特許ウォッチ

公開番号2025047223
公報種別公開特許公報(A)
公開日2025-04-03
出願番号2023155585
出願日2023-09-21
発明の名称認証システムおよび認証方法
出願人株式会社デンソーウェーブ,セコム株式会社
代理人弁理士法人明成国際特許事務所
主分類H04L 9/08 20060101AFI20250326BHJP(電気通信技術)
要約【課題】認証に要する時間を短縮しつつ、良好なセキュリティ性を担保することが可能な認証システムを提供する。
【解決手段】携帯端末は、第2の認証処理を要求するとき、ワンタイムパスワード生成用鍵と、自端末の個体差情報とを用いてワンタイムパスワードを生成し、ワンタイムパスワードと個体差情報とを含む認証要求を送信する認証要求部を有する。認証装置は、第1の認証処理により携帯端末の認証が成功すると、固有鍵と内部情報とを用いて、第2の認証処理に必要なワンタイムパスワード生成用鍵を生成し、ワンタイムパスワード生成用鍵を携帯端末に送信する鍵生成送信部と、携帯端末から認証要求を受信すると、認証要求に含まれた個体差情報とワンタイムパスワード生成用鍵の生成に用いた内部情報及び固有鍵を用いて、受信したワンタイムパスワードの真贋を判定する真贋判定を行い、携帯端末の認証を行う認証部と、を有する。
【選択図】図4
特許請求の範囲【請求項１】
ユーザにより携帯される複数の携帯端末と、前記携帯端末との間で第１の通信方式にて前記携帯端末の認証を行う第１の認証処理、及び、前記携帯端末との間で前記第１の通信方式よりセキュリティ性が低い第２の通信方式にて前記携帯端末の認証を行う第２の認証処理を行う認証装置と、を備えた認証システムであって、
前記携帯端末は、
前記認証装置から受信したワンタイムパスワード生成用鍵を記憶する端末側記憶部と、
前記第２の認証処理を要求するとき、記憶した前記ワンタイムパスワード生成用鍵と自端末の個体差情報とを用いてワンタイムパスワードを生成し、当該ワンタイムパスワードと前記個体差情報とを含む認証要求を送信する認証要求部と、を有し、
前記認証装置は、
固有鍵と経時変化する自装置の内部情報とを記憶する装置側記憶部と、
前記第１の認証処理により前記携帯端末の認証が成功すると、前記固有鍵と前記内部情報とを用いて、前記第２の認証処理に必要な前記ワンタイムパスワード生成用鍵を生成し、当該ワンタイムパスワード生成用鍵を当該携帯端末に送信する鍵生成送信部と、
前記携帯端末から前記認証要求を受信すると、当該認証要求に含まれた前記個体差情報と前記ワンタイムパスワード生成用鍵の生成に用いた前記内部情報及び前記固有鍵を用いて、受信した前記ワンタイムパスワードの真贋を判定する真贋判定を行い、前記携帯端末の認証を行う認証部と、
を有する認証システム。
続きを表示（約 1,600 文字）【請求項２】
前記鍵生成送信部は、前記内部情報として自装置が計測した時刻を用いて、前記ワンタイムパスワード生成用鍵を生成し、
前記認証要求部は、前記個体差情報として自端末が計測した時間を用いて、前記ワンタイムパスワードを生成する、
請求項１に記載の認証システム。
【請求項３】
前記認証要求部は、前記個体差情報として前記ワンタイムパスワード生成用鍵を受信してから前記ワンタイムパスワードを生成するまでの経過時間を用いて、前記ワンタイムパスワードを生成し、
前記認証部は、前記携帯端末から、前記ワンタイムパスワード生成用鍵の生成に用いた前記内部情報として前記経過時間及び前記ワンタイムパスワードの生成時刻であるワンタイムパスワード生成時刻を含む前記認証要求を受信する、
請求項２に記載の認証システム。
【請求項４】
前記認証部は、前記ワンタイムパスワード生成用鍵が生成された時間が予め定められた規定時間よりも短いか否かを判定する経過時間判定を行い、前記真贋判定又は前記経過時間判定にて認証不可と判断された場合には、前記第１の認証処理を行い、
前記鍵生成送信部は、前記第１の認証処理後に新たに生成した前記ワンタイムパスワード生成用鍵を前記携帯端末に送信する、
請求項２又は３に記載の認証システム。
【請求項５】
前記認証部は、前記ワンタイムパスワードが生成された時刻と前記認証装置が計時する現在時刻との差が、予め定められた誤差許容値より小さいか否かを判定する誤差判定を行い、前記真贋判定又は前記誤差判定にて認証不可と判断された場合には、前記第１の認証処理を行う、
請求項３に記載の認証システム。
【請求項６】
前記第１の認証処理は、前記携帯端末と前記認証装置との間でペアリングされた状態で認証処理を行い、
前記第２の認証処理は、前記携帯端末と前記認証装置との間で前記ペアリングされていない状態で認証処理する高速処理である、
請求項１～３の何れか一項に記載の認証システム。
【請求項７】
前記認証装置は複数存在し、
前記固有鍵は、各前記認証装置において共通であり、
前記認証部は、前記ワンタイムパスワード生成時刻及び前記経過時間に基づき算出した前記ワンタイムパスワード生成用鍵の生成に用いた前記内部情報を用いて、前記真贋判定を行う、
請求項３に記載の認証システム。
【請求項８】
ユーザにより携帯される複数の携帯端末と、前記携帯端末との間で第１の通信方式にて前記携帯端末の認証を行う第１の認証処理、及び、前記携帯端末との間で前記第１の通信方式よりセキュリティ性が低い第２の通信方式にて前記携帯端末の認証を行う第２の認証処理を行う認証装置と、を備えた認証システムを用いた認証方法であって、
前記携帯端末は、
前記認証装置から受信したワンタイムパスワード生成用鍵を記憶し、
前記第２の認証処理を要求するとき、記憶した前記ワンタイムパスワード生成用鍵と自端末の個体差情報とを用いてワンタイムパスワードを生成し、当該ワンタイムパスワードと前記個体差情報とを含む認証要求を送信し、
前記認証装置は、
固有鍵と経時変化する自装置の内部情報とを記憶し、
前記第１の認証処理により前記携帯端末の認証が成功すると、前記固有鍵と前記内部情報とを用いて、前記第２の認証処理に必要な前記ワンタイムパスワード生成用鍵を生成し、当該ワンタイムパスワード生成用鍵を当該携帯端末に送信し、
前記携帯端末から前記認証要求を受信すると、当該認証要求に含まれた前記個体差情報と前記ワンタイムパスワード生成用鍵の生成に用いた前記内部情報及び前記固有鍵を用いて、受信した前記ワンタイムパスワードの真贋を判定する真贋判定を行い、前記携帯端末の認証を行う、
認証方法。

発明の詳細な説明【技術分野】
【０００１】
本開示は、認証システムおよび認証方法に関する。
続きを表示（約 5,000 文字）【背景技術】
【０００２】
特許文献１に記載される認証システムは、例えば住宅の防犯対策に用いられるセキュリティシステムにおいて用いられるものであり、ユーザにより携帯される携帯端末である携帯タグと、その携帯タグの認証を行う認証装置と、を備える。認証装置は、携帯端末の個体差に関する情報である個体差情報を記憶する記憶部と、認証部と、を備える。この認証システムでは、携帯端末から認証要求信号を認証装置へ無線通信により送信する。認証要求信号には、自端末を識別するための識別情報と、認証装置との間で予め定められた所定の規則に従うとともに自端末の経時変化する個体差が反映されたワンタイムパスワードが含まれる。
【０００３】
そして、認証部は、認証要求信号を受信すると、識別情報に基づいて認証要求信号を送信した携帯端末を特定し、記憶部に記憶された個体差情報に基づいてワンタイムパスワードの真偽を判断し、その判断結果に基づいて携帯端末の認証を行う。これによれば、認証装置と携帯タグとの双方向通信ではなく、携帯タグから認証装置への片方向の通信だけで認証を行うため、認証に要する時間を極力短くできるとされていた。
【先行技術文献】
【特許文献】
【０００４】
特開２０２０－１４１４９号公報
【発明の概要】
【発明が解決しようとする課題】
【０００５】
しかし、一般に、双方向通信による認証に比べて、片方向送信による認証では、ワンタイムパスワードなどの認証のための情報が含まれる信号が送信される頻度が高くなり、その信号が傍受されるリスクが高まる。したがって、片方向の通信だけで認証を行う上記認証システムでは、悪意のある第三者によって携帯タグから認証装置への送信信号を傍受（盗聴）される可能性があるという問題があった。
【０００６】
本開示は上記事情に鑑みてなされたものであり、その目的は、認証システムにおいて、認証に要する時間を短縮しつつ、良好なセキュリティ性を担保することが可能な認証システムを提供することにある。
【課題を解決するための手段】
【０００７】
本開示は、上述の課題の少なくとも一部を解決するためになされたものであり、以下の形態として実現することが可能である。
【０００８】
（１）本開示の一形態によれば、認証システムが提供される。この認証システムは、ユーザにより携帯される複数の携帯端末と、前記携帯端末との間で第１の通信方式にて前記携帯端末の認証を行う第１の認証処理、及び、前記携帯端末との間で前記第１の通信方式よりセキュリティ性が低い第２の通信方式にて前記携帯端末の認証を行う第２の認証処理を行う認証装置と、を備えた認証システムであって、前記携帯端末は、前記認証装置から受信したワンタイムパスワード生成用鍵を記憶する端末側記憶部と、前記第２の認証処理を要求するとき、記憶した前記ワンタイムパスワード生成用鍵と自端末の個体差情報とを用いてワンタイムパスワードを生成し、当該ワンタイムパスワードと前記個体差情報とを含む認証要求を送信する認証要求部と、を有し、前記認証装置は、固有鍵と経時変化する自装置の内部情報とを記憶する装置側記憶部と、前記第１の認証処理により前記携帯端末の認証が成功すると、前記固有鍵と前記内部情報とを用いて、前記第２の認証処理に必要な前記ワンタイムパスワード生成用鍵を生成し、当該ワンタイムパスワード生成用鍵を当該携帯端末に送信する鍵生成送信部と、前記携帯端末から前記認証要求を受信すると、当該認証要求に含まれた前記個体差情報と前記ワンタイムパスワード生成用鍵の生成に用いた前記内部情報及び前記固有鍵とを用いて、受信した前記ワンタイムパスワードの真贋を判定する真贋判定を行い、前記携帯端末の認証を行う認証部と、を有する。
この形態の認証システムによれば、携帯端末により生成されるワンタイムパスワードは、ワンタイムパスワード生成用鍵と、自端末の個体差情報とを用いて生成される。そして、第２の認証処理において、認証装置の認証部は、内部情報と個体差情報と固有鍵とを用いて、ワンタイムパスワードの真贋判定を行い、携帯端末の認証を行う。このため、セキュリティ性の低い通信環境での通信が想定される第２の認証処理において、セキュリティ性を向上させることができる。
（２）上記形態の認証システムにおいて、前記鍵生成送信部は、前記内部情報として自装置が計測した時刻を用いて、前記ワンタイムパスワード生成用鍵を生成し、前記認証要求部は、前記個体差情報として自端末が計測した時間を用いて、前記ワンタイムパスワードを生成してもよい。
この形態によれば、内部情報として認証装置が計測した時刻を用いることで、容易にセキュリティ性を担保できる。
（３）上記形態の認証システムにおいて、前記認証要求部は、前記個体差情報として前記ワンタイムパスワード生成用鍵を受信してから前記ワンタイムパスワードを生成するまでの経過時間を用いて、前記ワンタイムパスワードを生成し、前記認証部は、前記携帯端末から、前記ワンタイムパスワード生成用鍵の生成に用いた前記内部情報として前記経過時間及び前記ワンタイムパスワードの生成時刻であるワンタイムパスワード生成時刻を含む前記認証要求を受信してもよい。
この形態によれば、個体差情報として経過時間を用いてワンタイムパスワードが生成される。例えば、個体差が反映された個体差情報としての「携帯端末ＩＤ」は、端末間の個体差はあるものの固定された情報である。このように固定の情報ではなく、「経過時間」のように経時変化する予測しにくい情報をワンタイムパスワードの生成に用いることで、固有鍵を逆算により導出されにくくできる。したがって、セキュリティをさらに向上させることができる。また、認証部は、携帯端末から受信したワンタイムパスワード生成時刻と経過時間とを用いて鍵生成時刻を算出できる。
（４）上記形態の認証システムにおいて、前記認証部は、前記ワンタイムパスワード生成用鍵が生成された時間が予め定められた規定時間よりも短いか否かを判定する経過時間判定を行い、前記真贋判定又は前記経過時間判定にて認証不可と判断された場合には、前記第１の認証処理を行い、前記鍵生成送信部は、前記第１の認証処理後に新たに生成した前記ワンタイムパスワード生成用鍵を前記携帯端末に送信してもよい。
この形態によれば、例えばワンタイムパスワード生成用鍵が生成された時間が予め定められた規定時間以上であり、すなわちワンタイムパスワード生成用鍵が古い場合には、携帯端末の認証が許可されない構成とできる。
（５）上記形態の認証システムにおいて、前記認証部は、前記ワンタイムパスワードが生成された時刻と前記認証装置が計時する現在時刻との差が、予め定められた誤差許容値より小さいか否かを判定する誤差判定を行い、前記真贋判定又は前記誤差判定にて認証不可と判断された場合には、前記第１の認証処理を行ってもよい。
この形態によれば、例えばワンタイムパスワード生成時刻と、認証装置が計時する現在時刻との差が誤差許容値以上となる場合には、携帯端末は認証が許可されない構成とできる。例えば携帯端末のタイマカウントが不正確であり、不正確な「経過時間」を用いてワンタイムパスワードが生成された場合には、ワンタイムパスワードの真贋判定を正しく行うことができないため、こうしたケースでの携帯端末の認証を不可とできる。
（６）上記形態の認証システムにおいて、前記第１の認証処理は、前記携帯端末と前記認証装置との間でペアリングされた状態で認証処理を行い、前記第２の認証処理は、前記携帯端末と前記認証装置との間で前記ペアリングされていない状態で認証処理する高速処理であってもよい。
この形態によれば、第１の認証処理では、携帯端末と認証装置とがペアリングされた状態での処理とすることができ、第２の認証処理では、携帯端末と認証装置とがペアリングされていない状態での高速処理とすることができる。
（７）上記形態の認証システムにおいて、前記認証装置は複数存在し、前記固有鍵は、各前記認証装置において共通であり、前記認証部は、前記ワンタイムパスワード生成時刻及び前記経過時間に基づき算出した前記ワンタイムパスワード生成用鍵の生成に用いた前記内部情報を用いて、前記真贋判定を行ってもよい。
この形態によれば、複数の認証装置を有する認証システムにおいて、各認証装置での認証処理における通信トラフィックの増大を抑制することができる。
（８）本開示の第二の形態によれば、認証方法が提供される。この認証方法は、ユーザにより携帯される複数の携帯端末と、前記携帯端末との間で第１の通信方式にて前記携帯端末の認証を行う第１の認証処理、及び、前記携帯端末との間で前記第１の通信方式よりセキュリティ性が低い第２の通信方式にて前記携帯端末の認証を行う第２の認証処理を行う認証装置と、を備えた認証システムを用いた認証方法であって、前記携帯端末は、前記認証装置から受信したワンタイムパスワード生成用鍵を記憶し、前記第２の認証処理を要求するとき、記憶した前記ワンタイムパスワード生成用鍵と自端末の個体差情報とを用いてワンタイムパスワードを生成し、当該ワンタイムパスワードと前記個体差情報とを含む認証要求を送信し、前記認証装置は、固有鍵と経時変化する自装置の内部情報とを記憶し、前記第１の認証処理により前記携帯端末の認証が成功すると、前記固有鍵と前記内部情報とを用いて、前記第２の認証処理に必要な前記ワンタイムパスワード生成用鍵を生成し、当該ワンタイムパスワード生成用鍵を当該携帯端末に送信し、前記携帯端末から前記認証要求を受信すると、当該認証要求に含まれた前記個体差情報と前記ワンタイムパスワード生成用鍵の生成に用いた前記内部情報及び前記固有鍵とを用いて、受信した前記ワンタイムパスワードの真贋を判定する真贋判定を行い、前記携帯端末の認証を行う。
【図面の簡単な説明】
【０００９】
本開示の第１実施形態における入退室管理セキュリティシステムの概略構成を模式的に示す図である。
入退室管理セキュリティシステムにおける携帯端末、認証装置の構成を示す機能ブロック図である。
入退室管理セキュリティシステムにおける認証の流れの概要を説明するシーケンス図である。
入退室管理セキュリティシステムが実行する一連の認証処理の手順を説明するための図である。
入退室管理セキュリティシステムにおいて、認証装置が実行する処理を説明するフローチャートである。
本開示の第２実施形態における入退室管理セキュリティシステムの一部の概念を説明する図である。
本開示の第３実施形態における入退室管理セキュリティシステムの認証の流れの一部を説明するシーケンス図である。
【発明を実施するための形態】
【００１０】
以下、実施形態について図面を参照して説明する。
Ａ．第１実施形態：
Ａ１．入退室管理セキュリティシステム１の全体構成：
第１実施形態について、図１～図５を参照して説明する。まず、入退室管理セキュリティシステム１の全体構成について、図１を参照して説明する。図１は、本開示の第１実施形態における入退室管理セキュリティシステム１の概略構成を模式的に示す図である。図１に示す入退室管理セキュリティシステム１は、例えば、会社内の特定の複数のセキュリティエリア５Ａ，５Ｂへの従業者の入退室管理や、入室許可のない者がセキュリティエリア５Ａ，５Ｂに入室しないようにセキュリティ管理を行うシステムである。入退室管理セキュリティシステム１は、「認証システム」の一例に相当する。セキュリティエリア５Ａ，５Ｂは、入室管理の対象エリアである。
（【００１１】以降は省略されています）

関連特許