ワンタイムパスワード装置およびシステム
【課題】複数のプロバイダとの間で安全にワンタイムパスワードを利用する。
【解決手段】サービスを提供しているプロバイダのプロバイダ識別情報と、プロバイダ識別情報に対応するワンタイムパスワードを生成するための数列であるシードと、を対応付けて1組とし、この組を複数のプロバイダ分だけ格納して、プロバイダ識別情報とシードは組ごとに全て異なる手段102と、時刻情報を発生する手段101と、プロバイダ識別情報を取得する手段103と、取得されたプロバイダ識別情報に対応する対応シードを手段102から取得する手段と、手段101から時刻情報を取得する手段103と、取得された時刻情報と、対応シードとに対応する数値であるワンタイムパスワードを発生する手段103と、ワンタイムパスワードを表示する手段104と、を具備する。
【解決手段】サービスを提供しているプロバイダのプロバイダ識別情報と、プロバイダ識別情報に対応するワンタイムパスワードを生成するための数列であるシードと、を対応付けて1組とし、この組を複数のプロバイダ分だけ格納して、プロバイダ識別情報とシードは組ごとに全て異なる手段102と、時刻情報を発生する手段101と、プロバイダ識別情報を取得する手段103と、取得されたプロバイダ識別情報に対応する対応シードを手段102から取得する手段と、手段101から時刻情報を取得する手段103と、取得された時刻情報と、対応シードとに対応する数値であるワンタイムパスワードを発生する手段103と、ワンタイムパスワードを表示する手段104と、を具備する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ワンタイムパスワードを生成するワンタイムパスワード装置およびシステムに関する。
【背景技術】
【0002】
ネットワークではユーザを認証する技術が重要である。ユーザ認証は、例えば、PDA、携帯電話、ノートPC等の端末からネットワークを介して、コンピュータシステムに接続する際に、接続しようとする端末のユーザが適切かどうかを判断するための技術である。安全かつ確実に重要な情報にアクセスするためには、ユーザ認証技術が重要になる。ユーザ認証の際に、よく利用されるのがIDとパスワードである。近年、パスワードの漏洩による不正アクセスの増加が問題となっている。
【0003】
不正アクセスの防止策として、パスワードを利用する認証よりも強力なワンタイムパスワードを利用する技術がある(例えば、特許文献1参照)。
【0004】
ワンタイムパスワードは、例えば、OTP(one time password:ワンタイムパスワード)生成装置(トークンとも呼ばれる)によって、プロバイダが発行したOTPシードと、時刻情報とに対応させて生成される。さらに、このプロバイダを提供しているサーバ装置は、このユーザの識別情報に対応するOTPシードを格納し、OTPシードと時刻情報とに対応したワンタイムパスワードを生成する。OTP生成装置とサーバ装置では、同一のOTPシード情報を所有し、ワンタイムパスワードを生成するアルゴリズムも同一に設定してある。さらに、時刻情報も同期させておくので、OTP生成装置が生成するワンタイムパスワードとサーバ装置が生成するワンタイムパスワードは同一になり、ユーザ認証を行うことができる。
【0005】
このワンタイムパスワードは、時刻情報が変化するため、認証のために1回しか使用することができないので、ワンタイムパスワード認証は高い安全性を確保することができる。
【特許文献1】特開2004−171056公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
しかし、ユーザが複数のプロバイダとの間でワンタイムパスワードを利用する場合には、各プロバイダに対応しているOTP生成装置を使用する必要があるので、ユーザは複数のプロバイダ用のOTP生成装置を携帯する必要があり、ユーザには不便である。
【0007】
また、複数のプロバイダ間でワンタイムパスワードを共有しようとすると、ワンタイムパスワードを生成するために必要な秘密のOTPシードもプロバイダ間で共有する必要がある。この秘密のOTPシードをプロバイダ間で共有すると、秘密のOTPシードの漏洩につながる可能性があり、安全性に問題がある。
【0008】
この発明は、上述した事情を考慮してなされたものであり、複数のプロバイダとの間で安全にワンタイムパスワードを利用することができるワンタイムパスワード装置およびシステムを提供することを目的とする。
【課題を解決するための手段】
【0009】
上述の課題を解決するため、本発明のワンタイムパスワード装置は、サービスを提供しているプロバイダのプロバイダ識別情報と、該プロバイダ識別情報に対応するワンタイムパスワードを生成するための数列であるシードと、を対応付けて1組とし、この組を複数のプロバイダ分だけ格納して、プロバイダ識別情報とシードは組ごとに全て異なる格納手段と、時刻情報を発生する時刻発生手段と、プロバイダ識別情報を取得する第1取得手段と、前記取得されたプロバイダ識別情報に対応する対応シードを前記格納手段から取得する第2取得手段と、前記時刻情報を取得する第3取得手段と、前記取得された時刻情報と、前記対応シードとに対応する数値であるワンタイムパスワードを発生するOTP発生手段と、前記ワンタイムパスワードを表示する表示手段と、を具備することを特徴とする。
【0010】
また、本発明のワンタイムパスワード装置は、サーバ装置と通信する際に利用するワンタイムパスワードを生成するワンタイムパスワード装置であって、サービスを提供しているプロバイダのプロバイダ識別情報と、該プロバイダ識別情報に対応するワンタイムパスワードを生成するための数列であるシードと、を対応付けて1組とし、この組を複数のプロバイダ分だけ格納して、プロバイダ識別情報とシードは組ごとに全て異なる格納手段と、時刻情報を発生する時刻発生手段と、プロバイダの第1プロバイダ識別情報を取得する第1取得手段と、前記第1プロバイダ識別情報に対応する第1対応シードを前記格納手段から取得する第2取得手段と、前記時刻情報を取得する第3取得手段と、前記取得された時刻情報と、前記第1対応シードとに対応する数値である第1ワンタイムパスワードを発生するOTP発生手段と、前記第1ワンタイムパスワードを表示する表示手段と、を具備し、前記サーバ装置は、ユーザ識別情報と、該ユーザ識別情報に対応するワンタイムパスワードを生成するための数列であるシードと、を対応付けて1組とし、この組を複数格納し、前記時刻情報と、前記ワンタイムパスワード装置のユーザの識別情報に対応する第2対応シードと、に対応する第2ワンタイムパスワードが、前記第1ワンタイムパスワードと一致している場合には前記サーバ装置は、前記ユーザに前記第1プロバイダ識別情報を有するプロバイダのサービスの提供を許可することを特徴とする。
【0011】
本発明のワンタイムパスワードシステムは、サーバ装置と、該サーバ装置と通信する際に利用するワンタイムパスワードを生成するワンタイムパスワード装置とを具備するワンタイムパスワードシステムであって、
前記ワンタイムパスワード装置は、サービスを提供しているプロバイダのプロバイダ識別情報と、該プロバイダ識別情報に対応するワンタイムパスワードを生成するための数列であるシードと、を対応付けて1組とし、この組を複数のプロバイダ分だけ格納して、プロバイダ識別情報とシードは組ごとに全て異なる第1格納手段と、ユーザが接続を望むプロバイダの第1プロバイダ識別情報を取得する第1取得手段と、前記第1プロバイダ識別情報に対応する第1対応シードを前記第1格納手段から取得する第2取得手段と、第1時刻情報を発生する第1時刻発生手段と、前記第1時刻情報と、前記第1対応シードとに対応する数値である第1ワンタイムパスワードを発生する第1OTP発生手段と、前記第1ワンタイムパスワードを表示する表示手段と、を具備し、
前記サーバ装置は、ユーザ識別情報と、該ユーザ識別情報に対応するワンタイムパスワードを生成するための数列であるシードと、を対応付けて1組とし、この組を複数格納して、ユーザ識別情報とシードは組ごとに全て異なる第2格納手段と、前記第1時刻情報と同期した第2時刻情報を発生する第2時刻発生手段と、前記ユーザ識別情報と、該ユーザ識別情報に対応する第2対応シードとを前記第2格納手段から取得する第3取得手段と、前記第2時刻情報と、前記第2対応シードとに対応する第2ワンタイムパスワードを発生する第2OTP発生手段と、前記第1ワンタイムパスワードを取得する第4取得手段と、前記第1ワンタイムパスワードと前記第2ワンタイムパスワードとが一致しているかどうかを判定する判定手段と、前記判定手段が一致していると判定した場合には、前記第1プロバイダ識別情報を有するプロバイダのサービスの提供を許可する許可手段と、をさらに具備することを特徴とする。
【発明の効果】
【0012】
本発明のワンタイムパスワード装置およびシステムによれば、複数のプロバイダとの間で安全にワンタイムパスワードを利用することができる。
【発明を実施するための最良の形態】
【0013】
以下、図面を参照しながら本発明の実施形態に係るワンタイムパスワード装置およびプログラムについて詳細に説明する。なお、以下の実施形態中では、同一の番号を付した部分については同様の動作を行うものとして、重ねての説明を省略する。
(第1の実施形態)
本実施形態のワンタイムパスワード装置について図1を参照して説明する。
本実施形態のワンタイムパスワード装置は、図1に示すように、時刻発生部101、鍵管理部102、OTP(one time password:ワンタイムパスワード)発生部103、OTP/CID表示部104、入力部105、制御部106を含んでいる。なお、このワンタイムパスワード装置は、例えば、携帯電話である。
【0014】
時刻発生部101は時刻を発生する。この時刻は、後述するサーバ装置に含まれる時刻発生部301が生成する時刻に同期している。
【0015】
鍵管理部102は鍵データを格納している。この鍵データは、サービスを提供しているプロバイダの識別情報と、該識別情報に対応するワンタイムパスワードを生成するための数列であるOTPシードと、を対応付けて1組とし、この組をこのワンタイムパスワード装置のユーザが接続しようとするプロバイダ分だけ格納している。なお、識別情報とシードは組ごとに全て異なる。鍵管理部102は、図2に示すように、プロバイダの識別情報として、例えば、プロバイダのIDと、このプロバイダ向けのCID(communication identifier:通信識別子)とを格納している。CIDは、プロバイダとユーザとの組ごとに割り当てられるIDである。各プロバイダはユーザごとに異なるCIDを有し、各ユーザはプロバイダごとに異なるCIDを有している。ある1つのCIDは、対応するある1つのプロバイダと、対応するあるひとりのユーザとで同一である。鍵管理部102が格納しているデータの詳細については後に図2を参照して説明する。
OTP発生部103は、時刻発生部101が発生した時刻と、鍵管理部102に格納されているOTPシードのうちのユーザが入力したプロバイダに対応するOTPシードと、を入力して、この時刻とOTPシードから数値を生成する。この数値は、例えば、ハッシュ関数を使用して生成される。OTP発生部103のハッシュ関数(例えば、SHA−256)は、例えば、時刻として32ビットのデータと、OTPシードとして256ビットのデータを入力とし、256ビットの数値を出力する。OTP発生部103は、ハッシュ関数で得られた数値の一部(例えば、20ビット)をワンタイムパスワードとして出力する。
【0016】
OTP/CID表示部104は、OTP発生部103が発生したワンタイムパスワードと、制御部106が鍵管理部102から取得したワンタイムパスワードに対応するCIDを表示する。OTP/CID表示部104は、例えば、この他にも、暗証番号の入力画面、プロバイダの選択画面を表示する。
【0017】
入力部105は、例えば、ユーザがサービスを選択する際に利用される。
制御部106は、鍵管理部102から、ユーザが入力したプロバイダに対応するOTPシードに対応するCIDを取得し、OTP/CID表示部104に渡す。また、制御部106はワンタイムパスワード装置に含まれる各部を制御する。
【0018】
次に、図1の鍵管理部102に格納されている鍵データについて図2を参照して説明する。
鍵管理部102は、ワンタイムパスワード装置ごとに、プロバイダID、CID、OTPシードを1組としたデータを、ユーザが提携しているプロバイダの数だけ格納している。これらのCIDとOTPシードは、ユーザごと(すなわち、ワンタイムパスワード装置ごと)に定まっている。すなわち、一般的には、同一のプロバイダでも、ユーザに依存して、CIDとOTPシードは異なっている。したがって、CIDとOTPシードから生成されるワンタイムパスワードは安全性に優れ、ネットワーク上の正しい相手と通信が可能になる。
【0019】
鍵管理部102が格納する鍵データは、提携しているプロバイダの数だけあるが、通常は100件程度であると見込まれる。プロバイダID、CIDは、例えば、それぞれ8桁で示され、OTPシードは、例えば、256ビットを有している。この場合、鍵管理部102は、4000バイト程度のデータを格納することになる。
【0020】
次に、図1のワンタイムパスワード装置を利用してユーザがデータのやり取りを行う相手であるサーバ装置について図3を参照して説明する。サーバ装置は、プロバイダごとに設置される。すなわち、1つのサーバ装置には1つのプロバイダ情報のみ格納している。
サーバ装置は、図3に示すように、時刻発生部301、鍵管理部302、シード処理部303、OTP発生部304、ネットワークI/F(interface:インターフェース)部305、制御部306を含んでいる。
【0021】
時刻発生部301は時刻を発生する。この時刻は、ワンタイムパスワード装置に含まれる時刻発生部101が生成する時刻に同期している。
【0022】
鍵管理部302は、鍵データをプロバイダごとに格納している。このプロバイダごとの鍵データは、登録しているユーザのCIDと、該CIDに対応するワンタイムパスワードを生成するための数列であるOTPシードと、を対応付けて1組とし、この組を複数組格納している。鍵管理部302が格納しているCIDとOTPシードは、組ごとに全て異なる内容になっている。また、ワンタイムパスワード装置の鍵管理部102が格納している鍵データのうちの対応するプロバイダに関するOTPシードは、鍵管理部302が格納しているOTPシードのうちの対応ユーザのOTPシードに一致している。鍵管理部302が格納しているデータの詳細については後に図4を参照して説明する。
【0023】
なお、ワンタイムパスワード装置の鍵管理部102に格納されている鍵データのうちのあるプロバイダに関するOTPシードは、このプロバイダに対応するサーバ装置の鍵管理部302が格納しているOTPシードのうちのこのユーザに対応するOTPシードと一致するように設定しておく。例えば、後に図5を参照して説明するように、ユーザが、対応するプロバイダごとに利用登録を行う際にユーザのCIDとワンタイムパスワードをサーバ装置に送信する。また、鍵管理会社が、事前にユーザとプロバイダに鍵データを郵送して、ユーザがワンタイムパスワード装置の鍵管理部102に鍵データをコピーする。他に、秘匿性に優れる通信回線、または、秘匿性に優れる通信技術を使用して、ワンタイムパスワード装置はサーバ装置から鍵データをダウンロードしてもよい。
【0024】
シード処理部303は、鍵管理部302に格納されているデータからOTPシードを生成するための処理を行う。シード処理部303は、鍵管理部302からユーザに対応するOTPシードを取得し、OTP発生部304に渡す。
【0025】
OTP発生部304は、時刻発生部301が発生した時刻と、シード処理部303から取得したOTPシードとを入力して、この時刻とOTPシードから数値を生成する。この数値を発生するためのアルゴリズムは、本実施形態のワンタイムパスワード装置でのOTP発生部103と同様である。すなわち、入力するOTPシードと時刻とが同一なので、サーバ装置が発生するワンタイムパスワードとワンタイムパスワード装置が発生するワンタイムパスワードは同一のものになる。
【0026】
ネットワークI/F部305は、ワンタイムパスワード装置が生成したワンタイムパスワードを利用してサーバ装置にログインするコンピュータとの間でデータのやり取りをする。ネットワークI/F部305は、例えば、コンピュータからユーザのログインを受け付けたり、後に図5を参照して説明するように、コンピュータからCIDとワンタイムパスワードを受信したりする。
【0027】
制御部306は、サーバ装置の各部を制御する。また、制御部306は、OTP発生部304が発生したワンタイムパスワードと、ネットワークI/F部305がコンピュータから受信したワンタイムパスワードとが一致するかどうかを判定する。一致すると判定した場合にはコンピュータへのサービスの提供を許可しサービスの提供を開始し、一致しない場合にはコンピュータへのサービスの提供を拒否する。
【0028】
次に、鍵管理部302に格納されている鍵データについて図4を参照して説明する。
鍵管理部302は、プロバイダごとに、CID、OTPシードを1組としたデータをユーザの数以上格納している。これらのCIDとOTPシードは、ユーザごとに定まっている。すなわち、一般的には、同一のプロバイダでも、ユーザによって、CIDとOTPシードは異なっている。したがって、CIDとOTPシードから生成されるワンタイムパスワードは安全性に優れ、ネットワーク上の正しい相手と通信が可能になる。
【0029】
鍵管理部302が格納する鍵データは、登録しているユーザの数だけあるが、通常は1000万件程度である。CIDは例えば8桁で示され、OTPシードは例えば256ビットを有している。この場合、鍵管理部302は、1プロバイダにつき3.6億バイト程度のデータを格納することになる。
【0030】
次に、図1のワンタイムパスワード装置を利用して、図3のサーバ装置のプロバイダに、このサーバ装置に接続するコンピュータを介して、利用登録をするための動作の一例について図5を参照して説明する。
ユーザは、コンピュータを使用して、所望のプロバイダサイトを運営しているサーバ装置にログインする(ステップS501)。このとき、ユーザは、例えば、ユーザの識別情報である、IDとパスワード(図5ではPW)を入力してログインする。通常このIDとパスワードは登録のための仮のものであり1度だけ使用される。
【0031】
ユーザは、コンピュータを使用して、ワンタイムパスワードを使用する旨をサーバ装置に指示する指示信号を送信する(ステップS502)。
【0032】
サーバ装置は、コンピュータに、CIDとワンタイムパスワードを入力する旨の要求信号を送信する(ステップS503)。
【0033】
ユーザは、携帯電話を使用し、サービスの提供を受けたいプロバイダを選択する(ステップS504)。このプロバイダは、ステップS501でログインしたサイトのプロバイダである。
【0034】
携帯電話では、OTP発生部103がステップS504で選択されたプロバイダのOTPシードからワンタイムパスワードを発生し、発生したワンタイムパスワードとCIDとをOTP/CID表示部104に表示する(ステップS505)。
【0035】
ユーザは、ステップS505で表示されたワンタイムパスワードとCIDとをコンピュータに入力し、入力されたワンタイムパスワードとCIDとがサーバ装置に送信される(ステップS506)。
サーバ装置は、ステップS506で入力されたワンタイムパスワードとCIDとを受信し、これらが、この登録ユーザの鍵データであると認識し、このワンタイムパスワードとCIDと、時刻発生部301が発生する時刻により、この登録ユーザのOTPシードを生成し、このOTPシードとCIDとをこのユーザの鍵データとして鍵管理部302に格納する。
【0036】
次に、図1のワンタイムパスワード装置と、図3のサーバ装置と、このサーバ装置に接続するコンピュータとを含むワンタイムパスワードシステムの動作の一例について図6、図7を参照して説明する。
ユーザは、コンピュータに、所望のプロバイダサイトを表示させる(ステップS601)。
【0037】
ユーザは、携帯電話を使用し、サービスの提供を受けたいプロバイダを選択する(ステップS602)。ユーザは、例えば、図7の(1)のように、入力部105を使用し、携帯電話の画面上で、パスワードとして暗証番号を入力し、図7の(2)のようにサービスの提供をするプロバイダの一覧を表示させ、複数のプロバイダの中からステップS601で表示させたプロバイダを選択する。
【0038】
携帯電話では、OTP発生部103がステップS602で選択されたプロバイダのOTPシードからワンタイムパスワードを発生し、発生したワンタイムパスワードをOTP/CID表示部104に表示する(ステップS603)。携帯電話は、例えば、図7の(3)のようにワンタイムパスワードを表示する。
【0039】
ユーザは、ユーザのIDとステップS603で表示されたワンタイムパスワードとをコンピュータに入力し、入力されたワンタイムパスワードがサーバ装置に送信される(ステップS604)。
サーバ装置は、ステップS604で入力されたユーザIDとワンタイムパスワードとを受信し、受信したワンタイムパスワードと、サーバ装置が発生したワンタイムパスワードとが一致するかどうか確認する(認証処理)(ステップS605)。一致している場合には、サーバ装置がコンピュータにサービスの提供を開始する。なお、サーバ装置は、ワンタイムパスワード装置の時刻発生部101が発生する時刻情報の誤差を測定し、誤差を補正するための情報を格納してもよい。
【0040】
以上の第1の実施形態によれば、ワンタイムパスワード装置でプロバイダごとにCIDとOTPシードを予め格納して、同様な情報をサーバ装置にユーザごとに、CIDとOTPシードを予め格納しておくことにより、プロバイダ間でのOTPシードの漏洩がなく、1つのワンタイムパスワード装置で複数のプロバイダからサービスの提供を安全に受けることができる。
【0041】
(第2の実施形態)
本実施形態のワンタイムパスワード装置について図8を参照して説明する。
本実施形態のワンタイムパスワード装置は、図8に示すように、第1の実施形態での鍵管理部102、制御部106の代わりにそれぞれ鍵管理部801、制御部803を含み、さらに第1の実施形態のワンタイムパスワード装置からの新たな装置部分として、時変シード処理部802を含んでいる。
【0042】
鍵管理部801は、格納している鍵データは鍵管理部102と同様である。鍵管理部102と異なる点は、図9に模式的に示すように、鍵管理部801が格納しているOTPシードの一部を時刻情報と重ね合わせることに使用し、OTPシードのその他の部分を暗号化に使用することである。いずれのOTPシードの部分も時変シード処理部802で使用される。
【0043】
時変シード処理部802は、OTPシードを時刻情報により変動させる。時変シード処理部802は、例えば、時刻発生部101から時刻情報を取得して、OTPシードの後半部分と時刻情報とを取得し、これらの情報をある演算手法で演算し、演算した情報をOTPシードの前半部分で(例えば、AESによって)暗号化し、暗号化したデータをハッシュ関数(例えば、SHA−256)の入力としてハッシュ関数の出力を得る。この出力をOTP発生部103に入力するOTPシードとする。時刻情報として、年月のみを入力すれば、OTPシードを毎月変動させることができる。
演算手法は、xをOTPシードの後半部分、yを時刻情報、zを演算結果とした場合、f(x,y)=zで定義される演算においてxを固定した場合にyとzとが1対1に対応するような演算である。この条件を満たす演算としては、例えば、加算がある(x+y=z)。
【0044】
制御部803は、鍵管理部801から、ユーザが入力したプロバイダに対応するOTPシードに対応するCIDを取得し、OTP/CID表示部104に渡す。また、制御部803は、制御部106の制御処理に加え、時変シード処理部802の制御も行う。
第2の実施形態では、鍵管理部302は、時変シード処理部802が出力するOTPシードと同一のシードをユーザの情報に対応付けて格納している。
【0045】
以上の第2の実施形態によれば、第1の実施形態での効果に加えて、所定の期間が経過するごとに、OTPシードを変動させることができ、ワンタイムパスワードを変動させることができる。したがって、より安全性の高いワンタイムパスワードを使用することができる。
【0046】
(第3の実施形態)
本実施形態のワンタイムパスワード装置について図10を参照して説明する。
本実施形態のワンタイムパスワード装置は、図10に示すように、第2の実施形態での鍵管理部102、制御部106の代わりにそれぞれ鍵管理部1001、制御部1003を含み、さらに第2の実施形態のワンタイムパスワード装置からの新たな装置部分として、圧縮シード処理部1002を含んでいる。
【0047】
鍵管理部1001は、鍵データを格納している。この鍵データは、プロバイダのIDおよびこのプロバイダのCIDと、1つのOTPシードとを格納している。プロバイダごとのOTPシードを格納するのではなく、1つのOTPシードだけを格納している点が他の実施形態と異なる。
鍵管理部1001が格納しているプロバイダIDとCIDは、ユーザごとに定まっている。すなわち、一般的には、同一のプロバイダでも、ワンタイムパスワード装置によって、CIDは異なっている。
【0048】
鍵管理部1001が格納する鍵データは、図11に示すように、提携プロバイダの数だけあるが、通常は100件程度である。プロバイダID、CIDは、例えば、それぞれ8桁で示され、OTPシードは、例えば、256ビットを有している。この場合、鍵管理部1001は、832バイト程度のデータを格納することになり、他の実施形態での格納量4000バイト程度よりも格段にデータ格納量が少なくなる。
【0049】
圧縮シード処理部1002は、プロバイダIDとCIDと単一のOTPシードから、このプロバイダに対応するOTPシードを発生させる。圧縮シード処理部1002は、例えば、プロバイダIDと、OTPシードの後半部分とを第2の実施形態で説明したように演算し、演算した情報を単一のOTPシードの前半部分で(例えば、AESによって)暗号化し、暗号化した情報をハッシュ関数(例えば、SHA−256)の入力としてハッシュ関数の出力を得る。この出力を時変シード処理部802に入力するOTPシードとする。
制御部1003は、鍵管理部1001から、ユーザが入力したプロバイダに対応するOTPシードに対応するCIDを取得し、OTP/CID表示部104に渡す。また、制御部1003は制御部803の制御処理に加え、圧縮シード処理部1002の制御も行う。
【0050】
第3の実施形態では、鍵管理部302は、時変シード処理部802が出力するOTPシードと同一のシードをユーザの情報に対応付けて格納している。
【0051】
(変形例)
第3の実施形態のワンタイムパスワード装置の変形例について図12を参照して説明する。
本変形例のワンタイムパスワード装置は、図12に示すように、第3の実施形態での圧縮シード処理部1002、制御部1003の代わりにそれぞれ圧縮シード処理部1201、制御部1202を含み、さらに、第3の実施形態での時変シード処理部802を除いたものである。制御部1202は、制御部106の制御処理に加え、圧縮シード処理部1201の制御も行う。
【0052】
圧縮シード処理部1201は、圧縮シード処理部1002とは演算部分が異なるだけである。圧縮シード処理部1201では、圧縮シード処理部1002での場合のように、プロバイダIDと、OTPシードの後半部分とを演算し、さらに、この演算結果と時刻発生部101から取得した時刻情報とを演算する。そして、この最終的な演算結果を単一のOTPシードの前半部分で(例えば、AESによって)暗号化すること以降の圧縮シード処理部1201での動作は、上述した第3の実施形態と同様である。そして、圧縮シード処理部1201のハッシュ関数の出力をOTPシードとして、OTP発生部103に出力する。なお、演算手法は、他の実施形態と同様である。
この変形例によれば、時変シード処理部802を設置する必要がなくなる。
【0053】
以上の第3の実施形態によれば、第2の実施形態での効果に加えて、ワンタイムパスワード装置が格納しておくべき情報量が格段に減少し、メモリの空き容量が増加するので、他の用途にメモリを活用することができる。逆に言えば、ワンタイムパスワード装置は少ないメモリで適切なワンタイムパスワードを生成することができる。
【0054】
なお、本発明は上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合わせにより、種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施形態にわたる構成要素を適宜組み合わせてもよい。
【図面の簡単な説明】
【0055】
【図1】第1の実施形態に係るワンタイムパスワード装置のブロック図。
【図2】図1の鍵管理部が格納している鍵データを示す図。
【図3】図1のワンタイムパスワード装置を利用してコンピュータとデータのやり取りを行うサーバ装置のブロック図。
【図4】図3の鍵管理部が格納している鍵データを示す図。
【図5】図1のワンタイムパスワード装置を利用して、と図3のサーバ装置に利用登録するための動作の一例を示すフローチャート。
【図6】図1のワンタイムパスワード装置と、図3のサーバ装置と、このサーバ装置に接続するコンピュータとを含むワンタイムパスワードシステムの動作の一例を示すフローチャート。
【図7】図6のあるステップでの図1のワンタイムパスワード装置の表示画面を示す図。
【図8】第2の実施形態に係るワンタイムパスワード装置のブロック図。
【図9】図8の鍵管理部が格納している鍵データを示す図。
【図10】第3の実施形態に係るワンタイムパスワード装置のブロック図。
【図11】図10の鍵管理部が格納している鍵データを示す図。
【図12】第3の実施形態の変形例に係るワンタイムパスワード装置のブロック図。
【符号の説明】
【0056】
101、301・・・時刻発生部、102、302、801、1001・・・鍵管理部、103、304・・・OTP発生部、104・・・OTP/CID表示部、105・・・入力部、106、306、803、1003、1202・・・制御部、303・・・シード処理部、305・・・ネットワークI/F部、802・・・時変シード処理部、1002、1201・・・圧縮シード処理部。
【技術分野】
【0001】
本発明は、ワンタイムパスワードを生成するワンタイムパスワード装置およびシステムに関する。
【背景技術】
【0002】
ネットワークではユーザを認証する技術が重要である。ユーザ認証は、例えば、PDA、携帯電話、ノートPC等の端末からネットワークを介して、コンピュータシステムに接続する際に、接続しようとする端末のユーザが適切かどうかを判断するための技術である。安全かつ確実に重要な情報にアクセスするためには、ユーザ認証技術が重要になる。ユーザ認証の際に、よく利用されるのがIDとパスワードである。近年、パスワードの漏洩による不正アクセスの増加が問題となっている。
【0003】
不正アクセスの防止策として、パスワードを利用する認証よりも強力なワンタイムパスワードを利用する技術がある(例えば、特許文献1参照)。
【0004】
ワンタイムパスワードは、例えば、OTP(one time password:ワンタイムパスワード)生成装置(トークンとも呼ばれる)によって、プロバイダが発行したOTPシードと、時刻情報とに対応させて生成される。さらに、このプロバイダを提供しているサーバ装置は、このユーザの識別情報に対応するOTPシードを格納し、OTPシードと時刻情報とに対応したワンタイムパスワードを生成する。OTP生成装置とサーバ装置では、同一のOTPシード情報を所有し、ワンタイムパスワードを生成するアルゴリズムも同一に設定してある。さらに、時刻情報も同期させておくので、OTP生成装置が生成するワンタイムパスワードとサーバ装置が生成するワンタイムパスワードは同一になり、ユーザ認証を行うことができる。
【0005】
このワンタイムパスワードは、時刻情報が変化するため、認証のために1回しか使用することができないので、ワンタイムパスワード認証は高い安全性を確保することができる。
【特許文献1】特開2004−171056公報
【発明の開示】
【発明が解決しようとする課題】
【0006】
しかし、ユーザが複数のプロバイダとの間でワンタイムパスワードを利用する場合には、各プロバイダに対応しているOTP生成装置を使用する必要があるので、ユーザは複数のプロバイダ用のOTP生成装置を携帯する必要があり、ユーザには不便である。
【0007】
また、複数のプロバイダ間でワンタイムパスワードを共有しようとすると、ワンタイムパスワードを生成するために必要な秘密のOTPシードもプロバイダ間で共有する必要がある。この秘密のOTPシードをプロバイダ間で共有すると、秘密のOTPシードの漏洩につながる可能性があり、安全性に問題がある。
【0008】
この発明は、上述した事情を考慮してなされたものであり、複数のプロバイダとの間で安全にワンタイムパスワードを利用することができるワンタイムパスワード装置およびシステムを提供することを目的とする。
【課題を解決するための手段】
【0009】
上述の課題を解決するため、本発明のワンタイムパスワード装置は、サービスを提供しているプロバイダのプロバイダ識別情報と、該プロバイダ識別情報に対応するワンタイムパスワードを生成するための数列であるシードと、を対応付けて1組とし、この組を複数のプロバイダ分だけ格納して、プロバイダ識別情報とシードは組ごとに全て異なる格納手段と、時刻情報を発生する時刻発生手段と、プロバイダ識別情報を取得する第1取得手段と、前記取得されたプロバイダ識別情報に対応する対応シードを前記格納手段から取得する第2取得手段と、前記時刻情報を取得する第3取得手段と、前記取得された時刻情報と、前記対応シードとに対応する数値であるワンタイムパスワードを発生するOTP発生手段と、前記ワンタイムパスワードを表示する表示手段と、を具備することを特徴とする。
【0010】
また、本発明のワンタイムパスワード装置は、サーバ装置と通信する際に利用するワンタイムパスワードを生成するワンタイムパスワード装置であって、サービスを提供しているプロバイダのプロバイダ識別情報と、該プロバイダ識別情報に対応するワンタイムパスワードを生成するための数列であるシードと、を対応付けて1組とし、この組を複数のプロバイダ分だけ格納して、プロバイダ識別情報とシードは組ごとに全て異なる格納手段と、時刻情報を発生する時刻発生手段と、プロバイダの第1プロバイダ識別情報を取得する第1取得手段と、前記第1プロバイダ識別情報に対応する第1対応シードを前記格納手段から取得する第2取得手段と、前記時刻情報を取得する第3取得手段と、前記取得された時刻情報と、前記第1対応シードとに対応する数値である第1ワンタイムパスワードを発生するOTP発生手段と、前記第1ワンタイムパスワードを表示する表示手段と、を具備し、前記サーバ装置は、ユーザ識別情報と、該ユーザ識別情報に対応するワンタイムパスワードを生成するための数列であるシードと、を対応付けて1組とし、この組を複数格納し、前記時刻情報と、前記ワンタイムパスワード装置のユーザの識別情報に対応する第2対応シードと、に対応する第2ワンタイムパスワードが、前記第1ワンタイムパスワードと一致している場合には前記サーバ装置は、前記ユーザに前記第1プロバイダ識別情報を有するプロバイダのサービスの提供を許可することを特徴とする。
【0011】
本発明のワンタイムパスワードシステムは、サーバ装置と、該サーバ装置と通信する際に利用するワンタイムパスワードを生成するワンタイムパスワード装置とを具備するワンタイムパスワードシステムであって、
前記ワンタイムパスワード装置は、サービスを提供しているプロバイダのプロバイダ識別情報と、該プロバイダ識別情報に対応するワンタイムパスワードを生成するための数列であるシードと、を対応付けて1組とし、この組を複数のプロバイダ分だけ格納して、プロバイダ識別情報とシードは組ごとに全て異なる第1格納手段と、ユーザが接続を望むプロバイダの第1プロバイダ識別情報を取得する第1取得手段と、前記第1プロバイダ識別情報に対応する第1対応シードを前記第1格納手段から取得する第2取得手段と、第1時刻情報を発生する第1時刻発生手段と、前記第1時刻情報と、前記第1対応シードとに対応する数値である第1ワンタイムパスワードを発生する第1OTP発生手段と、前記第1ワンタイムパスワードを表示する表示手段と、を具備し、
前記サーバ装置は、ユーザ識別情報と、該ユーザ識別情報に対応するワンタイムパスワードを生成するための数列であるシードと、を対応付けて1組とし、この組を複数格納して、ユーザ識別情報とシードは組ごとに全て異なる第2格納手段と、前記第1時刻情報と同期した第2時刻情報を発生する第2時刻発生手段と、前記ユーザ識別情報と、該ユーザ識別情報に対応する第2対応シードとを前記第2格納手段から取得する第3取得手段と、前記第2時刻情報と、前記第2対応シードとに対応する第2ワンタイムパスワードを発生する第2OTP発生手段と、前記第1ワンタイムパスワードを取得する第4取得手段と、前記第1ワンタイムパスワードと前記第2ワンタイムパスワードとが一致しているかどうかを判定する判定手段と、前記判定手段が一致していると判定した場合には、前記第1プロバイダ識別情報を有するプロバイダのサービスの提供を許可する許可手段と、をさらに具備することを特徴とする。
【発明の効果】
【0012】
本発明のワンタイムパスワード装置およびシステムによれば、複数のプロバイダとの間で安全にワンタイムパスワードを利用することができる。
【発明を実施するための最良の形態】
【0013】
以下、図面を参照しながら本発明の実施形態に係るワンタイムパスワード装置およびプログラムについて詳細に説明する。なお、以下の実施形態中では、同一の番号を付した部分については同様の動作を行うものとして、重ねての説明を省略する。
(第1の実施形態)
本実施形態のワンタイムパスワード装置について図1を参照して説明する。
本実施形態のワンタイムパスワード装置は、図1に示すように、時刻発生部101、鍵管理部102、OTP(one time password:ワンタイムパスワード)発生部103、OTP/CID表示部104、入力部105、制御部106を含んでいる。なお、このワンタイムパスワード装置は、例えば、携帯電話である。
【0014】
時刻発生部101は時刻を発生する。この時刻は、後述するサーバ装置に含まれる時刻発生部301が生成する時刻に同期している。
【0015】
鍵管理部102は鍵データを格納している。この鍵データは、サービスを提供しているプロバイダの識別情報と、該識別情報に対応するワンタイムパスワードを生成するための数列であるOTPシードと、を対応付けて1組とし、この組をこのワンタイムパスワード装置のユーザが接続しようとするプロバイダ分だけ格納している。なお、識別情報とシードは組ごとに全て異なる。鍵管理部102は、図2に示すように、プロバイダの識別情報として、例えば、プロバイダのIDと、このプロバイダ向けのCID(communication identifier:通信識別子)とを格納している。CIDは、プロバイダとユーザとの組ごとに割り当てられるIDである。各プロバイダはユーザごとに異なるCIDを有し、各ユーザはプロバイダごとに異なるCIDを有している。ある1つのCIDは、対応するある1つのプロバイダと、対応するあるひとりのユーザとで同一である。鍵管理部102が格納しているデータの詳細については後に図2を参照して説明する。
OTP発生部103は、時刻発生部101が発生した時刻と、鍵管理部102に格納されているOTPシードのうちのユーザが入力したプロバイダに対応するOTPシードと、を入力して、この時刻とOTPシードから数値を生成する。この数値は、例えば、ハッシュ関数を使用して生成される。OTP発生部103のハッシュ関数(例えば、SHA−256)は、例えば、時刻として32ビットのデータと、OTPシードとして256ビットのデータを入力とし、256ビットの数値を出力する。OTP発生部103は、ハッシュ関数で得られた数値の一部(例えば、20ビット)をワンタイムパスワードとして出力する。
【0016】
OTP/CID表示部104は、OTP発生部103が発生したワンタイムパスワードと、制御部106が鍵管理部102から取得したワンタイムパスワードに対応するCIDを表示する。OTP/CID表示部104は、例えば、この他にも、暗証番号の入力画面、プロバイダの選択画面を表示する。
【0017】
入力部105は、例えば、ユーザがサービスを選択する際に利用される。
制御部106は、鍵管理部102から、ユーザが入力したプロバイダに対応するOTPシードに対応するCIDを取得し、OTP/CID表示部104に渡す。また、制御部106はワンタイムパスワード装置に含まれる各部を制御する。
【0018】
次に、図1の鍵管理部102に格納されている鍵データについて図2を参照して説明する。
鍵管理部102は、ワンタイムパスワード装置ごとに、プロバイダID、CID、OTPシードを1組としたデータを、ユーザが提携しているプロバイダの数だけ格納している。これらのCIDとOTPシードは、ユーザごと(すなわち、ワンタイムパスワード装置ごと)に定まっている。すなわち、一般的には、同一のプロバイダでも、ユーザに依存して、CIDとOTPシードは異なっている。したがって、CIDとOTPシードから生成されるワンタイムパスワードは安全性に優れ、ネットワーク上の正しい相手と通信が可能になる。
【0019】
鍵管理部102が格納する鍵データは、提携しているプロバイダの数だけあるが、通常は100件程度であると見込まれる。プロバイダID、CIDは、例えば、それぞれ8桁で示され、OTPシードは、例えば、256ビットを有している。この場合、鍵管理部102は、4000バイト程度のデータを格納することになる。
【0020】
次に、図1のワンタイムパスワード装置を利用してユーザがデータのやり取りを行う相手であるサーバ装置について図3を参照して説明する。サーバ装置は、プロバイダごとに設置される。すなわち、1つのサーバ装置には1つのプロバイダ情報のみ格納している。
サーバ装置は、図3に示すように、時刻発生部301、鍵管理部302、シード処理部303、OTP発生部304、ネットワークI/F(interface:インターフェース)部305、制御部306を含んでいる。
【0021】
時刻発生部301は時刻を発生する。この時刻は、ワンタイムパスワード装置に含まれる時刻発生部101が生成する時刻に同期している。
【0022】
鍵管理部302は、鍵データをプロバイダごとに格納している。このプロバイダごとの鍵データは、登録しているユーザのCIDと、該CIDに対応するワンタイムパスワードを生成するための数列であるOTPシードと、を対応付けて1組とし、この組を複数組格納している。鍵管理部302が格納しているCIDとOTPシードは、組ごとに全て異なる内容になっている。また、ワンタイムパスワード装置の鍵管理部102が格納している鍵データのうちの対応するプロバイダに関するOTPシードは、鍵管理部302が格納しているOTPシードのうちの対応ユーザのOTPシードに一致している。鍵管理部302が格納しているデータの詳細については後に図4を参照して説明する。
【0023】
なお、ワンタイムパスワード装置の鍵管理部102に格納されている鍵データのうちのあるプロバイダに関するOTPシードは、このプロバイダに対応するサーバ装置の鍵管理部302が格納しているOTPシードのうちのこのユーザに対応するOTPシードと一致するように設定しておく。例えば、後に図5を参照して説明するように、ユーザが、対応するプロバイダごとに利用登録を行う際にユーザのCIDとワンタイムパスワードをサーバ装置に送信する。また、鍵管理会社が、事前にユーザとプロバイダに鍵データを郵送して、ユーザがワンタイムパスワード装置の鍵管理部102に鍵データをコピーする。他に、秘匿性に優れる通信回線、または、秘匿性に優れる通信技術を使用して、ワンタイムパスワード装置はサーバ装置から鍵データをダウンロードしてもよい。
【0024】
シード処理部303は、鍵管理部302に格納されているデータからOTPシードを生成するための処理を行う。シード処理部303は、鍵管理部302からユーザに対応するOTPシードを取得し、OTP発生部304に渡す。
【0025】
OTP発生部304は、時刻発生部301が発生した時刻と、シード処理部303から取得したOTPシードとを入力して、この時刻とOTPシードから数値を生成する。この数値を発生するためのアルゴリズムは、本実施形態のワンタイムパスワード装置でのOTP発生部103と同様である。すなわち、入力するOTPシードと時刻とが同一なので、サーバ装置が発生するワンタイムパスワードとワンタイムパスワード装置が発生するワンタイムパスワードは同一のものになる。
【0026】
ネットワークI/F部305は、ワンタイムパスワード装置が生成したワンタイムパスワードを利用してサーバ装置にログインするコンピュータとの間でデータのやり取りをする。ネットワークI/F部305は、例えば、コンピュータからユーザのログインを受け付けたり、後に図5を参照して説明するように、コンピュータからCIDとワンタイムパスワードを受信したりする。
【0027】
制御部306は、サーバ装置の各部を制御する。また、制御部306は、OTP発生部304が発生したワンタイムパスワードと、ネットワークI/F部305がコンピュータから受信したワンタイムパスワードとが一致するかどうかを判定する。一致すると判定した場合にはコンピュータへのサービスの提供を許可しサービスの提供を開始し、一致しない場合にはコンピュータへのサービスの提供を拒否する。
【0028】
次に、鍵管理部302に格納されている鍵データについて図4を参照して説明する。
鍵管理部302は、プロバイダごとに、CID、OTPシードを1組としたデータをユーザの数以上格納している。これらのCIDとOTPシードは、ユーザごとに定まっている。すなわち、一般的には、同一のプロバイダでも、ユーザによって、CIDとOTPシードは異なっている。したがって、CIDとOTPシードから生成されるワンタイムパスワードは安全性に優れ、ネットワーク上の正しい相手と通信が可能になる。
【0029】
鍵管理部302が格納する鍵データは、登録しているユーザの数だけあるが、通常は1000万件程度である。CIDは例えば8桁で示され、OTPシードは例えば256ビットを有している。この場合、鍵管理部302は、1プロバイダにつき3.6億バイト程度のデータを格納することになる。
【0030】
次に、図1のワンタイムパスワード装置を利用して、図3のサーバ装置のプロバイダに、このサーバ装置に接続するコンピュータを介して、利用登録をするための動作の一例について図5を参照して説明する。
ユーザは、コンピュータを使用して、所望のプロバイダサイトを運営しているサーバ装置にログインする(ステップS501)。このとき、ユーザは、例えば、ユーザの識別情報である、IDとパスワード(図5ではPW)を入力してログインする。通常このIDとパスワードは登録のための仮のものであり1度だけ使用される。
【0031】
ユーザは、コンピュータを使用して、ワンタイムパスワードを使用する旨をサーバ装置に指示する指示信号を送信する(ステップS502)。
【0032】
サーバ装置は、コンピュータに、CIDとワンタイムパスワードを入力する旨の要求信号を送信する(ステップS503)。
【0033】
ユーザは、携帯電話を使用し、サービスの提供を受けたいプロバイダを選択する(ステップS504)。このプロバイダは、ステップS501でログインしたサイトのプロバイダである。
【0034】
携帯電話では、OTP発生部103がステップS504で選択されたプロバイダのOTPシードからワンタイムパスワードを発生し、発生したワンタイムパスワードとCIDとをOTP/CID表示部104に表示する(ステップS505)。
【0035】
ユーザは、ステップS505で表示されたワンタイムパスワードとCIDとをコンピュータに入力し、入力されたワンタイムパスワードとCIDとがサーバ装置に送信される(ステップS506)。
サーバ装置は、ステップS506で入力されたワンタイムパスワードとCIDとを受信し、これらが、この登録ユーザの鍵データであると認識し、このワンタイムパスワードとCIDと、時刻発生部301が発生する時刻により、この登録ユーザのOTPシードを生成し、このOTPシードとCIDとをこのユーザの鍵データとして鍵管理部302に格納する。
【0036】
次に、図1のワンタイムパスワード装置と、図3のサーバ装置と、このサーバ装置に接続するコンピュータとを含むワンタイムパスワードシステムの動作の一例について図6、図7を参照して説明する。
ユーザは、コンピュータに、所望のプロバイダサイトを表示させる(ステップS601)。
【0037】
ユーザは、携帯電話を使用し、サービスの提供を受けたいプロバイダを選択する(ステップS602)。ユーザは、例えば、図7の(1)のように、入力部105を使用し、携帯電話の画面上で、パスワードとして暗証番号を入力し、図7の(2)のようにサービスの提供をするプロバイダの一覧を表示させ、複数のプロバイダの中からステップS601で表示させたプロバイダを選択する。
【0038】
携帯電話では、OTP発生部103がステップS602で選択されたプロバイダのOTPシードからワンタイムパスワードを発生し、発生したワンタイムパスワードをOTP/CID表示部104に表示する(ステップS603)。携帯電話は、例えば、図7の(3)のようにワンタイムパスワードを表示する。
【0039】
ユーザは、ユーザのIDとステップS603で表示されたワンタイムパスワードとをコンピュータに入力し、入力されたワンタイムパスワードがサーバ装置に送信される(ステップS604)。
サーバ装置は、ステップS604で入力されたユーザIDとワンタイムパスワードとを受信し、受信したワンタイムパスワードと、サーバ装置が発生したワンタイムパスワードとが一致するかどうか確認する(認証処理)(ステップS605)。一致している場合には、サーバ装置がコンピュータにサービスの提供を開始する。なお、サーバ装置は、ワンタイムパスワード装置の時刻発生部101が発生する時刻情報の誤差を測定し、誤差を補正するための情報を格納してもよい。
【0040】
以上の第1の実施形態によれば、ワンタイムパスワード装置でプロバイダごとにCIDとOTPシードを予め格納して、同様な情報をサーバ装置にユーザごとに、CIDとOTPシードを予め格納しておくことにより、プロバイダ間でのOTPシードの漏洩がなく、1つのワンタイムパスワード装置で複数のプロバイダからサービスの提供を安全に受けることができる。
【0041】
(第2の実施形態)
本実施形態のワンタイムパスワード装置について図8を参照して説明する。
本実施形態のワンタイムパスワード装置は、図8に示すように、第1の実施形態での鍵管理部102、制御部106の代わりにそれぞれ鍵管理部801、制御部803を含み、さらに第1の実施形態のワンタイムパスワード装置からの新たな装置部分として、時変シード処理部802を含んでいる。
【0042】
鍵管理部801は、格納している鍵データは鍵管理部102と同様である。鍵管理部102と異なる点は、図9に模式的に示すように、鍵管理部801が格納しているOTPシードの一部を時刻情報と重ね合わせることに使用し、OTPシードのその他の部分を暗号化に使用することである。いずれのOTPシードの部分も時変シード処理部802で使用される。
【0043】
時変シード処理部802は、OTPシードを時刻情報により変動させる。時変シード処理部802は、例えば、時刻発生部101から時刻情報を取得して、OTPシードの後半部分と時刻情報とを取得し、これらの情報をある演算手法で演算し、演算した情報をOTPシードの前半部分で(例えば、AESによって)暗号化し、暗号化したデータをハッシュ関数(例えば、SHA−256)の入力としてハッシュ関数の出力を得る。この出力をOTP発生部103に入力するOTPシードとする。時刻情報として、年月のみを入力すれば、OTPシードを毎月変動させることができる。
演算手法は、xをOTPシードの後半部分、yを時刻情報、zを演算結果とした場合、f(x,y)=zで定義される演算においてxを固定した場合にyとzとが1対1に対応するような演算である。この条件を満たす演算としては、例えば、加算がある(x+y=z)。
【0044】
制御部803は、鍵管理部801から、ユーザが入力したプロバイダに対応するOTPシードに対応するCIDを取得し、OTP/CID表示部104に渡す。また、制御部803は、制御部106の制御処理に加え、時変シード処理部802の制御も行う。
第2の実施形態では、鍵管理部302は、時変シード処理部802が出力するOTPシードと同一のシードをユーザの情報に対応付けて格納している。
【0045】
以上の第2の実施形態によれば、第1の実施形態での効果に加えて、所定の期間が経過するごとに、OTPシードを変動させることができ、ワンタイムパスワードを変動させることができる。したがって、より安全性の高いワンタイムパスワードを使用することができる。
【0046】
(第3の実施形態)
本実施形態のワンタイムパスワード装置について図10を参照して説明する。
本実施形態のワンタイムパスワード装置は、図10に示すように、第2の実施形態での鍵管理部102、制御部106の代わりにそれぞれ鍵管理部1001、制御部1003を含み、さらに第2の実施形態のワンタイムパスワード装置からの新たな装置部分として、圧縮シード処理部1002を含んでいる。
【0047】
鍵管理部1001は、鍵データを格納している。この鍵データは、プロバイダのIDおよびこのプロバイダのCIDと、1つのOTPシードとを格納している。プロバイダごとのOTPシードを格納するのではなく、1つのOTPシードだけを格納している点が他の実施形態と異なる。
鍵管理部1001が格納しているプロバイダIDとCIDは、ユーザごとに定まっている。すなわち、一般的には、同一のプロバイダでも、ワンタイムパスワード装置によって、CIDは異なっている。
【0048】
鍵管理部1001が格納する鍵データは、図11に示すように、提携プロバイダの数だけあるが、通常は100件程度である。プロバイダID、CIDは、例えば、それぞれ8桁で示され、OTPシードは、例えば、256ビットを有している。この場合、鍵管理部1001は、832バイト程度のデータを格納することになり、他の実施形態での格納量4000バイト程度よりも格段にデータ格納量が少なくなる。
【0049】
圧縮シード処理部1002は、プロバイダIDとCIDと単一のOTPシードから、このプロバイダに対応するOTPシードを発生させる。圧縮シード処理部1002は、例えば、プロバイダIDと、OTPシードの後半部分とを第2の実施形態で説明したように演算し、演算した情報を単一のOTPシードの前半部分で(例えば、AESによって)暗号化し、暗号化した情報をハッシュ関数(例えば、SHA−256)の入力としてハッシュ関数の出力を得る。この出力を時変シード処理部802に入力するOTPシードとする。
制御部1003は、鍵管理部1001から、ユーザが入力したプロバイダに対応するOTPシードに対応するCIDを取得し、OTP/CID表示部104に渡す。また、制御部1003は制御部803の制御処理に加え、圧縮シード処理部1002の制御も行う。
【0050】
第3の実施形態では、鍵管理部302は、時変シード処理部802が出力するOTPシードと同一のシードをユーザの情報に対応付けて格納している。
【0051】
(変形例)
第3の実施形態のワンタイムパスワード装置の変形例について図12を参照して説明する。
本変形例のワンタイムパスワード装置は、図12に示すように、第3の実施形態での圧縮シード処理部1002、制御部1003の代わりにそれぞれ圧縮シード処理部1201、制御部1202を含み、さらに、第3の実施形態での時変シード処理部802を除いたものである。制御部1202は、制御部106の制御処理に加え、圧縮シード処理部1201の制御も行う。
【0052】
圧縮シード処理部1201は、圧縮シード処理部1002とは演算部分が異なるだけである。圧縮シード処理部1201では、圧縮シード処理部1002での場合のように、プロバイダIDと、OTPシードの後半部分とを演算し、さらに、この演算結果と時刻発生部101から取得した時刻情報とを演算する。そして、この最終的な演算結果を単一のOTPシードの前半部分で(例えば、AESによって)暗号化すること以降の圧縮シード処理部1201での動作は、上述した第3の実施形態と同様である。そして、圧縮シード処理部1201のハッシュ関数の出力をOTPシードとして、OTP発生部103に出力する。なお、演算手法は、他の実施形態と同様である。
この変形例によれば、時変シード処理部802を設置する必要がなくなる。
【0053】
以上の第3の実施形態によれば、第2の実施形態での効果に加えて、ワンタイムパスワード装置が格納しておくべき情報量が格段に減少し、メモリの空き容量が増加するので、他の用途にメモリを活用することができる。逆に言えば、ワンタイムパスワード装置は少ないメモリで適切なワンタイムパスワードを生成することができる。
【0054】
なお、本発明は上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組み合わせにより、種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施形態にわたる構成要素を適宜組み合わせてもよい。
【図面の簡単な説明】
【0055】
【図1】第1の実施形態に係るワンタイムパスワード装置のブロック図。
【図2】図1の鍵管理部が格納している鍵データを示す図。
【図3】図1のワンタイムパスワード装置を利用してコンピュータとデータのやり取りを行うサーバ装置のブロック図。
【図4】図3の鍵管理部が格納している鍵データを示す図。
【図5】図1のワンタイムパスワード装置を利用して、と図3のサーバ装置に利用登録するための動作の一例を示すフローチャート。
【図6】図1のワンタイムパスワード装置と、図3のサーバ装置と、このサーバ装置に接続するコンピュータとを含むワンタイムパスワードシステムの動作の一例を示すフローチャート。
【図7】図6のあるステップでの図1のワンタイムパスワード装置の表示画面を示す図。
【図8】第2の実施形態に係るワンタイムパスワード装置のブロック図。
【図9】図8の鍵管理部が格納している鍵データを示す図。
【図10】第3の実施形態に係るワンタイムパスワード装置のブロック図。
【図11】図10の鍵管理部が格納している鍵データを示す図。
【図12】第3の実施形態の変形例に係るワンタイムパスワード装置のブロック図。
【符号の説明】
【0056】
101、301・・・時刻発生部、102、302、801、1001・・・鍵管理部、103、304・・・OTP発生部、104・・・OTP/CID表示部、105・・・入力部、106、306、803、1003、1202・・・制御部、303・・・シード処理部、305・・・ネットワークI/F部、802・・・時変シード処理部、1002、1201・・・圧縮シード処理部。
【特許請求の範囲】
【請求項1】
サービスを提供しているプロバイダのプロバイダ識別情報と、該プロバイダ識別情報に対応するワンタイムパスワードを生成するための数列であるシードと、を対応付けて1組とし、この組を複数のプロバイダ分だけ格納して、プロバイダ識別情報とシードは組ごとに全て異なる格納手段と、
時刻情報を発生する時刻発生手段と、
プロバイダ識別情報を取得する第1取得手段と、
前記取得されたプロバイダ識別情報に対応する対応シードを前記格納手段から取得する第2取得手段と、
前記時刻情報を取得する第3取得手段と、
前記取得された時刻情報と、前記対応シードとに対応する数値であるワンタイムパスワードを発生するOTP発生手段と、
前記ワンタイムパスワードを表示する表示手段と、を具備することを特徴とするワンタイムパスワード装置。
【請求項2】
前記プロバイダ識別情報は、プロバイダID(identifier)と、プロバイダとユーザとの組ごとに割り当てられるCID(communication identifier)とを含むことを特徴とする請求項1に記載のワンタイムパスワード装置。
【請求項3】
前記表示手段は、前記ワンタイムパスワードと、該ワンタイムパスワードに対応するCIDとを表示することを特徴とする請求項2に記載のワンタイムパスワード装置。
【請求項4】
サーバ装置と通信する際に利用するワンタイムパスワードを生成するワンタイムパスワード装置であって、
サービスを提供しているプロバイダのプロバイダ識別情報と、該プロバイダ識別情報に対応するワンタイムパスワードを生成するための数列であるシードと、を対応付けて1組とし、この組を複数のプロバイダ分だけ格納して、プロバイダ識別情報とシードは組ごとに全て異なる格納手段と、
時刻情報を発生する時刻発生手段と、
プロバイダの第1プロバイダ識別情報を取得する第1取得手段と、
前記第1プロバイダ識別情報に対応する第1対応シードを前記格納手段から取得する第2取得手段と、
前記時刻情報を取得する第3取得手段と、
前記取得された時刻情報と、前記第1対応シードとに対応する数値である第1ワンタイムパスワードを発生するOTP発生手段と、
前記第1ワンタイムパスワードを表示する表示手段と、を具備し、
前記サーバ装置は、ユーザ識別情報と、該ユーザ識別情報に対応するワンタイムパスワードを生成するための数列であるシードと、を対応付けて1組とし、この組を複数格納し、前記時刻情報と、前記ワンタイムパスワード装置のユーザ識別情報に対応する第2対応シードと、に対応する第2ワンタイムパスワードが、前記第1ワンタイムパスワードと一致している場合には前記サーバ装置は、前記ユーザに前記第1プロバイダ識別情報を有するプロバイダのサービスの提供を許可することを特徴とするワンタイムパスワード装置。
【請求項5】
前記第1対応シードの第1部分と前記時刻情報の第2部分とを演算した演算情報を生成する第1生成手段と、
前記演算情報を、前記第1対応シードの第3部分で暗号化した第1暗号情報を生成する第2生成手段と、
前記第1暗号情報に対応する数値である第1暗号シードを発生する第1暗号シード発生手段と、をさらに具備し、
前記OTP発生手段は、前記第1対応シードの代わりの前記第1暗号シードと、前記時刻情報とに対応する第1ワンタイムパスワードを発生し、
前記サーバ装置は、前記シードの代わりの前記第1暗号シードに対応する第2暗号シードを複数格納し、前記第2対応シードの代わりの前記第2暗号シードと前記時刻情報とに対応する第2ワンタイムパスワードが、前記第1ワンタイムパスワードと一致している場合には前記サーバ装置は、前記ユーザに前記第1プロバイダ識別情報を有するプロバイダのサービスの提供を許可することを特徴とする請求項4に記載のワンタイムパスワード装置。
【請求項6】
サーバ装置と通信する際に利用するワンタイムパスワードを生成するワンタイムパスワード装置であって、
サービスを提供しているプロバイダの複数のプロバイダ識別情報と、ワンタイムパスワードを生成するための数列である1つの単一シードとを格納している格納手段と、
時刻情報を発生する時刻発生手段と、
プロバイダの第1プロバイダ識別情報を取得する第1取得手段と、
前記単一シードの第1部分と前記第1プロバイダ識別情報とを演算した第1演算情報を生成する第1生成手段と、
前記第1演算情報を、前記単一シードの第2部分で暗号化した第1暗号情報を生成する第2生成手段と、
前記第1暗号情報に対応する数値である第1暗号シードを発生する第1暗号シード発生手段と、
前記第1暗号シードの第3部分と前記時刻情報の第4部分とを演算した第2演算情報を生成する第3生成手段と、
前記第2演算情報を、前記第1暗号シードの第5部分で暗号化した第2暗号情報を生成する第4生成手段と、
前記第2暗号情報に対応する数値である第2暗号シードを発生する第2暗号シード発生手段と、
前記時刻情報を取得する第2取得手段と、
前記第2暗号シードと、前記取得された時刻情報とに対応する第1ワンタイムパスワードを発生するOTP発生手段と、
前記第1ワンタイムパスワードを表示する表示手段と、を具備し、
前記サーバ装置は、前記第2暗号シードに対応する第3暗号シードを複数格納し、前記第3暗号シードと前記時刻情報とに対応する第2ワンタイムパスワードが、前記第1ワンタイムパスワードと一致している場合には前記サーバ装置は、前記ユーザに前記第1プロバイダ識別情報を有するプロバイダのサービスの提供を許可することを特徴とするワンタイムパスワード装置。
【請求項7】
サーバ装置と通信する際に利用するワンタイムパスワードを生成するワンタイムパスワード装置であって、
サービスを提供しているプロバイダの複数のプロバイダ識別情報と、ワンタイムパスワードを生成するための数列である1つの単一シードとを格納している格納手段と、
時刻情報を発生する時刻発生手段と、
プロバイダの第1プロバイダ識別情報を取得する第1取得手段と、
前記単一シードの第1部分と前記第1プロバイダ識別情報とを演算した第1演算情報を生成する第1生成手段と、
前記第1演算情報と前記時刻情報の第2部分とを演算した第2演算情報を生成する第2生成手段と、
前記第2演算情報を、前記単一シードの第3部分で暗号化した第1暗号情報を生成する第3生成手段と、
前記第1暗号情報に対応する数値である第1暗号シードを発生する第1暗号シード発生手段と、
前記時刻情報を取得する第2取得手段と、
前記第1暗号シードと、前記取得された時刻情報とに対応する第1ワンタイムパスワードを発生するOTP発生手段と、
前記第1ワンタイムパスワードを表示する表示手段と、を具備し、
前記サーバ装置は、前記第1暗号シードに対応する第2暗号シードを複数格納し、前記第2暗号シードと前記時刻情報とに対応する第2ワンタイムパスワードが、前記第1ワンタイムパスワードと一致している場合には前記サーバ装置は、前記ユーザに前記第1プロバイダ識別情報を有するプロバイダのサービスの提供を許可することを特徴とするワンタイムパスワード装置。
【請求項8】
前記プロバイダ識別情報は、プロバイダID(identifier)と、プロバイダとユーザとの組ごとに割り当てられるCID(communication identifier)とを含み、前記ユーザ識別情報はCIDを含み、前記格納手段と前記サーバ装置は、前記第1プロバイダ識別情報を有するプロバイダと前記ユーザとに割り当てられる、同一のCIDを格納することを特徴とする請求項4から請求項7のいずれか1項に記載のワンタイムパスワード装置。
【請求項9】
前記表示手段は、前記第1ワンタイムパスワードと、該第1ワンタイムパスワードに対応するCIDとを表示することを特徴とする請求項8に記載のワンタイムパスワード装置。
【請求項10】
前記演算手段は、2つの入力値のうちの1つを固定した場合に、もう1つの入力値と該演算手段の出力値とが1対1に対応する演算を行うことを特徴とする請求項5から請求項9のいずれか1項に記載のワンタイムパスワード装置。
【請求項11】
サーバ装置と、該サーバ装置と通信する際に利用するワンタイムパスワードを生成するワンタイムパスワード装置とを具備するワンタイムパスワードシステムであって、
前記ワンタイムパスワード装置は、
サービスを提供しているプロバイダのプロバイダ識別情報と、該プロバイダ識別情報に対応するワンタイムパスワードを生成するための数列であるシードと、を対応付けて1組とし、この組を複数のプロバイダ分だけ格納して、プロバイダ識別情報とシードは組ごとに全て異なる第1格納手段と、
ユーザが接続を望むプロバイダの第1プロバイダ識別情報を取得する第1取得手段と、
前記第1プロバイダ識別情報に対応する第1対応シードを前記第1格納手段から取得する第2取得手段と、
第1時刻情報を発生する第1時刻発生手段と、
前記第1時刻情報と、前記第1対応シードとに対応する数値である第1ワンタイムパスワードを発生する第1OTP発生手段と、
前記第1ワンタイムパスワードを表示する表示手段と、を具備し、
前記サーバ装置は、
ユーザ識別情報と、該ユーザ識別情報に対応するワンタイムパスワードを生成するための数列であるシードと、を対応付けて1組とし、この組を複数格納して、ユーザ識別情報とシードは組ごとに全て異なる第2格納手段と、
前記第1時刻情報と同期した第2時刻情報を発生する第2時刻発生手段と、
前記ユーザ識別情報と、該ユーザ識別情報に対応する第2対応シードとを前記第2格納手段から取得する第3取得手段と、
前記第2時刻情報と、前記第2対応シードとに対応する第2ワンタイムパスワードを発生する第2OTP発生手段と、
前記第1ワンタイムパスワードを取得する第4取得手段と、
前記第1ワンタイムパスワードと前記第2ワンタイムパスワードとが一致しているかどうかを判定する判定手段と、
前記判定手段が一致していると判定した場合には、前記第1プロバイダ識別情報を有するプロバイダのサービスの提供を許可する許可手段と、をさらに具備することを特徴とするワンタイムパスワードシステム。
【請求項12】
前記ワンタイムパスワード装置は、
前記第1対応シードの第1部分と前記第1時刻情報の第2部分とを演算した演算情報を生成する第1生成手段と、
前記演算情報を、前記第1対応シードの第3部分で暗号化した第1暗号情報を生成する第2生成手段と、
前記第1暗号情報に対応する数値である第1暗号シードを発生する第1暗号シード発生手段と、をさらに具備し、
前記第1OTP発生手段は、前記第1対応シードの代わりの前記第1暗号シードと、前記第1時刻情報とに対応する第1ワンタイムパスワードを発生し、
前記第2格納手段は、前記シードの代わりに、前記第1暗号シードに対応する第2暗号化シードを格納し、
前記第2OTP発生手段は、前記第2対応シードの代わりの前記第2暗号シードと、前記第2時刻情報とに対応する第2ワンタイムパスワードを発生することを特徴とする請求項11に記載のワンタイムパスワードシステム。
【請求項13】
前記ワンタイムパスワード装置は、
前記第1格納手段の代わりに、サービスを提供しているプロバイダの複数のプロバイダ識別情報と、ワンタイムパスワードを生成するための数列である1つの単一シードとを格納している第3格納手段を具備し、
前記ワンタイムパスワード装置は、
前記単一シードの第1部分と前記第1プロバイダ識別情報とを演算した第1演算情報を生成する第1生成手段と、
前記第1演算情報を、前記単一シードの第2部分で暗号化した第1暗号情報を生成する第2生成手段と、
前記第1暗号情報に対応する数値である第1暗号シードを発生する第1暗号シード発生手段と、
前記第1暗号シードの第3部分と前記第1時刻情報の第4部分とを演算した第2演算情報を生成する第3生成手段と、
前記第2演算情報を、前記第1暗号シードの第5部分で暗号化した第2暗号情報を生成する第4生成手段と、
前記第2暗号情報に対応する数値である第2暗号シードを発生する第2暗号シード発生手段と、をさらに具備し、
前記第1OTP発生手段は、前記第1対応シードの代わりの前記第2暗号シードと、前記第1時刻情報とに対応する第1ワンタイムパスワードを発生し、
前記第2格納手段は、前記シードの代わりに、前記第2暗号シードに対応する第3暗号化シードを格納し、
前記第2OTP発生手段は、前記第2対応シードの代わりの前記第3暗号シードと、前記第2時刻情報とに対応する第2ワンタイムパスワードを発生することを特徴とする請求項11に記載のワンタイムパスワードシステム。
【請求項14】
前記ワンタイムパスワード装置は、
前記第1格納手段の代わりに、サービスを提供しているプロバイダの複数のプロバイダ識別情報と、ワンタイムパスワードを生成するための数列である1つの単一シードとを格納している第3格納手段を具備し、
前記ワンタイムパスワード装置は、
前記単一シードの第1部分と前記第1プロバイダ識別情報とを演算した第1演算情報を生成する第1生成手段と、
前記第1演算情報と前記第1時刻情報の第2部分とを演算した第2演算情報を生成する第2生成手段と、
前記第2演算情報を、前記単一シードの第3部分で暗号化した第1暗号情報を生成する第2生成手段と、
前記第1暗号情報に対応する数値である第1暗号シードを発生する第1暗号シード発生手段と、をさらに具備し、
前記第1OTP発生手段は、前記第1対応シードの代わりの前記第1暗号シードと、前記第1時刻情報とに対応する第1ワンタイムパスワードを発生し、
前記第2格納手段は、前記シードの代わりに、前記第1暗号シードに対応する第2暗号化シードを格納し、
前記第2OTP発生手段は、前記第2対応シードの代わりの前記第2暗号シードと、前記第2時刻情報とに対応する第2ワンタイムパスワードを発生することを特徴とする請求項11に記載のワンタイムパスワードシステム。
【請求項15】
前記プロバイダ識別情報は、プロバイダID(identifier)と、プロバイダとユーザとの組ごとに割り当てられるCID(communication identifier)を含み、前記ユーザ識別情報はCIDを含み、前記ワンタイムパスワード装置と前記サーバ装置は、前記第1プロバイダ識別情報を有するプロバイダと前記ユーザとに割り当てられる、同一のCIDを格納することを特徴とする請求項11から請求項14のいずれか1項に記載のワンタイムパスワードシステム。
【請求項16】
前記表示手段は、前記第1ワンタイムパスワードと、該第1ワンタイムパスワードに対応するCIDとを表示することを特徴とする請求項11から請求項15のいずれか1項に記載のワンタイムパスワードシステム。
【請求項17】
前記演算手段は、2つの入力値のうちの1つを固定した場合に、もう1つの入力値と該演算手段の出力値とが1対1に対応する演算を行うことを特徴とする請求項12から請求項16のいずれか1項に記載のワンタイムパスワードシステム。
【請求項1】
サービスを提供しているプロバイダのプロバイダ識別情報と、該プロバイダ識別情報に対応するワンタイムパスワードを生成するための数列であるシードと、を対応付けて1組とし、この組を複数のプロバイダ分だけ格納して、プロバイダ識別情報とシードは組ごとに全て異なる格納手段と、
時刻情報を発生する時刻発生手段と、
プロバイダ識別情報を取得する第1取得手段と、
前記取得されたプロバイダ識別情報に対応する対応シードを前記格納手段から取得する第2取得手段と、
前記時刻情報を取得する第3取得手段と、
前記取得された時刻情報と、前記対応シードとに対応する数値であるワンタイムパスワードを発生するOTP発生手段と、
前記ワンタイムパスワードを表示する表示手段と、を具備することを特徴とするワンタイムパスワード装置。
【請求項2】
前記プロバイダ識別情報は、プロバイダID(identifier)と、プロバイダとユーザとの組ごとに割り当てられるCID(communication identifier)とを含むことを特徴とする請求項1に記載のワンタイムパスワード装置。
【請求項3】
前記表示手段は、前記ワンタイムパスワードと、該ワンタイムパスワードに対応するCIDとを表示することを特徴とする請求項2に記載のワンタイムパスワード装置。
【請求項4】
サーバ装置と通信する際に利用するワンタイムパスワードを生成するワンタイムパスワード装置であって、
サービスを提供しているプロバイダのプロバイダ識別情報と、該プロバイダ識別情報に対応するワンタイムパスワードを生成するための数列であるシードと、を対応付けて1組とし、この組を複数のプロバイダ分だけ格納して、プロバイダ識別情報とシードは組ごとに全て異なる格納手段と、
時刻情報を発生する時刻発生手段と、
プロバイダの第1プロバイダ識別情報を取得する第1取得手段と、
前記第1プロバイダ識別情報に対応する第1対応シードを前記格納手段から取得する第2取得手段と、
前記時刻情報を取得する第3取得手段と、
前記取得された時刻情報と、前記第1対応シードとに対応する数値である第1ワンタイムパスワードを発生するOTP発生手段と、
前記第1ワンタイムパスワードを表示する表示手段と、を具備し、
前記サーバ装置は、ユーザ識別情報と、該ユーザ識別情報に対応するワンタイムパスワードを生成するための数列であるシードと、を対応付けて1組とし、この組を複数格納し、前記時刻情報と、前記ワンタイムパスワード装置のユーザ識別情報に対応する第2対応シードと、に対応する第2ワンタイムパスワードが、前記第1ワンタイムパスワードと一致している場合には前記サーバ装置は、前記ユーザに前記第1プロバイダ識別情報を有するプロバイダのサービスの提供を許可することを特徴とするワンタイムパスワード装置。
【請求項5】
前記第1対応シードの第1部分と前記時刻情報の第2部分とを演算した演算情報を生成する第1生成手段と、
前記演算情報を、前記第1対応シードの第3部分で暗号化した第1暗号情報を生成する第2生成手段と、
前記第1暗号情報に対応する数値である第1暗号シードを発生する第1暗号シード発生手段と、をさらに具備し、
前記OTP発生手段は、前記第1対応シードの代わりの前記第1暗号シードと、前記時刻情報とに対応する第1ワンタイムパスワードを発生し、
前記サーバ装置は、前記シードの代わりの前記第1暗号シードに対応する第2暗号シードを複数格納し、前記第2対応シードの代わりの前記第2暗号シードと前記時刻情報とに対応する第2ワンタイムパスワードが、前記第1ワンタイムパスワードと一致している場合には前記サーバ装置は、前記ユーザに前記第1プロバイダ識別情報を有するプロバイダのサービスの提供を許可することを特徴とする請求項4に記載のワンタイムパスワード装置。
【請求項6】
サーバ装置と通信する際に利用するワンタイムパスワードを生成するワンタイムパスワード装置であって、
サービスを提供しているプロバイダの複数のプロバイダ識別情報と、ワンタイムパスワードを生成するための数列である1つの単一シードとを格納している格納手段と、
時刻情報を発生する時刻発生手段と、
プロバイダの第1プロバイダ識別情報を取得する第1取得手段と、
前記単一シードの第1部分と前記第1プロバイダ識別情報とを演算した第1演算情報を生成する第1生成手段と、
前記第1演算情報を、前記単一シードの第2部分で暗号化した第1暗号情報を生成する第2生成手段と、
前記第1暗号情報に対応する数値である第1暗号シードを発生する第1暗号シード発生手段と、
前記第1暗号シードの第3部分と前記時刻情報の第4部分とを演算した第2演算情報を生成する第3生成手段と、
前記第2演算情報を、前記第1暗号シードの第5部分で暗号化した第2暗号情報を生成する第4生成手段と、
前記第2暗号情報に対応する数値である第2暗号シードを発生する第2暗号シード発生手段と、
前記時刻情報を取得する第2取得手段と、
前記第2暗号シードと、前記取得された時刻情報とに対応する第1ワンタイムパスワードを発生するOTP発生手段と、
前記第1ワンタイムパスワードを表示する表示手段と、を具備し、
前記サーバ装置は、前記第2暗号シードに対応する第3暗号シードを複数格納し、前記第3暗号シードと前記時刻情報とに対応する第2ワンタイムパスワードが、前記第1ワンタイムパスワードと一致している場合には前記サーバ装置は、前記ユーザに前記第1プロバイダ識別情報を有するプロバイダのサービスの提供を許可することを特徴とするワンタイムパスワード装置。
【請求項7】
サーバ装置と通信する際に利用するワンタイムパスワードを生成するワンタイムパスワード装置であって、
サービスを提供しているプロバイダの複数のプロバイダ識別情報と、ワンタイムパスワードを生成するための数列である1つの単一シードとを格納している格納手段と、
時刻情報を発生する時刻発生手段と、
プロバイダの第1プロバイダ識別情報を取得する第1取得手段と、
前記単一シードの第1部分と前記第1プロバイダ識別情報とを演算した第1演算情報を生成する第1生成手段と、
前記第1演算情報と前記時刻情報の第2部分とを演算した第2演算情報を生成する第2生成手段と、
前記第2演算情報を、前記単一シードの第3部分で暗号化した第1暗号情報を生成する第3生成手段と、
前記第1暗号情報に対応する数値である第1暗号シードを発生する第1暗号シード発生手段と、
前記時刻情報を取得する第2取得手段と、
前記第1暗号シードと、前記取得された時刻情報とに対応する第1ワンタイムパスワードを発生するOTP発生手段と、
前記第1ワンタイムパスワードを表示する表示手段と、を具備し、
前記サーバ装置は、前記第1暗号シードに対応する第2暗号シードを複数格納し、前記第2暗号シードと前記時刻情報とに対応する第2ワンタイムパスワードが、前記第1ワンタイムパスワードと一致している場合には前記サーバ装置は、前記ユーザに前記第1プロバイダ識別情報を有するプロバイダのサービスの提供を許可することを特徴とするワンタイムパスワード装置。
【請求項8】
前記プロバイダ識別情報は、プロバイダID(identifier)と、プロバイダとユーザとの組ごとに割り当てられるCID(communication identifier)とを含み、前記ユーザ識別情報はCIDを含み、前記格納手段と前記サーバ装置は、前記第1プロバイダ識別情報を有するプロバイダと前記ユーザとに割り当てられる、同一のCIDを格納することを特徴とする請求項4から請求項7のいずれか1項に記載のワンタイムパスワード装置。
【請求項9】
前記表示手段は、前記第1ワンタイムパスワードと、該第1ワンタイムパスワードに対応するCIDとを表示することを特徴とする請求項8に記載のワンタイムパスワード装置。
【請求項10】
前記演算手段は、2つの入力値のうちの1つを固定した場合に、もう1つの入力値と該演算手段の出力値とが1対1に対応する演算を行うことを特徴とする請求項5から請求項9のいずれか1項に記載のワンタイムパスワード装置。
【請求項11】
サーバ装置と、該サーバ装置と通信する際に利用するワンタイムパスワードを生成するワンタイムパスワード装置とを具備するワンタイムパスワードシステムであって、
前記ワンタイムパスワード装置は、
サービスを提供しているプロバイダのプロバイダ識別情報と、該プロバイダ識別情報に対応するワンタイムパスワードを生成するための数列であるシードと、を対応付けて1組とし、この組を複数のプロバイダ分だけ格納して、プロバイダ識別情報とシードは組ごとに全て異なる第1格納手段と、
ユーザが接続を望むプロバイダの第1プロバイダ識別情報を取得する第1取得手段と、
前記第1プロバイダ識別情報に対応する第1対応シードを前記第1格納手段から取得する第2取得手段と、
第1時刻情報を発生する第1時刻発生手段と、
前記第1時刻情報と、前記第1対応シードとに対応する数値である第1ワンタイムパスワードを発生する第1OTP発生手段と、
前記第1ワンタイムパスワードを表示する表示手段と、を具備し、
前記サーバ装置は、
ユーザ識別情報と、該ユーザ識別情報に対応するワンタイムパスワードを生成するための数列であるシードと、を対応付けて1組とし、この組を複数格納して、ユーザ識別情報とシードは組ごとに全て異なる第2格納手段と、
前記第1時刻情報と同期した第2時刻情報を発生する第2時刻発生手段と、
前記ユーザ識別情報と、該ユーザ識別情報に対応する第2対応シードとを前記第2格納手段から取得する第3取得手段と、
前記第2時刻情報と、前記第2対応シードとに対応する第2ワンタイムパスワードを発生する第2OTP発生手段と、
前記第1ワンタイムパスワードを取得する第4取得手段と、
前記第1ワンタイムパスワードと前記第2ワンタイムパスワードとが一致しているかどうかを判定する判定手段と、
前記判定手段が一致していると判定した場合には、前記第1プロバイダ識別情報を有するプロバイダのサービスの提供を許可する許可手段と、をさらに具備することを特徴とするワンタイムパスワードシステム。
【請求項12】
前記ワンタイムパスワード装置は、
前記第1対応シードの第1部分と前記第1時刻情報の第2部分とを演算した演算情報を生成する第1生成手段と、
前記演算情報を、前記第1対応シードの第3部分で暗号化した第1暗号情報を生成する第2生成手段と、
前記第1暗号情報に対応する数値である第1暗号シードを発生する第1暗号シード発生手段と、をさらに具備し、
前記第1OTP発生手段は、前記第1対応シードの代わりの前記第1暗号シードと、前記第1時刻情報とに対応する第1ワンタイムパスワードを発生し、
前記第2格納手段は、前記シードの代わりに、前記第1暗号シードに対応する第2暗号化シードを格納し、
前記第2OTP発生手段は、前記第2対応シードの代わりの前記第2暗号シードと、前記第2時刻情報とに対応する第2ワンタイムパスワードを発生することを特徴とする請求項11に記載のワンタイムパスワードシステム。
【請求項13】
前記ワンタイムパスワード装置は、
前記第1格納手段の代わりに、サービスを提供しているプロバイダの複数のプロバイダ識別情報と、ワンタイムパスワードを生成するための数列である1つの単一シードとを格納している第3格納手段を具備し、
前記ワンタイムパスワード装置は、
前記単一シードの第1部分と前記第1プロバイダ識別情報とを演算した第1演算情報を生成する第1生成手段と、
前記第1演算情報を、前記単一シードの第2部分で暗号化した第1暗号情報を生成する第2生成手段と、
前記第1暗号情報に対応する数値である第1暗号シードを発生する第1暗号シード発生手段と、
前記第1暗号シードの第3部分と前記第1時刻情報の第4部分とを演算した第2演算情報を生成する第3生成手段と、
前記第2演算情報を、前記第1暗号シードの第5部分で暗号化した第2暗号情報を生成する第4生成手段と、
前記第2暗号情報に対応する数値である第2暗号シードを発生する第2暗号シード発生手段と、をさらに具備し、
前記第1OTP発生手段は、前記第1対応シードの代わりの前記第2暗号シードと、前記第1時刻情報とに対応する第1ワンタイムパスワードを発生し、
前記第2格納手段は、前記シードの代わりに、前記第2暗号シードに対応する第3暗号化シードを格納し、
前記第2OTP発生手段は、前記第2対応シードの代わりの前記第3暗号シードと、前記第2時刻情報とに対応する第2ワンタイムパスワードを発生することを特徴とする請求項11に記載のワンタイムパスワードシステム。
【請求項14】
前記ワンタイムパスワード装置は、
前記第1格納手段の代わりに、サービスを提供しているプロバイダの複数のプロバイダ識別情報と、ワンタイムパスワードを生成するための数列である1つの単一シードとを格納している第3格納手段を具備し、
前記ワンタイムパスワード装置は、
前記単一シードの第1部分と前記第1プロバイダ識別情報とを演算した第1演算情報を生成する第1生成手段と、
前記第1演算情報と前記第1時刻情報の第2部分とを演算した第2演算情報を生成する第2生成手段と、
前記第2演算情報を、前記単一シードの第3部分で暗号化した第1暗号情報を生成する第2生成手段と、
前記第1暗号情報に対応する数値である第1暗号シードを発生する第1暗号シード発生手段と、をさらに具備し、
前記第1OTP発生手段は、前記第1対応シードの代わりの前記第1暗号シードと、前記第1時刻情報とに対応する第1ワンタイムパスワードを発生し、
前記第2格納手段は、前記シードの代わりに、前記第1暗号シードに対応する第2暗号化シードを格納し、
前記第2OTP発生手段は、前記第2対応シードの代わりの前記第2暗号シードと、前記第2時刻情報とに対応する第2ワンタイムパスワードを発生することを特徴とする請求項11に記載のワンタイムパスワードシステム。
【請求項15】
前記プロバイダ識別情報は、プロバイダID(identifier)と、プロバイダとユーザとの組ごとに割り当てられるCID(communication identifier)を含み、前記ユーザ識別情報はCIDを含み、前記ワンタイムパスワード装置と前記サーバ装置は、前記第1プロバイダ識別情報を有するプロバイダと前記ユーザとに割り当てられる、同一のCIDを格納することを特徴とする請求項11から請求項14のいずれか1項に記載のワンタイムパスワードシステム。
【請求項16】
前記表示手段は、前記第1ワンタイムパスワードと、該第1ワンタイムパスワードに対応するCIDとを表示することを特徴とする請求項11から請求項15のいずれか1項に記載のワンタイムパスワードシステム。
【請求項17】
前記演算手段は、2つの入力値のうちの1つを固定した場合に、もう1つの入力値と該演算手段の出力値とが1対1に対応する演算を行うことを特徴とする請求項12から請求項16のいずれか1項に記載のワンタイムパスワードシステム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【公開番号】特開2008−269342(P2008−269342A)
【公開日】平成20年11月6日(2008.11.6)
【国際特許分類】
【出願番号】特願2007−112166(P2007−112166)
【出願日】平成19年4月20日(2007.4.20)
【出願人】(599085677)さくら情報システム株式会社 (3)
【Fターム(参考)】
【公開日】平成20年11月6日(2008.11.6)
【国際特許分類】
【出願日】平成19年4月20日(2007.4.20)
【出願人】(599085677)さくら情報システム株式会社 (3)
【Fターム(参考)】
[ Back to top ]