ワンタイムパスワード生成システムおよびワンタイムパスワード生成方法、ワンタイムパスワード生成装置、制御サーバおよびその制御方法
【課題】従来にも増して安全性を高めることができる、ワンタイムパスワード生成システムの運用・維持を正確に行なうことのできるワンタイムパスワード生成システムを提供する。
【解決手段】制御サーバが所定のタイミングに基づいて、複数のワンタイムパスワードの生成アルゴリズムのうち前記ワンタイムパスワード生成装置の利用中の生成アルゴリズムとは異なる生成アルゴリズムへの変更通知を複数の各ワンタイムパスワード生成装置へ送信する。そしてワンタイムパスワード生成装置それぞれは、生成アルゴリズムの変更通知の通知を受けると、それまで利用していた生成アルゴリズムに代えて当該変更通知を受けた生成アルゴリズムを用いてワンタイムパスワードを生成する。
【解決手段】制御サーバが所定のタイミングに基づいて、複数のワンタイムパスワードの生成アルゴリズムのうち前記ワンタイムパスワード生成装置の利用中の生成アルゴリズムとは異なる生成アルゴリズムへの変更通知を複数の各ワンタイムパスワード生成装置へ送信する。そしてワンタイムパスワード生成装置それぞれは、生成アルゴリズムの変更通知の通知を受けると、それまで利用していた生成アルゴリズムに代えて当該変更通知を受けた生成アルゴリズムを用いてワンタイムパスワードを生成する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、互いに通信接続する複数の通信装置に備えられたワンタイムパスワード生成装置と、当該ワンタイムパスワード生成装置におけるワンタイムパスワードの生成処理を制御する制御サーバと、を備えたワンタイムパスワード生成システムおよびワンタイムパスワード生成方法、ワンタイムパスワード生成装置、制御サーバおよびその制御方法に関する。
【背景技術】
【0002】
通信接続を行うクライアント端末とサーバ装置の間で、あらかじめワンタイムパスワード生成に必要な情報を共有し、時刻同期に基づくアルゴリズム等を用いて双方で同じワンタイムパスワードを生成し、クライアント端末より受信したワンタイムパスワードが自装置で生成したワンタイムパスワードに一致するか否かの認証をサーバ装置が行なって、当該クライアント端末とサーバ装置間で通信接続を行なう仕組みが提供されている(例えば非特許文献1参照)。
【非特許文献1】“A One-Time Password System”、「online」、「平成18年02月13日検索」、インターネット<URL:http://www.ietf.org/rfc/rfc2289.txt>
【発明の開示】
【発明が解決しようとする課題】
【0003】
しかしながら従来の技術においては、予めクライアント端末やサーバ装置に備えられたワンタイムパスワード生成アルゴリズムが固定的であったり、ワンタイムパスワードを生成するために必要な秘密情報(例えば互いに通信接続クライアント端末とサーバ装置が保持しているPIN番号など)が固定的であるので、その生成アルゴリズムに脆弱性があると判断された場合や、秘密情報が漏洩した場合などに直ちに安全性を確保することが難しかった。さらに、ワンタイムパスワードの生成に例えば時刻同期のずれが生じた場合などにおいて、その不具合を解消することが必要となっていた。
【0004】
そこでこの発明は、従来にも増して安全性を高めることができ、ワンタイムパスワード生成システムの運用・維持を正確に行なうことのできるワンタイムパスワード生成システムおよびワンタイムパスワード生成方法、ワンタイムパスワード生成装置、制御サーバおよびその制御方法を提供することを目的としている。
【課題を解決するための手段】
【0005】
上記目的を達成するために、本発明は、通信装置の利用するワンタイムパスワードを生成するワンタイムパスワード生成装置と、当該ワンタイムパスワード生成装置におけるワンタイムパスワードの生成処理を制御する制御サーバと、前記ワンタイムパスワード生成装置の生成したワンタイムパスワードを用いて他の通信装置または前記制御サーバとの通信接続を行う通信装置と、を有するワンタイムパスワード生成システムであって、前記制御サーバは、所定のタイミングに基づいて、複数のワンタイムパスワードの生成アルゴリズムのうち前記ワンタイムパスワード生成装置の利用中の生成アルゴリズムとは異なる生成アルゴリズムへの変更通知を前記ワンタイムパスワード生成装置へ送信する生成アルゴリズム変更通知手段を備え、前記ワンタイムパスワード生成装置は、生成アルゴリズムの前記変更通知の通知を受けると、それまで利用していた生成アルゴリズムに代えて当該変更通知を受けた生成アルゴリズムを用いてワンタイムパスワードを生成するワンタイムパスワード生成手段と、を備えることを特徴とするワンタイムパスワード生成システムである。
【0006】
また本発明は、上述のワンタイムパスワード生成システムにおいて、前記ワンタイムパスワード生成装置は複数の通信装置にそれぞれ備えられており、前記制御サーバは、所定のグループの通信装置それぞれの備えたワンタイムパスワード生成装置へ、前記生成アルゴリズムの変更通知を送信することを特徴とする。
【0007】
また本発明は、通信装置の利用するワンタイムパスワードを生成するワンタイムパスワード生成装置と、当該ワンタイムパスワード生成装置におけるワンタイムパスワードの生成処理を制御する制御サーバと、前記ワンタイムパスワード生成装置の生成したワンタイムパスワードを用いて他の通信装置または前記制御サーバとの通信接続を行う通信装置と、を有するワンタイムパスワード生成システムであって、前記制御サーバは、新たな秘密情報を前記ワンタイムパスワード生成装置へ送信する秘密情報更新指示手段を備え、前記ワンタイムパスワード生成装置は、それまで利用していた秘密情報に代えて、受信した前記新たな秘密情報と前記生成アルゴリズムとを用いてワンタイムパスワードを生成するワンタイムパスワード生成手段と、ことを特徴とするワンタイムパスワード生成システムである。
【0008】
また本発明は、通信装置の利用するワンタイムパスワードを生成するワンタイムパスワード生成装置と、当該ワンタイムパスワード生成装置におけるワンタイムパスワードの生成処理を制御する制御サーバと、前記ワンタイムパスワード生成装置の生成したワンタイムパスワードを用いて他の通信装置または前記制御サーバとの通信接続を行う通信装置と、を有するワンタイムパスワード生成システムであって、前記制御サーバは、ワンタイムパスワード生成タイミングを前記ワンタイムパスワード生成装置へ送信する生成タイミング通知手段を備え、前記ワンタイムパスワード生成装置は、前記通知を受けたワンタイムパスワード生成タイミングに基づいて前記ワンタイムパスワードを生成するワンタイムパスワード生成手段を備えることを特徴とするワンタイムパスワード生成システムである。
【0009】
また本発明は、通信装置の利用するワンタイムパスワードを生成するワンタイムパスワード生成装置と、当該ワンタイムパスワード生成装置におけるワンタイムパスワードの生成処理を制御する制御サーバと、前記ワンタイムパスワード生成装置の生成したワンタイムパスワードを用いて他の通信装置または前記制御サーバとの通信接続を行う通信装置と、を有するワンタイムパスワード生成システムの前記制御サーバが、所定のタイミングに基づいて、複数のワンタイムパスワードの生成アルゴリズムのうち前記ワンタイムパスワード生成装置の利用中の生成アルゴリズムとは異なる生成アルゴリズムへの変更通知を前記ワンタイムパスワード生成装置へ送信する生成アルゴリズム変更通知手段と、新たな前記秘密情報を前記ワンタイムパスワード生成装置へ送信する秘密情報更新指示手段と、ワンタイムパスワード生成タイミングを前記ワンタイムパスワード生成装置へ送信する生成タイミング通知手段と、を備える前記ワンタイムパスワード生成システムの、前記ワンタイムパスワード生成装置であって、生成アルゴリズムの前記変更通知の通知を受けた場合には、それまで利用していた生成アルゴリズムに代えて当該変更通知を受けた生成アルゴリズムを用いてワンタイムパスワードを生成し、前記秘密情報を受信した場合には、それまで利用していた秘密情報に代えて、受信した前記新たな秘密情報と前記生成アルゴリズムとを用いてワンタイムパスワードを生成し、前記ワンタイムパスワード生成タイミングを受信した場合には、当該受信したワンタイムパスワード生成タイミングに基づいて前記ワンタイムパスワードを生成するワンタイムパスワード生成手段と、を備えることを特徴とするワンタイムパスワード生成装置である。
【0010】
また本発明は、通信装置の利用するワンタイムパスワードを生成するワンタイムパスワード生成装置と、当該ワンタイムパスワード生成装置におけるワンタイムパスワードの生成処理を制御する制御サーバと、前記ワンタイムパスワード生成装置の生成したワンタイムパスワードを用いて他の通信装置または前記制御サーバとの通信接続を行う通信装置と、を有するワンタイムパスワード生成システムの前記ワンタイムパスワード生成装置が、生成アルゴリズムの変更通知の通知を受けた場合には、それまで利用していた生成アルゴリズムに代えて当該変更通知を受けた生成アルゴリズムを用いてワンタイムパスワードを生成し、新たな秘密情報を受信した場合には、それまで利用していた秘密情報に代えて、受信した前記新たな秘密情報と前記生成アルゴリズムとを用いてワンタイムパスワードを生成し、ワンタイムパスワード生成タイミングを受信した場合には、当該受信したワンタイムパスワード生成タイミングに基づいて前記ワンタイムパスワードを生成するワンタイムパスワード生成手段を備えた前記ワンタイムパスワード生成システムの前記制御サーバであって、所定のタイミングに基づいて、複数のワンタイムパスワードの生成アルゴリズムのうち前記ワンタイムパスワード生成装置の利用中の生成アルゴリズムとは異なる生成アルゴリズムへの変更通知を前記ワンタイムパスワード生成装置へ送信する生成アルゴリズム変更通知手段と、新たな前記秘密情報を前記ワンタイムパスワード生成装置へ送信する秘密情報更新指示手段と、ワンタイムパスワード生成タイミングを前記ワンタイムパスワード生成装置へ送信する生成タイミング通知手段と、を備えることを特徴とする制御サーバである。
【0011】
また本発明は、通信装置の利用するワンタイムパスワードを生成するワンタイムパスワード生成装置と、当該ワンタイムパスワード生成装置におけるワンタイムパスワードの生成処理を制御する制御サーバと、前記ワンタイムパスワード生成装置の生成したワンタイムパスワードを用いて他の通信装置または前記制御サーバとの通信接続を行う通信装置と、を有するワンタイムパスワード生成システムにおけるワンタイムパスワード生成方法であって、前記制御サーバの生成アルゴリズム変更通知手段が、所定のタイミングに基づいて、複数のワンタイムパスワードの生成アルゴリズムのうち前記ワンタイムパスワード生成装置の利用中の生成アルゴリズムとは異なる生成アルゴリズムへの変更通知を前記ワンタイムパスワード生成装置へ送信し、前記ワンタイムパスワード生成装置のワンタイムパスワード生成手段が、生成アルゴリズムの前記変更通知の通知を受けると、それまで利用していた生成アルゴリズムに代えて当該変更通知を受けた生成アルゴリズムを用いてワンタイムパスワードを生成することを特徴とするワンタイムパスワード生成方法である。
【0012】
また本発明は、上述のワンタイムパスワード生成方法において、前記ワンタイムパスワード生成装置は複数の通信装置にそれぞれ備えられており、前記制御サーバは、所定のグループの通信装置それぞれの備えたワンタイムパスワード生成装置へ、前記生成アルゴリズムの変更通知を送信することを特徴とする。
【0013】
また本発明は、通信装置の利用するワンタイムパスワードを生成するワンタイムパスワード生成装置と、当該ワンタイムパスワード生成装置におけるワンタイムパスワードの生成処理を制御する制御サーバと、前記ワンタイムパスワード生成装置の生成したワンタイムパスワードを用いて他の通信装置または前記制御サーバとの通信接続を行う通信装置と、を有するワンタイムパスワード生成システムにおけるワンタイムパスワード生成方法であって、前記制御サーバの秘密情報更新指示手段は、新たな秘密情報を前記ワンタイムパスワード生成装置へ送信し、前記ワンタイムパスワード生成装置のワンタイムパスワード生成手段は、それまで利用していた秘密情報に代えて、受信した前記新たな秘密情報と前記生成アルゴリズムとを用いてワンタイムパスワードを生成することを特徴とするワンタイムパスワード生成方法である。
【0014】
また本発明は、通信装置の利用するワンタイムパスワードを生成するワンタイムパスワード生成装置と、当該ワンタイムパスワード生成装置におけるワンタイムパスワードの生成処理を制御する制御サーバと、前記ワンタイムパスワード生成装置の生成したワンタイムパスワードを用いて他の通信装置または前記制御サーバとの通信接続を行う通信装置と、を有するワンタイムパスワード生成システムにおけるワンタイムパスワード生成方法であって、前記制御サーバの生成タイミング通知手段は、ワンタイムパスワード生成タイミングを前記ワンタイムパスワード生成装置へ送信し、前記ワンタイムパスワード生成装置のワンタイムパスワード生成手段は、前記通知を受けたワンタイムパスワード生成タイミングに基づいて前記ワンタイムパスワードを生成することを特徴とするワンタイムパスワード生成方法である。
【0015】
また本発明は、通信装置の利用するワンタイムパスワードを生成するワンタイムパスワード生成装置と、当該ワンタイムパスワード生成装置におけるワンタイムパスワードの生成処理を制御する制御サーバと、前記ワンタイムパスワード生成装置の生成したワンタイムパスワードを用いて他の通信装置または前記制御サーバとの通信接続を行う通信装置と、を有するワンタイムパスワード生成システムの前記制御サーバが、所定のタイミングに基づいて、複数のワンタイムパスワードの生成アルゴリズムのうち前記ワンタイムパスワード生成装置の利用中の生成アルゴリズムとは異なる生成アルゴリズムへの変更通知を前記ワンタイムパスワード生成装置へ送信する生成アルゴリズム変更通知手段と、新たな前記秘密情報を前記ワンタイムパスワード生成装置へ送信する秘密情報更新指示手段と、ワンタイムパスワード生成タイミングを前記ワンタイムパスワード生成装置へ送信する生成タイミング通知手段と、を備える前記ワンタイムパスワード生成システムの、前記ワンタイムパスワード生成装置におけるワンタイムパスワード生成方法であって、前記ワンタイムパスワード生成装置のワンタイムパスワード生成手段が、生成アルゴリズムの前記変更通知の通知を受けた場合には、それまで利用していた生成アルゴリズムに代えて当該変更通知を受けた生成アルゴリズムを用いてワンタイムパスワードを生成し、前記秘密情報を受信した場合には、それまで利用していた秘密情報に代えて、受信した前記新たな秘密情報と前記生成アルゴリズムとを用いてワンタイムパスワードを生成し、前記ワンタイムパスワード生成タイミングを受信した場合には、当該受信したワンタイムパスワード生成タイミングに基づいて前記ワンタイムパスワードを生成することを特徴とするワンタイムパスワード生成方法である。
【0016】
また本発明は、通信装置の利用するワンタイムパスワードを生成するワンタイムパスワード生成装置と、当該ワンタイムパスワード生成装置におけるワンタイムパスワードの生成処理を制御する制御サーバと、前記ワンタイムパスワード生成装置の生成したワンタイムパスワードを用いて他の通信装置または前記制御サーバとの通信接続を行う通信装置と、を有するワンタイムパスワード生成システムの前記ワンタイムパスワード生成装置が、生成アルゴリズムの変更通知の通知を受けた場合には、それまで利用していた生成アルゴリズムに代えて当該変更通知を受けた生成アルゴリズムを用いてワンタイムパスワードを生成し、新たな秘密情報を受信した場合には、それまで利用していた秘密情報に代えて、受信した前記新たな秘密情報と前記生成アルゴリズムとを用いてワンタイムパスワードを生成し、ワンタイムパスワード生成タイミングを受信した場合には、当該受信したワンタイムパスワード生成タイミングに基づいて前記ワンタイムパスワードを生成するワンタイムパスワード生成手段を備えた前記ワンタイムパスワード生成システムの前記制御サーバにおける制御方法であって、前記制御サーバが、所定のタイミングに基づいて、複数のワンタイムパスワードの生成アルゴリズムのうち前記ワンタイムパスワード生成装置の利用中の生成アルゴリズムとは異なる生成アルゴリズムへの変更通知を前記ワンタイムパスワード生成装置へ送信し、新たな前記秘密情報を前記ワンタイムパスワード生成装置へ送信し、ワンタイムパスワード生成タイミングを前記ワンタイムパスワード生成装置へ送信することを特徴とする制御方法である。
【発明の効果】
【0017】
本発明によれば、互いに通信接続する複数の通信接続装置のうち、ある通信接続に利用されるOTP生成装置のワンタイムパスワード生成処理に関する情報が失われたり、またOTP生成装置のワンタイムパスワード更新タイミングの同期が互いに通信接続する通信接続装置のグループ内で外れてしまった場合などに、制御サーバはOTP生成装置へ初期情報となる変更通知を無線で送信し、OTP生成装置を初期化することができる。またOTP生成装置で既に使用されているOTP生成アルゴリズムが脆弱であることが発見された場合に、今まで使用していたアルゴリズムとは異なる新たなOTP生成アルゴリズムへの切り替えを制御サーバからOTP生成装置へ送信することができるので、そのセキュリティを高めることができる。またOTP生成装置にて、ある秘密情報(種)によるワンタイムパスワード生成処理が長期間使用された場合に、セキュリティ上の理由から秘密情報の初期値を変更しないとパスワードが破られてしまう可能性がある。このためある一定期間を超え、破られそうであると判断した場合には制御サーバからOTP生成装置へ新たな秘密情報を通知することでセキュリティの向上を図ることができる。つまり上述の処理により、従来にも増して安全性を高めることができ、ワンタイムパスワード生成システムの運用・維持を正確に行なうことのできるワンタイムパスワード生成システムを提供することができる。
【発明を実施するための最良の形態】
【0018】
以下、本発明の一実施形態によるワンタイムパスワード生成システムを図面を参照して説明する。図1は同実施形態によるワンタイムパスワード生成システムの構成を示すブロック図である。この図より、ワンタイムパスワード生成システムにおいては、1つまたは複数のワンタイムパスワード生成装置2と、ワンタイムパスワード生成装置2のワンタイムパスワードの生成処理を制御する制御サーバ1とを備えている。また、ワンタイムパスワード生成システムには、ワンタイムパスワード生成装置2の生成したワンタイムパスワードを用いて制御サーバ1と通信接続する1つまたは複数の通信接続装置3、または当該ワンタイムパスワードを用いて他の装置と通信接続する1つまたは複数の通信接続装置3が接続されている。図1においては、複数の通信接続装置3がワンタイムパスワード生成システムに接続されている例である。
【0019】
なお、ワンタイムパスワード生成装置2は1つの物理的に独立した装置であってもよいし、通信接続装置3に格納された1つの物理的な機能部であってもよい。またワンタイムパスワード生成装置2は通信接続装置3にインストールされたアプリケーションプログラムにより動作する処理機能部であってもよい。そしてワンタイムパスワード生成装置(以下、OTP生成装置とする)は、ワンタイムパスワード生成システムにおいて3つ以上であってもよい。また、ワンタイムパスワード装置2は図1においては通信接続装置3に備えられる装置として記載されているが、制御サーバ1の内部にワンタイムパスワード生成装置と同様の機能部を有し、この機能部においてワンタイムパスワードを生成するようにしてもよい。また本実施形態においては制御サーバ1と通信接続装置3が別々の構成となっているが、ある通信接続装置3が制御サーバ1の機能を保持していてもよい。さらに、図1においては、1つの通信ネットワークを介して、通信接続装置3同士の通信接続や、制御サーバ1とOTP生成装置2の通信接続が行われているが、これらは別の通信ネットワークを介して通信接続されるようにしてもよい。
【0020】
そして、制御サーバ1と各OTP生成装置2は通信ネットワークを介して接続される。またOTP生成装置2それぞれは、制御サーバ1から受信したOTP(ワンタイムパスワード)生成アルゴリズムや、ワンタイムパスワードを生成するために用いられる秘密情報や、その生成タイミングなどに基づいて、OTPを生成する。図1においてはOTP生成装置2が物理的に独立した装置である場合の状態を示しており、例えばOTP生成装置2にUSBインタフェースが備えられているのであれば、通信接続装置3のUSBインタフェースへ接続して用いられる。またOTP生成装置2は生成したワンタイムパスワードを液晶表示部に表示し、ユーザが通信接続装置3へ当該パスワードを入力することにより、通信接続装置3が互いに通信接続するようにしてもよい。
【0021】
図2は制御サーバとOTP生成装置の機能ブロックを示す図である。
図2に示すように、制御サーバ1はワンタイムパスワードの生成処理に用いられる各種情報の変更通知を送信する変更通知送信部である。また12はパスワード生成に用いる各種情報の決定や生成を行うパスワード生成処理変更通知部である。また13は各種情報を記憶するデータベースである。データベースには特に、ワンタイムパスワードを用いて互いに通信接続する通信接続装置3のグループについての情報が格納されている。そして図2においては制御サーバ1がアンテナを介して無線によりワンタイムパスワードの生成処理に用いる各種情報の変更通知を送信する場合の例を示している。変更通知は無線に限らず、有線の通信ネットワークを介してOTP生成装置2へ送信するようにしてもよい。またOTP生成装置2において、符号21は制御サーバ1からワンタイムパスワードの生成処理に用いる各種情報の変更通知を受信する変更通知受信部である。また22はワンタイムパスワードを生成するOTP生成処理部である。また23は生成したワンタイムパスワードを通信接続装置3へ通知するOTP通知部である。この他OTP生成装置はワンタイムパスワード生成の為の各種情報を記憶する記憶部を備えている。また時刻をカウントする時刻カウント部を備えていてもよい。
【0022】
図3は本実施形態によるワンタイムパスワード生成システムの処理フローを示す図である。
次に本実施形態によるワンタイムパスワード生成システムの処理フローを順を追って説明する。
まず、管理者から指示入力を受付けた場合や、予め設定された時刻(カウンタの時刻に応じて一定期間以上経過したと判定される時刻など)において、制御サーバ1のパスワード生成処理変更通知部12は、ワンタイムパスワード生成処理の変更グループを特定する(ステップS101)。例えば変更グループのIDの入力を受付けたり、設定ファイルに登録されている変更グループのIDを読み取る。そして、当該変更グループのIDに対応付けられてデータベース13に格納されているOTP生成装置2の通信先の一覧(IPアドレスや固有IDなど)を読み取る。また制御サーバ1はワンタイムパスワード生成処理に新たに用いるためのOTP生成アルゴリズム、秘密情報(パスワード生成に利用される種となる番号や文字列)、OTP生成タイミング(1分置きに生成、何時何分に生成など)などの情報を、設定ファイルから読み取ったり、ユーザから入力を受ける。そして、それら情報の少なくとも1つを格納した変更通知を変更グループに属するOTP生成装置2へ送信する(ステップS102)。なお、変更通知において、秘密情報やその他の情報を元にワンタイムパスワードを生成するための具体的な計算手順を記述した情報を変更通知として送信するようにしても良いし、またワンタイムパスワード生成に使用するハッシュ関数の名前や、生成するワンタイムパスワードのビット長などの生成アルゴリズムの種類の情報を変更通知として送信するようにしても良い。
【0023】
OTP生成装置2は制御サーバ1から変更通知を受信すると(ステップS103)、当該変更通知に格納されている各情報をOTP生成処理部22へ転送する。OTP生成処理部22においては、それまで利用していたOTP生成アルゴリズムや、秘密情報や、OTP生成タイミングなどの情報を破棄し、新たなOTP生成アルゴリズムや、秘密情報や、OTP生成タイミングなどの情報を用いてワンタイムパスワードを生成する(ステップS104)。そしてワンタイムパスワードを生成するとOTP通知部23が当該生成したワンタイムパスワードを通信接続装置3へ送信する(ステップS105)。通信接続装置3は受信したワンタイムパスワードを用いて、他の通信接続装置3との認証を行い、通信接続を行う(ステップS106)。
【0024】
次にOTP生成装置のワンタイムパスワード生成処理についてより詳細に説明する。
OTP生成装置2は、制御サーバ1から受信した変更通知によって、新たな方法でワンタイムパスワードを生成するが、例えばOTP生成アルゴリズムの変更において、時刻同期方式からカウンタ同期方式に変更するのであれば、以降のワンタイムパスワードの生成処理においてはカウンタ同期方式へ変更する。また秘密情報の変更であれば、当該新たな秘密情報とOTP生成アルゴリズムを用いて、ワンタイムパスワードを生成する。なお変更通知は変更グループの全てのOTP生成装置2へ送信されているので、当該変更グループに属する全てのOTP生成装置2において、同じワンタイムパスワードが生成される。そして、そのワンタイムパスワードが同一か否かに基づいて、それら同一変更グループのOTP生成装置2の接続された各通信制御装置3は、通信接続の認証処理を行う。
【0025】
またOTP生成装置2は新たなOTP生成タイミングの情報を変更通知によって受付けた場合には、当該OTP生成タイミングに応じたタイミングでのワンタイムパスワードの生成を行う。例えば5分おきに生成、1時間おきに生成、1日おきに生成する。または、変更通知を受けた際に直ちにワンタイムパスワードを生成するという処理を行うようにしても良い。また変更通知にOTP生成アルゴリズムや秘密情報やOTP生成タイミングの有効期限が格納されており、当該有効期限が切れた場合にはOTP生成装置2はワンタイムパスワードの生成処理を停止するようにしてもよい。
【0026】
なお、OTP生成装置2の機能が制御サーバ1に格納される場合には、制御サーバ1において上述のワンタイムパスワードの生成が行われて、1つまたは複数の所定の通信制御装置3に送信される。
【0027】
また制御サーバ1は上述のワンタイムパスワード生成処理の変更グループを特定する際に、新たな変更グループの情報を受け付けて、その変更グループに対してOTP生成アルゴリズム、秘密情報、OTP生成タイミングなどの情報を送信するようにしても良い。これにより、パスワードを共有する装置のグループを後から動的に変更することができる。
【0028】
以上、本発明の一実施形態によるワンタイムパスワード生成システムについて説明したが、これによれば、互いに通信接続する複数の通信接続装置のうち少なくとも1つの通信接続装置に利用されるOTP生成装置のワンタイムパスワード生成処理に関する情報が失われたり、またOTP生成装置のワンタイムパスワード更新タイミングの同期がグループ内で外れてしまった場合などに、制御サーバはOTP生成装置へ初期情報となる変更通知を無線で送信し、OTP生成装置を初期化することができる。またOTP生成装置で既に使用されているOTP生成アルゴリズムが脆弱であることが発見された場合に、今まで使用していたアルゴリズムとは異なる新たなOTP生成アルゴリズムへの切り替えを制御サーバからOTP生成装置へ送信することができるので、そのセキュリティを高めることができる。またOTP生成装置にて、ある秘密情報(種)によるワンタイムパスワード生成処理が長期間使用された場合に、セキュリティ上の理由から秘密情報の初期値を変更しないとパスワードが破られてしまう可能性がある。このためある一定期間を超え、破られそうであると判断した場合には制御サーバからOTP生成装置へ新たな秘密情報を通知することでセキュリティの向上を図ることができる。つまり上述の処理により、従来にも増して安全性を高めることができ、ワンタイムパスワード生成システムの運用・維持を正確に行なうことのできるワンタイムパスワード生成システムを提供することができる。
【0029】
なお、図2における処理部は電子回路としてハードウェアChip化されているようにしても、また、各処理部の機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することにより上述の処理を行うようにしてもよい。ここでコンピュータ読み取り可能な記録媒体とは、磁気ディスク、光磁気ディスク、CD−ROM、DVD−ROM、半導体メモリ等をいう。また、このコンピュータプログラムを通信回線によってコンピュータに配信し、この配信を受けたコンピュータが当該プログラムを実行するようにしても良い。
【0030】
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
【図面の簡単な説明】
【0031】
【図1】ワンタイムパスワード生成システムの構成を示すブロック図である。
【図2】制御サーバとOTP生成装置の機能ブロックを示す図である。
【図3】ワンタイムパスワード生成システムの処理フローを示す図である。
【符号の説明】
【0032】
1・・・制御サーバ
2・・・OTP生成装置
3・・・通信接続装置
【技術分野】
【0001】
本発明は、互いに通信接続する複数の通信装置に備えられたワンタイムパスワード生成装置と、当該ワンタイムパスワード生成装置におけるワンタイムパスワードの生成処理を制御する制御サーバと、を備えたワンタイムパスワード生成システムおよびワンタイムパスワード生成方法、ワンタイムパスワード生成装置、制御サーバおよびその制御方法に関する。
【背景技術】
【0002】
通信接続を行うクライアント端末とサーバ装置の間で、あらかじめワンタイムパスワード生成に必要な情報を共有し、時刻同期に基づくアルゴリズム等を用いて双方で同じワンタイムパスワードを生成し、クライアント端末より受信したワンタイムパスワードが自装置で生成したワンタイムパスワードに一致するか否かの認証をサーバ装置が行なって、当該クライアント端末とサーバ装置間で通信接続を行なう仕組みが提供されている(例えば非特許文献1参照)。
【非特許文献1】“A One-Time Password System”、「online」、「平成18年02月13日検索」、インターネット<URL:http://www.ietf.org/rfc/rfc2289.txt>
【発明の開示】
【発明が解決しようとする課題】
【0003】
しかしながら従来の技術においては、予めクライアント端末やサーバ装置に備えられたワンタイムパスワード生成アルゴリズムが固定的であったり、ワンタイムパスワードを生成するために必要な秘密情報(例えば互いに通信接続クライアント端末とサーバ装置が保持しているPIN番号など)が固定的であるので、その生成アルゴリズムに脆弱性があると判断された場合や、秘密情報が漏洩した場合などに直ちに安全性を確保することが難しかった。さらに、ワンタイムパスワードの生成に例えば時刻同期のずれが生じた場合などにおいて、その不具合を解消することが必要となっていた。
【0004】
そこでこの発明は、従来にも増して安全性を高めることができ、ワンタイムパスワード生成システムの運用・維持を正確に行なうことのできるワンタイムパスワード生成システムおよびワンタイムパスワード生成方法、ワンタイムパスワード生成装置、制御サーバおよびその制御方法を提供することを目的としている。
【課題を解決するための手段】
【0005】
上記目的を達成するために、本発明は、通信装置の利用するワンタイムパスワードを生成するワンタイムパスワード生成装置と、当該ワンタイムパスワード生成装置におけるワンタイムパスワードの生成処理を制御する制御サーバと、前記ワンタイムパスワード生成装置の生成したワンタイムパスワードを用いて他の通信装置または前記制御サーバとの通信接続を行う通信装置と、を有するワンタイムパスワード生成システムであって、前記制御サーバは、所定のタイミングに基づいて、複数のワンタイムパスワードの生成アルゴリズムのうち前記ワンタイムパスワード生成装置の利用中の生成アルゴリズムとは異なる生成アルゴリズムへの変更通知を前記ワンタイムパスワード生成装置へ送信する生成アルゴリズム変更通知手段を備え、前記ワンタイムパスワード生成装置は、生成アルゴリズムの前記変更通知の通知を受けると、それまで利用していた生成アルゴリズムに代えて当該変更通知を受けた生成アルゴリズムを用いてワンタイムパスワードを生成するワンタイムパスワード生成手段と、を備えることを特徴とするワンタイムパスワード生成システムである。
【0006】
また本発明は、上述のワンタイムパスワード生成システムにおいて、前記ワンタイムパスワード生成装置は複数の通信装置にそれぞれ備えられており、前記制御サーバは、所定のグループの通信装置それぞれの備えたワンタイムパスワード生成装置へ、前記生成アルゴリズムの変更通知を送信することを特徴とする。
【0007】
また本発明は、通信装置の利用するワンタイムパスワードを生成するワンタイムパスワード生成装置と、当該ワンタイムパスワード生成装置におけるワンタイムパスワードの生成処理を制御する制御サーバと、前記ワンタイムパスワード生成装置の生成したワンタイムパスワードを用いて他の通信装置または前記制御サーバとの通信接続を行う通信装置と、を有するワンタイムパスワード生成システムであって、前記制御サーバは、新たな秘密情報を前記ワンタイムパスワード生成装置へ送信する秘密情報更新指示手段を備え、前記ワンタイムパスワード生成装置は、それまで利用していた秘密情報に代えて、受信した前記新たな秘密情報と前記生成アルゴリズムとを用いてワンタイムパスワードを生成するワンタイムパスワード生成手段と、ことを特徴とするワンタイムパスワード生成システムである。
【0008】
また本発明は、通信装置の利用するワンタイムパスワードを生成するワンタイムパスワード生成装置と、当該ワンタイムパスワード生成装置におけるワンタイムパスワードの生成処理を制御する制御サーバと、前記ワンタイムパスワード生成装置の生成したワンタイムパスワードを用いて他の通信装置または前記制御サーバとの通信接続を行う通信装置と、を有するワンタイムパスワード生成システムであって、前記制御サーバは、ワンタイムパスワード生成タイミングを前記ワンタイムパスワード生成装置へ送信する生成タイミング通知手段を備え、前記ワンタイムパスワード生成装置は、前記通知を受けたワンタイムパスワード生成タイミングに基づいて前記ワンタイムパスワードを生成するワンタイムパスワード生成手段を備えることを特徴とするワンタイムパスワード生成システムである。
【0009】
また本発明は、通信装置の利用するワンタイムパスワードを生成するワンタイムパスワード生成装置と、当該ワンタイムパスワード生成装置におけるワンタイムパスワードの生成処理を制御する制御サーバと、前記ワンタイムパスワード生成装置の生成したワンタイムパスワードを用いて他の通信装置または前記制御サーバとの通信接続を行う通信装置と、を有するワンタイムパスワード生成システムの前記制御サーバが、所定のタイミングに基づいて、複数のワンタイムパスワードの生成アルゴリズムのうち前記ワンタイムパスワード生成装置の利用中の生成アルゴリズムとは異なる生成アルゴリズムへの変更通知を前記ワンタイムパスワード生成装置へ送信する生成アルゴリズム変更通知手段と、新たな前記秘密情報を前記ワンタイムパスワード生成装置へ送信する秘密情報更新指示手段と、ワンタイムパスワード生成タイミングを前記ワンタイムパスワード生成装置へ送信する生成タイミング通知手段と、を備える前記ワンタイムパスワード生成システムの、前記ワンタイムパスワード生成装置であって、生成アルゴリズムの前記変更通知の通知を受けた場合には、それまで利用していた生成アルゴリズムに代えて当該変更通知を受けた生成アルゴリズムを用いてワンタイムパスワードを生成し、前記秘密情報を受信した場合には、それまで利用していた秘密情報に代えて、受信した前記新たな秘密情報と前記生成アルゴリズムとを用いてワンタイムパスワードを生成し、前記ワンタイムパスワード生成タイミングを受信した場合には、当該受信したワンタイムパスワード生成タイミングに基づいて前記ワンタイムパスワードを生成するワンタイムパスワード生成手段と、を備えることを特徴とするワンタイムパスワード生成装置である。
【0010】
また本発明は、通信装置の利用するワンタイムパスワードを生成するワンタイムパスワード生成装置と、当該ワンタイムパスワード生成装置におけるワンタイムパスワードの生成処理を制御する制御サーバと、前記ワンタイムパスワード生成装置の生成したワンタイムパスワードを用いて他の通信装置または前記制御サーバとの通信接続を行う通信装置と、を有するワンタイムパスワード生成システムの前記ワンタイムパスワード生成装置が、生成アルゴリズムの変更通知の通知を受けた場合には、それまで利用していた生成アルゴリズムに代えて当該変更通知を受けた生成アルゴリズムを用いてワンタイムパスワードを生成し、新たな秘密情報を受信した場合には、それまで利用していた秘密情報に代えて、受信した前記新たな秘密情報と前記生成アルゴリズムとを用いてワンタイムパスワードを生成し、ワンタイムパスワード生成タイミングを受信した場合には、当該受信したワンタイムパスワード生成タイミングに基づいて前記ワンタイムパスワードを生成するワンタイムパスワード生成手段を備えた前記ワンタイムパスワード生成システムの前記制御サーバであって、所定のタイミングに基づいて、複数のワンタイムパスワードの生成アルゴリズムのうち前記ワンタイムパスワード生成装置の利用中の生成アルゴリズムとは異なる生成アルゴリズムへの変更通知を前記ワンタイムパスワード生成装置へ送信する生成アルゴリズム変更通知手段と、新たな前記秘密情報を前記ワンタイムパスワード生成装置へ送信する秘密情報更新指示手段と、ワンタイムパスワード生成タイミングを前記ワンタイムパスワード生成装置へ送信する生成タイミング通知手段と、を備えることを特徴とする制御サーバである。
【0011】
また本発明は、通信装置の利用するワンタイムパスワードを生成するワンタイムパスワード生成装置と、当該ワンタイムパスワード生成装置におけるワンタイムパスワードの生成処理を制御する制御サーバと、前記ワンタイムパスワード生成装置の生成したワンタイムパスワードを用いて他の通信装置または前記制御サーバとの通信接続を行う通信装置と、を有するワンタイムパスワード生成システムにおけるワンタイムパスワード生成方法であって、前記制御サーバの生成アルゴリズム変更通知手段が、所定のタイミングに基づいて、複数のワンタイムパスワードの生成アルゴリズムのうち前記ワンタイムパスワード生成装置の利用中の生成アルゴリズムとは異なる生成アルゴリズムへの変更通知を前記ワンタイムパスワード生成装置へ送信し、前記ワンタイムパスワード生成装置のワンタイムパスワード生成手段が、生成アルゴリズムの前記変更通知の通知を受けると、それまで利用していた生成アルゴリズムに代えて当該変更通知を受けた生成アルゴリズムを用いてワンタイムパスワードを生成することを特徴とするワンタイムパスワード生成方法である。
【0012】
また本発明は、上述のワンタイムパスワード生成方法において、前記ワンタイムパスワード生成装置は複数の通信装置にそれぞれ備えられており、前記制御サーバは、所定のグループの通信装置それぞれの備えたワンタイムパスワード生成装置へ、前記生成アルゴリズムの変更通知を送信することを特徴とする。
【0013】
また本発明は、通信装置の利用するワンタイムパスワードを生成するワンタイムパスワード生成装置と、当該ワンタイムパスワード生成装置におけるワンタイムパスワードの生成処理を制御する制御サーバと、前記ワンタイムパスワード生成装置の生成したワンタイムパスワードを用いて他の通信装置または前記制御サーバとの通信接続を行う通信装置と、を有するワンタイムパスワード生成システムにおけるワンタイムパスワード生成方法であって、前記制御サーバの秘密情報更新指示手段は、新たな秘密情報を前記ワンタイムパスワード生成装置へ送信し、前記ワンタイムパスワード生成装置のワンタイムパスワード生成手段は、それまで利用していた秘密情報に代えて、受信した前記新たな秘密情報と前記生成アルゴリズムとを用いてワンタイムパスワードを生成することを特徴とするワンタイムパスワード生成方法である。
【0014】
また本発明は、通信装置の利用するワンタイムパスワードを生成するワンタイムパスワード生成装置と、当該ワンタイムパスワード生成装置におけるワンタイムパスワードの生成処理を制御する制御サーバと、前記ワンタイムパスワード生成装置の生成したワンタイムパスワードを用いて他の通信装置または前記制御サーバとの通信接続を行う通信装置と、を有するワンタイムパスワード生成システムにおけるワンタイムパスワード生成方法であって、前記制御サーバの生成タイミング通知手段は、ワンタイムパスワード生成タイミングを前記ワンタイムパスワード生成装置へ送信し、前記ワンタイムパスワード生成装置のワンタイムパスワード生成手段は、前記通知を受けたワンタイムパスワード生成タイミングに基づいて前記ワンタイムパスワードを生成することを特徴とするワンタイムパスワード生成方法である。
【0015】
また本発明は、通信装置の利用するワンタイムパスワードを生成するワンタイムパスワード生成装置と、当該ワンタイムパスワード生成装置におけるワンタイムパスワードの生成処理を制御する制御サーバと、前記ワンタイムパスワード生成装置の生成したワンタイムパスワードを用いて他の通信装置または前記制御サーバとの通信接続を行う通信装置と、を有するワンタイムパスワード生成システムの前記制御サーバが、所定のタイミングに基づいて、複数のワンタイムパスワードの生成アルゴリズムのうち前記ワンタイムパスワード生成装置の利用中の生成アルゴリズムとは異なる生成アルゴリズムへの変更通知を前記ワンタイムパスワード生成装置へ送信する生成アルゴリズム変更通知手段と、新たな前記秘密情報を前記ワンタイムパスワード生成装置へ送信する秘密情報更新指示手段と、ワンタイムパスワード生成タイミングを前記ワンタイムパスワード生成装置へ送信する生成タイミング通知手段と、を備える前記ワンタイムパスワード生成システムの、前記ワンタイムパスワード生成装置におけるワンタイムパスワード生成方法であって、前記ワンタイムパスワード生成装置のワンタイムパスワード生成手段が、生成アルゴリズムの前記変更通知の通知を受けた場合には、それまで利用していた生成アルゴリズムに代えて当該変更通知を受けた生成アルゴリズムを用いてワンタイムパスワードを生成し、前記秘密情報を受信した場合には、それまで利用していた秘密情報に代えて、受信した前記新たな秘密情報と前記生成アルゴリズムとを用いてワンタイムパスワードを生成し、前記ワンタイムパスワード生成タイミングを受信した場合には、当該受信したワンタイムパスワード生成タイミングに基づいて前記ワンタイムパスワードを生成することを特徴とするワンタイムパスワード生成方法である。
【0016】
また本発明は、通信装置の利用するワンタイムパスワードを生成するワンタイムパスワード生成装置と、当該ワンタイムパスワード生成装置におけるワンタイムパスワードの生成処理を制御する制御サーバと、前記ワンタイムパスワード生成装置の生成したワンタイムパスワードを用いて他の通信装置または前記制御サーバとの通信接続を行う通信装置と、を有するワンタイムパスワード生成システムの前記ワンタイムパスワード生成装置が、生成アルゴリズムの変更通知の通知を受けた場合には、それまで利用していた生成アルゴリズムに代えて当該変更通知を受けた生成アルゴリズムを用いてワンタイムパスワードを生成し、新たな秘密情報を受信した場合には、それまで利用していた秘密情報に代えて、受信した前記新たな秘密情報と前記生成アルゴリズムとを用いてワンタイムパスワードを生成し、ワンタイムパスワード生成タイミングを受信した場合には、当該受信したワンタイムパスワード生成タイミングに基づいて前記ワンタイムパスワードを生成するワンタイムパスワード生成手段を備えた前記ワンタイムパスワード生成システムの前記制御サーバにおける制御方法であって、前記制御サーバが、所定のタイミングに基づいて、複数のワンタイムパスワードの生成アルゴリズムのうち前記ワンタイムパスワード生成装置の利用中の生成アルゴリズムとは異なる生成アルゴリズムへの変更通知を前記ワンタイムパスワード生成装置へ送信し、新たな前記秘密情報を前記ワンタイムパスワード生成装置へ送信し、ワンタイムパスワード生成タイミングを前記ワンタイムパスワード生成装置へ送信することを特徴とする制御方法である。
【発明の効果】
【0017】
本発明によれば、互いに通信接続する複数の通信接続装置のうち、ある通信接続に利用されるOTP生成装置のワンタイムパスワード生成処理に関する情報が失われたり、またOTP生成装置のワンタイムパスワード更新タイミングの同期が互いに通信接続する通信接続装置のグループ内で外れてしまった場合などに、制御サーバはOTP生成装置へ初期情報となる変更通知を無線で送信し、OTP生成装置を初期化することができる。またOTP生成装置で既に使用されているOTP生成アルゴリズムが脆弱であることが発見された場合に、今まで使用していたアルゴリズムとは異なる新たなOTP生成アルゴリズムへの切り替えを制御サーバからOTP生成装置へ送信することができるので、そのセキュリティを高めることができる。またOTP生成装置にて、ある秘密情報(種)によるワンタイムパスワード生成処理が長期間使用された場合に、セキュリティ上の理由から秘密情報の初期値を変更しないとパスワードが破られてしまう可能性がある。このためある一定期間を超え、破られそうであると判断した場合には制御サーバからOTP生成装置へ新たな秘密情報を通知することでセキュリティの向上を図ることができる。つまり上述の処理により、従来にも増して安全性を高めることができ、ワンタイムパスワード生成システムの運用・維持を正確に行なうことのできるワンタイムパスワード生成システムを提供することができる。
【発明を実施するための最良の形態】
【0018】
以下、本発明の一実施形態によるワンタイムパスワード生成システムを図面を参照して説明する。図1は同実施形態によるワンタイムパスワード生成システムの構成を示すブロック図である。この図より、ワンタイムパスワード生成システムにおいては、1つまたは複数のワンタイムパスワード生成装置2と、ワンタイムパスワード生成装置2のワンタイムパスワードの生成処理を制御する制御サーバ1とを備えている。また、ワンタイムパスワード生成システムには、ワンタイムパスワード生成装置2の生成したワンタイムパスワードを用いて制御サーバ1と通信接続する1つまたは複数の通信接続装置3、または当該ワンタイムパスワードを用いて他の装置と通信接続する1つまたは複数の通信接続装置3が接続されている。図1においては、複数の通信接続装置3がワンタイムパスワード生成システムに接続されている例である。
【0019】
なお、ワンタイムパスワード生成装置2は1つの物理的に独立した装置であってもよいし、通信接続装置3に格納された1つの物理的な機能部であってもよい。またワンタイムパスワード生成装置2は通信接続装置3にインストールされたアプリケーションプログラムにより動作する処理機能部であってもよい。そしてワンタイムパスワード生成装置(以下、OTP生成装置とする)は、ワンタイムパスワード生成システムにおいて3つ以上であってもよい。また、ワンタイムパスワード装置2は図1においては通信接続装置3に備えられる装置として記載されているが、制御サーバ1の内部にワンタイムパスワード生成装置と同様の機能部を有し、この機能部においてワンタイムパスワードを生成するようにしてもよい。また本実施形態においては制御サーバ1と通信接続装置3が別々の構成となっているが、ある通信接続装置3が制御サーバ1の機能を保持していてもよい。さらに、図1においては、1つの通信ネットワークを介して、通信接続装置3同士の通信接続や、制御サーバ1とOTP生成装置2の通信接続が行われているが、これらは別の通信ネットワークを介して通信接続されるようにしてもよい。
【0020】
そして、制御サーバ1と各OTP生成装置2は通信ネットワークを介して接続される。またOTP生成装置2それぞれは、制御サーバ1から受信したOTP(ワンタイムパスワード)生成アルゴリズムや、ワンタイムパスワードを生成するために用いられる秘密情報や、その生成タイミングなどに基づいて、OTPを生成する。図1においてはOTP生成装置2が物理的に独立した装置である場合の状態を示しており、例えばOTP生成装置2にUSBインタフェースが備えられているのであれば、通信接続装置3のUSBインタフェースへ接続して用いられる。またOTP生成装置2は生成したワンタイムパスワードを液晶表示部に表示し、ユーザが通信接続装置3へ当該パスワードを入力することにより、通信接続装置3が互いに通信接続するようにしてもよい。
【0021】
図2は制御サーバとOTP生成装置の機能ブロックを示す図である。
図2に示すように、制御サーバ1はワンタイムパスワードの生成処理に用いられる各種情報の変更通知を送信する変更通知送信部である。また12はパスワード生成に用いる各種情報の決定や生成を行うパスワード生成処理変更通知部である。また13は各種情報を記憶するデータベースである。データベースには特に、ワンタイムパスワードを用いて互いに通信接続する通信接続装置3のグループについての情報が格納されている。そして図2においては制御サーバ1がアンテナを介して無線によりワンタイムパスワードの生成処理に用いる各種情報の変更通知を送信する場合の例を示している。変更通知は無線に限らず、有線の通信ネットワークを介してOTP生成装置2へ送信するようにしてもよい。またOTP生成装置2において、符号21は制御サーバ1からワンタイムパスワードの生成処理に用いる各種情報の変更通知を受信する変更通知受信部である。また22はワンタイムパスワードを生成するOTP生成処理部である。また23は生成したワンタイムパスワードを通信接続装置3へ通知するOTP通知部である。この他OTP生成装置はワンタイムパスワード生成の為の各種情報を記憶する記憶部を備えている。また時刻をカウントする時刻カウント部を備えていてもよい。
【0022】
図3は本実施形態によるワンタイムパスワード生成システムの処理フローを示す図である。
次に本実施形態によるワンタイムパスワード生成システムの処理フローを順を追って説明する。
まず、管理者から指示入力を受付けた場合や、予め設定された時刻(カウンタの時刻に応じて一定期間以上経過したと判定される時刻など)において、制御サーバ1のパスワード生成処理変更通知部12は、ワンタイムパスワード生成処理の変更グループを特定する(ステップS101)。例えば変更グループのIDの入力を受付けたり、設定ファイルに登録されている変更グループのIDを読み取る。そして、当該変更グループのIDに対応付けられてデータベース13に格納されているOTP生成装置2の通信先の一覧(IPアドレスや固有IDなど)を読み取る。また制御サーバ1はワンタイムパスワード生成処理に新たに用いるためのOTP生成アルゴリズム、秘密情報(パスワード生成に利用される種となる番号や文字列)、OTP生成タイミング(1分置きに生成、何時何分に生成など)などの情報を、設定ファイルから読み取ったり、ユーザから入力を受ける。そして、それら情報の少なくとも1つを格納した変更通知を変更グループに属するOTP生成装置2へ送信する(ステップS102)。なお、変更通知において、秘密情報やその他の情報を元にワンタイムパスワードを生成するための具体的な計算手順を記述した情報を変更通知として送信するようにしても良いし、またワンタイムパスワード生成に使用するハッシュ関数の名前や、生成するワンタイムパスワードのビット長などの生成アルゴリズムの種類の情報を変更通知として送信するようにしても良い。
【0023】
OTP生成装置2は制御サーバ1から変更通知を受信すると(ステップS103)、当該変更通知に格納されている各情報をOTP生成処理部22へ転送する。OTP生成処理部22においては、それまで利用していたOTP生成アルゴリズムや、秘密情報や、OTP生成タイミングなどの情報を破棄し、新たなOTP生成アルゴリズムや、秘密情報や、OTP生成タイミングなどの情報を用いてワンタイムパスワードを生成する(ステップS104)。そしてワンタイムパスワードを生成するとOTP通知部23が当該生成したワンタイムパスワードを通信接続装置3へ送信する(ステップS105)。通信接続装置3は受信したワンタイムパスワードを用いて、他の通信接続装置3との認証を行い、通信接続を行う(ステップS106)。
【0024】
次にOTP生成装置のワンタイムパスワード生成処理についてより詳細に説明する。
OTP生成装置2は、制御サーバ1から受信した変更通知によって、新たな方法でワンタイムパスワードを生成するが、例えばOTP生成アルゴリズムの変更において、時刻同期方式からカウンタ同期方式に変更するのであれば、以降のワンタイムパスワードの生成処理においてはカウンタ同期方式へ変更する。また秘密情報の変更であれば、当該新たな秘密情報とOTP生成アルゴリズムを用いて、ワンタイムパスワードを生成する。なお変更通知は変更グループの全てのOTP生成装置2へ送信されているので、当該変更グループに属する全てのOTP生成装置2において、同じワンタイムパスワードが生成される。そして、そのワンタイムパスワードが同一か否かに基づいて、それら同一変更グループのOTP生成装置2の接続された各通信制御装置3は、通信接続の認証処理を行う。
【0025】
またOTP生成装置2は新たなOTP生成タイミングの情報を変更通知によって受付けた場合には、当該OTP生成タイミングに応じたタイミングでのワンタイムパスワードの生成を行う。例えば5分おきに生成、1時間おきに生成、1日おきに生成する。または、変更通知を受けた際に直ちにワンタイムパスワードを生成するという処理を行うようにしても良い。また変更通知にOTP生成アルゴリズムや秘密情報やOTP生成タイミングの有効期限が格納されており、当該有効期限が切れた場合にはOTP生成装置2はワンタイムパスワードの生成処理を停止するようにしてもよい。
【0026】
なお、OTP生成装置2の機能が制御サーバ1に格納される場合には、制御サーバ1において上述のワンタイムパスワードの生成が行われて、1つまたは複数の所定の通信制御装置3に送信される。
【0027】
また制御サーバ1は上述のワンタイムパスワード生成処理の変更グループを特定する際に、新たな変更グループの情報を受け付けて、その変更グループに対してOTP生成アルゴリズム、秘密情報、OTP生成タイミングなどの情報を送信するようにしても良い。これにより、パスワードを共有する装置のグループを後から動的に変更することができる。
【0028】
以上、本発明の一実施形態によるワンタイムパスワード生成システムについて説明したが、これによれば、互いに通信接続する複数の通信接続装置のうち少なくとも1つの通信接続装置に利用されるOTP生成装置のワンタイムパスワード生成処理に関する情報が失われたり、またOTP生成装置のワンタイムパスワード更新タイミングの同期がグループ内で外れてしまった場合などに、制御サーバはOTP生成装置へ初期情報となる変更通知を無線で送信し、OTP生成装置を初期化することができる。またOTP生成装置で既に使用されているOTP生成アルゴリズムが脆弱であることが発見された場合に、今まで使用していたアルゴリズムとは異なる新たなOTP生成アルゴリズムへの切り替えを制御サーバからOTP生成装置へ送信することができるので、そのセキュリティを高めることができる。またOTP生成装置にて、ある秘密情報(種)によるワンタイムパスワード生成処理が長期間使用された場合に、セキュリティ上の理由から秘密情報の初期値を変更しないとパスワードが破られてしまう可能性がある。このためある一定期間を超え、破られそうであると判断した場合には制御サーバからOTP生成装置へ新たな秘密情報を通知することでセキュリティの向上を図ることができる。つまり上述の処理により、従来にも増して安全性を高めることができ、ワンタイムパスワード生成システムの運用・維持を正確に行なうことのできるワンタイムパスワード生成システムを提供することができる。
【0029】
なお、図2における処理部は電子回路としてハードウェアChip化されているようにしても、また、各処理部の機能を実現するためのプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することにより上述の処理を行うようにしてもよい。ここでコンピュータ読み取り可能な記録媒体とは、磁気ディスク、光磁気ディスク、CD−ROM、DVD−ROM、半導体メモリ等をいう。また、このコンピュータプログラムを通信回線によってコンピュータに配信し、この配信を受けたコンピュータが当該プログラムを実行するようにしても良い。
【0030】
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
【図面の簡単な説明】
【0031】
【図1】ワンタイムパスワード生成システムの構成を示すブロック図である。
【図2】制御サーバとOTP生成装置の機能ブロックを示す図である。
【図3】ワンタイムパスワード生成システムの処理フローを示す図である。
【符号の説明】
【0032】
1・・・制御サーバ
2・・・OTP生成装置
3・・・通信接続装置
【特許請求の範囲】
【請求項1】
通信装置の利用するワンタイムパスワードを生成するワンタイムパスワード生成装置と、当該ワンタイムパスワード生成装置におけるワンタイムパスワードの生成処理を制御する制御サーバと、前記ワンタイムパスワード生成装置の生成したワンタイムパスワードを用いて他の通信装置または前記制御サーバとの通信接続を行う通信装置と、を有するワンタイムパスワード生成システムであって、
前記制御サーバは、
所定のタイミングに基づいて、複数のワンタイムパスワードの生成アルゴリズムのうち前記ワンタイムパスワード生成装置の利用中の生成アルゴリズムとは異なる生成アルゴリズムへの変更通知を前記ワンタイムパスワード生成装置へ送信する生成アルゴリズム変更通知手段を備え、
前記ワンタイムパスワード生成装置は、
生成アルゴリズムの前記変更通知の通知を受けると、それまで利用していた生成アルゴリズムに代えて当該変更通知を受けた生成アルゴリズムを用いてワンタイムパスワードを生成するワンタイムパスワード生成手段と、
を備えることを特徴とするワンタイムパスワード生成システム。
【請求項2】
前記ワンタイムパスワード生成装置は複数の通信装置にそれぞれ備えられており、
前記制御サーバは、所定のグループの通信装置それぞれの備えたワンタイムパスワード生成装置へ、前記生成アルゴリズムの変更通知を送信する
ことを特徴とする請求項1に記載のワンタイムパスワード生成システム。
【請求項3】
通信装置の利用するワンタイムパスワードを生成するワンタイムパスワード生成装置と、当該ワンタイムパスワード生成装置におけるワンタイムパスワードの生成処理を制御する制御サーバと、前記ワンタイムパスワード生成装置の生成したワンタイムパスワードを用いて他の通信装置または前記制御サーバとの通信接続を行う通信装置と、を有するワンタイムパスワード生成システムであって、
前記制御サーバは、新たな秘密情報を前記ワンタイムパスワード生成装置へ送信する秘密情報更新指示手段を備え、
前記ワンタイムパスワード生成装置は、それまで利用していた秘密情報に代えて、受信した前記新たな秘密情報と前記生成アルゴリズムとを用いてワンタイムパスワードを生成するワンタイムパスワード生成手段と、
ことを特徴とするワンタイムパスワード生成システム。
【請求項4】
通信装置の利用するワンタイムパスワードを生成するワンタイムパスワード生成装置と、当該ワンタイムパスワード生成装置におけるワンタイムパスワードの生成処理を制御する制御サーバと、前記ワンタイムパスワード生成装置の生成したワンタイムパスワードを用いて他の通信装置または前記制御サーバとの通信接続を行う通信装置と、を有するワンタイムパスワード生成システムであって、
前記制御サーバは、ワンタイムパスワード生成タイミングを前記ワンタイムパスワード生成装置へ送信する生成タイミング通知手段を備え、
前記ワンタイムパスワード生成装置は、前記通知を受けたワンタイムパスワード生成タイミングに基づいて前記ワンタイムパスワードを生成するワンタイムパスワード生成手段を備える
ことを特徴とするワンタイムパスワード生成システム。
【請求項5】
通信装置の利用するワンタイムパスワードを生成するワンタイムパスワード生成装置と、当該ワンタイムパスワード生成装置におけるワンタイムパスワードの生成処理を制御する制御サーバと、前記ワンタイムパスワード生成装置の生成したワンタイムパスワードを用いて他の通信装置または前記制御サーバとの通信接続を行う通信装置と、を有するワンタイムパスワード生成システムの前記制御サーバが、所定のタイミングに基づいて、複数のワンタイムパスワードの生成アルゴリズムのうち前記ワンタイムパスワード生成装置の利用中の生成アルゴリズムとは異なる生成アルゴリズムへの変更通知を前記ワンタイムパスワード生成装置へ送信する生成アルゴリズム変更通知手段と、新たな前記秘密情報を前記ワンタイムパスワード生成装置へ送信する秘密情報更新指示手段と、ワンタイムパスワード生成タイミングを前記ワンタイムパスワード生成装置へ送信する生成タイミング通知手段と、を備える前記ワンタイムパスワード生成システムの、前記ワンタイムパスワード生成装置であって、
生成アルゴリズムの前記変更通知の通知を受けた場合には、それまで利用していた生成アルゴリズムに代えて当該変更通知を受けた生成アルゴリズムを用いてワンタイムパスワードを生成し、
前記秘密情報を受信した場合には、それまで利用していた秘密情報に代えて、受信した前記新たな秘密情報と前記生成アルゴリズムとを用いてワンタイムパスワードを生成し、
前記ワンタイムパスワード生成タイミングを受信した場合には、当該受信したワンタイムパスワード生成タイミングに基づいて前記ワンタイムパスワードを生成するワンタイムパスワード生成手段と、
を備えることを特徴とするワンタイムパスワード生成装置。
【請求項6】
通信装置の利用するワンタイムパスワードを生成するワンタイムパスワード生成装置と、当該ワンタイムパスワード生成装置におけるワンタイムパスワードの生成処理を制御する制御サーバと、前記ワンタイムパスワード生成装置の生成したワンタイムパスワードを用いて他の通信装置または前記制御サーバとの通信接続を行う通信装置と、を有するワンタイムパスワード生成システムの前記ワンタイムパスワード生成装置が、
生成アルゴリズムの変更通知の通知を受けた場合には、それまで利用していた生成アルゴリズムに代えて当該変更通知を受けた生成アルゴリズムを用いてワンタイムパスワードを生成し、新たな秘密情報を受信した場合には、それまで利用していた秘密情報に代えて、受信した前記新たな秘密情報と前記生成アルゴリズムとを用いてワンタイムパスワードを生成し、ワンタイムパスワード生成タイミングを受信した場合には、当該受信したワンタイムパスワード生成タイミングに基づいて前記ワンタイムパスワードを生成するワンタイムパスワード生成手段を備えた前記ワンタイムパスワード生成システムの前記制御サーバであって、
所定のタイミングに基づいて、複数のワンタイムパスワードの生成アルゴリズムのうち前記ワンタイムパスワード生成装置の利用中の生成アルゴリズムとは異なる生成アルゴリズムへの変更通知を前記ワンタイムパスワード生成装置へ送信する生成アルゴリズム変更通知手段と、
新たな前記秘密情報を前記ワンタイムパスワード生成装置へ送信する秘密情報更新指示手段と、
ワンタイムパスワード生成タイミングを前記ワンタイムパスワード生成装置へ送信する生成タイミング通知手段と、
を備えることを特徴とする制御サーバ。
【請求項7】
通信装置の利用するワンタイムパスワードを生成するワンタイムパスワード生成装置と、当該ワンタイムパスワード生成装置におけるワンタイムパスワードの生成処理を制御する制御サーバと、前記ワンタイムパスワード生成装置の生成したワンタイムパスワードを用いて他の通信装置または前記制御サーバとの通信接続を行う通信装置と、を有するワンタイムパスワード生成システムにおけるワンタイムパスワード生成方法であって、
前記制御サーバの生成アルゴリズム変更通知手段が、所定のタイミングに基づいて、複数のワンタイムパスワードの生成アルゴリズムのうち前記ワンタイムパスワード生成装置の利用中の生成アルゴリズムとは異なる生成アルゴリズムへの変更通知を前記ワンタイムパスワード生成装置へ送信し、
前記ワンタイムパスワード生成装置のワンタイムパスワード生成手段が、生成アルゴリズムの前記変更通知の通知を受けると、それまで利用していた生成アルゴリズムに代えて当該変更通知を受けた生成アルゴリズムを用いてワンタイムパスワードを生成する
ことを特徴とするワンタイムパスワード生成方法。
【請求項8】
前記ワンタイムパスワード生成装置は複数の通信装置にそれぞれ備えられており、前記制御サーバは、所定のグループの通信装置それぞれの備えたワンタイムパスワード生成装置へ、前記生成アルゴリズムの変更通知を送信する
ことを特徴とする請求項7に記載のワンタイムパスワード生成方法。
【請求項9】
通信装置の利用するワンタイムパスワードを生成するワンタイムパスワード生成装置と、当該ワンタイムパスワード生成装置におけるワンタイムパスワードの生成処理を制御する制御サーバと、前記ワンタイムパスワード生成装置の生成したワンタイムパスワードを用いて他の通信装置または前記制御サーバとの通信接続を行う通信装置と、を有するワンタイムパスワード生成システムにおけるワンタイムパスワード生成方法であって、
前記制御サーバの秘密情報更新指示手段は、新たな秘密情報を前記ワンタイムパスワード生成装置へ送信し、
前記ワンタイムパスワード生成装置のワンタイムパスワード生成手段は、それまで利用していた秘密情報に代えて、受信した前記新たな秘密情報と前記生成アルゴリズムとを用いてワンタイムパスワードを生成する
ことを特徴とするワンタイムパスワード生成方法。
【請求項10】
通信装置の利用するワンタイムパスワードを生成するワンタイムパスワード生成装置と、当該ワンタイムパスワード生成装置におけるワンタイムパスワードの生成処理を制御する制御サーバと、前記ワンタイムパスワード生成装置の生成したワンタイムパスワードを用いて他の通信装置または前記制御サーバとの通信接続を行う通信装置と、を有するワンタイムパスワード生成システムにおけるワンタイムパスワード生成方法であって、
前記制御サーバの生成タイミング通知手段は、ワンタイムパスワード生成タイミングを前記ワンタイムパスワード生成装置へ送信し、
前記ワンタイムパスワード生成装置のワンタイムパスワード生成手段は、前記通知を受けたワンタイムパスワード生成タイミングに基づいて前記ワンタイムパスワードを生成する
ことを特徴とするワンタイムパスワード生成方法。
【請求項11】
通信装置の利用するワンタイムパスワードを生成するワンタイムパスワード生成装置と、当該ワンタイムパスワード生成装置におけるワンタイムパスワードの生成処理を制御する制御サーバと、前記ワンタイムパスワード生成装置の生成したワンタイムパスワードを用いて他の通信装置または前記制御サーバとの通信接続を行う通信装置と、を有するワンタイムパスワード生成システムの前記制御サーバが、所定のタイミングに基づいて、複数のワンタイムパスワードの生成アルゴリズムのうち前記ワンタイムパスワード生成装置の利用中の生成アルゴリズムとは異なる生成アルゴリズムへの変更通知を前記ワンタイムパスワード生成装置へ送信する生成アルゴリズム変更通知手段と、新たな前記秘密情報を前記ワンタイムパスワード生成装置へ送信する秘密情報更新指示手段と、ワンタイムパスワード生成タイミングを前記ワンタイムパスワード生成装置へ送信する生成タイミング通知手段と、を備える前記ワンタイムパスワード生成システムの、前記ワンタイムパスワード生成装置におけるワンタイムパスワード生成方法であって、
前記ワンタイムパスワード生成装置のワンタイムパスワード生成手段が、
生成アルゴリズムの前記変更通知の通知を受けた場合には、それまで利用していた生成アルゴリズムに代えて当該変更通知を受けた生成アルゴリズムを用いてワンタイムパスワードを生成し、
前記秘密情報を受信した場合には、それまで利用していた秘密情報に代えて、受信した前記新たな秘密情報と前記生成アルゴリズムとを用いてワンタイムパスワードを生成し、
前記ワンタイムパスワード生成タイミングを受信した場合には、当該受信したワンタイムパスワード生成タイミングに基づいて前記ワンタイムパスワードを生成する
ことを特徴とするワンタイムパスワード生成方法。
【請求項12】
通信装置の利用するワンタイムパスワードを生成するワンタイムパスワード生成装置と、当該ワンタイムパスワード生成装置におけるワンタイムパスワードの生成処理を制御する制御サーバと、前記ワンタイムパスワード生成装置の生成したワンタイムパスワードを用いて他の通信装置または前記制御サーバとの通信接続を行う通信装置と、を有するワンタイムパスワード生成システムの前記ワンタイムパスワード生成装置が、
生成アルゴリズムの変更通知の通知を受けた場合には、それまで利用していた生成アルゴリズムに代えて当該変更通知を受けた生成アルゴリズムを用いてワンタイムパスワードを生成し、新たな秘密情報を受信した場合には、それまで利用していた秘密情報に代えて、受信した前記新たな秘密情報と前記生成アルゴリズムとを用いてワンタイムパスワードを生成し、ワンタイムパスワード生成タイミングを受信した場合には、当該受信したワンタイムパスワード生成タイミングに基づいて前記ワンタイムパスワードを生成するワンタイムパスワード生成手段を備えた前記ワンタイムパスワード生成システムの前記制御サーバにおける制御方法であって、
前記制御サーバが、
所定のタイミングに基づいて、複数のワンタイムパスワードの生成アルゴリズムのうち前記ワンタイムパスワード生成装置の利用中の生成アルゴリズムとは異なる生成アルゴリズムへの変更通知を前記ワンタイムパスワード生成装置へ送信し、
新たな前記秘密情報を前記ワンタイムパスワード生成装置へ送信し、
ワンタイムパスワード生成タイミングを前記ワンタイムパスワード生成装置へ送信する
ことを特徴とする制御方法。
【請求項1】
通信装置の利用するワンタイムパスワードを生成するワンタイムパスワード生成装置と、当該ワンタイムパスワード生成装置におけるワンタイムパスワードの生成処理を制御する制御サーバと、前記ワンタイムパスワード生成装置の生成したワンタイムパスワードを用いて他の通信装置または前記制御サーバとの通信接続を行う通信装置と、を有するワンタイムパスワード生成システムであって、
前記制御サーバは、
所定のタイミングに基づいて、複数のワンタイムパスワードの生成アルゴリズムのうち前記ワンタイムパスワード生成装置の利用中の生成アルゴリズムとは異なる生成アルゴリズムへの変更通知を前記ワンタイムパスワード生成装置へ送信する生成アルゴリズム変更通知手段を備え、
前記ワンタイムパスワード生成装置は、
生成アルゴリズムの前記変更通知の通知を受けると、それまで利用していた生成アルゴリズムに代えて当該変更通知を受けた生成アルゴリズムを用いてワンタイムパスワードを生成するワンタイムパスワード生成手段と、
を備えることを特徴とするワンタイムパスワード生成システム。
【請求項2】
前記ワンタイムパスワード生成装置は複数の通信装置にそれぞれ備えられており、
前記制御サーバは、所定のグループの通信装置それぞれの備えたワンタイムパスワード生成装置へ、前記生成アルゴリズムの変更通知を送信する
ことを特徴とする請求項1に記載のワンタイムパスワード生成システム。
【請求項3】
通信装置の利用するワンタイムパスワードを生成するワンタイムパスワード生成装置と、当該ワンタイムパスワード生成装置におけるワンタイムパスワードの生成処理を制御する制御サーバと、前記ワンタイムパスワード生成装置の生成したワンタイムパスワードを用いて他の通信装置または前記制御サーバとの通信接続を行う通信装置と、を有するワンタイムパスワード生成システムであって、
前記制御サーバは、新たな秘密情報を前記ワンタイムパスワード生成装置へ送信する秘密情報更新指示手段を備え、
前記ワンタイムパスワード生成装置は、それまで利用していた秘密情報に代えて、受信した前記新たな秘密情報と前記生成アルゴリズムとを用いてワンタイムパスワードを生成するワンタイムパスワード生成手段と、
ことを特徴とするワンタイムパスワード生成システム。
【請求項4】
通信装置の利用するワンタイムパスワードを生成するワンタイムパスワード生成装置と、当該ワンタイムパスワード生成装置におけるワンタイムパスワードの生成処理を制御する制御サーバと、前記ワンタイムパスワード生成装置の生成したワンタイムパスワードを用いて他の通信装置または前記制御サーバとの通信接続を行う通信装置と、を有するワンタイムパスワード生成システムであって、
前記制御サーバは、ワンタイムパスワード生成タイミングを前記ワンタイムパスワード生成装置へ送信する生成タイミング通知手段を備え、
前記ワンタイムパスワード生成装置は、前記通知を受けたワンタイムパスワード生成タイミングに基づいて前記ワンタイムパスワードを生成するワンタイムパスワード生成手段を備える
ことを特徴とするワンタイムパスワード生成システム。
【請求項5】
通信装置の利用するワンタイムパスワードを生成するワンタイムパスワード生成装置と、当該ワンタイムパスワード生成装置におけるワンタイムパスワードの生成処理を制御する制御サーバと、前記ワンタイムパスワード生成装置の生成したワンタイムパスワードを用いて他の通信装置または前記制御サーバとの通信接続を行う通信装置と、を有するワンタイムパスワード生成システムの前記制御サーバが、所定のタイミングに基づいて、複数のワンタイムパスワードの生成アルゴリズムのうち前記ワンタイムパスワード生成装置の利用中の生成アルゴリズムとは異なる生成アルゴリズムへの変更通知を前記ワンタイムパスワード生成装置へ送信する生成アルゴリズム変更通知手段と、新たな前記秘密情報を前記ワンタイムパスワード生成装置へ送信する秘密情報更新指示手段と、ワンタイムパスワード生成タイミングを前記ワンタイムパスワード生成装置へ送信する生成タイミング通知手段と、を備える前記ワンタイムパスワード生成システムの、前記ワンタイムパスワード生成装置であって、
生成アルゴリズムの前記変更通知の通知を受けた場合には、それまで利用していた生成アルゴリズムに代えて当該変更通知を受けた生成アルゴリズムを用いてワンタイムパスワードを生成し、
前記秘密情報を受信した場合には、それまで利用していた秘密情報に代えて、受信した前記新たな秘密情報と前記生成アルゴリズムとを用いてワンタイムパスワードを生成し、
前記ワンタイムパスワード生成タイミングを受信した場合には、当該受信したワンタイムパスワード生成タイミングに基づいて前記ワンタイムパスワードを生成するワンタイムパスワード生成手段と、
を備えることを特徴とするワンタイムパスワード生成装置。
【請求項6】
通信装置の利用するワンタイムパスワードを生成するワンタイムパスワード生成装置と、当該ワンタイムパスワード生成装置におけるワンタイムパスワードの生成処理を制御する制御サーバと、前記ワンタイムパスワード生成装置の生成したワンタイムパスワードを用いて他の通信装置または前記制御サーバとの通信接続を行う通信装置と、を有するワンタイムパスワード生成システムの前記ワンタイムパスワード生成装置が、
生成アルゴリズムの変更通知の通知を受けた場合には、それまで利用していた生成アルゴリズムに代えて当該変更通知を受けた生成アルゴリズムを用いてワンタイムパスワードを生成し、新たな秘密情報を受信した場合には、それまで利用していた秘密情報に代えて、受信した前記新たな秘密情報と前記生成アルゴリズムとを用いてワンタイムパスワードを生成し、ワンタイムパスワード生成タイミングを受信した場合には、当該受信したワンタイムパスワード生成タイミングに基づいて前記ワンタイムパスワードを生成するワンタイムパスワード生成手段を備えた前記ワンタイムパスワード生成システムの前記制御サーバであって、
所定のタイミングに基づいて、複数のワンタイムパスワードの生成アルゴリズムのうち前記ワンタイムパスワード生成装置の利用中の生成アルゴリズムとは異なる生成アルゴリズムへの変更通知を前記ワンタイムパスワード生成装置へ送信する生成アルゴリズム変更通知手段と、
新たな前記秘密情報を前記ワンタイムパスワード生成装置へ送信する秘密情報更新指示手段と、
ワンタイムパスワード生成タイミングを前記ワンタイムパスワード生成装置へ送信する生成タイミング通知手段と、
を備えることを特徴とする制御サーバ。
【請求項7】
通信装置の利用するワンタイムパスワードを生成するワンタイムパスワード生成装置と、当該ワンタイムパスワード生成装置におけるワンタイムパスワードの生成処理を制御する制御サーバと、前記ワンタイムパスワード生成装置の生成したワンタイムパスワードを用いて他の通信装置または前記制御サーバとの通信接続を行う通信装置と、を有するワンタイムパスワード生成システムにおけるワンタイムパスワード生成方法であって、
前記制御サーバの生成アルゴリズム変更通知手段が、所定のタイミングに基づいて、複数のワンタイムパスワードの生成アルゴリズムのうち前記ワンタイムパスワード生成装置の利用中の生成アルゴリズムとは異なる生成アルゴリズムへの変更通知を前記ワンタイムパスワード生成装置へ送信し、
前記ワンタイムパスワード生成装置のワンタイムパスワード生成手段が、生成アルゴリズムの前記変更通知の通知を受けると、それまで利用していた生成アルゴリズムに代えて当該変更通知を受けた生成アルゴリズムを用いてワンタイムパスワードを生成する
ことを特徴とするワンタイムパスワード生成方法。
【請求項8】
前記ワンタイムパスワード生成装置は複数の通信装置にそれぞれ備えられており、前記制御サーバは、所定のグループの通信装置それぞれの備えたワンタイムパスワード生成装置へ、前記生成アルゴリズムの変更通知を送信する
ことを特徴とする請求項7に記載のワンタイムパスワード生成方法。
【請求項9】
通信装置の利用するワンタイムパスワードを生成するワンタイムパスワード生成装置と、当該ワンタイムパスワード生成装置におけるワンタイムパスワードの生成処理を制御する制御サーバと、前記ワンタイムパスワード生成装置の生成したワンタイムパスワードを用いて他の通信装置または前記制御サーバとの通信接続を行う通信装置と、を有するワンタイムパスワード生成システムにおけるワンタイムパスワード生成方法であって、
前記制御サーバの秘密情報更新指示手段は、新たな秘密情報を前記ワンタイムパスワード生成装置へ送信し、
前記ワンタイムパスワード生成装置のワンタイムパスワード生成手段は、それまで利用していた秘密情報に代えて、受信した前記新たな秘密情報と前記生成アルゴリズムとを用いてワンタイムパスワードを生成する
ことを特徴とするワンタイムパスワード生成方法。
【請求項10】
通信装置の利用するワンタイムパスワードを生成するワンタイムパスワード生成装置と、当該ワンタイムパスワード生成装置におけるワンタイムパスワードの生成処理を制御する制御サーバと、前記ワンタイムパスワード生成装置の生成したワンタイムパスワードを用いて他の通信装置または前記制御サーバとの通信接続を行う通信装置と、を有するワンタイムパスワード生成システムにおけるワンタイムパスワード生成方法であって、
前記制御サーバの生成タイミング通知手段は、ワンタイムパスワード生成タイミングを前記ワンタイムパスワード生成装置へ送信し、
前記ワンタイムパスワード生成装置のワンタイムパスワード生成手段は、前記通知を受けたワンタイムパスワード生成タイミングに基づいて前記ワンタイムパスワードを生成する
ことを特徴とするワンタイムパスワード生成方法。
【請求項11】
通信装置の利用するワンタイムパスワードを生成するワンタイムパスワード生成装置と、当該ワンタイムパスワード生成装置におけるワンタイムパスワードの生成処理を制御する制御サーバと、前記ワンタイムパスワード生成装置の生成したワンタイムパスワードを用いて他の通信装置または前記制御サーバとの通信接続を行う通信装置と、を有するワンタイムパスワード生成システムの前記制御サーバが、所定のタイミングに基づいて、複数のワンタイムパスワードの生成アルゴリズムのうち前記ワンタイムパスワード生成装置の利用中の生成アルゴリズムとは異なる生成アルゴリズムへの変更通知を前記ワンタイムパスワード生成装置へ送信する生成アルゴリズム変更通知手段と、新たな前記秘密情報を前記ワンタイムパスワード生成装置へ送信する秘密情報更新指示手段と、ワンタイムパスワード生成タイミングを前記ワンタイムパスワード生成装置へ送信する生成タイミング通知手段と、を備える前記ワンタイムパスワード生成システムの、前記ワンタイムパスワード生成装置におけるワンタイムパスワード生成方法であって、
前記ワンタイムパスワード生成装置のワンタイムパスワード生成手段が、
生成アルゴリズムの前記変更通知の通知を受けた場合には、それまで利用していた生成アルゴリズムに代えて当該変更通知を受けた生成アルゴリズムを用いてワンタイムパスワードを生成し、
前記秘密情報を受信した場合には、それまで利用していた秘密情報に代えて、受信した前記新たな秘密情報と前記生成アルゴリズムとを用いてワンタイムパスワードを生成し、
前記ワンタイムパスワード生成タイミングを受信した場合には、当該受信したワンタイムパスワード生成タイミングに基づいて前記ワンタイムパスワードを生成する
ことを特徴とするワンタイムパスワード生成方法。
【請求項12】
通信装置の利用するワンタイムパスワードを生成するワンタイムパスワード生成装置と、当該ワンタイムパスワード生成装置におけるワンタイムパスワードの生成処理を制御する制御サーバと、前記ワンタイムパスワード生成装置の生成したワンタイムパスワードを用いて他の通信装置または前記制御サーバとの通信接続を行う通信装置と、を有するワンタイムパスワード生成システムの前記ワンタイムパスワード生成装置が、
生成アルゴリズムの変更通知の通知を受けた場合には、それまで利用していた生成アルゴリズムに代えて当該変更通知を受けた生成アルゴリズムを用いてワンタイムパスワードを生成し、新たな秘密情報を受信した場合には、それまで利用していた秘密情報に代えて、受信した前記新たな秘密情報と前記生成アルゴリズムとを用いてワンタイムパスワードを生成し、ワンタイムパスワード生成タイミングを受信した場合には、当該受信したワンタイムパスワード生成タイミングに基づいて前記ワンタイムパスワードを生成するワンタイムパスワード生成手段を備えた前記ワンタイムパスワード生成システムの前記制御サーバにおける制御方法であって、
前記制御サーバが、
所定のタイミングに基づいて、複数のワンタイムパスワードの生成アルゴリズムのうち前記ワンタイムパスワード生成装置の利用中の生成アルゴリズムとは異なる生成アルゴリズムへの変更通知を前記ワンタイムパスワード生成装置へ送信し、
新たな前記秘密情報を前記ワンタイムパスワード生成装置へ送信し、
ワンタイムパスワード生成タイミングを前記ワンタイムパスワード生成装置へ送信する
ことを特徴とする制御方法。
【図1】
【図2】
【図3】
【図2】
【図3】
【公開番号】特開2007−317091(P2007−317091A)
【公開日】平成19年12月6日(2007.12.6)
【国際特許分類】
【出願番号】特願2006−148254(P2006−148254)
【出願日】平成18年5月29日(2006.5.29)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
【公開日】平成19年12月6日(2007.12.6)
【国際特許分類】
【出願日】平成18年5月29日(2006.5.29)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
[ Back to top ]