JPH10242957A - User authentication method, system therefor and storage medium for user authentication - Google Patents
User authentication method, system therefor and storage medium for user authenticationInfo
- Publication number
- JPH10242957A JPH10242957A JP9042721A JP4272197A JPH10242957A JP H10242957 A JPH10242957 A JP H10242957A JP 9042721 A JP9042721 A JP 9042721A JP 4272197 A JP4272197 A JP 4272197A JP H10242957 A JPH10242957 A JP H10242957A
- Authority
- JP
- Japan
- Prior art keywords
- user
- client computer
- computer
- server computer
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Computer And Data Communications (AREA)
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は、サーバコンピュー
タに対してクライアントコンピュータからネットワーク
経由で接続する際に、ユーザ認証を行うための情報をネ
ットワーク経由で安全に送信するための暗号処理を行う
プログラム自身をクライアントとサーバとの間で移動さ
せることによって、安全にユーザ認証を行うようにした
ユーザ認証方法およびシステムおよび認証用記憶媒体に
関するものである。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a program for performing encryption processing for securely transmitting information for user authentication via a network when a client computer connects to a server computer via a network. The present invention relates to a user authentication method and system, and a storage medium for authentication, in which user authentication is performed safely by moving a user between a client and a server.
【0002】[0002]
【従来の技術】ネットワークインフラの発展により、ク
ライアント・サーバ型のコンピューティング環境が広ま
ってきている。クライアントコンピュータからサーバコ
ンピュータにアクセスする際には、サーバコンピュータ
上の情報にアクセスできる権限を確認するために、必ず
ユーザ認証が行われる。2. Description of the Related Art With the development of network infrastructure, a client-server type computing environment has been widespread. When a client computer accesses a server computer, user authentication is always performed to confirm the right to access information on the server computer.
【0003】例えば、「telnet」というプログラムで
は、マルチユーザ環境のサーバコンピュータにログイン
する際に、ユーザIDと認証識別子をクライアントコン
ピュータからサーバコンピュータに送信し、サーバコン
ピュータ内に蓄積されているユーザ認証情報と合致する
かどうかを確認することで、サーバコンピュータへのロ
グインを許可する仕組みをとっている。For example, a program called "telnet" transmits a user ID and an authentication identifier from a client computer to a server computer when logging in to a server computer in a multi-user environment, and stores user authentication information stored in the server computer. By checking whether or not it matches, a mechanism that allows login to the server computer is adopted.
【0004】また、電子メールサーバコンピュータに蓄
積された電子メールにアクセスする際にも、受信者であ
ることを確認するために、ユーザIDと認証識別子がネ
ットワークを通じてクライアントコンピュータから電子
メールサーバコンピュータに送信される。Also, when accessing an e-mail stored in an e-mail server computer, a user ID and an authentication identifier are transmitted from the client computer to the e-mail server computer via a network in order to confirm the recipient. Is done.
【0005】また、急速に広がっているWWWシステム
においても、一部の情報へのアクセス制御を行う際に、
予め登録されたユーザIDと認証識別子をクライアント
コンピュータからWWWサーバコンピュータに送信する
必要がある。[0005] Further, even in a WWW system that is rapidly spreading, when controlling access to some information,
It is necessary to transmit a user ID and an authentication identifier registered in advance from the client computer to the WWW server computer.
【0006】従来、ネットワーク上を流れるデータは、
暗号処理を施されていなかったため、ネットワーク上を
流れるパケットをモニタすることによって簡単に盗聴が
可能であったため、大きな問題となっていた。これを解
決するために、各アプリケーションごとに暗号機能を取
り入れる動きが生じている。Conventionally, data flowing on a network is
Since encryption processing was not performed, eavesdropping could be easily performed by monitoring packets flowing on the network, which was a major problem. In order to solve this, there has been a movement to introduce a cryptographic function for each application.
【0007】例えば、WWWサーバへのアクセスに関し
ては、SSL(Secure Socket Layer)と呼ばれる暗号処理を
含めた通信プロトコルが考案され、商用サーバへの搭載
が進んでいる。また、「Secure Telnet」と呼ばれるク
ライアント・サーバ間の通信を全て暗号化するプログラ
ムも開発されている。For example, with respect to access to a WWW server, a communication protocol including encryption processing called SSL (Secure Socket Layer) has been devised, and mounting on a commercial server is progressing. Also, a program called "Secure Telnet" has been developed to encrypt all communications between the client and server.
【0008】[0008]
【発明が解決しようとする課題】しかし、上記従来技術
では、クライアントコンピュータとサーバコンピュータ
上に同じ暗号処理を行うプログラムが存在していること
を前提にしている。例えば、上記のSSLでは通信を開始
するにあたって、クライアントコンピュータとサーバコ
ンピュータとの間で、自分が処理可能な暗号機能を送信
し合ってネゴシエーションを行うが、もし両者に同時に
存在する暗号処理プログラムがなかった場合は、暗号処
理を行わずに通信するようになっている。さらに、利用
可能な暗号処理方法は標準として決まっている一部の方
式だけであり、新規に考案された強度の強い方式がすぐ
には利用することができない。However, in the above-mentioned prior art, it is assumed that a program for performing the same encryption processing exists on the client computer and the server computer. For example, in the above-mentioned SSL, when starting communication, the client computer and the server computer send and receive negotiations between cryptographic functions that they can process, but if there is no cryptographic processing program that exists simultaneously in both. In such a case, communication is performed without performing encryption processing. Further, only some of the encryption processing methods that can be used as standard are available, and a newly devised strong method cannot be used immediately.
【0009】本発明は、クライアントコンピュータとサ
ーバコンピュータ間でのユーザ認証を安全に行うための
暗号処理機能が、サーバ・クライアントの両者に同時に
存在しなくとも、ネットワーク上に流れるデータの暗号
化を可能にし、ユーザ認証の安全性を確保することがで
きるユーザ認証方法およびシステムおよび認証用記憶媒
体を提供することを目的とするものである。According to the present invention, an encryption processing function for securely performing user authentication between a client computer and a server computer can encrypt data flowing over a network even if both the server and the client do not simultaneously exist. Another object of the present invention is to provide a user authentication method and system and a storage medium for authentication that can ensure the security of user authentication.
【0010】[0010]
【課題を解決するための手段】上記目的を達成するため
に、本発明のユーザ認証方法は、基本的には、クライア
ントコンピュータとサーバコンピュータ間でのユーザ認
証を安全に行うための暗号処理プログラムがサーバ・ク
ライアントの両者に同時に存在しなかった場合、暗号処
理プログラムを存在(保有)する側から存在しない側
(保有していない側)に送信し、この送信した暗号処理
プログラムによってユーザ認証を行うようにしたことを
特徴とする。In order to achieve the above object, a user authentication method according to the present invention basically comprises an encryption processing program for securely performing user authentication between a client computer and a server computer. If the server does not exist in both the server and the client at the same time, the encryption processing program is transmitted from the existing (holding) side to the non-existing side (non-holding side), and user authentication is performed by the transmitted encryption processing program. It is characterized by the following.
【0011】詳しくは、暗号処理プログラムをサーバコ
ンピュータが保有していなかった場合、クライアントコ
ンピュータからサーバコンピュータに対するユーザ識別
情報を含む接続要求に対し、サーバコンピュータからク
ライアントコンピュータにユーザ認証要求を送信し、そ
のユーザ認証要求に対してクライアントコンピュータか
らサーバコンピュータに対してクライアントコンピュー
タ自身が保有する暗号処理プログラムのリストを送信さ
せ、該リスト中に含まれる暗号処理プログラムをサーバ
コンピュータが保有していなければ、クライアントコン
ピュータから当該クライアントコンピュータが保有する
暗号処理プログラムの1つと、この暗号処理プログラム
で暗号化したユーザ認証情報とをサーバコンピュータに
送信させ、サーバコンピュータにおいては受信した暗号
処理プログラムとユーザ認証情報とに基づいてクライア
ントコンピュータを利用するユーザの認証を実施するこ
とを特徴とする。More specifically, if the server computer does not have the encryption processing program, the server computer transmits a user authentication request to the client computer in response to a connection request including user identification information from the client computer to the server computer. In response to the user authentication request, the client computer transmits a list of cryptographic processing programs held by the client computer itself to the server computer. If the server computer does not have a cryptographic processing program included in the list, the client computer Transmits to the server computer one of the cryptographic processing programs held by the client computer and the user authentication information encrypted by the cryptographic processing program. Which comprises carrying out the authentication of the user who utilizes the client computer on the basis of the cipher processing program and the user authentication information received in the computer.
【0012】ここで、クライアントコンピュータからサ
ーバコンピュータに送信する前記ユーザ認証情報は、サ
ーバコンピュータがクライアントコンピュータが保有す
る暗号処理プログラムを保有していないことを示す情報
と共にサーバコンピュータから受信した任意の初期鍵
と、ユーザが入力した認証識別子とを暗号化鍵として、
ユーザが入力したユーザ識別情報をサーバコンピュータ
に送信した暗号処理プログラムと同じ暗号処理プログラ
ムで暗号化したものであり、サーバコンピュータは、こ
の受信したユーザ認証情報に対し、接続要求時に受信し
たユーザ識別情報により当該ユーザ識別情報と1組にし
て予め登録されている当該ユーザの認証識別子を記憶装
置から取り出し、この認証識別子とクライアントコンピ
ュータに送信したのと同じ前記初期鍵とを暗号鍵とし、
クライアントコンピュータから受信した暗号処理プログ
ラムで接続要求時に受信したユーザ識別情報を暗号化
し、その暗号化したユーザ識別情報とクライアントコン
ピュータから受信した前記ユーザ認証情報とが一致する
か否かによってクライアントコンピュータを利用するユ
ーザの認証を行う。Here, the user authentication information transmitted from the client computer to the server computer includes an arbitrary initial key received from the server computer together with information indicating that the server computer does not have the encryption processing program held by the client computer. And the authentication identifier entered by the user as an encryption key,
The user identification information input by the user is encrypted by the same encryption processing program as the encryption processing program transmitted to the server computer. The server computer responds to the received user authentication information with the user identification information received at the time of the connection request. The authentication identifier of the user registered in advance as a set with the user identification information is extracted from the storage device, and the authentication identifier and the same initial key as transmitted to the client computer are used as an encryption key,
The encryption processing program received from the client computer encrypts the user identification information received at the time of the connection request, and uses the client computer according to whether the encrypted user identification information matches the user authentication information received from the client computer. Authenticates the user to perform
【0013】また、クライアントコンピュータが暗号処
理プログラムを保有していなかった場合、クライアント
コンピュータからサーバコンピュータに対するユーザ識
別情報を含む接続要求に対し、サーバコンピュータから
クライアントコンピュータにユーザ認証要求を送信し、
そのユーザ認証要求に対してクライアントコンピュータ
からサーバコンピュータに対してクライアントコンピュ
ータ自身が保有する暗号処理プログラムのリストを送信
させる際に、クライアントコンピュータが暗号処理プロ
グラムを保有していなければ、サーバコンピュータから
当該サーバコンピュータが保有する暗号処理プログラム
の1つをサーバコンピュータに送信させ、クライアント
コンピュータにおいては受信した暗号処理プログラムに
よって暗号化したユーザ認証情報をサーバコンピュータ
に送信し、クライアントコンピュータを利用するユーザ
の認証を受けることを特徴とする。If the client computer does not have the cryptographic processing program, the server computer transmits a user authentication request to the client computer in response to the connection request including the user identification information from the client computer to the server computer,
When the client computer transmits a list of cryptographic processing programs held by the client computer itself to the server computer in response to the user authentication request, if the client computer does not have the cryptographic processing program, the server computer transmits the list of cryptographic processing programs to the server. One of the cryptographic processing programs possessed by the computer is transmitted to the server computer, the client computer transmits the user authentication information encrypted by the received cryptographic processing program to the server computer, and receives authentication of the user using the client computer. It is characterized by the following.
【0014】ここで、クライアントコンピュータが暗号
処理プログラムを保有していない場合、さらに詳しく
は、暗号処理プログラムを保有していないことを示す情
報と共に任意に生成したクライアント初期鍵と、ユーザ
が入力したユーザ識別情報とをサーバコンピュータに送
信し、サーバコンピュータは、クライアントコンピュー
タから受信したユーザ識別情報により当該ユーザ識別情
報と1組にして予め登録されている当該ユーザの認証識
別子を記憶装置から取り出し、この認証識別子を暗号鍵
として、クライアントコンピュータから受信したクライ
アント初期鍵とサーバコンピュータで任意に生成したサ
ーバ初期鍵とをクライアントコンピュータに送信したの
と同じ暗号処理プログラムによって暗号化してクライア
ントコンピュータに送信し、クライアントコンピュータ
は、受信した暗号処理プログラムとユーザが入力した認
証識別子によってサーバコンピュータから受信したクラ
イアント初期鍵を復号し、暗号処理プログラムがユーザ
認証要求を送信したサーバコンピュータから送信された
ものであることを確認した後、サーバ初期鍵をユーザが
入力した認証識別子で復号し、その復号したサーバ識別
子とユーザが入力した認証識別子を暗号鍵として、ユー
ザが入力したユーザ識別情報を前記暗号処理プログラム
によって暗号化してサーバコンピュータに送信し、サー
バコンピュータは、クライアントコンピュータに送信し
たのと同じサーバ初期鍵と記憶装置から取り出した前記
認証識別子とを暗号鍵として、クライアントコンピュー
タから受信した暗号化ユーザ識別情報を復号し、その復
号したユーザ識別情報とクライアント初期鍵と共に受信
したユーザ識別情報とが一致するか否かによってクライ
アントコンピュータを利用するユーザの認証を行う。Here, when the client computer does not have the encryption processing program, more specifically, a client initial key arbitrarily generated together with information indicating that the client computer does not have the encryption processing program, The identification information is transmitted to the server computer, and the server computer retrieves, from the storage device, an authentication identifier of the user registered in advance as a set together with the user identification information based on the user identification information received from the client computer. Using the identifier as an encryption key, the client initial key received from the client computer and the server initial key arbitrarily generated by the server computer are encrypted by the same encryption processing program that was transmitted to the client computer, and are encrypted by the client computer. The client computer decrypts the client initial key received from the server computer using the received encryption processing program and the authentication identifier input by the user, and the client computer transmits the user authentication request from the server computer. After confirming that there is, the server initial key is decrypted with the authentication identifier input by the user, and the decrypted server identifier and the authentication identifier input by the user are used as encryption keys, and the user identification information input by the user is encrypted by the encryption processing program. The server computer transmits the encrypted user identification information received from the client computer, using the same server initial key transmitted to the client computer and the authentication identifier extracted from the storage device as an encryption key. Decode, performs authentication of the user and the user identification information received together with the user identification information and the client initialization key that the decoding utilizes the client computer according to whether coincident.
【0015】本発明のユーザ認証システムはネットワー
クで接続されたサーバコンピュータとクライアントコン
ピュータで構成され、前記サーバコンピュータは、クラ
イアントコンピュータからサーバコンピュータに対する
ユーザ識別情報を含む接続要求に対し、クライアントコ
ンピュータにユーザ認証要求を送信する第1の手段と、
そのユーザ認証要求に対してクライアントコンピュータ
から受信した暗号処理プログラムのリスト中に含まれる
暗号処理プログラムをサーバコンピュータ自身が保有し
ているか否かを判断し、保有していなければ、そのこと
を示す非保有情報をクライアントコンピュータに送信す
る第2の手段と、この非保有情報に対してクライアント
コンピュータから受信した暗号処理プログラムとユーザ
認証情報とに基づいてクライアントコンピュータを利用
するユーザの認証を行う第3の手段とを備え、前記クラ
イアントコンピュータは、サーバコンピュータからの前
記ユーザ認証要求に対し、クライアントコンピュータ自
身が保有する暗号処理プログラムのリストを送信する第
4の手段と、前記非保有情報に対して当該クライアント
コンピュータが保有する暗号処理プログラムの1つと、
この暗号処理プログラムで暗号化したユーザ認証情報と
をサーバコンピュータに送信する第5の手段とを備える
ことを特徴とする。A user authentication system according to the present invention comprises a server computer and a client computer connected to a network, and the server computer authenticates the client computer in response to a connection request including user identification information from the client computer to the server computer. First means for sending the request;
It is determined whether or not the server computer itself has the cryptographic processing program included in the list of cryptographic processing programs received from the client computer in response to the user authentication request. A second means for transmitting the retained information to the client computer; and a third means for authenticating a user who uses the client computer based on the encryption processing program and the user authentication information received from the client computer for the non-retained information. Means for transmitting a list of cryptographic processing programs held by the client computer in response to the user authentication request from a server computer; and Computer One of the cryptographic processing program that,
Fifth means for transmitting the user authentication information encrypted by the encryption processing program to the server computer.
【0016】また、前記サーバコンピュータは、クライ
アントコンピュータからサーバコンピュータに対するユ
ーザ識別情報を含む接続要求に対し、クライアントコン
ピュータにユーザ認証要求を送信する第1の手段と、そ
のユーザ認証要求に対してクライアントコンピュータか
ら暗号処理プログラムを保有していないことを表す非保
有情報を受信したならば、当該サーバコンピュータが保
有する暗号処理プログラムの1つをクライアントコンピ
ュータに送信する第2の手段と、送信した暗号処理プロ
グラムによってクライアントコンピュータから受信した
ユーザ認証情報に基づいてクライアントコンピュータを
利用するユーザの認証を行う第3の手段とを備え、前記
クライアントコンピュータは、サーバコンピュータから
受信した前記ユーザ認証要求に対し、暗号処理プログラ
ムを保有していなければ、そのことを表す非保有情報を
サーバコンピュータに送信する第4の手段と、送信した
非保有情報に対してサーバコンピュータから受信した暗
号処理プログラムによって暗号化したユーザ認証情報を
サーバコンピュータに送信する第5の手段とを備えるこ
とを特徴とする。The server computer may further comprise: first means for transmitting a user authentication request to the client computer in response to a connection request including user identification information from the client computer to the server computer; A second means for transmitting one of the cryptographic processing programs held by the server computer to the client computer upon receipt of non-holding information indicating that the cryptographic processing program is not stored from the server; And a third means for authenticating a user who uses the client computer based on the user authentication information received from the client computer by the client computer. A fourth means for transmitting non-holding information indicating that the authentication request does not have a cryptographic processing program to the server computer, and a cryptographic processing program received from the server computer for the transmitted non-holding information; Fifth means for transmitting the user authentication information encrypted by the server computer to the server computer.
【0017】また、サーバコンピュータがユーザ認証を
行うためのプログラムを記憶した本発明のユーザ認証用
記憶媒体は、クライアントコンピュータからサーバコン
ピュータに対するユーザ識別情報を含む接続要求に対
し、クライアントコンピュータにユーザ認証要求を送信
する第1の処理と、そのユーザ認証要求に対してクライ
アントコンピュータから受信した暗号処理プログラムの
リスト中に含まれる暗号処理プログラムをサーバコンピ
ュータ自身が保有しているか否かを判断し、保有してい
なければ、そのことを示す非保有情報をクライアントコ
ンピュータに送信する第2の処理と、この非保有情報に
対してクライアントコンピュータから受信した暗号処理
プログラムとユーザ認証情報とに基づいてクライアント
コンピュータを利用するユーザの認証を行う第3の処理
とを含むプログラムを記憶していることを特徴とする。Further, the storage medium for user authentication according to the present invention, in which the server computer stores a program for performing user authentication, provides a user authentication request to the client computer in response to a connection request including user identification information from the client computer to the server computer. And whether the server computer itself has the cryptographic processing program included in the list of cryptographic processing programs received from the client computer in response to the user authentication request. If not, a second process of transmitting non-retained information indicating that to the client computer, and using the client computer based on the encryption processing program and user authentication information received from the client computer for the non-retained information Characterized in that it stores a program and a third process of authenticating the user that.
【0018】これに対し、クライアントコンピュータが
ユーザ認証を行うためのプログラムを記憶した本発明の
ユーザ認証用記憶媒体は、クライアントコンピュータか
らサーバコンピュータに対するユーザ識別情報を含む接
続要求を送信する第1の処理と、この接続要求に対して
サーバコンピュータから受信したユーザ認証要求に対
し、クライアントコンピュータ自身が保有する暗号処理
プログラムのリストを送信する第2の処理と、送信した
暗号処理プログラムのリストに対して当該リスト中に含
まれる暗号処理プログラムをサーバコンピュータ自身が
保有していないことを示す非保有情報をサーバコンピュ
ータから受信したならば、その非保有情報に対して当該
クライアントコンピュータが保有する暗号処理プログラ
ムの1つと、この暗号処理プログラムで暗号化したユー
ザ認証情報とをサーバコンピュータに送信する第3の処
理とを含むプログラムを記憶していることを特徴とす
る。On the other hand, the storage medium for user authentication according to the present invention in which a program for performing user authentication by the client computer is stored is a first process for transmitting a connection request including user identification information from the client computer to the server computer. A second process of transmitting a list of cryptographic processing programs held by the client computer itself in response to a user authentication request received from the server computer in response to the connection request; If non-holding information indicating that the server computer itself does not hold the encryption processing program included in the list is received from the server computer, one of the encryption processing programs held by the client computer for the non-holding information is received. And this darkness Characterized in that the encryption processing program to the user authentication information by storing a program and a third process of transmitting to the server computer.
【0019】また、サーバコンピュータがユーザ認証を
行うためのプログラムを記憶した本発明のユーザ認証用
記憶媒体は、クライアントコンピュータからサーバコン
ピュータに対するユーザ識別情報を含む接続要求に対
し、クライアントコンピュータにユーザ認証要求を送信
する第1の処理と、そのユーザ認証要求に対してクライ
アントコンピュータから暗号処理プログラムを保有して
いないことを表す非保有情報を受信したならば、当該サ
ーバコンピュータが保有する暗号処理プログラムの1つ
をクライアントコンピュータに送信する第2の処理と、
送信した暗号処理プログラムによって暗号化してクライ
アントコンピュータから受信したユーザ認証情報に基づ
いてクライアントコンピュータを利用するユーザの認証
を行う第3の処理とを含むプログラムを記憶しているこ
とを特徴とする。The user authentication storage medium of the present invention, in which a server computer stores a program for performing user authentication, provides a user authentication request to a client computer in response to a connection request including user identification information from the client computer to the server computer. And the non-holding information indicating that the user does not have the cryptographic processing program is received from the client computer in response to the user authentication request. A second process of transmitting one to the client computer;
And a third process for authenticating a user who uses the client computer based on the user authentication information received from the client computer after being encrypted by the transmitted encryption processing program.
【0020】これに対し、クライアントコンピュータが
ユーザ認証を行うためのプログラムを記憶した本発明の
ユーザ認証用記憶媒体は、クライアントコンピュータか
らサーバコンピュータに対するユーザ識別情報を含む接
続要求を送信する第1の処理と、この接続要求に対して
サーバコンピュータから受信したユーザ認証要求に対
し、クライアントコンピュータが暗号処理プログラムを
保有していなければ、そのことを表す非保有情報をサー
バコンピュータに送信する第2の処理と、送信した非保
有情報に対してサーバコンピュータから受信した暗号処
理プログラムによって暗号化したユーザ認証情報をサー
バコンピュータに送信する第3の処理を含むプログラム
を記憶していることを特徴とする。On the other hand, the user authentication storage medium of the present invention in which the client computer stores a program for performing user authentication is a first process for transmitting a connection request including user identification information from the client computer to the server computer. If the client computer does not have the cryptographic processing program in response to the user authentication request received from the server computer in response to the connection request, a second process of transmitting non-holding information indicating that to the server computer, And storing a program including a third process of transmitting, to the server computer, user authentication information obtained by encrypting the transmitted non-holding information by the encryption processing program received from the server computer.
【0021】[0021]
【発明の実施の形態】以下、本発明の実施形態を図面を
用いて詳細に説明する。Embodiments of the present invention will be described below in detail with reference to the drawings.
【0022】図1は、本発明の実施形態を示すシステム
構成図である。この実施形態のユーザ認証用システム
は、サーバコンピュータ1と、このサーバコンピュータ
1にネットワーク3で接続されたクライアントコンピュ
ータ2とで構成されている。なお、図1においては、ク
ライアントコンピュータ2は1台のみを示しているが、
実用に際しては複数台以上がネットワーク3を直接経由
して、あるいはネットワーク3につながる他のネットワ
ークを経由してサーバコンピュータ1に接続される。FIG. 1 is a system configuration diagram showing an embodiment of the present invention. The system for user authentication of this embodiment includes a server computer 1 and a client computer 2 connected to the server computer 1 via a network 3. Although FIG. 1 shows only one client computer 2,
In practical use, a plurality of computers are connected to the server computer 1 via the network 3 directly or via another network connected to the network 3.
【0023】サーバコンピュータ1は、CPU11A、
メモリ11Bからなる端末装置11、ユーザID(ユー
ザ識別情報)と認証識別子の対を登録してあるユーザ認
証ファイル12Aと暗号処理プログラム12Bとが格納
されている外部記憶装置12と、通信ポート13とから
成る。The server computer 1 has a CPU 11A,
A terminal device 11 comprising a memory 11B, an external storage device 12 storing a user authentication file 12A in which a pair of a user ID (user identification information) and an authentication identifier is registered, and an encryption processing program 12B; Consists of
【0024】クライアントコンピュータ2は、CPU2
1A、メモリ21Bからなる端末装置21と、通信ポー
ト22とから成る。The client computer 2 has a CPU 2
1A, a terminal device 21 including a memory 21B, and a communication port 22.
【0025】図2は、サーバコンピュータ1の外部記憶
装置12に登録されているユーザ認証ファイル12Aの
構成を示したものであり、その内容はユーザID202
と認証識別子203の組が複数組登録されたものとなっ
ている。FIG. 2 shows the structure of the user authentication file 12 A registered in the external storage device 12 of the server computer 1, the contents of which are shown in FIG.
And a plurality of sets of authentication identifiers 203 are registered.
【0026】ユーザ認証ファイル12Aは、サーバコン
ピュータ1上で稼動するサービスアプリケーションごと
に、特別に用意してもよいが、UNIXやWindowsNTなどの
オペレーティングシステムが管理しているものをそのま
ま利用しても構わない。The user authentication file 12A may be specially prepared for each service application running on the server computer 1, but may be used as it is managed by an operating system such as UNIX or Windows NT. Absent.
【0027】図3は、サーバコンピュータ1の外部記憶
装置12内に、クライアントコンピュータ2が持ってい
る暗号処理方法に対応する暗号処理プログラムがない場
合のサーバ・クライアント間で通信される情報の流れを
示したものである。FIG. 3 shows the flow of information communicated between the server and the client when there is no encryption processing program corresponding to the encryption processing method of the client computer 2 in the external storage device 12 of the server computer 1. It is shown.
【0028】図4は、クライアントコンピュータ2に暗
号処理プログラムがない場合のサーバ・クライアント間
で通信される情報の流れを示したものである。FIG. 4 shows a flow of information communicated between the server and the client when the client computer 2 does not have an encryption processing program.
【0029】図1のシステム構成にあっては、クライア
ントコンピュータ2がサーバコンピュータ1上のサービ
スアプリケーションに対して接続しようとした際に、接
続要求を送信する(ステップ301,401)。この接
続要求に対し、サーバコンピュータ1はクライアントコ
ンピュータ2に対して、ユーザ認証のためにユーザID
と認証識別子を送信するように要求するためのユーザ認
証要求を送信する(ステップ302,402)。In the system configuration of FIG. 1, when the client computer 2 attempts to connect to the service application on the server computer 1, a connection request is transmitted (steps 301 and 401). In response to this connection request, the server computer 1 sends a user ID to the client computer 2 for user authentication.
And a user authentication request for requesting transmission of an authentication identifier (steps 302 and 402).
【0030】ユーザ認証要求を受けたクライアントコン
ピュータ2は、サーバコンピュータ1に対して、自身が
持っている暗号処理方法(暗号処理プログラム)のリス
トを送信する(ステップ303)。クライアントコンピ
ュータ2が暗号処理機能を持っていない場合については
後述する。Upon receiving the user authentication request, the client computer 2 transmits a list of its own encryption processing method (encryption processing program) to the server computer 1 (step 303). The case where the client computer 2 does not have the encryption processing function will be described later.
【0031】クライアントコンピュータ2から暗号処理
方法のリストを受信したサーバコンピュータ1は、自身
が持っている暗号処理機能が、受信した暗号処理方法の
リストに含まれている場合は、その中から1つを選択し
てクライアントコンピュータ2に送信する。これを受信
したクライアントコンピュータ2は、ユーザIDと認証
識別子を、サーバコンピュータ1が選択した暗号処理方
法で暗号化し、サーバコンピュータ1に送信する。この
段階までは、従来から実施されている手順と同じであ
る。When the server computer 1 receives the list of encryption processing methods from the client computer 2, if the encryption processing function of the server computer 1 is included in the received list of encryption processing methods, the server computer 1 selects one of them. Is transmitted to the client computer 2. The client computer 2 that has received this encrypts the user ID and the authentication identifier by the encryption processing method selected by the server computer 1 and transmits it to the server computer 1. Up to this stage, the procedure is the same as that conventionally performed.
【0032】しかし、サーバコンピュータ1が、クライ
アントコンピュータ2から受信した暗号処理方法のリス
トに含まれる暗号処理機能を保有していなかった場合、
逆にクライアントコンピュータ2が暗号処理機能を持っ
ていなかった場合、以下で説明する認証手順が実行され
る。However, if the server computer 1 does not have the cryptographic processing function included in the list of cryptographic processing methods received from the client computer 2,
Conversely, when the client computer 2 does not have the encryption processing function, the authentication procedure described below is executed.
【0033】まず、サーバコンピュータ1が、クライア
ントコンピュータ2から受信した暗号処理方法のリスト
に含まれる暗号処理機能を保有していなかった場合、保
有していないことを示すNULL(非保有情報)と暗号
処理のためのサーバ初期鍵を現在時刻から計算してクラ
イアントコンピュータ2に送信する(ステップ30
4)。First, when the server computer 1 does not have the cryptographic processing function included in the list of cryptographic processing methods received from the client computer 2, NULL (non-retained information) indicating that the server computer 1 does not have the cryptographic processing function A server initial key for processing is calculated from the current time and transmitted to the client computer 2 (step 30).
4).
【0034】NULLを受信したクライアントコンピュ
ータ2は、自身が保持する暗号処理機能から、暗号の強
度や処理速度などを検討して1つの暗号処理方法を選択
し、サーバコンピュータ1から受信したサーバ初期鍵と
ユーザ(クライアントコンピュータ2のユーザ)が入力
した認証識別子から暗号鍵を作成する。そして、この暗
号鍵を用いてユーザIDを暗号化し、この暗号化された
ユーザIDと前記選択した暗号処理方法に該当する暗号
処理プログラムとを、サーバコンピュータ1に送信する
(ステップ305)。The client computer 2 receiving the NULL selects one encryption processing method from the encryption processing function held by the client computer 2 in consideration of the encryption strength and processing speed, and selects the server initial key received from the server computer 1. Then, an encryption key is created from the authentication identifier input by the user (user of the client computer 2). Then, the user ID is encrypted using the encryption key, and the encrypted user ID and an encryption processing program corresponding to the selected encryption processing method are transmitted to the server computer 1 (step 305).
【0035】サーバコンピュータ1は、ユーザ認証ファ
イル12Aに登録されているユーザID202と認証識
別子203の組に対して、順にサーバ初期鍵と認証識別
子から暗号鍵を生成し、この暗号鍵を用いてクライアン
トコンピュータ2から受信した暗号処理プログラムによ
ってユーザIDを暗号化したものと、クライアントコン
ピュータ2から受信した暗号化ユーザIDとが一致する
かどうかを確認し、一致する場合は、正規のユーザであ
るものと認証する(ステップ306)。The server computer 1 generates an encryption key from a server initial key and an authentication identifier in order for a pair of a user ID 202 and an authentication identifier 203 registered in the user authentication file 12A, and uses the encryption key to generate a client key. It is checked whether the user ID encrypted by the encryption processing program received from the computer 2 matches the encrypted user ID received from the client computer 2, and if they match, it is determined that the user is an authorized user. Authentication is performed (step 306).
【0036】この際、暗号鍵はサーバ初期鍵と認証識別
子202から作成されるため、両者を持っているサーバ
コンピュータ1とクライアントコンピュータ2でしか暗
号化された情報(ユーザID)を復号することはできな
い。また、クライアント・サーバ間で送受信されている
データを盗聴して、後からなりすましてデータを送信し
たとしても、暗号鍵は現在時刻から計算されたサーバ初
期鍵を利用したものであるため、なりすましは不可能で
ある。At this time, since the encryption key is created from the server initial key and the authentication identifier 202, only the server computer 1 and the client computer 2 having both can decrypt the encrypted information (user ID). Can not. Also, even if data transmitted and received between the client and the server is eavesdropped and the data is spoofed later, the spoofing is performed because the encryption key uses the server initial key calculated from the current time. Impossible.
【0037】一方、クライアントコンピュータ2はサー
バコンピュータ1からの認証要求に対し、暗号処理機能
を保有していなかった場合、サーバコンピュータ1のサ
ービスアプリケーションからのユーザ認証要求に対し
て、NULL(非保有情報)と、ユーザが入力したユー
ザIDと、現在時刻から計算したクライアント初期鍵を
サーバコンピュータ1に送信する(ステップ403)。On the other hand, if the client computer 2 does not have the cryptographic processing function in response to the authentication request from the server computer 1, the client computer 2 responds to the user authentication request from the service application of the server computer 1 with NULL (non-holding information). ), The user ID input by the user, and the client initial key calculated from the current time are transmitted to the server computer 1 (step 403).
【0038】NULLを受信したサーバコンピュータ1
のサービスアプリケーションは、サーバコンピュータ1
が持っている暗号処理機能から、暗号の強度や処理速度
などを検討して1つの暗号処理プログラムを選択し、ユ
ーザIDに対応する認証識別子203を暗号鍵として利
用して、クライアント初期鍵と、自身の時刻から計算し
て作成したサーバ初期鍵とを暗号化し、その暗号化に使
用したのと同じ暗号処理プログラムと一緒にクライアン
トコンピュータ2に送信する(ステップ404)。Server computer 1 that has received NULL
Service application is a server computer 1
From among the cryptographic processing functions possessed by the user, one cryptographic processing program is selected by examining the strength and processing speed of cryptography, and an authentication identifier 203 corresponding to the user ID is used as a cryptographic key. It encrypts the server initial key calculated from its own time and sends it to the client computer 2 together with the same encryption processing program used for the encryption (step 404).
【0039】暗号化されたデータを受信したクライアン
トコンピュータ2は、ユーザが入力した認証識別子とサ
ーバコンピュータ1から受信した暗号処理プログラムを
用いてクライアント初期鍵を復号し、自身が送信したク
ライアント初期鍵と等しいかを調べることで、暗号処理
プログラムがサーバコンピュータ1のサービスアプリケ
ーションから送信されてきたことを確認する。その後、
サーバ初期鍵を認証識別子で復号し、サーバ初期鍵と認
証識別子から暗号鍵を作成する。そして、この暗号鍵を
用いてユーザIDを暗号化し、サーバコンピュータ1に
送信する(ステップ405)。The client computer 2 having received the encrypted data decrypts the client initial key using the authentication identifier input by the user and the encryption processing program received from the server computer 1, and transmits the client initial key transmitted by itself. By checking whether they are equal, it is confirmed that the encryption processing program has been transmitted from the service application of the server computer 1. afterwards,
The server initial key is decrypted with the authentication identifier, and an encryption key is created from the server initial key and the authentication identifier. Then, the user ID is encrypted using the encryption key and transmitted to the server computer 1 (step 405).
【0040】サーバコンピュータ1は、サーバ初期鍵と
認証識別子203から暗号鍵を作成し、クライアントコ
ンピュータ2から受信したデータを復号し、最初に送信
されてきたユーザIDと一致するかを調べることで、ユ
ーザ認証を行う(ステップ406)。The server computer 1 creates an encryption key from the server initial key and the authentication identifier 203, decrypts the data received from the client computer 2, and checks whether the data matches the user ID transmitted first. User authentication is performed (step 406).
【0041】この際、暗号鍵はサーバ初期鍵と認証識別
子203から作成されるため、両者を持っているサーバ
コンピュータ1とクライアントコンピュータ2でしか、
暗号化された情報を復号することはできない。また、ク
ライアント・サーバ間で送受信されているデータを盗聴
して、後からなりすましてデータを送信したとしても、
暗号鍵は現在時刻から計算されたサーバ初期鍵を利用し
たものであるため、なりすましは不可能である。At this time, since the encryption key is created from the server initial key and the authentication identifier 203, only the server computer 1 and the client computer 2 having both have the encryption key.
Encrypted information cannot be decrypted. Also, even if the data transmitted and received between the client and the server is eavesdropped and the data is spoofed later,
Since the encryption key uses the server initial key calculated from the current time, spoofing is impossible.
【0042】なお、暗号処理プログラムは、暗号・復号
処理が同じ鍵で行える対称型暗号方式を仮定している。The encryption processing program assumes a symmetric encryption scheme in which encryption and decryption can be performed with the same key.
【0043】以下、フローチャートを用いて、本実施形
態の動作の詳細を説明する。Hereinafter, the operation of the present embodiment will be described in detail with reference to a flowchart.
【0044】図5は、クライアントコンピュータ1上で
稼動するユーザ認証クライアントプログラムの動作を示
すフローチャートである。FIG. 5 is a flowchart showing the operation of the user authentication client program running on the client computer 1.
【0045】まず、ユーザ認証クライアントプログラム
はサーバコンピュータ1へ接続要求を送信し(ステップ
501)、サーバコンピュータ1から認証要求を受信す
る(ステップ502)。次に、クライアントコンピュー
タ2が暗号処理機能を持っているかどうか判断し(ステ
ップ503)、持っていない場合の処理は、図6のフロ
ーチャートに続く。First, the user authentication client program sends a connection request to the server computer 1 (step 501), and receives an authentication request from the server computer 1 (step 502). Next, it is determined whether or not the client computer 2 has the encryption processing function (step 503). If not, the processing continues to the flowchart of FIG.
【0046】暗号処理機能を持っている場合は、暗号処
理方法をID化したリストをサーバコンピュータ1に送
信する(ステップ504)。If the server has an encryption processing function, a list in which the encryption processing method is converted into an ID is transmitted to the server computer 1 (step 504).
【0047】これに対し、サーバコンピュータ1から暗
号処理方法を受信し(ステップ505)、それがNUL
L(非保有情報)かどうか判断し(ステップ506)、
NULLの場合の処理は、図7のフローチャートに続
く。On the other hand, the encryption processing method is received from the server computer 1 (step 505), and the
L (non-holding information) (step 506)
The processing in the case of NULL follows the flowchart of FIG.
【0048】NULLでない場合は、サーバコンピュー
タ1が選択した暗号処理プログラムで、ユーザが入力し
たユーザIDと認証識別子とを暗号化し、サーバコンピ
ュータ1に送信する(ステップ507)。その後、サー
バコンピュータ1から認証結果を受信し(ステップ50
8)、処理を終了する。If not NULL, the server computer 1 encrypts the user ID and the authentication identifier input by the user with the encryption program selected by the user and sends them to the server computer 1 (step 507). Thereafter, the authentication result is received from the server computer 1 (step 50).
8), end the process.
【0049】図6は、クライアントコンピュータ上に暗
号処理機能がない場合のユーザ認証クライアントプログ
ラムの動作を示すフローチャートである。このフローチ
ャートで示されるユーザ認証クライアントプログラム
は、CDROM等の記憶媒体に格納されてクライアント
コンピュータ2で使用される。FIG. 6 is a flowchart showing the operation of the user authentication client program when the client computer has no encryption processing function. The user authentication client program shown in this flowchart is stored in a storage medium such as a CDROM and used by the client computer 2.
【0050】まず、現在時刻からクライアント初期鍵を
計算し(ステップ601)、暗号処理プログラムを保有
していないことを示すNULLとユーザID、クライア
ント初期鍵をサーバコンピュータ1に送信する(ステッ
プ602)。その後、サーバコンピュータ1から暗号プ
ログラムと、暗号化されたクライアント初期鍵とサーバ
初期鍵を受信する(ステップ603)。First, the client initial key is calculated from the current time (step 601), and NULL indicating that the client does not have the encryption processing program, the user ID, and the client initial key are transmitted to the server computer 1 (step 602). After that, the encryption program, the encrypted client initial key and the encrypted server initial key are received from the server computer 1 (step 603).
【0051】次に、受信した暗号化クライアント初期鍵
を認証識別子を暗号鍵にして、サーバコンピュータ1か
ら受信した暗号処理プログラムを使って復号する(ステ
ップ604)。Next, the received encrypted client initial key is decrypted using the authentication identifier as the encryption key using the encryption processing program received from the server computer 1 (step 604).
【0052】ステップ602で送信したクライアント初
期鍵と復号したクライアント初期鍵を比較し(ステップ
605)、等しくない場合は、受信した暗号処理プログ
ラムがサーバコンピュータ1から送られてきたものでは
ないか、あるいは途中で改竄されたものと判断して、認
証失敗とみなし(ステップ606)、終了する。The client initial key transmitted in step 602 is compared with the decrypted client initial key (step 605). If they are not equal, the received encryption processing program is not sent from the server computer 1, or It is determined that the data has been tampered with in the middle, and it is considered that the authentication has failed (step 606), and the process ends.
【0053】等しい場合は、認証識別子を暗号鍵とし
て、受信した暗号処理プログラムを使用して暗号化サー
バ初期鍵を復号し、これと認証識別子を利用して暗号鍵
を作成する(ステップ607)。その後、サーバコンピ
ュータ1から受信した暗号処理プログラムとステップ6
07で作成した暗号鍵を使用してユーザIDを暗号化
し、サーバコンピュータ1に送信する(ステップ60
8)。その後、サーバコンピュータ1から認証結果を受
信し(ステップ609)、終了する。If they are equal to each other, the encrypted server initial key is decrypted using the received encryption processing program with the authentication identifier as the encryption key, and an encryption key is created by using this and the authentication identifier (step 607). After that, the encryption processing program received from the server computer 1 and step 6
The user ID is encrypted using the encryption key created in step 07 and transmitted to the server computer 1 (step 60).
8). Thereafter, the authentication result is received from the server computer 1 (step 609), and the process ends.
【0054】図7は、サーバコンピュータ1上に、クラ
イアントコンピュータ2が持っている暗号処理プログラ
ムがない場合のユーザ認証クライアントプログラムの動
作を示すフローチャートである。このフローチャートで
示されるユーザ認証クライアントプログラムは、CDR
OM等の記憶媒体に格納されてクライアントコンピュー
タ2で使用される。FIG. 7 is a flowchart showing the operation of the user authentication client program when the client computer 2 does not have the encryption processing program on the server computer 1. The user authentication client program shown in this flowchart is a CDR program.
It is stored in a storage medium such as OM and used by the client computer 2.
【0055】まず、サーバ初期鍵を受信する(ステップ
701)。そのサーバ初期鍵と認証識別子から暗号鍵を
作成する(ステップ702)。次に、クライアントコン
ピュータ2が保有している暗号処理プログラムのうち1
つの暗号処理プログラムを選択し、ステップ702で作
成した暗号鍵を用いて、ユーザが入力したユーザIDを
暗号化する(ステップ703)。その後、ステップ70
3で選択した暗号処理プログラムと、この暗号処理プロ
グラムによって暗号化されたユーザIDをサーバコンピ
ュータ1に送信し(ステップ704)、サーバコンピュ
ータ1から認証結果を受信し(ステップ705)、終了
する。First, a server initial key is received (step 701). An encryption key is created from the server initial key and the authentication identifier (step 702). Next, one of the cryptographic processing programs held by the client computer 2
One encryption processing program is selected, and the user ID input by the user is encrypted using the encryption key created in step 702 (step 703). Then, step 70
The encryption processing program selected in step 3 and the user ID encrypted by the encryption processing program are transmitted to the server computer 1 (step 704), the authentication result is received from the server computer 1 (step 705), and the process ends.
【0056】図8は、サーバコンピュータ1上で稼動す
るユーザ認証サーバプログラムの動作を示すフローチャ
ートである。このフローチャートで示されるユーザ認証
サーバプログラムは、CDROM等の記憶媒体に格納さ
れてサーバコンピュータ1で使用される。FIG. 8 is a flowchart showing the operation of the user authentication server program running on the server computer 1. The user authentication server program shown in this flowchart is stored in a storage medium such as a CDROM and used by the server computer 1.
【0057】まず、クライアントコンピュータ2から接
続要求を受付け(ステップ801)た後、ユーザ認証要
求をクライアントコンピュータ2に送信する(ステップ
802)。次に、クライアントコンピュータ2からクラ
イアントコンピュータ2の持つ暗号処理プログラムをI
D化したリストを受信する(ステップ803)。受信し
た結果がNULLであったならば(ステップ804)、
以後の処理は、図9のフローチャートに続く。First, after receiving a connection request from the client computer 2 (step 801), a user authentication request is transmitted to the client computer 2 (step 802). Next, the client computer 2 sends the encryption processing program of the client computer 2 to I
The D-list is received (step 803). If the received result is NULL (step 804),
Subsequent processing continues to the flowchart of FIG.
【0058】NULLでない場合は、リストのIDの中
にある暗号処理プログラムをサーバコンピュータ1が持
っているか判断し(ステップ805)、持っていない場
合は、図10のフローチャートに続く。持っていた場合
は、暗号処理プログラムの1つ選択し、クライアントコ
ンピュータ2に送信する(ステップ806)。その後、
クライアントコンピュータ2から暗号化されたユーザI
Dと暗号化された認証識別子を受信し(ステップ80
7)、これをクライアントコンピュータ2に送信した暗
号処理プログラムで復号し、ユーザ認証ファイル12A
の中身と順に比較して、合致するものがあれば認証済み
を、合致するものがなければ、認証不可を認証結果とし
てクライアントコンピュータ2に送信し(ステップ80
8)、終了する。If it is not NULL, it is determined whether or not the server computer 1 has an encryption processing program in the ID of the list (step 805). If not, the process continues to the flowchart of FIG. If so, one of the encryption processing programs is selected and transmitted to the client computer 2 (step 806). afterwards,
User I encrypted from client computer 2
D and the encrypted authentication identifier are received (step 80).
7) This is decrypted by the encryption processing program transmitted to the client computer 2 and the user authentication file 12A
Are compared in order, and if there is a match, the authentication is completed, and if there is no match, an authentication failure is transmitted to the client computer 2 as an authentication result (step 80).
8), end.
【0059】図9は、クライアントコンピュータ2が暗
号処理プログラムを持たない場合のサーバコンピュータ
1上で稼動するユーザ認証サーバプログラムの動作を示
すフローチャートである。このフローチャートで示され
るユーザ認証サーバプログラムは、CDROM等の記憶
媒体に格納されてサーバコンピュータ1で使用される。FIG. 9 is a flowchart showing the operation of the user authentication server program running on the server computer 1 when the client computer 2 does not have an encryption processing program. The user authentication server program shown in this flowchart is stored in a storage medium such as a CDROM and used by the server computer 1.
【0060】まず、クライアントコンピュータ2からユ
ーザIDとクライアント初期鍵を受信する(ステップ9
01)。次に、現在時刻からサーバ初期鍵を作成し(ス
テップ902)、クライアントコンピュータ2に送信す
る暗号処理プログラムを選択する(ステップ903)。
次に、ユーザ認証ファイル12Aから、ステップ901
で受信したユーザIDに対応する認証識別子203を取
り出し、ステップ901で受信したクライアント初期鍵
と、ステップ902で作成したサーバ初期鍵を暗号化す
る(ステップ904)。First, a user ID and a client initial key are received from the client computer 2 (step 9).
01). Next, a server initial key is created from the current time (step 902), and an encryption processing program to be transmitted to the client computer 2 is selected (step 903).
Next, from the user authentication file 12A, step 901 is executed.
Then, the authentication identifier 203 corresponding to the user ID received in step 901 is extracted, and the client initial key received in step 901 and the server initial key created in step 902 are encrypted (step 904).
【0061】次に、暗号処理プログラムとステップ90
4で暗号化したサーバ初期鍵とクライアント初期鍵をク
ライアントコンピュータ2に送信する(ステップ90
5)。その後、クライアントコンピュータ2から暗号化
されたユーザIDを受信する(ステップ906)。次
に、サーバ初期鍵とステップ901で受信したユーザI
Dに対応する認証識別子から暗号鍵を生成し(ステップ
907)、その暗号鍵で、クライアントコンピュータ2
に送信した暗号プログラムを使用して、ステップ901
で受信したユーザIDを暗号化する(ステップ90
8)。Next, the encryption processing program and step 90
The server initial key and the client initial key encrypted in step 4 are transmitted to the client computer 2 (step 90).
5). Thereafter, the encrypted user ID is received from the client computer 2 (step 906). Next, the server initial key and the user I received in step 901
D is generated from the authentication identifier corresponding to D (step 907), and the client computer 2
Using the encryption program transmitted to
Encrypts the received user ID (step 90)
8).
【0062】ステップ906で受信した暗号化されたユ
ーザIDと、ステップ908で暗号化したユーザIDを
比較し(ステップ909)、等しい場合は認証完了をク
ライアントコンピュータに送信し(ステップ910)、
終了する。等しくない場合は、認証不可をクライアント
コンピュータ2に送信し(ステップ911)、終了す
る。The encrypted user ID received in step 906 is compared with the user ID encrypted in step 908 (step 909). If they are equal, authentication completion is transmitted to the client computer (step 910).
finish. If they are not the same, an authentication failure is transmitted to the client computer 2 (step 911), and the process ends.
【0063】図10は、クライアントコンピュータ2か
ら送信されてきた暗号処理プログラムをサーバコンピュ
ータ1が持たない場合のユーザ認証サーバプログラムの
動作を示すフローチャートである。このフローチャート
で示されるユーザ認証サーバプログラムはCDROM等
の記憶媒体に格納されてサーバコンピュータ1で実行さ
れる。FIG. 10 is a flowchart showing the operation of the user authentication server program when the server computer 1 does not have the encryption processing program transmitted from the client computer 2. The user authentication server program shown in this flowchart is stored in a storage medium such as a CDROM and executed by the server computer 1.
【0064】まず、現在時刻からサーバ初期鍵を生成す
る(ステップ1001)。次に、クライアントコンピュ
ータ2から送信されてきた暗号処理プログラムをサーバ
コンピュータが持たないことを示すNULLとステップ
1001で作成したサーバ初期鍵をクライアントコンピ
ュータ2に送信する(ステップ1002)する。First, a server initial key is generated from the current time (step 1001). Next, NULL indicating that the server computer does not have the encryption processing program transmitted from the client computer 2 and the server initial key created in step 1001 are transmitted to the client computer 2 (step 1002).
【0065】その後、クライアントコンピュータ2から
暗号処理プログラムと、暗号化されたユーザIDを受信
する(ステップ1003)。次に、送信されたユーザI
Dが正しいものかをチェックするために、ユーザ認証フ
ァイル12AからユーザID202と認証識別子203
の組を読み込む(ステップ1004)。次に、ユーザ認
証ファイル12Aに読み込む組があるかどうか判断し
(ステップ1005)、もしない場合は、認証不可をク
ライアントコンピュータ2に送信し(ステップ101
0)、終了する。Thereafter, an encryption processing program and an encrypted user ID are received from the client computer 2 (step 1003). Next, the transmitted user I
In order to check whether D is correct, the user ID 202 and the authentication identifier 203 are obtained from the user authentication file 12A.
Is read (step 1004). Next, it is determined whether there is a group to be read in the user authentication file 12A (step 1005). If not, an authentication failure is transmitted to the client computer 2 (step 101).
0), end.
【0066】読み込めた場合は、ステップ1001で作
成したサーバ初期鍵と、ステップ1004で読み込んだ
認証識別子203から暗号鍵を作成する(ステップ10
06)。そして、その暗号鍵で、受信した暗号処理プロ
グラムを使って、ステップ1004で読み込んだユーザ
ID202を暗号化する(ステップ1007)。次に、
暗号化したユーザIDと、クライアントコンピュータ2
から受信した暗号化されたユーザIDとが等しいかどう
か判断し(ステップ1008)、等しくない場合はステ
ップ1004から繰り返す。等しい場合は、認証完了を
クライアントコンピュータ2に送信し(ステップ100
9)、終了する。If it can be read, an encryption key is created from the server initial key created in step 1001 and the authentication identifier 203 read in step 1004 (step 10).
06). Then, the user ID 202 read in step 1004 is encrypted with the received encryption processing program using the received encryption processing program (step 1007). next,
Encrypted user ID and client computer 2
It is determined whether the encrypted user ID received from is the same (step 1008), and if not, the process is repeated from step 1004. If they are equal, authentication completion is transmitted to the client computer 2 (step 100).
9), end.
【0067】以上のように、本実施形態においては、暗
号処理プログラムをサーバコンピュータ1が保有してい
なかった場合、クライアントコンピュータ2からサーバ
コンピュータ1に対するユーザ識別情報を含む接続要求
に対し、サーバコンピュータ1からクライアントコンピ
ュータ2にユーザ認証要求を送信し、そのユーザ認証要
求に対してクライアントコンピュータ2からサーバコン
ピュータ1に対してクライアントコンピュータ2自身が
保有する暗号処理プログラムのリストを送信させ、該リ
スト中に含まれる暗号処理プログラムをサーバコンピュ
ータ1が保有していなければ、クライアントコンピュー
タ2から当該クライアントコンピュータ2が保有する暗
号処理プログラムの1つと、この暗号処理プログラムで
暗号化したユーザ認証情報とをサーバコンピュータ1に
送信させ、サーバコンピュータ1においては受信した暗
号処理プログラムとユーザ認証情報とに基づいてクライ
アントコンピュータ2を利用するユーザの認証を実施
し、また、クライアントコンピュータ2が暗号処理プロ
グラムを保有していなかった場合、サーバコンピュータ
1から当該サーバコンピュータ1が保有する暗号処理プ
ログラムの1つをクライアントコンピュータ2に対して
送信させ、クライアントコンピュータ2においては受信
した暗号処理プログラムによってユーザ認証情報を暗号
化してサーバコンピュータ1に送信し、クライアントコ
ンピュータ2を利用するユーザの認証を受けるようにし
たものである。As described above, in the present embodiment, when the server computer 1 does not hold the encryption processing program, the server computer 1 responds to the connection request including the user identification information from the client computer 2 to the server computer 1. Transmits a user authentication request to the client computer 2, and in response to the user authentication request, causes the client computer 2 to transmit a list of cryptographic processing programs held by the client computer 2 to the server computer 1. If the server computer 1 does not hold the encryption processing program to be executed, one of the encryption processing programs held by the client computer 2 and the user encrypted by the encryption processing program are transmitted from the client computer 2. The server computer 1 transmits the authentication information to the server computer 1, and the server computer 1 authenticates a user who uses the client computer 2 based on the received encryption processing program and the user authentication information. If the user does not have the program, the server computer 1 causes the client computer 2 to transmit one of the cryptographic processing programs stored in the server computer 1 to the client computer 2, and the client computer 2 uses the received cryptographic processing program to transmit the user authentication information. Is transmitted to the server computer 1 and the user of the client computer 2 is authenticated.
【0068】これによって、クライアントコンピュータ
2とサーバコンピュータ1間でのユーザ認証を安全に行
うための暗号処理プログラムが、サーバ・クライアント
の両者に同時に存在しなくとも、ネットワーク3上に流
れるデータの暗号化を可能にし、ユーザ認証の安全性を
確保することができる。Thus, even if the encryption processing program for securely performing the user authentication between the client computer 2 and the server computer 1 does not exist in both the server and the client at the same time, the encryption of the data flowing on the network 3 is performed. And security of user authentication can be secured.
【0069】この場合、暗号鍵はサーバ初期鍵と認証識
別子202から作成されるため、両者を持っているサー
バコンピュータ1とクライアントコンピュータ2でしか
暗号化された情報(ユーザID)を復号することはでき
ない。また、クライアント・サーバ間で送受信されてい
るデータを盗聴して、後からなりすましてデータを送信
したとしても、暗号鍵は現在時刻から計算されたサーバ
初期鍵を利用したものであるため、なりすましは不可能
であり、ユーザ認証時において十分な安全性を確保する
ことができる。In this case, since the encryption key is created from the server initial key and the authentication identifier 202, it is impossible for only the server computer 1 and the client computer 2 having both to decrypt the encrypted information (user ID). Can not. Also, even if data transmitted and received between the client and the server is eavesdropped and the data is spoofed later, the spoofing is performed because the encryption key uses the server initial key calculated from the current time. This is impossible, and sufficient security can be ensured during user authentication.
【0070】[0070]
【発明の効果】以上説明したように本発明によれば、ク
ライアントコンピュータに新規に登録された暗号処理機
能が、サーバコンピュータ上に存在しなくとも、ユーザ
認証のためにサーバ・クライアント間で送信されるデー
タを暗号化して送受信できるため、ネットワーク上の盗
聴を防ぎ、ユーザ認証の安全性を確保することができ
る。As described above, according to the present invention, a cryptographic processing function newly registered in a client computer is transmitted between a server and a client for user authentication even if it does not exist on the server computer. Since encrypted data can be transmitted and received, eavesdropping on the network can be prevented, and the security of user authentication can be ensured.
【0071】また、クライアントコンピュータに暗号処
理機能がなくとも、同様に、ユーザ認証のためにサーバ
・クライアント間で送信されるデータを暗号化して送受
信できるため、ネットワーク上の盗聴を防ぎ、ユーザ認
証の安全性を確保することができる。Also, even if the client computer does not have an encryption function, data transmitted between the server and the client for user authentication can be encrypted and transmitted and received, so that eavesdropping on the network can be prevented and user authentication can be performed. Safety can be ensured.
【0072】また、本発明のユーザ認証方法を実現する
プログラムはCDROM等の記憶媒体に格納された形態
でユーザに提供されるため、既存のサーバ、クライアン
トシステムに対して直ちに適用し、ユーザ認証を実施す
ることができる。Further, since the program for realizing the user authentication method of the present invention is provided to the user in a form stored in a storage medium such as a CDROM, the program is immediately applied to an existing server or client system to perform user authentication. Can be implemented.
【0073】特に、クライアントシステムあるいはサー
バシステムに実装する暗号処理プログラムの更新頻度が
高い場合に極めて有効なものとなる。In particular, this is very effective when the encryption processing program installed in the client system or the server system is frequently updated.
【図1】本発明に係るユーザ認証システムの実施形態を
示すシステム構成図である。FIG. 1 is a system configuration diagram showing an embodiment of a user authentication system according to the present invention.
【図2】本発明に係るユーザ認証サーバプログラムが使
用するユーザ認証ファイルの構成例を示す図である。FIG. 2 is a diagram showing a configuration example of a user authentication file used by a user authentication server program according to the present invention.
【図3】本発明に係るクライアントコンピュータとサー
バコンピュータ間で送受信されるデータの流れを示す図
である。FIG. 3 is a diagram showing a flow of data transmitted and received between a client computer and a server computer according to the present invention.
【図4】本発明に係るクライアントコンピュータとサー
バコンピュータ間で送受信されるデータの流れを示す図
である。FIG. 4 is a diagram showing a flow of data transmitted and received between a client computer and a server computer according to the present invention.
【図5】本発明に係るユーザ認証クライアントプログラ
ムの動作を示すフローチャートである。FIG. 5 is a flowchart showing the operation of the user authentication client program according to the present invention.
【図6】本発明に係るユーザ認証クライアントプログラ
ムの動作を示すフローチャートである。FIG. 6 is a flowchart showing the operation of the user authentication client program according to the present invention.
【図7】本発明に係るユーザ認証クライアントプログラ
ムの動作を示すフローチャートである。FIG. 7 is a flowchart showing an operation of a user authentication client program according to the present invention.
【図8】本発明に係るユーザ認証サーバプログラムの動
作を示すフローチャートである。FIG. 8 is a flowchart showing the operation of the user authentication server program according to the present invention.
【図9】本発明に係るユーザ認証サーバプログラムの動
作を示すフローチャートである。FIG. 9 is a flowchart showing the operation of the user authentication server program according to the present invention.
【図10】本発明に係るユーザ認証サーバプログラムの
動作を示すフローチャートである。FIG. 10 is a flowchart showing the operation of the user authentication server program according to the present invention.
1…サーバコンピュータ、2…クライアントコンピュー
タ、3…ネットワーク、11…端末装置、11A…CP
U、11B…メモリ、12…外部記憶装置、12A…ユ
ーザ認証ファイル、12B…暗号処理プログラム、13
…通信ポート、21…端末装置、21A…CPU、21
B…メモリ、22…通信ポート。DESCRIPTION OF SYMBOLS 1 ... Server computer, 2 ... Client computer, 3 ... Network, 11 ... Terminal device, 11A ... CP
U, 11B: memory, 12: external storage device, 12A: user authentication file, 12B: encryption processing program, 13
... Communication port, 21 ... Terminal device, 21A ... CPU, 21
B: memory, 22: communication port.
───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.6 識別記号 FI H04L 9/14 H04L 9/00 641 ──────────────────────────────────────────────────続 き Continued on front page (51) Int.Cl. 6 Identification code FI H04L 9/14 H04L 9/00 641
Claims (12)
ンピュータとユーザが利用するクライアントコンピュー
タとで構成されるコンピュータシステムにおいてクライ
アントコンピュータからサーバコンピュータに接続する
に際して実施するユーザ認証方法であって、 クライアントコンピュータからサーバコンピュータに対
するユーザ識別情報を含む接続要求に対し、サーバコン
ピュータからクライアントコンピュータにユーザ認証要
求を送信し、そのユーザ認証要求に対してクライアント
コンピュータからサーバコンピュータに対してクライア
ントコンピュータ自身が保有する暗号処理プログラムの
リストを送信させ、該リスト中に含まれる暗号処理プロ
グラムをサーバコンピュータが保有していなければ、ク
ライアントコンピュータから当該クライアントコンピュ
ータが保有する暗号処理プログラムの1つと、この暗号
処理プログラムで暗号化したユーザ認証情報とをサーバ
コンピュータに送信させ、サーバコンピュータにおいて
は受信した暗号処理プログラムとユーザ認証情報とに基
づいてクライアントコンピュータを利用するユーザの認
証を実施することを特徴とするユーザ認証方法。1. A user authentication method executed when a client computer connects to a server computer in a computer system including a server computer connected to a network and a client computer used by a user, comprising: In response to the connection request including the user identification information for the computer, the server computer transmits a user authentication request to the client computer. In response to the user authentication request, the client computer transmits to the server computer the encryption processing program of the client computer itself. If the server computer does not hold the encryption processing program included in the list, the client computer transmits the list. One of the encryption processing programs held by the client computer and the user authentication information encrypted by the encryption processing program are transmitted to the server computer, and the server computer executes the client processing based on the received encryption processing program and the user authentication information. A user authentication method, wherein authentication of a user using a computer is performed.
ンピュータに送信する前記ユーザ認証情報は、サーバコ
ンピュータがクライアントコンピュータが保有する暗号
処理プログラムを保有していないことを示す情報と共に
サーバコンピュータから受信した任意の初期鍵と、ユー
ザが入力した認証識別子とを暗号化鍵として、ユーザが
入力したユーザ識別情報をサーバコンピュータに送信し
た暗号処理プログラムと同じ暗号処理プログラムで暗号
化したものであり、 サーバコンピュータは、この受信したユーザ認証情報に
対し、接続要求時に受信したユーザ識別情報により当該
ユーザ識別情報と1組にして予め登録されている当該ユ
ーザの認証識別子を記憶装置から取り出し、この認証識
別子とクライアントコンピュータに送信したのと同じ前
記初期鍵とを暗号鍵とし、クライアントコンピュータか
ら受信した暗号処理プログラムで接続要求時に受信した
ユーザ識別情報を暗号化し、その暗号化したユーザ識別
情報とクライアントコンピュータから受信した前記ユー
ザ認証情報とが一致するか否かによってクライアントコ
ンピュータを利用するユーザの認証を行うことを特徴と
する請求項1記載のユーザ認証方法。2. The user authentication information transmitted from the client computer to the server computer includes an initial key received from the server computer together with information indicating that the server computer does not have an encryption processing program held by the client computer. The authentication information input by the user is used as an encryption key, and the user identification information input by the user is encrypted by the same encryption processing program as the encryption processing program transmitted to the server computer. In response to the user authentication information, the user identification information received at the time of the connection request is taken out as a pair with the user identification information, and the authentication identifier of the user registered in advance is retrieved from the storage device and transmitted to the client computer. Same as The initial key is used as an encryption key, the user identification information received at the time of the connection request is encrypted by the encryption processing program received from the client computer, and the encrypted user identification information matches the user authentication information received from the client computer. 2. The user authentication method according to claim 1, wherein authentication of a user using the client computer is performed depending on whether or not to perform the authentication.
ンピュータとユーザが利用するクライアントコンピュー
タとで構成されるコンピュータシステムにおいてクライ
アントコンピュータからサーバコンピュータに接続する
に際して実施するユーザ認証方法であって、 クライアントコンピュータからサーバコンピュータに対
するユーザ識別情報を含む接続要求に対し、サーバコン
ピュータからクライアントコンピュータにユーザ認証要
求を送信し、そのユーザ認証要求に対してクライアント
コンピュータからサーバコンピュータに対してクライア
ントコンピュータ自身が保有する暗号処理プログラムの
リストを送信させる際に、クライアントコンピュータが
暗号処理プログラムを保有していなければ、サーバコン
ピュータから当該サーバコンピュータが保有する暗号処
理プログラムの1つをクライアントコンピュータに送信
させ、クライアントコンピュータにおいては受信した暗
号処理プログラムによってユーザ識別情報を暗号化して
サーバコンピュータに送信し、クライアントコンピュー
タを利用するユーザの認証を受けることを特徴とするユ
ーザ認証方法。3. A user authentication method which is performed when a client computer connects to a server computer in a computer system including a server computer connected to a network and a client computer used by a user. In response to the connection request including the user identification information for the computer, the server computer transmits a user authentication request to the client computer. In response to the user authentication request, the client computer transmits to the server computer the encryption processing program of the client computer itself. When transmitting the list, if the client computer does not have the cryptographic processing program, the server computer sends the list. One of the cryptographic processing programs held by the computer is transmitted to the client computer, the client computer encrypts the user identification information by the received cryptographic processing program, transmits the encrypted user identification information to the server computer, and authenticates the user who uses the client computer. A user authentication method characterized in that:
ログラムを保有していない場合、暗号処理プログラムを
保有していないことを示す情報と共に任意に生成したク
ライアント初期鍵と、ユーザが入力したユーザ識別情報
とをサーバコンピュータに送信し、 サーバコンピュータは、クライアントコンピュータから
受信したユーザ識別情報により当該ユーザ識別情報と1
組にして予め登録されている当該ユーザの認証識別子を
記憶装置から取り出し、この認証識別子を暗号鍵とし
て、クライアントコンピュータから受信したクライアン
ト初期鍵とサーバコンピュータで任意に生成したサーバ
初期鍵とをクライアントコンピュータに送信したのと同
じ暗号処理プログラムによって暗号化してクライアント
コンピュータに送信し、 クライアントコンピュータは、受信した暗号処理プログ
ラムとユーザが入力した認証識別子によってサーバコン
ピュータから受信したクライアント初期鍵を復号し、暗
号処理プログラムがユーザ認証要求を送信したサーバコ
ンピュータから送信されたものであることを確認した
後、サーバ初期鍵をユーザが入力した認証識別子で復号
し、その復号したサーバ識別子とユーザが入力した認証
識別子を暗号鍵として、ユーザが入力したユーザ識別情
報を前記暗号処理プログラムによって暗号化してサーバ
コンピュータに送信し、 サーバコンピュータは、クライアントコンピュータに送
信したのと同じサーバ初期鍵と記憶装置から取り出した
前記認証識別子とを暗号鍵として、クライアントコンピ
ュータから受信した暗号化ユーザ識別情報を復号し、そ
の復号したユーザ識別情報とクライアント初期鍵と共に
受信したユーザ識別情報とが一致するか否かによってク
ライアントコンピュータを利用するユーザの認証を行う
ことを特徴とする請求項3記載のユーザ認証方法。4. When the client computer does not have a cryptographic processing program, the client computer arbitrarily generates a client initial key together with information indicating that the client computer does not have the cryptographic processing program, and user identification information input by the user. The server computer transmits the user identification information to the computer by using the user identification information received from the client computer.
The authentication identifier of the user registered in advance as a set is extracted from the storage device, and the authentication identifier is used as an encryption key, and the client initial key received from the client computer and the server initial key arbitrarily generated by the server computer are used as the client computer. The client computer encrypts with the same encryption processing program that was sent to the client computer and sends it to the client computer. The client computer decrypts the client initial key received from the server computer using the received encryption processing program and the authentication identifier input by the user, and performs the encryption processing. After confirming that the program was transmitted from the server computer that transmitted the user authentication request, the server decrypts the server initial key with the authentication identifier input by the user, and decrypts the decrypted server identifier with the authentication input by the user. Using the certificate identifier as an encryption key, the user identification information input by the user is encrypted by the encryption processing program and transmitted to the server computer, and the server computer retrieves the same server initial key and the storage device as those transmitted to the client computer. Using the authentication identifier as an encryption key, decrypts the encrypted user identification information received from the client computer, and determines whether the decrypted user identification information matches the user identification information received with the client initial key. 4. The user authentication method according to claim 3, wherein authentication of a user to use is performed.
ンピュータとユーザが利用するクライアントコンピュー
タとで構成され、クライアントコンピュータからサーバ
コンピュータに接続するに際してユーザ認証を行うユー
ザ認証システムであって、 前記サーバコンピュータは、クライアントコンピュータ
からサーバコンピュータに対するユーザ識別情報を含む
接続要求に対し、クライアントコンピュータにユーザ認
証要求を送信する第1の手段と、そのユーザ認証要求に
対してクライアントコンピュータから受信した暗号処理
プログラムのリスト中に含まれる暗号処理プログラムを
サーバコンピュータ自身が保有しているか否かを判断
し、保有していなければ、そのことを示す非保有情報を
クライアントコンピュータに送信する第2の手段と、こ
の非保有情報に対してクライアントコンピュータから受
信した暗号処理プログラムとユーザ認証情報とに基づい
てクライアントコンピュータを利用するユーザの認証を
行う第3の手段とを備え、 前記クライアントコンピュータは、サーバコンピュータ
からの前記ユーザ認証要求に対し、クライアントコンピ
ュータ自身が保有する暗号処理プログラムのリストを送
信する第4の手段と、前記非保有情報に対して当該クラ
イアントコンピュータが保有する暗号処理プログラムの
1つと、この暗号処理プログラムで暗号化したユーザ認
証情報とをサーバコンピュータに送信する第5の手段と
を備えることを特徴とするユーザ認証システム。5. A user authentication system comprising a server computer connected to a network and a client computer used by a user, and performing user authentication when connecting from the client computer to the server computer, wherein the server computer comprises: First means for transmitting a user authentication request to a client computer in response to a connection request including user identification information from a client computer to a server computer, and a list of cryptographic processing programs received from the client computer in response to the user authentication request A second means for determining whether or not the server computer itself holds the included cryptographic processing program, and if not, transmitting non-holding information indicating the fact to the client computer; And third means for authenticating a user who uses the client computer based on the encryption processing program and the user authentication information received from the client computer for the non-holding information, wherein the client computer is Fourth means for transmitting a list of encryption processing programs held by the client computer in response to the user authentication request, one of the encryption processing programs held by the client computer for the non-held information, Fifth means for transmitting the user authentication information encrypted by the processing program to the server computer.
ンピュータに送信する前記ユーザ認証情報は、サーバコ
ンピュータがクライアントコンピュータが保有する暗号
処理プログラムを保有していないことを示す情報と共に
サーバコンピュータから受信した任意の初期鍵と、ユー
ザが入力した認証識別子とを暗号化鍵として、ユーザが
入力したユーザ識別情報をサーバコンピュータに送信し
た暗号処理プログラムと同じ暗号処理プログラムで暗号
化したものであり、 サーバコンピュータの前記第3の手段は、この受信した
ユーザ認証情報に対し、接続要求時に受信したユーザ識
別情報により当該ユーザ識別情報と1組にして予め登録
されている当該ユーザの認証識別子を記憶装置から取り
出し、この認証識別子とクライアントコンピュータに送
信したのと同じ前記初期鍵とを暗号鍵とし、クライアン
トコンピュータから受信した暗号処理プログラムで接続
要求時に受信したユーザ識別情報を暗号化し、その暗号
化したユーザ識別情報とクライアントコンピュータから
受信した前記ユーザ認証情報とが一致するか否かによっ
てクライアントコンピュータを利用するユーザの認証を
行うことを特徴とする請求項5記載のユーザ認証システ
ム。6. The user authentication information transmitted from the client computer to the server computer includes an initial key received from the server computer together with information indicating that the server computer does not have an encryption processing program held by the client computer. The user identification information input by the user is encrypted by the same encryption processing program as the encryption processing program transmitted to the server computer, using the authentication identifier input by the user as an encryption key, and Means for extracting, from the storage device, an authentication identifier of the user registered in advance as a pair with the user identification information based on the user identification information received at the time of the connection request with respect to the received user authentication information, On the client computer Using the same initial key as the encrypted key as the encryption key, encrypting the user identification information received at the time of the connection request with the encryption processing program received from the client computer, and encrypting the user identification information and the user received from the client computer. 6. The user authentication system according to claim 5, wherein authentication of a user using the client computer is performed based on whether the authentication information matches.
ンピュータとユーザが利用するクライアントコンピュー
タとで構成され、クライアントコンピュータからサーバ
コンピュータに接続するに際してユーザ認証を行うユー
ザ認証システムであって、 前記サーバコンピュータは、クライアントコンピュータ
からサーバコンピュータに対するユーザ識別情報を含む
接続要求に対し、クライアントコンピュータにユーザ認
証要求を送信する第1の手段と、そのユーザ認証要求に
対してクライアントコンピュータから暗号処理プログラ
ムを保有していないことを表す非保有情報を受信したな
らば、当該サーバコンピュータが保有する暗号処理プロ
グラムの1つをクライアントコンピュータに送信する第
2の手段と、送信した暗号処理プログラムによってクラ
イアントコンピュータから受信したユーザ認証情報に基
づいてクライアントコンピュータを利用するユーザの認
証を行う第3の手段とを備え、 前記クライアントコンピュータは、サーバコンピュータ
から受信した前記ユーザ認証要求に対し、暗号処理プロ
グラムを保有していなければ、そのことを表す非保有情
報をサーバコンピュータに送信する第4の手段と、送信
した非保有情報に対してサーバコンピュータから受信し
た暗号処理プログラムによって暗号化したユーザ認証情
報をサーバコンピュータに送信する第5の手段とを備え
ることを特徴とするユーザ認証システム。7. A user authentication system comprising a server computer connected to a network and a client computer used by a user, and performing user authentication when connecting from the client computer to the server computer, wherein the server computer comprises: First means for transmitting a user authentication request to a client computer in response to a connection request including user identification information from a client computer to a server computer, and the client computer not having an encryption processing program in response to the user authentication request When receiving the non-holding information indicating that the server computer receives the non-holding information, the second means for transmitting one of the cryptographic processing programs held by the server computer to the client computer; Means for performing authentication of a user who uses the client computer based on the user authentication information received from the client computer, wherein the client computer responds to the user authentication request received from the server computer by an encryption processing program If the user authentication information is not held, the fourth means for transmitting the non-held information indicating that to the server computer, and the user authentication information encrypted by the encryption processing program received from the server computer for the transmitted non-held information. And a fifth means for transmitting to the server computer.
手段は、暗号処理プログラムを保有していない場合、暗
号処理プログラムを保有していないことを示す情報と共
に任意に生成したクライアント初期鍵と、ユーザが入力
したユーザ識別情報とをサーバコンピュータに送信し、 サーバコンピュータの前記第2の手段は、当該サーバコ
ンピュータが保有する暗号処理プログラムの1つをクラ
イアントコンピュータに送信すると共に、クライアント
コンピュータから受信したユーザ識別情報により当該ユ
ーザ識別情報と1組にして予め登録されている当該ユー
ザの認証識別子を記憶装置から取り出し、この認証識別
子を暗号鍵として、クライアントコンピュータから受信
したクライアント初期鍵とサーバコンピュータで任意に
生成したサーバ初期鍵とをクライアントコンピュータの
送信するのと同じ暗号処理プログラムによって暗号化し
てクライアントコンピュータに送信し、 クライアントコンピュータの前記第5の手段は、受信し
た暗号処理プログラムとユーザが入力した認証識別子に
よってサーバコンピュータから受信したクライアント初
期鍵を復号し、暗号処理プログラムがユーザ認証要求を
送信したサーバコンピュータから送信されたものである
ことを確認した後、サーバ初期鍵をユーザが入力した認
証識別子で復号し、その復号したサーバ初期鍵とユーザ
が入力した認証識別子を暗号鍵として、ユーザが入力し
たユーザ識別情報を前記暗号処理プログラムによって暗
号化してサーバコンピュータに送信し、 サーバコンピュータの前記第3の手段は、クライアント
コンピュータに送信したのと同じサーバ初期鍵と記憶装
置から取り出した前記認証識別子とを暗号鍵として、ク
ライアントコンピュータから受信した暗号化ユーザ識別
情報を復号し、その復号したユーザ識別情報とクライア
ント初期鍵と共に受信したユーザ識別情報とが一致する
か否かによってクライアントコンピュータを利用するユ
ーザの認証を行うことを特徴とする請求項7記載のユー
ザ認証システム。8. The fourth means of the client computer, when the user does not have the cryptographic processing program, the client initial key arbitrarily generated together with information indicating that he does not have the cryptographic processing program, and the user inputs And the second means of the server computer transmits one of the cryptographic processing programs held by the server computer to the client computer, and transmits the user identification information received from the client computer to the server computer. The authentication identifier of the user registered in advance as a set with the user identification information is extracted from the storage device, and the authentication identifier is arbitrarily generated by the server computer and the client initial key received from the client computer as an encryption key. Server first The key is encrypted by the same encryption processing program as that transmitted by the client computer and transmitted to the client computer. The fifth means of the client computer transmits the key from the server computer based on the received encryption processing program and the authentication identifier input by the user. After decrypting the received client initial key and confirming that the encryption processing program was transmitted from the server computer that transmitted the user authentication request, the server initial key is decrypted with the authentication identifier input by the user, and the decryption is performed. Using the server initial key obtained and the authentication identifier input by the user as an encryption key, the user identification information input by the user is encrypted by the encryption processing program and transmitted to the server computer. Pew The encrypted user identification information received from the client computer is decrypted using the same server initial key as transmitted to the server and the authentication identifier extracted from the storage device as an encryption key, and is received together with the decrypted user identification information and the client initial key. 8. The user authentication system according to claim 7, wherein the authentication of the user using the client computer is performed based on whether the obtained user identification information matches.
ンピュータとユーザが利用するクライアントコンピュー
タとで構成され、クライアントコンピュータからサーバ
コンピュータに接続するに際してサーバコンピュータが
ユーザ認証を行うためのプログラムを記憶したユーザ認
証用記憶媒体であって、 クライアントコンピュータからサーバコンピュータに対
するユーザ識別情報を含む接続要求に対し、クライアン
トコンピュータにユーザ認証要求を送信する第1の処理
と、そのユーザ認証要求に対してクライアントコンピュ
ータから受信した暗号処理プログラムのリスト中に含ま
れる暗号処理プログラムをサーバコンピュータ自身が保
有しているか否かを判断し、保有していなければ、その
ことを示す非保有情報をクライアントコンピュータに送
信する第2の処理と、この非保有情報に対してクライア
ントコンピュータから受信した暗号処理プログラムとユ
ーザ認証情報とに基づいてクライアントコンピュータを
利用するユーザの認証を行う第3の処理とを含むプログ
ラムを記憶していることを特徴とするユーザ認証用記憶
媒体。9. A user authentication system comprising a server computer connected to a network and a client computer used by a user, wherein the server computer stores a program for performing user authentication when connecting from the client computer to the server computer. A storage medium, wherein a first process of transmitting a user authentication request to a client computer in response to a connection request including user identification information from a client computer to a server computer, and an encryption received from the client computer in response to the user authentication request It is determined whether or not the server computer itself has the cryptographic processing program included in the list of processing programs, and if not, non-retained information indicating that fact is displayed on the client computer. And a third process for authenticating a user who uses the client computer based on the encryption processing program and the user authentication information received from the client computer for the non-held information. A storage medium for user authentication, characterized by storing:
コンピュータとユーザが利用するクライアントコンピュ
ータとで構成され、クライアントコンピュータからサー
バコンピュータに接続するに際してクライアントコンピ
ュータがユーザ認証を行うためのプログラムを記憶した
ユーザ認証用記憶媒体であって、 クライアントコンピュータからサーバコンピュータに対
するユーザ識別情報を含む接続要求を送信する第1の処
理と、この接続要求に対してサーバコンピュータから受
信したユーザ認証要求に対し、クライアントコンピュー
タ自身が保有する暗号処理プログラムのリストを送信す
る第2の処理と、送信した暗号処理プログラムのリスト
に対して当該リスト中に含まれる暗号処理プログラムを
サーバコンピュータ自身が保有していないことを示す非
保有情報をサーバコンピュータから受信したならば、そ
の非保有情報に対して当該クライアントコンピュータが
保有する暗号処理プログラムの1つと、この暗号処理プ
ログラムで暗号化したユーザ認証情報とをサーバコンピ
ュータに送信する第3の処理とを含むプログラムを記憶
していることを特徴とするユーザ認証用記憶媒体。10. A user authentication system comprising a server computer connected to a network and a client computer used by a user, wherein the client computer stores a program for performing user authentication when connecting from the client computer to the server computer. A storage medium, wherein a first process of transmitting a connection request including user identification information from a client computer to a server computer, and the client computer owning a user authentication request received from the server computer in response to the connection request A second process of transmitting a list of cryptographic processing programs to be transmitted, and a case where the server computer itself does not hold the cryptographic processing programs included in the transmitted list of cryptographic processing programs. When the non-holding information indicating that the non-holding information is received from the server computer, one of the encryption processing programs held by the client computer for the non-holding information and the user authentication information encrypted by the encryption processing program are transmitted to the server computer. A storage medium for user authentication, which stores a program including a third process to be transmitted to the user.
コンピュータとユーザが利用するクライアントコンピュ
ータとで構成され、クライアントコンピュータからサー
バコンピュータに接続するに際してサーバコンピュータ
がユーザ認証を行うためのプログラムを記憶したユーザ
認証用記憶媒体であって、 クライアントコンピュータからサーバコンピュータに対
するユーザ識別情報を含む接続要求に対し、クライアン
トコンピュータにユーザ認証要求を送信する第1の処理
と、そのユーザ認証要求に対してクライアントコンピュ
ータから暗号処理プログラムを保有していないことを表
す非保有情報を受信したならば、当該サーバコンピュー
タが保有する暗号処理プログラムの1つをクライアント
コンピュータに送信する第2の処理と、送信した暗号処
理プログラムによってクライアントコンピュータから受
信したユーザ認証情報に基づいてクライアントコンピュ
ータを利用するユーザの認証を行う第3の処理とを含む
プログラムを記憶していることを特徴とするユーザ認証
用記憶媒体。11. A user authentication system comprising a server computer connected to a network and a client computer used by a user, wherein the server computer stores a program for performing user authentication when connecting from the client computer to the server computer. A storage medium, a first process of transmitting a user authentication request to a client computer in response to a connection request including user identification information from a client computer to a server computer, and a cryptographic processing program transmitted from the client computer to the user authentication request Receiving the non-holding information indicating that the server computer does not own the server, a second process of transmitting one of the encryption processing programs held by the server computer to the client computer, and User authentication storage medium characterized by storing a program and a third process of authenticating a user who utilizes the client computer based on the user authentication information received from the client computer by a cryptographic processing program.
コンピュータとユーザが利用するクライアントコンピュ
ータとで構成され、クライアントコンピュータからサー
バコンピュータに接続するに際してクライアントコンピ
ュータがユーザ認証を行うためのプログラムを記憶した
ユーザ認証用記憶媒体であって、 クライアントコンピュータからサーバコンピュータに対
するユーザ識別情報を含む接続要求を送信する第1の処
理と、この接続要求に対してサーバコンピュータから受
信したユーザ認証要求に対し、クライアントコンピュー
タが暗号処理プログラムを保有していなければ、そのこ
とを表す非保有情報をサーバコンピュータに送信する第
2の処理と、送信した非保有情報に対してサーバコンピ
ュータから受信した暗号処理プログラムによって暗号化
したユーザ認証情報をサーバコンピュータに送信する第
3の処理を含むプログラムを記憶していることを特徴と
するユーザ認証用記憶媒体。12. A user authentication system comprising a server computer connected to a network and a client computer used by a user, wherein the client computer stores a program for performing user authentication when connecting from the client computer to the server computer. A storage medium, wherein a first process of transmitting a connection request including user identification information from a client computer to a server computer, and a client computer performing an encryption process on a user authentication request received from the server computer in response to the connection request If the program is not possessed, second processing for transmitting non-proprietary information indicating that to the server computer; and a cryptographic processing program received from the server computer for the transmitted non-proprietary information. Therefore storage medium for user authentication, characterized in that stores a program including a third process for transmitting user authentication information encrypted in the server computer.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP9042721A JPH10242957A (en) | 1997-02-26 | 1997-02-26 | User authentication method, system therefor and storage medium for user authentication |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP9042721A JPH10242957A (en) | 1997-02-26 | 1997-02-26 | User authentication method, system therefor and storage medium for user authentication |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH10242957A true JPH10242957A (en) | 1998-09-11 |
Family
ID=12643942
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP9042721A Pending JPH10242957A (en) | 1997-02-26 | 1997-02-26 | User authentication method, system therefor and storage medium for user authentication |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPH10242957A (en) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2001048674A1 (en) * | 1999-12-24 | 2001-07-05 | Link Plus, Inc. | Method and system for authenticating identity on internet |
| KR20020085734A (en) * | 2001-05-10 | 2002-11-16 | (주) 비씨큐어 | Recoverable Password-Based Mutual Authentication and Key Exchange Protocol |
| JP2003296279A (en) * | 2002-03-29 | 2003-10-17 | Digital Electronics Corp | Authentication method, and client device, server device, and program thereof |
| KR100464913B1 (en) * | 2000-11-18 | 2005-01-05 | 링크플러스(주) | Method for identifying plural subscription to web site and system therefor |
| JP2006521762A (en) * | 2003-03-22 | 2006-09-21 | ユ−ヨン リ | Information transmission system and transmission method using N-dimensional information |
| US7188086B2 (en) | 2001-02-07 | 2007-03-06 | Fujitsu Limited | Confidential information management system and information terminal for use in the system |
| JP2007116273A (en) * | 2005-10-18 | 2007-05-10 | Sharp Corp | Image processing apparatus, image processing method, and image processing program |
| JP2008547248A (en) * | 2005-06-13 | 2008-12-25 | ノキア コーポレイション | Apparatus, method and computer program for providing mobile node identifiers with authentication preferences in generalized bootstrapping architecture (GBA) |
| JP2009055428A (en) * | 2007-08-28 | 2009-03-12 | Fujitsu Ltd | Information processor, server device, information processing program and method |
| JP2009089000A (en) * | 2007-09-28 | 2009-04-23 | Toshiba Solutions Corp | Encryption module distribution system, encryption management server device, encryption processing apparatus, client device, encryption management program, encryption processing program, and client program |
| US8087069B2 (en) | 2005-06-13 | 2011-12-27 | Nokia Corporation | Method, apparatus and computer program product providing bootstrapping mechanism selection in generic bootstrapping architecture (GBA) |
| US8353011B2 (en) | 2005-06-13 | 2013-01-08 | Nokia Corporation | Apparatus, method and computer program product providing mobile node identities in conjunction with authentication preferences in generic bootstrapping architecture (GBA) |
| WO2015174823A1 (en) * | 2014-05-16 | 2015-11-19 | Mimos Berhad | System and method for accessing a network |
-
1997
- 1997-02-26 JP JP9042721A patent/JPH10242957A/en active Pending
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2001048674A1 (en) * | 1999-12-24 | 2001-07-05 | Link Plus, Inc. | Method and system for authenticating identity on internet |
| KR100464913B1 (en) * | 2000-11-18 | 2005-01-05 | 링크플러스(주) | Method for identifying plural subscription to web site and system therefor |
| US7188086B2 (en) | 2001-02-07 | 2007-03-06 | Fujitsu Limited | Confidential information management system and information terminal for use in the system |
| KR20020085734A (en) * | 2001-05-10 | 2002-11-16 | (주) 비씨큐어 | Recoverable Password-Based Mutual Authentication and Key Exchange Protocol |
| JP2003296279A (en) * | 2002-03-29 | 2003-10-17 | Digital Electronics Corp | Authentication method, and client device, server device, and program thereof |
| JP2006521762A (en) * | 2003-03-22 | 2006-09-21 | ユ−ヨン リ | Information transmission system and transmission method using N-dimensional information |
| JP4791535B2 (en) * | 2005-06-13 | 2011-10-12 | ノキア コーポレイション | Apparatus, method and computer program for providing mobile node identifiers with authentication preferences in generalized bootstrapping architecture (GBA) |
| JP2008547248A (en) * | 2005-06-13 | 2008-12-25 | ノキア コーポレイション | Apparatus, method and computer program for providing mobile node identifiers with authentication preferences in generalized bootstrapping architecture (GBA) |
| US8353011B2 (en) | 2005-06-13 | 2013-01-08 | Nokia Corporation | Apparatus, method and computer program product providing mobile node identities in conjunction with authentication preferences in generic bootstrapping architecture (GBA) |
| US8087069B2 (en) | 2005-06-13 | 2011-12-27 | Nokia Corporation | Method, apparatus and computer program product providing bootstrapping mechanism selection in generic bootstrapping architecture (GBA) |
| JP2007116273A (en) * | 2005-10-18 | 2007-05-10 | Sharp Corp | Image processing apparatus, image processing method, and image processing program |
| JP2009055428A (en) * | 2007-08-28 | 2009-03-12 | Fujitsu Ltd | Information processor, server device, information processing program and method |
| JP2009089000A (en) * | 2007-09-28 | 2009-04-23 | Toshiba Solutions Corp | Encryption module distribution system, encryption management server device, encryption processing apparatus, client device, encryption management program, encryption processing program, and client program |
| US8396218B2 (en) | 2007-09-28 | 2013-03-12 | Toshiba Solutions Corporation | Cryptographic module distribution system, apparatus, and program |
| WO2015174823A1 (en) * | 2014-05-16 | 2015-11-19 | Mimos Berhad | System and method for accessing a network |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110380852B (en) | Bidirectional authentication method and communication system | |
| US9847882B2 (en) | Multiple factor authentication in an identity certificate service | |
| CN109088889B (en) | SSL encryption and decryption method, system and computer readable storage medium | |
| KR101130415B1 (en) | A method and system for recovering password protected private data via a communication network without exposing the private data | |
| US10554393B2 (en) | Universal secure messaging for cryptographic modules | |
| US8904178B2 (en) | System and method for secure remote access | |
| CN108769007B (en) | Gateway security authentication method, server and gateway | |
| US20100191967A1 (en) | Client apparatus, server apparatus, and program | |
| CN111756529B (en) | Quantum session key distribution method and system | |
| US20060126848A1 (en) | Key authentication/service system and method using one-time authentication code | |
| US20060005026A1 (en) | Method and apparatus for secure communication reusing session key between client and server | |
| CN111865939A (en) | Point-to-point national secret tunnel establishment method and device | |
| KR19990072733A (en) | Method and Apparatus for Conducting Crypto-Ignition Processes between Thin Client Devices and Server Devices over Data Network | |
| CN108809633B (en) | Identity authentication method, device and system | |
| US7316030B2 (en) | Method and system for authenticating a personal security device vis-à-vis at least one remote computer system | |
| CN111756528B (en) | Quantum session key distribution method, device and communication architecture | |
| CN113225352A (en) | Data transmission method and device, electronic equipment and storage medium | |
| CN112053477B (en) | Control system, method and device of intelligent door lock and readable storage medium | |
| JPH10242957A (en) | User authentication method, system therefor and storage medium for user authentication | |
| CN114422256B (en) | High-performance security access method and device based on SSAL/SSL protocol | |
| US8788825B1 (en) | Method and apparatus for key management for various device-server configurations | |
| EP4224792B1 (en) | System for dispersing access rights for routing devices in network | |
| CN116032556B (en) | Key negotiation method and device for applet application | |
| CN113660271B (en) | Security authentication method and device for Internet of vehicles | |
| CN110912857A (en) | Method and storage medium for sharing login between mobile applications |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20040329 |