ワンタイムパスワード発行システム
【課題】本発明の課題は、信頼性のあるワンタイムパスワードを発行するシステムを提供することである。
【解決手段】時刻情報をICカードに送信して、ICカードが生成したワンタイムパスワードまたは警告情報を表示するICカードリーダライタと、ICカードリーダライタから受信した時刻情報と前回受信して前記記憶手段に記憶されている前回時刻情報を比較して、受信した時刻が前回時刻より進んでいるか否かを判定して、(1)前記時刻情報が前回時刻より進んでいると判定された場合には、前記時刻情報と前記秘密情報を用いてワンタイムパスワードを生成する、あるいは(2)現在時刻が前回時刻より遅れていると判定された場合には、前回時刻を含む警告情報を生成するICカードとから構成されることを特徴とするワンタイムパスワード発行システムである。
【解決手段】時刻情報をICカードに送信して、ICカードが生成したワンタイムパスワードまたは警告情報を表示するICカードリーダライタと、ICカードリーダライタから受信した時刻情報と前回受信して前記記憶手段に記憶されている前回時刻情報を比較して、受信した時刻が前回時刻より進んでいるか否かを判定して、(1)前記時刻情報が前回時刻より進んでいると判定された場合には、前記時刻情報と前記秘密情報を用いてワンタイムパスワードを生成する、あるいは(2)現在時刻が前回時刻より遅れていると判定された場合には、前回時刻を含む警告情報を生成するICカードとから構成されることを特徴とするワンタイムパスワード発行システムである。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ワンタイムパスワードを用いた本人認証において、正当性なワンタイムパスワードを発行するシステムに関するものである。
【背景技術】
【0002】
近年、本人認証の信頼性を高めるために、認証のたびに暗証情報(以下、使い捨てパスワード)を使い捨てるワンタイムパスワードを用いた本人認証方法が増えている。
ワンタイムパスワードの代表的な生成方法には、認証装置と認証を受ける利用者の両者が同期した時刻を利用して、それぞれにワンタイムパスワードを生成して比較照合する時刻同期方式がある。
【0003】
たとえば、特許文献1では、個人が所有するクロックを備える個人所有装置(=標準クレジットカード形状の電源内蔵型ICカード。以下、電源内蔵型ICカード)を用いて、クロックが発生する時間情報(=現在時刻情報)から一意的な時間変化予測不能コード(=時刻同期方式のワンタイムパスワード。以下、ワンタイムパスワード)を発生させて、中央照合コンピュータ(=認証装置)に送信して、認証装置は電源内蔵型ICカードのクロックと同期させたクロックを備えて電源内蔵型ICカードと同じアルゴリズムを使用してワンタイムパスワードを発生させて、両ワンタイムパスワードを照合して認証する技術が開示されている。
【特許文献1】特表平6−507277号公報(4−5ページ、図1、3)ところで、特許文献1の技術では、ICカードが備えるクロックを認証装置のクロックと同期させるために、クロックの電源を内蔵するICカード(=アクティブ型ICカード)を用いなければならないが、特許文献1でも指摘されるように、カード形状の厚さがクレジットカードより厚くなるので、カード形状の統一性が崩れて、携帯性や使用感が悪化するという理由や、クロックが正常に動作し続けるために電源が切れないように注意を払わなければならない煩雑さがあるという理由から普及しなかった。現在使用されているICカードとしては、標準クレジットカード形状と同じ厚さ使い勝手がよくて、電源切れ防止の注意を払わなくてよいという理由から、電池を内蔵しないICカード(=パッシブ型)が広く普及している。このようなパッシブ型ICカードでは、クロックを備えることができないので、外部のクロックから現在時刻情報を取得して、ワンタイムパスワードを生成している。
【発明の開示】
【発明が解決しようとする課題】
【0004】
このようにICカードとクロックを分離した場合には、ICカードが外部から時刻情報を受信することになるため、外部クロックが未来の時刻情報を不正にICカードに送ることによって、使用する時刻よりもはるか前にワンタイムパスワードを取得することが可能になるので、悪用される危険性を持つという脆弱性が存在する。
【0005】
本発明はこのような点を解決するためになされたものであって、本発明の課題は、信頼性のあるワンタイムパスワードを発行するシステムを提供することである。
【課題を解決するための手段】
【0006】
本発明は、以下のような解決手段により、前記課題を解決する。すなわち、請求項1の発明は、ICカード(100)と、ICカードリーダライタ(300)から構成されるワンタイムパスワード発行システムであって、前記ICカードリーダライタ(300)は、ICカードの認証情報(たとえば、暗証情報)の入力を受け付ける入力部と、入力部が受け付けた認証情報をICカード(100)に送信する認証情報送信手段と、認証情報の入力を受け付けしたときの時刻情報をICカード(100)に送信する時刻送信手段と、ICカードが生成したワンタイムパスワードまたは警告情報を表示する表示部と、を備えるリーダライタであって、前記ICカード(100)は、認証情報と前回時刻情報(191)と秘密情報(193)を記憶する記憶手段と、ICカードリーダライタ(300)が送信する認証情報を受信して、記憶手段の認証情報と照合して、認証する本人認証手段と、前記ICカードリーダライタ(300)から前記時刻情報を受信する時刻情報受信手段と、受信した時刻情報と前回受信して前記記憶手段に記憶されている前回時刻情報(191)を比較して、受信した時刻が前回時刻より進んでいるか否かを判定する判定手段と、前記判定手段により、前記時刻情報が前回時刻より進んでいると判定された場合には、前記時刻情報と前記秘密情報(193)を用いてワンタイムパスワードを生成するワンタイムパスワード生成手段と、前記判定手段により、現在時刻が前回時刻より遅れていると判定された場合には、前回時刻を含む警告情報を生成する警告手段と、を備えるICカードであることを特徴とするワンタイムパスワード発行システムである。
【0007】
このように、ICカードでワンタイムパスワードを生成する時に、前回のワンタイムパスワード生成時刻が未来の時刻であれば、外部クロックが未来の時刻情報を用いて不正にワンタイムパスワードを生成させたことが知ることができる。
【0008】
請求項2の発明は、ICカード(100)と、ICカードリーダライタ(300)から構成されるワンタイムパスワード発行システムであって、前記ICカードリーダライタ(300)は、時刻情報をICカード(100)に送信する時刻送信手段と、ICカードが生成したワンタイムパスワードまたは警告情報を表示する表示部と、を備えるリーダライタであって、前記ICカード(100)は、前回時刻情報(191)と秘密情報(193)を記憶する記憶手段と、前記ICカードリーダライタ(300)から前記時刻情報を受信する時刻情報受信手段と、受信した時刻情報と前回受信して前記記憶手段に記憶されている前回時刻情報(191)を比較して、受信した時刻が前回時刻より進んでいるか否かを判定する判定手段と、前記判定手段により、前記時刻情報が前回時刻より進んでいると判定された場合には、前記時刻情報と前記秘密情報(193)を用いてワンタイムパスワードを生成するワンタイムパスワード生成手段と、前記判定手段により、現在時刻が前回時刻より遅れていると判定された場合には、前回時刻を含む警告情報を生成する警告手段と、を備えるICカードであることを特徴とするワンタイムパスワード発行システムである。
【発明の効果】
【0009】
本願発明によれば、未来の時刻情報を用いて不正にワンタイムパスワードを生成させたことがあるか否かを調査することで不正利用を防止することが可能である。
【発明を実施するための最良の形態】
【0010】
以下、図面等を参照しながら、本発明の実施の形態について、更に詳しく説明する。
【0011】
図1は、ワンタイムパスワード発行システム1の概要を説明する図である。ワンタイムパスワード発行システム1は、ICカード100と、ICカードリーダライタ300と、利用端末装置500と、認証サーバ装置700から構成される。利用端末装置500と認証サーバ装置700は、通信接続される。
【0012】
ICカード100は、時刻情報を得てワンタイムパスワードを生成する。
【0013】
ICカード100は、コンピュータプログラムによって制御される電子媒体である。ICカード100のコンピュータプログラムは、たとえば,JAVA(登録商標)言語あるいはC言語にて機能を追加することができる。
【0014】
ICカードリーダライタ300は、ICカードリーダを備える。
【0015】
ICカードリーダライタ300は、コンピュータプログラムによって制御されるコンピュータである。
【0016】
認証サーバ装置500は、コンピュータプログラムによって制御されるサーバコンピュータである。認証サーバ装置700のコンピュータプログラムは、既存のデーターベース管理プログラムを用いて認証情報を管理してよい。認証サーバ装置700のコンピュータプログラムは、たとえば,C++コンピュータ言語にて機能を追加することができる。
【0017】
ICカード所有者がワンタイムパスワードを発生させるために、ICカード100をICカードリーダライタ300に挿入すると、ICカードがICカードリーダライタから時刻情報を受け取ってワンタイムパスワード生成して、ICカードリーダライタ300は、これを表示する。次に、ICカード所有者は、ICカードリーダライタに表示されたワンタイムパスワードと利用者識別情報を利用者端末装置500に入力すると、利用者端末装置500は、認証サーバ装置700に認証を求める。
【0018】
認証サーバ装置700は、利用者識別情報とワンタイムパスワードを受信して、受信時刻をもとに、ワンタイムパスワードを生成して、両ワンタイムパスワードを比較して認証する。
【0019】
なお、ICカードリーダライタ300と利用端末装置500とを通信接続して、ICカード所有者の入力作業を省いてもよい。
【0020】
図2は、ICカード100の詳細な構成図である。ICカード100は、CPU101と、接触端子部102と、メモリ(=記憶手段)109と、専用プログラムとを備える。
【0021】
接触端子部102は、ICカードリーダライタ300の端子板(詳細は後述する)と接触して、通信接続する。メモリ109は、半導体メモリや磁気メモリである。メモリ109は、前回時刻情報191と利用者識別情報195と、利用者識別情報に対応付けられた秘密情報193と、暗証情報(たとえば、PIN、Personal Identification Numberの略)197とを記憶する。
【0022】
専用プログラムは、判定手段110と、ワンタイムパスワード生成返信手段120と、警告手段130と前回時刻更新手段140と、現在時刻情報受信手段150と本人認証手段160とから構成される。
【0023】
本人認証手段160は、ICカードリーダライタ300が送信するPINを受信して、メモリ109のPIN197と照合して、認証する。
【0024】
現在時刻情報受信手段150は、ICカードリーダライタ300が送信する現在時刻情報を受信する。
ワンタイムパスワード生成返信手段120は、受信した現在時刻情報と秘密情報193を用いてワンタイムパスワードを生成して返信する。
【0025】
判定手段110は、受信した現在時刻情報と、前回時刻191を比較して、時刻が進んでいるか否かを判定する。警告手段130は、現在時刻が前回時刻191より早ければ、前回時刻を含む警告書を作成して、ICカードリーダライタ300に送信する。
【0026】
前回時刻更新手段140は、ICカードリーダライタ300から受信する現在時刻をICカード100に記録するときに前回時刻として記憶手段に記憶させて前回時刻191を更新する。
【0027】
ここで前回時刻191の役割について説明する。本発明では、この前回時刻191を用いて、不正なワンタイムパスワードが発行されていないかをチェックしている。具体的には、ICカード100がICカードリーダライタ300から受信した時刻情報が、ICカード100に記録されている前回時刻191よりも後であれば、正常に処理がおこなわれていると判断し、もし、ICカードリーダライタ300より受信した時刻情報が前回時刻情報より前の時刻であれば、不正が行われたと判断するようにしている。例えば、悪意のある利用者がICカードリーダライタ300を不正に改良等して、未来の時刻を発生するようにして、他人のICカードを用いて未来の時刻のワンタイムパスワードを取得していた場合、後から正規の利用者がワンタイムパスワードを生成するときに、ICカードリーダライタ300から受信する時刻が、ICカード100に記録された前回時刻191よりも前になるため不正があったと判断できる。
【0028】
図3は、ICカードリーダライタ300の詳細な構成図である。ICカードリーダライタ300は、CPU301と、端子板302と、時計部303と、表示部304と、入力部305と、通信部307と、メモリ(=記憶手段)309と、専用プログラムとを備える。
【0029】
端子板302は、ICカードの接触端子部102と接触して、通信接続する。時計部303は、時刻情報を生成するクロック回路である。表示部304は、LCDやELである。入力部305は、キーボタンである。通信部307は、利用端末装置500と通信接続する。メモリ309は、半導体メモリや磁気メモリである。
【0030】
専用プログラムは、現在時刻送信手段310と、ワンタイムパスワード受信表示手段320と、警告表示手段330と認証情報送信手段360とから構成される。
【0031】
認証情報送信手段360は、入力部305から入力されたPINを受け付けて、ICカード100に送信する。
現在時刻送信手段310は、現在時刻情報をICカード100に送信する。
【0032】
なお、ICカードリーダライタ300と利用端末装置500が通信接続されているときには、専用プログラムは、ワンタイムパスワード転送手段340と警告転送手段350とを含んでいてもよい。このとき、ワンタイムパスワード転送手段340は、ICカードが送信するワンタイムパスワードを利用端末装置500に転送する。警告転送手段350は、ICカード100が送信する警告書を利用端末装置500に転送する。
【0033】
図4は、ワンタイムパスワード生成の処理手順を説明する図である。
カード所有者が、ワンタイムパスワードを得るためにICカード100をICカードリーダライタ300に装着して、ICカードリーダライタ300の入力部305からPIN情報を入力すると、ICカードリーダライタ300は、入力部305から入力されたPINを受け付けて、ICカード100に送信する(図4(1))。
【0034】
ICカード100の本人認証手段160は、ICカードリーダライタ300が送信するPINを受信して、メモリ109のPIN197と照合して、本人認証する。(同(2))。
【0035】
ICカード100の現在時刻情報受信手段150は、ICカードリーダライタ300が送信する現在時刻情報を受信する(同(3))。
【0036】
判定手段110は、受信した現在時刻情報と、前回時刻191とを比較して、時刻が進んでいるか否かを判定する(同(4))。前回時刻193が現在時刻より進んでいれば、警告手段130は、前回時刻を含む警告書を作成して、ICカードリーダライタ300に送信する。現在時刻が前回時刻193より進んでいれば、ワンタイムパスワード生成返信手段120は、受信した現在時刻情報と秘密情報193を用いてワンタイムパスワードを生成して返信する(同(5))。
【0037】
ICカードリーダライタ300がICカードの送信するワンタイムパスワードを受信した場合は、ワンタイムパスワード受信表示手段320は、ワンタイムパスワードを表示304に表示させる。ICカードリーダライタ300がICカードの送信する警告書を受信した場合は、受信警告表示手段330は、警告書を、表示304に表示する(同(6))。
【0038】
ICカード100の前回時刻更新手段140は、現在時刻を前回時刻としてメモリ109に記憶させて前回時刻191を更新する(同(7))。
【0039】
なお、ワンタイムパスワード生成処理の後に行われる利用端末装置500と認証サーバ装置700の処理について説明する。(図示せず)
ICカードリーダライタ300にワンタイムパスワードが表示された場合には、利用者がこれを読み取って利用端末装置500に入力するので、利用端末装置500は、利用者識別情報とワンタイムパスワードの入力を受け付けて、認証サーバ装置700に送信する。
【0040】
認証サーバ装置700は、利用者識別情報に対応付けられた秘密情報を記憶して、利用端末装置500が送信した利用者識別情報とワンタイムパスワードを受信して、受信時刻情報と、利用者識別情報に対応付けられた秘密情報とを用いて参照用ワンタイムパスワードを生成して、両ワンタイムパスワードを照合処理して認証する。
【0041】
ICカードリーダライタ300に警告情報が表示された場合には、カード所有者は、ワンタイムパスワードが不正に生成されたことを認識して、不正利用の防止対策を実施すればよい。
【図面の簡単な説明】
【0042】
【図1】ワンタイムパスワード発行システム1の概要を説明する図
【図2】ICカード100の詳細な構成図
【図3】ICカードリーダライタ300の詳細な構成図
【図4】ワンタイムパスワード生成の処理手順を説明する図
【符号の説明】
【0043】
1 ワンタイムパスワード発行システム
100 ICカード
110 判定手段
120 ワンタイムパスワード生成返信手段
130 警告手段
140 前回時刻更新手段
150 現在時刻情報受信手段
160 本人認証手段
191 前回時刻情報
193 秘密情報
195 利用者識別情報
197 暗証情報、PIN
300 ICカードリーダライタ
310 現在時刻送信手段
320 ワンタイムパスワード受信表示手段
330 警告表示手段
340 ワンタイムパスワード転送手段
350 警告転送手段
360 認証情報送信手段
500 利用端末装置
700 認証サーバ装置
【技術分野】
【0001】
本発明は、ワンタイムパスワードを用いた本人認証において、正当性なワンタイムパスワードを発行するシステムに関するものである。
【背景技術】
【0002】
近年、本人認証の信頼性を高めるために、認証のたびに暗証情報(以下、使い捨てパスワード)を使い捨てるワンタイムパスワードを用いた本人認証方法が増えている。
ワンタイムパスワードの代表的な生成方法には、認証装置と認証を受ける利用者の両者が同期した時刻を利用して、それぞれにワンタイムパスワードを生成して比較照合する時刻同期方式がある。
【0003】
たとえば、特許文献1では、個人が所有するクロックを備える個人所有装置(=標準クレジットカード形状の電源内蔵型ICカード。以下、電源内蔵型ICカード)を用いて、クロックが発生する時間情報(=現在時刻情報)から一意的な時間変化予測不能コード(=時刻同期方式のワンタイムパスワード。以下、ワンタイムパスワード)を発生させて、中央照合コンピュータ(=認証装置)に送信して、認証装置は電源内蔵型ICカードのクロックと同期させたクロックを備えて電源内蔵型ICカードと同じアルゴリズムを使用してワンタイムパスワードを発生させて、両ワンタイムパスワードを照合して認証する技術が開示されている。
【特許文献1】特表平6−507277号公報(4−5ページ、図1、3)ところで、特許文献1の技術では、ICカードが備えるクロックを認証装置のクロックと同期させるために、クロックの電源を内蔵するICカード(=アクティブ型ICカード)を用いなければならないが、特許文献1でも指摘されるように、カード形状の厚さがクレジットカードより厚くなるので、カード形状の統一性が崩れて、携帯性や使用感が悪化するという理由や、クロックが正常に動作し続けるために電源が切れないように注意を払わなければならない煩雑さがあるという理由から普及しなかった。現在使用されているICカードとしては、標準クレジットカード形状と同じ厚さ使い勝手がよくて、電源切れ防止の注意を払わなくてよいという理由から、電池を内蔵しないICカード(=パッシブ型)が広く普及している。このようなパッシブ型ICカードでは、クロックを備えることができないので、外部のクロックから現在時刻情報を取得して、ワンタイムパスワードを生成している。
【発明の開示】
【発明が解決しようとする課題】
【0004】
このようにICカードとクロックを分離した場合には、ICカードが外部から時刻情報を受信することになるため、外部クロックが未来の時刻情報を不正にICカードに送ることによって、使用する時刻よりもはるか前にワンタイムパスワードを取得することが可能になるので、悪用される危険性を持つという脆弱性が存在する。
【0005】
本発明はこのような点を解決するためになされたものであって、本発明の課題は、信頼性のあるワンタイムパスワードを発行するシステムを提供することである。
【課題を解決するための手段】
【0006】
本発明は、以下のような解決手段により、前記課題を解決する。すなわち、請求項1の発明は、ICカード(100)と、ICカードリーダライタ(300)から構成されるワンタイムパスワード発行システムであって、前記ICカードリーダライタ(300)は、ICカードの認証情報(たとえば、暗証情報)の入力を受け付ける入力部と、入力部が受け付けた認証情報をICカード(100)に送信する認証情報送信手段と、認証情報の入力を受け付けしたときの時刻情報をICカード(100)に送信する時刻送信手段と、ICカードが生成したワンタイムパスワードまたは警告情報を表示する表示部と、を備えるリーダライタであって、前記ICカード(100)は、認証情報と前回時刻情報(191)と秘密情報(193)を記憶する記憶手段と、ICカードリーダライタ(300)が送信する認証情報を受信して、記憶手段の認証情報と照合して、認証する本人認証手段と、前記ICカードリーダライタ(300)から前記時刻情報を受信する時刻情報受信手段と、受信した時刻情報と前回受信して前記記憶手段に記憶されている前回時刻情報(191)を比較して、受信した時刻が前回時刻より進んでいるか否かを判定する判定手段と、前記判定手段により、前記時刻情報が前回時刻より進んでいると判定された場合には、前記時刻情報と前記秘密情報(193)を用いてワンタイムパスワードを生成するワンタイムパスワード生成手段と、前記判定手段により、現在時刻が前回時刻より遅れていると判定された場合には、前回時刻を含む警告情報を生成する警告手段と、を備えるICカードであることを特徴とするワンタイムパスワード発行システムである。
【0007】
このように、ICカードでワンタイムパスワードを生成する時に、前回のワンタイムパスワード生成時刻が未来の時刻であれば、外部クロックが未来の時刻情報を用いて不正にワンタイムパスワードを生成させたことが知ることができる。
【0008】
請求項2の発明は、ICカード(100)と、ICカードリーダライタ(300)から構成されるワンタイムパスワード発行システムであって、前記ICカードリーダライタ(300)は、時刻情報をICカード(100)に送信する時刻送信手段と、ICカードが生成したワンタイムパスワードまたは警告情報を表示する表示部と、を備えるリーダライタであって、前記ICカード(100)は、前回時刻情報(191)と秘密情報(193)を記憶する記憶手段と、前記ICカードリーダライタ(300)から前記時刻情報を受信する時刻情報受信手段と、受信した時刻情報と前回受信して前記記憶手段に記憶されている前回時刻情報(191)を比較して、受信した時刻が前回時刻より進んでいるか否かを判定する判定手段と、前記判定手段により、前記時刻情報が前回時刻より進んでいると判定された場合には、前記時刻情報と前記秘密情報(193)を用いてワンタイムパスワードを生成するワンタイムパスワード生成手段と、前記判定手段により、現在時刻が前回時刻より遅れていると判定された場合には、前回時刻を含む警告情報を生成する警告手段と、を備えるICカードであることを特徴とするワンタイムパスワード発行システムである。
【発明の効果】
【0009】
本願発明によれば、未来の時刻情報を用いて不正にワンタイムパスワードを生成させたことがあるか否かを調査することで不正利用を防止することが可能である。
【発明を実施するための最良の形態】
【0010】
以下、図面等を参照しながら、本発明の実施の形態について、更に詳しく説明する。
【0011】
図1は、ワンタイムパスワード発行システム1の概要を説明する図である。ワンタイムパスワード発行システム1は、ICカード100と、ICカードリーダライタ300と、利用端末装置500と、認証サーバ装置700から構成される。利用端末装置500と認証サーバ装置700は、通信接続される。
【0012】
ICカード100は、時刻情報を得てワンタイムパスワードを生成する。
【0013】
ICカード100は、コンピュータプログラムによって制御される電子媒体である。ICカード100のコンピュータプログラムは、たとえば,JAVA(登録商標)言語あるいはC言語にて機能を追加することができる。
【0014】
ICカードリーダライタ300は、ICカードリーダを備える。
【0015】
ICカードリーダライタ300は、コンピュータプログラムによって制御されるコンピュータである。
【0016】
認証サーバ装置500は、コンピュータプログラムによって制御されるサーバコンピュータである。認証サーバ装置700のコンピュータプログラムは、既存のデーターベース管理プログラムを用いて認証情報を管理してよい。認証サーバ装置700のコンピュータプログラムは、たとえば,C++コンピュータ言語にて機能を追加することができる。
【0017】
ICカード所有者がワンタイムパスワードを発生させるために、ICカード100をICカードリーダライタ300に挿入すると、ICカードがICカードリーダライタから時刻情報を受け取ってワンタイムパスワード生成して、ICカードリーダライタ300は、これを表示する。次に、ICカード所有者は、ICカードリーダライタに表示されたワンタイムパスワードと利用者識別情報を利用者端末装置500に入力すると、利用者端末装置500は、認証サーバ装置700に認証を求める。
【0018】
認証サーバ装置700は、利用者識別情報とワンタイムパスワードを受信して、受信時刻をもとに、ワンタイムパスワードを生成して、両ワンタイムパスワードを比較して認証する。
【0019】
なお、ICカードリーダライタ300と利用端末装置500とを通信接続して、ICカード所有者の入力作業を省いてもよい。
【0020】
図2は、ICカード100の詳細な構成図である。ICカード100は、CPU101と、接触端子部102と、メモリ(=記憶手段)109と、専用プログラムとを備える。
【0021】
接触端子部102は、ICカードリーダライタ300の端子板(詳細は後述する)と接触して、通信接続する。メモリ109は、半導体メモリや磁気メモリである。メモリ109は、前回時刻情報191と利用者識別情報195と、利用者識別情報に対応付けられた秘密情報193と、暗証情報(たとえば、PIN、Personal Identification Numberの略)197とを記憶する。
【0022】
専用プログラムは、判定手段110と、ワンタイムパスワード生成返信手段120と、警告手段130と前回時刻更新手段140と、現在時刻情報受信手段150と本人認証手段160とから構成される。
【0023】
本人認証手段160は、ICカードリーダライタ300が送信するPINを受信して、メモリ109のPIN197と照合して、認証する。
【0024】
現在時刻情報受信手段150は、ICカードリーダライタ300が送信する現在時刻情報を受信する。
ワンタイムパスワード生成返信手段120は、受信した現在時刻情報と秘密情報193を用いてワンタイムパスワードを生成して返信する。
【0025】
判定手段110は、受信した現在時刻情報と、前回時刻191を比較して、時刻が進んでいるか否かを判定する。警告手段130は、現在時刻が前回時刻191より早ければ、前回時刻を含む警告書を作成して、ICカードリーダライタ300に送信する。
【0026】
前回時刻更新手段140は、ICカードリーダライタ300から受信する現在時刻をICカード100に記録するときに前回時刻として記憶手段に記憶させて前回時刻191を更新する。
【0027】
ここで前回時刻191の役割について説明する。本発明では、この前回時刻191を用いて、不正なワンタイムパスワードが発行されていないかをチェックしている。具体的には、ICカード100がICカードリーダライタ300から受信した時刻情報が、ICカード100に記録されている前回時刻191よりも後であれば、正常に処理がおこなわれていると判断し、もし、ICカードリーダライタ300より受信した時刻情報が前回時刻情報より前の時刻であれば、不正が行われたと判断するようにしている。例えば、悪意のある利用者がICカードリーダライタ300を不正に改良等して、未来の時刻を発生するようにして、他人のICカードを用いて未来の時刻のワンタイムパスワードを取得していた場合、後から正規の利用者がワンタイムパスワードを生成するときに、ICカードリーダライタ300から受信する時刻が、ICカード100に記録された前回時刻191よりも前になるため不正があったと判断できる。
【0028】
図3は、ICカードリーダライタ300の詳細な構成図である。ICカードリーダライタ300は、CPU301と、端子板302と、時計部303と、表示部304と、入力部305と、通信部307と、メモリ(=記憶手段)309と、専用プログラムとを備える。
【0029】
端子板302は、ICカードの接触端子部102と接触して、通信接続する。時計部303は、時刻情報を生成するクロック回路である。表示部304は、LCDやELである。入力部305は、キーボタンである。通信部307は、利用端末装置500と通信接続する。メモリ309は、半導体メモリや磁気メモリである。
【0030】
専用プログラムは、現在時刻送信手段310と、ワンタイムパスワード受信表示手段320と、警告表示手段330と認証情報送信手段360とから構成される。
【0031】
認証情報送信手段360は、入力部305から入力されたPINを受け付けて、ICカード100に送信する。
現在時刻送信手段310は、現在時刻情報をICカード100に送信する。
【0032】
なお、ICカードリーダライタ300と利用端末装置500が通信接続されているときには、専用プログラムは、ワンタイムパスワード転送手段340と警告転送手段350とを含んでいてもよい。このとき、ワンタイムパスワード転送手段340は、ICカードが送信するワンタイムパスワードを利用端末装置500に転送する。警告転送手段350は、ICカード100が送信する警告書を利用端末装置500に転送する。
【0033】
図4は、ワンタイムパスワード生成の処理手順を説明する図である。
カード所有者が、ワンタイムパスワードを得るためにICカード100をICカードリーダライタ300に装着して、ICカードリーダライタ300の入力部305からPIN情報を入力すると、ICカードリーダライタ300は、入力部305から入力されたPINを受け付けて、ICカード100に送信する(図4(1))。
【0034】
ICカード100の本人認証手段160は、ICカードリーダライタ300が送信するPINを受信して、メモリ109のPIN197と照合して、本人認証する。(同(2))。
【0035】
ICカード100の現在時刻情報受信手段150は、ICカードリーダライタ300が送信する現在時刻情報を受信する(同(3))。
【0036】
判定手段110は、受信した現在時刻情報と、前回時刻191とを比較して、時刻が進んでいるか否かを判定する(同(4))。前回時刻193が現在時刻より進んでいれば、警告手段130は、前回時刻を含む警告書を作成して、ICカードリーダライタ300に送信する。現在時刻が前回時刻193より進んでいれば、ワンタイムパスワード生成返信手段120は、受信した現在時刻情報と秘密情報193を用いてワンタイムパスワードを生成して返信する(同(5))。
【0037】
ICカードリーダライタ300がICカードの送信するワンタイムパスワードを受信した場合は、ワンタイムパスワード受信表示手段320は、ワンタイムパスワードを表示304に表示させる。ICカードリーダライタ300がICカードの送信する警告書を受信した場合は、受信警告表示手段330は、警告書を、表示304に表示する(同(6))。
【0038】
ICカード100の前回時刻更新手段140は、現在時刻を前回時刻としてメモリ109に記憶させて前回時刻191を更新する(同(7))。
【0039】
なお、ワンタイムパスワード生成処理の後に行われる利用端末装置500と認証サーバ装置700の処理について説明する。(図示せず)
ICカードリーダライタ300にワンタイムパスワードが表示された場合には、利用者がこれを読み取って利用端末装置500に入力するので、利用端末装置500は、利用者識別情報とワンタイムパスワードの入力を受け付けて、認証サーバ装置700に送信する。
【0040】
認証サーバ装置700は、利用者識別情報に対応付けられた秘密情報を記憶して、利用端末装置500が送信した利用者識別情報とワンタイムパスワードを受信して、受信時刻情報と、利用者識別情報に対応付けられた秘密情報とを用いて参照用ワンタイムパスワードを生成して、両ワンタイムパスワードを照合処理して認証する。
【0041】
ICカードリーダライタ300に警告情報が表示された場合には、カード所有者は、ワンタイムパスワードが不正に生成されたことを認識して、不正利用の防止対策を実施すればよい。
【図面の簡単な説明】
【0042】
【図1】ワンタイムパスワード発行システム1の概要を説明する図
【図2】ICカード100の詳細な構成図
【図3】ICカードリーダライタ300の詳細な構成図
【図4】ワンタイムパスワード生成の処理手順を説明する図
【符号の説明】
【0043】
1 ワンタイムパスワード発行システム
100 ICカード
110 判定手段
120 ワンタイムパスワード生成返信手段
130 警告手段
140 前回時刻更新手段
150 現在時刻情報受信手段
160 本人認証手段
191 前回時刻情報
193 秘密情報
195 利用者識別情報
197 暗証情報、PIN
300 ICカードリーダライタ
310 現在時刻送信手段
320 ワンタイムパスワード受信表示手段
330 警告表示手段
340 ワンタイムパスワード転送手段
350 警告転送手段
360 認証情報送信手段
500 利用端末装置
700 認証サーバ装置
【特許請求の範囲】
【請求項1】
ICカードと、ICカードリーダライタから構成されるワンタイムパスワード発行システムであって、
前記ICカードリーダライタは、
ICカードの認証情報の入力を受け付ける入力部と、
入力部が受け付けた認証情報をICカードに送信する認証情報送信手段と
認証情報の入力を受け付けしたときの時刻情報をICカードに送信する時刻送信手段と、
ICカードが生成したワンタイムパスワードまたは警告情報を表示する表示部と、
を備えるリーダライタであって、
前記ICカードは、
認証情報と前回時刻情報と秘密情報を記憶する記憶手段と、
ICカードリーダライタが送信する認証情報を受信して、記憶手段の認証情報と照合して、認証する本人認証手段と、
前記ICカードリーダライタから前記時刻情報を受信する時刻情報受信手段と、
受信した時刻情報と前回受信して前記記憶手段に記憶されている前回時刻情報を比較して、受信した時刻が前回時刻より進んでいるか否かを判定する判定手段と、
前記判定手段により、前記時刻情報が前回時刻より進んでいると判定された場合には、前記時刻情報と前記秘密情報を用いてワンタイムパスワードを生成するワンタイムパスワード生成手段と、
前記判定手段により、現在時刻が前回時刻より遅れていると判定された場合には、前回時刻を含む警告情報を生成する警告手段と、
を備えるICカードである
ことを特徴とするワンタイムパスワード発行システム。
【請求項2】
ICカードと、ICカードリーダライタから構成されるワンタイムパスワード発行システムであって、
前記ICカードリーダライタは、
時刻情報をICカードに送信する時刻送信手段と、
ICカードが生成したワンタイムパスワードまたは警告情報を表示する表示部と、
を備えるリーダライタであって、
前記ICカードは、
前回時刻情報と秘密情報を記憶する記憶手段と、
前記ICカードリーダライタから前記時刻情報を受信する時刻情報受信手段と、
受信した時刻情報と前回受信して前記記憶手段に記憶されている前回時刻情報を比較して、受信した時刻が前回時刻より進んでいるか否かを判定する判定手段と、
前記判定手段により、前記時刻情報が前回時刻より進んでいると判定された場合には、前記時刻情報と前記秘密情報を用いてワンタイムパスワードを生成するワンタイムパスワード生成手段と、
前記判定手段により、現在時刻が前回時刻より遅れていると判定された場合には、前回時刻を含む警告情報を生成する警告手段と、
を備えるICカードである
ことを特徴とするワンタイムパスワード発行システム。
【請求項1】
ICカードと、ICカードリーダライタから構成されるワンタイムパスワード発行システムであって、
前記ICカードリーダライタは、
ICカードの認証情報の入力を受け付ける入力部と、
入力部が受け付けた認証情報をICカードに送信する認証情報送信手段と
認証情報の入力を受け付けしたときの時刻情報をICカードに送信する時刻送信手段と、
ICカードが生成したワンタイムパスワードまたは警告情報を表示する表示部と、
を備えるリーダライタであって、
前記ICカードは、
認証情報と前回時刻情報と秘密情報を記憶する記憶手段と、
ICカードリーダライタが送信する認証情報を受信して、記憶手段の認証情報と照合して、認証する本人認証手段と、
前記ICカードリーダライタから前記時刻情報を受信する時刻情報受信手段と、
受信した時刻情報と前回受信して前記記憶手段に記憶されている前回時刻情報を比較して、受信した時刻が前回時刻より進んでいるか否かを判定する判定手段と、
前記判定手段により、前記時刻情報が前回時刻より進んでいると判定された場合には、前記時刻情報と前記秘密情報を用いてワンタイムパスワードを生成するワンタイムパスワード生成手段と、
前記判定手段により、現在時刻が前回時刻より遅れていると判定された場合には、前回時刻を含む警告情報を生成する警告手段と、
を備えるICカードである
ことを特徴とするワンタイムパスワード発行システム。
【請求項2】
ICカードと、ICカードリーダライタから構成されるワンタイムパスワード発行システムであって、
前記ICカードリーダライタは、
時刻情報をICカードに送信する時刻送信手段と、
ICカードが生成したワンタイムパスワードまたは警告情報を表示する表示部と、
を備えるリーダライタであって、
前記ICカードは、
前回時刻情報と秘密情報を記憶する記憶手段と、
前記ICカードリーダライタから前記時刻情報を受信する時刻情報受信手段と、
受信した時刻情報と前回受信して前記記憶手段に記憶されている前回時刻情報を比較して、受信した時刻が前回時刻より進んでいるか否かを判定する判定手段と、
前記判定手段により、前記時刻情報が前回時刻より進んでいると判定された場合には、前記時刻情報と前記秘密情報を用いてワンタイムパスワードを生成するワンタイムパスワード生成手段と、
前記判定手段により、現在時刻が前回時刻より遅れていると判定された場合には、前回時刻を含む警告情報を生成する警告手段と、
を備えるICカードである
ことを特徴とするワンタイムパスワード発行システム。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公開番号】特開2008−269415(P2008−269415A)
【公開日】平成20年11月6日(2008.11.6)
【国際特許分類】
【出願番号】特願2007−113288(P2007−113288)
【出願日】平成19年4月23日(2007.4.23)
【出願人】(000002897)大日本印刷株式会社 (14,506)
【Fターム(参考)】
【公開日】平成20年11月6日(2008.11.6)
【国際特許分類】
【出願日】平成19年4月23日(2007.4.23)
【出願人】(000002897)大日本印刷株式会社 (14,506)
【Fターム(参考)】
[ Back to top ]