ワンタイムパスワード発行装置、ワンタイムパスワード発行システム
【課題】ワンタイムパスワードを発行するために必要な認証を強固にする。
【解決手段】ユーザ300は、認証端末400にアクセスし、認証コードを取得し、ワンタイムパスワード発行サーバ100に対して通話を発信する。ワンタイムパスワード発行サーバ100は、依頼元端末200の発信電話番号を取得し、ユーザIDの送信を要求し、ユーザ300が入力したユーザIDと認証情報テーブルから読み出したユーザIDとが合致するか否かを判定する。合致する場合は、さらに認証コードの送信を要求し、ユーザ300が入力した認証コードをデコードして電話番号を取り出し、依頼元端末200が取得した正しい認証コードであるか否かを判定する。正しい認証コードであると判定した場合は、ワンタイムパスワードを生成して依頼元端末200に対して送信する。ユーザ300は、取得したワンタイムパスワードを用いて、認証端末400にログインする。
【解決手段】ユーザ300は、認証端末400にアクセスし、認証コードを取得し、ワンタイムパスワード発行サーバ100に対して通話を発信する。ワンタイムパスワード発行サーバ100は、依頼元端末200の発信電話番号を取得し、ユーザIDの送信を要求し、ユーザ300が入力したユーザIDと認証情報テーブルから読み出したユーザIDとが合致するか否かを判定する。合致する場合は、さらに認証コードの送信を要求し、ユーザ300が入力した認証コードをデコードして電話番号を取り出し、依頼元端末200が取得した正しい認証コードであるか否かを判定する。正しい認証コードであると判定した場合は、ワンタイムパスワードを生成して依頼元端末200に対して送信する。ユーザ300は、取得したワンタイムパスワードを用いて、認証端末400にログインする。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ワンタイムパスワードに関するものである。
【背景技術】
【0002】
近年、情報漏洩を発生させた企業に対して社会的責任や巨額の損害賠償が求められるようになってきたため、情報漏洩対策を実施する企業が増えてきている。そのため、情報漏洩対策として、ドキュメント(機密情報)、外部媒体へのデータ書き出し機能、および端末使用権限など多岐に渡るリソースに対するアクセス制限するシステムが普及しつつある。
【0003】
アクセス制限を実現する手段の1つとして、パスワードや認証トークン(Token)を使うものが存在する。また、より強固な認証システムとして、ワンタイムパスワードが用いられる場合がある。
【0004】
下記特許文献1には、ワンタイムパスワードを用いてユーザを認証する技術が記載されている。同文献では、ワンタイムパスワード管理サーバとWebサーバを設け、携帯端末からワンタイムパスワード管理サーバにワンタイムパスワードの生成を要求する。生成されたパスワードはWebサーバに格納されるため、携帯端末からWebサーバにパスワードを使ってアクセスし、ワンタイムパスワードを取得する。また、携帯端末をワンタイムパスワード生成のためのハードウェア(認証トークン(Token))の代わりとして機能させることができる。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2002−278929号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
上記特許文献1に記載の技術では、ワンタイムパスワードを入手するためにはWebサーバにアクセスする必要がある。したがって、Webサーバにアクセスするためのパスワードを知らないユーザはワンタイムパスワードを入手できないので、これによりワンタイムパスワードの安全性を確保することを図っている。
【0007】
しかし、このWebサーバにアクセスするためのパスワードは(ワンタイムパスワードではない)通常のパスワードであるため、必ずしも安全性は高くない。そのため、ワンタイムパスワード自体が堅固であったとしても、Webサーバにアクセスするためのパスワードが脆弱であれば、ワンタイムパスワードを不正に入手される可能性がある。
【0008】
本発明は、上記のような課題を解決するためになされたものであり、ワンタイムパスワードを発行するために必要な認証を強固にする技術を提供することを目的とする。
【課題を解決するための手段】
【0009】
本発明に係るワンタイムパスワード発行装置は、ワンタイムパスワードを発行するよう要求する依頼元端末の端末固有情報と、依頼元端末のユーザに割り当てられた認証情報とを用いて、依頼元端末を認証する。
【発明の効果】
【0010】
本発明に係るワンタイムパスワード発行装置によれば、端末固有情報を用いて依頼元端末を認証するので、ワンタイムパスワードを発行する依頼元端末を限定してワンタイムパスワードの安全性を高めることができる。また、依頼元端末が不正入手されたとしても、ユーザが正しい認証情報を入力しない限りワンタイムパスワードを発行しないので、依頼元端末の不正入手に対しても、ワンタイムパスワードの安全性を高めることができる。
【図面の簡単な説明】
【0011】
【図1】実施の形態1に係るワンタイムパスワード発行システム1000の構成図である。
【図2】ワンタイムパスワード発行サーバ100の機能ブロック図である。
【図3】認証情報テーブル131の構成とデータ例を示す図である。
【図4】認証端末400が画面表示するログイン画面410の画面例を示す図である。
【図5】ユーザ300がワンタイムパスワードを用いて認証端末400にログインするまでの手順を示す図である。
【図6】図5のステップ(8)でワンタイムパスワード発行サーバ100から依頼元端末200に対して送信する電子メールの1例を示す図である。
【図7】依頼元端末200がワンタイムパスワードを取得する動作フローである。
【図8】ワンタイムパスワード発行サーバ100がワンタイムパスワードを発行する動作フローである。
【図9】実施の形態2における認証端末400の動作フローである。
【発明を実施するための形態】
【0012】
<実施の形態1>
図1は、本発明の実施の形態1に係るワンタイムパスワード発行システム1000の構成図である。ワンタイムパスワード発行システム1000は、ユーザが特定の端末にログインする際に用いるワンタイムパスワードを取得するためのシステムであり、ワンタイムパスワード発行サーバ100、依頼元端末200、認証端末400を有する。図1において、ワンタイムパスワードの発行に係る手順の概略を併記した。詳細は後述する。
【0013】
ワンタイムパスワード発行サーバ100は、依頼元端末200から依頼を受けてワンタイムパスワードを発行する、サーバコンピュータである。依頼元端末200は、固有の識別情報を有する端末である。以下では携帯電話を用いて依頼元端末200を構成することとし、端末固有の識別情報は携帯電話番号であるものとする。
【0014】
ユーザ300は、認証端末400を利用するユーザである。認証端末400を使用するためには、ログイン手続きを実行しなければならない。そこでユーザ300は、依頼元端末200を用いてワンタイムパスワード発行サーバ100からワンタイムパスワードを取得し、そのワンタイムパスワードを用いて認証端末400にログインする。
【0015】
図2は、ワンタイムパスワード発行サーバ100の機能ブロック図である。ワンタイムパスワード発行サーバ100は、認証部110、パスワード発行部120、記憶部130を備える。
【0016】
認証部110は、ワンタイムパスワードを発行する要求を依頼元端末200から受け付けたとき、ワンタイムパスワードを発行してよいか否かを判断するため、依頼元端末200を認証する。パスワード発行部120は、認証部110が認証した依頼元端末200に対してワンタイムパスワードを発行する。認証部110が認証することができなかった依頼元端末200に対しては、ワンタイムパスワードは発行しない。記憶部130は、後述の図3で説明する認証情報テーブル131を格納する。
【0017】
認証部110、パスワード発行部120は、これらの機能を実現する回路デバイスのようなハードウェアを用いて構成することもできるし、マイコンやCPU(Central Processing Unit)などの演算装置とその動作を規定するソフトウェアを用いて構成することもできる。記憶部130は、HDD(Hard Disk Drive)のような記憶装置を用いて構成することができる。
【0018】
認証端末400は、ワンタイムパスワードを用いてユーザ300を認証する処理や、認証コードを発行する処理を、これらの機能を実現するプログラムを実行することによって実施することができる。同等の機能を有する回路デバイスなどのハードウェアを用いてこれらの機能を実現してもよい。
【0019】
図3は、認証情報テーブル131の構成とデータ例を示す図である。認証情報テーブル131は、依頼元端末200を認証するために必要な情報を保持するテーブルであり、ユーザID列1311、電話番号列1312、メールアドレス列1313、有効期限列1314、状態列1315を有する。
【0020】
ユーザID列1311は、依頼元端末200を使用するユーザ300にあらかじめ割り当てられた認証情報(ユーザID)を保持する。電話番号列1312は、依頼元端末200の携帯電話番号を端末固有情報として保持する。メールアドレス列1313は、依頼元端末200を使用するユーザ300が保持する電子メールアドレスを保持する。有効期限列1314は、ユーザID列1311の値で識別されるユーザIDの有効期限を保持する。状態列1315は、ユーザID列1311の値で識別されるユーザIDに対してワンタイムパスワードの発行を許可するか否かを示す可否フラグである。
【0021】
図4は、認証端末400が画面表示するログイン画面410の画面例を示す図である。ログイン画面410は、主にユーザ300がワンタイムパスワードを用いて認証端末400にログインするために用いる操作画面である。
【0022】
ログイン画面410の他の用途として、依頼元端末200の電話番号に基づき認証コードを生成する機能がある。認証コードは、依頼元端末200の電話番号に一意に対応付けられた文字列である。認証コードは、認証端末400自身にも固有に対応付けられる。すなわち認証コードは、依頼元端末200の電話番号に対応付けられているとともに、認証端末400にも対応付けられている。
【0023】
ワンタイムパスワード発行サーバ100は、ワンタイムパスワードを発行する際に、依頼元端末200に対して認証コードを入力するよう要求する。これによりワンタイムパスワード発行サーバ100は、依頼元端末200を認証する過程で、認証コードを媒介として、依頼元端末200と認証端末400を結びつけることができる。詳細は後述する。
【0024】
認証端末400は、認証コードを生成する際に、認証コードの中に依頼元端末200の電話番号をコード化して埋め込んでおく。その他、認証コードが認証端末400から発行されたものであることを示す情報をコード化しておいてもよい。ワンタイムパスワード発行サーバ100は、認証コードに埋め込まれている電話番号をデコードし、依頼元端末200を認証する。
【0025】
依頼元端末200の電話番号などをコード化して埋め込んだ認証コードを生成する手法としては、任意の公知技術を用いることができる。
【0026】
ログイン画面410は、電話番号入力欄411、認証コード表示ボタン412、認証コード表示欄413、パスワード入力欄414、ログインボタン415を有する。
【0027】
ユーザ300は、認証コードを取得するときは、依頼元端末200の電話番号を電話番号入力欄411に入力し、認証コード表示ボタン412を押下する。認証端末400は、電話番号入力欄411に入力された電話番号に一意に対応付けられ、かつ認証端末400自身に固有に対応する認証コードを生成し、認証コード表示欄413に表示する。
【0028】
ユーザ300は、認証端末400にログインするときは、ワンタイムパスワード発行サーバ100から取得したワンタイムパスワードをパスワード入力欄414に入力し、ログインボタン415を押下する。認証端末400は、パスワード入力欄414に入力されたワンタイムパスワードを用いて、ユーザ300を認証する。
【0029】
以上、ワンタイムパスワード発行システム1000の構成について説明した。次に、ワンタイムパスワード発行システム1000の動作を説明する。
【0030】
図5は、ユーザ300がワンタイムパスワードを用いて認証端末400にログインするまでの手順を示す図である。以下、図5の各ステップについて説明する。
【0031】
(1)認証コード取得
ユーザ300は、認証端末400のログイン画面410にアクセスし、依頼元端末200の電話番号を入力して認証コードを取得する。ワンタイムパスワードの特性を考慮すると、ユーザ300は、認証端末400にログインする毎に認証コードを改めて取得し直すことが望ましい。
【0032】
(2)通話を発信する
ユーザ300は、依頼元端末200を用いて、ワンタイムパスワード発行サーバ100に対して通話を発信する。なお、図示はしていないが、通話を着信するために必要な交換機などの装置は適宜設けておくものとする。
【0033】
(3)電話番号を取得する
ワンタイムパスワード発行サーバ100の認証部110は、依頼元端末200の発信電話番号を取得する。認証部110は、その電話番号をキーにして認証情報テーブル131を検索し、対応する各列の値を取得する。
【0034】
(4)ユーザID送信
ワンタイムパスワード発行サーバ100の認証部110は、ユーザIDを送信するよう依頼元端末200に対して要求する。具体的には、例えばIVR(Interactive Voice Response)システムの機能を利用すればよい。ユーザ300は、認証部110からの要求にしたがって、自己が保持するユーザIDを依頼元端末200上で入力し、ワンタイムパスワード発行サーバ100に送信する。
【0035】
(5)ユーザIDを認証する
ワンタイムパスワード発行サーバ100の認証部110は、ステップ(4)で依頼元端末200が送信したユーザIDと、ステップ(3)で認証情報テーブル131から読み出したユーザIDとが合致するか否かを判定する。合致する場合は、依頼元端末200に対して、さらに認証コードを送信するよう要求する。
【0036】
(6)認証コード送信
ユーザ300は、認証部110からの要求にしたがって、ステップ(1)で認証端末400から取得した認証コードを依頼元端末200上で入力し、ワンタイムパスワード発行サーバ100に送信する。
【0037】
(7)認証コードを認証する
ワンタイムパスワード発行サーバ100の認証部110は、ステップ(6)で依頼元端末200が送信した認証コードをデコードして電話番号を取り出し、依頼元端末200が取得した正しい認証コードであるか否かを判定する。
【0038】
(8)ワンタイムパスワード発行
ワンタイムパスワード発行サーバ100のパスワード発行部120は、ステップ(7)で認証部110が正しい認証コードであると判定した場合は、ワンタイムパスワードを生成して依頼元端末200に対して送信する。ワンタイムパスワードを依頼元端末200に対して送信する手段として、例えば電子メールを用いることができる。メールアドレスは、認証情報テーブル131のメールアドレス列1313にあらかじめ格納しておけばよい。
【0039】
(8)ワンタイムパスワード発行:補足
パスワード発行部120は、ワンタイムパスワードに、認証端末400がユーザを認証するために用いることができる情報をコード化して埋め込む。例えば、認証コードの中に認証端末400固有の情報がコード化されて埋め込まれている場合には、認証コードそのものをワンタイムパスワードの中にコード化して埋め込むことができる。その他、有効期限列1314の値や状態列1315の値をコード化して埋め込むこともできる。
【0040】
(9)ワンタイムパスワード取得
ユーザ300は、依頼元端末200が取得したワンタイムパスワードを画面上で確認するなどして、ワンタイムパスワードを取得する。
【0041】
(10)ログイン
ユーザ300は、ステップ(9)で取得したワンタイムパスワードをログイン画面410のパスワード入力欄414に入力して、認証端末400にログインする。
【0042】
図6は、図5のステップ(8)でワンタイムパスワード発行サーバ100から依頼元端末200に対して送信する電子メールの1例を示す図である。この電子メール本文には、ワンタイムパスワードとその有効期限が記載される。
【0043】
図7は、依頼元端末200がワンタイムパスワードを取得する動作フローである。以下図7の各ステップについて説明する。
【0044】
(図7:ステップS700)
ユーザ300は、依頼元端末200を用いて、ワンタイムパスワード発行サーバ100に通話を発信する。通話が始まると本動作フローが開始する。
【0045】
(図7:ステップS701)
ワンタイムパスワード発行サーバ100の認証部110は、ユーザIDを送信するよう依頼元端末200に対して要求する。ユーザ300は、ワンタイムパスワード発行サーバ100からの要求に応じて、依頼元端末200の操作ボタンなどを操作してユーザIDを入力し、ワンタイムパスワード発行サーバ100に送信する。
【0046】
(図7:ステップS702)
依頼元端末200は、ステップS701でユーザ300が入力したユーザIDが正しいか否かの認証結果を、ワンタイムパスワード発行サーバ100から受け取る。ユーザIDが正しければステップS703へ進み、正しくなければステップS706へ進む。
【0047】
(図7:ステップS703)
ワンタイムパスワード発行サーバ100の認証部110は、認証コードを送信するよう依頼元端末200に対して要求する。ユーザ300は、ワンタイムパスワード発行サーバ100からの要求に応じて、依頼元端末200の操作ボタンなどを操作して認証コードを入力し、ワンタイムパスワード発行サーバ100に送信する。
【0048】
(図7:ステップS704)
依頼元端末200は、ステップS703でユーザ300が入力した認証コードが正しいか否かの認証結果を、ワンタイムパスワード発行サーバ100から受け取る。認証コードが正しければステップS705へ進み、正しくなければステップS706へ進む。
【0049】
(図7:ステップS705)
ワンタイムパスワード発行サーバ100の認証部110は、ワンタイムパスワードを発行し、電子メールなどによって依頼元端末200に通知する。依頼元端末200はその通知を受信し、本動作フローを終了する。
【0050】
(図7:ステップS706)
ワンタイムパスワード発行サーバ100の認証部110は、依頼元端末200の認証に失敗し、ワンタイムパスワードを発行することができない。依頼元端末200は、本動作フローをエラー終了する。
【0051】
図8は、ワンタイムパスワード発行サーバ100がワンタイムパスワードを発行する動作フローである。以下、図8の各ステップについて説明する。
【0052】
(図8:ステップS800)
依頼元端末200からワンタイムパスワード発行サーバ100に対して通話の着信があると、本動作フローが開始される。
【0053】
(図8:ステップS801)
認証部110は、依頼元端末200の発信電話番号を取得し、認証情報テーブル131内にその電話番号と合致するレコードがあるか否かを判定する。認証情報テーブル131内にその電話番号が存在すればステップS802へ進み、存在しなければステップS809へ進む。
【0054】
(図8:ステップS802)
認証部110は、ステップS801で特定したレコードの有効期限列1314の値を取得し、当該電話番号に対応するユーザIDの有効期限が切れているか否かを判定する。有効期限が切れていなければステップS803へ進み、有効期限が切れていればステップS810へ進む。
【0055】
(図8:ステップS803)
認証部110は、ユーザIDを入力するように、依頼元端末200へ要求する。認証部110は、依頼元端末200からユーザIDを受け取る。
【0056】
(図8:ステップS804)
認証部110は、ステップS801で特定したレコードのユーザID列1311の値を取得し、ステップS803で受け取ったユーザIDと合致するか否かを判定する。合致すればステップS805へ進み、合致しなければステップS811へ進む。
【0057】
(図8:ステップS805)
認証部110は、認証コードを入力するように、依頼元端末200へ要求する。認証部110は、依頼元端末200から認証コードを受け取る。
【0058】
(図8:ステップS806)
認証部110は、ステップS805で受け取った認証コードに埋め込まれている電話番号を取り出し、依頼元端末200の電話番号と合致するか否かにより、当該認証コードが正しいか否かを確認する。認証コードが正しければステップS807へ進み、正しくなければステップS812へ進む。
【0059】
(図8:ステップS807)
パスワード発行部120は、認証端末400がユーザを認証するために用いることができる情報、有効期限列1314の値、状態列1315の値などをコード化して埋め込んだワンタイムパスワードを生成する。
【0060】
(図8:ステップS808)
パスワード発行部120は、ワンタイムパスワードを発行完了した旨を、IVRシステムなどの機能を用いて依頼元端末200に通知する。また、電子メールにそのワンタイムパスワードと有効期限を記述して、依頼元端末200に送信する。
【0061】
(図8:ステップS809)
認証部110は、依頼元端末200の電話番号がワンタイムパスワード発行サーバ100に登録されていない旨を、IVRシステムなどの機能を用いて依頼元端末200のユーザ300に案内する。
【0062】
(図8:ステップS810)
認証部110は、依頼元端末200のユーザ300が保持するユーザIDが有効期限切れである旨を、IVRシステムなどの機能を用いて依頼元端末200のユーザ300に案内する。
【0063】
(図8:ステップS811)
認証部110は、依頼元端末200の電話番号とユーザIDが合致しない旨を、IVRシステムなどの機能を用いて依頼元端末200のユーザ300に案内する。
【0064】
(図8:ステップS812)
認証部110は、ワンタイムパスワードの発行に失敗した旨を、IVRシステムなどの機能を用いて依頼元端末200のユーザ300に案内する。
【0065】
以上、本実施の形態1に係るワンタイムパスワード発行システム1000の動作を説明した。本実施の形態1において、認証端末400は、認証コード表示欄413に認証コードを画面表示してユーザ300に提示することを説明したが、その他の手段、例えば電子メールなどを用いて提示することもできる。
【0066】
以上のように、本実施の形態1によれば、ワンタイムパスワード発行サーバ100は、依頼元端末200の電話番号が認証情報テーブル131に登録されている場合に限り、ワンタイムパスワードを発行する。そのためユーザ300は、ワンタイムパスワードを入手するためには、あらかじめ依頼元端末200の電話番号をワンタイムパスワード発行サーバ100に登録しておく必要がある。これにより、あらかじめ許可された依頼元端末200を所持しているユーザに対してのみワンタイムパスワードが発行されるので、ワンタイムパスワードが不正なユーザに入手される可能性を低減し、ワンタイムパスワードの安全性を高めることができる。
【0067】
また、本実施の形態1によれば、ワンタイムパスワード発行サーバ100は、依頼元端末200の電話番号と対応付けられたユーザIDを受け取った場合に限り、ワンタイムパスワードを発行する。そのため、悪意あるユーザが不正に依頼元端末200を入手した場合でも、正しいユーザIDを知らない限りワンタイムパスワードを入手することはできない。これにより、ワンタイムパスワードの安全性をさらに高めることができる。
【0068】
<実施の形態2>
実施の形態1において、パスワード発行部120は、ワンタイムパスワードの中に有効期限列1314の値をコード化して埋め込むことができる旨を説明した。認証端末400は、ユーザ300がログイン画面410のパスワード入力欄414に有効期限の切れたワンタイムパスワードを入力してログインを試みたときは、ログインを拒否することができる。
【0069】
一方、パスワード発行部120は、ワンタイムパスワードの中に状態列1315の値をコード化して埋め込むこともできる。本発明の実施の形態2では、状態列1315の値を埋め込んだワンタイムパスワードを用いて認証端末400をロックし、不正ユーザが何度もログインを試みることができないようにする動作例を説明する。
【0070】
図9は、本実施の形態2における認証端末400の動作フローである。以下、図9の各ステップについて説明する。
【0071】
(図9:ステップS900)
ユーザ300が認証端末400のログイン画面410で操作を行なうと、本動作フローが開始される。
【0072】
(図9:ステップS901)
認証端末400は、ログイン画面410上で要求された操作を判定する。認証コード表示ボタン412が押下された場合はステップS902へ進み、ログインボタン415が押下された場合はステップS903へ進む。
【0073】
(図9:ステップS902)
認証端末400は、電話番号入力欄411に入力された電話番号と一意に対応付けられた認証コードを、認証コード表示欄413に表示する。
【0074】
(図9:ステップS903)
認証端末400は、パスワード入力欄414に入力されたワンタイムパスワードが、自己に固有に対応付けられた正規のパスワードであるか否かを判定する。具体的には、例えばワンタイムパスワード内にコード化されて埋め込まれた認証情報(例えば認証コード)などを取り出し、自己が保有している認証情報と合致するか否かを判定する。例えば、認証コードを生成する際にその認証コードを認証情報として保持しておき、本ステップでワンタイムパスワードから取り出した認証コードと比較する。正しいパスワードである場合はステップS904へ進み、正しいパスワードでない場合はステップS906へ進む。
【0075】
(図9:ステップS904)
認証端末400は、パスワード入力欄414に入力されたワンタイムパスワード内にコード化されている状態列1315の値を取り出す。値が「許可」である場合はステップS905へ進み、値が「禁止」である場合はステップS906へ進む。
【0076】
(図9:ステップS905)
認証端末400は、ユーザ300のログインを許可する。
【0077】
(図9:ステップS906)
認証端末400は、ユーザ300のログインを許可せず、ログイン画面410をロックする。以後は、例えば所定時間が経過する、システム管理者がロックを解除するなどしない限り、ログイン操作は受け付けない。
【0078】
以上のように、本実施の形態2によれば、認証情報テーブル131の状態列1315の値が「禁止」であるユーザが認証端末400にログインを試みたとき、認証端末400のログイン機能をロックすることができる。これにより、認証端末400を用いることが禁止されているユーザ300が何度もログインを試行することができないようにすることができるので、認証端末400に不正ログインされる可能性を低減することができる。
【0079】
なお、図9ではユーザが誤ったワンタイムパスワードを入力するか、または「禁止」状態のワンタイムパスワードを入力した場合は、即座にログイン画面410をロックすることとしたが、入力ミスなどに配慮し、即座にロックせず所定回数のログイン試行は許容するようにしてもよい。
【0080】
<実施の形態3>
以上の実施の形態1〜2では、携帯電話を用いて依頼元端末200を構成し、電話番号を依頼元端末200の端末固有情報として用いることを説明した。依頼元端末200に固有に割り当てられ、かつワンタイムパスワード発行サーバ100が知ることができる情報であれば、電話番号以外の情報を用いることもできる。また、携帯電話以外の端末を用いて依頼元端末200を構成することもできる。
【0081】
例えば、携帯電話には固有の端末番号が割り当てられているので、これを端末固有情報として用いることができる。その他、IP通信を行う端末を用いて依頼元端末200を構成する場合は、依頼元端末200のMAC(Media Access Control)アドレスを端末固有情報として用いることもできる。
【符号の説明】
【0082】
100:ワンタイムパスワード発行サーバ、110:認証部、120:パスワード発行部、130:記憶部、131:認証情報テーブル、1311:ユーザID列、1312:電話番号列、1313:メールアドレス列、1314:有効期限列、1315:状態列、200:依頼元端末、300:ユーザ、400:認証端末、410:ログイン画面、411:電話番号入力欄、412:認証コード表示ボタン、413:認証コード表示欄、414:パスワード入力欄、415:ログインボタン、1000:ワンタイムパスワード発行システム。
【技術分野】
【0001】
本発明は、ワンタイムパスワードに関するものである。
【背景技術】
【0002】
近年、情報漏洩を発生させた企業に対して社会的責任や巨額の損害賠償が求められるようになってきたため、情報漏洩対策を実施する企業が増えてきている。そのため、情報漏洩対策として、ドキュメント(機密情報)、外部媒体へのデータ書き出し機能、および端末使用権限など多岐に渡るリソースに対するアクセス制限するシステムが普及しつつある。
【0003】
アクセス制限を実現する手段の1つとして、パスワードや認証トークン(Token)を使うものが存在する。また、より強固な認証システムとして、ワンタイムパスワードが用いられる場合がある。
【0004】
下記特許文献1には、ワンタイムパスワードを用いてユーザを認証する技術が記載されている。同文献では、ワンタイムパスワード管理サーバとWebサーバを設け、携帯端末からワンタイムパスワード管理サーバにワンタイムパスワードの生成を要求する。生成されたパスワードはWebサーバに格納されるため、携帯端末からWebサーバにパスワードを使ってアクセスし、ワンタイムパスワードを取得する。また、携帯端末をワンタイムパスワード生成のためのハードウェア(認証トークン(Token))の代わりとして機能させることができる。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特開2002−278929号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
上記特許文献1に記載の技術では、ワンタイムパスワードを入手するためにはWebサーバにアクセスする必要がある。したがって、Webサーバにアクセスするためのパスワードを知らないユーザはワンタイムパスワードを入手できないので、これによりワンタイムパスワードの安全性を確保することを図っている。
【0007】
しかし、このWebサーバにアクセスするためのパスワードは(ワンタイムパスワードではない)通常のパスワードであるため、必ずしも安全性は高くない。そのため、ワンタイムパスワード自体が堅固であったとしても、Webサーバにアクセスするためのパスワードが脆弱であれば、ワンタイムパスワードを不正に入手される可能性がある。
【0008】
本発明は、上記のような課題を解決するためになされたものであり、ワンタイムパスワードを発行するために必要な認証を強固にする技術を提供することを目的とする。
【課題を解決するための手段】
【0009】
本発明に係るワンタイムパスワード発行装置は、ワンタイムパスワードを発行するよう要求する依頼元端末の端末固有情報と、依頼元端末のユーザに割り当てられた認証情報とを用いて、依頼元端末を認証する。
【発明の効果】
【0010】
本発明に係るワンタイムパスワード発行装置によれば、端末固有情報を用いて依頼元端末を認証するので、ワンタイムパスワードを発行する依頼元端末を限定してワンタイムパスワードの安全性を高めることができる。また、依頼元端末が不正入手されたとしても、ユーザが正しい認証情報を入力しない限りワンタイムパスワードを発行しないので、依頼元端末の不正入手に対しても、ワンタイムパスワードの安全性を高めることができる。
【図面の簡単な説明】
【0011】
【図1】実施の形態1に係るワンタイムパスワード発行システム1000の構成図である。
【図2】ワンタイムパスワード発行サーバ100の機能ブロック図である。
【図3】認証情報テーブル131の構成とデータ例を示す図である。
【図4】認証端末400が画面表示するログイン画面410の画面例を示す図である。
【図5】ユーザ300がワンタイムパスワードを用いて認証端末400にログインするまでの手順を示す図である。
【図6】図5のステップ(8)でワンタイムパスワード発行サーバ100から依頼元端末200に対して送信する電子メールの1例を示す図である。
【図7】依頼元端末200がワンタイムパスワードを取得する動作フローである。
【図8】ワンタイムパスワード発行サーバ100がワンタイムパスワードを発行する動作フローである。
【図9】実施の形態2における認証端末400の動作フローである。
【発明を実施するための形態】
【0012】
<実施の形態1>
図1は、本発明の実施の形態1に係るワンタイムパスワード発行システム1000の構成図である。ワンタイムパスワード発行システム1000は、ユーザが特定の端末にログインする際に用いるワンタイムパスワードを取得するためのシステムであり、ワンタイムパスワード発行サーバ100、依頼元端末200、認証端末400を有する。図1において、ワンタイムパスワードの発行に係る手順の概略を併記した。詳細は後述する。
【0013】
ワンタイムパスワード発行サーバ100は、依頼元端末200から依頼を受けてワンタイムパスワードを発行する、サーバコンピュータである。依頼元端末200は、固有の識別情報を有する端末である。以下では携帯電話を用いて依頼元端末200を構成することとし、端末固有の識別情報は携帯電話番号であるものとする。
【0014】
ユーザ300は、認証端末400を利用するユーザである。認証端末400を使用するためには、ログイン手続きを実行しなければならない。そこでユーザ300は、依頼元端末200を用いてワンタイムパスワード発行サーバ100からワンタイムパスワードを取得し、そのワンタイムパスワードを用いて認証端末400にログインする。
【0015】
図2は、ワンタイムパスワード発行サーバ100の機能ブロック図である。ワンタイムパスワード発行サーバ100は、認証部110、パスワード発行部120、記憶部130を備える。
【0016】
認証部110は、ワンタイムパスワードを発行する要求を依頼元端末200から受け付けたとき、ワンタイムパスワードを発行してよいか否かを判断するため、依頼元端末200を認証する。パスワード発行部120は、認証部110が認証した依頼元端末200に対してワンタイムパスワードを発行する。認証部110が認証することができなかった依頼元端末200に対しては、ワンタイムパスワードは発行しない。記憶部130は、後述の図3で説明する認証情報テーブル131を格納する。
【0017】
認証部110、パスワード発行部120は、これらの機能を実現する回路デバイスのようなハードウェアを用いて構成することもできるし、マイコンやCPU(Central Processing Unit)などの演算装置とその動作を規定するソフトウェアを用いて構成することもできる。記憶部130は、HDD(Hard Disk Drive)のような記憶装置を用いて構成することができる。
【0018】
認証端末400は、ワンタイムパスワードを用いてユーザ300を認証する処理や、認証コードを発行する処理を、これらの機能を実現するプログラムを実行することによって実施することができる。同等の機能を有する回路デバイスなどのハードウェアを用いてこれらの機能を実現してもよい。
【0019】
図3は、認証情報テーブル131の構成とデータ例を示す図である。認証情報テーブル131は、依頼元端末200を認証するために必要な情報を保持するテーブルであり、ユーザID列1311、電話番号列1312、メールアドレス列1313、有効期限列1314、状態列1315を有する。
【0020】
ユーザID列1311は、依頼元端末200を使用するユーザ300にあらかじめ割り当てられた認証情報(ユーザID)を保持する。電話番号列1312は、依頼元端末200の携帯電話番号を端末固有情報として保持する。メールアドレス列1313は、依頼元端末200を使用するユーザ300が保持する電子メールアドレスを保持する。有効期限列1314は、ユーザID列1311の値で識別されるユーザIDの有効期限を保持する。状態列1315は、ユーザID列1311の値で識別されるユーザIDに対してワンタイムパスワードの発行を許可するか否かを示す可否フラグである。
【0021】
図4は、認証端末400が画面表示するログイン画面410の画面例を示す図である。ログイン画面410は、主にユーザ300がワンタイムパスワードを用いて認証端末400にログインするために用いる操作画面である。
【0022】
ログイン画面410の他の用途として、依頼元端末200の電話番号に基づき認証コードを生成する機能がある。認証コードは、依頼元端末200の電話番号に一意に対応付けられた文字列である。認証コードは、認証端末400自身にも固有に対応付けられる。すなわち認証コードは、依頼元端末200の電話番号に対応付けられているとともに、認証端末400にも対応付けられている。
【0023】
ワンタイムパスワード発行サーバ100は、ワンタイムパスワードを発行する際に、依頼元端末200に対して認証コードを入力するよう要求する。これによりワンタイムパスワード発行サーバ100は、依頼元端末200を認証する過程で、認証コードを媒介として、依頼元端末200と認証端末400を結びつけることができる。詳細は後述する。
【0024】
認証端末400は、認証コードを生成する際に、認証コードの中に依頼元端末200の電話番号をコード化して埋め込んでおく。その他、認証コードが認証端末400から発行されたものであることを示す情報をコード化しておいてもよい。ワンタイムパスワード発行サーバ100は、認証コードに埋め込まれている電話番号をデコードし、依頼元端末200を認証する。
【0025】
依頼元端末200の電話番号などをコード化して埋め込んだ認証コードを生成する手法としては、任意の公知技術を用いることができる。
【0026】
ログイン画面410は、電話番号入力欄411、認証コード表示ボタン412、認証コード表示欄413、パスワード入力欄414、ログインボタン415を有する。
【0027】
ユーザ300は、認証コードを取得するときは、依頼元端末200の電話番号を電話番号入力欄411に入力し、認証コード表示ボタン412を押下する。認証端末400は、電話番号入力欄411に入力された電話番号に一意に対応付けられ、かつ認証端末400自身に固有に対応する認証コードを生成し、認証コード表示欄413に表示する。
【0028】
ユーザ300は、認証端末400にログインするときは、ワンタイムパスワード発行サーバ100から取得したワンタイムパスワードをパスワード入力欄414に入力し、ログインボタン415を押下する。認証端末400は、パスワード入力欄414に入力されたワンタイムパスワードを用いて、ユーザ300を認証する。
【0029】
以上、ワンタイムパスワード発行システム1000の構成について説明した。次に、ワンタイムパスワード発行システム1000の動作を説明する。
【0030】
図5は、ユーザ300がワンタイムパスワードを用いて認証端末400にログインするまでの手順を示す図である。以下、図5の各ステップについて説明する。
【0031】
(1)認証コード取得
ユーザ300は、認証端末400のログイン画面410にアクセスし、依頼元端末200の電話番号を入力して認証コードを取得する。ワンタイムパスワードの特性を考慮すると、ユーザ300は、認証端末400にログインする毎に認証コードを改めて取得し直すことが望ましい。
【0032】
(2)通話を発信する
ユーザ300は、依頼元端末200を用いて、ワンタイムパスワード発行サーバ100に対して通話を発信する。なお、図示はしていないが、通話を着信するために必要な交換機などの装置は適宜設けておくものとする。
【0033】
(3)電話番号を取得する
ワンタイムパスワード発行サーバ100の認証部110は、依頼元端末200の発信電話番号を取得する。認証部110は、その電話番号をキーにして認証情報テーブル131を検索し、対応する各列の値を取得する。
【0034】
(4)ユーザID送信
ワンタイムパスワード発行サーバ100の認証部110は、ユーザIDを送信するよう依頼元端末200に対して要求する。具体的には、例えばIVR(Interactive Voice Response)システムの機能を利用すればよい。ユーザ300は、認証部110からの要求にしたがって、自己が保持するユーザIDを依頼元端末200上で入力し、ワンタイムパスワード発行サーバ100に送信する。
【0035】
(5)ユーザIDを認証する
ワンタイムパスワード発行サーバ100の認証部110は、ステップ(4)で依頼元端末200が送信したユーザIDと、ステップ(3)で認証情報テーブル131から読み出したユーザIDとが合致するか否かを判定する。合致する場合は、依頼元端末200に対して、さらに認証コードを送信するよう要求する。
【0036】
(6)認証コード送信
ユーザ300は、認証部110からの要求にしたがって、ステップ(1)で認証端末400から取得した認証コードを依頼元端末200上で入力し、ワンタイムパスワード発行サーバ100に送信する。
【0037】
(7)認証コードを認証する
ワンタイムパスワード発行サーバ100の認証部110は、ステップ(6)で依頼元端末200が送信した認証コードをデコードして電話番号を取り出し、依頼元端末200が取得した正しい認証コードであるか否かを判定する。
【0038】
(8)ワンタイムパスワード発行
ワンタイムパスワード発行サーバ100のパスワード発行部120は、ステップ(7)で認証部110が正しい認証コードであると判定した場合は、ワンタイムパスワードを生成して依頼元端末200に対して送信する。ワンタイムパスワードを依頼元端末200に対して送信する手段として、例えば電子メールを用いることができる。メールアドレスは、認証情報テーブル131のメールアドレス列1313にあらかじめ格納しておけばよい。
【0039】
(8)ワンタイムパスワード発行:補足
パスワード発行部120は、ワンタイムパスワードに、認証端末400がユーザを認証するために用いることができる情報をコード化して埋め込む。例えば、認証コードの中に認証端末400固有の情報がコード化されて埋め込まれている場合には、認証コードそのものをワンタイムパスワードの中にコード化して埋め込むことができる。その他、有効期限列1314の値や状態列1315の値をコード化して埋め込むこともできる。
【0040】
(9)ワンタイムパスワード取得
ユーザ300は、依頼元端末200が取得したワンタイムパスワードを画面上で確認するなどして、ワンタイムパスワードを取得する。
【0041】
(10)ログイン
ユーザ300は、ステップ(9)で取得したワンタイムパスワードをログイン画面410のパスワード入力欄414に入力して、認証端末400にログインする。
【0042】
図6は、図5のステップ(8)でワンタイムパスワード発行サーバ100から依頼元端末200に対して送信する電子メールの1例を示す図である。この電子メール本文には、ワンタイムパスワードとその有効期限が記載される。
【0043】
図7は、依頼元端末200がワンタイムパスワードを取得する動作フローである。以下図7の各ステップについて説明する。
【0044】
(図7:ステップS700)
ユーザ300は、依頼元端末200を用いて、ワンタイムパスワード発行サーバ100に通話を発信する。通話が始まると本動作フローが開始する。
【0045】
(図7:ステップS701)
ワンタイムパスワード発行サーバ100の認証部110は、ユーザIDを送信するよう依頼元端末200に対して要求する。ユーザ300は、ワンタイムパスワード発行サーバ100からの要求に応じて、依頼元端末200の操作ボタンなどを操作してユーザIDを入力し、ワンタイムパスワード発行サーバ100に送信する。
【0046】
(図7:ステップS702)
依頼元端末200は、ステップS701でユーザ300が入力したユーザIDが正しいか否かの認証結果を、ワンタイムパスワード発行サーバ100から受け取る。ユーザIDが正しければステップS703へ進み、正しくなければステップS706へ進む。
【0047】
(図7:ステップS703)
ワンタイムパスワード発行サーバ100の認証部110は、認証コードを送信するよう依頼元端末200に対して要求する。ユーザ300は、ワンタイムパスワード発行サーバ100からの要求に応じて、依頼元端末200の操作ボタンなどを操作して認証コードを入力し、ワンタイムパスワード発行サーバ100に送信する。
【0048】
(図7:ステップS704)
依頼元端末200は、ステップS703でユーザ300が入力した認証コードが正しいか否かの認証結果を、ワンタイムパスワード発行サーバ100から受け取る。認証コードが正しければステップS705へ進み、正しくなければステップS706へ進む。
【0049】
(図7:ステップS705)
ワンタイムパスワード発行サーバ100の認証部110は、ワンタイムパスワードを発行し、電子メールなどによって依頼元端末200に通知する。依頼元端末200はその通知を受信し、本動作フローを終了する。
【0050】
(図7:ステップS706)
ワンタイムパスワード発行サーバ100の認証部110は、依頼元端末200の認証に失敗し、ワンタイムパスワードを発行することができない。依頼元端末200は、本動作フローをエラー終了する。
【0051】
図8は、ワンタイムパスワード発行サーバ100がワンタイムパスワードを発行する動作フローである。以下、図8の各ステップについて説明する。
【0052】
(図8:ステップS800)
依頼元端末200からワンタイムパスワード発行サーバ100に対して通話の着信があると、本動作フローが開始される。
【0053】
(図8:ステップS801)
認証部110は、依頼元端末200の発信電話番号を取得し、認証情報テーブル131内にその電話番号と合致するレコードがあるか否かを判定する。認証情報テーブル131内にその電話番号が存在すればステップS802へ進み、存在しなければステップS809へ進む。
【0054】
(図8:ステップS802)
認証部110は、ステップS801で特定したレコードの有効期限列1314の値を取得し、当該電話番号に対応するユーザIDの有効期限が切れているか否かを判定する。有効期限が切れていなければステップS803へ進み、有効期限が切れていればステップS810へ進む。
【0055】
(図8:ステップS803)
認証部110は、ユーザIDを入力するように、依頼元端末200へ要求する。認証部110は、依頼元端末200からユーザIDを受け取る。
【0056】
(図8:ステップS804)
認証部110は、ステップS801で特定したレコードのユーザID列1311の値を取得し、ステップS803で受け取ったユーザIDと合致するか否かを判定する。合致すればステップS805へ進み、合致しなければステップS811へ進む。
【0057】
(図8:ステップS805)
認証部110は、認証コードを入力するように、依頼元端末200へ要求する。認証部110は、依頼元端末200から認証コードを受け取る。
【0058】
(図8:ステップS806)
認証部110は、ステップS805で受け取った認証コードに埋め込まれている電話番号を取り出し、依頼元端末200の電話番号と合致するか否かにより、当該認証コードが正しいか否かを確認する。認証コードが正しければステップS807へ進み、正しくなければステップS812へ進む。
【0059】
(図8:ステップS807)
パスワード発行部120は、認証端末400がユーザを認証するために用いることができる情報、有効期限列1314の値、状態列1315の値などをコード化して埋め込んだワンタイムパスワードを生成する。
【0060】
(図8:ステップS808)
パスワード発行部120は、ワンタイムパスワードを発行完了した旨を、IVRシステムなどの機能を用いて依頼元端末200に通知する。また、電子メールにそのワンタイムパスワードと有効期限を記述して、依頼元端末200に送信する。
【0061】
(図8:ステップS809)
認証部110は、依頼元端末200の電話番号がワンタイムパスワード発行サーバ100に登録されていない旨を、IVRシステムなどの機能を用いて依頼元端末200のユーザ300に案内する。
【0062】
(図8:ステップS810)
認証部110は、依頼元端末200のユーザ300が保持するユーザIDが有効期限切れである旨を、IVRシステムなどの機能を用いて依頼元端末200のユーザ300に案内する。
【0063】
(図8:ステップS811)
認証部110は、依頼元端末200の電話番号とユーザIDが合致しない旨を、IVRシステムなどの機能を用いて依頼元端末200のユーザ300に案内する。
【0064】
(図8:ステップS812)
認証部110は、ワンタイムパスワードの発行に失敗した旨を、IVRシステムなどの機能を用いて依頼元端末200のユーザ300に案内する。
【0065】
以上、本実施の形態1に係るワンタイムパスワード発行システム1000の動作を説明した。本実施の形態1において、認証端末400は、認証コード表示欄413に認証コードを画面表示してユーザ300に提示することを説明したが、その他の手段、例えば電子メールなどを用いて提示することもできる。
【0066】
以上のように、本実施の形態1によれば、ワンタイムパスワード発行サーバ100は、依頼元端末200の電話番号が認証情報テーブル131に登録されている場合に限り、ワンタイムパスワードを発行する。そのためユーザ300は、ワンタイムパスワードを入手するためには、あらかじめ依頼元端末200の電話番号をワンタイムパスワード発行サーバ100に登録しておく必要がある。これにより、あらかじめ許可された依頼元端末200を所持しているユーザに対してのみワンタイムパスワードが発行されるので、ワンタイムパスワードが不正なユーザに入手される可能性を低減し、ワンタイムパスワードの安全性を高めることができる。
【0067】
また、本実施の形態1によれば、ワンタイムパスワード発行サーバ100は、依頼元端末200の電話番号と対応付けられたユーザIDを受け取った場合に限り、ワンタイムパスワードを発行する。そのため、悪意あるユーザが不正に依頼元端末200を入手した場合でも、正しいユーザIDを知らない限りワンタイムパスワードを入手することはできない。これにより、ワンタイムパスワードの安全性をさらに高めることができる。
【0068】
<実施の形態2>
実施の形態1において、パスワード発行部120は、ワンタイムパスワードの中に有効期限列1314の値をコード化して埋め込むことができる旨を説明した。認証端末400は、ユーザ300がログイン画面410のパスワード入力欄414に有効期限の切れたワンタイムパスワードを入力してログインを試みたときは、ログインを拒否することができる。
【0069】
一方、パスワード発行部120は、ワンタイムパスワードの中に状態列1315の値をコード化して埋め込むこともできる。本発明の実施の形態2では、状態列1315の値を埋め込んだワンタイムパスワードを用いて認証端末400をロックし、不正ユーザが何度もログインを試みることができないようにする動作例を説明する。
【0070】
図9は、本実施の形態2における認証端末400の動作フローである。以下、図9の各ステップについて説明する。
【0071】
(図9:ステップS900)
ユーザ300が認証端末400のログイン画面410で操作を行なうと、本動作フローが開始される。
【0072】
(図9:ステップS901)
認証端末400は、ログイン画面410上で要求された操作を判定する。認証コード表示ボタン412が押下された場合はステップS902へ進み、ログインボタン415が押下された場合はステップS903へ進む。
【0073】
(図9:ステップS902)
認証端末400は、電話番号入力欄411に入力された電話番号と一意に対応付けられた認証コードを、認証コード表示欄413に表示する。
【0074】
(図9:ステップS903)
認証端末400は、パスワード入力欄414に入力されたワンタイムパスワードが、自己に固有に対応付けられた正規のパスワードであるか否かを判定する。具体的には、例えばワンタイムパスワード内にコード化されて埋め込まれた認証情報(例えば認証コード)などを取り出し、自己が保有している認証情報と合致するか否かを判定する。例えば、認証コードを生成する際にその認証コードを認証情報として保持しておき、本ステップでワンタイムパスワードから取り出した認証コードと比較する。正しいパスワードである場合はステップS904へ進み、正しいパスワードでない場合はステップS906へ進む。
【0075】
(図9:ステップS904)
認証端末400は、パスワード入力欄414に入力されたワンタイムパスワード内にコード化されている状態列1315の値を取り出す。値が「許可」である場合はステップS905へ進み、値が「禁止」である場合はステップS906へ進む。
【0076】
(図9:ステップS905)
認証端末400は、ユーザ300のログインを許可する。
【0077】
(図9:ステップS906)
認証端末400は、ユーザ300のログインを許可せず、ログイン画面410をロックする。以後は、例えば所定時間が経過する、システム管理者がロックを解除するなどしない限り、ログイン操作は受け付けない。
【0078】
以上のように、本実施の形態2によれば、認証情報テーブル131の状態列1315の値が「禁止」であるユーザが認証端末400にログインを試みたとき、認証端末400のログイン機能をロックすることができる。これにより、認証端末400を用いることが禁止されているユーザ300が何度もログインを試行することができないようにすることができるので、認証端末400に不正ログインされる可能性を低減することができる。
【0079】
なお、図9ではユーザが誤ったワンタイムパスワードを入力するか、または「禁止」状態のワンタイムパスワードを入力した場合は、即座にログイン画面410をロックすることとしたが、入力ミスなどに配慮し、即座にロックせず所定回数のログイン試行は許容するようにしてもよい。
【0080】
<実施の形態3>
以上の実施の形態1〜2では、携帯電話を用いて依頼元端末200を構成し、電話番号を依頼元端末200の端末固有情報として用いることを説明した。依頼元端末200に固有に割り当てられ、かつワンタイムパスワード発行サーバ100が知ることができる情報であれば、電話番号以外の情報を用いることもできる。また、携帯電話以外の端末を用いて依頼元端末200を構成することもできる。
【0081】
例えば、携帯電話には固有の端末番号が割り当てられているので、これを端末固有情報として用いることができる。その他、IP通信を行う端末を用いて依頼元端末200を構成する場合は、依頼元端末200のMAC(Media Access Control)アドレスを端末固有情報として用いることもできる。
【符号の説明】
【0082】
100:ワンタイムパスワード発行サーバ、110:認証部、120:パスワード発行部、130:記憶部、131:認証情報テーブル、1311:ユーザID列、1312:電話番号列、1313:メールアドレス列、1314:有効期限列、1315:状態列、200:依頼元端末、300:ユーザ、400:認証端末、410:ログイン画面、411:電話番号入力欄、412:認証コード表示ボタン、413:認証コード表示欄、414:パスワード入力欄、415:ログインボタン、1000:ワンタイムパスワード発行システム。
【特許請求の範囲】
【請求項1】
ワンタイムパスワードを発行する装置であって、
ワンタイムパスワードの発行を依頼する依頼元端末を認証する認証部と、
前記認証部が認証した前記依頼元端末に対してワンタイムパスワードを発行するパスワード発行部と、
前記依頼元端末が固有に有する端末固有情報および前記依頼元端末のユーザに割り当てられた認証情報を保持するテーブルを格納した記憶部と、
を備え、
前記認証部は、
前記ワンタイムパスワードを発行するよう前記依頼元端末から要求を受けると、
前記依頼元端末から当該依頼元端末の端末固有情報を取得し、
前記依頼元端末の端末固有情報と、前記依頼元端末のユーザに割り当てられた認証情報と、前記ワンタイムパスワードを用いて認証を行なう認証端末に固有に割り当てられかつ前記依頼元端末の端末固有情報に一意に対応付けられた認証コードと、を用いて前記依頼元端末を認証し、
前記パスワード発行部は、
前記認証コードをコード化して埋め込んだ前記ワンタイムパスワードを発行する
ことを特徴とするワンタイムパスワード発行装置。
【請求項2】
前記テーブルは、
前記依頼元端末のユーザが前記認証端末を使用することができるか否かを示す可否フラグを保持しており、
前記パスワード発行部は、
前記可否フラグを前記ワンタイムパスワード内にコード化して前記ワンタイムパスワードを発行する
ことを特徴とする請求項1記載のワンタイムパスワード発行装置。
【請求項3】
請求項1または2記載のワンタイムパスワード発行装置と、
前記ワンタイムパスワードを用いてユーザを認証する認証端末と、
を有することを特徴とするワンタイムパスワード発行システム。
【請求項4】
請求項2記載のワンタイムパスワード発行装置と、
前記ワンタイムパスワードを用いてユーザを認証する認証端末と、
を有し、
前記認証端末は、
前記依頼元端末のユーザが前記認証端末を使用することができない旨の前記可否フラグがコード化されている前記ワンタイムパスワードを受け取ったときは、認証機能をロックして認証要求を受け付けないようにする
ことを特徴とするワンタイムパスワード発行システム。
【請求項5】
前記認証端末は、前記端末固有情報を受け取ると前記認証コードを提示する認証コード提示部を備えた
ことを特徴とする請求項3または4記載のワンタイムパスワード発行システム。
【請求項1】
ワンタイムパスワードを発行する装置であって、
ワンタイムパスワードの発行を依頼する依頼元端末を認証する認証部と、
前記認証部が認証した前記依頼元端末に対してワンタイムパスワードを発行するパスワード発行部と、
前記依頼元端末が固有に有する端末固有情報および前記依頼元端末のユーザに割り当てられた認証情報を保持するテーブルを格納した記憶部と、
を備え、
前記認証部は、
前記ワンタイムパスワードを発行するよう前記依頼元端末から要求を受けると、
前記依頼元端末から当該依頼元端末の端末固有情報を取得し、
前記依頼元端末の端末固有情報と、前記依頼元端末のユーザに割り当てられた認証情報と、前記ワンタイムパスワードを用いて認証を行なう認証端末に固有に割り当てられかつ前記依頼元端末の端末固有情報に一意に対応付けられた認証コードと、を用いて前記依頼元端末を認証し、
前記パスワード発行部は、
前記認証コードをコード化して埋め込んだ前記ワンタイムパスワードを発行する
ことを特徴とするワンタイムパスワード発行装置。
【請求項2】
前記テーブルは、
前記依頼元端末のユーザが前記認証端末を使用することができるか否かを示す可否フラグを保持しており、
前記パスワード発行部は、
前記可否フラグを前記ワンタイムパスワード内にコード化して前記ワンタイムパスワードを発行する
ことを特徴とする請求項1記載のワンタイムパスワード発行装置。
【請求項3】
請求項1または2記載のワンタイムパスワード発行装置と、
前記ワンタイムパスワードを用いてユーザを認証する認証端末と、
を有することを特徴とするワンタイムパスワード発行システム。
【請求項4】
請求項2記載のワンタイムパスワード発行装置と、
前記ワンタイムパスワードを用いてユーザを認証する認証端末と、
を有し、
前記認証端末は、
前記依頼元端末のユーザが前記認証端末を使用することができない旨の前記可否フラグがコード化されている前記ワンタイムパスワードを受け取ったときは、認証機能をロックして認証要求を受け付けないようにする
ことを特徴とするワンタイムパスワード発行システム。
【請求項5】
前記認証端末は、前記端末固有情報を受け取ると前記認証コードを提示する認証コード提示部を備えた
ことを特徴とする請求項3または4記載のワンタイムパスワード発行システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【公開番号】特開2011−198025(P2011−198025A)
【公開日】平成23年10月6日(2011.10.6)
【国際特許分類】
【出願番号】特願2010−64035(P2010−64035)
【出願日】平成22年3月19日(2010.3.19)
【出願人】(000233055)株式会社日立ソリューションズ (1,610)
【Fターム(参考)】
【公開日】平成23年10月6日(2011.10.6)
【国際特許分類】
【出願日】平成22年3月19日(2010.3.19)
【出願人】(000233055)株式会社日立ソリューションズ (1,610)
【Fターム(参考)】
[ Back to top ]