专利名称:机器认证系统的制作方法
技术领域:
本发明涉及一种在终端上连接数据通信用装置,来从数据服务器下载必要数据的系统,特别涉及一种对连接有数据通信用装置的终端实施认证的机器认证系统。
本申请,对2003年5月30日申请的特愿2003-155703号主张优先权,在此援引其中内容。
背景技术:
近年来,随着互联网的迅速普及,不仅经有线线路连接的个人计算机,在例如笔记本式个人计算机或PDA(PDAPersonal Data Assistants)等便携式终端上,安装数据通信用卡等的通信用装置,来进行从数据服务器的数据配送或数据的下载,也逐渐流行。由于这样的系统中,无法进行伴随着数据配送的用户终端种类的识别,因此运行的是不考虑终端种类的收费系统。
另外,在委托信息服务商构建服务器的情况下,对应于相关终端服务商各自的规格,在Web服务器上判别访问源的载体、终端的机种信息等来将用HTML描述的文件变换成能在访问源终端进行处理的文件形式的机构,以及在Web服务器上识别访问源的终端ID,对特定内容恰当进行访问控制的机构等,作为特定载体的个别功能来实现。
但是,上述方法中,存在如下问题,将构建为特定载体专用的服务器服务器启动之后,很难使其也对应其他载体。为解决该问题,有一种公知的技术,不断进行对应载体的内容发送以及特定内容的访问控制,并且能够根据用户所使用的终端机种,发送适当的内容。
但是,在给终端上连接数据通信用卡等的通信用装置,来从数据服务器进行数据的发送或下载的情况下,存在即使能够识别通信用装置的机种,也无法识别通信用装置与什么样的终端相连接这一问题。另外,根据对通信用装置的实际使用情况的调查,可知连接在个人计算机上来使用的情况下的月平均使用通信量、与连接在PDA等便携式终端上来使用的情况下的月平均使用通信量之间存在显著差异,因所使用的终端机种的不同,使用通信量存在很大差异。所以,对于使用终端来接受服务的用户来说,希望接受因使用机种而异的收费服务,但在服务提供者一侧,由于无法识别用户的使用机种,因此存在无法准确对应用户的要求的这一问题。
发明内容
本发明提出了一种机器认证系统,其特征在于,具备终端,其具有发送自己的机器信息的发送机构;与该终端相连接的数据通信用装置;以及,至少1个机器认证服务器,其具有机器信息认证机构,上述机器信息认证机构接收该机器信息,并根据该机器信息,判断是否是与提供给上述终端的服务内容相一致的终端。
根据本发明,终端的发送机构发送终端的机器信息,机器认证服务器根据所接收到的机器信息,判断该终端是否是与所提供的服务内容相一致的终端,因此,用户能够从服务商那里获取恰当的服务。
本发明还提出了一种机器认证系统,其特征在于,具有终端,其具有发送自己的机器信息的发送机构;与该终端相连接的数据通信用装置;以及,至少1个机器认证服务器,其具有机器信息认证机构,上述机器信息认证机构接收该机器信息,并根据该机器信息,判断是否是与提供给上述终端的服务内容相一致的终端,上述终端,具有存储上述机器信息的机器信息存储机构;以及,加密上述机器信息,并生成认证信息的认证信息生成机构,上述机器认证机构,根据上述被加密的机器信息,进行机器的认证。
根据本发明,由于用来实施机器的认证的机器信息被加密后,从终端向机器认证服务器发送,因此能够提高涉及机器的认证的安全性。
本发明还提出了一种机器认证系统,其特征在于,具有终端,其具有发送自己的机器信息的发送机构;与该终端相连接的数据通信用装置;至少1个机器认证服务器,其具有机器信息认证机构,上述机器信息认证机构接收该机器信息,并根据该机器信息,判断是否是与提供给上述终端的服务内容相一致的终端;以及,生成上述终端固有的加密密钥的密钥生成服务器,上述终端,具有存储上述机器信息的机器信息存储机构;以及,认证信息生成机构,用终端固有的加密密钥加密上述机器信息,并生成认证信息,上述机器认证机构,根据上述被加密的机器信息,进行机器的认证;在上述机器信息认证机构首次从上述终端接收到上述机器信息时,且该机器信息中不包含终端固有的加密密钥时,向上述密钥生成服务器请求上述终端固有的加密密钥的生成,并将该生成的加密密钥发送给上述终端,同时,上述认证信息生成机构,存储所发送的该加密密钥,以后,使用该存储的加密密钥,对上述机器信息进行加密。
根据本发明,即使在终端中没有预先存储固有的加密密钥的情况下,在机器信息认证机构首次从终端接收到机器信息时,且所接收到的机器信息中没有包含终端固有的加密密钥时,能够生成对应于终端的固有的加密密钥,将所生成的加密密钥发送给终端,并存储此发送的加密密钥,进行以后的加密。所以,在终端的生产阶段中,不需要设置在各个终端中存储固有的加密密钥的工序,从而不会增加生产的负担。
本发明还提出了一种机器认证系统,其特征在于具有至少一个用户认证服务器,进行上述数据通信用装置的用户认证,上述发送机构,发送上述数据通信用装置的用户信息,同时,上述机器认证服务器,具有认证控制机构,根据上述机器信息认证机构的认证结果,控制是否将上述用户信息发送给上述用户认证服务器。
根据本发明,机器认证服务器对所接收到的机器信息进行解密。机器信息认证机构,根据被解密的机器信息,判断终端是否为与服务提供商所提供的服务内容相一致的终端。在认证的结果判断为终端是与服务提供商所提供的服务内容相一致的终端时,通过认证控制机构的动作,将用户信息发送给用户认证服务器,并提供对应于各个终端的恰当的服务。
本发明还提出了一种机器认证系统,其特征在于,上述终端具有选择机构,选择是否发送上述被加密的机器信息。
根据本发明,由于终端具有选择是否发送被加密的机器信息的选择机构,因此,通过向采用机器认证系统的服务提供商发送机器信息,能够接受对应于使用机种的恰当的服务。另外,通过不对没有采用机器认证系统的服务提供商发送机器信息,能够接受通常的服务。
本发明还提出了一种机器认证系统,其特征在于,上述机器信息中,包含关于上述终端的机器固有的编号。
根据本发明,由于机器信息包含终端的序列号,因此通过终端中的机器固有编号,能够可靠地确定使用终端。所以,例如在企业向员工配发终端的情况下,通过例如机种信息与序列号,能够确定是否是配给员工的终端,以及是配给哪个员工的终端,因此,如果利用该信息,在将终端与企业的LAN相连接的情况下,即使不使用一次性密码或IC卡等,也能够提高安全性。
本发明还提出了一种机器认证系统,其特征在于,在上述机器认证服务器没有从上述终端接收到机器认证信息时,向上述终端发送确认消息。
根据本发明,由于在机器认证服务器没有从终端接收到机器认证信息时,机器认证服务器向终端发送确认消息,因此,利用系统的用户能够根据确认消息,通过手工进行适当的操作,接受用户所希望的服务。
本发明还提出了一种机器认证系统,其特征在于,具有消息控制机构,其在上述机器认证服务器没有从上述终端接收到机器认证信息时,向上述终端发送确认消息;在上述终端从上述机器认证服务器接收到确认消息时,向上述机器认证服务器再次发送机器认证信息。
根据本发明,在终端从机器认证服务器接收到确认消息时,通过消息控制机构的动作,向机器认证服务器再次发送机器认证消息,因此,用户即使不进行特别的操作,也能够接受适当的服务的提供。
本发明还提出了一种机器认证系统,其特征在于,上述终端,具有OS、和监视与外部机器的连接的有无的连接监视机构,在该连接监视机构根据OS上的信息,确认到与该外部机器的连接时,切断与该外部机器的连接。
根据本发明,通过连接监视机构的动作,在终端与数据通信用装置以外的外部机器相连接的情况下,将终端与外部机器的连接切断,因此,能够有效地防止经PDA等终端,用个人计算机等下载数据这种非法行为。
本发明还提出了一种机器认证系统,其特征在于,上述终端,具有OS、和监视与外部机器的连接的有无的连接监视机构,在该连接监视机构根据OS上的信息,确认到与该外部机器的连接时,切断上述数据通信用装置与数据服务器之间的通信。
根据本发明,通过连接监视机构的动作,在终端与数据通信用装置以外的外部机器相连接的情况下,切断数据通信用装置与数据服务器之间的通信,因此,能够有效地防止例如经PDA等终端,用个人计算机等下载数据这种非法行为。
本发明还提出了一种机器认证系统,其特征在于,上述机器信息认证机构中的机器认证,通过PPP(点对点协议)来实施。
图1为第1实施方式中的机器认证系统的结构图。
图2为第1实施方式中的PDA的结构图。
图3为第1实施方式中的认证控制部的结构图。
图4为第1实施方式中的机种信息认证部的结构图。
图5为第1实施方式中的处理流程。
图6为第2实施方式中的机器认证系统的结构图。
具体实施例方式
下面对照附图,对本发明的理想实施方式进行说明。但本发明并不仅限于以下各实施例,还可以例如将这些实施例的构成要素相互适当组合。
本发明的第1实施方式中的机器认证系统,如图1所示,具有PDA(终端)1、数据通信用卡2、NAS(NASNetwork Access Server)3、机器认证服务器4、以及用户认证服务器5。
PDA1,为希望进行数据发送以及下载服务的用户所使用的便携式终端,数据通信用卡2,为具有数据通信功能的卡式通信装置。NAS3为根据来自终端机的请求,访问互联网等网络的服务器,按照终端机的请求,路由到适当的服务器中。另外,NAS3与PAD1,用PPP(PPPPoint to PointProtocol)相连接。
机器认证服务器4,为将安装有数据通信用卡2的PDA1的机器信息经NAS3输入,并根据该信息来进行PDA1(终端)的认证的服务器。用户认证服务器5,为根据数据通信用卡2的ID以及密码进行用户认证的服务器。通过接受这里的认证,用户能够访问所希望的站点以及数据服务器。
PDA1,由PPP11、认证信息生成部12、认证信息存储部13、消息控制部15、消息存储部16、连接监视部18、OS19、外部连接端子20a、20b、由图中未表示的输入按钮等构成的操作输入部、显示文字信息或图像信息的显示部、以及控制装置整体的控制部等构成。另外,PDA1的一部分上,形成有用来插入数据通信用卡2的插槽,通过在该插槽中插入数据通信用卡2,能够进行电连接。PPP11,为通过使用电话等通信线路,即使用用于通过串行线路来进行通信的物理层/数据连接层,拨号连接到互联网上,从而对终端实施网络连接的方法之一。PPP与SLIP不同,具有能够同时支持TCP/IP与IPX,以及其他多个协议的特征。另外,是一种在对应连接状态(所使用的调制解调器以及线路的状态)的再连接、两端所使用的IP地址的自动协商、认证功能以及压缩功能等方面上,富于灵活性的协议。
本实施方式中,通过拨号向NAS3发送Chap Response来建立通信,同时,将加密了的用户信息以及机器信息作为一系列的数据列生成,发送给NAS3。认证信息存储部13,为存储有机种信息以及序列号等的与机器相关的信息的存储装置,由ROM(ROMRead Only Memory)等不可写入的存储装置构成。
连接监视部18,判断经红外线或USB等外部连接端子20a、20b连接的外部机器的有无。具体的说,用根据OS19上的给定数据区域确认相连接的外部设备的相关信息的方法、参照OS上的处理信息确定展开对话的外部连接端子20a、20b的方法,或通过参照OS19上的IP地址来检索所使用的端口,来判断外部机器的连接的有无以及外部机器的种类等。另外,在经外部连接端子20a、20b连接有外部机器的情况下,可以向外部机器输出对话的停止或结束、PPP通信的结束等的消息来切断连接。再有,在经外部连接端子20a、20b连接有外部机器的情况下,可切断PDA1与数据服务器之间的通信。
认证信息生成部12,如图2所示,由加密密钥存储部24、加密模块25、杂凑函数26、发送信号选择部27、以及发送信号生成部28构成。加密密钥存储部24,存储有用来对认证信息存储部13中所保存的机种信息(Brand)以及序列号(Serial)进行加密的加密密钥。另外,加密密钥对每一机种设有各自独立的密钥,为了提高安全性,不将加密密钥的保管场所告知给终端的用户。另外,为了防止加密密钥的改写,存储在ROM等不可写入的存储装置中。
加密模块25,用来加密机种信息以及序列号,具体的说,取得存储在加密密钥存储部24中的加密密钥,使用该加密密钥对机种信息以及序列号进行加密。将加密之后的机种信息(Brand)与序列号(Serial),作为f(Brand)以及f(Serial)输出给发送信号选择部。
杂凑函数26,为用来对机种信息以及密码进行加密的运算式,能够对任意的输入得到一方向性的输出。机种信息(Brand)以及密码(Pass)被杂凑函数26加密,例如变为MD5(Brand)、MD5(Pass),并输出给发送信号选择部27。发送信号选择部27,根据从PDA1的输入机构由用户的操作所输入的控制信号,实施是否将机器信息包括在发送给NAS3的信号中的选择。另外,本发明中,机器信息表示机种信息以及序列号,或终端的性能,例如为涉及浏览器、CPU、HDD等终端机器的信息的总称。
另外,发送信号生成部28,根据从发送信号选择部27或数据通信用卡2输入的信息,生成给NAS3的发送信号。具体的说,将从发送信号选择部27输入的加密了的机种信息(Brand)或序列号(Serial)(f(Brand)或f(Serial))、用杂凑函数26加密机种信息和密码之后的信息(MD5(Brand)、MD5(Pass))、以及从NAS3输入的随机数,或者从数据通信用卡2输入的用户ID等的信息结合起来,生成一系列的数据列,并将其输出给NAS3。机器认证服务器4,由认证控制部41、机种信息认证部42、消息输出控制部43、图中未表示的与NAS3进行数据的发送接收的通信部、以及与用户认证服务器5进行用户信息的发送接收的通信部构成。认证控制部41,如图3所示,由接收部411、机器信息抽出部412、存储部413、发送控制部414、发送部415、消息检测部416以及消息存储部417构成。这里,接收部411为从NAS3接收信息的通信机构,发送部415为向用户认证服务器5发送信息的通信机构。
机器信息抽出部412,从经接收部411输入的信息中,抽出关于机器认证以及用户认证的信息,同时,从所抽出的信息中,将关于机器认证的信息与关于用户认证的信息分离,将机器信息发送给机器信息认证部42,将用户信息发送给存储部413。存储部413,为在机器信息认证部42的认证结果出来之前暂存用户信息的存储装置,由可改写的RAM(RAMRandomAccess Memory)等构成。
发送控制部414,根据机器信息认证部42的认证结果,控制用户信息的对发送部的输出。具体的说,在从机器信息认证部42输入了表示认证成功的信号时,从存储部413读出用户信息,将其输出给发送部415;在输入表示无法认证的信号时,停止对发送部415的信息输出,并将其输出给消息输出控制部43。消息检测部416,在发送控制部414根据从机种信息认证部42输入的认证结果信息判断为从终端所接收到的信息中未包含机器认证信息时,输入表示该情况的信号,同时,从消息存储部417中检索与此相对应的消息数据,将该数据输出给发送控制部414。
机器信息认证部42如图4所示,由机种信息检索部421、机种信息数据库422、存储部423、解密模块424、杂凑函数425、以及比较部426构成。机种信息检索部421,从机器信息抽出部412输入用杂凑函数运算得到的机种信息(MD5(Brand)),并从机种信息数据库422中检索对应于该机种信息的加密密钥。机种信息数据库422,为将用杂凑函数运算得到的机种信息(MD5(Brand))与加密密钥对应保存起来的数据库,存储在不可写入的ROM等存储装置中。
存储部423,为暂存用杂凑函数运算得到的机种信息(MD5(Brand))的存储装置,由可改写RAM等的存储装置构成。解密模块424,为基于加密密钥对被加密的机种信息进行解密的模块,具体的说,从机种信息检索部421取得加密密钥,使用该加密密钥,破解被加密的机种信息的密码。另外,序列号也一样,通过从机种信息数据库422中取得的加密密钥来解密,通过被解密的序列号,提供对应于各个使用者的服务。
被解密的机种信息,用杂凑函数425进行运算之后,输出给比较部426。比较部426,输入从存储部423输入的用杂凑函数运算得到的机种信息、以及解密后用杂凑函数运算得到的机种信息,并判断这两个机种信息是否一致。判断结果被作为认证结果输出给认证控制部41。消息控制部43,根据来自认证控制部41的输出,将通过消息检索部416从消息存储部417中检索出的消息数据,输出给机器认证服务器4的图中未表示的通信部。
接下来,对照图5,对本实施方式中的机器认证系统的处理顺序进行说明。
首先,在PDA1的用户,为了经服务提供商进行数据发送或下载,而在PDA1的插槽中插入数据通信用卡2,使用互联网连接工具在提供商处进行用户认证时,起动PPP11,发送CHAP Response,通过这样,建立与NAS3之间的PPP通信(步骤101)。另一方面,PDA1内的PPP11,在机器认证中,向认证信息生成部12,请求机器认证信息的生成(步骤102)。
从PPP11接收到关于机器认证信息的生成的信号的认证信息生成部12,判断是否从PDA1的输入部将用来选择发送信号的控制信号输入到发送信号选择部27中(步骤103)。这里,在输入了控制信号时,只使用输入到发送信号生成部28中的加密了的密码与用户ID,来生成一系列的数据列(步骤104)。另一方面,在没有输入控制信号时,加密模块25从加密密钥存储部24中取得对应于PDA1的加密密钥,对机种信息(Brand)以及序列号(Serial)进行加密,生成f(Brand)与f(Serial)(步骤105)。另外,用杂凑函数26运算机种信息(Brand)来进行加密,从而生成MD5(Brand)(步骤106)。输入到发送信号生成部28中的各个信息(f(Brand)、f(Serial)、MD5(Brand)以及用户信息)与从NAS3接收到的随机数,分别结合并生成一系列的数据列,经PPP11发送至NAS3(步骤107)。NAS3对PDA1的用户所指定的服务提供商实施路由,并将由加密之后的数据列构成的信息,发送给机器认证服务器4。经NAS3所发送的信息,由机器认证服务器4内的认证控制部41的接收部411接收,并发送给机器信息抽出部412,确认该信息中是否有加密了的机种信息(步骤108)。在判断为所输入的信息中有加密了的机种信息时,从所输入的信息中抽出涉及机器认证以及用户认证的信息(步骤109)。抽出的信息,进一步被分离成涉及机器认证的信息与涉及用户认证的信息,将机器信息输出给机器信息认证部42,将用户信息输出给存储部413(步骤110)。
另一方面,在判断为没有加密了的机器信息时,由消息检索部416从消息存储部417中检索出相应的消息(步骤117),将检索出的消息发送给PDA1侧(步骤118)。从机器认证服务器4接收到的消息,被输出给PDA1内的消息控制部15,消息控制部15将输入的消息数据与消息存储部16内保存的数据进行对比,并将相应的显示数据输出给未图示的显示部,同时,为了再次向机器认证服务器发送机器认证信息,接通未图示的发送选择按钮,发送CHAP来确立PPP(步骤101)。
输入给机器信息认证部42的机器信息中,用杂凑函数运算得出的机种信息(MD5(Brand))被输入给机器信息认证部42内的机种信息检索部421,从机种信息数据库422中检索与该机种信息相对应的加密密钥(步骤111)。另一方面,解密模块424从机器信息抽出部412输入被加密的机种信息,通过从机种信息检索部421取得的加密密钥对其进行解密(步骤112)。被解密的机种信息,通过杂凑函数进行运算,输出给比较部426(步骤113)。比较部426中,被经存储部423从机器信息抽出部输入用杂凑函数运算得到的机种信息(MD5(Brand)),并判断这二者是否一致(步骤114)。
认证控制部41,从机种信息认证部42输入认证结果,在机器的认证成功时,将暂存在存储部413中的用户信息输出给用户认证服务器5,同时,发送访问请求信号(步骤116)。用户认证服务器5,用从机器认证服务器4输入的用户信息实施用户认证,同时,在用户认证后进行对用户所希望的网站等的访问。另外,在机器认证不成功时,经未图示的发送部向NAS3发送访问拒绝信号。接收到访问拒绝信号的NAS3,向PDA1通知访问失败,同时,PDA1将访问失败这一情况显示在显示部中,通知给用户(步骤115)。另外,从终端侧发送来的序列号的信息,被用解密机种信息的加密密钥进行解密并保存。由于被解密的序列号,通过与被解密的机种信息一起使用,能够可靠地确定终端的用户,因此能够使用该信息提供各种各样的服务。
由于根据本实施方式,通过对从终端发送来的用杂凑函数运算得到的机种信息、与使用机器认证服务器内的加密密钥对被加密密钥加密的机种信息进行解密再用杂凑函数运算得到的机种信息进行对比,能够认证连接有通信用卡的终端,因此,能够对用户提供恰当的服务。
接下来,对照图6,对本发明的第2实施方式进行说明。
本发明的第2实施方式中的机器认证系统,如图6所示,通过在第1实施方式中的系统中添加密钥下载中心6来构成。
具体的说,本系统由作为用户终端的PDA1、作为通信商的A公司或B公司各自所具有的机器认证服务器4、以及经互联网与各个机器认证服务器4相连接的密钥下载中心6构成。
A公司与B公司所具有的系统,由LNS(LNSL2TP Network server)61、Radius Proxy62、机器认证服务器4、互联网64、路由器65、以及防火墙66构成。另外,密钥下载中心6由密钥管理服务器67、路由器65、以及防火墙66构成。
接下来,对本系统的作用进行说明,首先,用户终端(PDA)1,经LNS61以及互联网64,向A公司或B公司的机器认证服务器4请求机器信息的认证。此时,机器认证服务器4判断发送来的机器信息中是否含有加密密钥。在判断的结果为发送来的机器信息中不含加密密钥时,机器认证服务器4经互联网,请求密钥下载中心6生成用户终端固有的加密密钥。
密钥下载中心6,接收到来自机器认证服务器4的加密密钥生成请求之后,在密钥管理服务器67中,生成用户终端1固有的加密密钥,并将其发送给作出请求的机器认证服务器4。接收到加密密钥的机器认证服务器4,将此加密密钥发送给用户终端1。接收到加密密钥的用户终端1,将其保存在加密密钥存储部24中。用户终端1,在以后的机器认证时,使用存储在加密密钥存储部24中的加密密钥,来对机器信息进行加密。
以上,根据本实施方式,即使在制造工序中,不对用户终端进行保存固有加密密钥的处理,也能在首次机器认证中,经互联网从密钥下载中心得到用户终端固有的加密密钥。
以上,虽然对照附图对本发明的实施方式进行了详细说明,但具体的构成并不仅限于上述实施方式,还包括在不脱离本发明的要点的范围内的设计变更等。例如,本实施方式中,虽然使用PDA作为终端之一例进行了说明,但并不仅限于此,还可以是例如移动电话机、简易型移动电话机或笔记本型个人计算机等。
另外,只要能够连接通信用卡、具有能够和网络连接的功能,通过安装机器认证用的软件,例如在其他的电子机器或电器产品中也能够实现本系统。
另外,虽然本实施方式中,以在PPP阶段进行认证为例进行了说明,但并不仅限于此,例如也可以在IP等的阶段执行认证。另外,虽然本实施方式中,对选择是否利用机器认证的机构,以是否将加密的机器信息等发送给机器认证服务器为例进行了说明,但并不仅限于此,例如可构成为不进行机器信息的加密处理。
另外,虽然对本实施方式,以对信息进行加密为例进行了说明,但如果能够满足系统的安全要求,也可不像实施方式中所说明的那样通过杂凑函数来实施,任何方式均可。另外,这种情况下,机器认证服务器中需要具有解密模块。
通过本发明,能够不改变NAS或用户认证服务器,通过添加机器认证服务器,并在终端中安装机器认证所需要的软件,来以简单的结构构建实施终端认证的系统。另外,通过识别利用数据发送等服务的用户的使用机种,能够构建一种能够提供对应于各个机种的适当的服务的机器认证系统。
另外,由于设有是否进行机器认证的选择机构,还能够确保终端用户选择服务提供商时的自由度。再有,通过使用序列号作为终端的机种信息,能够可靠地确定终端的用户,能够提供用户固有的服务。
权利要求
1.一种机器认证系统,其特征在于,具备终端,其具有发送自己的机器信息的发送机构;与该终端相连接的数据通信用装置;以及,至少1个机器认证服务器,其具有机器信息认证机构,上述机器信息认证机构接收该机器信息,并根据该机器信息,判断是否是与提供给上述终端的服务内容相一致的终端。
2.一种机器认证系统,其特征在于,具有终端,其具有发送自己的机器信息的发送机构;与该终端相连接的数据通信用装置;以及,至少1个机器认证服务器,其具有机器信息认证机构,上述机器信息认证机构接收该机器信息,并根据该机器信息,判断是否是与提供给上述终端的服务内容相一致的终端,上述终端,具有存储上述机器信息的机器信息存储机构;以及,加密上述机器信息,并生成认证信息的认证信息生成机构,上述机器认证机构,根据上述被加密的机器信息,进行机器的认证。
3.一种机器认证系统,其特征在于,具有终端,其具有发送自己的机器信息的发送机构;与该终端相连接的数据通信用装置;至少1个机器认证服务器,其具有机器信息认证机构,上述机器信息认证机构接收该机器信息,并根据该机器信息,判断是否是与提供给上述终端的服务内容相一致的终端;以及,生成上述终端固有的加密密钥的密钥生成服务器,上述终端,具有存储上述机器信息的机器信息存储机构;以及,认证信息生成机构,用终端固有的加密密钥加密上述机器信息,并生成认证信息,上述机器认证机构,根据上述被加密的机器信息,进行机器的认证;在上述机器信息认证机构首次从上述终端接收到上述机器信息时,且该机器信息中不包含终端固有的加密密钥时,向上述密钥生成服务器请求上述终端固有的加密密钥的生成,并将该生成的加密密钥发送给上述终端,同时,上述认证信息生成机构,存储所发送的该加密密钥,以后,使用该存储的加密密钥,对上述机器信息进行加密。
4.根据权利要求1~3的任一项所述的机器认证系统,其特征在于具有至少一个用户认证服务器,进行上述数据通信用装置的用户认证,上述发送机构,发送上述数据通信用装置的用户信息,同时,上述机器认证服务器,具有认证控制机构,根据上述机器信息认证机构的认证结果,控制是否将上述用户信息发送给上述用户认证服务器。
5.根据权利要求2或3所述的机器认证系统,其特征在于上述终端具有选择机构,选择是否发送上述被加密的机器信息。
6.根据权利要求1~3的任一项所述的机器认证系统,其特征在于上述机器信息中,包含关于上述终端的机器固有的编号。
7.根据权利要求1~3的任一项所述的机器认证系统,其特征在于在上述机器认证服务器没有从上述终端接收到机器认证信息时,向上述终端发送确认消息。
8.根据权利要求1~3的任一项所述的机器认证系统,其特征在于具有消息控制机构,其在上述机器认证服务器没有从上述终端接收到机器认证信息时,向上述终端发送确认消息;在上述终端从上述机器认证服务器接收到确认消息时,向上述机器认证服务器再次发送机器认证信息。
9.根据权利要求1~3的任一项所述的机器认证系统,其特征在于上述终端,具有OS、和监视与外部机器的连接的有无的连接监视机构,在该连接监视机构根据OS上的信息,确认到与该外部机器的连接时,切断与该外部机器的连接。
10.根据权利要求1~3的任一项所述的机器认证系统,其特征在于上述终端,具有OS、和监视与外部机器的连接的有无的连接监视机构,在该连接监视机构根据OS上的信息,确认到与该外部机器的连接时,切断上述数据通信用装置与数据服务器之间的通信。
11.根据权利要求1~3的任一项所述的机器认证系统,其特征在于上述机器信息认证机构中的机器认证,通过PPP(点对点协议)来实施。
全文摘要
本发明提供一种机器认证系统,由终端、连接在该终端上的数据通信用装置、以及服务提供商构成,终端将保存的机器信息加密,生成认证信息,发送数据通信用装置的用户信息与被加密的机器信息。服务提供商,用机器认证服务器解密被加密的机器信息,根据解密的机器信息,判断终端是否是与服务提供商所提供的服务内容相一致的终端,根据该认证结果,控制是否将用户信息发送给用户认证服务器。
文档编号H04L9/32GK1795444SQ20048001440
公开日2006年6月28日 申请日期2004年2月27日 优先权日2003年5月30日
发明者荒木健吉, 佐藤秀行 申请人:威尔康有限公司, 亚太系统总研株式会社