[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP4235676B2 - 認証システム及び認証方法 - Google Patents

認証システム及び認証方法 Download PDF

Info

Publication number
JP4235676B2
JP4235676B2 JP2007525103A JP2007525103A JP4235676B2 JP 4235676 B2 JP4235676 B2 JP 4235676B2 JP 2007525103 A JP2007525103 A JP 2007525103A JP 2007525103 A JP2007525103 A JP 2007525103A JP 4235676 B2 JP4235676 B2 JP 4235676B2
Authority
JP
Japan
Prior art keywords
online service
time password
authentication
client
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2007525103A
Other languages
English (en)
Other versions
JPWO2007066542A1 (ja
Inventor
夏樹 石田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Software Engineering Co Ltd
Original Assignee
Hitachi Software Engineering Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Software Engineering Co Ltd filed Critical Hitachi Software Engineering Co Ltd
Application granted granted Critical
Publication of JP4235676B2 publication Critical patent/JP4235676B2/ja
Publication of JPWO2007066542A1 publication Critical patent/JPWO2007066542A1/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/08Randomization, e.g. dummy operations or using noise

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

本発明は、認証システム及び認証方法に係り、特に、クライアントサーバシステムにおけるクライアントの認証及びメールの認証に使用して好適な認証システム及び認証方法に関する。
クライアントサーバシステムにおけるクライアントの認証を行う技術として、固定パスワードを利用する認証システムが知られている。
図1は固定パスワードを利用した従来技術による認証システムの構成例を示すブロック図である。図1において、1はオンラインサービスサーバ、3は情報端末装置、5はネットワーク、6はデータベース、7はオンラインサービスクライアントである。
固定パスワードを利用した従来技術による認証システムは、オンラインサービスサーバ1と情報端末装置3が、ネットワーク5を介して接続されて構成されている。オンラインサービスサーバ1は、データベース6に接続されており、情報端末装置3は、オンラインサービスクライアント7を備えて構成されている。前述において、オンラインサービスサーバ1とデータベース6とは、オンラインサービス提供者が所有している。また、情報端末装置3は、オンラインサービス利用者が所有している。そして、例えば、オンラインサービスサーバ1はWWWサーバであり、情報端末装置3はパソコンであり、オンラインサービスクライアント7はWWWブラウザである。
次に、前述したように構成される固定パスワードを利用した認証システムの初期状態について説明する。
データベース6は、オンラインサービス利用者毎に、オンラインサービス利用者ID、及び、オンラインサービス認証用パスワードの各データを記憶している。また、オンラインサービス利用者は、オンラインサービス利用者ID、及び、オンラインサービス認証用固定パスワードの各データを自身が記憶する。但し、オンラインサービス認証用パスワードとしては、オンラインサービス認証用固定パスワードが設定される。
図2は固定パスワードを利用した認証システムのオンラインサービス認証処理の処理動作を説明するフローチャートであり、次に、これについて説明する。
(1)オンラインサービス利用者は、情報端末装置3のオンラインサービスクライアント7に、オンラインサービス認証用固定パスワードをオンラインサービス認証用パスワードとして、オンラインサービス利用者IDとオンラインサービス認証用パスワードとサービス利用内容とを入力する。ここで、サービス利用内容とは、例えば、オンラインサービスログイン等の操作内容や、商品売買や銀行振込等の取引内容である(ステップ101)。
(2)情報端末装置3のオンラインサービスクライアント7は、入力されたオンラインサービス利用者IDとオンラインサービス認証用パスワードとサービス利用内容とを含むオンラインサービス認証要求を、オンラインサービスサーバ1に送信する(ステップ102)。
(3)オンラインサービスサーバ1は、受信したオンラインサービス認証要求に含まれるオンラインサービス利用者IDとオンラインサービス認証用パスワードとの組によりデータベース6を検索し、データベースに記憶されているオンラインサービス利用者IDとオンラインサービス認証用パスワードとの組に一致するものがあり、かつ、受信したオンラインサービス認証要求に含まれるオンラインサービス利用者IDを含むオンラインサービス認証要求が一定時間以内に一定回数以下だけ認証に失敗している(アカウントロックアウトされていない)、すなわち、認証に成功していた場合、受信したサービス利用内容に従ってオンラインサービスを提供する(ステップ103)。
固定パスワードを利用した認証システムは、オンラインサービス認証用固定パスワードが頻繁には変更されないので、利用者が使用する情報端末装置にキーロガー等が仕掛けられてオンラインサービス利用者IDとオンラインサービス認証用固定パスワードとが漏洩すると、これらのパスワードが不正に再利用される危険性が高い。
前述した固定パスワードを利用した認証システムの危険性への対策を施したクライアントサーバシステムにおけるクライアントの認証技術として、ワンタイムパスワードを利用した認証システムが知られている。ワンタイムパスワードを利用した認証システムは、ワンタイムパスワードサーバとワンタイムパスワードクライアントとがオンラインサービス認証用ワンタイムパスワードを共有して、ワンタイムパスワードクライアントがオンラインサービス認証用ワンタイムパスワードを表示し、オンラインサービス認証用ワンタイムパスワードをオンラインサービス認証用パスワードとして、オンラインサービス認証処理を実行するというものである。
ワンタイムパスワードを利用した認証システムのうち、ワンタイムパスワードをワンタイムパスワードサーバからダウンロードする認証システムは、オンラインサービス利用者が、ワンタイムパスワードクライアントに、オンラインサービス利用者IDとワンタイムパスワードダウンロード用固定パスワードとを入力して、ワンタイムパスワードクライアントが、ワンタイムパスワードサーバにオンラインサービス利用者IDとワンタイムパスワードダウンロード用固定パスワードとの組を含むオンラインサービス認証用ワンタイムパスワードダウンロード要求を送信し、ワンタイムパスワードサーバが受信したオンラインサービス認証用ワンタイムパスワードダウンロード要求に含まれるオンラインサービス利用者IDとワンタイムパスワードダウンロード用固定パスワードとの組を認証してからワンタイムパスワードクライアントにオンラインサービス認証用ワンタイムパスワードを送信して共有するというものである。
また、ワンタイムパスワードを利用した認証システムのうち、特許文献1に記載されているワンタイムパスワードが時間に同期する認証システムは、オンラインサービスサーバとワンタイムパスワードクライアントとが独立に、セキュアハッシュ関数をオンラインサービス利用者IDと固定パスワードと現在の時刻情報とを引数にオンラインサービス認証用ワンタイムパスワードを計算して共有するというものである。
さらに、ワンタイムパスワードを利用した認証システムのうち、ワンタイムパスワードがオンラインサービス認証要求の回数に同期する認証システムは、オンラインサービスサーバとワンタイムパスワードクライアントとが独立に、セキュアハッシュ関数をオンラインサービス利用者IDと固定パスワードとオンラインサービス認証要求回数の現在値とを引数にオンラインサービス認証用ワンタイムパスワードを計算して共有するというものである。
前述で説明したワンタイムパスワードを利用した認証システムは、オンラインサービス認証用ワンタイムパスワードが現在の時刻情報毎またはオンラインサービス認証要求回数毎に異なるので、キーロガー等によりオンラインサービス利用者IDとオンラインサービス認証用ワンタイムパスワードとが漏洩した場合にも、不正に再利用される危険性が低いという特徴を有している。
特開2002−259344号公報
しかし、前述した従来技術によるワンタイムパスワードを利用した認証システムは、その何れのものも、以下に説明するような問題点を有している。
第1の問題点として、ワンタイムパスワードをワンタイムパスワードサーバからダウンロードする認証システムの場合、オンラインサービス認証用ワンタイムパスワードダウンロード要求を、オンラインサービス利用者が入力したワンタイムパスワードダウンロード用固定パスワードを用いて認証するため、ワンタイムパスワードの安全性がオンラインサービス利用者によって入力される固定パスワードの安全性に常に依存することになるという問題点がある。
第2の問題点として、新規にワンタイムパスワードを利用した認証システムを構築する場合のみを想定しており、固定パスワードを利用した認証システムからワンタイムパスワードを利用した認証システムに移行する場合を想定していないため、オンラインサービス認証要求の認証を行っている図2により説明したステップ103の処理の変更が必要になるという問題点がある。
第3の問題点として、従来技術のワンタイムパスワードが時間に同期する認証システム及びワンタイムパスワードがオンラインサービス認証要求の回数に同期する認証システムの場合、オンラインサービスサーバとワンタイムパスワードクライアントとの現在の時刻情報やオンラインサービス認証要求回数の現在値が一致しない場合を想定しておかなければならないため、前後数分間の時刻情報や数回先のオンラインサービス認証要求回数を引数に計算されるオンラインサービス認証用ワンタイムパスワードも認証に成功させてしまうという問題点がある。
第4の問題点として、従来技術のワンタイムパスワードが時間に同期する認証システム及びワンタイムパスワードがオンラインサービス認証要求の回数に同期する認証システムの場合、オンラインサービスサーバとワンタイムパスワードクライアントとが独立にオンラインサービス認証用ワンタイムパスワードを計算するため、攻撃者が時間や回数に制限なく攻撃することができるという問題点がある。
第5の問題点として、オンラインサービス認証用ワンタイムパスワードの強度が常に一定であるため、特定のオンラインサービス利用者IDが攻撃された場合に、オンラインサービス認証用ワンタイムパスワードの強度が強くならないという問題点がある。
第6の問題点として、ワンタイムパスワードがオンラインサービス認証要求に含まれるサービス利用内容に同期していないため、オンラインサービス認証要求に含まれるサービス利用内容が改竄されても認証に成功してしまうという問題点がある。
第7の問題点として、携帯端末装置がオンラインサービスクライアントとワンタイムパスワードクライアントとから構成される場合を想定していないため、携帯端末装置のオンラインサービスクライアント使用時のオンラインサービス認証処理にワンタイムパスワードを使用することができないという問題点がある。
第8の問題点として、ワンタイムパスワードをクライアントの認証に使用する場合のみを想定しており、ワンタイムパスワードをメールの認証に使用する場合を想定していないため、フィッシングメール対策にワンタイムパスワードを使用することができないという問題点がある。
第9の問題点として、パスワードの安全性を向上させることができるものの、IDの安全性を向上させることができず、しかも、オンラインサービス利用者IDは連番で割り当てられやすいため、攻撃者は有効なオンラインサービス利用者IDを推測してアカウントロックアウトすることができるという問題点がある。
本発明の目的は、前述したワンタイムパスワードを使用する従来技術の問題点を解決し、ワンタイムパスワードを利用した認証システムの安全性向上、システム移行の容易化、使用範囲の拡大を図ることを可能にした認証システム及び認証方法を提供することにある。
本発明によれば前記目的は、オンラインサービスサーバとワンタイムパスワードサーバとオンラインサービスクライアントがネットワークを介して接続されて構成され、オンラインサービスサーバとワンタイムパスワードサーバとオンラインサービスクライアントとワンタイムパスワードクライアントとが情報の送受信を行うクライアントサーバシステムでの認証システムであって、前記ワンタイムパスワードサーバと前記ワンタイムパスワードクライアントとが共有秘密情報を共有し、前記オンラインサービスクライアントは、オンラインサービス利用者からオンラインサービス利用者IDとサービス利用内容とが入力されると、前記オンラインサービスサーバにオンラインサービス利用者IDとサービス利用内容との組を含むオンラインサービス認証準備要求を送信し、前記オンラインサービスサーバは、前記オンラインサービスクライアントから受信したオンラインサービス認証準備要求を前記ワンタイムパスワードサーバに送信し、前記ワンタイムパスワードサーバは、前記オンラインサービスサーバを介してオンラインサービスクライアントから受信したオンラインサービス認証準備要求に対して、オンラインサービス認証準備要求に含まれるオンラインサービス利用者IDによりデータベースを検索し、オンラインサービス認証用ワンタイムパスワード強度現在値を取得し、オンラインサービス認証準備IDと強度が現在値文字数であるオンラインサービス認証用ワンタイムパスワードとを生成して、前記オンラインサービスサーバにオンラインサービス認証準備IDを送信し、前記オンラインサービスサーバは、前記ワンタイムパスワードサーバからの前記オンラインサービス認証準備IDを前記オンラインサービスクライアントに送信し、一方、前記ワンタイムパスワードクライアントは、前記ワンタイムパスワードサーバに、オンラインサービス利用者IDとワンタイムパスワードダウンロード用固定パスワードとの組を含むオンラインサービス認証用ワンタイムパスワードダウンロード要求を送信し、前記ワンタイムパスワードサーバは、前記ワンタイムパスワードクライアントから受信したオンラインサービス認証用ワンタイムパスワードダウンロード要求に含まれるオンラインサービス利用者IDとワンタイムパスワードダウンロード用固定パスワードとの組によりデータベースを検索し、サービス利用内容とオンラインサービス認証用ワンタイムパスワードとの組をワンタイムパスワードクライアントに送信し、前記ワンタイムパスワードクライアントは、受信したサービス利用内容とオンラインサービス認証用ワンタイムパスワードとの組を表示し、
前記オンラインサービスクライアントは、オンラインサービス利用者により、前記ワンタイムパスワードクライアントに表示されているオンラインサービス認証用ワンタイムパスワードが入力されると、前記オンラインサービスサーバに、オンラインサービス利用者IDとオンラインサービス認証準備IDとオンラインサービス認証用ワンタイムパスワードとの組を含むオンラインサービス認証要求を送信し、前記オンラインサービスサーバは、前記オンラインサービスクライアントから受信したオンラインサービス認証要求に含まれるオンラインサービス利用者IDとオンラインサービス認証準備IDとオンラインサービス認証用ワンタイムパスワードとの組によりデータベースを検索し、データベースに記憶されているオンラインサービス利用者IDとオンラインサービス認証準備IDとオンラインサービス認証用ワンタイムパスワードとの組に一致するものがあるか否かにより、前記オンラインサービスクライアントの認証を行うことにより達成される。
本発明によれば前記目的は、オンラインサービスサーバとワンタイムパスワードサーバとオンラインサービスクライアントがネットワークを介して接続されて構成され、オンラインサービスサーバとワンタイムパスワードサーバとオンラインサービスクライアントとワンタイムパスワードクライアントとが情報の送受信を行うクライアントサーバシステムでの認証システムであって、前記オンラインサービスクライアントは、オンラインサービス利用者からオンラインサービス利用者IDとサービス利用内容とが入力されると、前記オンラインサービスサーバにオンラインサービス利用者IDとサービス利用内容との組を含むオンラインサービス認証準備要求を送信し、前記オンラインサービスサーバは、前記オンラインサービスクライアントから受信したオンラインサービス認証準備要求を前記ワンタイムパスワードサーバに送信し、前記ワンタイムパスワードサーバは、前記オンラインサービスサーバを介してオンラインサービスクライアントから受信したオンラインサービス認証準備要求に対して、オンラインサービス認証準備要求に含まれるオンラインサービス利用者IDによりデータベースを検索し、データベースに記憶されている共通鍵を取得し、前記サービス利用内容とランダムに生成されたオンラインサービス認証用ワンタイムパスワードとの組を前記共通鍵で暗号化してオンラインサービス認証準備情報としてオンラインサービスサーバに送信し、前記オンラインサービスサーバは、暗号化された前記サービス利用内容とオンラインサービス認証用ワンタイムパスワードとの組を前記ワンタイムパスワードサーバから受信して、QRコードにエンコードしてから前記オンラインサービスクライアントに送信し、前記オンラインサービスクライアントは、前記オンラインサービスサーバからの前記QRコードを表示し、前記ワンタイムパスワードクライアントは、前記オンラインサービスクライアントに表示されているQRコードが入力されると、このQRコードをデコードすることによりオンラインサービス認証準備情報を取得し、このオンラインサービス認証準備情報を前記共通鍵で復号し、サービス利用内容とオンラインサービス認証用ワンタイムパスワードとを表示し、前記オンラインサービスクライアントは、オンラインサービス利用者により、前記ワンタイムパスワードクライアントに表示されているオンラインサービス認証用ワンタイムパスワードが入力されると、前記オンラインサービスサーバに、オンラインサービス利用者IDとオンラインサービス認証準備IDとオンラインサービス認証用ワンタイムパスワードとの組を含むオンラインサービス認証要求を送信し、前記オンラインサービスサーバは、前記オンラインサービスクライアントから受信したオンラインサービス認証要求に含まれるオンラインサービス利用者IDとオンラインサービス認証準備IDとオンラインサービス認証用ワンタイムパスワードとの組によりデータベースを検索し、データベースに記憶されているオンラインサービス利用者IDとオンラインサービス認証準備IDとオンラインサービス認証用ワンタイムパスワードとの組に一致するものがあるか否かにより、前記オンラインサービスクライアントの認証を行うことにより達成される。
また、前記目的は、前述した認証システムにおいて、前記ワンタイムパスワードサーバは、前記オンラインサービスサーバを介してオンラインサービスクライアントから受信したオンラインサービス認証準備要求に対して、オンラインサービス認証用ワンタイムパスワードの文字数をオンラインサービス認証用ワンタイムパスワード強度の現在値にして、オンラインサービス認証用ワンタイムパスワード強度の現在値を大きくし、前記オンラインサービスサーバは、オンラインサービスクライアントから受信したオンラインサービス認証要求の認証に成功したならば、オンラインサービス認証用ワンタイムパスワード強度の現在値を小さくすることにより達成される。
また、前記目的は、オンラインサービスサーバとワンタイムパスワードサーバとオンラインサービスクライアントがネットワークを介して接続されて構成され、オンラインサービスサーバとワンタイムパスワードサーバとオンラインサービスクライアントとワンタイムパスワードクライアントとが情報の送受信を行うクライアントサーバシステムでの認証方法であって、前記ワンタイムパスワードサーバと前記ワンタイムパスワードクライアントとが共有秘密情報を共有し、前記オンラインサービスクライアントは、オンラインサービス利用者からオンラインサービス利用者IDとサービス利用内容とが入力されると、前記オンラインサービスサーバにオンラインサービス利用者IDとサービス利用内容との組を含むオンラインサービス認証準備要求を送信し、前記オンラインサービスサーバは、前記オンラインサービスクライアントから受信したオンラインサービス認証準備要求を前記ワンタイムパスワードサーバに送信し、前記ワンタイムパスワードサーバは、前記オンラインサービスサーバを介してオンラインサービスクライアントから受信したオンラインサービス認証準備要求に対して、オンラインサービス認証準備要求に含まれるオンラインサービス利用者IDによりデータベースを検索し、オンラインサービス認証用ワンタイムパスワード強度現在値を取得し、オンラインサービス認証準備IDと強度が現在値文字数であるオンラインサービス認証用ワンタイムパスワードとを生成して、前記オンラインサービスサーバにオンラインサービス認証準備IDを送信し、前記オンラインサービスサーバは、前記ワンタイムパスワードサーバからの前記オンラインサービス認証準備IDを前記オンラインサービスクライアントに送信し、一方、前記ワンタイムパスワードクライアントは、前記ワンタイムパスワードサーバに、オンラインサービス利用者IDとワンタイムパスワードダウンロード用固定パスワードとの組を含むオンラインサービス認証用ワンタイムパスワードダウンロード要求を送信し、前記ワンタイムパスワードサーバは、前記ワンタイムパスワードクライアントから受信したオンラインサービス認証用ワンタイムパスワードダウンロード要求に含まれるオンラインサービス利用者IDとワンタイムパスワードダウンロード用固定パスワードとの組によりデータベースを検索し、サービス利用内容とオンラインサービス認証用ワンタイムパスワードとの組をワンタイムパスワードクライアントに送信し、前記ワンタイムパスワードクライアントは、受信したサービス利用内容とオンラインサービス認証用ワンタイムパスワードとの組を表示し、前記オンラインサービスクライアントは、オンラインサービス利用者により、前記ワンタイムパスワードクライアントに表示されているオンラインサービス認証用ワンタイムパスワードが入力されると、前記オンラインサービスサーバに、オンラインサービス利用者IDとオンラインサービス認証準備IDとオンラインサービス認証用ワンタイムパスワードとの組を含むオンラインサービス認証要求を送信し、前記オンラインサービスサーバは、前記オンラインサービスクライアントから受信したオンラインサービス認証要求に含まれるオンラインサービス利用者IDとオンラインサービス認証準備IDとオンラインサービス認証用ワンタイムパスワードとの組によりデータベースを検索し、データベースに記憶されているオンラインサービス利用者IDとオンラインサービス認証準備IDとオンラインサービス認証用ワンタイムパスワードとの組に一致するものがあるか否かにより、前記オンラインサービスクライアントの認証を行うことにより達成される。
また、前記目的は、オンラインサービスサーバとワンタイムパスワードサーバとオンラインサービスクライアントがネットワークを介して接続されて構成され、オンラインサービスサーバとワンタイムパスワードサーバとオンラインサービスクライアントとワンタイムパスワードクライアントとが情報の送受信を行うクライアントサーバシステムでの認証方法であって、前記オンラインサービスクライアントは、オンラインサービス利用者からオンラインサービス利用者IDとサービス利用内容とが入力されると、前記オンラインサービスサーバにオンラインサービス利用者IDとサービス利用内容との組を含むオンラインサービス認証準備要求を送信し、前記オンラインサービスサーバは、前記オンラインサービスクライアントから受信したオンラインサービス認証準備要求を前記ワンタイムパスワードサーバに送信し、前記ワンタイムパスワードサーバは、前記オンラインサービスサーバを介してオンラインサービスクライアントから受信したオンラインサービス認証準備要求に対して、オンラインサービス認証準備要求に含まれるオンラインサービス利用者IDによりデータベースを検索し、データベースに記憶されている共通鍵を取得し、前記サービス利用内容とランダムに生成されたオンラインサービス認証用ワンタイムパスワードとの組を前記共通鍵で暗号化してオンラインサービス認証準備情報としてオンラインサービスサーバに送信し、前記オンラインサービスサーバは、暗号化された前記サービス利用内容とオンラインサービス認証用ワンタイムパスワードとの組を前記ワンタイムパスワードサーバから受信して、QRコードにエンコードしてから前記オンラインサービスクライアントに送信し、前記オンラインサービスクライアントは、前記オンラインサービスサーバからの前記QRコードを表示し、前記ワンタイムパスワードクライアントは、前記オンラインサービスクライアントに表示されているQRコードが入力されると、このQRコードをデコードすることによりオンラインサービス認証準備情報を取得し、このオンラインサービス認証準備情報を前記共通鍵で復号し、サービス利用内容とオンラインサービス認証用ワンタイムパスワードとを表示し、前記オンラインサービスクライアントは、オンラインサービス利用者により、前記ワンタイムパスワードクライアントに表示されているオンラインサービス認証用ワンタイムパスワードが入力されると、前記オンラインサービスサーバに、オンラインサービス利用者IDとオンラインサービス認証準備IDとオンラインサービス認証用ワンタイムパスワードとの組を含むオンラインサービス認証要求を送信し、前記オンラインサービスサーバは、前記オンラインサービスクライアントから受信したオンラインサービス認証要求に含まれるオンラインサービス利用者IDとオンラインサービス認証準備IDとオンラインサービス認証用ワンタイムパスワードとの組によりデータベースを検索し、データベースに記憶されているオンラインサービス利用者IDとオンラインサービス認証準備IDとオンラインサービス認証用ワンタイムパスワードとの組に一致するものがあるか否かにより、前記オンラインサービスクライアントの認証を行うことにより達成される。
また、前記目的は、前述の認証方法において、前記ワンタイムパスワードサーバは、前記オンラインサービスサーバを介してオンラインサービスクライアントから受信したオンラインサービス認証準備要求に対して、オンラインサービス認証用ワンタイムパスワードの文字数をオンラインサービス認証用ワンタイムパスワード強度の現在値にして、オンラインサービス認証用ワンタイムパスワード強度の現在値を大きくし、前記オンラインサービスサーバは、オンラインサービスクライアントから受信したオンラインサービス認証要求の認証に成功したならば、オンラインサービス認証用ワンタイムパスワード強度の現在値を小さくすることにより達成される。
本発明によれば、クライアントサーバシステムにおける、ワンタイムパスワードを利用した認証システムの安全性向上や固定パスワードを利用する認証システムからの移行容易化や使用範囲の拡大を図ることができる。
以下、本発明による認証システム及び認証方法の実施形態を図面により詳細に説明する。
図3は本発明の一実施形態による認証システムの構成を示すブロック図である。以下に説明する本発明の実施形態は、ワンタイムパスワードを利用した認証システムである。図3において、2はワンタイムパスワードサーバ、4は携帯端末装置、8はオンラインサービスクライアント、9はワンタイムパスワードクライアントであり、他の符号は図1の場合と同一である。
図3に示す本発明の実施形態による認証システムは、オンラインサービスサーバ1とワンタイムパスワードサーバ2と情報端末装置3と携帯端末装置4とが、ネットワーク5を介して接続されて構成されている。オンラインサービスサーバ1とワンタイムパスワードサーバ2とは、データベース6に接続されている。情報端末装置3は、オンラインサービスクライアント7から構成され、携帯端末装置4は、オンラインサービスクライアント8とワンタイムパスワードクライアント9とから構成される。
前述において、オンラインサービスサーバ1とワンタイムパスワードサーバ2とデータベース6とは、オンラインサービス提供者が所有し、情報端末装置3と携帯端末装置4は、オンラインサービス利用者が所有する。また、携帯端末装置4は、携帯電話等であってよい。
次に、前述したように構成される本発明の実施形態によるワンタイムパスワードを利用した認証システムの初期状態について説明する。
データベース6は、オンラインサービス利用者毎に、オンラインサービス利用者ID、オンラインサービス認証用パスワード、及び、ワンタイムパスワードクライアント初期化用固定パスワードの各データを記憶している。また、オンラインサービス利用者は、オンラインサービス利用者ID及びワンタイムパスワードクライアント初期化用固定パスワードの各データを記憶する。
但し、固定パスワードを利用した認証システムから本発明による認証システムに移行する場合、オンラインサービス認証用パスワードには、オンラインサービス認証用固定パスワードを設定する。また、新規に本発明による認証システムを構築する場合、オンラインサービス認証用パスワードには、ワンタイムパスワードサーバ2がランダムに生成したダミーワンタイムパスワードを設定する。以下の説明では、データベース6に対するデータ操作は、オンラインサービス利用者IDと組になるデータを対象とする。
次に、本発明の実施形態による認証システムにおけるワンタイムパスワードクライアントの初期化処理の処理動作を説明する。但し、ワンタイムパスワードクライアントの初期化処理以前に、オンラインサービス利用者は、ワンタイムパスワードクライアント起動用固定パスワードをランダムに生成して記憶しておくものとする。なお、ここでの処理動作のフローは示していない。
(処理201)
オンラインサービス利用者は、ワンタイムパスワードクライアント9に、オンラインサービス利用者IDとワンタイムパスワードクライアント初期化用固定パスワードとワンタイムパスワードクライアント起動用固定パスワードとを入力する。
(処理202)
ワンタイムパスワードクライアント9は、ワンタイムパスワードサーバ2に、オンラインサービス利用者IDとワンタイムパスワードクライアント初期化用固定パスワードとの組を含むワンタイムパスワードクライアント初期化要求を送信する。
(処理203)
ワンタイムパスワードサーバ2は、受信したワンタイムパスワードクライアント初期化要求に含まれるオンラインサービス利用者IDとワンタイムパスワードクライアント初期化用固定パスワードとの組によりデータベース6を検索し、データベース6に記憶されているオンラインサービス利用者IDとワンタイムパスワードクライアント初期化用固定パスワードとの組に一致するものがあり、かつ、受信したワンタイムパスワードクライアント初期化要求に含まれるオンラインサービス利用者IDを含むワンタイムパスワードクライアント初期化要求が一定時間以内に一定回数以下だけしか認証に失敗していない場合(アカウントロックアウトされていない)、ダミーワンタイムパスワードをランダムに生成して、データベース6に記憶されているオンラインサービス認証用パスワードにダミーワンタイムパスワードを設定し、共有秘密情報をランダムに生成して、この共有秘密情報をデータベース6に記憶し、ワンタイムパスワードクライアント9に共有秘密情報を送信する。但し、共有秘密情報とは、ワンタイムパスワードサーバ2とワンタイムパスワードクライアント9とが共有する固定パスワードまたは暗号系の鍵である。
(処理204)
ワンタイムパスワードクライアント9は、送信されてきた共有秘密情報を受信すると、オンラインサービス利用者IDとワンタイムパスワードクライアント起動用固定パスワードと共有秘密情報とを記憶する。
以上の処理を実行することにより、ワンタイムパスワードクライアントの初期化処理が終了する。
次に、本発明の実施形態による認証システムにおけるワンタイムパスワードクライアントの起動処理について説明する。但し、ワンタイムパスワードクライアントの起動処理以前に、前述で説明したワンタイムパスワードクライアントの初期化処理の実行が終了しているものとする。なお、ここでの処理動作のフローは示していない。
(処理301)
オンラインサービス利用者は、ワンタイムパスワードクライアント9に、ワンタイムパスワードクライアント起動用固定パスワードを入力する。
(処理302)
ワンタイムパスワードクライアント9は、入力されたワンタイムパスワードクライアント起動用固定パスワードがワンタイムパスワードクライアント9に記憶されているワンタイムパスワードクライアント起動用固定パスワードに等しい場合に、図4により後述するステップ401の処理以降のワンタイムパスワードクライアント9での処理を実行可能にする。
(処理303)
ワンタイムパスワードクライアント9は、一定回数連続して、入力されたワンタイムパスワードクライアント起動用固定パスワードがワンタイムパスワードクライアント9に記憶されているワンタイムパスワードクライアント起動用固定パスワードに等しくなかった場合、ワンタイムパスワードクライアント9に記憶されているオンラインサービス利用者IDとワンタイムパスワードクライアント起動用固定パスワードと共有秘密情報とを消去する。
図4は本発明による認証システムにおいて、情報端末装置のオンラインサービスクライアント使用時のオンラインサービス認証処理(ワンタイムパスワードが時間に同期する場合)の処理動作を説明するフローチャートであり、次に、これについて説明する。但し、ここでの処理で使用する共有秘密情報は、ワンタイムパスワードダウンロード用固定パスワードであるとする。
(1)携帯端末装置4のワンタイムパスワードクライアント9は、ワンタイムパスワードサーバ2に、オンラインサービス利用者IDとワンタイムパスワードダウンロード用固定パスワードとの組を含むオンラインサービス認証用ワンタイムパスワードダウンロード要求を送信する(ステップ401)。
(2)ワンタイムパスワードサーバ2は、受信したオンラインサービス認証用ワンタイムパスワードダウンロード要求に含まれるオンラインサービス利用者IDとワンタイムパスワードダウンロード用固定パスワードとの組によりデータベース6を検索し、データベース6に記憶されているオンラインサービス利用者IDとワンタイムパスワードダウンロード用固定パスワードとの組に一致するものがある場合、N個のオンラインサービス認証用ワンタイムパスワード(OTP[0]〜OTP[N−1])をランダムに生成して、データベース6に記憶されているオンラインサービス認証用パスワードにOTP[0]を設定して、ワンタイムパスワードクライアント9にOTP[0]〜OTP[N−1]を送信する(ステップ402)。
(3)ワンタイムパスワードクライアント9は、オンラインサービス利用者IDと受信したオンラインサービス認証用ワンタイムパスワードの1つであるOTP[0]を表示する(ステップ403)。
(4)ワンタイムパスワードサーバ2は、ステップ402の処理を実行した後、一定時間(Ti秒、1≦i≦N−1)経過後に、データベース6に記憶されているオンラインサービス認証用パスワードにOTP[i]を設定する。また、ワンタイムパスワードサーバ2は、ステップ402の処理を実行した後、一定時間(TN秒)経過後に、ダミーワンタイムパスワードをランダムに生成して、データベース6に記憶されているオンラインサービス認証用パスワードにダミーワンタイムパスワードを設定する(ステップ404)。
(5)ワンタイムパスワードクライアント9は、ステップ403の処理を実行した後、一定時間(Ti秒、1≦i≦N−1)経過後に、オンラインサービス利用者IDとオンラインサービス認証用ワンタイムパスワードの1つであるOTP[i]を表示する。また、ワンタイムパスワードクライアント9は、ステップ403の処理を実行した後、一定時間(TN秒)経過後に、オンラインサービス利用者IDとオンラインサービス認証用ワンタイムパスワードとの表示を終了する(ステップ405)。
(6)オンラインサービス利用者は、情報端末装置3のオンラインサービスクライアント7に、ワンタイムパスワードクライアント9に表示されているオンラインサービス認証用ワンタイムパスワードをオンラインサービス認証用パスワードとして、オンラインサービス利用者IDとオンラインサービス認証用パスワードとサービス利用内容とを入力する(ステップ406)。
(7)情報端末装置3のオンラインサービスクライアント7は、オンラインサービスサーバ1に、オンラインサービス利用者IDとオンラインサービス認証用パスワードとサービス利用内容との組を含むオンラインサービス認証要求を送信する(ステップ407)。
(8)オンラインサービスサーバ1は、ステップ407の処理で送信されてきたオンラインサービス認証要求を受信すると、図2により説明した従来技術でのステップ103の処理と同一の処理を実行する(ステップ408)。
図5は本発明の認証システムにおいて、情報端末装置のオンラインサービスクライアント使用時のオンラインサービス認証処理(ワンタイムパスワードがオンラインサービス認証要求の回数に同期する場合)の処理動作を説明するフローチャートであり、次に、これについて説明する。但し、ここでの処理で使用する共有秘密情報をワンタイムパスワードダウンロード用固定パスワードとする。また、本発明の認証システムの初期状態で、データベース6が、オンラインサービス利用者毎に、オンラインサービス認証要求回数の最大値としてNが設定されたオンラインサービス認証要求回数の現在値を記憶しているものとする。
(1)携帯端末装置4のワンタイムパスワードクライアント9は、ワンタイムパスワードサーバ2に、オンラインサービス利用者IDとワンタイムパスワードダウンロード用固定パスワードとの組を含むオンラインサービス認証用ワンタイムパスワードダウンロード要求を送信する(ステップ501)。
(2)ワンタイムパスワードサーバ2は、受信したオンラインサービス認証用ワンタイムパスワードダウンロード要求に含まれるオンラインサービス利用者IDとワンタイムパスワードダウンロード用固定パスワードとの組によりデータベース6を検索し、データベース6に記憶されているオンラインサービス利用者IDとワンタイムパスワードダウンロード用固定パスワードとの組に一致するものあった場合、N個のオンラインサービス認証用ワンタイムパスワード(OTP[1]〜OTP[N])をランダムに生成して、データベース6に記憶されているオンラインサービス認証用パスワードにOTP[1]を設定して、データベース6に記憶されているオンラインサービス認証要求回数の現在値にオンラインサービス認証要求回数初期値1を設定して、データベース6にOTP[2]〜OTP[N]を記憶して、ワンタイムパスワードクライアント9にオンラインサービス認証用ワンタイムパスワードOTP[1]〜OTP[N]を送信する(ステップ502)。
(3)ワンタイムパスワードクライアント9は、送信されてきたオンラインサービス認証用ワンタイムパスワードOTP[1]〜OTP[N]を受信して記憶する(ステップ503)。
(4)ワンタイムパスワードクライアント9は、オンラインサービス利用者IDとオンラインサービス認証要求回数iとオンラインサービス認証用ワンタイムパスワードOTP[i]との組(1≦i≦N)を表示する(ステップ504)。
(5)オンラインサービス利用者は、情報端末装置3のオンラインサービスクライアント7に、オンラインサービス認証要求回数の現在値xと組になるワンタイムパスワードクライアント9に表示されているオンラインサービス認証用ワンタイムパスワードOTP[x]をオンラインサービス認証用パスワードとして、オンラインサービス利用者IDとオンラインサービス認証用パスワードとサービス利用内容とを入力する(ステップ505)。
(6)情報端末装置3のオンラインサービスクライアント7は、オンラインサービスサーバ1に、オンラインサービス利用者IDとオンラインサービス認証用パスワードとサービス利用内容との組を含むオンラインサービス認証要求を送信する(ステップ506)。
(7)オンラインサービスサーバ1は、ステップ506の処理で送信されてきたオンラインサービス認証要求を受信すると、図2により説明した従来技術でのステップ103の処理と同一の処理を実行する(ステップ507)。
(8)その後、オンラインサービスサーバ1は、データベース6に記憶されているオンラインサービス認証要求回数の現在値xがオンラインサービス認証要求回数の最大値Nに等しかった場合、ダミーワンタイムパスワードをランダムに生成して、データベース6に記憶されているオンラインサービス認証用パスワードにダミーワンタイムパスワードを設定して、情報端末装置3のオンラインサービスクライアント7にオンラインサービス認証用ワンタイムパスワードダウンロードを促す画面を送信する。また、オンラインサービスサーバ1は、データベース6に記憶されているオンラインサービス認証要求回数の現在値xがオンラインサービス認証要求回数最大値N未満であれば、データベース6に記憶されているオンラインサービス認証用パスワードにOTP[x+1]を設定して、データベース6に記憶されているオンラインサービス認証要求回数の現在値にx+1を設定して、情報端末装置3のオンラインサービスクライアント7にオンラインサービス認証要求回数の現在値x+1を表示する画面を送信する(ステップ508)。
次に、本発明の認証システムにおいて、特定のオンラインサービス利用者IDが攻撃された場合にもワンタイムパスワードを当てられにくくして安全性を高めることができる対策処理について説明する。この処理は、前述で説明した図4、図5のフローの一部を変更することにより実施することができる。なお、本発明による認証システムの初期状態で、データベース6が、オンラインサービス利用者毎に、オンラインサービス認証用ワンタイムパスワード強度の初期値が設定されたオンラインサービス認証用ワンタイムパスワード強度現在値を記憶しているものとする。
図4におけるステップ408の処理または図5におけるステップ507の処理で、オンラインサービスサーバ1は、データベース6に記憶されているオンラインサービス認証用ワンタイムパスワード強度現在値xを取得して、受信したオンラインサービス認証要求に含まれるオンラインサービス認証用パスワードとデータベース6に記憶されているオンラインサービス認証用パスワードとを先頭からx文字が等しいか否かにより認証し、認証に成功したならばデータベース6に記憶されているオンラインサービス認証用ワンタイムパスワード強度現在値にオンラインサービス認証用ワンタイムパスワード強度初期値を設定して、認証に失敗したならばデータベース6に記憶されているオンラインサービス認証用ワンタイムパスワード強度現在値にx+1を設定して、情報端末装置3のオンラインサービスクライアント7にオンラインサービス認証用ワンタイムパスワード強度現在値を表示する画面を送信する。
図6は本発明による認証システムにおいて、情報端末装置のオンラインサービスクライアント使用時のオンラインサービス認証処理(ワンタイムパスワードがオンラインサービス認証要求に含まれるサービス利用内容に同期する場合)の処理動作を説明するフローチャートであり、次に、これについて説明する。但し、ここでの処理で使用する共有秘密情報を共通鍵暗号系の共通鍵Kとする。また、本発明による認証システムの初期状態で、データベース6が、オンラインサービス利用者毎に、オンラインサービス認証用ワンタイムパスワード強度の初期値が設定されたオンラインサービス認証用ワンタイムパスワード強度現在値を記憶しているものとする。
(1)オンラインサービス利用者は、情報端末装置3のオンラインサービスクライアント7に、オンラインサービス利用者IDとサービス利用内容とを入力する(ステップ601)。
(2)情報端末装置3のオンラインサービスクライアント7は、オンラインサービスサーバ1に、入力されたオンラインサービス利用者IDとサービス利用内容との組を含むオンラインサービス認証準備要求を送信する(ステップ602)。
(3)オンラインサービスサーバ1は、ワンタイムパスワードサーバ2に、オンラインサービス利用者IDとサービス利用内容との組を含むオンラインサービス認証準備要求を送信する(ステップ603)。
(4)ワンタイムパスワードサーバ2は、受信したオンラインサービス利用者IDによりデータベース6を検索し、オンラインサービス利用者IDがデータベース6に記憶されていた場合、データベース6に記憶されている共通鍵Kとオンラインサービス認証用ワンタイムパスワード強度現在値xとを取得して、オンラインサービス認証準備IDと強度がx文字であるオンラインサービス認証用ワンタイムパスワードとをランダムに生成して、データベース6に記憶されているオンラインサービス認証用ワンタイムパスワード強度現在値にx+1を設定して、データベース6にオンラインサービス認証準備IDとサービス利用内容とオンラインサービス認証用ワンタイムパスワードとの組を記憶する。また、ワンタイムパスワードサーバ2は、受信したオンラインサービス利用者IDがデータベース6に記憶されていなかった場合、共通鍵Kとオンラインサービス認証準備IDとオンラインサービス認証用ワンタイムパスワードとをランダムに生成する。そして、ワンタイムパスワードサーバ2は、サービス利用内容とオンラインサービス認証用ワンタイムパスワードとの連結ビット列を平文として、共通鍵Kで暗号化し、かつ、MAC(Message Authentication Code)を付加してこれをオンラインサービス認証準備情報として、オンラインサービスサーバ1にオンラインサービス認証準備IDとオンラインサービス認証準備情報とを送信する(ステップ604)。
(5)オンラインサービスサーバ1は、受信したオンラインサービス認証準備情報をQRコードにエンコードして、情報端末装置3のオンラインサービスクライアント7にオンラインサービス認証準備IDとQRコードとを送信する(ステップ605)。
(6)情報端末装置3のオンラインサービスクライアント7は、受信したQRコードを表示する(ステップ606)。
(7)ワンタイムパスワードクライアント9は、オンラインサービス認証準備情報をQRコードからデコードして、オンラインサービス認証準備情報を共通鍵Kで復号し、かつ、MACによる認証に成功したならば、サービス利用内容とオンラインサービス認証用ワンタイムパスワードとを表示する(ステップ607)。
(8)オンラインサービス利用者は、ワンタイムパスワードクライアント9に表示されているサービス利用内容がステップ601の処理で入力したサービス利用内容に等しいことを確認し、等しければ、情報端末装置3のオンラインサービスクライアント7に、ワンタイムパスワードクライアント9に表示されているオンラインサービス認証用ワンタイムパスワードを入力する(ステップ608)。
(9)情報端末装置3のオンラインサービスクライアント7は、オンラインサービスサーバ1に、オンラインサービス利用者IDとオンラインサービス認証準備IDとオンラインサービス認証用ワンタイムパスワードとの組を含むオンラインサービス認証要求を送信する(ステップ609)。
(10)オンラインサービスサーバ1は、受信したオンラインサービス認証要求に含まれるオンラインサービス利用者IDとオンラインサービス認証準備IDとオンラインサービス認証用ワンタイムパスワードとの組によりデータベース6を検索し、データベース6に記憶されているオンラインサービス利用者IDとオンラインサービス認証準備IDとオンラインサービス認証用ワンタイムパスワードとの組に一致するものがあった場合、認証に成功したものとして、データベース6に記憶されているオンラインサービス認証用ワンタイムパスワード強度現在値にオンラインサービス認証用ワンタイムパスワード強度初期値を設定して、受信したオンラインサービス認証要求に含まれるオンラインサービス利用者IDとオンラインサービス認証準備IDと組になるデータベース6に記憶されているサービス利用内容を取得して、サービス利用内容に従ってオンラインサービスを提供する。また、オンラインサービスサーバ1は、認証に失敗した場合、受信したオンラインサービス認証要求に含まれるオンラインサービス利用者IDとオンラインサービス認証準備IDと組になるデータベース6に記憶されているオンラインサービス認証準備IDとサービス利用内容とオンラインサービス認証用ワンタイムパスワードとの組を消去する(ステップ610)。
前述した、情報端末装置のオンラインサービスクライアント使用時のオンラインサービス認証処理(ワンタイムパスワードがオンラインサービス認証要求に含まれるサービス利用内容に同期する場合)の処理動作は、共有秘密情報をワンタイムパスワードダウンロード用固定パスワードに変更して、前述のステップ604〜607を以下のステップ611〜615に変更しても実施可能である。なお、ここでの処理動作のフローは示していない。
(11)ワンタイムパスワードサーバ2は、受信したオンラインサービス利用者IDによりデータベース6を検索し、オンラインサービス利用者IDがデータベース6に記憶されていた場合、データベース6に記憶されているオンラインサービス認証用ワンタイムパスワード強度現在値xを取得して、オンラインサービス認証準備IDと強度がx文字であるオンラインサービス認証用ワンタイムパスワードとをランダムに生成して、データベース6に記憶されているオンラインサービス認証用ワンタイムパスワード強度現在値にx+1を設定して、データベース6にオンラインサービス認証準備IDとサービス利用内容とオンラインサービス認証用ワンタイムパスワードとの組を記憶する。また、ワンタイムパスワードサーバ2は、受信したオンラインサービス利用者IDがデータベース6に記憶されていなかった場合、オンラインサービス認証準備IDをランダムに生成する。そして、ワンタイムパスワードサーバ2は、オンラインサービスサーバ1にオンラインサービス認証準備IDを送信する(ステップ611)。
(12)オンラインサービスサーバ1は、情報端末装置3のオンラインサービスクライアント7にオンラインサービス認証準備IDを送信する(ステップ612)。
(13)携帯端末装置3のワンタイムパスワードクライアント9は、ワンタイムパスワードサーバ2に、オンラインサービス利用者IDとワンタイムパスワードダウンロード用固定パスワードとの組を含むオンラインサービス認証用ワンタイムパスワードダウンロード要求を送信する(ステップ613)。
(14)ワンタイムパスワードサーバ2は、受信したオンラインサービス認証用ワンタイムパスワードダウンロード要求に含まれるオンラインサービス利用者IDとワンタイムパスワードダウンロード用固定パスワードとの組によりデータベース6を検索し、データベース6に記憶されているオンラインサービス利用者IDとワンタイムパスワードダウンロード用固定パスワードとの組に一致するものがある場合、データベース6に記憶されているサービス利用内容とオンラインサービス認証用ワンタイムパスワードとの組をワンタイムパスワードクライアント9に送信する(ステップ614)。
(15)ワンタイムパスワードクライアント9は、受信したサービス利用内容とオンラインサービス認証用ワンタイムパスワードとの組を表示する(ステップ615)。
次に、本発明の認証システムにおいて、携帯端末装置のオンラインサービスクライアント使用時のオンラインサービス認証処理の処理動作について説明する。但し、ここでの処理で使用する共有秘密情報をワンタイムパスワードダウンロード用固定パスワードとする。なお、ここでの処理動作のフローは示していない。
(処理701)
携帯端末装置4のワンタイムパスワードクライアント9は、ワンタイムパスワードサーバ2に、オンラインサービス利用者IDとワンタイムパスワードダウンロード用固定パスワードとの組を含むオンラインサービスログイン用ワンタイムパスワードダウンロード要求を送信する。
(処理702)
ワンタイムパスワードサーバ2は、受信したオンラインサービスログイン用ワンタイムパスワードダウンロード要求に含まれるオンラインサービス利用者IDとワンタイムパスワードダウンロード用固定パスワードとの組によりデータペース6を検索し、データベース6に記憶されているオンラインサービス利用者IDとワンタイムパスワードダウンロード用固定パスワードとの組に一致するものがあった場合、オンラインサービスログイン用ワンタイムパスワードをランダムに生成して、データベース6にオンラインサービスログイン用ワンタイムパスワードを記憶し、ワンタイムパスワードクライアント9にオンラインサービスログイン用ワンタイムパスワードを送信する。
(処理703)
ワンタイムパスワードクライアント9は、オンラインサービス利用者IDとオンラインサービスログイン用ワンタイムパスワードとを引数として、携帯端末装置4のオンラインサービスクライアント8を起動する。
(処理704)
携帯端末装置4のオンラインサービスクライアント8は、オンラインサービスサーバ1に、オンラインサービス利用者IDとオンラインサービスログイン用ワンタイムパスワードとの組を含むオンラインサービスログイン要求を送信する。
(処理705)
オンラインサービスサーバ1は、受信したオンラインサービスログイン要求に含まれるオンラインサービス利用者IDとオンラインサービスログイン用ワンタイムパスワードとの組によりデータベース6を検索し、データベース6に記憶されているオンラインサービス利用者IDとオンラインサービスログイン用ワンタイムパスワードとの組に一致するものがあった場合、携帯端末装置4のオンラインサービスクライアント8にオンラインサービスログイン成功画面を送信する。
次に、本発明による認証システムにおけるメール認証処理の処理動作について説明する。但し、ここでの処理で使用する共有秘密情報をワンタイムパスワードダウンロード用固定パスワードとする。なお、なお、ここでの処理動作のフローは示していない。
(処理801)
ワンタイムパスワードサーバ2は、送信先がオンラインサービス利用者であるメールと送信先のオンラインサービス利用者のオンラインサービス利用者IDとを受信した場合、メール認証用ワンタイムパスワードをランダムに生成して、データベース6にメール認証用ワンタイムパスワードを記憶し、メールにメール認証用ワンタイムパスワードを記載して送信先に送信する。
(処理802)
ワンタイムパスワードクライアント9は、ワンタイムパスワードサーバ2に、オンラインサービス利用者IDとワンタイムパスワードダウンロード用固定パスワードとの組を含むメール認証用ワンタイムパスワードダウンロード要求を送信する。
(処理803)
ワンタイムパスワードサーバ2は、受信したメール認証用ワンタイムパスワードダウンロード要求に含まれるオンラインサービス利用者IDとワンタイムパスワードダウンロード用固定パスワードとの組によりデータベース6を検索し、データベース6に記憶されているオンラインサービス利用者IDとワンタイムパスワードダウンロード用固定パスワードとの組に一致するものがあった場合、データベース6に記憶されているメール認証用ワンタイムパスワードを取得して、ワンタイムパスワードクライアント9にメール認証用ワンタイムパスワードを送信する。
(処理804)
ワンタイムパスワードクライアント9は、受信したメール認証用ワンタイムパスワードを表示する。
オンラインサービス利用者は、処理804を実行した後に、メールに記載されているメール認証用ワンタイムパスワードとワンタイムパスワードクライアント9に表示されているメール認証用ワンタイムパスワードとを比較して、一致すればメールの送信元がオンラインサービス提供者であり、一致しなければメールの送信元がオンラインサービス提供者以外であることを知ることができる。
前述した処理801は、メールとして電子メールを想定した場合であるが、メールとして葉書などの送付物を想定した場合でも、送付物にメール認証用ワンタイムパスワードを記載することにより、メールの送信元を認証することができる。
次に、本発明の認証システムにおいて、攻撃者が有効なIDを推測できないようにする対策処理について説明する。この処理は、前述で説明した処理203、及び、処理204以降の処理を変更することにより実施することができる。
前述で説明した処理203での処理で、ワンタイムパスワードサーバ2は、オンラインサービス利用者サブIDをランダムに生成して、データベース6にオンラインサービス利用者サブIDを記憶し、ワンタイムパスワードクライアント9にオンラインサービス利用者サブIDを送信する。
処理204での処理以降の処理で、オンラインサービス利用者IDの代わりにオンラインサービス利用者サブIDを使用する。但し、オンラインサービス利用者サブIDが取り得る値の総数は、オンラインサービス利用者の総数より遥かに大きくして、例えば、1万倍程度に大きくすることが必要である。
次に、前述した本発明の実施形態で使用する各パスワードの強度について説明する。パスワードの強度は、一般に、パスワードを構成する英数字記号の文字数により決まり、システムの安全性とオンラインサービス利用者の利便性とを考慮して決められるが、本発明の実施形態では、ダミーワンタイムパスワード、ワンタイムパスワードダウンロード用固定パスワード、及び、オンラインサービスログイン用ワンタイムパスワードとしては、英数字記号32文字程度のものが使用され、また、ワンタイムパスワードクライアント初期化用固定パスワード及びオンラインサービス認証用固定パスワードとしては、英数字記号8文字程度のものが使用され、さらに、ワンタイムパスワードクライアント起動用固定パスワード、オンラインサービス認証用ワンタイムパスワード、及び、メール認証用ワンタイムパスワードとしては、数字8文字程度のものが使用される。また、オンラインサービス認証用ワンタイムパスワード強度の初期値は8程度である。
前述した本発明の実施形態を構成するオンラインサービスサーバ1、ワンタイムパスワードサーバ2及び情報端末装置3は、CPU、メモリ、ハードディスク装置、表示装置、入出力装置等を備える情報処理装置により構成されればよい。また、携帯端末装置4は、携帯電話であるとして説明してきたが、携帯端末装置4として、携帯可能な前述のように構成される情報処理装置を使用することができる。
また、前述した本発明の各実施形態での各処理は、プログラムにより構成し、計算機が備えるCPUに実行させることができ、また、それらのプログラムは、FD、CDROM、DVD等の記録媒体に格納して提供することができ、また、ネットワークを介してディジタル情報により提供することができる。
前述した本発明の実施形態によれば、ワンタイムパスワードクライアント初期化要求の認証において、ワンタイムパスワードクライアント初期化用固定パスワードの強度が英数字記号8文字程度と弱いので、アカウントロックアウトの条件が含まれているが、オンラインサービス認証用ワンタイムパスワードダウンロード要求の認証では、ワンタイムパスワードダウンロード用固定パスワードの強度を英数字記号32文字程度と強くしているので、アカウントロックアウトの条件が含まれていないため、攻撃者が正当なオンラインサービス利用者のオンラインサービス認証用ワンタイムパスワードダウンロード要求を妨害できないようにすることができ、これにより、ワンタイムパスワードの安全性がオンラインサービス利用者によって入力された固定パスワードの安全性に常に依存するという、従来技術によるワンタイムパスワードを利用した認証システムの第1の問題点を解決することができる。
また、本発明の実施形態によれば、ワンタイムパスワードクライアント初期化の有無及びオンラインサービス認証要求の認証条件となるオンラインサービス認証用ワンタイムパスワードの有無に応じて、データベースに記憶されているオンラインサービス認証用パスワードに、オンラインサービス認証用固定パスワード、ダミーワンタイムパスワードまたはオンラインサービス認証用ワンタイムパスワードを設定することとしているので、オンラインサービス認証要求の認証を実行しているステップ103での処理を変更しなければならないという、従来技術のワンタイムパスワードを利用した認証システムの第2の問題点を解決することができる。
また、本発明の実施形態によれば、オンラインサービス認証用ワンタイムパスワードを共有する際に、オンラインサービスサーバとワンタイムパスワードクライアントとの現在の時刻情報やオンラインサービス認証要求回数の現在値を一致させて、共有してから一定時間経過後または共有以降のオンラインサービス認証要求回数が一定回数超過後ならば、オンラインサービス認証要求を認証失敗とすることとしているので、前後数分間の時刻情報や数回先のオンラインサービス認証要求回数を引数に計算されるオンラインサービス認証用ワンタイムパスワードも認証成功させてしまうという、従来技術のワンタイムパスワードを利用した認証システムの第3の問題点と、攻撃者が時間や回数に制限なく攻撃できるという第4の問題点を解決することができる。
また、本発明の実施形態によれば、オンラインサービスサーバがオンラインサービスクライアントから受信したオンラインサービス認証要求を文字数がオンラインサービス認証用ワンタイムパスワード強度の現在値であるオンラインサービス認証用ワンタイムパスワードで認証して、認証に失敗したならばオンラインサービス認証用ワンタイムパスワード強度の現在値を大きくすることとしているので、特定のオンラインサービス利用者IDが攻撃されてもオンラインサービス認証用ワンタイムパスワードの強度が強くならないという、従来技術のワンタイムパスワードを利用した認証システムの第5の問題点を解決することができる。
また、本発明の実施形態によれば、ワンタイムパスワードサーバがオンラインサービスクライアントから受信したサービス利用内容を含むオンラインサービス認証準備要求に対して、サービス利用内容とオンラインサービス認証用ワンタイムパスワードとを同期させて、ワンタイムパスワードクライアントが正当なワンタイムパスワードサーバとサービス利用内容及びオンラインサービス認証用ワンタイムパスワードとを共有したことを確認してから、サービス利用内容とオンラインサービス認証用ワンタイムパスワードとを表示して、オンラインサービス利用者がワンタイムパスワードクライアントに表示されているサービス利用内容とオンラインサービス認証準備要求に含まれるサービス利用内容とが等しいことを確認可能にすることとしているので、オンラインサービス認証要求に含まれるサービス利用内容が改ざんされても認証が成功してしまうという、従来技術のワンタイムパスワードを利用した認証システムの第6の問題点を解決することができる。
また、本発明の実施形態によれば、携帯端末装置のワンタイムパスワードクライアントがオンラインサービスログイン用ワンタイムパスワードを引数として携帯端末装置のオンラインサービスクライアントを起動して、オンラインサービスサーバが携帯端末装置のオンラインサービスクライアントから受信したオンラインサービスログイン要求をオンラインサービスログイン用ワンタイムパスワードにより認証することとしているので、携帯端末装置のオンラインサービスクライアント使用時のオンラインサービス認証処理にワンタイムパスワードを使用できないという、従来技術のワンタイムパスワードを利用した認証システムの第7の問題点を解決することができる。
また、本発明の実施形態によれば、ワンタイムパスワードサーバがメールにメール認証用ワンタイムパスワードを記載して、ワンタイムパスワードクライアントがメール認証用ワンタイムパスワードを表示することとしているので、フィッシングメール対策にワンタイムパスワードを使用できないという、従来技術のワンタイムパスワードを利用した認証システムの第8の問題点を解決することができる。
さらに、本発明の実施形態によれば、オンラインサービス認証要求を、無効なIDが有効なIDより遥かに多くランダムに割り当てるオンラインサービス利用者サブIDにより認証することとしているので、攻撃者が有効なオンラインサービス利用者IDを推測してアカウントロックアウトすることができるという、従来技術のワンタイムパスワードを利用した認証システムの第9の問題点を解決することができる。
固定パスワードを利用した従来技術による認証システムの構成例を示すブロック図である。 固定パスワードを利用した認証システムのオンラインサービス認証処理の処理動作を説明するフローチャートである。 本発明の一実施形態による認証システムの構成を示すブロック図である。 情報端末装置のオンラインサービスクライアント使用時のオンラインサービス認証処理(ワンタイムパスワードが時間に同期する場合)の処理動作を説明するフローチャートである。 情報端末装置のオンラインサービスクライアント使用時のオンラインサービス認証処理(ワンタイムパスワードがオンラインサービス認証要求の回数に同期する場合)の処理動作を説明するフローチャートである。 情報端末装置のオンラインサービスクライアント使用時のオンラインサービス認証処理(ワンタイムパスワードがオンラインサービス認証要求に含まれるサービス利用内容に同期する場合)の処理動作を説明するフローチャートである。
符号の説明
1 オンラインサービスサーバ
2 ワンタイムパスワードサーバ
3 情報端末装置
4 携帯端末装置
5 ネットワーク
6 データベース
7 オンラインサービスクライアント
8 オンラインサービスクライアント
9 ワンタイムパスワードクライアント

Claims (6)

  1. オンラインサービスサーバとワンタイムパスワードサーバとオンラインサービスクライアントがネットワークを介して接続されて構成され、オンラインサービスサーバとワンタイムパスワードサーバとオンラインサービスクライアントとワンタイムパスワードクライアントとが情報の送受信を行うクライアントサーバシステムでの認証システムであって、
    前記ワンタイムパスワードサーバと前記ワンタイムパスワードクライアントとが共有秘密情報を共有し、
    前記オンラインサービスクライアントは、オンラインサービス利用者からオンラインサービス利用者IDとサービス利用内容とが入力されると、前記オンラインサービスサーバにオンラインサービス利用者IDとサービス利用内容との組を含むオンラインサービス認証準備要求を送信し、
    前記オンラインサービスサーバは、前記オンラインサービスクライアントから受信したオンラインサービス認証準備要求を前記ワンタイムパスワードサーバに送信し、
    前記ワンタイムパスワードサーバは、前記オンラインサービスサーバを介してオンラインサービスクライアントから受信したオンラインサービス認証準備要求に対して、
    オンラインサービス認証準備要求に含まれるオンラインサービス利用者IDによりデータベースを検索し、オンラインサービス認証用ワンタイムパスワード強度現在値を取得し、オンラインサービス認証準備IDと強度が現在値文字数であるオンラインサービス認証用ワンタイムパスワードとを生成して、前記オンラインサービスサーバにオンラインサービス認証準備IDを送信し、
    前記オンラインサービスサーバは、前記ワンタイムパスワードサーバからの前記オンラインサービス認証準備IDを前記オンラインサービスクライアントに送信し、
    一方、前記ワンタイムパスワードクライアントは、前記ワンタイムパスワードサーバに、オンラインサービス利用者IDとワンタイムパスワードダウンロード用固定パスワードとの組を含むオンラインサービス認証用ワンタイムパスワードダウンロード要求を送信し、
    前記ワンタイムパスワードサーバは、前記ワンタイムパスワードクライアントから受信したオンラインサービス認証用ワンタイムパスワードダウンロード要求に含まれるオンラインサービス利用者IDとワンタイムパスワードダウンロード用固定パスワードとの組によりデータベースを検索し、サービス利用内容とオンラインサービス認証用ワンタイムパスワードとの組をワンタイムパスワードクライアントに送信し、
    前記ワンタイムパスワードクライアントは、受信したサービス利用内容とオンラインサービス認証用ワンタイムパスワードとの組を表示し、
    前記オンラインサービスクライアントは、オンラインサービス利用者により、前記ワンタイムパスワードクライアントに表示されているオンラインサービス認証用ワンタイムパスワードが入力されると、前記オンラインサービスサーバに、オンラインサービス利用者IDとオンラインサービス認証準備IDとオンラインサービス認証用ワンタイムパスワードとの組を含むオンラインサービス認証要求を送信し、
    前記オンラインサービスサーバは、前記オンラインサービスクライアントから受信したオンラインサービス認証要求に含まれるオンラインサービス利用者IDとオンラインサービス認証準備IDとオンラインサービス認証用ワンタイムパスワードとの組によりデータベースを検索し、データベースに記憶されているオンラインサービス利用者IDとオンラインサービス認証準備IDとオンラインサービス認証用ワンタイムパスワードとの組に一致するものがあるか否かにより、前記オンラインサービスクライアントの認証を行うことを特徴とする認証システム。
  2. オンラインサービスサーバとワンタイムパスワードサーバとオンラインサービスクライアントがネットワークを介して接続されて構成され、オンラインサービスサーバとワンタイムパスワードサーバとオンラインサービスクライアントとワンタイムパスワードクライアントとが情報の送受信を行うクライアントサーバシステムでの認証システムであって、
    前記オンラインサービスクライアントは、オンラインサービス利用者からオンラインサービス利用者IDとサービス利用内容とが入力されると、前記オンラインサービスサーバにオンラインサービス利用者IDとサービス利用内容との組を含むオンラインサービス認証準備要求を送信し、
    前記オンラインサービスサーバは、前記オンラインサービスクライアントから受信したオンラインサービス認証準備要求を前記ワンタイムパスワードサーバに送信し、
    前記ワンタイムパスワードサーバは、前記オンラインサービスサーバを介してオンラインサービスクライアントから受信したオンラインサービス認証準備要求に対して、
    オンラインサービス認証準備要求に含まれるオンラインサービス利用者IDによりデータベースを検索し、データベースに記憶されている共通鍵を取得し、前記サービス利用内容とランダムに生成されたオンラインサービス認証用ワンタイムパスワードとの組を前記共通鍵で暗号化してオンラインサービス認証準備情報としてオンラインサービスサーバに送信し、
    前記オンラインサービスサーバは、暗号化された前記サービス利用内容とオンラインサービス認証用ワンタイムパスワードとの組を前記ワンタイムパスワードサーバから受信して、QRコードにエンコードしてから前記オンラインサービスクライアントに送信し、
    前記オンラインサービスクライアントは、前記オンラインサービスサーバからの前記QRコードを表示し、
    前記ワンタイムパスワードクライアントは、前記オンラインサービスクライアントに表示されているQRコードが入力されると、このQRコードをデコードすることによりオンラインサービス認証準備情報を取得し、このオンラインサービス認証準備情報を前記共通鍵で復号し、サービス利用内容とオンラインサービス認証用ワンタイムパスワードとを表示し、
    前記オンラインサービスクライアントは、オンラインサービス利用者により、前記ワンタイムパスワードクライアントに表示されているオンラインサービス認証用ワンタイムパスワードが入力されると、前記オンラインサービスサーバに、オンラインサービス利用者IDとオンラインサービス認証準備IDとオンラインサービス認証用ワンタイムパスワードとの組を含むオンラインサービス認証要求を送信し、
    前記オンラインサービスサーバは、前記オンラインサービスクライアントから受信したオンラインサービス認証要求に含まれるオンラインサービス利用者IDとオンラインサービス認証準備IDとオンラインサービス認証用ワンタイムパスワードとの組によりデータベースを検索し、データベースに記憶されているオンラインサービス利用者IDとオンラインサービス認証準備IDとオンラインサービス認証用ワンタイムパスワードとの組に一致するものがあるか否かにより、前記オンラインサービスクライアントの認証を行うことを特徴とする認証システム。
  3. 請求項1または2に記載の認証システムにおいて、
    前記ワンタイムパスワードサーバは、前記オンラインサービスサーバを介してオンラインサービスクライアントから受信したオンラインサービス認証準備要求に対して、
    オンラインサービス認証用ワンタイムパスワードの文字数をオンラインサービス認証用ワンタイムパスワード強度の現在値にして、オンラインサービス認証用ワンタイムパスワード強度の現在値を大きくし、
    前記オンラインサービスサーバは、オンラインサービスクライアントから受信したオンラインサービス認証要求の認証に成功したならば、オンラインサービス認証用ワンタイムパスワード強度の現在値を小さくすることを特徴とする認証システム
  4. オンラインサービスサーバとワンタイムパスワードサーバとオンラインサービスクライアントがネットワークを介して接続されて構成され、オンラインサービスサーバとワンタイムパスワードサーバとオンラインサービスクライアントとワンタイムパスワードクライアントとが情報の送受信を行うクライアントサーバシステムでの認証方法であって、
    前記ワンタイムパスワードサーバと前記ワンタイムパスワードクライアントとが共有秘密情報を共有し、
    前記オンラインサービスクライアントは、オンラインサービス利用者からオンラインサービス利用者IDとサービス利用内容とが入力されると、前記オンラインサービスサーバにオンラインサービス利用者IDとサービス利用内容との組を含むオンラインサービス認証準備要求を送信し、
    前記オンラインサービスサーバは、前記オンラインサービスクライアントから受信したオンラインサービス認証準備要求を前記ワンタイムパスワードサーバに送信し、
    前記ワンタイムパスワードサーバは、前記オンラインサービスサーバを介してオンラインサービスクライアントから受信したオンラインサービス認証準備要求に対して、
    オンラインサービス認証準備要求に含まれるオンラインサービス利用者IDによりデータベースを検索し、オンラインサービス認証用ワンタイムパスワード強度現在値を取得し、オンラインサービス認証準備IDと強度が現在値文字数であるオンラインサービス認証用ワンタイムパスワードとを生成して、前記オンラインサービスサーバにオンラインサービス認証準備IDを送信し、
    前記オンラインサービスサーバは、前記ワンタイムパスワードサーバからの前記オンラインサービス認証準備IDを前記オンラインサービスクライアントに送信し、
    一方、前記ワンタイムパスワードクライアントは、前記ワンタイムパスワードサーバに、オンラインサービス利用者IDとワンタイムパスワードダウンロード用固定パスワードとの組を含むオンラインサービス認証用ワンタイムパスワードダウンロード要求を送信し、
    前記ワンタイムパスワードサーバは、前記ワンタイムパスワードクライアントから受信したオンラインサービス認証用ワンタイムパスワードダウンロード要求に含まれるオンラインサービス利用者IDとワンタイムパスワードダウンロード用固定パスワードとの組によりデータベースを検索し、サービス利用内容とオンラインサービス認証用ワンタイムパスワードとの組をワンタイムパスワードクライアントに送信し、
    前記ワンタイムパスワードクライアントは、受信したサービス利用内容とオンラインサービス認証用ワンタイムパスワードとの組を表示し、
    前記オンラインサービスクライアントは、オンラインサービス利用者により、前記ワンタイムパスワードクライアントに表示されているオンラインサービス認証用ワンタイムパスワードが入力されると、前記オンラインサービスサーバに、オンラインサービス利用者IDとオンラインサービス認証準備IDとオンラインサービス認証用ワンタイムパスワードとの組を含むオンラインサービス認証要求を送信し、
    前記オンラインサービスサーバは、前記オンラインサービスクライアントから受信したオンラインサービス認証要求に含まれるオンラインサービス利用者IDとオンラインサービス認証準備IDとオンラインサービス認証用ワンタイムパスワードとの組によりデータベースを検索し、データベースに記憶されているオンラインサービス利用者IDとオンラインサービス認証準備IDとオンラインサービス認証用ワンタイムパスワードとの組に一致するものがあるか否かにより、前記オンラインサービスクライアントの認証を行うことを特徴とする認証方法。
  5. オンラインサービスサーバとワンタイムパスワードサーバとオンラインサービスクライアントがネットワークを介して接続されて構成され、オンラインサービスサーバとワンタイムパスワードサーバとオンラインサービスクライアントとワンタイムパスワードクライアントとが情報の送受信を行うクライアントサーバシステムでの認証方法であって、
    前記オンラインサービスクライアントは、オンラインサービス利用者からオンラインサービス利用者IDとサービス利用内容とが入力されると、前記オンラインサービスサーバにオンラインサービス利用者IDとサービス利用内容との組を含むオンラインサービス認証準備要求を送信し、
    前記オンラインサービスサーバは、前記オンラインサービスクライアントから受信したオンラインサービス認証準備要求を前記ワンタイムパスワードサーバに送信し、
    前記ワンタイムパスワードサーバは、前記オンラインサービスサーバを介してオンラインサービスクライアントから受信したオンラインサービス認証準備要求に対して、
    オンラインサービス認証準備要求に含まれるオンラインサービス利用者IDによりデータベースを検索し、データベースに記憶されている共通鍵を取得し、前記サービス利用内容とランダムに生成されたオンラインサービス認証用ワンタイムパスワードとの組を前記共通鍵で暗号化してオンラインサービス認証準備情報としてオンラインサービスサーバに送信し、
    前記オンラインサービスサーバは、暗号化された前記サービス利用内容とオンラインサービス認証用ワンタイムパスワードとの組を前記ワンタイムパスワードサーバから受信して、QRコードにエンコードしてから前記オンラインサービスクライアントに送信し、
    前記オンラインサービスクライアントは、前記オンラインサービスサーバからの前記QRコードを表示し、
    前記ワンタイムパスワードクライアントは、前記オンラインサービスクライアントに表示されているQRコードが入力されると、このQRコードをデコードすることによりオンラインサービス認証準備情報を取得し、このオンラインサービス認証準備情報を前記共通鍵で復号し、サービス利用内容とオンラインサービス認証用ワンタイムパスワードとを表示し、
    前記オンラインサービスクライアントは、オンラインサービス利用者により、前記ワンタイムパスワードクライアントに表示されているオンラインサービス認証用ワンタイムパスワードが入力されると、前記オンラインサービスサーバに、オンラインサービス利用者IDとオンラインサービス認証準備IDとオンラインサービス認証用ワンタイムパスワードとの組を含むオンラインサービス認証要求を送信し、
    前記オンラインサービスサーバは、前記オンラインサービスクライアントから受信したオンラインサービス認証要求に含まれるオンラインサービス利用者IDとオンラインサービス認証準備IDとオンラインサービス認証用ワンタイムパスワードとの組によりデータベースを検索し、データベースに記憶されているオンラインサービス利用者IDとオンラインサービス認証準備IDとオンラインサービス認証用ワンタイムパスワードとの組に一致するものがあるか否かにより、前記オンラインサービスクライアントの認証を行うことを特徴とする認証方法。
  6. 請求項4または5に記載の認証方法において、
    前記ワンタイムパスワードサーバは、前記オンラインサービスサーバを介してオンラインサービスクライアントから受信したオンラインサービス認証準備要求に対して、
    オンラインサービス認証用ワンタイムパスワードの文字数をオンラインサービス認証用ワンタイムパスワード強度の現在値にして、オンラインサービス認証用ワンタイムパスワード強度の現在値を大きくし、
    前記オンラインサービスサーバは、オンラインサービスクライアントから受信したオンラインサービス認証要求の認証に成功したならば、オンラインサービス認証用ワンタイムパスワード強度の現在値を小さくすることを特徴とする認証方法
JP2007525103A 2005-12-09 2006-11-28 認証システム及び認証方法 Expired - Fee Related JP4235676B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2005356336 2005-12-09
JP2005356336 2005-12-09
PCT/JP2006/323728 WO2007066542A1 (ja) 2005-12-09 2006-11-28 認証システム及び認証方法

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2008008068A Division JP4681010B2 (ja) 2005-12-09 2008-01-17 認証システム及び認証方法

Publications (2)

Publication Number Publication Date
JP4235676B2 true JP4235676B2 (ja) 2009-03-11
JPWO2007066542A1 JPWO2007066542A1 (ja) 2009-05-14

Family

ID=38122690

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2007525103A Expired - Fee Related JP4235676B2 (ja) 2005-12-09 2006-11-28 認証システム及び認証方法
JP2008008068A Expired - Fee Related JP4681010B2 (ja) 2005-12-09 2008-01-17 認証システム及び認証方法

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2008008068A Expired - Fee Related JP4681010B2 (ja) 2005-12-09 2008-01-17 認証システム及び認証方法

Country Status (5)

Country Link
US (1) US8181234B2 (ja)
EP (1) EP1898333A4 (ja)
JP (2) JP4235676B2 (ja)
CN (1) CN100545852C (ja)
WO (1) WO2007066542A1 (ja)

Families Citing this family (55)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9846866B2 (en) * 2007-02-22 2017-12-19 First Data Corporation Processing of financial transactions using debit networks
KR101424971B1 (ko) * 2007-04-06 2014-08-13 삼성전자주식회사 Ums 기기의 컨텐츠를 시간 정보를 이용하여 보호하는방법 및 이를 위한 장치
US8365267B2 (en) * 2008-11-13 2013-01-29 Yahoo! Inc. Single use web based passwords for network login
JP2010282285A (ja) * 2009-06-02 2010-12-16 Konica Minolta Holdings Inc 情報処理装置、情報処理装置の制御方法、および情報処理装置の制御プログラム
US10581834B2 (en) 2009-11-02 2020-03-03 Early Warning Services, Llc Enhancing transaction authentication with privacy and security enhanced internet geolocation and proximity
US8789153B2 (en) * 2010-01-27 2014-07-22 Authentify, Inc. Method for secure user and transaction authentication and risk management
US8458774B2 (en) 2009-11-02 2013-06-04 Authentify Inc. Method for secure site and user authentication
US8713325B2 (en) 2011-04-19 2014-04-29 Authentify Inc. Key management using quasi out of band authentication architecture
US8745699B2 (en) 2010-05-14 2014-06-03 Authentify Inc. Flexible quasi out of band authentication architecture
US8769784B2 (en) 2009-11-02 2014-07-08 Authentify, Inc. Secure and efficient authentication using plug-in hardware compatible with desktops, laptops and/or smart mobile communication devices such as iPhones
US8806592B2 (en) 2011-01-21 2014-08-12 Authentify, Inc. Method for secure user and transaction authentication and risk management
US8549601B2 (en) * 2009-11-02 2013-10-01 Authentify Inc. Method for secure user and site authentication
US8719905B2 (en) 2010-04-26 2014-05-06 Authentify Inc. Secure and efficient login and transaction authentication using IPhones™ and other smart mobile communication devices
US8312519B1 (en) * 2010-09-30 2012-11-13 Daniel V Bailey Agile OTP generation
US9076171B2 (en) 2010-12-15 2015-07-07 Symantec Corporation Automatic electronic payments via mobile communication device with imaging system
US8856902B2 (en) * 2010-12-15 2014-10-07 Symantec Corporation User authentication via mobile communication device with imaging system
CN102026195B (zh) * 2010-12-17 2013-05-15 北京交通大学 基于一次性口令的移动终端身份认证方法和系统
US8572684B1 (en) * 2011-01-07 2013-10-29 Ca, Inc. Authentication using one-time passwords and associated indicia for plural sequences
KR101743504B1 (ko) * 2011-01-14 2017-06-05 삼성전자주식회사 전자 기기의 비밀 번호 입력 방법 및 장치
US9832183B2 (en) 2011-04-19 2017-11-28 Early Warning Services, Llc Key management using quasi out of band authentication architecture
US9628875B1 (en) * 2011-06-14 2017-04-18 Amazon Technologies, Inc. Provisioning a device to be an authentication device
CN103036678B (zh) * 2011-09-29 2015-10-28 北京新媒传信科技有限公司 一种Symbian签名应用认证的方法和系统
KR101265293B1 (ko) * 2011-12-21 2013-05-20 (주)코리아센터닷컴 일회용 스캔코드 발행 기능을 구비한 서버장치, 일회용 스캔코드 인식 기능을 구비한 고객 단말장치 및 일회용 스캔코드 처리방법
WO2013100918A1 (en) 2011-12-27 2013-07-04 Intel Corporation Authenticating to a network via a device-specific one time password
US9166959B2 (en) * 2012-03-31 2015-10-20 Intel Corporation Secure communication using physical proximity
US10025920B2 (en) 2012-06-07 2018-07-17 Early Warning Services, Llc Enterprise triggered 2CHK association
US9716691B2 (en) 2012-06-07 2017-07-25 Early Warning Services, Llc Enhanced 2CHK authentication security with query transactions
US9053312B2 (en) * 2012-06-19 2015-06-09 Paychief, Llc Methods and systems for providing bidirectional authentication
US8997184B2 (en) 2012-06-22 2015-03-31 Paychief Llc Systems and methods for providing a one-time authorization
US9342611B2 (en) 2012-06-22 2016-05-17 Paychief Llc Systems and methods for transferring personal data using a symbology
US8919640B2 (en) 2012-06-22 2014-12-30 Paychief Llc Methods and systems for registering relationships between users via a symbology
JP5380583B1 (ja) 2012-06-25 2014-01-08 国立大学法人 千葉大学 デバイス認証方法及びシステム
US9485102B2 (en) * 2012-06-27 2016-11-01 Intel Corporation Techniques for user-validated close-range mutual authentication
ES2606602T3 (es) 2012-08-02 2017-03-24 Banco Bilbao Vizcaya Argentaria, S.A. Método para la generación de un código, método y sistema de autorización de una operación
US8935769B2 (en) 2012-09-28 2015-01-13 Liveensure, Inc. Method for mobile security via multi-factor context authentication
US9323909B1 (en) * 2012-12-07 2016-04-26 Emc Corporation Sharing a cryptographic device by partitioning challenge-response space
ITPR20130005A1 (it) * 2013-01-21 2014-07-22 Studio Ziveri S R L Sistema di rilevazione di presenze o tempi
JP2014153745A (ja) * 2013-02-05 2014-08-25 Canon Inc 情報処理装置、情報処理装置の制御方法、及びプログラム
US20140365780A1 (en) * 2013-06-07 2014-12-11 Safa Movassaghi System and methods for one-time password generation on a mobile computing device
CN103428001B (zh) * 2013-09-05 2016-08-17 中国科学院信息工程研究所 一种隐式增强便捷web身份认证方法
KR101402660B1 (ko) * 2013-09-17 2014-06-03 주식회사 에스씨테크원 근거리 무선 통신 기능을 가지는 이동통신단말기를 이용한 일회용 패스워드 무선 인증 시스템 및 방법
KR101579923B1 (ko) * 2013-12-20 2015-12-23 펜타시큐리티시스템 주식회사 일회용 비밀번호 생성 방법 및 이를 수행하는 장치
US10015153B1 (en) * 2013-12-23 2018-07-03 EMC IP Holding Company LLC Security using velocity metrics identifying authentication performance for a set of devices
US9754097B2 (en) 2014-02-21 2017-09-05 Liveensure, Inc. Method for peer to peer mobile context authentication
JP6027577B2 (ja) * 2014-07-23 2016-11-16 株式会社三井住友銀行 認証システム、認証方法、及びプログラム
US20160087949A1 (en) * 2014-09-24 2016-03-24 Intel Corporation Establishing secure digital relationship using symbology
US10021089B2 (en) 2015-04-09 2018-07-10 Salesforce.Com, Inc. Customized user validation
US9614845B2 (en) 2015-04-15 2017-04-04 Early Warning Services, Llc Anonymous authentication and remote wireless token access
JP6516009B2 (ja) * 2015-07-10 2019-05-22 富士通株式会社 機器認証システム、管理装置及び機器認証方法
US10084782B2 (en) 2015-09-21 2018-09-25 Early Warning Services, Llc Authenticator centralization and protection
CN105608017A (zh) * 2015-12-11 2016-05-25 中国航空工业集团公司西安航空计算技术研究所 一种存储器的控制电路及方法
US10552823B1 (en) 2016-03-25 2020-02-04 Early Warning Services, Llc System and method for authentication of a mobile device
KR20190046063A (ko) * 2017-10-25 2019-05-07 현대자동차주식회사 사용자 인증 시스템, 사용자 인증 방법 및 서버
US20210204116A1 (en) 2019-12-31 2021-07-01 Payfone, Inc. Identity verification platform
US12058528B2 (en) 2020-12-31 2024-08-06 Prove Identity, Inc. Identity network representation of communications device subscriber in a digital domain

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2769446B1 (fr) * 1997-10-02 2000-01-28 Achille Joseph Marie Delahaye Systeme d'identification et d'authentification
JP2001184310A (ja) 1999-12-27 2001-07-06 Landscape:Kk ユーザ認証設備
US7181762B2 (en) * 2001-01-17 2007-02-20 Arcot Systems, Inc. Apparatus for pre-authentication of users using one-time passwords
JP2002259344A (ja) 2001-02-28 2002-09-13 Mitsubishi Electric Corp ワンタイムパスワード認証システム及び携帯電話及びユーザ認証サーバ
JP2003030146A (ja) * 2001-07-17 2003-01-31 Nec Corp 端末認証機能を有するネットワークシステム、該システムに用いられる端末認証方法及び認証制御プログラム
JP3876783B2 (ja) * 2002-07-19 2007-02-07 株式会社デンソーウェーブ 情報コード読取方法
US7665125B2 (en) * 2002-09-23 2010-02-16 Heard Robert W System and method for distribution of security policies for mobile devices
SI21436A (sl) * 2003-02-04 2004-08-31 Renderspace - Pristop Interactive D.O.O. Sistem identifikacije za vstop v varovano področje
JP2004342088A (ja) * 2003-04-21 2004-12-02 Sony Corp 端末機器認証システム、端末機器、第1の振り分けサーバ、振り分けシステム、サービスサーバ、第2の振り分けサーバ、端末機器方法、第1の振り分け方法、振り分け方法、サービス提供方法、サービスサーバ方法、第1の振り分け方法、第2の振り分け方法、端末機器プログラム、第1の振り分けプログラム、振り分けプログラム、サービスサーバプログラム、第2の振り分けプログラム、及び記憶媒体
JP4646509B2 (ja) * 2003-10-27 2011-03-09 株式会社東芝 情報保管サーバおよび情報保管プログラム
US7529371B2 (en) 2004-04-22 2009-05-05 International Business Machines Corporation Replaceable sequenced one-time pads for detection of cloned service client
KR100820669B1 (ko) * 2004-06-16 2008-04-10 엘지전자 주식회사 네트워크상에서의 디바이스에 대한 액세스 권한 설정과디바이스간의 인증을 위한 방법 및 장치
JP4664034B2 (ja) * 2004-10-15 2011-04-06 株式会社エヌ・ティ・ティ・ドコモ コンテンツ配信管理装置及びコンテンツ配信管理方法
JP4293111B2 (ja) * 2004-10-27 2009-07-08 株式会社デンソー カメラ駆動装置、カメラ駆動プログラム、幾何学形状コード解読装置、および幾何学形状コード解読プログラム

Also Published As

Publication number Publication date
JP2008146669A (ja) 2008-06-26
EP1898333A4 (en) 2009-09-23
CN100545852C (zh) 2009-09-30
CN101128831A (zh) 2008-02-20
WO2007066542A1 (ja) 2007-06-14
JP4681010B2 (ja) 2011-05-11
EP1898333A1 (en) 2008-03-12
US8181234B2 (en) 2012-05-15
JPWO2007066542A1 (ja) 2009-05-14
US20100017860A1 (en) 2010-01-21

Similar Documents

Publication Publication Date Title
JP4235676B2 (ja) 認証システム及び認証方法
EP2304636B1 (en) Mobile device assisted secure computer network communications
US8132020B2 (en) System and method for user authentication with exposed and hidden keys
JP4693171B2 (ja) 認証システム
US7603565B2 (en) Apparatus and method for authenticating access to a network resource
JP4907895B2 (ja) プライベートデータを露出せずに通信ネットワークを介してパスワードで保護されたプライベートデータを回復する方法およびシステム
KR101381789B1 (ko) 웹 서비스 사용자 인증 방법
WO2018025991A1 (ja) 通信システム、通信用クライアント、通信用サーバ、通信方法、プログラム
TW200810465A (en) Mutual authentication between two parties using two consecutive one-time passwords
MXPA03003710A (es) Metodos para cambiar a distancia una contrasena de comunicaciones.
CN112425118A (zh) 公钥-私钥对账户登录和密钥管理器
EP3513539B1 (en) User sign-in and authentication without passwords
US20100257359A1 (en) Method of and apparatus for protecting private data entry within secure web sessions
CN108616352B (zh) 基于安全元件的动态口令生成方法和系统
JP6627043B2 (ja) Ssl通信システム、クライアント、サーバ、ssl通信方法、コンピュータプログラム
CA2553081C (en) A method for binding a security element to a mobile device
KR101206854B1 (ko) 고유식별자 기반 인증시스템 및 방법
EP3289724B1 (en) A first entity, a second entity, an intermediate node, methods for setting up a secure session between a first and second entity, and computer program products
JP2008124987A (ja) 暗号通信装置及び暗号通信システム及び暗号通信方法及びプログラム
KR101379854B1 (ko) 공인인증서 패스워드를 보호하는 장치 및 방법
KR100382880B1 (ko) 일회성 암호화 방식을 이용한 인증 시스템 및 방법
JP2007058807A (ja) 認証システム及び方法
KR101576038B1 (ko) 사용자 신원 인증을 안전하게 보장하기 위한 네트워크 인증 방법
Nikose et al. Enhanced Preventation of Password Stealing using Biometric Factor

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20081202

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20081215

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111219

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees