説明

コンピューター及び同ネットワークにおける使用者ならびにアクセスを認証するための方法

【課題】コンピューター及びコンピューターネットワークシステムにおいて正規のユーザーか否かを識別するにあたり、一度限りの使い捨てパスワードを使用することによってこれを実現する。
【解決手段】 コンピューター及びコンピューターネットワークシステムにおいて正規のユーザー否かを識別する場合、システムは正規のユーザーしか所持していないコンピューター及びコンピューターネットワークシステムと直接つながっていない通信端末に使い捨てパスワードを送り、ユーザーはこの使い捨てパスワードをシステムに指定された方法によって返信する。

【発明の詳細な説明】
【0001】
【発明が属する技術分野】 本発明は、コンピューター及びコンピューターネットワーク、遠隔通信ネットワークのすべてにおいて使用されるパスワード認証のセキュリティーシステムに関する。
【0002】
【従来の技術】 コンピューター及び、あらゆるコンピューターネットワークに於いて、最近のユーザーの爆発的増加に伴いそのセキュリティーが問題となっている。これらユーザーに解放されたシステムにおいて特定のサービス許可及びアクセス権限を有するユーザーに対してはユーザー識別子としてユーザーIDならびに秘密のパスワードが広く用いられている。 しかしながらこのような識別子だけではもはやシステムに対しての安全を保証するには十分ではなくなっているのが現状である。
【0003】 現在広く普及しているコンピューター及び同ネットワークシステムにおいて、ユーザーはログイン時に於いて、ユーザーIDならびに秘密のパスワードを前記システムに送信しなければならない。 しかる後前記システムは、事前にシステムに組み込まれたユーザー識別子としてのユーザーID及びパスワードを照合し、一致した場合のみログインを許可されサービスが開始される。
【発明が解決しようとする課題】
【0004】 しかしながらこれらの方法に於いては、ユーザー自身のセキュリティー管理負担が非常に大きいのが現状であり、特にパスワード管理は困難を極めている。これは、ログイン及びログオンの毎にユーザーIDと秘密のパスワードの入力をシステムに求められ、これを実行するにあたり、多くのユーザーはユーザーIDや秘密のパスワードをメモしたりして他人に対してこれらを極秘にする努力を怠っている。 又一部の不正なアクセスを試みようとする者は、パスワード解析プログラムなどを用いて、正規ユーザーになりすましてアクセスしてログインしていることがある。
【0005】 従ってこれらの問題であるセキュリティーを確立するための1つの方法として、ユーザー自身がログイン時にユーザー自身が知らない使い捨てのパスワード■を前記コンピューター又は、同コンピューターネットワーク及び同コンピューターネットワークシステムから、システム端末を通さずにユーザーに知らしめ、そのパスワードを前記コンピューター又は、同コンピューターネットワーク及び同コンピューターネットワークシステムが要求する方法によって返信すれば可能である。
【課題を解決するための手段】
【0006】 本発明は、前記コンピューター及びコンピューターネットワーク、コンピューターネットワークシステムにおいて、ユーザーがユーザーIDとパスワード■を入力送信した後、前記コンピューター又は、同コンピューターネットワーク及び同コンピューターネットワークシステムは、前記コンピューター又は、同コンピューターネットワーク及び同コンピューターネットワークシステムから分離構成された公衆回線若しくは、非公衆回線を使用して、正規ユーザーがログイン設定時に登録した、正規ユーザー自身が常に所持している、文字表示が可能なポケットベルや携帯電話若しくは携帯無線機に対して、前記の使い捨てのパスワード■及び前記コンピューター又はコンピューターネットワーク及びコンピューターネットワークシステムに使い捨てパスワード■を返信する方法を送信し、使い捨てのパスワード■及び返信方法を受信した正規ユーザーは、それを速やかに前記コンピューター又は、同コンピューターネットワーク及び同コンピューターネットワークシステムが要求した方法に従って、システムに返信する。正規ユーザーによって制限時間内に返信された使い捨てパスワード■を、前記コンピューター又はコンピューターネットワーク及びコンピューターネットワークシステムは内部に設置されたユーザー識別プログラムに格納された使い捨てパスワード■と照合し同一であると確定したとき初めてログインを確立し、サービスを開始する。
【発明の実施の形態】
【0007】 本発明の1つの形態は、1台の独立したコンピューターCを複数のユーザーで使用する場合、若しくは、1台の独立したコンピューターCを管理運営しているユーザー以外の人間が操作可能な状態で設置されているコンピューターCがある場合、まずこのコンピューターCに対して正規のユーザーUとなる使用者はコンピューターCの設置開設時の新規ユーザー設定をする際に、通常の設定の他に以下の設定を行う。ユーザーUが常時所持しているポケットベルや携帯電話若しくは、携帯無線機などの携帯端末Pと通信可能なモデムなどの通信装置TをこのコンピューターCに設置する。次にこのコンピューターCのユーザー識別プログラムへ新規ユーザーUがデータ送信可能ないくつかの方法を登録し通常使用状態とする。
【0008】 前記コンピューターCにおいて、通常起動もしくは、操作開始時にコンピューターCはユーザーに対しユーザーID及びパスワード■の入力を要求する。要求を受けたユーザーはユーザーIDならびにパスワード■を入力する。入力を受けたコンピューターCはこのユーザーIDならびにパスワード■をコンピューター内部に設置されたユーザー識別プログラムによって照合し正規のユーザーUである可能性を認め、次にこのコンピューターC内部に設置されたユーザーパスワード生成プログラムによって第2の使い捨てパスワード■を生成し、この使い捨てパスワード■を正規ユーザーUによるコンピューターCへの返信方法と制限時間を決定する。この新たに生成された使い捨てパスワード■及びそのユーザーUの返信方法をコンピューター内部に設置されたモデムなどの通信装置Tを介して、正規ユーザーUがこのコンピューターの設置開設時に設定したユーザー自身が常時所持する文字表記が可能なポケットベルや携帯電話、携帯無線機などの携帯端末Pに発信する。 このパスワード■と返信方法を受け取った正規ユーザーUは、速やかに指定された方法によってパスワード■をコンピューターCに返信する。コンピューターCはパスワード■の生成時に決定した方法でのみこれを受信し、且つ制限時間内に受信された場合のみコンピューターCに設置されたユーザー識別プログラムによってパスワード■の照合を行う。この照合が成功した場合、このパスワード■を返信したユーザーUは正規ユーザーUであることが認められ、このコンピューターCの操作を認められる。
【0009】 次の形態は、図2のような複数のコンピューターで構成されたネットワークにあって、これ等のコンピューターを管理するサーバーコンピューターが存在しない閉ざされたネットワークシステムNWにおいて、このネットワーク内のコンピューターNWC1の正規ユーザーNU1に対してコンピューターNWC2がサービス提供しようとする場合、コンピューターNWC1の正規ユーザーNU1がこのネットワークNWに新規加入する時点の設定において、通常の設定の他に以下の設定を行う。 ユーザーNU1が常に所持している文字表記が可能なポケットベルや携帯電話若しくは、携帯無線機などの携帯端末Pと通信可能なモデムなどの通信装置TをコンピューターNWC2に設置する。この通信装置TのコンピューターNWC2内への設置が不可能な場合、ネットワーク上のコンピューターNWC2からネットワークコントロールが可能な何れかのコンピューターNWCに設置する。次に新規ユーザーNU1は、サービスを提供するコンピューターNWC2のユーザー識別プログラムへのいくつかのデータ送信可能な方法を登録し通常使用状態とする。
【0010】 前記コンピューターNWC2がコンピューターNWC1の正規ユーザーNU1からのサービス要求を受けたとき、コンピューターNWC2はユーザーNU1に対し、ネットワーク加入時に与えられたユーザーID及びパスワード■の送信を要求する。要求を受けたユーザーNU1はユーザーID及びパスワード■をコンピューターNWC2に対してネットワークを通して送信する。このユーザーID及びパスワード■を受信したコンピューターNWC2はユーザー識別プログラムによって正規のユーザーNU1である可能性を認め、コンピューターNWC2内に設置されたユーザーパスワード生成プログラムによって第2の使い捨てパスワード■を生成し、前記ユーザーNU1からコンピューターNWC2への使い捨てパスワード■の送信方法ならびに送信の制限時間を設定する。次にコンピューターNWC2はネットワークNW内の何れかのコンピューターNWC内部に設置されたモデムなどの通信装置T使って公衆回線及び非公衆回線の何れかを利用して、ユーザーNU1がコンピューターNWC1を界してユーザー加入時に設定した正規のユーザーNU1が所持する文字表記が可能なポケットベルや携帯電話、携帯無線機などの携帯端末Pに、使い捨てパスワード■ならびにユーザーNU1からコンピューターNWC2への送信方法を発信する。 このパスワード■と送信方法を受け取ったユーザーNU1は、速やかに指定された方法によってパスワード■をネットワークコンピューターNWC2に送信する。ネットワークコンピューターNWC2はパスワード■の生成時に決定した方法でのみこれを受信し、且つ制限時間内に受信された場合ネットワークコンピューターNWC2内に設置されたユーザー認識プログラムによってパスワード■の照合を行う。この照合が成功した場合、このパスワード■を発信したユーザーNU1は正規のネットワークユーザーNU1であることが認められ、このネットワークコンピューターNWC2のサービスを受けることを認められる。
【0011】 さらなる次の形態は、多数のコンピューターで構成され、コンピューターネットワークを管理するサーバーコンピューターが存在するインターネットやこれに類似するようなネットワークシステムINWSにおいて、このネットワークのサーバーコンピューターは、このネットワークから分離された公衆回線若しくは非公衆回線を利用するモデムなどの通信装置Tを設置する。次に新規若しくは、既存のユーザーINUがユーザー登録設定時に、従来の設定の他にユーザーINUが常時所持使用できるポケットベルや携帯電話若しくは携帯無線機などの携帯端末P及び、ユーザーINUがサーバーコンピューターと通信可能な幾つかの方法を登録する。
【0012】 前記ネットワークINWSの正規ユーザーINUがINWS上のサーバーコンピューターINWSCのサービスを受けようとしたとき、サーバーコンピューターINWSCはユーザーINUに対しネットワーク加入時に与えられたユーザーID及びパスワード■の送信を要求する。要求を受けたユーザーINUはユーザーID及びパスワード■をサーバーコンピューターINWSCにネットワークを通して送信する。ユーザーINUのユーザーID及びパスワード■を受信したサーバーコンピューターINWSCは、サーバーコンピューターINWSC内に設置されたユーザー識別プログラムによって照合し、正規のユーザーINU1である可能性を認める。次にこのサーバーコンピューターINWSCはサーバーコンピューターINWSC内のパスワード生成プログラムによって使い捨てパスワード■を生成し、ユーザーINUからサーバーコンピューターINWSCへの通信方法と制限時間を決定する。この生成された使い捨てパスワード■と決定された通信方法は、サーバーコンピューターINWSC内に設置されたこのネットワークから分離されたモデムなどの通信装置TによってユーザーINUのネットワーク加入時に設定されたユーザーINUが常時所持しているポケットベルや携帯電話若しくは、携帯無線機などの携帯端末Pに送信される。これを受信したユーザーINUは、サーバーコンピューターINWSCから指示された方法によって使い捨てパスワード■をサーバーコンピューターINWSCに速やかに送信する。 サーバーコンピューターINWSCはユーザーINUに指示した方法によってのみ制限時間内だけ使い捨てパスワード■の受信を待機する。 指示通り制限時間内にユーザーINUから使い捨てパスワード■を受信したサーバーコンピューターINWSCは、サーバーコンピューターINWSC内に設置されたユーザー識別プログラムによってユーザー識別が行われ、使い捨てパスワード■が正当と識別されたに場合ユーザーINUはこのネットワークの正規のユーザーINUであると認められ、このサーバーコンピューターINWSCが管理するネットワーク内のサービスを受けることが許される。
【0013】 前記のそれぞれの正規のユーザーがサービスを継続しているとき、そのユーザーが正規のユーザーであることを再び確認する必要がある場合、前記システム内のユーザー識別プログラムはその都度新たなる使い捨てパスワード■とその送信方法および送信の制限時間を決定し、サービスをいったん停止して、その必要をユーザーに知らしめる。システムにあっては、システム内に設置された前記ユーザーの携帯端末Pと通信可能なモデムなどの通信装置Tを通してユーザーに送信する。 この使い捨てパスワード■を受信したユーザーは速やかに指定された方法によって前記システムに送信する。 使い捨てパスワード■を制限時間内で受信した前記システムは、システム内のユーザー認識プログラムによってこれを判定し、一致した場合前記ユーザーはシステムの正規のユーザーであることを確認して、サービスを継続する。
【0014】 又、前記のそれぞれのシステムに於いて、ユーザー識別プログラムが使い捨てパスワード■若しくは■の識別に失敗した場合、この失敗は正規のユーザー以外のユーザーからのアタックがあったとシステムは判断し、この不正ユーザーからのアクセスをすべて切断するとともにこの不正ユーザーのあらゆる情報を記録する。その後、前記のそれぞれの正規ユーザーに対してユーザーIDおよびパスワード■の不正使用があったことを速やかに警告する。
【0015】 ここに記載された発明は、単に発明の原理を開示したものでしかなく、現実に実装する場合は、本発明の精神および範囲から逸脱しない範囲で様々な修正や付加が可能である。たとえばユーザーがパスワード■若しくは■をシステムに返信する方法の場合を考えてみる。システムはまずシステム内にモデムなどの通信装置2台を設置し、モデム1からユーザーの携帯端末Pへパスワード■およびシステム内のモデム2に接続された電話番号に電話をしてパスワード■を送信するという方法をユーザーに送信する。このパスワード■と送信方法を受信したユーザーは、指定されたとおりシステム内のモデム2に接続された電話番号に電話をし、この電話を通してパスワード■を送信する。 勿論システムは、システム内でのモデム2だけでユーザーからのパスワード■の送信を待っている。他の、キーボードやマウスなどからの入力は受け付けない。 このようにこの発明の精神に従った応用はいろいろと考えられ、より安全なシステムとなりうる。
【0016】
【発明の効果】 以上述べたように、本発明によれは、コンピューターおよびコンピューターネットワークを利用するにあたり、少なくとも不正なユーザーによるパスワード破りという暴力から守ることができる。
【図面の簡単な説明】
【図1】本発明の概念を簡単に示し、その一連の流れを簡単に説明した図である。(実施例2)

【特許請求の範囲】
【請求項1】 不特定な使用者が存在するコンピュータ及び、同ネットワーク、同ネットワークシステムにおいて、特定された正規のアクセス権を有するユーザーが存在し、それらの正規ユーザー管理を必要とするコンピューター及び、同ネットワーク、同ネットワークシステムへのアクセスに対し、正規のアクセス権限を有するアクセスであるかどうかを決定する方法において、従来の技術におけるユーザーIDとパスワード入力による認証が行われた後、コンピュータ及び、同ネットワーク、同ネットワークシステムへのアクセス管理をしているコンピューターが2つ目の使い捨てパスワード■を生成し、ユーザー側の返信方法ならびに返信されるまでの制限時間を決定する。此を前記コンピューター及び、同ネットワーク、同ネットワークシステムから分離構成された公衆回線若しくは、非公衆回線を用いて、前記のシステムの正規のアクセス権限を有するユーザーが常時所持する文字表示が可能なポケットベル(登録商標)又は、携帯電話及び携帯無線などの携帯端末に2番目の使い捨てパスワード■とユーザー側の送信方法を送信するステップと、同システムにあっては、2番目の使い捨てパスワード■の指定した方法によるユーザーによる入力を要求し、この2番目の使い捨てパスワード■と送信方法を受信した前記のシステムの正規ユーザーが、同システムに対してこの2番目の使い捨てパスワード■を指定された方法によって送信した後、此を制限時間内に受信した前記のシステムにおけるコンピューター又はコンピューターネットワーク及びコンピューターネットワークシステムが此を送信したユーザーに対しアクセスを許可しサービスを開始する方法。
【請求項2】 前記コンピューター及び同ネットワーク、同システムにおいてアクセス許可が継続中であってもランダムな時間経過時若しくは、正規ユーザーであることの確認の必要が生じた場合に、前記コンピューター及び同ネットワーク、同システムのユーザー識別プログラムは、現在サービスを受けているユーザーが正規のユーザーであることを確認するために、新たなる次の使い捨てパスワード■を生成し、前記正規ユーザーがログイン時に使用した携帯端末に新たなる次の使い捨てパスワード■とユーザー側の使い捨てパスワード■の前記コンピューター及び同ネットワーク、同システムへの返信方法を送信し、システムは使い捨てパスワード■の入力を制限時間内に要求する。 此を受信したユーザーは同システムに対して速やかに此を制限時間内に指定された方法によって使い捨てパスワード■を返信し、同システムは、指定した方法によってのみ受信待機し、サービスを一時停止する。この使い捨てパスワード■を受信した同システムは、使い捨てパスワード■の認証を行い、一致した場合のみ同システムはアクセス許可を継続しサービスも再開する、請求項1記載の方法。
【請求項3】 請求項1及び請求項2に記載された方法に於いて、これらの方法でのユーザー識別の失敗があり、正規のアクセス権限を有しないユーザーからのアクセスがあった場合、同システムの正規のアクセス権限を有するユーザーならびにシステム管理者に対して、事前にシステムに登録されている方法による警報を発信するとともに、正規のアクセス権限を有しないユーザーの接続を速やかに切断し、このユーザー情報を個別に記録する方法。

【図1】
image rotate


【公開番号】特開2001−290554(P2001−290554A)
【公開日】平成13年10月19日(2001.10.19)
【国際特許分類】
【出願番号】特願2000−107707(P2000−107707)
【出願日】平成12年4月10日(2000.4.10)
【出願人】(399053564)
【Fターム(参考)】