報(L)および上記認証用補助情報(t)を用いて証明用データ(R)を生成する証明用データ生成手段と、上記証明用データ生成手段により生成された証明用データが上記認証の特徴情報(D)に基づき生成されたものであるかどうかに依存する処理を行う検証手段とを設け、上記証明用データ生成手段は、正当な上記認証用データ(C)、上記制御情報(L)および上記認証用補助情報(t)が与えられた時のみ正当な証明用データ(R)を生成するようにしている。
【0036】
この構成においても、特願平8−62076号の手法のように認証の特徴情報をケーパビリティにすることなく、制御情報が、ユーザが持つケーパビリティの範囲を規定する情報を含み、必須情報が、コンテンツが必要とするケーパビリティを規定する情報を含むよう構成することにより、制御情報にユーザが持つケーパビリティの範囲を自由に設定でき、かつ、上記必須情報検査手段で、コンテンツが必要とするケーパビリティをユーザが持つことを検査することができる。
【0037】
また、ユーザによる不正な必須情報の使用が行われていないことは第1の必須情報検査手段でチェックされ、ユーザによる不正な制御情報の使用は、正当な証明用データ(R)の生成を不能にするので、制御情報や必須情報を差し替えるという攻撃に対して安全である。
【0038】
なお、本発明は、方法やコンピュータプログラム製品としても実現できる。
【0039】
【発明の実施の態様】
以下、本発明の実施例について説明する。
【0040】
[実施例1]
実施例1は、本発明を応用した、アクセス資格認証装置である。実施例1は、証明装置と検証装置の2つからなる。検証装置は、アクセス資格が認証されるデジタルコンテンツに付随した装置であり、デジタルコンテンツの利用者が、正当なアクセス権を持つことを検証する。証明装置は、デジタルコンテンツの利用者が保持する装置であり、検証装置に対して、利用者が正当なアクセス権を持つことを証明する。
【0041】
実施例1の検証装置の構成を図1に示し、証明装置の構成方法を図2に示す。図1において、検証装置10は、アクセスチケット公開鍵記憶部101、必須情報記憶部102、認証用素データ記憶部103、乱数生成部104、乱数記憶部105、認証用データ記憶部106、受信データ記憶部107および検証用演算部108を含んで構成されている。認証用データが、認証用素データ記憶部103の認証用素データ、乱数生成部104の乱数、およびアクセスチケット公開鍵記憶部101のアクセスチケット公開鍵を用いて生成され、この認証用データが認証用データ記憶部106に記憶された後、証明装置20に転送される。またアクセスチケット公開鍵の法数、および必須情報が証明装置20に転送される。
【0042】
図2において、証明装置20は、受信データ記憶部201、アクセスチケット記憶部202、制御情報記憶部203、必須情報検査部204、ユーザ固有情報記憶部205、指数生成部206、第1演算部207、第2演算部208および証明データ生成部209を含んで構成されている。受信データ記憶部201は、検証装置10から転送された認証用データ、必須情報および法数を記憶する。必須情報検査部204は、検証装置10から送られた必須情報を制御情報記憶部203に記憶されている制御情報と照合する。証明データ生成部209は、指数生成部206、第1演算部207および第2演算部208を用いて、アクセスチケット、認証用データ、ユーザ固有情報等に基づいて証明用データを生成する。この証明用データは検証装置10に返される。
【0043】
図1において、検証装置10の受信データ記憶部107は証明装置20から送られる証明用データを記憶し、検証用演算部108は、この証明用データを認証用データ、乱数、アクセスチケット公開鍵の法数を用いて検証する。
【0044】
さらに、この実施例のアクセス資格の認証について説明する。
【0045】
アクセス資格の認証は、検証装置10が認証用データを証明装置20に送り、証明装置20で、認証用データに対応する証明用データを生成し、それを検証装置10に送ることで行われる。
【0046】
実施例1では、検証装置10が送る認証用データは、なんらかのデータ(検証用データ)を暗号化したものであり、証明装置20は、認証用データを復号して証明用データを生成する。検証装置10は、証明装置20から送られた証明用データが、認証用データを正しく復号したものかどうかを検査することで、証明用データの検証を行う。
【0047】
証明用データの生成には、認証用データ、ユーザ固有情報、アクセスチケット、制御情報、必須情報の5つが必要である。
【0048】
ユーザ固有情報は、サービスやデジタルデータの利用者毎に違うデジタルデータであり、証明装置20(ユーザ固有情報記憶部205)内に、利用者からアクセスできない形で格納されている。
【0049】
制御情報は、ユーザがどの範囲のデジタルコンテンツにアクセスできるか、すなわちユーザのケーパビリティを表現したデータであり、証明装置20(制御情報記憶部203)内に格納されている。具体的には、ユーザがアクセス可能なデジタルコンテンツの識別子のリストである。
【0050】
アクセスチケットは、認証用データを作るために必要な復号鍵(これが、アクセス資格認証の特徴情報である)とユーザ固有情報と制御情報から生成されるデジタルデータであり、証明装置20(アクセスチケット記憶部202)内に格納されている。
【0051】
必須情報は、検証装置10(必須情報記憶部102)が保持するデータであり、検証装置10が付随するデジタルコンテンツのアクセスに必要なケーパビリティを表現したものである。必須情報は、認証用データとともに証明装置20に送られる。必須情報は、具体的には、デジタルコンテンツの識別子である。
【0052】
実施例1では、証明装置20が証明用データを生成する前に、制御情報の中のデジタルコンテンツの識別子のリストの中に、必須情報に記載された識別子が存在するかどうかが調べられる。存在する場合には、証明装置20は証明用データの生成を行ない、そうでなければ、証明用データの生成は行なわれない。証明用データが生成されなければ、アクセス権は認証されないので、ユーザが必要なケーパビリティを保持している場合にのみ、アクセスが許されることになる。
【0053】
実施例1では、認証用データは、ユーザ固有情報、アクセスチケット、制御情報、必須情報の5つがそろってはじめて正しい認証用データを生成できる。したがって、必須情報、制御情報、アクセスチケットの不正な差し替えを行なうと、正しい証明用データをえることができない。これにより、必須情報、制御情報、アクセスチケットの差し替えによる不正アクセスを防ぐことができる。
【0054】
実施例1では、アクセス資格認証の特徴情報Dと、Dに対応する公開情報Eおよびn、アクセス資格認証の必須情報Iは、以下のように定義される。
【0055】
nはRSA法数、すなわち、十分大きな二つの素数p、qの積であり、式(1−1)を満たす。
【0056】
【数3】
(1−1) n=pq
φ(n)はnのオイラー数であり、式(1−2)によって計算される。
【0057】
【数4】
(1−2) φ(n)=(p−1)(q−1)
アクセス資格認証の特徴情報Dは、法数nのもとでのRSA秘密鍵であり、式(1−3)を満たす。
【0058】
【数5】
(1−3) gcd(D,φ(n))=1
ここで、gcd(x,y)は、二数x、yの最大公約数を表す。
また、必須情報Iは、式(1−4)を満たす素数である。
【0059】
【数6】
(1−4) gcd(I,φ(n))=1
公開情報Eは、式(1−5)を満たすように生成される。
【0060】
【数7】
(1−5) EID mod φ(n)=1
Dをアクセスチケット秘密鍵、E、nの組をアクセスチケット公開鍵と呼ぶ。
【0061】
アクセスチケットtは、アクセスチケット秘密鍵D、ユーザの固有情報e、法数n、制御情報Lを用い、以下の式1−6に基づいて生成される。
【0062】
【数8】
(1−6) t=D−F(e,n,L)
ユーザの固有情報eは、ユーザ毎に異なる数であり、ユーザを識別するために用いられる。
【0063】
関数Fは関数値が衝突しにくい関数であり、例えば、一方向ハッシュ関数hを利用して、式(1−7)あるいは式(1−8)のように定めることができる。
【0064】
【数9】
(1−7) F(x,y)=h(x|y)
(1−8) F(x,y,z,u,w)=h(x|y|z|u|w)
ここで、x|yはxとyとのビットの連結であることを表す。
【0065】
一方向ハッシュ関数とは、h(x)=h(y)を満たす相異なるx、yを算出することが著しく困難であるという性質をもつ関数である。一方向ハッシュ関数の例として、RSA Data Security Inc.によるMD2、MD4、MD5、米国連邦政府による規格SHS(Secure Hash Standard)が知られている。
【0066】
上述の説明中に現れた数において、t、E、n、Iは公開可能であり、残りのD、e、p、q、φ(n)および関数Fはチケットを作成する権利を有するもの以外には秘密である必要がある。
【0067】
また、実施例1の検証装置の動作を図3に、証明装置の動作を図4に示す。
以下に本実施例の動作を示す。
【0068】
[ステップ1]ユーザが、アクセス資格認証装置による認証を必要とするデジタルコンテンツにアクセスすることによって、検証装置10が起動される。
【0069】
検証装置10がユーザのPCあるいはワークステーション上で動作するアプリケーションプログラムの一部として構成されている場合、ユーザがキーボードあるいはマウスなどの指示装置を用いた通常の方法で、アプリケーションプログラムを起動する。アプリケーションプログラムの実行が検証装置10を構成しているプログラムに到達することによりことにより、検証装置10が起動される。
【0070】
検証装置10がネットワークで結ばれた他のPCあるいはワークステーション(サーバと呼ぶ)上に構成されている場合、ユーザは自分のPCあるいはワークステーション上の通信プログラムを起動し、該通信プログラムが所定の手続きに従って上記サーバに通信の開設要求を行うことにより、上記サーバ上の検証装置が起動される。例えば、ユーザの通信プログラムがサーバと通信する際にTCP/IP(Transmission Control Protocol/Internet Protocol)と呼ばれる手続きに従うとすると、検証装置をサーバの特定のポートに予め対応づけておき、更に、ユーザの通信プログラムが該ポートを指定してTCP接続要求をサーバに要求するように設定しておくことにより、サーバ上のデーモン(inetd)がTCP接続要求に応じて検証装置10を起動することが可能となる。このような実現方法は、インターネットなどのネットワークにおいて広く利用されているものである。
【0071】
検証装置10を専用目的の装置とすることも可能である。例えば、検証装置10をICカード・リーダ・ライター内のROMに焼きつけられたプログラムとして構成し、証明装置20をICカードのマイクロコントローラーに実装されたプログラムとすることができる。この場合、ユーザがICカードをリーダ・ライターに挿入することにより、検証装置10が起動される。
【0072】
[ステップ2]検証装置10は、認証用データCと、アクセスチケット公開鍵記憶部101に記憶されている法数n、及び、必須情報記憶部102に記憶されている必須情報Iとを、証明装置20中の受信データ記憶部201に書き込む。
【0073】
認証用データCは、認証用素データ記憶部103に記憶されている認証用素データC’に乱数効果を付与して生成される。認証用素データC’は、検証用データをKとすると、データKに対して式(1−9)を満たしている。
【0074】
【数10】
(1−9) C’=KE mod n
認証用データCは、検証装置10により、乱数生成部104で乱数rを生成し、乱数rと、アクセスチケット公開鍵記憶部101から取得した公開鍵E、nと、認証用素データ記憶部103から取得したC’とを用い、乱数効果付与部で式(1−10)の計算を行うことで生成される。生成された認証用データCは、証明装置20中の受信データ記憶部201に書き込まれるとともに、検証装置10の認証用データ記憶部106にも記憶される。また、生成した乱数rは、乱数記憶部105に記憶される。
【0075】
【数11】
(1−10) C=rEC’ mod n
このように、認証用データに乱数効果を加え、証明装置20が返す証明用データを検証する際に乱数効果を除去するように構成することにより、いわゆるリプレイアタックを防止することができる。これは、以下の実施例においても、同様である。
【0076】
また、データKを検証装置10に保持せず、代わりに、その暗号化の結果であるC’のみを保持するように検証装置10を構成し、証明装置20から送られる証明用データから乱数効果を取り除いたものとKとが一致することを検証する手段を検証装置10に持たせれば、検証装置10からデータKが漏洩する危険を回避することができる。
【0077】
[ステップ3]証明装置20中の必須情報検査部204は、受信データ記憶部201に記憶されている必須情報Iと、制御情報記憶部203に記憶されている制御情報Lを取得し、制御情報L中に記述されているリスト内に、必須情報Iに記載された識別子が存在するかどうかを検査する。存在していれば、引き続き以下の計算を行う。
【0078】
[ステップ4]証明装置20中の指数生成部206は、ユーザ固有情報記憶部205に記憶されているユーザの固有情報eと、受信データ記憶部201に記憶されている法数nと、制御情報記憶部203に記憶されている制御情報Lを取得し、式(1−11)の計算を実行する。
【0079】
【数12】
(1−11) F(e,n,L)
【0080】
[ステップ5]証明装置20中の第1演算部207は、受信データ記憶部201に書き込まれた必須情報Iと法数nを取得し、これと、指数生成部206で生成されたデータとを用いて、式(1−12)の計算をしR’を得る。
【0081】
【数13】
(1−12) R’=CIF(e,n,L) mod n
【0082】
[ステップ6]証明装置20中の第2演算部208は、アクセスチケット記憶部202に記憶されているアクセスチケットt、受信データ記憶部201に記憶されている認証用データC、必須情報Iおよび法数nを取得し、式(1−13)を計算してR”を得る。
【0083】
【数14】
(1−13) R”=CIt mod n
【0084】
[ステップ7]証明装置20中の証明用データ生成部209は、第1演算部207および第2演算部208からR’およびR”を得て、式(1−14)の計算を行い証明用データRを得る。
【0085】
【数15】
(1−14) R=R’R” mod n
【0086】
[ステップ8]証明装置20は、証明用データRを検証装置10の受信データ記憶部107に書き込む。
【0087】
[ステップ9]検証装置10中の乱数効果除去部(検証用演算部108の一部)は、乱数記憶部105中から先に生成した乱数rを取り出し、式(1−15)の計算を行う。
【0088】
【数16】
(1−15) K’=r-1R mod n
【0089】
[ステップ10]証明装置20において用いられるアクセスチケットtとユーザの固有情報e、必須情報Iおよび制御情報Lの組み合わせが正しい場合に限り、計算の結果得られたK’と検証用データKが一致し、正しく検証が行われる。
【0090】
[ステップ11]計算されたK’は、検証装置10中の実行手段に引き渡されるが、実行手段はK’=Kが成立する場合に限り正規の処理を実行する。
【0091】
上述のステップ3において、必須情報検査部204の検査を通らない場合は、検証装置10が付随しているデジタルコンテンツのアクセスに必要なケーパビリティをユーザが持っていないことを示している。この場合、証明装置20は証明用データの生成を中止し、検証装置10に中止を通知する。通知の手段は、たとえば、中止用コードを受信データ記憶部107に書き込む方法や、あらかじめ証明用データ生成までの所要時間を定めておいて、所用時間を超過しても受信データ記憶部107への書き込みが行われなかった場合は中止とする方法などがある。
【0092】
必須情報検査部204の検査を正常に終了し、上記の手順が正しく行われれば、式(1−16)により、KとK’が一致することがわかる。
【0093】
【数17】
Figure 0004113274
【0094】
悪意の第三者が、必須情報Iや制御情報L、アクセスチケットtのどれを差し替えても、KとK’は一致しないので、デジタルコンテンツへのアクセスができない。これにより、必須情報Iや制御情報L、アクセスチケットtの正しい組み合わせを使用することが強制される。
【0095】
検証装置10において、KとK’が同一であることを検証する方法はいくつか考えられる。以下にその例を記す。これらの例は、以下の実施例にも同様に適用可能である。
【0096】
[1]検証用データと復号結果を直接比較する構成例
検証手段は予め検証用データKを記憶しておく。検証手段中の比較部は、この検証用データKと、認証用データを復号したデータK’とを直接比較し、K’=Kが成立する場合に限り正規の処理を実行し、成立しない場合には処理を中止するなどのエラー処理を実行する。
【0097】
この構成例では、検証すべき検証用データKそのものが装置中に現れるという安全上の弱点がある。例えば、検証装置がユーザのPCあるいはワークステーション上で動作するプログラムとして構成されている場合、プログラムを解析してKを窃取することは、困難であっても、必ずしも不可能ではない。Kの値がユーザの知るところとなると、証明装置の動作を模倣する装置を構成することが可能となり、なりすましによる不正アクセスが可能となる。
【0098】
[2]一方向性関数を用いた構成例
上記の欠点を改善するため、検証手段が記憶している検証のためのデータを、検証用データKそのものではなく、Kに前述の一方向ハッシュ関数hを施して得られるデータh(K)とする。一方向ハッシュ関数の性質から、検証手段が記憶している検証のためのデータyから、y=h(x)を満たすxを算出することは著しく困難である。
【0099】
検証手段は、入力データに対し一方向ハッシュ関数を施した結果を返す変換部を有する。比較部は、認証用データを復号したデータK’をハッシュ関数の入力として得られる出力h(K’)と、記憶されているデータ(=h(K))とを比較する。
【0100】
この方法例では、検証用データKがプログラム中に現れることがなく、また、検証手段が記憶しているh(K)からKを計算することも著しく困難であることから、上記[1]の例よりは安全であるといえる。
【0101】
しかしながら、比較部はプログラム中では条件文として構成されており、検証装置がプログラムで、分析・改竄が容易であるような構成の場合には、該条件文をスキップするようにプログラムを改竄することが可能である点で、なお弱点を有している。
【0102】
[3]復号された値が、特定のデータを復号するための復号鍵である構成例
検証のために記憶されているデータが、暗号化されたデータであり、認証用データを復号したデータK’は、この暗号化されたデータを復号するための鍵である。
検証手段は、データK’の値を、検証のために記憶されているデータを暗号化するのに用いた暗号の復号鍵として用いて復号し、その結果、暗号化されたデータが復号できた場合のみ、プログラムの実行を可能とする。
この構成でも、検証装置中に復号鍵そのものは現れないため、安全度は高くなっている。
【0103】
[4]復号された値が特定の冗長性を満たすことを確認する構成例
検証装置が冗長性検証手段をもち、検証手段は、認証用データを復号したデータK’の値を、冗長性検証手段に送る。冗長性検証手段が、そのデータが特定の冗長性を満たすことを確認した場合のみ、プログラムの実行を可能とする。
冗長性の例としては、復号されたデータがある特定のパターンを繰り返していることや、特定の位置のデータが特定の条件を満たすこと、あるいは、データが特定の言語として意味があること、等があげられる。
【0104】
[5]プログラムコード自体を暗号化する構成例
検証装置が保持するプログラムのコードの一部或は全部を暗号化したデータを認証用データとして、認証用データ記憶手段に保持する。即ち、認証用データを復号したデータK’はプログラムのコードの一部或は全部となる。
【0105】
実行手段はデータK’を、プログラム中の予め定められた位置に埋め込み、その後、埋め込んだプログラムを実行する。証明装置が正しいデータを返信した場合、即ち、K’がコードを正しく復号したものである場合に限ってプログラムは実行可能となる。
【0106】
実行手段は復号されたコードを本来のプログラムに埋め込んだファイルを生成した後、そのファイルを起動してもよいが、プログラムがメモリ上に展開されている状態で、復号したコードをメモリ上のプログラムに埋め込んだのち起動する方法が、安全上は望ましい。
【0107】
この構成例では、プログラムの実行に不可欠なコードの一部或は全部が暗号化されているため、実行手段がユーザのPCあるいはワークステーション上で動作するアプリケーションプログラムとして構成されているような比較的安全性の低い場合でも、不正実行を防止することができる。
【0108】
[6]復号された値がプログラムの復号鍵である構成例
検証装置がプログラムのコードの一部或は全部を暗号化したデータを保持しており、認証用データを復号したデータK’が、暗号化したプログラムコードを復号するために必要な復号鍵となっているものである。この構成によると、暗号化するコードのサイズに関わらず、データK’のサイズを一定の小さい値に抑えることが可能となり、通信のオーバヘッドを減少させることができる。
【0109】
検証手段はデータK’を用いて、記憶している暗号化されたプログラムコードを復号する。実行部は、復号されたコードを、プログラム中の予め定められた位置に埋め込み、その後、埋め込んだプログラムを実行する。証明装置が正しいデータを返信していた場合、即ち、K’によってコードが正しく復号されていた場合に限ってプログラムは実行可能となる。
【0110】
[実施例2]
実施例2も、本発明を応用した、アクセス資格認証装置である。実施例2も、証明装置と検証装置との2つの装置からなる。検証装置は、アクセス資格が認証されるデジタルコンテンツに付随した装置であり、デジタルコンテンツの利用者が、正当なアクセス権を持つことを検証する。証明装置は、デジタルコンテンツの利用者が保持する装置であり、検証装置に対して、利用者が正当なアクセス権を持つことを証明する。
【0111】
実施例2の検証装置の構成を図5に示し、証明装置の構成を図6に示す。なお、図5および図6において、それぞれ図1および図2に対応する箇所には対応する符号を付して詳細な説明を省略する。この実施例では、検証装置10に新たに検査情報生成部109が設けられている。また証明装置20に第1の必須情報検査部210および第2の必須情報検査部211が設けられている。第2の必須情報検査部211は実施例1の必須情報検査部204に相当する。
【0112】
アクセス資格の認証は、検証装置10が認証用データを証明装置20に送り、証明装置20で、認証用データに対応する証明用データを生成し、それを検証装置10に送ることで行われる。
【0113】
実施例2でも、検証装置10が送る認証用データは、なんらかのデータ(検証用データ)を暗号化したものであり、証明装置20は、認証用データを復号して証明用データを生成する。検証装置10は、証明装置20から送られた証明用データが、認証用データを正しく復号したものかどうかを検査することで、証明用データの検証を行う。
【0114】
証明用データの生成には、認証用データ、ユーザ固有情報、アクセスチケット、制御情報、必須情報、検査情報の6つが必要である。
【0115】
ユーザ固有情報は、サービスやデジタルデータの利用者毎に違うデジタルデータであり、証明装置20内に、利用者からアクセスできない形で格納されている。
【0116】
必須情報は、検証装置10が保持するデータであり、検証装置10が付随するデジタルコンテンツのアクセスに必要なケーパビリティを表現したものである。必須情報は、認証用データとともに証明装置20に送られる。本実施例では、必須情報は、具体的には、デジタルコンテンツの種類を表す文字列のリストである。
【0117】
検査情報は、検証装置10が生成し、検証装置10から認証用データや必須情報とともに証明装置20に送られる。検査情報は、必須情報が検証装置10から送られた正しいものであることを証明装置20内で検査するために使用する情報である。
【0118】
制御情報は、ユーザがどの範囲のデジタルコンテンツにアクセスできるか、すなわちユーザのケーパビリティを表現したデータであり、証明装置20内に格納されている。本実施例では、制御情報は、具体的には、ユーザがアクセス可能なデジタルコンテンツの種類を表す文字列のリストである。
【0119】
アクセスチケットは、認証用データを作るために必要な復号鍵(これが、アクセス資格認証の特徴情報である)とユーザ固有情報と制御情報から生成されるデジタルデータであり、証明装置20内に格納されている。
【0120】
実施例2では、証明装置20が証明用データを生成する前に、検査情報を使って必須情報が差し替えられてないことの確認を行なう。必須情報が差し替えられていなければ、必須情報に記載された文字列のすべてが、制御情報が持つリストの中に含まれるかどうかが調べられる。含まれる場合には、証明装置20は証明用データの生成を行なう。上記2つのチェックのどちらかに失敗すれば、証明用データの生成は行なわれない。証明用データが生成されなければ、アクセス権は認証されないので、ユーザが必要なケーパビリティを保持している場合にのみ、アクセスが許されることになる。
【0121】
実施例2でも、認証用データは、ユーザ固有情報、アクセスチケット、制御情報、必須情報、検査情報の5つがそろってはじめて正しい認証用データを生成できる。したがって、必須情報、制御情報、アクセスチケットの不正な差し替えを行なうと、正しい証明用データをえることができない。これにより、必須情報、制御情報、アクセスチケットの差し替えによる不正アクセスを防ぐことができる。
【0122】
本実施例の検証装置10の動作を図7に示し、証明装置20の動作を図8に示す。
【0123】
本発明における実施例2では、アクセス資格認証の特徴情報Dと、RSA法数n、およびnのオイラー数φ(n)が満たすべき性質は、実施例1と同様である。
【0124】
本実施例における公開情報Eは、式(2−1)を満たすように生成される。
【0125】
【数18】
(2−1) ED mod φ(n)=1
アクセスチケットtは、実施例1同様、アクセスチケット秘密鍵D、ユーザの固有情報e、法数n、制御情報L、関数Fを用い、以下の式(2−2)に基づいて生成される。
【0126】
【数19】
(2−2) t=D−F(e,n,L)
【0127】
以下、本実施例の動作について説明する。
【0128】
[ステップ1]ユーザがアクセスすることによって、検証装置10が起動される。検証装置10の起動態様は実施例1と同様である。
【0129】
[ステップ2]検証装置10中の検査情報生成部109は、認証用データCと、必須情報記憶部102に記憶されている必須情報Iを取得し、式(2−3)の計算を実行して、検査情報Mを生成する。
【0130】
【数20】
(2−3) M=V(C,I)
関数Vは、関数Fと同様の性質を持つ関数であり、検証装置10と証明装置20以外には秘密である必要がある。ここで、認証用データCは実施例1のステップ2と同様の方法で生成される。
【0131】
[ステップ3]検証装置10は、認証用データCと、アクセスチケット公開鍵記憶部101に記憶されている法数n、必須情報記憶部102に記憶されている必須情報I、および検査情報Mを、証明装置20中の受信データ記憶部201に書き込む。
【0132】
[ステップ4]証明装置20中の第1の必須情報検査部210は、受信データ記憶部201に記憶されている必須情報Iと認証用データCと検査情報Mとの間に
【0133】
【数21】
M=V(C,I)
の関係が成り立っていることを検証する。上記関係が成り立っていれば、引き続き以下の処理を行う。
【0134】
[ステップ5]証明装置20中の第2の必須情報検査部211は、受信データ記憶部201に記憶されている必須情報Iと、制御情報記憶部203に記憶されている制御情報Lについて、Lが持つリスト中に、必須情報Iが持つリストに出現する文字列がすべて存在することを検証する。存在していれば、引き続き以下の計算を行う。
【0135】
[ステップ6]証明装置20中の指数生成部206は、ユーザ固有情報記憶部205に記憶されているユーザの固有情報eと、受信データ記憶部201にに記憶されている法数nと、制御情報記憶部203に記憶されている制御情報Lを取得し、式(2−4)の計算を実行する。
【0136】
【数22】
(2−4) F(e,n,L)
【0137】
[ステップ7]証明装置20中の第1演算部207は、受信データ記憶部201に書き込まれた必須情報Iと法数nを取得し、これと、指数生成部206で生成されたデータとを用いて、式(2−5)の計算をしR’を得る。
【0138】
【数23】
(2−5) R’=CF(e,n,L) mod n
【0139】
[ステップ8]証明装置20中の第2演算部208は、アクセスチケット記憶部202に記憶されているアクセスチケットt、受信データ記憶部201に記憶されている認証用データC、および法数nを取得し、式(2−6)を計算してR”を得る。
【0140】
【数24】
(2−6) R”=Ct mod n
【0141】
[ステップ9]証明装置20中の証明用データ生成部209は、第1演算部207および第2演算部208からR’およびR”を得て、式(2−7)の計算を行い証明用データRを得る。
【0142】
【数25】
(2−7) R=R’R” mod n
【0143】
[ステップ10]証明装置20は、証明用データRを検証装置10の受信データ記憶部107に書き込む。
【0144】
[ステップ11]検証装置10中の乱数効果除去部(検証用演算部108の一部)は、乱数記憶部105中から先に生成した乱数rを取り出し、式(2−8)の計算を行う。
【0145】
【数26】
(2−8) K’=r-1R mod n
【0146】
[ステップ12]証明装置20において用いられるアクセスチケットtとユーザの固有情報e、および制御情報Lの組み合わせが正しい場合に限り、計算の結果得られたK’と検証用データKが一致し、正しく検証が行われる。
【0147】
上述の上記のステップ4における第1の必須情報検査部210の検査を通らない場合は、認証用データ、必須情報または検査情報のいずれかが間違っていることを示している。この場合、必須情報の正当性が保証できないので、証明装置20は証明用データの生成を中止し、検証装置10に中止を通知する。これにより、正しい必須情報を証明装置に送ることが強制される。
【0148】
また、上述のステップ5における第2の必須情報検査部211の検査をとおらない場合は、検証装置10が付随しているデジタルコンテンツのアクセスに必要なケーパビリティをユーザが持っていないことを示している。この場合、証明装置20は証明用データの生成を中止し、検証装置10に中止を通知する。
【0149】
通知の手段は、たとえば、中止用コードを受信データ記憶部107に書き込む方法や、あらかじめ証明用データ生成までの所要時間を定めておいて、所用時間を超過しても受信データ記憶部107への書き込みが行われなかった場合は中止とする方法などがある。
【0150】
第1、2の必須情報検査部210、211の検査を正常に終了し、上記の手順が正しく行われれば、式(2−9)により、KとK’が一致することがわかる。
【0151】
【数27】
Figure 0004113274
悪意の第三者が、制御情報L、アクセスチケットtのどれを差し替えても、KとK’は一致しないので、デジタル知財へのアクセスができない。これにより、制御情報L、アクセスチケットtの正しい組み合わせを使用することが強制される。
【0152】
K’と検証用データKとの比較方法に関しては、実施例1と同様の方法を用いることができる。
【0153】
【発明の効果】
以上説明したように、本発明によれば、コンテンツ等のアクセスに必要なケーパビリティを検証側の必須情報によりアクセス対象ごとに自由に設定でき、またユーザがどのようなケーパビリティを有しているかを証明側の制御情報で規定することができ、複雑なケーパビリティの割り当てを簡単に実現することができる。しかも、アクセスチケットの利用により必須情報や制御情報の改竄に対処でき、安全性が高い。
【図面の簡単な説明】
【図1】 本発明の実施例1の検証装置の構成を示すブロック図である。
【図2】 本発明の実施例1の証明装置の構成を示すブロック図である。
【図3】 本発明の実施例1の検証装置の動作を説明する図である。
【図4】 本発明の実施例1の証明装置の動作を説明する図である。
【図5】 本発明の実施例2の検証装置の構成を示すブロック図である。
【図6】 本発明の実施例2の証明装置の構成を示すブロック図である。
【図7】 本発明の実施例2の検証装置の動作を説明する図である。
【図8】 本発明の実施例2の証明装置の動作を説明する図である。
【符号の説明】
10 検証装置
20 証明装置
101 アクセスチケット公開鍵記憶部
102 必須情報記憶部
103 認証用素データ記憶部
104 乱数生成部
105 乱数記憶部
106 認証用データ記憶部
107 受信データ記憶部
108 検証用演算部
109 検査情報生成部
201 受信データ記憶部
202 アクセスチケット記憶部
203 制御情報記憶部
204 必須情報検査部
205 ユーザ固有情報記憶部
206 指数生成部
207 第1演算部
208 第2演算部
209 証明データ生成部
210 第1の必須情報検査部
211 第2の必須情報検査部

Claims (12)

  1. ユーザの権限を証明するために生成された証明用データ(R)の正当性を検証することにより、上記ユーザの権限を認証する認証装置において、
    ユーザの固有情報(e)を記憶する記憶手段と、
    認証用データ(C)を記憶する第1の記憶手段と、
    上記証明用データを生成するための制御情報(L)であって複数の必須情報からなるリストを持つものを記憶する第2の記憶手段と、
    認証の特徴情報(D)と、上記記憶手段に記憶されているユーザの固有情報(e)と、上記第2の記憶手段に記憶されている証明用データを生成するための制御情報(L)とに第1の演算を施して生成される認証用補助情報(t)を保持する第3の記憶手段と、
    上記証明用データを生成するための必須情報(I)を記憶する第4の記憶手段と、
    上記制御情報(L)と、上記必須情報(I)とが、上記制御情報(L)が持つリストに上記必須情報(I)が含まれている関係を満たすことを検査する必須情報検査手段と、
    上記必須情報検査手段の検査結果が上記制御情報(L)が持つリストに上記必須情報(I)が含まれている関係を満たす場合にのみ、少なくとも上記認証用データ(C)と上記制御情報(L)と上記必須情報(I)と上記認証用補助情報(t)とに対して第2の演算を施して証明用データ(R)を生成する証明用データ生成手段と、
    上記証明用データ生成手段により生成された証明用データが上記認証の特徴情報(D)に基づいて生成されていることを検証する検証手段とを有し、
    上記認証用補助情報(t)を生成するために予め定められた第1の演算と、上記証明用データ(R)を生成するために予め定められた第2の演算とを、上記認証の特徴情報(D)、ユーザの固有情報(e)、上記制御情報(L)、上記認証用データ(C)及び上記必須情報(I)が対応する場合に上記検証手段が上記証明用データ(R)を正当なものと検証するように選定し、
    さらに上記制御情報(L)は、複数の必須情報(I)の各々との間で上記制御情報(L)が持つリストに上記必須情報(I)が含まれている関係を満たすように選定されていることを特徴とする認証装置。
  2. 上記資格認証の特徴情報が第1の復号鍵であり、上記必須情報が第2の復号鍵であり、上記認証用データが、適当なデータを、上記2つの復号鍵に対応する暗号鍵を用いて暗号化したものであり、上記検証手段は、上記証明用データ生成手段が生成する上記証明用データが、認証用データを正しく復号したものであることを検証する請求項1記載の認証装置。
  3. ユーザの権限を証明するために生成された証明用データ(R)の正当性を検証することにより、上記ユーザの権限を認証する認証装置において、
    ユーザの固有情報(e)を記憶する記憶手段と、
    認証用データ(C)を記憶する第1の記憶手段と、
    上記証明用データを生成するための制御情報(L)であって複数の必須情報からなるリストを持つものを記憶する第2の記憶手段と、
    認証の特徴情報(D)と、上記記憶手段に記憶されているユーザの固有情報(e)と、上記第2の記憶手段に記憶されている証明用データを生成するための制御情報(L)とに第1の演算を施して生成される認証用補助情報(t)を保持する第3の記憶手段と、
    上記証明用データを生成するための必須情報(I)を記憶する第4の記憶手段と、
    上記必須情報の検査情報(M)を記憶する第5の記憶手段と、
    上記第1の記憶手段に保持されている認証用データと、上記第4の記憶手段に記憶されている必須情報とに所定の演算を施した結果が、上記第5の記憶手段に記憶されている検査情報と所定の関係にあることを検査する第1の必須情報検査手段と、
    上記制御情報(L)と、上記必須情報(I)とが、上記制御情報(L)のリストに上記必須情報(I)が含まれている関係を満たすことを検査する第2の必須情報検査手段と、
    上記第1の必須情報検査手段の検査結果が上記第1の記憶手段に保持されている認証用データと、上記第4の記憶手段に記憶されている必須情報とに所定の演算を施した結果が 、上記第5の記憶手段に記憶されている検査情報と所定の関係にあり、かつ上記第2の必須情報検査手段の検査結果が、上記制御情報(L)が持つリストに上記必須情報(I)が含まれている関係を満たす場合においてのみ、少なくとも上記認証用データ(C)と上記制御情報(L)と上記認証用補助情報(t)とに対して第2の演算を施して証明用データ(R)を生成する証明用データ生成手段と、
    上記証明用データ生成手段により生成された証明用データが上記認証の特徴情報(D)に基づいて生成されていることを検証する検証手段とを有し、
    上記認証用補助情報(t)を生成するために予め定められた第1の演算と、上記証明用データ(R)を生成するために予め定められた第2の演算とを、上記認証の特徴情報(D)、ユーザの固有情報(e)、上記制御情報(L)及び上記認証用データ(C)が対応する場合に上記検証手段が上記証明用データ(R)を正当なものと検証するように選定し、
    さらに上記制御情報(L)は、複数の必須情報(I)の各々との間で上記制御情報(L)が持つリストに上記必須情報(I)が含まれている関係を満たすように選定されていることを特徴とする認証装置。
  4. 上記必須情報と上記制御情報とが満たすべき所定の関係が、上記必須情報に記載されている情報が、上記制御情報中にも出現していることである請求項1、2または3記載の認証装置。
  5. 認証される権限が、デジタルデータあるいはプログラムの利用権であり、上記必須情報と上記制御情報とに記載される情報が、利用権が認証されるデジタルデータあるいはプログラムの識別子である請求項1、2、3または4記載の認証装置。
  6. 認証される権限が、デジタルデータあるいはプログラムの利用権であり、上記必須情報と上記制御情報とに記載される情報が、利用権が認証されるデジタルデータあるいはプログラムの属性情報である請求項1、2、3または4記載の認証装置。
  7. ユーザの権限を証明するために生成された証明用データ(R)の正当性を検証することにより、上記ユーザがアクセスしようとしているアクセス対象に関する上記ユーザの権限を認証する認証装置において、
    ユーザの固有情報(e)を記憶する記憶手段と、
    認証用データ(C)を記憶する第1の記憶手段と、
    ユーザに割り当てられた第1の権限属性(L)であって複数の第2の権限属性からなるリストを持つものを記憶する第2の記憶手段と、
    認証の特徴情報(D)と、上記記憶手段に記憶されているユーザの固有情報(e)と、上記第2の記憶手段に記憶されている上記第1の権限属性(L)とに第1の演算を施して生成される認証用補助情報(t)を保持する第3の記憶手段と、
    上記アクセス対象のアクセスに必要な第2の権限属性(I)を記憶する第4の記憶手段と、
    上記第1の権限属性(L)と、上記第2の権限属性(I)とが、上記第1の権限属性(L)が持つリストに上記第2の権限属性(I)が含まれている関係を満たすことを検査する権限属性検査手段と、
    上記権限属性検査手段の検査結果が上記第1の権限属性(L)が持つリストに上記第2の権限属性(I)が含まれている関係を満たす場合にのみ、少なくとも上記認証用データ(C)と上記第1の権限属性(L)と上記第2の権限属性(I)と上記認証用補助情報(t)とに対して第2の演算を施して証明用データ(R)を生成する証明用データ生成手段と、
    上記証明用データ生成手段により生成された証明用データが上記認証の特徴情報(D)に基づいて生成されていることを検証する検証手段とを有し、
    上記認証用補助情報(t)を生成するために予め定められた第1の演算と、上記証明用データ(R)を生成するために予め定められた第2の演算とを、上記認証の特徴情報(D)、ユーザの固有情報(e)、上記第1の権限属性(L)、上記認証用データ(C)及び上記第2の権限属性(I)が対応する場合に上記検証手段が上記証明用データ(R)を正当なものと検証するように選定し、
    さらに上記制御情報(L)は、複数の必須情報(I)の各々との間で上記第1の権限属性(L)が持つリストに上記第2の権限属性(I)が含まれている関係を満たすように選定されていることを特徴とする認証装置。
  8. ユーザの権限を証明するために生成された証明用データ(R)の正当性を検証することにより、上記ユーザがアクセスしようとしているアクセス対象に関する上記ユーザの権限を認証する認証方法において、
    ユーザ固有情報記憶手段(205)がユーザの固有情報(e)を記憶する記憶ステップと、
    認証データ記憶手段(201)が認証用データ(C)を記憶する第1の記憶ステップと、
    第1の権限属性記憶手段(203)がユーザに割り当てられた第1の権限属性(L)であって複数の第2の権限属性からなるリストを持つものを記憶する第2の記憶ステップと、
    認証の特徴情報(D)と、上記記憶ステップで記憶されている上記ユーザの固有情報(e)と、上記第2の記憶ステップで記憶されている上記第1の権限属性(L)とに第1の演算を施して生成される認証用補助情報(t)を認証用補助情報記憶手段(202)が保持する第3の記憶ステップと、
    第2の権限属性記憶手段(201)が上記アクセス対象のアクセスに必要な第2の権限属性(I)を記憶する第4の記憶ステップと、
    上記第1の権限属性(L)と、上記第2の権限属性(I)とが、上記第1の権限属性(L)が持つリストに上記第2の権限属性(I)が含まれている関係を満たすことを権限属性検査部(204)が検査する権限属性検査ステップと、
    上記権限属性検査ステップの検査結果が上記第1の権限属性(L)が持つリストに上記第2の権限属性(I)が含まれている関係を満たす場合にのみ、証明データ生成手段(209)が少なくとも上記認証用データ(C)と上記第1の権限属性(L)と上記第2の権限属性(I)と上記認証用補助情報(t)とに対して第2の演算を施して証明用データ(R)を生成する証明用データ生成ステップと、
    上記証明用データ生成ステップで生成された証明用データが上記認証の特徴情報(D)に基づいて生成されていることを検証する検証手段(108)が行う検証ステップとを有し、
    上記認証用補助情報(t)を生成するために予め定められた第1の演算と、上記証明用データ(R)を生成するために予め定められた第2の演算とを、上記認証の特徴情報(D)、ユーザの固有情報(e)、上記第1の権限属性(L)、上記認証用データ(C)及び上記第2の権限属性(I)が対応する場合に上記検証手段が上記証明用データ(R)を正当なものと検証するように選定し、
    さらに上記第1の権限属性(L)は、複数の第2の権限属性(I)の各々との間で上記第1の権限属性(L)が持つリストに上記第2の権限属性(I)が含まれている関係を満たすように選定されていることを特徴とする認証方法。
  9. 証明装置によりユーザの権限を証明するために生成された証明用データ(R)の正当性を検証装置により検証して上記ユーザの権限を認証する認証システムで用いられる上記検証装置において、
    認証用データ(C)を記憶する認証用データ記憶手段(106)と、
    上記証明用データ(R)を生成するための必須情報(I)を記憶する必須情報記憶手段(102)とを有し、
    証明用データを生成するための制御情報(L)であって複数の必須情報からなるリストを持つ上記制御情報、ユーザの固有情報(e)および、認証用補助情報(t)(この認証用補助情報(t)は認証の特徴情報(D)とユーザの固有情報(e)と上記証明用データを生成するための制御情報(L)とに第1の演算を施して生成されるものである)を保持する上記証明装置(20)に、上記認証用データ(C)および上記必須情報(I)を送出し、
    上記証明装置(20)に保持されている制御情報(L)と上記証明装置(20)に送出された必須情報(I)とが、上記制御情報(L)が持つリストに上記必須情報(I)が含まれている関係を満たすときに、上記証明装置(20)から送られてくる、少なくとも上記認証用データ(C)、上記制御情報(L)、上記必須情報(I)および認証用補助情報(t)とに対して第2の演算を施して上記証明装置(20)において生成された証明用データ(R)を受け取り、さらに、
    上記証明用データ(R)が上記認証の特徴情報(D)に基づいて生成されていることを検証する検証手段(108)を有し、
    上記証明装置(20)における上記認証用補助情報(t)を生成するために予め定められた第1の演算と、上記証明用データ(R)を生成するために予め定められた第2の演算とを、上記認証の特徴情報(D)、ユーザの固有情報(e)、上記制御情報(L)、上記認証用データ(C)及び上記必須情報(I)が対応する場合に上記検証手段が上記証明用データ(R)を正当なものと検証するように選定し、
    上記検証手段は、上記証明装置(20)から送られた上記証明用データ(R)が正当な証明用データ(R)でない場合には当該証明用データ(R)は上記認証の特徴情報(D)に基づいて生成されたものでないと判定し、
    さらに上記制御情報(L)は、複数の検証装置のそれぞれの必須情報(I)との間で上記制御情報(L)が持つリストに上記必須情報(I)が含まれている関係を満たすように選定されていることを特徴とする検証装置。
  10. 証明装置によりユーザの権限を証明するために生成された証明用データ(R)の正当性を検証装置により検証して上記ユーザの権限を認証する認証システムで実行される検証方法において、
    認証用データ記憶手段(106)が、認証用データ(C)を記憶するステップと、
    必須情報記憶手段(102)が、上記証明用データ(R)を生成するための必須情報(I)を記憶するステップと、
    証明用データを生成するための制御情報(L)であって複数の必須情報からなるリストを持つ上記制御情報、ユーザの固有情報(e)および、認証用補助情報(t)(この認証用補助情報(t)は認証の特徴情報(D)とユーザの固有情報(e)と上記証明用データを生成するための制御情報(L)とに第1の演算を施して生成されるものである)を保持する上記証明装置(20)に、上記認証用データ(C)および上記必須情報(I)を送出するステップと、
    上記証明装置(20)に保持されている制御情報(L)と上記証明装置(20)に送出された必須情報(I)とが、上記制御情報(L)が持つリストに上記必須情報(I)が含まれている関係を満たすときに、上記証明装置(20)から送られてくる、少なくとも上記認証用データ(C)、上記制御情報(L)、上記必須情報(I)および認証用補助情報(t)とに対して第2の演算を施して上記証明装置(20)において生成された証明用データ(R)を受け取るステップと、
    検証手段(108)が、上記証明用データ(R)が上記認証の特徴情報(D)に基づいて生成されていることを検証するステップとを有し、
    上記証明装置(20)における上記認証用補助情報(t)を生成するために予め定められた第1の演算と、上記証明用データ(R)を生成するために予め定められた第2の演算とを、上記認証の特徴情報(D)、ユーザの固有情報(e)、上記制御情報(L)、上記認証用データ(C)及び上記必須情報(I)が対応する場合に上記検証手段が上記証明用データ(R)を正当なものと検証するように選定し、
    上記検証手段は、上記証明装置(20)から送られた上記証明用データ(R)が正当な証明用データ(R)でない場合には当該証明用データ(R)は上記認証の特徴情報(D)に基づいて生成されたものでないと判定し、
    さらに上記制御情報(L)は、複数の検証装置のそれぞれの必須情報(I)との間で上記制御情報(L)が持つリストに上記必須情報(I)が含まれている関係を満たすように選定されていることを特徴とする検証方法。
  11. 証明装置によりユーザの権限を証明するために生成された証明用データ(R)の正当性を検証装置により検証して上記ユーザの権限を認証する認証システムで用いられる上記証明装置において、
    ユーザの固有情報(e)を記憶する記憶手段(205)と、
    上記検証装置(10)から送られてくる認証用データ(C)を記憶する認証用データ記憶手段(201)と、
    上記証明用データを生成するための制御情報(L)であって複数の必須情報からなるリストを持つものを記憶する制御情報記憶手段(203)と、
    認証の特徴情報(D)と、上記記憶手段に記憶されているユーザの固有情報(e)と、上記第2の記憶手段に記憶されている証明用データを生成するための制御情報(L)とに第1の演算を施して生成される認証用補助情報(t)を保持する認証用補助情報記憶手段(202)と、
    上記証明用データ(R)を生成するための必須情報(I)を上記検証装置から受け取って記憶する必須情報記憶手段(201)と、
    上記制御情報(L)と、上記必須情報(I)とが、上記制御情報(L)が持つリストに上記必須情報(I)が含まれている関係を満たすことを検査する必須情報検査手段(204)と、
    上記必須情報検査手段(204)の検査結果が上記制御情報(L)が持つリストに上記必須情報(I)が含まれている関係を満たす場合にのみ、少なくとも上記認証用データ(C)と上記制御情報(L)と上記必須情報(I)と上記認証用補助情報(t)とに対して第2の演算を施して証明用データ(R)を生成する証明用データ生成手段(209)とを有し、
    上記生成した証明用データ(R)を前記証明用データ(R)が上記認証の特徴情報(D)に基づいて生成されていることを検証する検証手段を有する上記検証装置(10)に送出し、
    上記認証用補助情報(t)を生成するために予め定められた第1の演算と、上記証明用データ(R)を生成するために予め定められた第2の演算とを、上記認証の特徴情報(D)、ユーザの固有情報(e)、上記制御情報(L)、上記認証用データ(C)及び上記必須情報(I)が対応する場合に上記検証手段が上記証明用データ(R)を正当なものと検証するように選定し、
    さらに上記制御情報(L)は、複数の検証装置のそれぞれの必須情報(I)との間で上記制御情報(L)が持つリストに上記必須情報(I)が含まれている関係を満たすように選定されていることを特徴とする証明装置。
  12. 証明装置によりユーザの権限を証明するために生成された証明用データ(R)の正当性を検証装置により検証して上記ユーザの権限を認証する認証システムで実行される証明方法において、
    ユーザ固有情報記憶手段(205)がユーザの固有情報(e)を記憶する記憶ステップと、
    認証用データ記憶手段(201)が、上記検証装置(10)から送られてくる認証用データ(C)を記憶するステップと、
    制御情報記憶手段(203)が、上記証明用データを生成するための制御情報(L)であって複数の必須情報から成るリストを持つものを記憶するステップと、
    認証用補助情報記憶手段(202)が、認証の特徴情報(D)と、上記記憶ステップで記憶されている上記ユーザの固有情報(e)と、上記第2の記憶手段に記憶されている証明用データを生成するための制御情報(L)とに第1の演算を施して生成される認証用補助情報(t)を保持するステップと、
    必須情報記憶手段(201)が、上記証明用データ(R)を生成するための必須情報(I)を上記検証装置から受け取って記憶するステップと、
    必須情報検査手段(204)が、上記制御情報(L)と、上記必須情報(I)とが、上記制御情報(L)が持つリストに上記必須情報(I)が含まれている関係を満たすことを検査するステップと、
    上記必須情報検査手段(204)の検査結果が上記制御情報(L)が持つリストに上記必須情報(I)が含まれている関係を満たす場合にのみ、証明用データ生成手段(209)が少なくとも上記認証用データ(C)と上記制御情報(L)と上記必須情報(I)と上記認証用補助情報(t)とに対して第2の演算を施して証明用データ(R)を生成するステップと、
    上記証明用データ(R)を前記証明用データ(R)が上記認証の特徴情報(D)に基づいて生成されていることを検証する検証手段を有する上記検証装置(10)に送出するステップとを有し、
    上記認証用補助情報(t)を生成するために予め定められた第1の演算と、上記証明用データ(R)を生成するために予め定められた第2の演算とを、上記認証の特徴情報(D)、ユーザの固有情報(e)、上記制御情報(L)、上記認証用データ(C)及び上記必須情報(I)が対応する場合に上記検証手段が上記証明用データ(R)を正当なものと検証するように選定し、
    さらに上記制御情報(L)は、複数の検証装置のそれぞれの必須情報(I)との間で上記制御情報(L)が持つリストに上記必須情報(I)が含まれている関係を満たすように選定されていることを特徴とする証明方法。
JP02414298A 1998-02-05 1998-02-05 認証装置および方法 Expired - Fee Related JP4113274B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP02414298A JP4113274B2 (ja) 1998-02-05 1998-02-05 認証装置および方法
US09/244,129 US6516413B1 (en) 1998-02-05 1999-02-04 Apparatus and method for user authentication

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP02414298A JP4113274B2 (ja) 1998-02-05 1998-02-05 認証装置および方法

Publications (2)

Publication Number Publication Date
JPH11225142A JPH11225142A (ja) 1999-08-17
JP4113274B2 true JP4113274B2 (ja) 2008-07-09

Family

ID=12130085

Family Applications (1)

Application Number Title Priority Date Filing Date
JP02414298A Expired - Fee Related JP4113274B2 (ja) 1998-02-05 1998-02-05 認証装置および方法

Country Status (2)

Country Link
US (1) US6516413B1 (ja)
JP (1) JP4113274B2 (ja)

Families Citing this family (59)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6963859B2 (en) 1994-11-23 2005-11-08 Contentguard Holdings, Inc. Content rendering repository
JPH08263438A (ja) * 1994-11-23 1996-10-11 Xerox Corp ディジタルワークの配給及び使用制御システム並びにディジタルワークへのアクセス制御方法
US6233684B1 (en) 1997-02-28 2001-05-15 Contenaguard Holdings, Inc. System for controlling the distribution and use of rendered digital works through watermaking
IL128609A0 (en) * 1999-02-18 2000-01-31 Nds Ltd Identification protocols
JP2001117823A (ja) * 1999-10-15 2001-04-27 Fuji Xerox Co Ltd アクセス資格認証機能付きデータ記憶装置
US6915344B1 (en) * 1999-11-30 2005-07-05 Microsoft Corporation Server stress-testing response verification
CN1439139A (zh) * 2000-03-24 2003-08-27 通达商业集团国际公司 用于检测欺诈性交易的系统和方法
JP4973899B2 (ja) 2000-07-06 2012-07-11 ソニー株式会社 送信装置、送信方法、受信装置、受信方法、記録媒体、および通信システム
JP2002063167A (ja) * 2000-08-16 2002-02-28 Fuji Xerox Co Ltd オブジェクト管理方法および装置
US8225414B2 (en) * 2000-08-28 2012-07-17 Contentguard Holdings, Inc. Method and apparatus for identifying installed software and regulating access to content
US7743259B2 (en) * 2000-08-28 2010-06-22 Contentguard Holdings, Inc. System and method for digital rights management using a standard rendering engine
US7343324B2 (en) * 2000-11-03 2008-03-11 Contentguard Holdings Inc. Method, system, and computer readable medium for automatically publishing content
US6912294B2 (en) * 2000-12-29 2005-06-28 Contentguard Holdings, Inc. Multi-stage watermarking process and system
US8069116B2 (en) * 2001-01-17 2011-11-29 Contentguard Holdings, Inc. System and method for supplying and managing usage rights associated with an item repository
US7774279B2 (en) * 2001-05-31 2010-08-10 Contentguard Holdings, Inc. Rights offering and granting
US20040039704A1 (en) * 2001-01-17 2004-02-26 Contentguard Holdings, Inc. System and method for supplying and managing usage rights of users and suppliers of items
US6754642B2 (en) * 2001-05-31 2004-06-22 Contentguard Holdings, Inc. Method and apparatus for dynamically assigning usage rights to digital works
US7028009B2 (en) * 2001-01-17 2006-04-11 Contentguardiholdings, Inc. Method and apparatus for distributing enforceable property rights
JP4284867B2 (ja) * 2001-01-18 2009-06-24 株式会社日立製作所 標準モデル上で適応的選択暗号文攻撃に対して安全な公開鍵暗号方法
US6895503B2 (en) * 2001-05-31 2005-05-17 Contentguard Holdings, Inc. Method and apparatus for hierarchical assignment of rights to documents and documents having such rights
US7222104B2 (en) * 2001-05-31 2007-05-22 Contentguard Holdings, Inc. Method and apparatus for transferring usage rights and digital work having transferrable usage rights
US8275709B2 (en) * 2001-05-31 2012-09-25 Contentguard Holdings, Inc. Digital rights management of content when content is a future live event
US7725401B2 (en) * 2001-05-31 2010-05-25 Contentguard Holdings, Inc. Method and apparatus for establishing usage rights for digital content to be created in the future
US8275716B2 (en) * 2001-05-31 2012-09-25 Contentguard Holdings, Inc. Method and system for subscription digital rights management
US6876984B2 (en) 2001-05-31 2005-04-05 Contentguard Holdings, Inc. Method and apparatus for establishing usage rights for digital content to be created in the future
US8001053B2 (en) * 2001-05-31 2011-08-16 Contentguard Holdings, Inc. System and method for rights offering and granting using shared state variables
US20030009424A1 (en) * 2001-05-31 2003-01-09 Contentguard Holdings, Inc. Method for managing access and use of resources by verifying conditions and conditions for use therewith
US8099364B2 (en) * 2001-05-31 2012-01-17 Contentguard Holdings, Inc. Digital rights management of content when content is a future live event
WO2003007213A1 (en) * 2001-06-07 2003-01-23 Contentguard Holdings, Inc. Method and apparatus managing the transfer of rights
US7774280B2 (en) 2001-06-07 2010-08-10 Contentguard Holdings, Inc. System and method for managing transfer of rights using shared state variables
EP1340134A4 (en) * 2001-06-07 2004-07-28 Contentguard Holdings Inc METHOD AND DEVICE FOR SUPPORTING MULTIPLE TRUST ZONES IN A MANAGEMENT SYSTEM FOR DIGITAL RIGHTS
JP3668175B2 (ja) * 2001-10-24 2005-07-06 株式会社東芝 個人認証方法、個人認証装置および個人認証システム
US7840488B2 (en) * 2001-11-20 2010-11-23 Contentguard Holdings, Inc. System and method for granting access to an item or permission to use an item based on configurable conditions
US7974923B2 (en) * 2001-11-20 2011-07-05 Contentguard Holdings, Inc. Extensible rights expression processing system
WO2003044716A2 (en) * 2001-11-20 2003-05-30 Contentguard Holdings, Inc. An extensible rights expression processing system
JP2003157332A (ja) * 2001-11-21 2003-05-30 Oki Electric Ind Co Ltd 本人確認装置、本人確認システム、カード発行装置及びカード発行システム
US20030154355A1 (en) * 2002-01-24 2003-08-14 Xtec, Incorporated Methods and apparatus for providing a memory challenge and response
US7805371B2 (en) * 2002-03-14 2010-09-28 Contentguard Holdings, Inc. Rights expression profile system and method
US20030229593A1 (en) * 2002-03-14 2003-12-11 Michael Raley Rights expression profile system and method
BR0308409A (pt) * 2002-03-14 2005-02-09 Contentguard Holdings Inc Método e aparelho para o processamento de uso de expressões de direitos de uso
MXPA04010541A (es) * 2002-04-29 2005-02-17 Contentguard Holdings Inc Sistema de manejo de derechos que usa lenguaje de expresiones de legalidad.
DE10239062A1 (de) * 2002-08-26 2004-04-01 Siemens Ag Verfahren zum Übertragen von verschlüsselten Nutzdatenobjekten
US7685642B2 (en) * 2003-06-26 2010-03-23 Contentguard Holdings, Inc. System and method for controlling rights expressions by stakeholders of an item
US20050097593A1 (en) * 2003-11-05 2005-05-05 Michael Raley System, method and device for selected content distribution
US20060107326A1 (en) * 2004-11-12 2006-05-18 Demartini Thomas Method, system, and device for verifying authorized issuance of a rights expression
US8660961B2 (en) 2004-11-18 2014-02-25 Contentguard Holdings, Inc. Method, system, and device for license-centric content consumption
US20060106726A1 (en) * 2004-11-18 2006-05-18 Contentguard Holdings, Inc. Method, system, and device for license-centric content consumption
US20060112015A1 (en) * 2004-11-24 2006-05-25 Contentguard Holdings, Inc. Method, system, and device for handling creation of derivative works and for adapting rights to derivative works
US20060248573A1 (en) * 2005-04-28 2006-11-02 Content Guard Holdings, Inc. System and method for developing and using trusted policy based on a social model
US20060271493A1 (en) * 2005-05-24 2006-11-30 Contentguard Holdings, Inc. Method and apparatus for executing code in accordance with usage rights
US20070005987A1 (en) * 2005-06-30 2007-01-04 Durham Lenitra M Wireless detection and/or containment of compromised electronic devices in multiple power states
US7949138B2 (en) * 2005-06-30 2011-05-24 Microsoft Corporation Secure instant messaging
CN101278510B (zh) * 2005-09-29 2013-03-27 康坦夹德控股股份有限公司 使用具有发放权限的先进副本和受控副本令牌的数字权限管理用的系统和方法
US7720767B2 (en) * 2005-10-24 2010-05-18 Contentguard Holdings, Inc. Method and system to support dynamic rights and resources sharing
US7886355B2 (en) * 2006-06-30 2011-02-08 Motorola Mobility, Inc. Subsidy lock enabled handset device with asymmetric verification unlocking control and method thereof
US20080003980A1 (en) * 2006-06-30 2008-01-03 Motorola, Inc. Subsidy-controlled handset device via a sim card using asymmetric verification and method thereof
JP4980846B2 (ja) * 2007-10-22 2012-07-18 株式会社リコー 画像形成装置及び利用制限方法
US8467512B2 (en) * 2009-07-30 2013-06-18 International Business Machines Corporation Method and system for authenticating telephone callers and avoiding unwanted calls
US20170300673A1 (en) * 2016-04-19 2017-10-19 Brillio LLC Information apparatus and method for authorizing user of augment reality apparatus

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5987134A (en) * 1996-02-23 1999-11-16 Fuji Xerox Co., Ltd. Device and method for authenticating user's access rights to resources
DE69704684T2 (de) 1996-02-23 2004-07-15 Fuji Xerox Co., Ltd. Vorrichtung und Verfahren zur Authentifizierung von Zugangsrechten eines Benutzers zu Betriebsmitteln nach dem Challenge-Response-Prinzip
US6088450A (en) * 1996-04-17 2000-07-11 Intel Corporation Authentication system based on periodic challenge/response protocol
US6173400B1 (en) * 1998-07-31 2001-01-09 Sun Microsystems, Inc. Methods and systems for establishing a shared secret using an authentication token

Also Published As

Publication number Publication date
JPH11225142A (ja) 1999-08-17
US6516413B1 (en) 2003-02-04

Similar Documents

Publication Publication Date Title
JP4113274B2 (ja) 認証装置および方法
JP3613929B2 (ja) アクセス資格認証装置および方法
JP3613936B2 (ja) アクセス資格認証装置
US8572673B2 (en) Data processing apparatus and method
EP0881559B1 (en) Computer system for protecting software and a method for protecting software
JP3622433B2 (ja) アクセス資格認証装置および方法
US7305556B2 (en) Secure printing with authenticated printer key
US6148404A (en) Authentication system using authentication information valid one-time
JP3614057B2 (ja) アクセス資格認証方法および装置ならびに証明用補助情報作成方法および装置
JP4622811B2 (ja) 電子文書の真正性保証システム
JPH11231775A (ja) 条件付き認証装置および方法
JPH11122240A (ja) 復号装置および方法ならびにアクセス資格認証装置および方法
KR20010052105A (ko) 생체 측정 데이터를 이용한 암호키 발생
Almeida et al. A machine-checked proof of security for AWS key management service
CN111241492A (zh) 一种产品多租户安全授信方法、系统及电子设备
JP6533542B2 (ja) 秘密鍵複製システム、端末および秘密鍵複製方法
CN113890768A (zh) 设备认证方法和系统、物联网设备和认证服务器
JPH10282882A (ja) 認証子付与方法および認証子付与装置
CN116707983A (zh) 授权认证方法及装置、接入认证方法及装置、设备、介质
JP2004140636A (ja) 電子文書の署名委任システム、署名委任サーバ及び署名委任プログラム
CN108322311B (zh) 数字证书的生成方法及装置
JP2004228958A (ja) 署名方法および署名プログラム
JPH11215121A (ja) 認証装置および方法
JP2008090701A (ja) 認証アクセス制御システム及びこれに使用するアドインモジュール
CN113162762B (zh) 密钥授权方法、加密机、终端及存储介质

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20050510

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050711

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20050823

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20051011

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20051121

A912 Re-examination (zenchi) completed and case transferred to appeal board

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20060616

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080305

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080411

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110418

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110418

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120418

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130418

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140418

Year of fee payment: 6

LAPS Cancellation because of no payment of annual fees