特許

J-GLOBAL ID：200903031101387184

複数の動的暗号化変数を使用する機能へのアクセスを制御するシステム

発明者： オードゥベール イブ
出願人/特許権者： アクティブカール
代理人 (1件)： 朝倉 勝三
公報種別：公表公報
出願番号（国際出願番号）：特願平9-534077
公開番号（公開出願番号）：特表2000-508099
出願日： 1997年03月21日
公開日（公表日）： 2000年06月27日
要約：

【要約】カードからなる第1のユニット(2)とこれと通信できる第2のユニット(3)とを包含し、ある条件のもとでのみ機能(1)にアクセスすることができるシステム。両ユニットは、複数の動的変数を暗号化することによってパスワードを同時ではあるが両ユニットで別個に生成するソフトウェアを実行するように設計されている。このようにして生成されたパスワードは、アクセスを許可する所定の関係、例えば同一性を有しなければならない。暗号化は、先に受けたアクセス要求の番号に基づきカードを使ってなされた各アクセス要求の後に変更される動的変数を使用した公開暗号化アルゴリズムにより両ユニット(2,3)において行われる。

請求項（抜粋）：

1 個人及び/又はメッセージのアクセス制御又は認証を行うことによって、特に、少なくとも一人のユーザのある機能へのアクセスが許可されるものであり、前記ユーザの専有物にされた少なくとも一つの第1の携帯型ユニット(2)と、機能へのアクセス又はユーザ及び/又一つのメッセージの認証を制御する少なくとも一つの第2の検証ユニット(3)とを備え、 前記第1のユニット(2)が、 少なくとも二つの変数(Nn,T)を生成する第1の生成手段(25,26,31)と、 前記変数に基づく入力パラメータを使用し少なくとも一つの第1の暗号化アルゴリズムに従って第1のパスワード(A)を生成する第1の計算手段(24)と、 前記第1のパスワードを前記第2のユニット(3)に送信する手段(10,12,35)とを包含し、 前記第2のユニットが、 前記少なくとも一つの第1のユニットの指定された一つによってなされたアクセス要求に応答して、前記少なくとも一つの第1のユニットの前記指定された一つに割り当てられた少なくとも二つの変数(Nna,Ta)を生成する第2の生成手段(25a,26a,31a)と、 前記第2のユニットで生成された前記変数(Nna,Ta)に基づく入力パラメータを使用し少なくとも一つの第2の暗号化アルゴリズムに従って第2のパスワード(Aa)を生成する第2の計算手段(24a)と、 前記第1及び第2のパスワードを比較する比較手段(36)と、 前記パスワード間の所定の関係に応じて前記機能(1)へのアクセスの許可及び/又は認証を出す手段とを包含する、アクセス制御システムにおいて、 前記第1及び第2のユニットに備えられた前記第1及び第2の生成手段(25,26,31,25a,26a,31a)が、前記第1及び第2のユニットにおいて連携してではあるが個別に生成される少なくとも二つの動的変数を生成するように構成されていることを特徴とするアクセス制御システム。2 請求項1記載の制御システムにおいて、前記第1及び第2の生成手段(25,26,31,25a,26a,31a)が、現在のアクセス要求が行われる前に、前記第1のユニット(2)によってなされたアクセス要求の番号を含む関数に従って変数(Kn,Kna)の少なくとも第1の変数を生成する第3及び第4の計算手段(33)をそれぞれ備えていることを特徴とする制御システム。3 請求項2記載の制御システムにおいて、前記第3及び第4の計算手段(33)が、なされたアクセス要求の前記番号と前記第1の動的変数(Kn,Kna)の現在値との論理組み合わせによって中間の動的な変数(Z)をそれぞれ生成することを特徴とする制御システム。4 請求項3記載の制御システムにおいて、前記第3及び第4の計算手段(33)が、第3及び第4のアルゴリズムによって前記中間の動的変数(Z)の暗号化をそれぞれ行い、この暗号化の結果が前記第1の動的変数の新しい値(Kn+1,Kna+1)を構成することを特徴とする制御システム。5 請求項4記載の制御システムにおいて、前記第3及び第4の計算手段(33)が、第3及び第4のアルゴリズムに関し秘密暗号化キーとして使用された前記第1の動的変数(Kn,Kna)で前記中間の動的変数(Z)を暗号化する手段をそれぞれ備えていることを特徴とする制御システム。6 請求項4記載の制御システムにおいて、前記第3及び第4の計算手段(33)が、第3及び第4のアルゴリズムのそれぞれに関して使用された、前記第1の動的変数とは異なる暗号化キー(Q)で前記中間の動的変数を暗号化する手段をそれぞれ備えていることを特徴とする制御システム。7 請求項4記載の制御システムにおいて、前記第3の計算手段及び第4の計算手段(33)が、前記第3及び第4の暗号化アルゴリズムによる前記暗号化の結果を前記第1及び第2のアルゴリズムに関し暗号化キーとしてそれぞれ前記第1及び第2の計算手段(24,24a)に転送することを特徴とする制御システム。8 請求項2ないし7のいずれか1項に記載の制御システムにおいて、前記第1及び第2の生成手段(25,25a)が、なされたアクセス要求の前記番号(Nn,Nna)の関数として前記動的変数の第2の変数をそれぞれ生成し、前記第2の動的変数を前記第1及び第2の計算手段(24,24a)にそれぞれ転送し、前記第1及び第2の計算手段(24,24a)が、それぞれ前記第1及び第2の暗号化アルゴリズムに従って前記第2の動的変数を含む入力データを暗号化することを特徴とする制御システム。9 請求項8記載の制御システムにおいて、前記第1及び第2の生成手段(26,26a)が、現在の時間(T,Ta)の関数として前記動的変数の第3の変数をそれぞれ生成し、前記第3の動的変数を前記第1及び第2の計算手段(24,24a)にそれぞれ転送し、前記第1及び第2の計算手段(24,24a)がそれぞれ前記入力データに前記第3の動的変数を組み込むことを特徴とする制御システム。10 請求項9記載の制御システムにおいて、前記第1及び第2の計算手段(24,24a)が、前記第3の動的変数と前記入力データとの連結を実行することを特徴とする制御システム。11 請求項4ないし10のいずれか1項に記載の制御システムにおいて、前記第3及び第4の暗号化アルゴリズムが、前記第1及び第2の暗号化アルゴリズムと同じであることを特徴とする制御システム。12 請求項1ないし11のいずれか1項に記載の制御システムにおいて、前記第1及び第2の生成手段(25,25a,26,26a,31,31a)が、前記動的変数(Kn,Kna)の第1の動的変数を前記第1及び第2のアルゴリズムに関して暗号化キーとして前記第1及び第2の計算手段(24,24a)にそれぞれ転送し、現在のアクセス要求の前に前記第1ユニットによってなされたアクセス要求の番号からなる前記変数の第2の変数を含んでおり且つ前記第1の動的変数により暗号化されるべく前記第1及び第2の計算手段へそれぞれ転送される入力データ(Nn,Nna)を生成することを特徴とする制御システム。13 請求項12記載の制御システムにおいて、前記第1及び第2の生成手段(25,26,31,25a,26a,31a)が、なされたアクセス要求の番号の関数とする暗号化キー(Kn,Kna)を生成する第3及び第4の計算手段をそれぞれ包含することを特徴とする制御システム。14 請求項13記載の制御システムにおいて、前記第3及び第4の計算手段(33)が、それぞれ記憶手段(28)を包含し、前記暗号化キーの現在の値(Kn,Kna)から前記暗号化キーの新しい値(Kn+1,Kna+1)を生成して前記記憶手段(28)に前記現在の値の代わりに前記新しい値を記憶することを特徴とする制御システム。15 請求項1ないし14のいずれか1項に記載の制御システムにおいて、前記第1のユニット(2)が、前記第2のユニット(3)に転送して前記機能を果たすのに使用されることになるデータを記憶する手段(6,38)を包含し、前記第2のユニット(3)が、前記データを受信する手段(12,38)を包含するとともに、前記第1及び第2の生成手段が、前記データを、暗号化しようとする前記動的変数の少なくとも一つの要素として提供するためにそれぞれ前記第1及び第2の計算手段(24,24a)に転送する手段(39)を包含することを特徴とする制御システム。16 請求項1ないし15のいずれか1項に記載の制御システムにおいて、前記第1及び第2のユニットにDTMF電話リンク及び/又は赤外線通信装置を含む通信手段(10)を包含することを特徴とする制御システム。17 請求項1ないし15のいずれか1項に記載の制御システムにおいて、前記第2のユニット(3)内にカードリーダを包含し、前記第1のユニット(29)が、前記カードリーダによって読み取られるようにされたカードを包含して前記第1ユニット(2)と前記第2のユニット(3)との間で情報の通信を行うことを特徴とする制御システム。18 請求項1ないし17のいずれか1項に記載の制御システムにおいて、前記パスワード間の所定の関係が、等しいことであることを特徴とする制御システム。19 請求項9記載の制御システムにおいて、前記第1及び第2の計算手段(24,24a)が、それぞれ前記第2及び第3の動的変数(Nn,Nna,Ta)を処理して前記入力データを生成することを特徴とする制御システム。20 請求項1ないし10のいずれか1項に記載の制御システムにおいて、前記第1及び第2の暗号化アルゴリズムが、互いに異なり、前記第1のパスワード及び前記第2のパスワード(A,Aa)が有しているような所定の関係を有することを特徴とする制御システム。21 個人及び/又はメッセージのアクセス制御又は認証を行うことによって、特に、少なくとも一人のユーザのある機能へのアクセスが許可されるものであり、前記ユーザの専有物にされた少なくとも一つの第1の携帯型ユニットと、機能へのアクセス又はユーザ及び/又は一つのメッセージの認証を制御する少なくとも一つの第2の検証ユニットとを備え、 前記第1のユニットが、 少なくとも二つの動的変数を生成する第1の生成手段と、 前記変数に基づく入力パラメータを使用し少なくとも一つの第1の暗号化アルゴリズムに従って第1のパスワードを生成する第1の計算手段と、 前記パスワードを前記第2のユニットに送信する手段とを包含し、 前記第2のユニットが、 前記少なくとも一つの第1のユニットの指定された一つによってなされたアクセス要求に応答して、前記少なくとも一つの第1ユニットの前記指定された一つに割り当てられた少なくとも二つの動的変数を生成する第2の生成手段と、 前記第2のユニットで生成された前記動的変数の第1の変数に基づく入力パラメータを解読キーとして使用し前記第1ユニットで生成された前記変数の一つを得る少なくとも一つの解読アルゴリズムに従って第2のパスワードを解読する第2の計算手段と、 前記第2の計算手段で得られた前記動的変数を前記第2のユニットで生成された前記動的変数の第2の変数と比較する比較手段と、 前記第2の計算手段で得られた前記動的変数と前記第2のユニットで生成された前記動的変数の第2の変数との間に所定の関係があることを決定する前記比較手段に応じて前記機能へのアクセスの許可を出す手段とを包含する、アクセス制御システムにおいて、 前記第1及び第2のユニットにそれぞれ備えられた前記第1及び第2の生成手段が、連携してではあるが個別に前記少なくとも二つの動的変数を生成するように構成されていることを特徴とするアクセス制御システム。

IPC (3件)：

G06F 15/00 330 ,  G06F 15/00 ,  H04L 9/32

FI (4件)：

G06F 15/00 330 G ,  G06F 15/00 330 E ,  H04L 9/00 673 A ,  H04L 9/00 673 D