ユーザ認証システムおよび方法
【課題】フィッシングによってパスワードの搾取を防止でき、更に、ユーザが利用するアプリケーションごとにパスワードを設定できるユーザ認証システムを提供する。
【解決手段】サーバ2には、ユーザごとに画像情報261と、更に、アプリケーションを特定する情報に関連付けて、画像情報261の任意の一部の画像である参照画像情報と参照パスワードが記憶されている。パスワードを用いたユーザ認証を実施する前に、クライアント1に画像情報261を表示させる。そして、サーバ2は、クライアント1に表示されている画像情報261の任意の一部をユーザに指定させ、ユーザが指定した画像を認証画像情報として取得し、ユーザが利用するアプリケーションの参照画像情報と認証画像情報を照合する。そして、サーバ2は、認証画像情報の照合に成功した場合のみ、ユーザが利用するアプリケーションの参照パスワードを用いたユーザ認証を実施する。
【解決手段】サーバ2には、ユーザごとに画像情報261と、更に、アプリケーションを特定する情報に関連付けて、画像情報261の任意の一部の画像である参照画像情報と参照パスワードが記憶されている。パスワードを用いたユーザ認証を実施する前に、クライアント1に画像情報261を表示させる。そして、サーバ2は、クライアント1に表示されている画像情報261の任意の一部をユーザに指定させ、ユーザが指定した画像を認証画像情報として取得し、ユーザが利用するアプリケーションの参照画像情報と認証画像情報を照合する。そして、サーバ2は、認証画像情報の照合に成功した場合のみ、ユーザが利用するアプリケーションの参照パスワードを用いたユーザ認証を実施する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、パスワードを利用したユーザ認証システムおよび方法に関し、更に詳しくは、画像情報を用いたユーザ認証システムおよび方法に関する。
【背景技術】
【0002】
不正なユーザのアクセスを防止すべく、パーソナルコンピュータ(以下、PC)やネットワークにログインする際に、ログインする各ユーザの認証を必要とするケースが増えている。ユーザ認証としては、パスワードによるユーザ認証が用いられることが一般的である。
【0003】
図7は、パスワードを用いてユーザを認証するときに表示されるパスワード入力画面の一例で、ユーザ認証時には、図7のパスワード入力画面でユーザの識別情報であるユーザID(図7では、ABCDEF)とパスワード(図7では、01234567)が入力され、図7のパスワード入力画面に入力されたパスワードと予めPCやサーバなどに記憶されたユーザのパスワードとが照合され、ユーザは認証される。
【0004】
しかし、上述したパスワードベースのユーザ認証では、パスワードを簡単なもの(例えば、ユーザの誕生日)にすると、パスワードが他人から容易に推測される危険性が高くなるし、複雑なものにすると、パスワード入力が面倒になるばかりかユーザがパスワードを忘れる危険性が高くなる。
【0005】
特許文献1では、ユーザにとって暗記し易く且つ改良されたパスワードベースのユーザ認証方式が開示されている。特許文献1で開示されているユーザ認証方式は、音楽を利用した認証方式で、パスワードを入力キーの順序に合わせてメロディを記憶しておき、ユーザがパスワードをキー入力するときのメロディから、キー入力の正否を判断する発明である。特許文献1の技術を用いることで、ユーザは長いパスワードを暗記し易くかつ第三者に盗用し難くなる。
【特許文献1】特開平10−283321号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
しかしながら、特許文献1の発明を用いるなどして、長いパスワードを利用することでセキュリティのレベルを向上させたとしても、正規のWebサイトを装いパスワードなどの情報を搾取するフィッシング(phishing)によって被害を受ける可能性がある。
【0007】
そこで、本発明は、パスワードベースのユーザ認証システムにおいて、フィッシングによってパスワードの搾取を防止でき、かつ、ユーザが利用するアプリケーションごとにパスワードを設定できるユーザ認証方法およびユーザ認証システムを提供することを目的とする。
【課題を解決するための手段】
【0008】
上述した課題を解決する第1の発明は、パスワードを用いたユーザ認証方法であって、前記ユーザ認証方法は、
ユーザを認証する前に、前記ユーザごとに画像情報と、さらに、前記ユーザが利用するアプリケーションごとに前記画像情報の一部の画像である参照画像情報とパスワードが設定され、
前記ユーザを認証するときは、
認証するユーザに設定されている画像情報を表示するステップa、
前記画像情報の任意の一部を矩形や円もしくはそれに縛られない形で前記ユーザが指定した画像を認証画像情報として取得するステップb、
前記ユーザが利用するアプリケーションに予め設定されている前記参照画像情報と前記認証画像情報とを照合するステップc、
前記認証画像情報の照合に成功した場合のみ、前記ユーザが利用するアプリケーションに設定された前記パスワードを用いてユーザ認証するステップd、
が順に実行されることを特徴とする。
【0009】
更に、第2の発明は、第1の発明に記載のユーザ認証方法であって、前記参照画像情報と前記認証画像情報との照合に、予め設定された回数だけ連続して失敗した後は、前記ステップa以降のステップが実行されないことを特徴とする。
【0010】
更に、第3の発明は、第1の発明または第2の発明に記載のユーザ認証方法であって、前記ステップaでは、前記参照画像情報に加え、前記画像情報から前記参照画像情報を除いた箇所を矩形や円またはそれに縛られない形で複数に区切った状態で表示し、前記ステップbでは、表示される複数の画像の中から前記ユーザが選択した一つの画像を前記認証画像情報として取得することを特徴とする。
【0011】
更に、第4の発明は、第1の発明から第3の発明のいずれかに記載のユーザ認証方法であって、前記アプリケーションには、複数の前記参照画像情報と、それぞれの前記参照画像情報が照合に利用する順番とが設定され、前記ステップbと前記ステップcが繰り返し実行され、設定された順番通りに、すべての前記参照画像情報を利用した照合に成功した場合のみ、前記ステップdが実行されることを特徴とする。
【0012】
更に、第5の発明は、パスワードを用いてユーザを認証するユーザ認証システムであって、前記ユーザ認証システムは、少なくとも、前記ユーザを識別するための情報であるユーザ識別情報に関連付けて画像情報が記憶され、更に、前記ユーザが利用するアプリケーションを特定するアプリケーション特定情報に関連付けて、前記画像情報の一部の画像である参照画像情報と前記ユーザが設定したパスワードである参照パスワードとを記憶し、
前記ユーザ認証システムは、認証する前記ユーザの前記ユーザ識別情報に関連付けられた前記画像情報を表示する画像表示手段、前記画像表示手段に表示された前記画像情報の任意の部分を矩形や円もしくはそれに縛られない形で前記ユーザが指定した画像を認証画像情報として取得する認証画像取得手段と、前記ユーザが利用する前記アプリケーションの前記アプリケーション特定情報に関連付けられて記憶している前記参照画像情報と前記認証画像情報とを照合する認証画像照合手段と、前記参照パスワードと照合するためのパスワードである認証パスワードを前記ユーザから取得するパスワード取得手段、前記ユーザが利用する前記アプリケーションの前記アプリケーション特定情報に関連付けられて記憶している前記参照パスワードと前記認証パスワードを照合するパスワード照合手段を備え、前記ユーザ認証システムは、前記認証画像照合手段が前記認証画像情報の照合に成功したときのみ、前記パスワード取得手段および前記パスワード手段を用いてユーザ認証を実行することを特徴とする。
【0013】
更に、第6の発明は、第5の発明に記載のユーザ認証システムであって、前記ユーザ認証システムは、少なくとも、前記ユーザが操作するクライアントと、前記クライアントとネットワークを介して接続されたサーバとから構成され、前記クライアントは前記画像表示手段とを備え、前記画像表示手段以外の手段は前記サーバに備えられていることを特徴とする。
【0014】
更に、第7の発明は、第6の発明に記載のユーザ認証システムにおいて、前記サーバは、参照画像情報と前記認証画像情報との照合に連続して失敗した回数を記憶し、前記参照画像情報と前記認証画像情報との照合に連続して失敗した回数が所定の値を超えた場合、ユーザ認証を実行しないことを特徴とする。
【0015】
更に、第8の発明は、第6明または第7発明に記載のユーザ認証システムにおいて、前記サーバに備えられた前記パスワード取得手段は、前記認証パスワードを入力する画面を前記クライアントに送信することで、前記クライアントから前記認証パスワードを取得する手段であることを特徴とする。
【0016】
更に、第9の発明は、第6の発明または第7の発明に記載のユーザ認証システムにおいて、前記認証パスワードは前記クライアントに予め記憶され、前記サーバに備えられた前記パスワード照合手段は、記憶された前記認証パスワードを前記クライアントから取得する手段であることを特徴とする。
【0017】
更に、第10の発明は、第6の発明から第9の発明のいずれかに記載のユーザ認証システムであって、前記認証情報取得手段は、前記参照画像情報に加え、前記画像情報から前記参照画像情報を除いた箇所を矩形や円またはそれに縛られない形で区切った複数の画像を前記画像表示手段で表示し、前記画像表示手段に表示される複数の画像の中から前記ユーザが選択した一つの画像を前記認証画像情報として取得する手段であることを特徴とする。
【0018】
更に、第11の発明は、第6の発明から第10の発明のいずれかに記載のユーザ認証システムであって、前記サーバは、一つの前記アプリケーション特定情報に関連付けられて、複数の前記参照画像情報と、それぞれの前記参照画像情報を照合に利用する順番を記憶し、前記サーバは、前記認証画像取得手段が前記認証画像情報を取得するごとに、前記認証画像照合手段は、記憶された順番通りに前記参照画像情報を利用して前記認証画像情報を照合し、記憶された順番通りに、すべての前記参照画像情報を利用した照合に成功した場合のみ、前記パスワード取得手段および前記パスワード手段を用いてユーザ認証を実行することを特徴とする。
【発明の効果】
【0019】
上述した本発明によれば、パスワードを用いてユーザを認証する前には、ユーザには必ず前記画像情報が表示されるため、正規のサーバを装ったフィッシング行為の実施が困難になる。また、表示されている前記画像情報の一部を前記認証画像情報として取得し、前記認証画像情報を照合することでユーザ認証システムのセキュリティをより高めることができる。
【0020】
更に、前記ユーザが利用する前記アプリケーションを特定する情報である前記アプリケーション特定情報に関連付けて、前記参照画像情報と前記参照パスワードを記憶しておくことで、ユーザが利用するアプリケーションごとにパスワードを設定できる。
【0021】
更に、参照画像情報と前記認証画像情報との照合に連続して失敗した回数を記憶し、前記回数を超えて前記参照画像情報と前記認証画像情報との照合に連続して失敗した場合、ユーザ認証を実施しないことで、なりすまし行為による不正アクセスを防止できる。加えて、複数個の前記参照画像情報を利用することで、セキュリティを高めることができ、前記画像情報が分割された複数の画像の中から前記認証画像情報を選択させることで、前記認証画像情報の選択を容易にすることができる。
【0022】
更に、前記クライアントに前記認証パスワードを記憶することで、前記ユーザは前記認証パスワードを入力する必要がなくなるため、長い前記認証パスワードを利用できるようになる。
【発明を実施するための最良の形態】
【0023】
ここから、本発明に係るユーザ認証システムについて、図を参照しながら詳細に説明する。図1は、本発明が適用されたクライアントサーバシステムを説明する図である。図1に示したように、クライアントサーバシステムは、情報資源を記憶・管理するサーバ2と、ネットワーク3を介してサーバ2に接続し、サーバ2に記憶された情報資源を利用するクライアント1とから、少なくとも構成されている。
【0024】
図1では、本発明を分かり易く説明するために、クライアント1を1台としている。実際には、ネットワーク3を介して複数のクライアント1がサーバ2に接続される。なお、図1ではサーバ2を1台のサーバで構成されているかのように図示しているが、サーバ2はアプリケーションサーバなどを備えた複数台のサーバで構成されていてもよい。更に、図1では、HUBやルータなど、本発明の説明に必要とされない装置は省略している。
【0025】
サーバ2は、社内Webシステムで公開されている情報、文書作成ソフトで作成された文書情報、表計算ソフトで作成された表情報などの複数の情報資源を記憶している。
【0026】
サーバ2に記憶している情報資源の利用を正当なユーザに対してのみ許可するために、クライアント1がネットワーク3を介してサーバ2の情報資源にアクセスする際、サーバ2はパスワードを用いたユーザ認証を実施し、このユーザ認証に本発明は適用されている。
【0027】
サーバ2は、ユーザ認証時に利用する情報として、ユーザごとに画像情報を記憶し、更に、情報資源を利用するときにユーザが利用するアプリケーションごとに、矩形や円もしくはそれに縛られない形で選択した画像情報の任意の一部をユーザの参照画像情報として記憶している。
【0028】
更に、サーバ2には、ユーザ認証時に利用する情報として、参照画像情報に関連付けて、ユーザが情報資源を利用するときに実行されるアプリケーションごとに、ユーザが予め設定したパスワードである参照パスワードが記憶されている。
【0029】
例えば、ユーザが社内Webシステムで公開されている情報を閲覧するときは、社内用Webシステムがアプリケーションとなり、また、文書情報または表情報を閲覧するときは、文書作成ソフトまたは表計算ソフトがアプリケーションとなる。
【0030】
ユーザがサーバ2の情報資源を利用するときはパスワードを用いたユーザ認証を必要とし、サーバ2は、パスワードを用いたユーザ認証を実施する前に、認証するユーザの画像情報をクライアント1に送信し、画像情報をクライアント1のディスプレイ10に表示する。
【0031】
次に、サーバ2は、クライアント1のディスプレイ10に表示された画像情報の任意の一部を矩形や円もしくはそれに縛られない形でユーザに指定させ、ユーザが指定した情報を認証画像情報として取得する。
【0032】
そして、サーバ2は、ユーザが情報資源を利用するときに動作するアプリケーションに設定されている参照画像情報と認証画像情報との照合に成功した場合のみ、このアプリケーションに設定されているパスワードを用いたユーザ認証を実施し、ユーザ認証に成功した場合のみ、このアプリケーションを利用して情報資源へのアクセスを許可する。
【0033】
このように、本実施の形態によれば、パスワードを用いてユーザを認証する前には、クライアント2に必ず画像情報が表示されるため、正規のサーバ2を装ったフィッシング行為の実施が困難になる。
【0034】
また、クライアント2で再生されている画像情報の任意の一部を矩形や円もしくはそれに縛られない形でユーザに指定させ、指定した情報を認証画像情報として取得し、認証画像情報を照合することでユーザ認証のセキュリティをより高めることができる。
【0035】
なお、サーバ2は、ユーザが利用する情報資源から、ユーザが利用するアプリケーションを特定するため、ユーザが利用するアプリケーションはサーバ2に記憶されていてもよく、また、クライアント1に記憶されていてもよい。
【0036】
図2は、図1で示したクライアントサーバシステムのブロック図である。
【0037】
サーバ2には、クライアント2から認証画像情報を取得する認証画像取得手段24と、クライアント2から認証パスワードを取得するパスワード取得手段22と、認証画像情報を照合する認証画像照合手段23と、認証パスワードを照合するパスワード照合手段21と、クライアント1に送信する画像情報261などの情報が記憶される情報記憶手段26と、クライアント1を操作しているユーザ識別情報260を取得するユーザ識別情報取得手段25と、サーバ2の全体を制御する制御手段20とを備えている。
【0038】
サーバ2の情報記憶手段26はハードディスクなどの情報記憶装置で実現され、ユーザが利用する複数の情報資源263を記憶し、ユーザ認証に利用する情報として、ユーザを識別するユーザ識別情報260に関連付けて、クライアント1に送信する画像情報261と、参照画像情報などを含む参照テーブル262を記憶している。
【0039】
図3は、参照テーブル262を説明する図である。参照テーブル262には、ユーザが利用するアプリケーションを特定するための情報であるアプリケーション特定情報264に関連付けて、画像情報261の任意の一部を矩形や円もしくはそれに縛られない形でユーザが予め指定した参照画像情報265と、図7のパスワード入力画面などによって、ユーザが予め設定したパスワードである参照パスワード266が記憶されている。
【0040】
なお、図3でアプリケーション特定情報264とは、クライアント1がアクセスする情報資源263に付加され、ユーザが利用するアプリケーションを特定するための情報としている。
【0041】
例えば、情報資源が、ユーザが社内Webシステムで公開されている情報であるときは、社内WebシステムのホームページのURLがアプリケーション特定情報264となり、文書情報または表情報であるときは、文書情報または表情報のファイル名に付加された拡張子がアプリケーション特定情報264となる。
【0042】
図4は、クライアント1からサーバ2に送信される画像情報261と参照画像情報265を説明する図である。クライアント1からサーバに送信される画像情報261は、管理者もしくはユーザによって予めサーバ2に登録される。
【0043】
加えて、サーバ2に登録された画像情報261の任意の一部を矩形や円もしくはそれに縛られない形をユーザが予め指定し、ユーザが予め指定した画像情報261の一部が参照画像情報265として登録される。
【0044】
図4においては、社内Webシステムの参照画像情報265として星図形が設定され、文書作成ソフトの参照画像情報265として左目が設定され、更に、表計算ソフトの参照画像情報265として右目が設定されている。
【0045】
図2において、サーバ2のユーザ識別情報取得手段25、認証画像取得手段24およびパスワード取得手段22はそれぞれ、クライアント1上で動作するアプリケーションで、例えば、マイクロソフト社のActiveX(登録商標)などのプログラムで実現される。また、認証画像照合手段23とパスワード照合手段21は、サーバ2上で動作するアプリケーションである。
【0046】
サーバ2のユーザ識別情報取得手段25とは、クライアント1を操作しているユーザを識別するための情報であるユーザ識別情報260を取得する手段で、ユーザからクライアント1を用いて情報資源263にアクセスするときに、サーバ2からクライアント1に送信される。
【0047】
図5は、ユーザ識別情報取得手段25がクライアント上で動作したときに表示される画面の一例で、ユーザ識別情報取得手段25は、図5の入力欄25aに入力された情報をユーザ識別情報260としてクライアント1からサーバ2に送信する。
【0048】
サーバ2の認証画像取得手段24は、ユーザ識別情報取得手段25が取得したユーザ識別情報260に関連付けられ情報記憶手段26に記憶されている画像情報261をクライアント1のディスプレイ10に表示させる機能と、クライアント1に表示した画像情報261の任意の一部を矩形や円もしくはそれに縛られない形でユーザに指定させ、ユーザが指定した画像情報261の一部を参照画像情報265として取得する機能とを備えている。
【0049】
図6は、認証画像取得手段24が動作したときにブラウザ10に表示される画面の一例である。クライアント1の画面には、図4で説明した画像情報261と、ユーザが指定した認証画像情報をサーバ2に送信するためのボタン24aが表示される。
【0050】
ユーザが認証画像情報を指定するときは、ポインタ24bを用いて画像情報261の任意の一部を指定した後、ボタン24aを選択する。ボタン24aが選択されると、ポインタ24bによって指定された画像情報261の一部が認証画像情報としてサーバ2に送信される。
【0051】
サーバ2の認証画像照合手段23とは、認証画像取得手段24が取得した認証画像情報と、ユーザが利用するアプリケーションのアプリケーション特定情報264に関連付けて記憶している参照画像情報265とを照合する手段である。
【0052】
ユーザが認証画像情報を手動で指定する場合は、認証画像照合手段23は、認証画像情報の指定誤差を考慮して照合することが望ましい。例えば、認証画像照合手段23は認証画像情報の特徴量と、参照画像情報265の特徴量をそれぞれ演算比較し、それぞれの特徴量の誤差が事前に設定された範囲内であれば、認証画像情報と参照画像情報265とは一致すると判断する。
【0053】
サーバ2のパスワード取得手段22とは、例えば、図7で示したパスワード入力画面をクライアント2に表示し、図7の入力欄22aにユーザが入力した情報を参照パスワード266として取得する手段である。
【0054】
サーバ2のパスワード照合手段21は、参照画像情報265に関連付けて記憶された参照パスワード266と、パスワード取得手段22が取得した認証パスワードとを照合する手段である。パスワードを照合する手法は汎用な技術であるため、詳細は省く。
【0055】
ここから、サーバ2の制御手段20が、サーバ2に備えられた手段を利用してユーザ認証する手順について説明する。図8は、サーバ2がユーザ認証する手順を示したフロー図である。
【0056】
この手順の最初のステップS1は、サーバ2がアプリケーションを特定するステップである。このステップでは、サーバ2は、クライアント1から情報資源263へのアクセス要求を受信すると、参照テーブル262を参照し、アクセス要求された情報資源263用のアプリケーションを特定する。
【0057】
次のステップS2は、ステップS1で特定したアプリケーションに設定されているパスワードが照合済みであるか確認するステップである。このステップでは、サーバ2は、アプリケーションに設定されているパスワードの照合に成功した情報が、情報記憶手段26に記憶されていないか確認する。
【0058】
パスワードの照合に成功した情報が記憶されている場合はステップS8に進み、記憶されていない場合はステップS3に進み。
【0059】
ステップS3は、クライアント1からユーザ識別情報260を取得するステップである。このステップでは、
【0060】
制御手段20はユーザ識別情報取得手段25をクライアント1に送信し、ユーザ識別情報取得手段25はクライアント2で動作する。
【0061】
ユーザ識別情報取得手段25がクライアント2で動作すると、例えば、図5の画面がクライアント2のディスプレイ10に表示され、ユーザ識別情報取得手段25は、図5の入力欄25aに入力された情報をユーザ識別情報260としてサーバ2に送信する。
【0062】
次のステップS4は、サーバ2が認証画像情報を取得するステップである。サーバ2がユーザ識別情報260を取得すると、制御手段20は、取得したユーザ識別情報260に関連付けられて情報記憶手段26に記憶されている画像情報261および認証画像取得手段24とを、クライアント1に送信する。
【0063】
クライアント1に送信された認証画像取得手段24はクライアント1で動作し、例えば、画像情報261として図6の画面をディスプレイ10に表示する。そして、ユーザがポインタ24bによって画像情報261の一部を指定し、ボタン24aが選択されると、ユーザが指定した画像情報261の一部を認証画像情報として認証画像取得手段24はサーバ2に送信する。
【0064】
次のステップS5は、認証画像情報を照合するステップである。制御手段20は、クライアント1から認証画像情報を取得すると、ステップS3で取得したユーザ識別情報260に関連付けられて記憶され、更に、ステップS1で特定したアプリケーションに設定されている参照画像情報265と認証画像情報とを照合する。このステップにおいて、照合に失敗した場合はこの手順を終了し、照合に成功した場合はステップS6に進む。
【0065】
認証画像情報の照合に成功した場合に実行されるステップS6は、認証パスワードを取得するステップである。制御手段20は、認証画像情報と参照画像情報265との照合に成功すると、パスワード取得手段22をクライアント1に送信し、パスワード取得手段22はクライアント1で動作する。
【0066】
パスワード取得手段22がクライアント1で動作すると、例えば、図7の画面がブラウザ10上に表示され、図7の入力欄22aに入力された情報を認証パスワードとして取得し、取得したパスワードをサーバ2に送信する。
【0067】
次のステップS7は、認証パスワードを照合するステップである。制御手段20は、ステップS1で特定したアプリケーションに設定されている参照パスワード266と認証パスワードとを照合する。このステップにおいて、照合に失敗した場合はこの手順を終了し、照合に成功した場合はステップS8に進み、ステップS8ではクライアント1のサーバへのアクセスが許可され、この手順は終了する。
【0068】
なお、上述した実施の形態において、サーバ2の制御手段20は、連続して認証画像情報の照合に失敗できる回数を示すリトライ回数を記憶し、リトライ回数を超えて認証画像情報の照合に連続して失敗した場合、制御手段20は認証画像照合手段23を作動させないことが望ましい。
【0069】
更に、上述した実施の形態において、認証パスワードがクライアント1に記憶されていてもよい。このときは、パスワード取得手段22はクライアント1からパスワードを取得する手段になる。
【0070】
図9は、パスワード取得手段22が作動したときにディスプレイ10に表示され、クライアント1に記憶したパスワードを送信する画面の一例で、図9の送信ボタン22bが選択されたときに、パスワード取得手段22は、クライアント2に記憶された認証パスワードをサーバ2に送信する。
【0071】
また、本発明では、サーバ2に備えられた認証画像照合手段23と認証画像取得手段24のそれぞれのプログラムを変更することで、認証画像情報と参照画像情報265との照合方法に更に特徴をもたせることもできる。
【0072】
(変形例1)
ユーザ認証に利用する参照画像情報265として、アプリケーションごとに一つの参照画像情報265を記憶していたが、ユーザ認証に利用する参照画像情報265を複数設定してもよい。
【0073】
複数の参照画像情報265を記憶する場合は、情報記憶手段26には、ユーザ認証に利用する情報として、複数の参照画像情報265と共に、それぞれの参照画像情報265を利用する順番も記憶されている。なお、アプリケーションごとに設定される参照画像情報265は、アプリケーション間で重複していてもよい。
【0074】
図10は、複数の参照画像情報265を設定したときの一例を示した図である。図10においては、例えば、社内Webシステム用の参照画像情報265として、星型の参照画像情報265aと丸型の参照画像情報265bとが設定され、照合される順番は、最初が星型の参照画像情報265aで、次が丸型の参照画像情報265bである。
【0075】
図11は、複数の参照画像情報265を用いてユーザ認証する手順を説明するフロー図で、複数の参照画像情報265を記憶したときのユーザ認証手順では、図8で示したフロー図のステップS4およびステップS5が変更される。
【0076】
複数の参照画像情報265を記憶したときのユーザ認証手順では、まず、ステップS4の代わりにステップS4aが実行され、このステップでは、制御装置20から認証画像取得手段24が送信され、クライアント1に送信された認証画像取得手段24はクライアント1で動作し、例えば、図10で説明した画像情報261をディスプレイ10に表示する。
【0077】
次は、情報記憶手段26に記憶されている参照画像情報265の数だけ繰り返し実行されるループ処理L1で、このループ処理L1はステップS5aからステップS5bで定義される。ステップS5aでは、認証画像取得手段24は、図8のステップS4と同じ内容で認証画像情報を取得し、取得した認証画像情報をサーバ2に送信する。
【0078】
ループ処理の次のステップS5bは、認証画像情報を照合するステップである。制御手段20は、クライアント1から認証画像情報を取得すると、アプリケーションに設定され、利用する順番がループ処理の回数である参照画像情報265と認証画像情報とを照合する。
【0079】
このステップにおいて、照合に失敗した場合はこの手順を終了する。照合に成功し、すでにループ処理が参照画像情報265の数だけ繰り返し実行されたときは、図8のステップS6に進み、ループ処理が参照画像情報265の数だけ繰り返し実行されていないときは、ループ処理L1を実行する。
【0080】
例えば、図10で示した例においては、最初に取得した認証画像画像と星型の参照画像情報265aが照合され、照合に成功した場合のみ、次に取得した認証画像情報と丸型の参照画像情報265bとが照合される。そして、丸型の参照画像情報265bを利用した照合に成功すると、制御手段10は、パスワード取得手段22をクライアント1に送信する。そして、パスワードの照合に成功すると、クライアント1に対して社内Webシステムの利用が許可される。
【0081】
(変形例2)
更に、本発明では、認証画像取得手段24が認証画像情報を取得する手段をも変更することができる。上述した実施の形態においては、この画像情報の任意の部分を矩形や円もしくはそれに縛られない形でユーザが指定することで認証画像情報を取得しているが、複数の画像の中から一つの画像が選択されることで認証画像情報を取得してもよい。
【0082】
すなわち、画像情報261から参照画像情報265を除いた部分を、矩形や円またはそれに縛られない形で複数に区切り、参照画像情報265と画像情報261の複数の断片を同時に表示し、ユーザが選択した一つの画像を認証画像情報として取得するようにしてもよい。
【0083】
なお、この変形例においても、複数の参照画像情報265を設定することができる。上述したように、設定された複数の参照画像情報265には照合される順番が設けられ、順番通りに参照画像情報265が選択されたときのみ、制御手段10は、パスワード取得手段22をクライアント1に送信する。
【0084】
図12は、断片化されて表示される画像情報261の一例である。図12(a)は、断片化される前の画像情報261を説明する図である。図12(a)の画像情報261は、丸、四角、三角、菱形そして星型を組み合せた画像で、参照画像情報265として、丸型の参照画像情報265cと星型の参照画像情報265dが設定され、照合する順序は、最初が丸型参照画像情報265cで、次に星型の参照画像情報265dであるとする。
【0085】
図12(b)は、認証画像情報を取得するときにディスプレイ10に表示される画像を説明する図である。図12(b)に示したように、照合するときは、画像情報261は、丸、四角、三角、菱形そして星型が区切られた状態で表示される。そして、ユーザによって、丸型と星型の図形が順に選択された場合のみ、参照画像情報265の照合は成功したと判断され、制御手段20は、パスワード取得手段11を作動させる。
【図面の簡単な説明】
【0086】
【図1】クライアントサーバシステムを説明する図。
【図2】クライアントサーバシステムのブロック図。
【図3】参照テーブルを説明する図。
【図4】画像情報を説明する図。
【図5】ユーザ識別情報取得手段が動作したときにブラウザに表示される画面の一例。
【図6】認証画像取得手段が動作したときにブラウザに表示される画面の一例。
【図7】パスワード入力画面の一例。
【図8】サーバがユーザ認証する手順を示したフロー図。
【図9】クライアントに記憶したパスワードを送信する画面の一例。
【図10】複数の参照画像情報を設定したときの一例を示した図。
【図11】複数の参照画像情報を用いてユーザ認証する手順を説明するフロー図。
【図12】断片化されて表示される画像情報の一例。
【符号の説明】
【0087】
1 クライアント
10 ディスプレイ
2 サーバ
20 制御手段
21 パスワード照合手段
22 パスワード取得手段
23 認証画像照合手段
24 認証画像取得手段
25 ユーザ識別情報取得手段
26 情報記憶手段
260 ユーザ識別情報
261 画像情報
262 参照テーブル
263 情報資源
264 アプリケーション特定情報
265 参照画像情報
266 参照パスワード
3 ネットワーク
【技術分野】
【0001】
本発明は、パスワードを利用したユーザ認証システムおよび方法に関し、更に詳しくは、画像情報を用いたユーザ認証システムおよび方法に関する。
【背景技術】
【0002】
不正なユーザのアクセスを防止すべく、パーソナルコンピュータ(以下、PC)やネットワークにログインする際に、ログインする各ユーザの認証を必要とするケースが増えている。ユーザ認証としては、パスワードによるユーザ認証が用いられることが一般的である。
【0003】
図7は、パスワードを用いてユーザを認証するときに表示されるパスワード入力画面の一例で、ユーザ認証時には、図7のパスワード入力画面でユーザの識別情報であるユーザID(図7では、ABCDEF)とパスワード(図7では、01234567)が入力され、図7のパスワード入力画面に入力されたパスワードと予めPCやサーバなどに記憶されたユーザのパスワードとが照合され、ユーザは認証される。
【0004】
しかし、上述したパスワードベースのユーザ認証では、パスワードを簡単なもの(例えば、ユーザの誕生日)にすると、パスワードが他人から容易に推測される危険性が高くなるし、複雑なものにすると、パスワード入力が面倒になるばかりかユーザがパスワードを忘れる危険性が高くなる。
【0005】
特許文献1では、ユーザにとって暗記し易く且つ改良されたパスワードベースのユーザ認証方式が開示されている。特許文献1で開示されているユーザ認証方式は、音楽を利用した認証方式で、パスワードを入力キーの順序に合わせてメロディを記憶しておき、ユーザがパスワードをキー入力するときのメロディから、キー入力の正否を判断する発明である。特許文献1の技術を用いることで、ユーザは長いパスワードを暗記し易くかつ第三者に盗用し難くなる。
【特許文献1】特開平10−283321号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
しかしながら、特許文献1の発明を用いるなどして、長いパスワードを利用することでセキュリティのレベルを向上させたとしても、正規のWebサイトを装いパスワードなどの情報を搾取するフィッシング(phishing)によって被害を受ける可能性がある。
【0007】
そこで、本発明は、パスワードベースのユーザ認証システムにおいて、フィッシングによってパスワードの搾取を防止でき、かつ、ユーザが利用するアプリケーションごとにパスワードを設定できるユーザ認証方法およびユーザ認証システムを提供することを目的とする。
【課題を解決するための手段】
【0008】
上述した課題を解決する第1の発明は、パスワードを用いたユーザ認証方法であって、前記ユーザ認証方法は、
ユーザを認証する前に、前記ユーザごとに画像情報と、さらに、前記ユーザが利用するアプリケーションごとに前記画像情報の一部の画像である参照画像情報とパスワードが設定され、
前記ユーザを認証するときは、
認証するユーザに設定されている画像情報を表示するステップa、
前記画像情報の任意の一部を矩形や円もしくはそれに縛られない形で前記ユーザが指定した画像を認証画像情報として取得するステップb、
前記ユーザが利用するアプリケーションに予め設定されている前記参照画像情報と前記認証画像情報とを照合するステップc、
前記認証画像情報の照合に成功した場合のみ、前記ユーザが利用するアプリケーションに設定された前記パスワードを用いてユーザ認証するステップd、
が順に実行されることを特徴とする。
【0009】
更に、第2の発明は、第1の発明に記載のユーザ認証方法であって、前記参照画像情報と前記認証画像情報との照合に、予め設定された回数だけ連続して失敗した後は、前記ステップa以降のステップが実行されないことを特徴とする。
【0010】
更に、第3の発明は、第1の発明または第2の発明に記載のユーザ認証方法であって、前記ステップaでは、前記参照画像情報に加え、前記画像情報から前記参照画像情報を除いた箇所を矩形や円またはそれに縛られない形で複数に区切った状態で表示し、前記ステップbでは、表示される複数の画像の中から前記ユーザが選択した一つの画像を前記認証画像情報として取得することを特徴とする。
【0011】
更に、第4の発明は、第1の発明から第3の発明のいずれかに記載のユーザ認証方法であって、前記アプリケーションには、複数の前記参照画像情報と、それぞれの前記参照画像情報が照合に利用する順番とが設定され、前記ステップbと前記ステップcが繰り返し実行され、設定された順番通りに、すべての前記参照画像情報を利用した照合に成功した場合のみ、前記ステップdが実行されることを特徴とする。
【0012】
更に、第5の発明は、パスワードを用いてユーザを認証するユーザ認証システムであって、前記ユーザ認証システムは、少なくとも、前記ユーザを識別するための情報であるユーザ識別情報に関連付けて画像情報が記憶され、更に、前記ユーザが利用するアプリケーションを特定するアプリケーション特定情報に関連付けて、前記画像情報の一部の画像である参照画像情報と前記ユーザが設定したパスワードである参照パスワードとを記憶し、
前記ユーザ認証システムは、認証する前記ユーザの前記ユーザ識別情報に関連付けられた前記画像情報を表示する画像表示手段、前記画像表示手段に表示された前記画像情報の任意の部分を矩形や円もしくはそれに縛られない形で前記ユーザが指定した画像を認証画像情報として取得する認証画像取得手段と、前記ユーザが利用する前記アプリケーションの前記アプリケーション特定情報に関連付けられて記憶している前記参照画像情報と前記認証画像情報とを照合する認証画像照合手段と、前記参照パスワードと照合するためのパスワードである認証パスワードを前記ユーザから取得するパスワード取得手段、前記ユーザが利用する前記アプリケーションの前記アプリケーション特定情報に関連付けられて記憶している前記参照パスワードと前記認証パスワードを照合するパスワード照合手段を備え、前記ユーザ認証システムは、前記認証画像照合手段が前記認証画像情報の照合に成功したときのみ、前記パスワード取得手段および前記パスワード手段を用いてユーザ認証を実行することを特徴とする。
【0013】
更に、第6の発明は、第5の発明に記載のユーザ認証システムであって、前記ユーザ認証システムは、少なくとも、前記ユーザが操作するクライアントと、前記クライアントとネットワークを介して接続されたサーバとから構成され、前記クライアントは前記画像表示手段とを備え、前記画像表示手段以外の手段は前記サーバに備えられていることを特徴とする。
【0014】
更に、第7の発明は、第6の発明に記載のユーザ認証システムにおいて、前記サーバは、参照画像情報と前記認証画像情報との照合に連続して失敗した回数を記憶し、前記参照画像情報と前記認証画像情報との照合に連続して失敗した回数が所定の値を超えた場合、ユーザ認証を実行しないことを特徴とする。
【0015】
更に、第8の発明は、第6明または第7発明に記載のユーザ認証システムにおいて、前記サーバに備えられた前記パスワード取得手段は、前記認証パスワードを入力する画面を前記クライアントに送信することで、前記クライアントから前記認証パスワードを取得する手段であることを特徴とする。
【0016】
更に、第9の発明は、第6の発明または第7の発明に記載のユーザ認証システムにおいて、前記認証パスワードは前記クライアントに予め記憶され、前記サーバに備えられた前記パスワード照合手段は、記憶された前記認証パスワードを前記クライアントから取得する手段であることを特徴とする。
【0017】
更に、第10の発明は、第6の発明から第9の発明のいずれかに記載のユーザ認証システムであって、前記認証情報取得手段は、前記参照画像情報に加え、前記画像情報から前記参照画像情報を除いた箇所を矩形や円またはそれに縛られない形で区切った複数の画像を前記画像表示手段で表示し、前記画像表示手段に表示される複数の画像の中から前記ユーザが選択した一つの画像を前記認証画像情報として取得する手段であることを特徴とする。
【0018】
更に、第11の発明は、第6の発明から第10の発明のいずれかに記載のユーザ認証システムであって、前記サーバは、一つの前記アプリケーション特定情報に関連付けられて、複数の前記参照画像情報と、それぞれの前記参照画像情報を照合に利用する順番を記憶し、前記サーバは、前記認証画像取得手段が前記認証画像情報を取得するごとに、前記認証画像照合手段は、記憶された順番通りに前記参照画像情報を利用して前記認証画像情報を照合し、記憶された順番通りに、すべての前記参照画像情報を利用した照合に成功した場合のみ、前記パスワード取得手段および前記パスワード手段を用いてユーザ認証を実行することを特徴とする。
【発明の効果】
【0019】
上述した本発明によれば、パスワードを用いてユーザを認証する前には、ユーザには必ず前記画像情報が表示されるため、正規のサーバを装ったフィッシング行為の実施が困難になる。また、表示されている前記画像情報の一部を前記認証画像情報として取得し、前記認証画像情報を照合することでユーザ認証システムのセキュリティをより高めることができる。
【0020】
更に、前記ユーザが利用する前記アプリケーションを特定する情報である前記アプリケーション特定情報に関連付けて、前記参照画像情報と前記参照パスワードを記憶しておくことで、ユーザが利用するアプリケーションごとにパスワードを設定できる。
【0021】
更に、参照画像情報と前記認証画像情報との照合に連続して失敗した回数を記憶し、前記回数を超えて前記参照画像情報と前記認証画像情報との照合に連続して失敗した場合、ユーザ認証を実施しないことで、なりすまし行為による不正アクセスを防止できる。加えて、複数個の前記参照画像情報を利用することで、セキュリティを高めることができ、前記画像情報が分割された複数の画像の中から前記認証画像情報を選択させることで、前記認証画像情報の選択を容易にすることができる。
【0022】
更に、前記クライアントに前記認証パスワードを記憶することで、前記ユーザは前記認証パスワードを入力する必要がなくなるため、長い前記認証パスワードを利用できるようになる。
【発明を実施するための最良の形態】
【0023】
ここから、本発明に係るユーザ認証システムについて、図を参照しながら詳細に説明する。図1は、本発明が適用されたクライアントサーバシステムを説明する図である。図1に示したように、クライアントサーバシステムは、情報資源を記憶・管理するサーバ2と、ネットワーク3を介してサーバ2に接続し、サーバ2に記憶された情報資源を利用するクライアント1とから、少なくとも構成されている。
【0024】
図1では、本発明を分かり易く説明するために、クライアント1を1台としている。実際には、ネットワーク3を介して複数のクライアント1がサーバ2に接続される。なお、図1ではサーバ2を1台のサーバで構成されているかのように図示しているが、サーバ2はアプリケーションサーバなどを備えた複数台のサーバで構成されていてもよい。更に、図1では、HUBやルータなど、本発明の説明に必要とされない装置は省略している。
【0025】
サーバ2は、社内Webシステムで公開されている情報、文書作成ソフトで作成された文書情報、表計算ソフトで作成された表情報などの複数の情報資源を記憶している。
【0026】
サーバ2に記憶している情報資源の利用を正当なユーザに対してのみ許可するために、クライアント1がネットワーク3を介してサーバ2の情報資源にアクセスする際、サーバ2はパスワードを用いたユーザ認証を実施し、このユーザ認証に本発明は適用されている。
【0027】
サーバ2は、ユーザ認証時に利用する情報として、ユーザごとに画像情報を記憶し、更に、情報資源を利用するときにユーザが利用するアプリケーションごとに、矩形や円もしくはそれに縛られない形で選択した画像情報の任意の一部をユーザの参照画像情報として記憶している。
【0028】
更に、サーバ2には、ユーザ認証時に利用する情報として、参照画像情報に関連付けて、ユーザが情報資源を利用するときに実行されるアプリケーションごとに、ユーザが予め設定したパスワードである参照パスワードが記憶されている。
【0029】
例えば、ユーザが社内Webシステムで公開されている情報を閲覧するときは、社内用Webシステムがアプリケーションとなり、また、文書情報または表情報を閲覧するときは、文書作成ソフトまたは表計算ソフトがアプリケーションとなる。
【0030】
ユーザがサーバ2の情報資源を利用するときはパスワードを用いたユーザ認証を必要とし、サーバ2は、パスワードを用いたユーザ認証を実施する前に、認証するユーザの画像情報をクライアント1に送信し、画像情報をクライアント1のディスプレイ10に表示する。
【0031】
次に、サーバ2は、クライアント1のディスプレイ10に表示された画像情報の任意の一部を矩形や円もしくはそれに縛られない形でユーザに指定させ、ユーザが指定した情報を認証画像情報として取得する。
【0032】
そして、サーバ2は、ユーザが情報資源を利用するときに動作するアプリケーションに設定されている参照画像情報と認証画像情報との照合に成功した場合のみ、このアプリケーションに設定されているパスワードを用いたユーザ認証を実施し、ユーザ認証に成功した場合のみ、このアプリケーションを利用して情報資源へのアクセスを許可する。
【0033】
このように、本実施の形態によれば、パスワードを用いてユーザを認証する前には、クライアント2に必ず画像情報が表示されるため、正規のサーバ2を装ったフィッシング行為の実施が困難になる。
【0034】
また、クライアント2で再生されている画像情報の任意の一部を矩形や円もしくはそれに縛られない形でユーザに指定させ、指定した情報を認証画像情報として取得し、認証画像情報を照合することでユーザ認証のセキュリティをより高めることができる。
【0035】
なお、サーバ2は、ユーザが利用する情報資源から、ユーザが利用するアプリケーションを特定するため、ユーザが利用するアプリケーションはサーバ2に記憶されていてもよく、また、クライアント1に記憶されていてもよい。
【0036】
図2は、図1で示したクライアントサーバシステムのブロック図である。
【0037】
サーバ2には、クライアント2から認証画像情報を取得する認証画像取得手段24と、クライアント2から認証パスワードを取得するパスワード取得手段22と、認証画像情報を照合する認証画像照合手段23と、認証パスワードを照合するパスワード照合手段21と、クライアント1に送信する画像情報261などの情報が記憶される情報記憶手段26と、クライアント1を操作しているユーザ識別情報260を取得するユーザ識別情報取得手段25と、サーバ2の全体を制御する制御手段20とを備えている。
【0038】
サーバ2の情報記憶手段26はハードディスクなどの情報記憶装置で実現され、ユーザが利用する複数の情報資源263を記憶し、ユーザ認証に利用する情報として、ユーザを識別するユーザ識別情報260に関連付けて、クライアント1に送信する画像情報261と、参照画像情報などを含む参照テーブル262を記憶している。
【0039】
図3は、参照テーブル262を説明する図である。参照テーブル262には、ユーザが利用するアプリケーションを特定するための情報であるアプリケーション特定情報264に関連付けて、画像情報261の任意の一部を矩形や円もしくはそれに縛られない形でユーザが予め指定した参照画像情報265と、図7のパスワード入力画面などによって、ユーザが予め設定したパスワードである参照パスワード266が記憶されている。
【0040】
なお、図3でアプリケーション特定情報264とは、クライアント1がアクセスする情報資源263に付加され、ユーザが利用するアプリケーションを特定するための情報としている。
【0041】
例えば、情報資源が、ユーザが社内Webシステムで公開されている情報であるときは、社内WebシステムのホームページのURLがアプリケーション特定情報264となり、文書情報または表情報であるときは、文書情報または表情報のファイル名に付加された拡張子がアプリケーション特定情報264となる。
【0042】
図4は、クライアント1からサーバ2に送信される画像情報261と参照画像情報265を説明する図である。クライアント1からサーバに送信される画像情報261は、管理者もしくはユーザによって予めサーバ2に登録される。
【0043】
加えて、サーバ2に登録された画像情報261の任意の一部を矩形や円もしくはそれに縛られない形をユーザが予め指定し、ユーザが予め指定した画像情報261の一部が参照画像情報265として登録される。
【0044】
図4においては、社内Webシステムの参照画像情報265として星図形が設定され、文書作成ソフトの参照画像情報265として左目が設定され、更に、表計算ソフトの参照画像情報265として右目が設定されている。
【0045】
図2において、サーバ2のユーザ識別情報取得手段25、認証画像取得手段24およびパスワード取得手段22はそれぞれ、クライアント1上で動作するアプリケーションで、例えば、マイクロソフト社のActiveX(登録商標)などのプログラムで実現される。また、認証画像照合手段23とパスワード照合手段21は、サーバ2上で動作するアプリケーションである。
【0046】
サーバ2のユーザ識別情報取得手段25とは、クライアント1を操作しているユーザを識別するための情報であるユーザ識別情報260を取得する手段で、ユーザからクライアント1を用いて情報資源263にアクセスするときに、サーバ2からクライアント1に送信される。
【0047】
図5は、ユーザ識別情報取得手段25がクライアント上で動作したときに表示される画面の一例で、ユーザ識別情報取得手段25は、図5の入力欄25aに入力された情報をユーザ識別情報260としてクライアント1からサーバ2に送信する。
【0048】
サーバ2の認証画像取得手段24は、ユーザ識別情報取得手段25が取得したユーザ識別情報260に関連付けられ情報記憶手段26に記憶されている画像情報261をクライアント1のディスプレイ10に表示させる機能と、クライアント1に表示した画像情報261の任意の一部を矩形や円もしくはそれに縛られない形でユーザに指定させ、ユーザが指定した画像情報261の一部を参照画像情報265として取得する機能とを備えている。
【0049】
図6は、認証画像取得手段24が動作したときにブラウザ10に表示される画面の一例である。クライアント1の画面には、図4で説明した画像情報261と、ユーザが指定した認証画像情報をサーバ2に送信するためのボタン24aが表示される。
【0050】
ユーザが認証画像情報を指定するときは、ポインタ24bを用いて画像情報261の任意の一部を指定した後、ボタン24aを選択する。ボタン24aが選択されると、ポインタ24bによって指定された画像情報261の一部が認証画像情報としてサーバ2に送信される。
【0051】
サーバ2の認証画像照合手段23とは、認証画像取得手段24が取得した認証画像情報と、ユーザが利用するアプリケーションのアプリケーション特定情報264に関連付けて記憶している参照画像情報265とを照合する手段である。
【0052】
ユーザが認証画像情報を手動で指定する場合は、認証画像照合手段23は、認証画像情報の指定誤差を考慮して照合することが望ましい。例えば、認証画像照合手段23は認証画像情報の特徴量と、参照画像情報265の特徴量をそれぞれ演算比較し、それぞれの特徴量の誤差が事前に設定された範囲内であれば、認証画像情報と参照画像情報265とは一致すると判断する。
【0053】
サーバ2のパスワード取得手段22とは、例えば、図7で示したパスワード入力画面をクライアント2に表示し、図7の入力欄22aにユーザが入力した情報を参照パスワード266として取得する手段である。
【0054】
サーバ2のパスワード照合手段21は、参照画像情報265に関連付けて記憶された参照パスワード266と、パスワード取得手段22が取得した認証パスワードとを照合する手段である。パスワードを照合する手法は汎用な技術であるため、詳細は省く。
【0055】
ここから、サーバ2の制御手段20が、サーバ2に備えられた手段を利用してユーザ認証する手順について説明する。図8は、サーバ2がユーザ認証する手順を示したフロー図である。
【0056】
この手順の最初のステップS1は、サーバ2がアプリケーションを特定するステップである。このステップでは、サーバ2は、クライアント1から情報資源263へのアクセス要求を受信すると、参照テーブル262を参照し、アクセス要求された情報資源263用のアプリケーションを特定する。
【0057】
次のステップS2は、ステップS1で特定したアプリケーションに設定されているパスワードが照合済みであるか確認するステップである。このステップでは、サーバ2は、アプリケーションに設定されているパスワードの照合に成功した情報が、情報記憶手段26に記憶されていないか確認する。
【0058】
パスワードの照合に成功した情報が記憶されている場合はステップS8に進み、記憶されていない場合はステップS3に進み。
【0059】
ステップS3は、クライアント1からユーザ識別情報260を取得するステップである。このステップでは、
【0060】
制御手段20はユーザ識別情報取得手段25をクライアント1に送信し、ユーザ識別情報取得手段25はクライアント2で動作する。
【0061】
ユーザ識別情報取得手段25がクライアント2で動作すると、例えば、図5の画面がクライアント2のディスプレイ10に表示され、ユーザ識別情報取得手段25は、図5の入力欄25aに入力された情報をユーザ識別情報260としてサーバ2に送信する。
【0062】
次のステップS4は、サーバ2が認証画像情報を取得するステップである。サーバ2がユーザ識別情報260を取得すると、制御手段20は、取得したユーザ識別情報260に関連付けられて情報記憶手段26に記憶されている画像情報261および認証画像取得手段24とを、クライアント1に送信する。
【0063】
クライアント1に送信された認証画像取得手段24はクライアント1で動作し、例えば、画像情報261として図6の画面をディスプレイ10に表示する。そして、ユーザがポインタ24bによって画像情報261の一部を指定し、ボタン24aが選択されると、ユーザが指定した画像情報261の一部を認証画像情報として認証画像取得手段24はサーバ2に送信する。
【0064】
次のステップS5は、認証画像情報を照合するステップである。制御手段20は、クライアント1から認証画像情報を取得すると、ステップS3で取得したユーザ識別情報260に関連付けられて記憶され、更に、ステップS1で特定したアプリケーションに設定されている参照画像情報265と認証画像情報とを照合する。このステップにおいて、照合に失敗した場合はこの手順を終了し、照合に成功した場合はステップS6に進む。
【0065】
認証画像情報の照合に成功した場合に実行されるステップS6は、認証パスワードを取得するステップである。制御手段20は、認証画像情報と参照画像情報265との照合に成功すると、パスワード取得手段22をクライアント1に送信し、パスワード取得手段22はクライアント1で動作する。
【0066】
パスワード取得手段22がクライアント1で動作すると、例えば、図7の画面がブラウザ10上に表示され、図7の入力欄22aに入力された情報を認証パスワードとして取得し、取得したパスワードをサーバ2に送信する。
【0067】
次のステップS7は、認証パスワードを照合するステップである。制御手段20は、ステップS1で特定したアプリケーションに設定されている参照パスワード266と認証パスワードとを照合する。このステップにおいて、照合に失敗した場合はこの手順を終了し、照合に成功した場合はステップS8に進み、ステップS8ではクライアント1のサーバへのアクセスが許可され、この手順は終了する。
【0068】
なお、上述した実施の形態において、サーバ2の制御手段20は、連続して認証画像情報の照合に失敗できる回数を示すリトライ回数を記憶し、リトライ回数を超えて認証画像情報の照合に連続して失敗した場合、制御手段20は認証画像照合手段23を作動させないことが望ましい。
【0069】
更に、上述した実施の形態において、認証パスワードがクライアント1に記憶されていてもよい。このときは、パスワード取得手段22はクライアント1からパスワードを取得する手段になる。
【0070】
図9は、パスワード取得手段22が作動したときにディスプレイ10に表示され、クライアント1に記憶したパスワードを送信する画面の一例で、図9の送信ボタン22bが選択されたときに、パスワード取得手段22は、クライアント2に記憶された認証パスワードをサーバ2に送信する。
【0071】
また、本発明では、サーバ2に備えられた認証画像照合手段23と認証画像取得手段24のそれぞれのプログラムを変更することで、認証画像情報と参照画像情報265との照合方法に更に特徴をもたせることもできる。
【0072】
(変形例1)
ユーザ認証に利用する参照画像情報265として、アプリケーションごとに一つの参照画像情報265を記憶していたが、ユーザ認証に利用する参照画像情報265を複数設定してもよい。
【0073】
複数の参照画像情報265を記憶する場合は、情報記憶手段26には、ユーザ認証に利用する情報として、複数の参照画像情報265と共に、それぞれの参照画像情報265を利用する順番も記憶されている。なお、アプリケーションごとに設定される参照画像情報265は、アプリケーション間で重複していてもよい。
【0074】
図10は、複数の参照画像情報265を設定したときの一例を示した図である。図10においては、例えば、社内Webシステム用の参照画像情報265として、星型の参照画像情報265aと丸型の参照画像情報265bとが設定され、照合される順番は、最初が星型の参照画像情報265aで、次が丸型の参照画像情報265bである。
【0075】
図11は、複数の参照画像情報265を用いてユーザ認証する手順を説明するフロー図で、複数の参照画像情報265を記憶したときのユーザ認証手順では、図8で示したフロー図のステップS4およびステップS5が変更される。
【0076】
複数の参照画像情報265を記憶したときのユーザ認証手順では、まず、ステップS4の代わりにステップS4aが実行され、このステップでは、制御装置20から認証画像取得手段24が送信され、クライアント1に送信された認証画像取得手段24はクライアント1で動作し、例えば、図10で説明した画像情報261をディスプレイ10に表示する。
【0077】
次は、情報記憶手段26に記憶されている参照画像情報265の数だけ繰り返し実行されるループ処理L1で、このループ処理L1はステップS5aからステップS5bで定義される。ステップS5aでは、認証画像取得手段24は、図8のステップS4と同じ内容で認証画像情報を取得し、取得した認証画像情報をサーバ2に送信する。
【0078】
ループ処理の次のステップS5bは、認証画像情報を照合するステップである。制御手段20は、クライアント1から認証画像情報を取得すると、アプリケーションに設定され、利用する順番がループ処理の回数である参照画像情報265と認証画像情報とを照合する。
【0079】
このステップにおいて、照合に失敗した場合はこの手順を終了する。照合に成功し、すでにループ処理が参照画像情報265の数だけ繰り返し実行されたときは、図8のステップS6に進み、ループ処理が参照画像情報265の数だけ繰り返し実行されていないときは、ループ処理L1を実行する。
【0080】
例えば、図10で示した例においては、最初に取得した認証画像画像と星型の参照画像情報265aが照合され、照合に成功した場合のみ、次に取得した認証画像情報と丸型の参照画像情報265bとが照合される。そして、丸型の参照画像情報265bを利用した照合に成功すると、制御手段10は、パスワード取得手段22をクライアント1に送信する。そして、パスワードの照合に成功すると、クライアント1に対して社内Webシステムの利用が許可される。
【0081】
(変形例2)
更に、本発明では、認証画像取得手段24が認証画像情報を取得する手段をも変更することができる。上述した実施の形態においては、この画像情報の任意の部分を矩形や円もしくはそれに縛られない形でユーザが指定することで認証画像情報を取得しているが、複数の画像の中から一つの画像が選択されることで認証画像情報を取得してもよい。
【0082】
すなわち、画像情報261から参照画像情報265を除いた部分を、矩形や円またはそれに縛られない形で複数に区切り、参照画像情報265と画像情報261の複数の断片を同時に表示し、ユーザが選択した一つの画像を認証画像情報として取得するようにしてもよい。
【0083】
なお、この変形例においても、複数の参照画像情報265を設定することができる。上述したように、設定された複数の参照画像情報265には照合される順番が設けられ、順番通りに参照画像情報265が選択されたときのみ、制御手段10は、パスワード取得手段22をクライアント1に送信する。
【0084】
図12は、断片化されて表示される画像情報261の一例である。図12(a)は、断片化される前の画像情報261を説明する図である。図12(a)の画像情報261は、丸、四角、三角、菱形そして星型を組み合せた画像で、参照画像情報265として、丸型の参照画像情報265cと星型の参照画像情報265dが設定され、照合する順序は、最初が丸型参照画像情報265cで、次に星型の参照画像情報265dであるとする。
【0085】
図12(b)は、認証画像情報を取得するときにディスプレイ10に表示される画像を説明する図である。図12(b)に示したように、照合するときは、画像情報261は、丸、四角、三角、菱形そして星型が区切られた状態で表示される。そして、ユーザによって、丸型と星型の図形が順に選択された場合のみ、参照画像情報265の照合は成功したと判断され、制御手段20は、パスワード取得手段11を作動させる。
【図面の簡単な説明】
【0086】
【図1】クライアントサーバシステムを説明する図。
【図2】クライアントサーバシステムのブロック図。
【図3】参照テーブルを説明する図。
【図4】画像情報を説明する図。
【図5】ユーザ識別情報取得手段が動作したときにブラウザに表示される画面の一例。
【図6】認証画像取得手段が動作したときにブラウザに表示される画面の一例。
【図7】パスワード入力画面の一例。
【図8】サーバがユーザ認証する手順を示したフロー図。
【図9】クライアントに記憶したパスワードを送信する画面の一例。
【図10】複数の参照画像情報を設定したときの一例を示した図。
【図11】複数の参照画像情報を用いてユーザ認証する手順を説明するフロー図。
【図12】断片化されて表示される画像情報の一例。
【符号の説明】
【0087】
1 クライアント
10 ディスプレイ
2 サーバ
20 制御手段
21 パスワード照合手段
22 パスワード取得手段
23 認証画像照合手段
24 認証画像取得手段
25 ユーザ識別情報取得手段
26 情報記憶手段
260 ユーザ識別情報
261 画像情報
262 参照テーブル
263 情報資源
264 アプリケーション特定情報
265 参照画像情報
266 参照パスワード
3 ネットワーク
【特許請求の範囲】
【請求項1】
パスワードを用いたユーザ認証方法であって、前記ユーザ認証方法は、
ユーザを認証する前に、前記ユーザごとに画像情報と、さらに、前記ユーザが利用するアプリケーションごとに前記画像情報の一部の画像である参照画像情報とパスワードが設定され、
前記ユーザを認証するときは、
認証するユーザに設定されている画像情報を表示するステップa、
前記画像情報の任意の一部を矩形や円もしくはそれに縛られない形で前記ユーザが指定した画像を認証画像情報として取得するステップb、
前記ユーザが利用するアプリケーションに予め設定されている前記参照画像情報と前記認証画像情報とを照合するステップc、
前記認証画像情報の照合に成功した場合のみ、前記ユーザが利用するアプリケーションに設定された前記パスワードを用いてユーザ認証するステップd、
が順に実行されることを特徴とするユーザ認証方法。
【請求項2】
請求項1に記載のユーザ認証方法であって、前記参照画像情報と前記認証画像情報との照合に、予め設定された回数だけ連続して失敗した後は、前記ステップa以降のステップが実行されないことを特徴とするユーザ認証方法。
【請求項3】
請求項1または請求項2に記載のユーザ認証方法であって、前記ステップaでは、前記参照画像情報に加え、前記画像情報から前記参照画像情報を除いた箇所を矩形や円またはそれに縛られない形で複数に区切った状態で表示し、前記ステップbでは、表示される複数の画像の中から前記ユーザが選択した一つの画像を前記認証画像情報として取得することを特徴とするユーザ認証方法。
【請求項4】
請求項1から請求項3のいずれかに記載のユーザ認証方法であって、前記アプリケーションには、複数の前記参照画像情報と、それぞれの前記参照画像情報が照合に利用する順番とが設定され、前記ステップbと前記ステップcが繰り返し実行され、設定された順番通りに、すべての前記参照画像情報を利用した照合に成功した場合のみ、前記ステップdが実行されることを特徴とするユーザ認証方法。
【請求項5】
パスワードを用いてユーザを認証するユーザ認証システムであって、前記ユーザ認証システムは、少なくとも、前記ユーザを識別するための情報であるユーザ識別情報に関連付けて画像情報が記憶され、更に、前記ユーザが利用するアプリケーションを特定するアプリケーション特定情報に関連付けて、前記画像情報の一部の画像である参照画像情報と前記ユーザが設定したパスワードである参照パスワードとを記憶し、
前記ユーザ認証システムは、認証する前記ユーザの前記ユーザ識別情報に関連付けられた前記画像情報を表示する画像表示手段、前記画像表示手段に表示された前記画像情報の任意の部分を矩形や円もしくはそれに縛られない形で前記ユーザが指定した画像を認証画像情報として取得する認証画像取得手段と、前記ユーザが利用する前記アプリケーションの前記アプリケーション特定情報に関連付けられて記憶している前記参照画像情報と前記認証画像情報とを照合する認証画像照合手段と、前記参照パスワードと照合するためのパスワードである認証パスワードを前記ユーザから取得するパスワード取得手段、前記ユーザが利用する前記アプリケーションの前記アプリケーション特定情報に関連付けられて記憶している前記参照パスワードと前記認証パスワードを照合するパスワード照合手段を備え、前記ユーザ認証システムは、前記認証画像照合手段が前記認証画像情報の照合に成功したときのみ、前記パスワード取得手段および前記パスワード手段を用いてユーザ認証を実行することを特徴とするユーザ認証システム。
【請求項6】
請求項5に記載のユーザ認証システムであって、前記ユーザ認証システムは、少なくとも、前記ユーザが操作するクライアントと、前記クライアントとネットワークを介して接続されたサーバとから構成され、前記クライアントは前記画像表示手段とを備え、前記画像表示手段以外の手段は前記サーバに備えられていることを特徴とするユーザ認証システム。
【請求項7】
請求項6に記載のユーザ認証システムにおいて、前記サーバは、参照画像情報と前記認証画像情報との照合に連続して失敗した回数を記憶し、前記参照画像情報と前記認証画像情報との照合に連続して失敗した回数が所定の値を超えた場合、ユーザ認証を実行しないことを特徴とするユーザ認証システム。
【請求項8】
請求項6明または請求項7発明に記載のユーザ認証システムにおいて、前記サーバに備えられた前記パスワード取得手段は、前記認証パスワードを入力する画面を前記クライアントに送信することで、前記クライアントから前記認証パスワードを取得する手段であることを特徴とするユーザ認証システム。
【請求項9】
請求項6または請求項7に記載のユーザ認証システムにおいて、前記認証パスワードは前記クライアントに予め記憶され、前記サーバに備えられた前記パスワード照合手段は、記憶された前記認証パスワードを前記クライアントから取得する手段であることを特徴とするユーザ認証システム。
【請求項10】
請求項6から請求項9のいずれかに記載のユーザ認証システムであって、前記認証情報取得手段は、前記参照画像情報に加え、前記画像情報から前記参照画像情報を除いた箇所を矩形や円またはそれに縛られない形で区切った複数の画像を前記画像表示手段で表示し、前記画像表示手段に表示される複数の画像の中から前記ユーザが選択した一つの画像を前記認証画像情報として取得する手段であることを特徴とするユーザ認証システム。
【請求項11】
請求項6から請求項10のいずれかに記載のユーザ認証システムであって、前記サーバは、一つの前記アプリケーション特定情報に関連付けられて、複数の前記参照画像情報と、それぞれの前記参照画像情報を照合に利用する順番を記憶し、前記サーバは、前記認証画像取得手段が前記認証画像情報を取得するごとに、前記認証画像照合手段は、記憶された順番通りに前記参照画像情報を利用して前記認証画像情報を照合し、記憶された順番通りに、すべての前記参照画像情報を利用した照合に成功した場合のみ、前記パスワード取得手段および前記パスワード手段を用いてユーザ認証を実行することを特徴とするユーザ認証システム。
【請求項1】
パスワードを用いたユーザ認証方法であって、前記ユーザ認証方法は、
ユーザを認証する前に、前記ユーザごとに画像情報と、さらに、前記ユーザが利用するアプリケーションごとに前記画像情報の一部の画像である参照画像情報とパスワードが設定され、
前記ユーザを認証するときは、
認証するユーザに設定されている画像情報を表示するステップa、
前記画像情報の任意の一部を矩形や円もしくはそれに縛られない形で前記ユーザが指定した画像を認証画像情報として取得するステップb、
前記ユーザが利用するアプリケーションに予め設定されている前記参照画像情報と前記認証画像情報とを照合するステップc、
前記認証画像情報の照合に成功した場合のみ、前記ユーザが利用するアプリケーションに設定された前記パスワードを用いてユーザ認証するステップd、
が順に実行されることを特徴とするユーザ認証方法。
【請求項2】
請求項1に記載のユーザ認証方法であって、前記参照画像情報と前記認証画像情報との照合に、予め設定された回数だけ連続して失敗した後は、前記ステップa以降のステップが実行されないことを特徴とするユーザ認証方法。
【請求項3】
請求項1または請求項2に記載のユーザ認証方法であって、前記ステップaでは、前記参照画像情報に加え、前記画像情報から前記参照画像情報を除いた箇所を矩形や円またはそれに縛られない形で複数に区切った状態で表示し、前記ステップbでは、表示される複数の画像の中から前記ユーザが選択した一つの画像を前記認証画像情報として取得することを特徴とするユーザ認証方法。
【請求項4】
請求項1から請求項3のいずれかに記載のユーザ認証方法であって、前記アプリケーションには、複数の前記参照画像情報と、それぞれの前記参照画像情報が照合に利用する順番とが設定され、前記ステップbと前記ステップcが繰り返し実行され、設定された順番通りに、すべての前記参照画像情報を利用した照合に成功した場合のみ、前記ステップdが実行されることを特徴とするユーザ認証方法。
【請求項5】
パスワードを用いてユーザを認証するユーザ認証システムであって、前記ユーザ認証システムは、少なくとも、前記ユーザを識別するための情報であるユーザ識別情報に関連付けて画像情報が記憶され、更に、前記ユーザが利用するアプリケーションを特定するアプリケーション特定情報に関連付けて、前記画像情報の一部の画像である参照画像情報と前記ユーザが設定したパスワードである参照パスワードとを記憶し、
前記ユーザ認証システムは、認証する前記ユーザの前記ユーザ識別情報に関連付けられた前記画像情報を表示する画像表示手段、前記画像表示手段に表示された前記画像情報の任意の部分を矩形や円もしくはそれに縛られない形で前記ユーザが指定した画像を認証画像情報として取得する認証画像取得手段と、前記ユーザが利用する前記アプリケーションの前記アプリケーション特定情報に関連付けられて記憶している前記参照画像情報と前記認証画像情報とを照合する認証画像照合手段と、前記参照パスワードと照合するためのパスワードである認証パスワードを前記ユーザから取得するパスワード取得手段、前記ユーザが利用する前記アプリケーションの前記アプリケーション特定情報に関連付けられて記憶している前記参照パスワードと前記認証パスワードを照合するパスワード照合手段を備え、前記ユーザ認証システムは、前記認証画像照合手段が前記認証画像情報の照合に成功したときのみ、前記パスワード取得手段および前記パスワード手段を用いてユーザ認証を実行することを特徴とするユーザ認証システム。
【請求項6】
請求項5に記載のユーザ認証システムであって、前記ユーザ認証システムは、少なくとも、前記ユーザが操作するクライアントと、前記クライアントとネットワークを介して接続されたサーバとから構成され、前記クライアントは前記画像表示手段とを備え、前記画像表示手段以外の手段は前記サーバに備えられていることを特徴とするユーザ認証システム。
【請求項7】
請求項6に記載のユーザ認証システムにおいて、前記サーバは、参照画像情報と前記認証画像情報との照合に連続して失敗した回数を記憶し、前記参照画像情報と前記認証画像情報との照合に連続して失敗した回数が所定の値を超えた場合、ユーザ認証を実行しないことを特徴とするユーザ認証システム。
【請求項8】
請求項6明または請求項7発明に記載のユーザ認証システムにおいて、前記サーバに備えられた前記パスワード取得手段は、前記認証パスワードを入力する画面を前記クライアントに送信することで、前記クライアントから前記認証パスワードを取得する手段であることを特徴とするユーザ認証システム。
【請求項9】
請求項6または請求項7に記載のユーザ認証システムにおいて、前記認証パスワードは前記クライアントに予め記憶され、前記サーバに備えられた前記パスワード照合手段は、記憶された前記認証パスワードを前記クライアントから取得する手段であることを特徴とするユーザ認証システム。
【請求項10】
請求項6から請求項9のいずれかに記載のユーザ認証システムであって、前記認証情報取得手段は、前記参照画像情報に加え、前記画像情報から前記参照画像情報を除いた箇所を矩形や円またはそれに縛られない形で区切った複数の画像を前記画像表示手段で表示し、前記画像表示手段に表示される複数の画像の中から前記ユーザが選択した一つの画像を前記認証画像情報として取得する手段であることを特徴とするユーザ認証システム。
【請求項11】
請求項6から請求項10のいずれかに記載のユーザ認証システムであって、前記サーバは、一つの前記アプリケーション特定情報に関連付けられて、複数の前記参照画像情報と、それぞれの前記参照画像情報を照合に利用する順番を記憶し、前記サーバは、前記認証画像取得手段が前記認証画像情報を取得するごとに、前記認証画像照合手段は、記憶された順番通りに前記参照画像情報を利用して前記認証画像情報を照合し、記憶された順番通りに、すべての前記参照画像情報を利用した照合に成功した場合のみ、前記パスワード取得手段および前記パスワード手段を用いてユーザ認証を実行することを特徴とするユーザ認証システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【公開番号】特開2007−280039(P2007−280039A)
【公開日】平成19年10月25日(2007.10.25)
【国際特許分類】
【出願番号】特願2006−105451(P2006−105451)
【出願日】平成18年4月6日(2006.4.6)
【出願人】(000002897)大日本印刷株式会社 (14,506)
【Fターム(参考)】
【公開日】平成19年10月25日(2007.10.25)
【国際特許分類】
【出願日】平成18年4月6日(2006.4.6)
【出願人】(000002897)大日本印刷株式会社 (14,506)
【Fターム(参考)】
[ Back to top ]