ユーザ認証方法およびシステム
【課題】オプションとして一部のサービスあるいは一部のユーザに対してのみ乱数表を用いた高度な認証処理をより低いコストあるいは工数で実行すること。
【解決手段】ユーザが乱数表の発行を申請すると、この要求が端末装置103からサーバ101に送信され、文字対応表生成部202により乱数表が生成される(S301)。対応表送信部203では生成された乱数表に乱数番号を付与するか、予め生成された乱数表から入力された乱数表番号の乱数表を選択して乱数表と乱数表番号とを端末装置103に送信する(S302)。乱数表に基づいて認証情報を変換したデータと使用した乱数表の乱数表番号とを端末装置103から受信すると(S303)、認証変換部204においてまず、受信した乱数表番号により使用された乱数表を特定し、変換された認証情報を逆変換して元の認証情報を取得する(S304)。ユーザ認証部201においてユーザ認証を行う(S305)。
【解決手段】ユーザが乱数表の発行を申請すると、この要求が端末装置103からサーバ101に送信され、文字対応表生成部202により乱数表が生成される(S301)。対応表送信部203では生成された乱数表に乱数番号を付与するか、予め生成された乱数表から入力された乱数表番号の乱数表を選択して乱数表と乱数表番号とを端末装置103に送信する(S302)。乱数表に基づいて認証情報を変換したデータと使用した乱数表の乱数表番号とを端末装置103から受信すると(S303)、認証変換部204においてまず、受信した乱数表番号により使用された乱数表を特定し、変換された認証情報を逆変換して元の認証情報を取得する(S304)。ユーザ認証部201においてユーザ認証を行う(S305)。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ユーザ認証方法およびシステムに関し、より詳細には乱数表を用いて、認証情報を変換し認証情報のやり取りを行うことによりセキュリティを向上させるユーザ認証方法およびシステムに関する。
【背景技術】
【0002】
従来から、インターネットを介して企業のウェブサイトにより個人向けの種々のサービスが提供されており、このようなサービスを提供する際には、個人を特定し、および個人情報の漏洩等を防止するため個人識別情報(またはIDともいう)やパスワードにより認証処理が行われている。このような認証処理としては、一般的に予め個人IDとパスワードを定めておき、ウェブサイトにアクセスする際に、個人IDとパスワードの両方を入力させるようにし、サーバ側で登録しておいたものと一致した場合にだけ、その個人用のページに進めるようにしている。
【0003】
このような一般的な本人確認用の方法に加え、金融機関などが提供する特に高いセキュリティが要求されるサービスにおいては、一部または全部のサービスで乱数表を用いた認証も採用されている。すなわち、予めユーザには上述のIDやパスワードとともに数字あるいは文字をランダムに対応させた乱数表が配られており、認証情報や重要情報をインターネットを介して送信する際、ユーザはその乱数表で数字または文字を変換して送信する。サーバ側ではユーザが使用している乱数表を予め有しているため、認証情報等を受信すると逆変換することにより元の認証情報を得ることができる(例えば、特許文献1ないし3参照)。
【0004】
このようにすることにより、セキュリティの低いネットワーク間を送受信されるデータを傍受などの不正行為から保護することにより、システム全体としてのセキュリティを向上させることができる。
【0005】
【特許文献1】特開2001−61012号公報
【特許文献2】特開2006−39679号公報
【特許文献3】特開2006−320508号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
しかしながら、従来の乱数表を用いたシステムでは、予めユーザごとに定められた乱数表をカードとともに、あるいは別途用意してユーザに郵送する必要があり、セキュリティ上や配布コストの問題がある。特に、オプションとして一部のサービスあるいは一部のユーザのみに対応する程度のセキュリティレベルが要求される分野では、要求される品質に比しコストが大きくなるという問題がある。
【0007】
本発明は、このような問題に鑑みてなされたもので、必要な場合あるいはユーザに対しネットワークを介して乱数表を送信することにより、オプションとして一部のサービスあるいは一部のユーザに対してのみ乱数表を用いた高度な認証処理をより低いコストあるいは工数で実行することができるユーザ認証方法およびシステムを提供することを目的とする。
【課題を解決するための手段】
【0008】
このような目的を達成するために、請求項1に記載の発明は、ネットワークを介して所定のサービスの提供を受けるユーザを、ユーザに提供された認証情報によって認証する認証サーバであって、ネットワークを介して、ユーザが認証情報の入力に用いる、文字と文字とをランダムに対応付ける文字対応表および対応表を識別する対応表番号を端末装置に送信する対応表送信手段と、予め送信された文字対応表を用いて変換された変換認証情報および認証情報を変換するために用いた文字対応表の対応表番号を端末装置から受信し、受信した対応表番号により識別される文字対応表によって変換認証情報を逆変換して変換前の認証情報を取得する認証変換手段とを備えたことを特徴とする。
【0009】
請求項2に記載の発明は、請求項1に記載の認証サーバにおいて、認証情報を変換するために用いた文字対応表の対応表番号は、変換認証情報の前に受信することを特徴とする。
【0010】
請求項3に記載の発明は、請求項1または2に記載の認証サーバにおいて、対応表送信手段は、提供された認証情報と異なる第1の付加的認証情報により認証を行って、文字対応表および対応表番号を送信することを特徴とする。
【0011】
請求項4に記載の発明は、請求項1、2または3に記載の認証サーバにおいて、対応表送信手段は、端末装置から文字対応表の変更要求を受信すると、送信済みの文字対応表とは異なる変更文字対応表および変更対応表を識別する対応表番号を送信することを特徴とする。
【0012】
請求項5に記載の発明は、請求項3に記載の認証サーバにおいて、対応表送信手段は、提供された認証情報と異なる第2の付加的認証情報により認証を行って、変更文字対応表および変更対応表を識別する対応表番号を送信することを特徴とする。
【0013】
請求項6に記載の発明は、ネットワークを介して所定のサービスの提供を受けるユーザを、ユーザに提供された認証情報によって認証する認証システムであって、ネットワークを介して、ユーザが認証情報の入力に用いる、文字と文字とをランダムに対応付ける文字対応表および対応表を識別する対応表番号を受信する対応表受信手段と、文字対応表を用いて提供された認証情報を変換して得られる変換認証情報および対応表番号を送信する変換送信手段とを含む端末装置と、ネットワークを介して、文字対応表および対応表番号を端末装置に送信する対応表送信手段と、変換認証情報および認証情報を変換するために用いた文字対応表の対応表番号を端末装置から受信し、受信した対応表番号により識別される文字対応表によって変換認証情報を逆変換して変換前の認証情報を取得する認証変換手段とを含む認証サーバとを備えたことを特徴とする。
【0014】
請求項7に記載の発明は、請求項6に記載の認証システムにおいて、認証情報を変換するために用いた文字対応表の対応表番号は、変換認証情報の前に受信することを特徴とする。
【0015】
請求項8に記載の発明は、請求項6または7に記載の認証システムにおいて、端末装置は、受信した文字対応表を印刷する印刷手段をさらに含むことを特徴とする。
【0016】
請求項9に記載の発明は、ネットワークを介して所定のサービスの提供を受けるユーザを、ユーザに提供された認証情報によって認証する認証サーバによりユーザ認証方法であって、ネットワークを介して、ユーザが認証情報の入力に用いる、文字と文字とをランダムに対応付ける文字対応表および該対応表を識別する対応表番号を端末装置に送信する対応表送信ステップと、予め送信された文字対応表を用いて変換された変換認証情報および認証情報を変換するために用いた文字対応表の対応表番号を端末装置から受信し、受信した対応表番号により識別される文字対応表によって変換認証情報を逆変換して変換前の認証情報を取得する認証変換ステップとを備えたことを特徴とする。
【0017】
請求項10に記載の発明は、認証サーバに、ネットワークを介して所定のサービスの提供を受けるユーザを、ユーザに提供された認証情報によって認証するユーザ認証方法を実行させるプログラムであって、該ユーザ認証方法は、ネットワークを介して、ユーザが認証情報の入力に用いる、文字と文字とをランダムに対応付ける文字対応表および対応表を識別する対応表番号を端末装置に送信する対応表送信ステップと、予め送信された文字対応表を用いて変換された変換認証情報および認証情報を変換するために用いた文字対応表の対応表番号を端末装置から受信し、受信した対応表番号により識別される文字対応表によって変換認証情報を逆変換して変換前の認証情報を取得する認証変換ステップとを備えたことを特徴とする。
【発明の効果】
【0018】
以上説明したように、本発明によれば、ネットワークを介して、ユーザが認証情報の入力に用いる、文字と文字とをランダムに対応付ける文字対応表および対応表を識別する対応表番号を端末装置に送信する対応表送信手段と、予め送信された文字対応表を用いて変換された変換認証情報および認証情報を変換するために用いた文字対応表の対応表番号を端末装置から受信し、受信した対応表番号により識別される文字対応表によって変換認証情報を逆変換して変換前の認証情報を取得する認証変換手段とを備えているので、オプションとして一部のサービスあるいは一部のユーザに対してのみ乱数表を用いた高度な認証処理をより低いコストあるいは工数で実行することが可能となる。
【発明を実施するための最良の形態】
【0019】
以下、図面を参照しながら本発明の実施形態について詳細に説明する。
(第1実施形態)
図1は、本実施形態の全体システムを示すブロック図である。本実施形態では、インターネットを介して種々のサービスを提供するウェブサイトにアクセスする際に認証処理を実行し、その処理に本発明の方法を採用するが、これに限られることなく一般に、コンピュータを用いて認証を行ういずれの場合をも想定することができる。また、本実施形態の認証処理では、通常は従来の認証処理を使用し、本発明の処理は所定の場合あるいは所定のユーザにのみに行う。すなわち、例えば、乱数表は認証情報を付与したユーザのうち、より高いセキュリティを望むユーザに対して発行し、また乱数表を取得したユーザは全てのサービスで乱数表を使用しなくてもよく、特に高いセキュリティが必要と感じるサービスにのみ乱数表を用いることもできる。
【0020】
本実施形態では、このような想定で説明を行うため、本実施形態のシステムは、サービスを提供し、ID、パスワードなどの認証情報の発行処理全般を行うサーバ101、ユーザごとの認証情報を含めサーバ101で用いられる種々のデータを格納するデータベース102、およびユーザがウェブサイトにアクセスするために使用する端末装置103を備えている。ここで、サーバ101と端末装置103とはネットワーク105により接続されている。端末装置103には、さらに本実施形態で受信した乱数表を出力するためのプリンタ104を設けることもできる。
【0021】
通常、このようなシステムで端末装置103からサーバ101の提供するウェブサイトにアクセスする際は、本人の確認を行うため、ユーザはIDとパスワードなどの認証情報を端末装置103からサーバ101に送信し、サーバ101において受信した認証情報とデータベース102に格納されている認証情報とを対比して一致する場合、認証するか否かを判定している。本実施形態ではこのような従来の認証を前提として本発明の認証を行うが、これに限られることなくIDおよびパスワードの双方を用いる必要のないシステムや、その他の認証情報の構成を採用することもできる。認証情報の処理についても本実施形態で用いられるいずれのものも使用することができる。
【0022】
また、本実施形態でも認証情報はサービスを受けるための、例えばクレジットカードなどとともに郵送されたり、ウェブサイト上で予め個人情報などの必要な情報を入力して登録し、インターネットを介して提供されたりすることができる。
【0023】
本システムの全体の構成は以上のようなものであるが、本実施形態の個別のシステムを構成する端末、サーバは少なくともネットワークに接続可能な通常のコンピュータの機能を有している必要がある。このようなハードウェアの条件の下、本実施形態の個別のシステムの処理の実行はソフトウェアプログラムがこのようなハードウェアにインストールされて行われる。各ソフトウェアは例えば図2に示すようなモジュール構成で示すことができるが、これは単なる例示であり、各モジュールの機能をさらにいくつかのモジュールで分担したり、いくつかのモジュールの機能を統合したモジュールを想定したりすることができるのはいうまでもない。以下に、各個別システムのモジュール構成を説明するが、これらのモジュールが相互に連携を取って実行され、後述する本実施形態の処理が達成されるのである。
【0024】
図2は、本実施形態のサーバ101内の主に本実施形態にかかわる機能について示すブロック図である。基本的な認証処理を行うユーザ認証部201、乱数表を生成し対応表番号である乱数表番号を生成する文字対応表生成部202、生成された乱数表を端末装置103に送信する対応表送信部203および乱数表に基づいて端末装置103から受信した認証情報を逆変換する認証変換部204を備える。
【0025】
(サーバ側の処理)
図3は、本実施形態のサーバの処理の一例を示すフローチャートである。また、図5は生成される乱数表の一例を示す図であり、図6は本実施形態の乱数表の発行を受ける際に端末装置103で表示される操作画面などを示す図である。図3、5および6を参照して、本実施形態の乱数表生成発行から認証までの処理を説明する。なお、いわゆる乱数表は本技術分野でよく知られたものであるが、例えば図5に示すように数字あるいは文字の対応をランダムに決めておくものである。
【0026】
先ず、図6に示すような画面によりユーザが乱数表の発行を申請すると、この要求が端末装置103からサーバ101に送信され、文字対応表生成部202により乱数表が生成される(S301)が、要求が来る前に予め生成しておいてもよい。ユーザは図6に示す画面において希望する乱数番号も入力するので、対応表送信部203では生成された乱数表に乱数番号を付与するか、予め生成された乱数表から入力された乱数表番号の乱数表を選択して乱数表と乱数表番号とを端末装置103に送信する(S302)。ここで端末装置103から乱数表の送信を要求する場合には、通常の認証情報に加え、または通常の認証情報に替えて、本人確認を行った上要求するようにすることができる。例えば、ユーザが乱数表を取得するためには、IDとパスワードによる通常の認証方法によって所定のページまでたどり着いた後、誕生日や電話番号など別の本人確認方法により本人が要求していることを確認してから乱数表を送信するようにする。このようにすることにより、乱数表が成りすましたユーザに傍受されることなく、真のユーザに乱数表を送信することができるのである。
【0027】
端末装置103に乱数表などが送信されると、端末装置103で出力され後述するような端末装置側の認証情報の入力に用いられる。本実施形態では、文字対応表としていわゆる乱数表を用いるが、これに限られず本発明を達成するためには、文字や数字とを対応させることができる、本技術分野で知られるいずれの手法も用いることができる。また、乱数表は1回だけでなく、何度でも発行することができ、以前と異なる乱数表を用いてさらにセキュリティを向上させることができる。この場合、新たに乱数表を生成してもよいし、すでに生成された別の乱数表番号を指定させて以前と異なる乱数表を送信することもできる。なお、このような場合も乱数表の要求に際しては、上述のような別の認証手段、あるいはさらに異なる別の認証情報や手法等を付加してセキュリティを向上させることもできる。
【0028】
例えば、図5に示すように最初に1000通りの乱数表を生成し、乱数表番号を付与しておき、最初適当な方法で乱数表番号を決定して端末装置103に送信しておき、その後ユーザが別の乱数表に切り替えるときは別の乱数表番号を指定させれば、異なる乱数表を使用することができる。新たな乱数表は上述の最初のときと同様に端末装置103に送信される。
【0029】
後述するように乱数表に基づいて認証情報を変換したデータと、使用した乱数表の乱数表番号とを端末装置103から受信すると(S303)、認証変換部204においてまず、受信した乱数表番号により使用された乱数表を特定し、変換された認証情報を逆変換して元の認証情報を取得する(S304)。その後、ユーザ認証部201においてユーザ認証を行う(S305)。このようにして、端末側で乱数表により変換された認証情報をサーバ側で一旦もとの認証情報に戻し、元の認証情報で認証を行うことにより、このような変換を行わない場合に比べ、より高いセキュリティを得ることができるが、本実施形態を用いると、このために乱数表を事前に郵送するなどのコストをかける必要はなくなるという効果が期待できる。
【0030】
(端末側の処理)
次に、端末側の処理を説明する。図4は本実施形態の端末装置の処理の一例を示すフローチャートである。また、図7および8は本実施形態の乱数表を用いて認証情報を入力する際の端末装置103で表示される操作画面などを示す図である。図4、7および8を参照して、本実施形態の乱数表を用いた認証情報の変換と送信の処理を説明する。
【0031】
図4を参照すると、先ず、ユーザが所望のウェブサイトに入るため、端末装置103は、サーバ101にアクセスし(S401)、認証情報の入力を促されると、ユーザは予め送信されている乱数表を用いて認証情報を変換する(S402)。変換は一般的に図8に示すように、特別な計算が必要なわけではなく予め設定された認証情報を乱数表を見ながら対応する文字や数字に置き換えるだけなので、ユーザは容易に行うことができるが、これに限られずいずれの変換方法を用いることもできる。
【0032】
次に、図7に示すように変換に用いた乱数表の乱数表番号を入力しつつ、変換された認証情報を入力すると、端末装置103からサーバ101に送信される(S403)。ここで、本実施形態では認証情報を入力する前に使用する乱数表の乱数表番号を登録するが、これは端末側で保持しておいて以後特に指定しなくても良いようにする、あるいはサーバ側で事前に乱数表を用意しておいてより迅速に認証情報の逆変換を可能にする等種々の理由があるが、これに限られず本発明を実装するためには別のタイミングで乱数表番号を入力するようにすることもできる。
【0033】
このようにして変換された認証情報と乱数表番号とが送信されると、サーバ103は上述のように、これらを受信し、これらの情報により認証を実行するが、その結果、端末装置103で所望のサービスを受けることができる。
【0034】
以上、本発明を通常の認証方法に加えて適用することにより、部分的にあるいは全体的にサービス提供時にコストや手間をかけることなくセキュリティ向上を期待することができる。
【0035】
(第2実施形態)
本実施形態では、本発明を上述の第1実施形態とは異なる場面で使用するものである。本実施形態では、例えば図9に示すように、事前に乱数表を取得して乱数表番号を指定、あるいは登録しておくことにより、イメージで示された番号にさらに乱数表による変換をかけてセキュリティを向上させるといった応用にも用いることができる。すなわち、第1実施形態では、企業の顧客サービスサイト等で予め認証情報をユーザに送信しておくような場合に、本発明の方法を用いてセキュリティを向上させるものであるが本実施形態では、このように事前に認証情報を送らないような場合でも、同様に本発明の方法を用いることによりセキュリティを向上させるものである。さらに、同様にワンタイムパスワード(OTP)認証と組み合わせることもできる。
【図面の簡単な説明】
【0036】
【図1】本実施形態の全体システムを示すブロック図である。
【図2】本実施形態のサーバ内の主に本実施形態にかかわる機能について示すブロック図である。
【図3】本実施形態のサーバ側の処理を示すフローチャートである。
【図4】本実施形態の端末装置側の処理を示すフローチャートである。
【図5】本実施形態の乱数表の一例を示す図である。
【図6】本実施形態の端末装置側の入力画面の一例を示す図である。
【図7】本実施形態の端末装置側の入力画面の一例を示す図である。
【図8】本実施形態の端末装置側の入力画面の一例を示す図である。
【図9】本実施形態の端末装置側の入力画面の一例を示す図である。
【符号の説明】
【0037】
101 サーバ
102 データベース
103 端末装置
104 プリンタ
105 ネットワーク
201 ユーザ認証部
202 文字対応表生成部
203 対応表送信部
204 認証変換部
【技術分野】
【0001】
本発明は、ユーザ認証方法およびシステムに関し、より詳細には乱数表を用いて、認証情報を変換し認証情報のやり取りを行うことによりセキュリティを向上させるユーザ認証方法およびシステムに関する。
【背景技術】
【0002】
従来から、インターネットを介して企業のウェブサイトにより個人向けの種々のサービスが提供されており、このようなサービスを提供する際には、個人を特定し、および個人情報の漏洩等を防止するため個人識別情報(またはIDともいう)やパスワードにより認証処理が行われている。このような認証処理としては、一般的に予め個人IDとパスワードを定めておき、ウェブサイトにアクセスする際に、個人IDとパスワードの両方を入力させるようにし、サーバ側で登録しておいたものと一致した場合にだけ、その個人用のページに進めるようにしている。
【0003】
このような一般的な本人確認用の方法に加え、金融機関などが提供する特に高いセキュリティが要求されるサービスにおいては、一部または全部のサービスで乱数表を用いた認証も採用されている。すなわち、予めユーザには上述のIDやパスワードとともに数字あるいは文字をランダムに対応させた乱数表が配られており、認証情報や重要情報をインターネットを介して送信する際、ユーザはその乱数表で数字または文字を変換して送信する。サーバ側ではユーザが使用している乱数表を予め有しているため、認証情報等を受信すると逆変換することにより元の認証情報を得ることができる(例えば、特許文献1ないし3参照)。
【0004】
このようにすることにより、セキュリティの低いネットワーク間を送受信されるデータを傍受などの不正行為から保護することにより、システム全体としてのセキュリティを向上させることができる。
【0005】
【特許文献1】特開2001−61012号公報
【特許文献2】特開2006−39679号公報
【特許文献3】特開2006−320508号公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
しかしながら、従来の乱数表を用いたシステムでは、予めユーザごとに定められた乱数表をカードとともに、あるいは別途用意してユーザに郵送する必要があり、セキュリティ上や配布コストの問題がある。特に、オプションとして一部のサービスあるいは一部のユーザのみに対応する程度のセキュリティレベルが要求される分野では、要求される品質に比しコストが大きくなるという問題がある。
【0007】
本発明は、このような問題に鑑みてなされたもので、必要な場合あるいはユーザに対しネットワークを介して乱数表を送信することにより、オプションとして一部のサービスあるいは一部のユーザに対してのみ乱数表を用いた高度な認証処理をより低いコストあるいは工数で実行することができるユーザ認証方法およびシステムを提供することを目的とする。
【課題を解決するための手段】
【0008】
このような目的を達成するために、請求項1に記載の発明は、ネットワークを介して所定のサービスの提供を受けるユーザを、ユーザに提供された認証情報によって認証する認証サーバであって、ネットワークを介して、ユーザが認証情報の入力に用いる、文字と文字とをランダムに対応付ける文字対応表および対応表を識別する対応表番号を端末装置に送信する対応表送信手段と、予め送信された文字対応表を用いて変換された変換認証情報および認証情報を変換するために用いた文字対応表の対応表番号を端末装置から受信し、受信した対応表番号により識別される文字対応表によって変換認証情報を逆変換して変換前の認証情報を取得する認証変換手段とを備えたことを特徴とする。
【0009】
請求項2に記載の発明は、請求項1に記載の認証サーバにおいて、認証情報を変換するために用いた文字対応表の対応表番号は、変換認証情報の前に受信することを特徴とする。
【0010】
請求項3に記載の発明は、請求項1または2に記載の認証サーバにおいて、対応表送信手段は、提供された認証情報と異なる第1の付加的認証情報により認証を行って、文字対応表および対応表番号を送信することを特徴とする。
【0011】
請求項4に記載の発明は、請求項1、2または3に記載の認証サーバにおいて、対応表送信手段は、端末装置から文字対応表の変更要求を受信すると、送信済みの文字対応表とは異なる変更文字対応表および変更対応表を識別する対応表番号を送信することを特徴とする。
【0012】
請求項5に記載の発明は、請求項3に記載の認証サーバにおいて、対応表送信手段は、提供された認証情報と異なる第2の付加的認証情報により認証を行って、変更文字対応表および変更対応表を識別する対応表番号を送信することを特徴とする。
【0013】
請求項6に記載の発明は、ネットワークを介して所定のサービスの提供を受けるユーザを、ユーザに提供された認証情報によって認証する認証システムであって、ネットワークを介して、ユーザが認証情報の入力に用いる、文字と文字とをランダムに対応付ける文字対応表および対応表を識別する対応表番号を受信する対応表受信手段と、文字対応表を用いて提供された認証情報を変換して得られる変換認証情報および対応表番号を送信する変換送信手段とを含む端末装置と、ネットワークを介して、文字対応表および対応表番号を端末装置に送信する対応表送信手段と、変換認証情報および認証情報を変換するために用いた文字対応表の対応表番号を端末装置から受信し、受信した対応表番号により識別される文字対応表によって変換認証情報を逆変換して変換前の認証情報を取得する認証変換手段とを含む認証サーバとを備えたことを特徴とする。
【0014】
請求項7に記載の発明は、請求項6に記載の認証システムにおいて、認証情報を変換するために用いた文字対応表の対応表番号は、変換認証情報の前に受信することを特徴とする。
【0015】
請求項8に記載の発明は、請求項6または7に記載の認証システムにおいて、端末装置は、受信した文字対応表を印刷する印刷手段をさらに含むことを特徴とする。
【0016】
請求項9に記載の発明は、ネットワークを介して所定のサービスの提供を受けるユーザを、ユーザに提供された認証情報によって認証する認証サーバによりユーザ認証方法であって、ネットワークを介して、ユーザが認証情報の入力に用いる、文字と文字とをランダムに対応付ける文字対応表および該対応表を識別する対応表番号を端末装置に送信する対応表送信ステップと、予め送信された文字対応表を用いて変換された変換認証情報および認証情報を変換するために用いた文字対応表の対応表番号を端末装置から受信し、受信した対応表番号により識別される文字対応表によって変換認証情報を逆変換して変換前の認証情報を取得する認証変換ステップとを備えたことを特徴とする。
【0017】
請求項10に記載の発明は、認証サーバに、ネットワークを介して所定のサービスの提供を受けるユーザを、ユーザに提供された認証情報によって認証するユーザ認証方法を実行させるプログラムであって、該ユーザ認証方法は、ネットワークを介して、ユーザが認証情報の入力に用いる、文字と文字とをランダムに対応付ける文字対応表および対応表を識別する対応表番号を端末装置に送信する対応表送信ステップと、予め送信された文字対応表を用いて変換された変換認証情報および認証情報を変換するために用いた文字対応表の対応表番号を端末装置から受信し、受信した対応表番号により識別される文字対応表によって変換認証情報を逆変換して変換前の認証情報を取得する認証変換ステップとを備えたことを特徴とする。
【発明の効果】
【0018】
以上説明したように、本発明によれば、ネットワークを介して、ユーザが認証情報の入力に用いる、文字と文字とをランダムに対応付ける文字対応表および対応表を識別する対応表番号を端末装置に送信する対応表送信手段と、予め送信された文字対応表を用いて変換された変換認証情報および認証情報を変換するために用いた文字対応表の対応表番号を端末装置から受信し、受信した対応表番号により識別される文字対応表によって変換認証情報を逆変換して変換前の認証情報を取得する認証変換手段とを備えているので、オプションとして一部のサービスあるいは一部のユーザに対してのみ乱数表を用いた高度な認証処理をより低いコストあるいは工数で実行することが可能となる。
【発明を実施するための最良の形態】
【0019】
以下、図面を参照しながら本発明の実施形態について詳細に説明する。
(第1実施形態)
図1は、本実施形態の全体システムを示すブロック図である。本実施形態では、インターネットを介して種々のサービスを提供するウェブサイトにアクセスする際に認証処理を実行し、その処理に本発明の方法を採用するが、これに限られることなく一般に、コンピュータを用いて認証を行ういずれの場合をも想定することができる。また、本実施形態の認証処理では、通常は従来の認証処理を使用し、本発明の処理は所定の場合あるいは所定のユーザにのみに行う。すなわち、例えば、乱数表は認証情報を付与したユーザのうち、より高いセキュリティを望むユーザに対して発行し、また乱数表を取得したユーザは全てのサービスで乱数表を使用しなくてもよく、特に高いセキュリティが必要と感じるサービスにのみ乱数表を用いることもできる。
【0020】
本実施形態では、このような想定で説明を行うため、本実施形態のシステムは、サービスを提供し、ID、パスワードなどの認証情報の発行処理全般を行うサーバ101、ユーザごとの認証情報を含めサーバ101で用いられる種々のデータを格納するデータベース102、およびユーザがウェブサイトにアクセスするために使用する端末装置103を備えている。ここで、サーバ101と端末装置103とはネットワーク105により接続されている。端末装置103には、さらに本実施形態で受信した乱数表を出力するためのプリンタ104を設けることもできる。
【0021】
通常、このようなシステムで端末装置103からサーバ101の提供するウェブサイトにアクセスする際は、本人の確認を行うため、ユーザはIDとパスワードなどの認証情報を端末装置103からサーバ101に送信し、サーバ101において受信した認証情報とデータベース102に格納されている認証情報とを対比して一致する場合、認証するか否かを判定している。本実施形態ではこのような従来の認証を前提として本発明の認証を行うが、これに限られることなくIDおよびパスワードの双方を用いる必要のないシステムや、その他の認証情報の構成を採用することもできる。認証情報の処理についても本実施形態で用いられるいずれのものも使用することができる。
【0022】
また、本実施形態でも認証情報はサービスを受けるための、例えばクレジットカードなどとともに郵送されたり、ウェブサイト上で予め個人情報などの必要な情報を入力して登録し、インターネットを介して提供されたりすることができる。
【0023】
本システムの全体の構成は以上のようなものであるが、本実施形態の個別のシステムを構成する端末、サーバは少なくともネットワークに接続可能な通常のコンピュータの機能を有している必要がある。このようなハードウェアの条件の下、本実施形態の個別のシステムの処理の実行はソフトウェアプログラムがこのようなハードウェアにインストールされて行われる。各ソフトウェアは例えば図2に示すようなモジュール構成で示すことができるが、これは単なる例示であり、各モジュールの機能をさらにいくつかのモジュールで分担したり、いくつかのモジュールの機能を統合したモジュールを想定したりすることができるのはいうまでもない。以下に、各個別システムのモジュール構成を説明するが、これらのモジュールが相互に連携を取って実行され、後述する本実施形態の処理が達成されるのである。
【0024】
図2は、本実施形態のサーバ101内の主に本実施形態にかかわる機能について示すブロック図である。基本的な認証処理を行うユーザ認証部201、乱数表を生成し対応表番号である乱数表番号を生成する文字対応表生成部202、生成された乱数表を端末装置103に送信する対応表送信部203および乱数表に基づいて端末装置103から受信した認証情報を逆変換する認証変換部204を備える。
【0025】
(サーバ側の処理)
図3は、本実施形態のサーバの処理の一例を示すフローチャートである。また、図5は生成される乱数表の一例を示す図であり、図6は本実施形態の乱数表の発行を受ける際に端末装置103で表示される操作画面などを示す図である。図3、5および6を参照して、本実施形態の乱数表生成発行から認証までの処理を説明する。なお、いわゆる乱数表は本技術分野でよく知られたものであるが、例えば図5に示すように数字あるいは文字の対応をランダムに決めておくものである。
【0026】
先ず、図6に示すような画面によりユーザが乱数表の発行を申請すると、この要求が端末装置103からサーバ101に送信され、文字対応表生成部202により乱数表が生成される(S301)が、要求が来る前に予め生成しておいてもよい。ユーザは図6に示す画面において希望する乱数番号も入力するので、対応表送信部203では生成された乱数表に乱数番号を付与するか、予め生成された乱数表から入力された乱数表番号の乱数表を選択して乱数表と乱数表番号とを端末装置103に送信する(S302)。ここで端末装置103から乱数表の送信を要求する場合には、通常の認証情報に加え、または通常の認証情報に替えて、本人確認を行った上要求するようにすることができる。例えば、ユーザが乱数表を取得するためには、IDとパスワードによる通常の認証方法によって所定のページまでたどり着いた後、誕生日や電話番号など別の本人確認方法により本人が要求していることを確認してから乱数表を送信するようにする。このようにすることにより、乱数表が成りすましたユーザに傍受されることなく、真のユーザに乱数表を送信することができるのである。
【0027】
端末装置103に乱数表などが送信されると、端末装置103で出力され後述するような端末装置側の認証情報の入力に用いられる。本実施形態では、文字対応表としていわゆる乱数表を用いるが、これに限られず本発明を達成するためには、文字や数字とを対応させることができる、本技術分野で知られるいずれの手法も用いることができる。また、乱数表は1回だけでなく、何度でも発行することができ、以前と異なる乱数表を用いてさらにセキュリティを向上させることができる。この場合、新たに乱数表を生成してもよいし、すでに生成された別の乱数表番号を指定させて以前と異なる乱数表を送信することもできる。なお、このような場合も乱数表の要求に際しては、上述のような別の認証手段、あるいはさらに異なる別の認証情報や手法等を付加してセキュリティを向上させることもできる。
【0028】
例えば、図5に示すように最初に1000通りの乱数表を生成し、乱数表番号を付与しておき、最初適当な方法で乱数表番号を決定して端末装置103に送信しておき、その後ユーザが別の乱数表に切り替えるときは別の乱数表番号を指定させれば、異なる乱数表を使用することができる。新たな乱数表は上述の最初のときと同様に端末装置103に送信される。
【0029】
後述するように乱数表に基づいて認証情報を変換したデータと、使用した乱数表の乱数表番号とを端末装置103から受信すると(S303)、認証変換部204においてまず、受信した乱数表番号により使用された乱数表を特定し、変換された認証情報を逆変換して元の認証情報を取得する(S304)。その後、ユーザ認証部201においてユーザ認証を行う(S305)。このようにして、端末側で乱数表により変換された認証情報をサーバ側で一旦もとの認証情報に戻し、元の認証情報で認証を行うことにより、このような変換を行わない場合に比べ、より高いセキュリティを得ることができるが、本実施形態を用いると、このために乱数表を事前に郵送するなどのコストをかける必要はなくなるという効果が期待できる。
【0030】
(端末側の処理)
次に、端末側の処理を説明する。図4は本実施形態の端末装置の処理の一例を示すフローチャートである。また、図7および8は本実施形態の乱数表を用いて認証情報を入力する際の端末装置103で表示される操作画面などを示す図である。図4、7および8を参照して、本実施形態の乱数表を用いた認証情報の変換と送信の処理を説明する。
【0031】
図4を参照すると、先ず、ユーザが所望のウェブサイトに入るため、端末装置103は、サーバ101にアクセスし(S401)、認証情報の入力を促されると、ユーザは予め送信されている乱数表を用いて認証情報を変換する(S402)。変換は一般的に図8に示すように、特別な計算が必要なわけではなく予め設定された認証情報を乱数表を見ながら対応する文字や数字に置き換えるだけなので、ユーザは容易に行うことができるが、これに限られずいずれの変換方法を用いることもできる。
【0032】
次に、図7に示すように変換に用いた乱数表の乱数表番号を入力しつつ、変換された認証情報を入力すると、端末装置103からサーバ101に送信される(S403)。ここで、本実施形態では認証情報を入力する前に使用する乱数表の乱数表番号を登録するが、これは端末側で保持しておいて以後特に指定しなくても良いようにする、あるいはサーバ側で事前に乱数表を用意しておいてより迅速に認証情報の逆変換を可能にする等種々の理由があるが、これに限られず本発明を実装するためには別のタイミングで乱数表番号を入力するようにすることもできる。
【0033】
このようにして変換された認証情報と乱数表番号とが送信されると、サーバ103は上述のように、これらを受信し、これらの情報により認証を実行するが、その結果、端末装置103で所望のサービスを受けることができる。
【0034】
以上、本発明を通常の認証方法に加えて適用することにより、部分的にあるいは全体的にサービス提供時にコストや手間をかけることなくセキュリティ向上を期待することができる。
【0035】
(第2実施形態)
本実施形態では、本発明を上述の第1実施形態とは異なる場面で使用するものである。本実施形態では、例えば図9に示すように、事前に乱数表を取得して乱数表番号を指定、あるいは登録しておくことにより、イメージで示された番号にさらに乱数表による変換をかけてセキュリティを向上させるといった応用にも用いることができる。すなわち、第1実施形態では、企業の顧客サービスサイト等で予め認証情報をユーザに送信しておくような場合に、本発明の方法を用いてセキュリティを向上させるものであるが本実施形態では、このように事前に認証情報を送らないような場合でも、同様に本発明の方法を用いることによりセキュリティを向上させるものである。さらに、同様にワンタイムパスワード(OTP)認証と組み合わせることもできる。
【図面の簡単な説明】
【0036】
【図1】本実施形態の全体システムを示すブロック図である。
【図2】本実施形態のサーバ内の主に本実施形態にかかわる機能について示すブロック図である。
【図3】本実施形態のサーバ側の処理を示すフローチャートである。
【図4】本実施形態の端末装置側の処理を示すフローチャートである。
【図5】本実施形態の乱数表の一例を示す図である。
【図6】本実施形態の端末装置側の入力画面の一例を示す図である。
【図7】本実施形態の端末装置側の入力画面の一例を示す図である。
【図8】本実施形態の端末装置側の入力画面の一例を示す図である。
【図9】本実施形態の端末装置側の入力画面の一例を示す図である。
【符号の説明】
【0037】
101 サーバ
102 データベース
103 端末装置
104 プリンタ
105 ネットワーク
201 ユーザ認証部
202 文字対応表生成部
203 対応表送信部
204 認証変換部
【特許請求の範囲】
【請求項1】
ネットワークを介して所定のサービスの提供を受けるユーザを、該ユーザに提供された認証情報によって認証する認証サーバであって、
前記ネットワークを介して、前記ユーザが認証情報の入力に用いる、文字と文字とをランダムに対応付ける文字対応表および該対応表を識別する対応表番号を端末装置に送信する対応表送信手段と、
予め送信された前記文字対応表を用いて変換された変換認証情報および該認証情報を変換するために用いた文字対応表の対応表番号を前記端末装置から受信し、当該受信した対応表番号により識別される文字対応表によって前記変換認証情報を逆変換して変換前の認証情報を取得する認証変換手段と
を備えたことを特徴とする認証サーバ。
【請求項2】
前記認証情報を変換するために用いた文字対応表の対応表番号は、前記変換認証情報の前に受信することを特徴とする請求項1に記載の認証サーバ。
【請求項3】
前記対応表送信手段は、前記提供された認証情報と異なる第1の付加的認証情報により認証を行って、前記文字対応表および対応表番号を送信することを特徴とする請求項1または2に記載の認証サーバ。
【請求項4】
前記対応表送信手段は、前記端末装置から文字対応表の変更要求を受信すると、前記送信済みの文字対応表とは異なる変更文字対応表および該変更対応表を識別する対応表番号を送信することを特徴とする請求項1、2または3に記載の認証サーバ。
【請求項5】
前記対応表送信手段は、前記提供された認証情報と異なる第2の付加的認証情報により認証を行って、前記変更文字対応表および該変更対応表を識別する対応表番号を送信することを特徴とする請求項3に記載の認証サーバ。
【請求項6】
ネットワークを介して所定のサービスの提供を受けるユーザを、該ユーザに提供された認証情報によって認証する認証システムであって、
前記ネットワークを介して、前記ユーザが認証情報の入力に用いる、文字と文字とをランダムに対応付ける文字対応表および該対応表を識別する対応表番号を受信する対応表受信手段と、前記文字対応表を用いて前記提供された認証情報を変換して得られる変換認証情報および前記対応表番号を送信する変換送信手段とを含む端末装置と、
前記ネットワークを介して、前記文字対応表および前記対応表番号を端末装置に送信する対応表送信手段と、前記変換認証情報および該認証情報を変換するために用いた文字対応表の対応表番号を前記端末装置から受信し、当該受信した対応表番号により識別される文字対応表によって前記変換認証情報を逆変換して変換前の認証情報を取得する認証変換手段とを含む認証サーバと
を備えたことを特徴とする認証システム。
【請求項7】
前記認証情報を変換するために用いた文字対応表の対応表番号は、前記変換認証情報の前に受信することを特徴とする請求項6に記載の認証システム。
【請求項8】
前記端末装置は、前記受信した文字対応表を印刷する印刷手段をさらに含むことを特徴とする請求項6または7に記載の認証システム。
【請求項9】
ネットワークを介して所定のサービスの提供を受けるユーザを、該ユーザに提供された認証情報によって認証する認証サーバによりユーザ認証方法であって、
前記ネットワークを介して、前記ユーザが認証情報の入力に用いる、文字と文字とをランダムに対応付ける文字対応表および該対応表を識別する対応表番号を端末装置に送信する対応表送信ステップと、
予め送信された前記文字対応表を用いて変換された変換認証情報および該認証情報を変換するために用いた文字対応表の対応表番号を前記端末装置から受信し、当該受信した対応表番号により識別される文字対応表によって前記変換認証情報を逆変換して変換前の認証情報を取得する認証変換ステップと
を備えたことを特徴とするユーザ認証方法。
【請求項10】
認証サーバに、ネットワークを介して所定のサービスの提供を受けるユーザを、該ユーザに提供された認証情報によって認証するユーザ認証方法を実行させるプログラムであって、該ユーザ認証方法は、
前記ネットワークを介して、前記ユーザが認証情報の入力に用いる、文字と文字とをランダムに対応付ける文字対応表および該対応表を識別する対応表番号を端末装置に送信する対応表送信ステップと、
予め送信された前記文字対応表を用いて変換された変換認証情報および該認証情報を変換するために用いた文字対応表の対応表番号を前記端末装置から受信し、当該受信した対応表番号により識別される文字対応表によって前記変換認証情報を逆変換して変換前の認証情報を取得する認証変換ステップと
を備えたことを特徴とするプログラム。
【請求項1】
ネットワークを介して所定のサービスの提供を受けるユーザを、該ユーザに提供された認証情報によって認証する認証サーバであって、
前記ネットワークを介して、前記ユーザが認証情報の入力に用いる、文字と文字とをランダムに対応付ける文字対応表および該対応表を識別する対応表番号を端末装置に送信する対応表送信手段と、
予め送信された前記文字対応表を用いて変換された変換認証情報および該認証情報を変換するために用いた文字対応表の対応表番号を前記端末装置から受信し、当該受信した対応表番号により識別される文字対応表によって前記変換認証情報を逆変換して変換前の認証情報を取得する認証変換手段と
を備えたことを特徴とする認証サーバ。
【請求項2】
前記認証情報を変換するために用いた文字対応表の対応表番号は、前記変換認証情報の前に受信することを特徴とする請求項1に記載の認証サーバ。
【請求項3】
前記対応表送信手段は、前記提供された認証情報と異なる第1の付加的認証情報により認証を行って、前記文字対応表および対応表番号を送信することを特徴とする請求項1または2に記載の認証サーバ。
【請求項4】
前記対応表送信手段は、前記端末装置から文字対応表の変更要求を受信すると、前記送信済みの文字対応表とは異なる変更文字対応表および該変更対応表を識別する対応表番号を送信することを特徴とする請求項1、2または3に記載の認証サーバ。
【請求項5】
前記対応表送信手段は、前記提供された認証情報と異なる第2の付加的認証情報により認証を行って、前記変更文字対応表および該変更対応表を識別する対応表番号を送信することを特徴とする請求項3に記載の認証サーバ。
【請求項6】
ネットワークを介して所定のサービスの提供を受けるユーザを、該ユーザに提供された認証情報によって認証する認証システムであって、
前記ネットワークを介して、前記ユーザが認証情報の入力に用いる、文字と文字とをランダムに対応付ける文字対応表および該対応表を識別する対応表番号を受信する対応表受信手段と、前記文字対応表を用いて前記提供された認証情報を変換して得られる変換認証情報および前記対応表番号を送信する変換送信手段とを含む端末装置と、
前記ネットワークを介して、前記文字対応表および前記対応表番号を端末装置に送信する対応表送信手段と、前記変換認証情報および該認証情報を変換するために用いた文字対応表の対応表番号を前記端末装置から受信し、当該受信した対応表番号により識別される文字対応表によって前記変換認証情報を逆変換して変換前の認証情報を取得する認証変換手段とを含む認証サーバと
を備えたことを特徴とする認証システム。
【請求項7】
前記認証情報を変換するために用いた文字対応表の対応表番号は、前記変換認証情報の前に受信することを特徴とする請求項6に記載の認証システム。
【請求項8】
前記端末装置は、前記受信した文字対応表を印刷する印刷手段をさらに含むことを特徴とする請求項6または7に記載の認証システム。
【請求項9】
ネットワークを介して所定のサービスの提供を受けるユーザを、該ユーザに提供された認証情報によって認証する認証サーバによりユーザ認証方法であって、
前記ネットワークを介して、前記ユーザが認証情報の入力に用いる、文字と文字とをランダムに対応付ける文字対応表および該対応表を識別する対応表番号を端末装置に送信する対応表送信ステップと、
予め送信された前記文字対応表を用いて変換された変換認証情報および該認証情報を変換するために用いた文字対応表の対応表番号を前記端末装置から受信し、当該受信した対応表番号により識別される文字対応表によって前記変換認証情報を逆変換して変換前の認証情報を取得する認証変換ステップと
を備えたことを特徴とするユーザ認証方法。
【請求項10】
認証サーバに、ネットワークを介して所定のサービスの提供を受けるユーザを、該ユーザに提供された認証情報によって認証するユーザ認証方法を実行させるプログラムであって、該ユーザ認証方法は、
前記ネットワークを介して、前記ユーザが認証情報の入力に用いる、文字と文字とをランダムに対応付ける文字対応表および該対応表を識別する対応表番号を端末装置に送信する対応表送信ステップと、
予め送信された前記文字対応表を用いて変換された変換認証情報および該認証情報を変換するために用いた文字対応表の対応表番号を前記端末装置から受信し、当該受信した対応表番号により識別される文字対応表によって前記変換認証情報を逆変換して変換前の認証情報を取得する認証変換ステップと
を備えたことを特徴とするプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【公開番号】特開2009−157640(P2009−157640A)
【公開日】平成21年7月16日(2009.7.16)
【国際特許分類】
【出願番号】特願2007−335005(P2007−335005)
【出願日】平成19年12月26日(2007.12.26)
【出願人】(594103301)三井住友カード株式会社 (39)
【Fターム(参考)】
【公開日】平成21年7月16日(2009.7.16)
【国際特許分類】
【出願日】平成19年12月26日(2007.12.26)
【出願人】(594103301)三井住友カード株式会社 (39)
【Fターム(参考)】
[ Back to top ]