ワンタイムパスワード認証システム、ワンタイムパスワード認証方法、ワンタイムパスワード生成プログラム、ワンタイムパスワード認証プログラムおよびワンタイムパスワード生成装置。
【課題】 時刻情報を送信することなくワンタイムパスワードの認証処理を行うことによりセキュリティの向上を図ること。
【解決手段】 ワンタイムパスワード認証システムは、ワンタイムパスワードを出力する情報通信装置3と、該情報通信装置3よりワンタイムパスワードを受信して情報通信装置3の認証判断を行う認証判断装置とを備えている。情報通信装置3は、乱数生成手段12により生成された乱数情報と、時刻検出手段11により検出された時刻情報とに基づいてワンタイムパスワードを生成するワンタイムパスワード生成手段10と、時刻検出手段11による時刻情報の検出時に、生成された乱数情報を認証判断装置に出力する乱数情報出力手段6と、生成されたワンタイムパスワードを認証判断装置に出力するワンタイムパスワード出力手段6とを有している。
【解決手段】 ワンタイムパスワード認証システムは、ワンタイムパスワードを出力する情報通信装置3と、該情報通信装置3よりワンタイムパスワードを受信して情報通信装置3の認証判断を行う認証判断装置とを備えている。情報通信装置3は、乱数生成手段12により生成された乱数情報と、時刻検出手段11により検出された時刻情報とに基づいてワンタイムパスワードを生成するワンタイムパスワード生成手段10と、時刻検出手段11による時刻情報の検出時に、生成された乱数情報を認証判断装置に出力する乱数情報出力手段6と、生成されたワンタイムパスワードを認証判断装置に出力するワンタイムパスワード出力手段6とを有している。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ワンタイムパスワード認証システム、ワンタイムパスワード認証方法、ワンタイムパスワード生成プログラム、ワンタイムパスワード認証プログラムおよびワンタイムパスワード生成装置に関し、より詳細には、情報通信装置により出力されたワンタイムパスワードを認証判断装置で受信して認証判断処理を行うワンタイムパスワード認証システム、ワンタイムパスワード認証方法等に関する。
【背景技術】
【0002】
通信環境が発達した今日では、インターネットなどのオープンなネットワックを介して情報通信装置(クライアント装置)から所定のサーバ装置にアクセスすることによってネットショッピングを行ったり、所定の情報を取得したりすることが多くなっている。情報通信装置からサーバ装置にアクセスする場合、アクセスしたユーザ(情報通信装置)の認証を行うことによって、許諾を得ていないユーザ(情報通信装置)からのアクセスを制限することにより、セキュリティの確保を実現する方法が多く採用されている。
【0003】
具体的には、ユーザを特定するためのID情報とパスワード情報とを予め設定し、情報通信装置からサーバ装置に対してID情報とパスワード情報とを送信することによって、ユーザが正当なアクセス権限を有するか否かの判断を行っている。
【0004】
しかしながら、ID情報とパスワード情報を、インターネットなどのオープンなネットワークを介して送信すると、悪意を有する第三者にID情報およびパスワード情報が知られ得る可能性が生ずる。悪意を有する第三者にID情報およびパスワード情報が知られてしまった場合、第三者は取得したID情報およびパスワード情報を用いることによって正規ユーザのふりをしてサーバ装置にアクセスすることが可能となってしまい(いわゆる、なりすまし)、重要な情報を第三者に盗まれてしまうおそれがあった。
【0005】
このため、パスワード情報を一定期間毎に変更することによって、同一のパスワード情報を用いてアクセス可能な期間を制限し、セキュリティの確保を図る方法も用いられている。しかしながら、頻繁にパスワード情報を変更すると、ユーザにおいてパスワード情報を管理するための負担が増大してしまうおそれが生ずるという問題があった。
【0006】
このため、今日では、時刻情報(時間情報)とID情報とに基づいて一定期間(例えば1分間)だけ有効となるワンタイムパスワードを情報通信装置において生成し、ワンタイムパスワードに基づいてサーバ装置側で認証処理を行うシステム(いわゆるワンタイムパスワード認証システム)が考案されている(例えば、特許文献1参照)。
【0007】
このワンタイムパスワード認証システムでは、情報通信装置とサーバ装置とに、時刻情報とID情報とに基づいてワンタイムパスワードを生成するための共通するアルゴリズムが記録されている。このため、情報通信装置では、ID情報とサーバ装置から取得した時刻情報とに基づいてワンタイムパスワードを生成して、サーバ側にID情報とワンタイムパスワードとを送信する。一方で、サーバ装置では、時刻情報と情報通信装置のID情報とに基づいて、共通するアルゴリズムを用いて認証用のワンタイムパスワードを生成する。そして、サーバ装置では、生成された認証用のワンタイムパスワードと、情報通信装置より受信したワンタイムパスワードとを比較し、両方のパスワードが同じである場合には情報通信装置のアクセスを許可し、両方のパスワードが異なる場合には情報通信装置のアクセスを制限する判断を行う。
【0008】
このように、ワンタイムパスワードは時刻情報に基づいて生成されるパスワードであるため、時刻情報が異なることによって全く異なったワンタイムパスワードが生成される。従って、従来のパスワードのように常に同じパスワードがオープンなネットワークを介して送信されることがなくなる。さらに、ワンタイムパスワードは一定期間(例えば、1分間)だけ有効なパスワードとして認証されるため、もし、悪意を有する第三者にワンタイムパスワードが盗まれた場合であっても、第三者がワンタイムパスワードを用いて不正に認証を得ようとする場合には、通常、パスワードの有効期限が過ぎて無効なパスワードとなってサーバ装置で認証されないため、セキュリティを高く確保することが可能となる。
【特許文献1】特開2005−50292号公報
【発明の開示】
【発明が解決しようとする課題】
【0009】
しかしながら、時刻情報およびユーザIDは、ネットワークを介して情報通信装置およびサーバ装置の間に送受信される情報であるため、悪意を有する第三者知られてしまうおそれがある。また、ワンタイムパスワードも同様にネットワークを介して送受信される情報であるため、第三者に知られてしまうおそれがある。このため、情報通信装置およびサーバ装置においてワンタイムパスワードを生成するアルゴリズムが知られていない場合であっても、生成されたワンタイムパスワードの情報と、このワンタイムパスワードの情報を生成するための種となる時刻情報およびID情報とが知られてしまうと、アルゴリズムが解析されてしまうおそれがあった。
【0010】
本発明は上記問題に鑑みてなされたものであり、時刻情報を送信することなくワンタイムパスワードの認証処理を行うことによりセキュリティの向上を図ることが可能なワンタイムパスワード認証システム、ワンタイムパスワード認証方法、ワンタイムパスワード生成プログラム、ワンタイムパスワード認証プログラムおよびワンタイムパスワード生成装置を提供することを課題とする。
【課題を解決するための手段】
【0011】
上記課題を解決するために、本発明に係るワンタイムパスワード認証システムは、ワンタイムパスワードを出力する情報通信装置と、該情報通信装置より前記ワンタイムパスワードを受信して前記情報通信装置の認証判断を行う認証判断装置とを備えるワンタイムパスワード認証システムであって、前記情報通信装置は、乱数情報を生成する乱数生成手段と、時刻検出を行うための時刻検出手段と、前記乱数生成手段により生成された乱数情報と、前記時刻検出手段により検出された時刻情報とに基づいて前記ワンタイムパスワードを生成するワンタイムパスワード生成手段と、前記時刻検出手段による前記時刻情報の検出時に、前記乱数生成手段により生成された乱数情報を前記認証判断装置に出力する乱数情報出力手段と、前記ワンタイムパスワード生成手段により生成されたワンタイムパスワードを前記認証判断装置に出力するワンタイムパスワード出力手段とを有し、前記認証判断装置は、前記乱数情報および前記ワンタイムパスワードを受信する情報受信手段と、前記情報受信手段により前記乱数情報を受信した時の時刻検出を行う受信時刻検出手段と、該受信時刻検出手段により検出された時刻情報と前記情報受信手段により受信された乱数情報とに基づいて認証用ワンタイムパスワードを生成する認証用ワンタイムパスワード生成手段と、該認証用ワンタイムパスワード生成手段により生成された認証用ワンタイムパスワードと、前記情報受信手段により受信されたワンタイムパスワードとを比較して前記情報通信装置に対する認証判断を行う認証判断手段とを有することを特徴とする。
【0012】
また、本発明に係るワンタイムパスワード認証方法は、情報通信装置より出力されたワンタイムパスワードを、認証判断装置において受信して認証判断処理を行うためのワンタイムパスワード認証方法であって、前記情報通信装置の乱数生成手段が乱数情報を生成する乱数生成ステップと、前記情報通信装置の時刻検出手段が時刻検出を行う時刻検出ステップと、前記乱数生成ステップにおいて生成された乱数情報と、前記時刻検出ステップにおいて検出された時刻情報とに基づいて、前記情報通信装置のワンタイムパスワード生成手段が前記ワンタイムパスワードを生成するワンタイムパスワード生成ステップと、前記時刻検出ステップにおいて前記時刻情報を検出した時に、前記乱数生成ステップにおいて生成された乱数情報を、前記情報通信装置の乱数情報出力手段が、前記情報通信装置から前記認証判断装置に出力する乱数情報出力ステップと、前記ワンタイムパスワード生成ステップにおいて生成されたワンタイムパスワードを、前記情報通信装置のワンタイムパスワード出力手段が、前記情報通信装置から前記認証判断装置に出力するワンタイムパスワード出力ステップと、前記認証判断装置の情報受信手段が、前記乱数情報および前記ワンタイムパスワードを受信する情報受信ステップと、前記情報受信ステップにおいて前記乱数情報を受信した時の時刻検出を、前記認証判断装置の受信時刻検出手段が行う受信時刻検出ステップと、該受信時刻検出ステップにより検出された時刻情報と前記情報受信ステップにより受信された乱数情報とに基づいて、前記認証判断装置の認証用ワンタイムパスワード生成手段が認証用ワンタイムパスワードを生成する認証用ワンタイムパスワード生成ステップと、該認証用ワンタイムパスワード生成ステップにおいて生成された認証用ワンタイムパスワードと、前記情報受信ステップにおいて受信されたワンタイムパスワードとを比較して、前記認証判断装置の認証判断手段が、前記情報通信装置に対する認証判断を行う認証判断ステップとを有することを特徴とする。
【0013】
さらに、本発明に係るワンタイムパスワード生成プログラムは、認証判断処理を行うためのワンタイムパスワードを情報通信装置で生成して認証判断装置に出力するためのワンタイムパスワード生成プログラムであって、前記情報通信装置のコンピュータに、時刻検出を行う時刻検出機能と、前記乱数生成手段により生成された乱数情報と、前記時刻検出機能により検出された時刻情報とに基づいて、前記ワンタイムパスワードを生成するワンタイムパスワード生成機能と、前記時刻検出機能により前記時刻情報を検出した時に、前記乱数生成手段により生成された乱数情報を前記情報通信装置から前記認証判断装置に出力する乱数情報出力機能と、前記ワンタイムパスワード生成機能により生成されたワンタイムパスワードを、前記情報通信装置から前記認証判断装置に出力するワンタイムパスワード出力機能とを実現させるためのプログラムであることを特徴とする。
【0014】
また、本発明に係るワンタイムパスワード認証プログラムは、情報通信装置より出力されたワンタイムパスワードを認証判断装置において受信して認証判断するためのワンタイムパスワード認証プログラムであって、前記認証判断装置のコンピュータに、前記情報通信装置より出力された乱数情報およびワンタイムパスワードを受信する情報受信機能と、該情報受信機能により前記乱数情報を受信した時の時刻検出を行う受信時刻検出機能と、該受信時刻検出機能により検出された時刻情報と前記情報受信機能により受信された乱数情報とに基づいて、認証用ワンタイムパスワードを生成する認証用ワンタイムパスワード生成機能と、該認証用ワンタイムパスワード生成機能により生成された認証用ワンタイムパスワードと、前記情報受信機能により受信されたワンタイムパスワードとを比較して、前記情報通信装置に対する認証判断を行う認証判断機能とを実現させるためのプログラムであることを特徴とする。
【0015】
さらに、本発明に係るワンタイムパスワード生成装置は、認証判断装置において認証判断を行うためのワンタイムパスワードを生成するワンタイムパスワード生成装置であって、乱数情報を生成する乱数生成手段と、時刻検出を行うための時刻検出手段と、前記乱数生成手段により生成された乱数情報と、前記時刻検出手段により検出された時刻情報とに基づいて前記ワンタイムパスワードを生成するワンタイムパスワード生成手段とを有することを特徴とする。
【0016】
このように、本発明に係るワンタイムパスワード認証システム、ワンタイムパスワード認証方法、ワンタイムパスワード生成プログラム、ワンタイムパスワード認証プログラムおよびワンタイムパスワード生成装置では、認証処理に用いられるワンタイムパスワードが、毎回異なる値となる乱数情報と、常に変化する時刻情報とに基づいて生成される。このため、従来のように一定の情報(例えば、ID情報)と時刻情報とによりワンタイムパスワードを生成する場合よりも、ワンタイムパスワードの生成パターンが増大し、ワンタイムパスワードの解析がより難しくなり、安全性の向上を図ることが可能となる。
【0017】
また、本発明に係るワンタイムパスワード認証システム、ワンタイムパスワード認証方法、ワンタイムパスワード生成プログラム、ワンタイムパスワード認証プログラムおよびワンタイムパスワード生成装置では、ワンタイムパスワードの生成に必要とされる時刻情報がネットワークを介して送受信されることがない。このため、悪意のある第三者は、時刻情報を取得することが困難となり、容易にワンタイムパスワードを生成・解析することができなくなる。
【0018】
さらに、上述した乱数生成手段は、物理的現象を利用して乱数情報を生成する物理乱数生成装置により構成されるものであってもよい。従って、乱数生成手段を物理的現象を利用して乱数情報を生成する物理乱数生成装置により構成することにより、生成される乱数情報は、物理的現象を利用して生成される真性の乱数情報となる。
【0019】
このようにして本発明に係るワンタイムパスワード認証システム、ワンタイムパスワード認証方法、ワンタイムパスワード生成プログラムおよびワンタイムパスワード生成装置において、物理的現象を利用して生成された乱数情報が用いられる場合には、プログラムなどに基づいて生成される乱数情報のように乱数情報の生成アルゴリズムが解析されてしまうおそれや、プログラムの不具合により不適切な乱数情報が生成されてしまうおそれがなくなるという利点がある。また、物理的現象を利用して生成される乱数であるため、乱数生成のアルゴリズムを解析することが困難となる。このように全くランダムに生成される乱数情報を用いてワンタイムパスワードが生成されるため、ワンタイムパスワードの偽造等を行うことが困難となり、結果として、ワンタイムパスワード認証システムの認証精度を向上させることが可能となる。
【0020】
また、上述したワンタイムパスワード認証システムは、前記情報通信装置が、前記乱数情報および前記ワンタイムパスワードの暗号化処理を行う暗号化手段を有し、前記認証判断装置は、前記暗号化手段により暗号化された前記乱数情報および前記ワンタイムパスワードの復号化処理を行う復号化手段を有し、前記乱数情報出力手段は、予め規定された暗号化キーを用いて前記暗号化手段により暗号化された乱数情報を前記認証判断装置に出力し、前記ワンタイムパスワード出力手段は、前記乱数情報を暗号化キーとして用いて前記暗号化手段により暗号化されたワンタイムパスワードを前記認証判断装置に出力し、前記復号化手段では、前記情報受信手段により受信された前記乱数情報を予め規定された暗号化キーを用いて復号化すると共に、前記情報受信手段により受信された前記ワンタイムパスワードを、前記乱数情報を暗号化キーとして用いて復号化するものであってもよい。
【0021】
また、上述したワンタイムパスワード認証方法は、前記情報通信装置の暗号化手段が、予め規定された暗号化キーを用いて、前記乱数情報の暗号化を行う乱数情報暗号化ステップと、前記暗号化手段が、前記乱数情報を暗号化キーとして用いて、前記ワンタイムパスワードの暗号化を行うワンタイムパスワード暗号化ステップと、前記認証判断装置の復号化手段が、予め規定された暗号化キーを用いて、暗号化された前記乱数情報の復号化を行う乱数情報復号化ステップと、前記復号化手段が前記乱数情報を暗号化キーとして用いて、前記ワンタイムパスワードの復号化を行うワンタイムパスワード復号化ステップとを有し、前記乱数情報出力ステップでは、前記乱数情報暗号化ステップにおいて暗号化された乱数情報を、前記情報通信装置の乱数情報出力手段が前記情報通信装置から前記認証判断装置に出力し、前記ワンタイムパスワード出力ステップでは、前記ワンタイムパスワード暗号化ステップにおいて暗号化されたワンタイムパスワードを、前記情報通信装置のワンタイムパスワード出力手段が、前記情報通信装置から前記認証判断装置に出力し、前記乱数情報復号化ステップでは、前記復号化手段が前記情報受信ステップにおいて受信された乱数情報の復号化処理を行い、前記ワンタイムパスワード復号化ステップでは、前記復号化手段が前記情報受信ステップにおいて受信されたワンタイムパスワードの復号化処理を行うものであってもよい。
【0022】
さらに、上述したワンタイムパスワード生成プログラムは、前記情報通信装置のコンピュータに、前記乱数情報を予め規定された暗号化キーを用いて暗号化する乱数情報暗号化機能と、前記乱数情報を暗号化キーとして用いて前記ワンタイムパスワードの暗号化を行うワンタイムパスワード暗号化機能と実現させ、前記乱数情報出力機能において、前記乱数情報暗号化機能により暗号化された乱数情報を、前記情報通信装置から前記認証判断装置に出力させ、前記ワンタイムパスワード出力機能において、前記ワンタイムパスワード暗号化機能により暗号化されたワンタイムパスワードを、前記情報通信装置から前記認証判断装置に出力させるためのプログラムであってもよい。
【0023】
また、上述したワンタイムパスワード認証プログラムは、前記認証判断装置のコンピュータに、前記情報受信機能により受信された乱数情報が暗号化されていた場合に、暗号化された乱数情報を予め規定された暗号化キーを用いて復号化する乱数情報復号化機能と、前記情報受信機能により受信されたワンタイムパスワードが暗号化されていた場合に、前記乱数情報を暗号化キーとして用いて前記ワンタイムパスワードの復号化を行うワンタイムパスワード復号化機能とを実現させるためのプログラムであってもよい。
【0024】
このように、本発明に係るワンタイムパスワード認証システム、ワンタイムパスワード認証方法、ワンタイムパスワード生成プログラムおよびワンタイムパスワード認証プログラムでは、情報通信装置とサーバ装置との間で送受信される乱数情報およびワンタイムパスワードの暗号化処理が行われるので、第三者がこれらの情報を受信しても、容易に中身を判断することができない。このため、情報通信装置とサーバ装置との認証処理に必要な情報が第三者に容易に知られてしまうことを防止することができ、高いセキュリティを確保することが可能となる。
【0025】
特に、ワンタイムパスワードは、乱数情報を暗号化キーとして用いて暗号化される。このため、ワンタイムパスワードの暗号化を行う度に、暗号化キーの内容が変更されることになり、安全の確保を図ることが容易となる。
【0026】
さらに、暗号化キーとして用いられる乱数情報は物理的現象を利用して生成される乱数情報を用いることが可能である。このように物理的現象を利用して生成された乱数情報を暗号化キーに用いることによって、プログラムなどに基づいて生成される乱数情報のように、乱数情報の生成アルゴリズムが解析されてしまうおそれや、プログラムの不具合により不適切な乱数情報が生成されてしまうおそれがない。このため、暗号化キー自体のセキュリティを高めることができ、容易にワンタイムパスワードの復号化が行われてしまうことを防止することができる。
【0027】
また、本発明に係るワンタイムパスワード認証システムでは、前記時刻検出手段および前記受信時刻検出手段が、時刻管理機能を備える内部時計手段と、時刻情報を含む標準電波を受信する電波受信手段と、前記電波受信手段により受信された標準電波に基づいて前記内部時計手段における時刻情報の補正を行う時刻補正手段とを有するものであってもよい。
【0028】
また、本発明に係るワンタイムパスワード生成装置では、前記時刻検出手段が、時刻管理機能を備える内部時計手段と、時刻情報を含む標準電波を受信する電波受信手段と、前記電波受信手段により受信された標準電波に基づいて前記内部時計手段における時刻情報の補正を行う時刻補正手段とを有するものであってもよい。
【0029】
このように、本発明に係るワンタイムパスワード認証システムおよびワンタイムパスワード生成装置では、内部時計手段と電波受信手段とが設けられており、電波受信手段において受信された標準電波に基づいて内部時計手段の時刻が修正されるため、情報通信装置およびサーバ装置の内部時計手段が、常に正確な時刻を示すことになる。このため、時刻情報を情報通信装置とサーバ装置との間で送受信しなくても、情報通信装置とサーバ装置との時刻を同期させることが可能なり、ワンタイムパスワードおよび認証用ワンタイムパスワードの生成に不可欠な時刻情報のズレを低減させることが可能となる。
【発明の効果】
【0030】
本発明に係るワンタイムパスワード認証システム、ワンタイムパスワード認証方法、ワンタイムパスワード生成プログラム、ワンタイムパスワード認証プログラムおよびワンタイムパスワード生成装置では、認証処理に用いられるワンタイムパスワードが、毎回異なる値となる乱数情報と、常に変化する時刻情報とに基づいて生成される。このため、従来のように一定の情報(一度決められると変わらない情報)と時刻情報とによりワンタイムパスワードを生成する場合よりも、ワンタイムパスワードの生成パターンが増大し、ワンタイムパスワードの解析がより難しくなり、安全性の向上を図ることが可能となる。
【0031】
また、本発明に係るワンタイムパスワード認証システム、ワンタイムパスワード認証方法、ワンタイムパスワード生成プログラム、ワンタイムパスワード認証プログラムおよびワンタイムパスワード生成装置では、ワンタイムパスワードの生成に必要とされる時刻情報がネットワークを介して送受信されることがないため、悪意のある第三者は、時刻情報を取得することが困難となり、容易にワンタイムパスワードを生成・解析することができなくなる。
【発明を実施するための最良の形態】
【0032】
以下、本発明に係るワンタイムパスワード認証システムについて、図面を用いて詳細に説明する。図1は、本発明に係るワンタイムパスワード認証システムを示した概略構成を示した図ある。
【0033】
ワンタイムパスワード認証システム1は、サーバ装置(認証判断装置)2と情報通信装置3とを有している。サーバ装置2および情報通信装置3は、ネットワーク4を介して接続されている。このネットワーク4は、例えばインターネットなどの広く公に公開されネットワークであってもよく、また、LAN(Local Area Network)のように限定されたエリア内において構築される閉ざされたネットワークであってもよい。なお、図1には、便宜上、サーバ装置2と情報通信装置3とが1台ずつしか示していないが、サーバ装置2および情報通信装置3の設置数は図1に示される1台ずつに限定されるものではなく、それぞれ2台以上で構成されるものであってもよい。
【0034】
ワンタイムパスワード認証システム1は、サーバ装置2において情報通信装置3のアクセスの認否を判断するための認証処理を行うシステムである。サーバ装置2では、情報通信装置3のID情報、乱数情報およびワンタイムパスワードを取得することによって、アクセスを希望する情報通信装置3が正当な権限を有しているか否かを判断し、正当な権限を有していると判断した場合には、情報通信装置3からのアクセスを許可する。一方で、正当な権限を有していないと判断した場合には、情報通信装置3からのアクセスを禁止(拒否)する。
【0035】
図2は、情報通信装置3の概略構成を示している。
【0036】
情報通信装置3は、通信部(乱数情報出力手段、ワンタイムパスワード出力手段)6とパスワード生成部7とにより概略構成されている。なお、本実施の形態に示す情報通信装置3では、通信部6とパスワード生成部7とが一体に形成される場合について説明を行うが、通信部6とパスワード生成部7とは必ずしも一体に形成されている必要はなく、別体に形成されているものであってもよい。
【0037】
通信部6は、ユーザのID情報、次述する物理乱数生成部12により生成された乱数情報、パスワード生成部7により生成されたワンタイムパスワードを、サーバ装置2に出力(送信)する機能を有している。通信部6は、例えば、ネットワークカード(NIC:Network Interface Card)等が該当し、情報通信装置3をネットワーク4に接続させる役割を有している。なお、図2では、便宜上、情報通信装置3に内蔵されるネットワークカードを通信部6として記載しているが、通信部6より延設されるネットワークケーブルに対してモデムやメディアコンバータ等が接続される場合には、通信部6にモデム等が含まれることになる。
【0038】
また、通信部6がパスワード生成部7と別体に形成されている場合には、通信部6としてネットワーク4に接続することが可能な装置、例えば、携帯電話端末(通信機能を有するPDA(Personal Digital Assistant)などを含む)などを用いることが可能となる。この場合には、パスワード生成部7と携帯電話端末とを専用のケーブルで接続することによって、ID情報、乱数情報、ワンタイムパスワードを、携帯電話端末を介してサーバ装置2に出力することが可能になる。
【0039】
パスワード生成部7は、制御部(時刻検出手段、時刻補正手段、ワンタイムパスワード生成手段、暗号化手段)10と、内部時計部(時刻検出手段、内部時計手段)11と、物理乱数生成部(乱数生成手段)12と、電波受信部(時刻検出手段、電波受信手段)13とを有している。また、パスワード生成部7の制御部10には、ディスプレイ15とキーボード16とマウス17とが接続されている。
【0040】
制御部10は、パスワード生成部7の制御部10における一連の処理、具体的には、乱数情報取得処理、時刻情報取得処理、内部時計修正処理、ワンタイムパスワード生成処理、暗号化処理などの処理を行う役割を有している。また、キーボード16およびマウス17により入力された情報を取得すると共に、必要な情報をディスプレイ15に出力する機能を有している。
【0041】
制御部10は、CPU(Central Processing Unit)20と、ROM(Read Only Memory)21と、RAM(Random Access Memory)22とを有している。
【0042】
CPU20は、上述した処理における様々な演算・制御処理を実行する役割を有している。ROM21は、上述した処理を行うためのプログラムや必要な情報、例えば、後述するワンタイムパスワードを生成するためのアルゴリズムプログラム、後述する乱数情報やワンタイムパスワードなどを暗号化するための暗号化プログラムおよび予め規定される暗号化キーなどが記録されている。
【0043】
CPU20(制御部10)は、ROM21に記録されるこれらのプログラムに従って乱数情報取得処理を行い、時刻情報取得処理を行い、内部時計修正処理を行い、ワンタイムパスワード生成処理を行い、暗号化処理を行う。このため、CPU20は、ワンタイムパスワードを生成するためのワンタイムパスワード生成手段としての機能を備えており、また、乱数情報、ID情報およびワンタイムパスワードの暗号化を行うための暗号化手段としての機能を備えている。
【0044】
なお、後述するサーバ装置2のROM39(図3参照)にも、ROM21に記録される予め規定された暗号化キーと同一の暗号化キーが記録されている。このため、情報通信装置3において予め規定された暗号化キーを用いて暗号化された情報は、同一の暗号化キーを用いることにより、サーバ装置2で復号化することが可能となっている。
【0045】
また、ROM21に記録されるアルゴリズムプログラムは、サーバ装置2において認証用ワンタイムパスワードを生成するためのアルゴリズムプログラムと共通するアルゴリズムによって構築されている。このため、後述するように、CPU20が、乱数情報および時刻情報に基づいて生成したワンタイムパスワードと一致するパスワードを、サーバ装置2のCPU38において生成することが可能となっている。
【0046】
RAM22は、CPU20において行われる処理のワークエリア等として用いられる記録手段である。
【0047】
なお、ディスプレイ15は、一般的な液晶ディスプレイやCRTディスプレイ(ブラウン管ディスプレイ)が該当し、処理の内容等をユーザに視認可能に表示させる機能を有している。また、キーボード16およびマウス17は、ユーザが情報通信装置3の処理に必要な操作を行うための入力手段であり、マウス17によってディスプレイ15に表示されるカーソル等を操作し、キーボード16によって文字等の入力を行うことが可能となっている。ユーザがサーバ装置2に対するアクセス認証を試みる場合、ユーザは、キーボード16を介してユーザのID情報を入力する必要が生ずる。
【0048】
内部時計部11は、水晶振動子により構成されており、この水晶振動子の振動に基づいて情報通信装置3における時間管理が行われる。ここで、内部時計部11における時刻精度はこの水晶振動子により維持されることとなるが、水晶振動子は温度変化などにより振動周期にズレが生じるおそれがある。このため、内部時計部11における時刻精度を確保するため、一定期間毎に電波受信部13を介して正確な時間を取得して内部時計部11の時刻補正を行っている。
【0049】
電波受信部13は、標準電波を受信する機能を有している。ここで標準電波とは、標準周波数報時電波とも呼ばれ、時刻と周波数の国家標準または国際標準として、政府や国際機関が放送している電波のことを意味している。CPU20では、送信局から送られてくる標準電波を電波受信部13で一定時間ごとに読み取り、読み取られた標準電波に基づいて内部時計部11の時刻の修正を行っている。このため、内部時計部11では、電波受信部13において電波が正常に受信できる環境であれば、ユーザが時刻合わせなどを手動で行うことなく、秒単位で正確な時刻を維持することができる。このように、制御部10のCPU20が、電波受信部13において受信された標準電波に基づいて内部時計部11の時刻を補正するので、制御部10は、時刻補正手段としての機能を有している。
【0050】
物理乱数生成部12は、プログラムなどに基づくアルゴリズムではなく、物理的現象に基づいて、乱数情報となる乱数値を生成させる機能を有している。
【0051】
今日では、ソフトウェアプログラムにより乱数を生成させるためのアルゴリズムを構築し、ソフトウェア処理により乱数値を生成させる方法が多く用いられている。しかしながら、ソフトウェア処理による乱数値の生成では、アルゴリズムの解読により乱数値の生成パターンを解読されたり、プログラム構築に伴う処理の不具合などが発生するおそれがある。本実施の形態に係るパスワード生成部7では、このようなソフトウェア処理による乱数値の生成ではなく、物理的な装置を用いて真性乱数値の生成を行う。
【0052】
物理乱数生成部12は、自然界の不規則性を利用することによって、自然界のランダムな現象に基づいた真性乱数値を生成させる装置である。自然界のランダムな現象に基づく乱数値の生成方法としては、例えば、半導体素子内部の熱電子のランダムな信号を用いる方法や、白色雑音(周波数に依存せず、全周波数成分を均等な強さで含んでいる雑音)を乱数源に用いる方法などが一般的である。このような自然界のランダムな現象に基づく物理的な乱数値の生成により、第三者に乱数値の生成パターンが解読されてしまう危険性を回避することができ、高いセキュリティを確保することが可能となる。このような物理乱数生成装置を物理乱数生成部12に用いることにより、アメリカ政府機関における暗号モジュールの標準規格であるFISP140−2相当の乱数品位を確保することが可能となる。
【0053】
次にサーバ装置2の構成について説明する。
【0054】
図3は、サーバ装置の概略構成を示している。サーバ装置2は、情報通信装置3より受信した乱数情報、ワンタイムパスワード、ID情報に基づいて、情報通信装置3によるアクセスを許可するか否かの認証を行う装置である。サーバ装置2は、サーバ制御部(受信時刻検出手段、時刻補正手段、認証用ワンタイムパスワード生成手段、認証判断手段、復号化手段)30と、データ記録部31と、情報通信部(情報受信手段)33と、内部時計部(受信時刻検出手段、内部時計手段)34と、電波受信部(受信時刻検出手段、電波受信手段)35とを有している。
【0055】
サーバ制御部30は、サーバ用のCPU38と、サーバ用のROM39と、サーバ用のRAM40とを有している。
【0056】
CPU38は、サーバ装置2における一連の処理、具体的には、乱数情報を受信した時刻を内部時計部34に基づいて検出取得する受信時刻検出処理や、受信した乱数情報に基づいて認証用ワンタイムパスワードを生成する認証用ワンタイムパスワード生成処理や、生成された認証用ワンタイムパスワードと情報通信装置3より受信したワンタイムパスワードとに基づいてアクセスの認証判断を行う認証判断処理や、暗号化されたワンタイムパスワードなどの復号化処理などを行う役割を有している。このため、CPU38(サーバ制御部30)は、本発明に係る受信時刻検出手段、認証用ワンタイムパスワード生成手段、認証判断手段、復号化手段としての機能を有している。
【0057】
ROM39は、上述した一連の処理を行うためのプログラムや必要な情報、例えば、認証用ワンタイムパスワードを生成するためのアルゴリズムプログラムや、暗号化された乱数情報やワンタイムパスワードなどを復号化するための復号化プログラムおよび予め規定される暗号化キー(復号化に用いられるキー情報)が記録されている。
【0058】
なお、ROM39に記録される予め規定された暗号化キーは、情報通信装置3のROM21に記録される暗号化キーと共通する暗号化キーである。また、認証用ワンタイムパスワードを生成するためのアルゴリズムプログラムのアルゴリズムは、情報通信装置3のROM21に記録されるプログラムのアルゴリズムに共通するアルゴリズムによって構築されている。
【0059】
RAM40は、CPU38において行われる処理のワークエリア等として用いられる記録手段である。
【0060】
データ記録部31は、認証処理に必要な様々な情報が記録されている。具体的にはアクセスの認証判断に用いるID情報が記録されている。サーバ装置2では、サーバ制御部30のCPU38が、情報通信装置3より受信したID情報に基づいて、データ記録部31に記録されたID情報と照合を行い、アクセス許可の判断対象となるID情報であるか否かの判断を行う。受信したID情報がデータ記録部31に記録されるID情報と一致しない場合には、ワンタイムパスワードに基づく認証を行うことなく、情報通信装置3のアクセスを拒絶(拒否)する旨の決定が行われる。
【0061】
情報通信部33は、情報通信装置3によって出力された乱数情報、ID情報、ワンタイムパスワードを受信する役割を有しており、また、後述するメッセージを情報通信装置3に対して出力する役割を有している。情報通信部33は、情報通信装置3の通信部6と同様に、例えば、ネットワークカード(NIC:Network Interface Card)等が該当し、サーバ装置2をネットワーク4に接続させる役割を有している。
【0062】
なお、図3では、情報通信装置3の通信部6と同様に、便宜的にサーバ装置2に内蔵されるネットワークカードを情報通信部33として記載しているが、情報通信部33より延設されるネットワークケーブルに対してモデムやメディアコンバータ等が接続される場合には、情報通信部33にモデム等が含まれることになる。
【0063】
内部時計部34と電波受信部35とは、上述した情報通信装置3に設けられる内部時計部11と電波受信部13と同一の機能を備えている。内部時計部34は、情報通信装置3の内部時計部11と同様に水晶振動子によって構成されており、この水晶振動子の振動に基づいてサーバ装置2における時間管理が行われる。電波受信部35は、情報通信装置3の電波受信部13と同様に、標準電波を受信する機能を有しており、サーバ制御部30よって、標準電波が一定時間ごとに読み取られて内部時計部34の時刻の修正が行われる。
【0064】
次に、図4および図5に示すフローチャートに基づいて、情報通信装置3とサーバ装置2との認証判断処理を説明する。
【0065】
まず。情報通信装置3のCPU20は、キーボード16を介して入力されたID情報を取得すると共に、物理乱数生成部12より乱数情報(乱数値)を取得する(ステップS.1)。そして、取得した乱数情報を、ROM21に記録される予め規定された暗号化キーを用いて暗号化する(ステップS.2)。その後、情報通信装置3のCPU20は、内部時計部11より時刻情報を取得(ステップS.3)し、時刻情報を取得した後直ぐに、暗号化された乱数情報を、通信部6を介してサーバ装置2へと出力する(ステップS.4)。
【0066】
CPU20は、ステップS.3において時刻情報を取得してから、ステップS.4において暗号化された乱数情報をサーバ装置2へ出力するまでの処理を、短時間に実行する。この処理を短時間で実行することにより、取得した時刻情報の時刻とほぼ同じ時間、具体的には、時分まで同じ時間内に、暗号化された乱数情報をサーバ装置2で受信することが可能となる。CPU20では、サーバ装置2における乱数情報の受信時刻と、ステップS.3の時刻情報取得処理により取得される時刻との対応を考慮して、時分まで(秒は含まない)の時刻を時刻情報として取得する。
【0067】
なお、ステップS.3において取得される時刻情報は、上述したように内部時計部11において管理される時刻情報であるが、既に説明したように、電波受信部13において一定時間毎に標準電波が受信されて内部時計部11の時刻修正が行われているので、CPU20では、正確な時刻情報を取得することができる。
【0068】
そして、情報通信装置3のCPU20は、取得した時刻情報とステップS.1において取得した乱数情報とに基づいてワンタイムパスワードを生成する(ステップS.5)。そして、CPU20は、生成したワンタイムパスワードとID情報とを、取得した乱数情報を暗号化キーに用いて暗号化し(ステップS.6)、暗号化されたワンタイムパスワードおよびID情報を、通信部6を介してサーバ装置2へと出力する(ステップS.7)。
【0069】
ステップS.5において、CPU20は、ROM21に記録されるアルゴリズムプログラムのアルゴリズムに基づいて、時刻情報と乱数情報とを用いてワンタイムパスワードを生成する。このアルゴリズムは、上述したようにサーバ装置2のROM39に記録されるアルゴリズムプログラムのアルゴリズムと同一であるため、サーバ装置2では、同一の時刻情報と同一の乱数情報とに基づいて同一のワンタイムパスワードを生成することが可能となっている。
【0070】
サーバ装置2のCPU38は、情報通信部33を介して情報通信装置3より暗号化された乱数情報を受信し(ステップS.21)、乱数情報の受信時刻(時刻情報)を、内部時計部34より取得する(ステップS.22)。
【0071】
なお、ステップS.22において取得される時刻情報も、上述したように内部時計部34において管理される時刻情報であるが、既に説明したように、電波受信部35において一定時間毎に標準電波が受信されて内部時計部34の時刻修正が行われているので、CPU38では、正確な時刻情報を取得することができる。
【0072】
次に、サーバ装置2のCPU38は、受信した乱数情報を、ROM39に記録される暗号化キーを用いて暗号化された乱数情報を復号化する(ステップS.23)。次に、サーバ装置2のCPU38は、情報通信部33を介して情報通信装置3より暗号化されたワンタイムパスワードおよびID情報を受信し(ステップS.24)、ステップS.23において復号化した乱数情報を用いて、受信したワンタイムパスワードおよびID情報の復号化を行う(ステップS.25)。
【0073】
そして、サーバ装置2のCPU38は、復号化したID情報を、データ記録部31に記録されるアクセスの許可対象となるID情報群と比較し、情報通信装置3のID情報がアクセス許可の対象となるID情報であるか否かを判断する(ステップS.26)。
【0074】
アクセス許可の対象とならないID情報である場合(ステップS.26においてNoの場合)、CPU38は、情報通信部33を介して、情報通信装置3に対して認証が失敗した旨のメッセージを送信し(ステップS.29)、情報通信装置3からのアクセスを禁止(拒絶)する設定を行い(ステップS.30)、処理を終了する。
【0075】
一方で、アクセス許可の対象となるID情報である場合(ステップS.26においてYesの場合)、CPU38は、ステップS.22において取得された時刻情報と、ステップS.23において復号化した乱数情報とを用い、ROM39に記録されるアルゴリズムプログラムのアルゴリズムに基づいて、認証用のワンタイムパスワードを生成する(ステップS.27)。
【0076】
このとき、CPU38は、ステップS.3において情報通信装置3のCPU20により取得された時刻情報と、ステップS.22においてサーバ装置2のCPU38により取得された時刻情報との時間差を考慮して、ステップS.22において取得された時刻情報よりも1〜2分程度早い時間となる複数の時刻情報を用いて、複数の認証用ワンタイムパスワードを生成する。このように1〜2分程度の時間差を考慮した複数の認証用ワンタイムパスワードを生成することにより、ワンタイムパスワードの送信に時間を要した場合などを考慮することが可能となる。
【0077】
次に、サーバ装置2のCPU38は、情報通信装置3より取得し復号化処理したワンタイムパスワードと、CPU38において生成した認証用ワンタイムパスワードとを比較し、同一のパスワードであるか否かを判断する(ステップS.28)。
【0078】
生成した複数の認証用ワンタイムパスワードと取得したワンタイムパスワードとが一致しない場合(ステップS.28においてNoの場合)、CPU38は、情報通信部33を介して、情報通信装置3に対して認証が失敗した旨のメッセージを送信し(ステップS.29)、情報通信装置3からのアクセスを禁止(拒絶)する設定を行い(ステップS.30)、処理を終了する。
【0079】
一方で、生成した複数の認証用ワンタイムパスワードと取得したワンタイムパスワードとが一致する場合(ステップS.28においてYesの場合)、CPU38は、情報通信部33を介して、情報通信装置3に対して認証が成功した旨のメッセージを送信し(ステップS.31)、情報通信装置3からのアクセスを認める(許容する)設定を行い(ステップS.32)、処理を終了する。
【0080】
情報通信装置3のCPU20は、通信部6を介して、サーバ装置2よりメッセージを受信し(ステップS.8)、受信したメッセージをディスプレイ15に表示して(ステップS.9)処理を終了する。
【0081】
以上説明したように、本実施の形態に係るワンタイムパスワード認証システム1では、ネットワーク4を介して、情報通信装置3とサーバ装置2との間で送受信される乱数情報、ワンタイムパスワード、ID情報の暗号化処理が行われているので、第三者がこれらの情報を受信しても、容易に中身を判断することができない。このため、情報通信装置3とサーバ装置2との認証処理に必要な情報が第三者に容易に知られてしまうことを防止することができ、高いセキュリティを確保することが可能となる。
【0082】
特に、ワンタイムパスワードとID情報とは、乱数情報を暗号化キーとして用いて暗号化されている。このため、ワンタイムパスワードの暗号化を行う度に、暗号化キーの内容が変更されることになり、安全の確保を図ることが容易となる。
【0083】
さらに、暗号化キーとして用いられる乱数情報は物理乱数生成部12において物理的現象を利用して生成される乱数情報であるため、プログラムなどに基づいて生成される乱数情報のように、乱数情報の生成アルゴリズムが解析されてしまうおそれや、プログラムの不具合により不適切な乱数情報が生成されてしまうおそれがない。このため、暗号化キー自体のセキュリティを高めることができ、容易にワンタイムパスワードおよびID情報の復号化が行われてしまうことを防止することができる。
【0084】
一方で、情報通信装置3の認証処理に用いられるワンタイムパスワードは、毎回異なる値となる乱数情報と、常に変化する時刻情報とに基づいて生成される。このため、従来のように一定の情報(例えば、ID情報)と時刻情報とによりワンタイムパスワードを生成する場合よりも、ワンタイムパスワードの生成パターンが増大し、ワンタイムパスワードの解析がより難しくなり、安全性の向上を図ることが可能となる。
【0085】
また、本実施の形態に係るワンタイムパスワード認証システム1では、ワンタイムパスワードの生成に必要とされる時刻情報がネットワーク4を介して送受信されることがない。このため、悪意のある第三者は、時刻情報を取得することが困難となり、容易にワンタイムパスワードを生成・解析することができなくなる。
【0086】
さらに、情報通信装置3およびサーバ装置2には、内部時計部11,34と電波受信部13,35とが設けられており、電波受信部13,35において受信された標準電波に基づいて内部時計部11,34の時刻が修正されるため、情報通信装置3およびサーバ装置2の内部時計部11,34は、常に正確な時刻を示すことになる。このため、時刻情報を情報通信装置3とサーバ装置2との間で送受信しなくても、情報通信装置3とサーバ装置2との時刻を同期させることが可能なり、ワンタイムパスワードおよび認証用ワンタイムパスワードの生成に不可欠な時刻情報のズレを低減させることが可能となる。
【0087】
また、本実施の形態に係るワンタイムパスワード認証システム1では、ワンタイムパスワードの生成に、物理乱数生成部12で生成された乱数情報が用いられる。この乱数情報は、上述したように、物理的現象を利用して生成される乱数情報であるため、プログラムなどに基づいて生成される乱数情報のように、乱数情報の生成アルゴリズムが解析されてしまうおそれや、プログラムの不具合により不適切な乱数情報が生成されてしまうおそれがない。また、物理的現象を利用して生成される乱数であるため、乱数生成のアルゴリズムを解析することが困難である。このような全くランダムに生成される乱数情報を用いてワンタイムパスワードが生成されるため、ワンタイムパスワードの偽造等を行うことが困難となり、結果として、ワンタイムパスワード認証システムの認証精度を向上させることが可能となる。
【0088】
以上、本発明に係るワンタイムパスワード認証システムを、図面を用いて詳細に説明したが、本発明に係るワンタイムパスワード認証システムは上述した本実施の形態に記載した内容に限定されるものではない。いわゆる当業者であれば、特許請求の範囲に記載された範疇内において、各種の変更例または修正例に想到し得ることは明らかであり、それらについても当然に本発明の技術的範囲に属するものと了解される。
【図面の簡単な説明】
【0089】
【図1】本実施の形態に係るワンタイムパスワード認証システムを示した概略構成図である。
【図2】本実施の形態に係る情報通信装置の概略構成を示したブロック図である。
【図3】本実施の形態に係るサーバ装置の概略構成を示したブロック図である。
【図4】本実施の形態に係るワンタイムパスワード認証システムの認証処理の前半を示したフローチャートである。
【図5】本実施の形態に係るワンタイムパスワード認証システムの認証処理の後半を示したフローチャートである。
【符号の説明】
【0090】
1 …ワンタイムパスワード認証システム
2 …サーバ装置(認証判断装置)
3 …情報通信装置
4 …ネットワーク
6 …(情報通信装置の)通信部(乱数情報出力手段、ワンタイムパスワード出力手段)
7 …(情報通信装置の)パスワード生成部
10 …(パスワード生成部の)制御部(時刻検出手段、時刻補正手段、ワンタイムパスワード生成手段、暗号化手段)
11 …(パスワード生成部の)内部時計部(時刻検出手段、内部時計手段)
12 …(パスワード生成部の)物理乱数生成部(乱数生成手段)
13 …(パスワード生成部の)電波受信部(時刻検出手段、電波受信手段)
15 …ディスプレイ
16 …キーボード
17 …マウス
20 …(制御部の)CPU
21 …(制御部の)ROM
22 …(制御部の)RAM
30 …(サーバ装置の)サーバ制御部(受信時刻検出手段、時刻補正手段、認証用ワンタイムパスワード生成手段、認証判断手段、復号化手段)
31 …(サーバ装置の)データ記録部
33 …(サーバ装置の)情報通信部(情報受信手段)
34 …(サーバ装置の)内部時計部(受信時刻検出手段、内部時計手段)
35 …(サーバ装置の)電波受信部(受信時刻検出手段、電波受信手段)
38 …(サーバ装置の)CPU
39 …(サーバ装置の)ROM
40 …(サーバ装置の)RAM
【技術分野】
【0001】
本発明は、ワンタイムパスワード認証システム、ワンタイムパスワード認証方法、ワンタイムパスワード生成プログラム、ワンタイムパスワード認証プログラムおよびワンタイムパスワード生成装置に関し、より詳細には、情報通信装置により出力されたワンタイムパスワードを認証判断装置で受信して認証判断処理を行うワンタイムパスワード認証システム、ワンタイムパスワード認証方法等に関する。
【背景技術】
【0002】
通信環境が発達した今日では、インターネットなどのオープンなネットワックを介して情報通信装置(クライアント装置)から所定のサーバ装置にアクセスすることによってネットショッピングを行ったり、所定の情報を取得したりすることが多くなっている。情報通信装置からサーバ装置にアクセスする場合、アクセスしたユーザ(情報通信装置)の認証を行うことによって、許諾を得ていないユーザ(情報通信装置)からのアクセスを制限することにより、セキュリティの確保を実現する方法が多く採用されている。
【0003】
具体的には、ユーザを特定するためのID情報とパスワード情報とを予め設定し、情報通信装置からサーバ装置に対してID情報とパスワード情報とを送信することによって、ユーザが正当なアクセス権限を有するか否かの判断を行っている。
【0004】
しかしながら、ID情報とパスワード情報を、インターネットなどのオープンなネットワークを介して送信すると、悪意を有する第三者にID情報およびパスワード情報が知られ得る可能性が生ずる。悪意を有する第三者にID情報およびパスワード情報が知られてしまった場合、第三者は取得したID情報およびパスワード情報を用いることによって正規ユーザのふりをしてサーバ装置にアクセスすることが可能となってしまい(いわゆる、なりすまし)、重要な情報を第三者に盗まれてしまうおそれがあった。
【0005】
このため、パスワード情報を一定期間毎に変更することによって、同一のパスワード情報を用いてアクセス可能な期間を制限し、セキュリティの確保を図る方法も用いられている。しかしながら、頻繁にパスワード情報を変更すると、ユーザにおいてパスワード情報を管理するための負担が増大してしまうおそれが生ずるという問題があった。
【0006】
このため、今日では、時刻情報(時間情報)とID情報とに基づいて一定期間(例えば1分間)だけ有効となるワンタイムパスワードを情報通信装置において生成し、ワンタイムパスワードに基づいてサーバ装置側で認証処理を行うシステム(いわゆるワンタイムパスワード認証システム)が考案されている(例えば、特許文献1参照)。
【0007】
このワンタイムパスワード認証システムでは、情報通信装置とサーバ装置とに、時刻情報とID情報とに基づいてワンタイムパスワードを生成するための共通するアルゴリズムが記録されている。このため、情報通信装置では、ID情報とサーバ装置から取得した時刻情報とに基づいてワンタイムパスワードを生成して、サーバ側にID情報とワンタイムパスワードとを送信する。一方で、サーバ装置では、時刻情報と情報通信装置のID情報とに基づいて、共通するアルゴリズムを用いて認証用のワンタイムパスワードを生成する。そして、サーバ装置では、生成された認証用のワンタイムパスワードと、情報通信装置より受信したワンタイムパスワードとを比較し、両方のパスワードが同じである場合には情報通信装置のアクセスを許可し、両方のパスワードが異なる場合には情報通信装置のアクセスを制限する判断を行う。
【0008】
このように、ワンタイムパスワードは時刻情報に基づいて生成されるパスワードであるため、時刻情報が異なることによって全く異なったワンタイムパスワードが生成される。従って、従来のパスワードのように常に同じパスワードがオープンなネットワークを介して送信されることがなくなる。さらに、ワンタイムパスワードは一定期間(例えば、1分間)だけ有効なパスワードとして認証されるため、もし、悪意を有する第三者にワンタイムパスワードが盗まれた場合であっても、第三者がワンタイムパスワードを用いて不正に認証を得ようとする場合には、通常、パスワードの有効期限が過ぎて無効なパスワードとなってサーバ装置で認証されないため、セキュリティを高く確保することが可能となる。
【特許文献1】特開2005−50292号公報
【発明の開示】
【発明が解決しようとする課題】
【0009】
しかしながら、時刻情報およびユーザIDは、ネットワークを介して情報通信装置およびサーバ装置の間に送受信される情報であるため、悪意を有する第三者知られてしまうおそれがある。また、ワンタイムパスワードも同様にネットワークを介して送受信される情報であるため、第三者に知られてしまうおそれがある。このため、情報通信装置およびサーバ装置においてワンタイムパスワードを生成するアルゴリズムが知られていない場合であっても、生成されたワンタイムパスワードの情報と、このワンタイムパスワードの情報を生成するための種となる時刻情報およびID情報とが知られてしまうと、アルゴリズムが解析されてしまうおそれがあった。
【0010】
本発明は上記問題に鑑みてなされたものであり、時刻情報を送信することなくワンタイムパスワードの認証処理を行うことによりセキュリティの向上を図ることが可能なワンタイムパスワード認証システム、ワンタイムパスワード認証方法、ワンタイムパスワード生成プログラム、ワンタイムパスワード認証プログラムおよびワンタイムパスワード生成装置を提供することを課題とする。
【課題を解決するための手段】
【0011】
上記課題を解決するために、本発明に係るワンタイムパスワード認証システムは、ワンタイムパスワードを出力する情報通信装置と、該情報通信装置より前記ワンタイムパスワードを受信して前記情報通信装置の認証判断を行う認証判断装置とを備えるワンタイムパスワード認証システムであって、前記情報通信装置は、乱数情報を生成する乱数生成手段と、時刻検出を行うための時刻検出手段と、前記乱数生成手段により生成された乱数情報と、前記時刻検出手段により検出された時刻情報とに基づいて前記ワンタイムパスワードを生成するワンタイムパスワード生成手段と、前記時刻検出手段による前記時刻情報の検出時に、前記乱数生成手段により生成された乱数情報を前記認証判断装置に出力する乱数情報出力手段と、前記ワンタイムパスワード生成手段により生成されたワンタイムパスワードを前記認証判断装置に出力するワンタイムパスワード出力手段とを有し、前記認証判断装置は、前記乱数情報および前記ワンタイムパスワードを受信する情報受信手段と、前記情報受信手段により前記乱数情報を受信した時の時刻検出を行う受信時刻検出手段と、該受信時刻検出手段により検出された時刻情報と前記情報受信手段により受信された乱数情報とに基づいて認証用ワンタイムパスワードを生成する認証用ワンタイムパスワード生成手段と、該認証用ワンタイムパスワード生成手段により生成された認証用ワンタイムパスワードと、前記情報受信手段により受信されたワンタイムパスワードとを比較して前記情報通信装置に対する認証判断を行う認証判断手段とを有することを特徴とする。
【0012】
また、本発明に係るワンタイムパスワード認証方法は、情報通信装置より出力されたワンタイムパスワードを、認証判断装置において受信して認証判断処理を行うためのワンタイムパスワード認証方法であって、前記情報通信装置の乱数生成手段が乱数情報を生成する乱数生成ステップと、前記情報通信装置の時刻検出手段が時刻検出を行う時刻検出ステップと、前記乱数生成ステップにおいて生成された乱数情報と、前記時刻検出ステップにおいて検出された時刻情報とに基づいて、前記情報通信装置のワンタイムパスワード生成手段が前記ワンタイムパスワードを生成するワンタイムパスワード生成ステップと、前記時刻検出ステップにおいて前記時刻情報を検出した時に、前記乱数生成ステップにおいて生成された乱数情報を、前記情報通信装置の乱数情報出力手段が、前記情報通信装置から前記認証判断装置に出力する乱数情報出力ステップと、前記ワンタイムパスワード生成ステップにおいて生成されたワンタイムパスワードを、前記情報通信装置のワンタイムパスワード出力手段が、前記情報通信装置から前記認証判断装置に出力するワンタイムパスワード出力ステップと、前記認証判断装置の情報受信手段が、前記乱数情報および前記ワンタイムパスワードを受信する情報受信ステップと、前記情報受信ステップにおいて前記乱数情報を受信した時の時刻検出を、前記認証判断装置の受信時刻検出手段が行う受信時刻検出ステップと、該受信時刻検出ステップにより検出された時刻情報と前記情報受信ステップにより受信された乱数情報とに基づいて、前記認証判断装置の認証用ワンタイムパスワード生成手段が認証用ワンタイムパスワードを生成する認証用ワンタイムパスワード生成ステップと、該認証用ワンタイムパスワード生成ステップにおいて生成された認証用ワンタイムパスワードと、前記情報受信ステップにおいて受信されたワンタイムパスワードとを比較して、前記認証判断装置の認証判断手段が、前記情報通信装置に対する認証判断を行う認証判断ステップとを有することを特徴とする。
【0013】
さらに、本発明に係るワンタイムパスワード生成プログラムは、認証判断処理を行うためのワンタイムパスワードを情報通信装置で生成して認証判断装置に出力するためのワンタイムパスワード生成プログラムであって、前記情報通信装置のコンピュータに、時刻検出を行う時刻検出機能と、前記乱数生成手段により生成された乱数情報と、前記時刻検出機能により検出された時刻情報とに基づいて、前記ワンタイムパスワードを生成するワンタイムパスワード生成機能と、前記時刻検出機能により前記時刻情報を検出した時に、前記乱数生成手段により生成された乱数情報を前記情報通信装置から前記認証判断装置に出力する乱数情報出力機能と、前記ワンタイムパスワード生成機能により生成されたワンタイムパスワードを、前記情報通信装置から前記認証判断装置に出力するワンタイムパスワード出力機能とを実現させるためのプログラムであることを特徴とする。
【0014】
また、本発明に係るワンタイムパスワード認証プログラムは、情報通信装置より出力されたワンタイムパスワードを認証判断装置において受信して認証判断するためのワンタイムパスワード認証プログラムであって、前記認証判断装置のコンピュータに、前記情報通信装置より出力された乱数情報およびワンタイムパスワードを受信する情報受信機能と、該情報受信機能により前記乱数情報を受信した時の時刻検出を行う受信時刻検出機能と、該受信時刻検出機能により検出された時刻情報と前記情報受信機能により受信された乱数情報とに基づいて、認証用ワンタイムパスワードを生成する認証用ワンタイムパスワード生成機能と、該認証用ワンタイムパスワード生成機能により生成された認証用ワンタイムパスワードと、前記情報受信機能により受信されたワンタイムパスワードとを比較して、前記情報通信装置に対する認証判断を行う認証判断機能とを実現させるためのプログラムであることを特徴とする。
【0015】
さらに、本発明に係るワンタイムパスワード生成装置は、認証判断装置において認証判断を行うためのワンタイムパスワードを生成するワンタイムパスワード生成装置であって、乱数情報を生成する乱数生成手段と、時刻検出を行うための時刻検出手段と、前記乱数生成手段により生成された乱数情報と、前記時刻検出手段により検出された時刻情報とに基づいて前記ワンタイムパスワードを生成するワンタイムパスワード生成手段とを有することを特徴とする。
【0016】
このように、本発明に係るワンタイムパスワード認証システム、ワンタイムパスワード認証方法、ワンタイムパスワード生成プログラム、ワンタイムパスワード認証プログラムおよびワンタイムパスワード生成装置では、認証処理に用いられるワンタイムパスワードが、毎回異なる値となる乱数情報と、常に変化する時刻情報とに基づいて生成される。このため、従来のように一定の情報(例えば、ID情報)と時刻情報とによりワンタイムパスワードを生成する場合よりも、ワンタイムパスワードの生成パターンが増大し、ワンタイムパスワードの解析がより難しくなり、安全性の向上を図ることが可能となる。
【0017】
また、本発明に係るワンタイムパスワード認証システム、ワンタイムパスワード認証方法、ワンタイムパスワード生成プログラム、ワンタイムパスワード認証プログラムおよびワンタイムパスワード生成装置では、ワンタイムパスワードの生成に必要とされる時刻情報がネットワークを介して送受信されることがない。このため、悪意のある第三者は、時刻情報を取得することが困難となり、容易にワンタイムパスワードを生成・解析することができなくなる。
【0018】
さらに、上述した乱数生成手段は、物理的現象を利用して乱数情報を生成する物理乱数生成装置により構成されるものであってもよい。従って、乱数生成手段を物理的現象を利用して乱数情報を生成する物理乱数生成装置により構成することにより、生成される乱数情報は、物理的現象を利用して生成される真性の乱数情報となる。
【0019】
このようにして本発明に係るワンタイムパスワード認証システム、ワンタイムパスワード認証方法、ワンタイムパスワード生成プログラムおよびワンタイムパスワード生成装置において、物理的現象を利用して生成された乱数情報が用いられる場合には、プログラムなどに基づいて生成される乱数情報のように乱数情報の生成アルゴリズムが解析されてしまうおそれや、プログラムの不具合により不適切な乱数情報が生成されてしまうおそれがなくなるという利点がある。また、物理的現象を利用して生成される乱数であるため、乱数生成のアルゴリズムを解析することが困難となる。このように全くランダムに生成される乱数情報を用いてワンタイムパスワードが生成されるため、ワンタイムパスワードの偽造等を行うことが困難となり、結果として、ワンタイムパスワード認証システムの認証精度を向上させることが可能となる。
【0020】
また、上述したワンタイムパスワード認証システムは、前記情報通信装置が、前記乱数情報および前記ワンタイムパスワードの暗号化処理を行う暗号化手段を有し、前記認証判断装置は、前記暗号化手段により暗号化された前記乱数情報および前記ワンタイムパスワードの復号化処理を行う復号化手段を有し、前記乱数情報出力手段は、予め規定された暗号化キーを用いて前記暗号化手段により暗号化された乱数情報を前記認証判断装置に出力し、前記ワンタイムパスワード出力手段は、前記乱数情報を暗号化キーとして用いて前記暗号化手段により暗号化されたワンタイムパスワードを前記認証判断装置に出力し、前記復号化手段では、前記情報受信手段により受信された前記乱数情報を予め規定された暗号化キーを用いて復号化すると共に、前記情報受信手段により受信された前記ワンタイムパスワードを、前記乱数情報を暗号化キーとして用いて復号化するものであってもよい。
【0021】
また、上述したワンタイムパスワード認証方法は、前記情報通信装置の暗号化手段が、予め規定された暗号化キーを用いて、前記乱数情報の暗号化を行う乱数情報暗号化ステップと、前記暗号化手段が、前記乱数情報を暗号化キーとして用いて、前記ワンタイムパスワードの暗号化を行うワンタイムパスワード暗号化ステップと、前記認証判断装置の復号化手段が、予め規定された暗号化キーを用いて、暗号化された前記乱数情報の復号化を行う乱数情報復号化ステップと、前記復号化手段が前記乱数情報を暗号化キーとして用いて、前記ワンタイムパスワードの復号化を行うワンタイムパスワード復号化ステップとを有し、前記乱数情報出力ステップでは、前記乱数情報暗号化ステップにおいて暗号化された乱数情報を、前記情報通信装置の乱数情報出力手段が前記情報通信装置から前記認証判断装置に出力し、前記ワンタイムパスワード出力ステップでは、前記ワンタイムパスワード暗号化ステップにおいて暗号化されたワンタイムパスワードを、前記情報通信装置のワンタイムパスワード出力手段が、前記情報通信装置から前記認証判断装置に出力し、前記乱数情報復号化ステップでは、前記復号化手段が前記情報受信ステップにおいて受信された乱数情報の復号化処理を行い、前記ワンタイムパスワード復号化ステップでは、前記復号化手段が前記情報受信ステップにおいて受信されたワンタイムパスワードの復号化処理を行うものであってもよい。
【0022】
さらに、上述したワンタイムパスワード生成プログラムは、前記情報通信装置のコンピュータに、前記乱数情報を予め規定された暗号化キーを用いて暗号化する乱数情報暗号化機能と、前記乱数情報を暗号化キーとして用いて前記ワンタイムパスワードの暗号化を行うワンタイムパスワード暗号化機能と実現させ、前記乱数情報出力機能において、前記乱数情報暗号化機能により暗号化された乱数情報を、前記情報通信装置から前記認証判断装置に出力させ、前記ワンタイムパスワード出力機能において、前記ワンタイムパスワード暗号化機能により暗号化されたワンタイムパスワードを、前記情報通信装置から前記認証判断装置に出力させるためのプログラムであってもよい。
【0023】
また、上述したワンタイムパスワード認証プログラムは、前記認証判断装置のコンピュータに、前記情報受信機能により受信された乱数情報が暗号化されていた場合に、暗号化された乱数情報を予め規定された暗号化キーを用いて復号化する乱数情報復号化機能と、前記情報受信機能により受信されたワンタイムパスワードが暗号化されていた場合に、前記乱数情報を暗号化キーとして用いて前記ワンタイムパスワードの復号化を行うワンタイムパスワード復号化機能とを実現させるためのプログラムであってもよい。
【0024】
このように、本発明に係るワンタイムパスワード認証システム、ワンタイムパスワード認証方法、ワンタイムパスワード生成プログラムおよびワンタイムパスワード認証プログラムでは、情報通信装置とサーバ装置との間で送受信される乱数情報およびワンタイムパスワードの暗号化処理が行われるので、第三者がこれらの情報を受信しても、容易に中身を判断することができない。このため、情報通信装置とサーバ装置との認証処理に必要な情報が第三者に容易に知られてしまうことを防止することができ、高いセキュリティを確保することが可能となる。
【0025】
特に、ワンタイムパスワードは、乱数情報を暗号化キーとして用いて暗号化される。このため、ワンタイムパスワードの暗号化を行う度に、暗号化キーの内容が変更されることになり、安全の確保を図ることが容易となる。
【0026】
さらに、暗号化キーとして用いられる乱数情報は物理的現象を利用して生成される乱数情報を用いることが可能である。このように物理的現象を利用して生成された乱数情報を暗号化キーに用いることによって、プログラムなどに基づいて生成される乱数情報のように、乱数情報の生成アルゴリズムが解析されてしまうおそれや、プログラムの不具合により不適切な乱数情報が生成されてしまうおそれがない。このため、暗号化キー自体のセキュリティを高めることができ、容易にワンタイムパスワードの復号化が行われてしまうことを防止することができる。
【0027】
また、本発明に係るワンタイムパスワード認証システムでは、前記時刻検出手段および前記受信時刻検出手段が、時刻管理機能を備える内部時計手段と、時刻情報を含む標準電波を受信する電波受信手段と、前記電波受信手段により受信された標準電波に基づいて前記内部時計手段における時刻情報の補正を行う時刻補正手段とを有するものであってもよい。
【0028】
また、本発明に係るワンタイムパスワード生成装置では、前記時刻検出手段が、時刻管理機能を備える内部時計手段と、時刻情報を含む標準電波を受信する電波受信手段と、前記電波受信手段により受信された標準電波に基づいて前記内部時計手段における時刻情報の補正を行う時刻補正手段とを有するものであってもよい。
【0029】
このように、本発明に係るワンタイムパスワード認証システムおよびワンタイムパスワード生成装置では、内部時計手段と電波受信手段とが設けられており、電波受信手段において受信された標準電波に基づいて内部時計手段の時刻が修正されるため、情報通信装置およびサーバ装置の内部時計手段が、常に正確な時刻を示すことになる。このため、時刻情報を情報通信装置とサーバ装置との間で送受信しなくても、情報通信装置とサーバ装置との時刻を同期させることが可能なり、ワンタイムパスワードおよび認証用ワンタイムパスワードの生成に不可欠な時刻情報のズレを低減させることが可能となる。
【発明の効果】
【0030】
本発明に係るワンタイムパスワード認証システム、ワンタイムパスワード認証方法、ワンタイムパスワード生成プログラム、ワンタイムパスワード認証プログラムおよびワンタイムパスワード生成装置では、認証処理に用いられるワンタイムパスワードが、毎回異なる値となる乱数情報と、常に変化する時刻情報とに基づいて生成される。このため、従来のように一定の情報(一度決められると変わらない情報)と時刻情報とによりワンタイムパスワードを生成する場合よりも、ワンタイムパスワードの生成パターンが増大し、ワンタイムパスワードの解析がより難しくなり、安全性の向上を図ることが可能となる。
【0031】
また、本発明に係るワンタイムパスワード認証システム、ワンタイムパスワード認証方法、ワンタイムパスワード生成プログラム、ワンタイムパスワード認証プログラムおよびワンタイムパスワード生成装置では、ワンタイムパスワードの生成に必要とされる時刻情報がネットワークを介して送受信されることがないため、悪意のある第三者は、時刻情報を取得することが困難となり、容易にワンタイムパスワードを生成・解析することができなくなる。
【発明を実施するための最良の形態】
【0032】
以下、本発明に係るワンタイムパスワード認証システムについて、図面を用いて詳細に説明する。図1は、本発明に係るワンタイムパスワード認証システムを示した概略構成を示した図ある。
【0033】
ワンタイムパスワード認証システム1は、サーバ装置(認証判断装置)2と情報通信装置3とを有している。サーバ装置2および情報通信装置3は、ネットワーク4を介して接続されている。このネットワーク4は、例えばインターネットなどの広く公に公開されネットワークであってもよく、また、LAN(Local Area Network)のように限定されたエリア内において構築される閉ざされたネットワークであってもよい。なお、図1には、便宜上、サーバ装置2と情報通信装置3とが1台ずつしか示していないが、サーバ装置2および情報通信装置3の設置数は図1に示される1台ずつに限定されるものではなく、それぞれ2台以上で構成されるものであってもよい。
【0034】
ワンタイムパスワード認証システム1は、サーバ装置2において情報通信装置3のアクセスの認否を判断するための認証処理を行うシステムである。サーバ装置2では、情報通信装置3のID情報、乱数情報およびワンタイムパスワードを取得することによって、アクセスを希望する情報通信装置3が正当な権限を有しているか否かを判断し、正当な権限を有していると判断した場合には、情報通信装置3からのアクセスを許可する。一方で、正当な権限を有していないと判断した場合には、情報通信装置3からのアクセスを禁止(拒否)する。
【0035】
図2は、情報通信装置3の概略構成を示している。
【0036】
情報通信装置3は、通信部(乱数情報出力手段、ワンタイムパスワード出力手段)6とパスワード生成部7とにより概略構成されている。なお、本実施の形態に示す情報通信装置3では、通信部6とパスワード生成部7とが一体に形成される場合について説明を行うが、通信部6とパスワード生成部7とは必ずしも一体に形成されている必要はなく、別体に形成されているものであってもよい。
【0037】
通信部6は、ユーザのID情報、次述する物理乱数生成部12により生成された乱数情報、パスワード生成部7により生成されたワンタイムパスワードを、サーバ装置2に出力(送信)する機能を有している。通信部6は、例えば、ネットワークカード(NIC:Network Interface Card)等が該当し、情報通信装置3をネットワーク4に接続させる役割を有している。なお、図2では、便宜上、情報通信装置3に内蔵されるネットワークカードを通信部6として記載しているが、通信部6より延設されるネットワークケーブルに対してモデムやメディアコンバータ等が接続される場合には、通信部6にモデム等が含まれることになる。
【0038】
また、通信部6がパスワード生成部7と別体に形成されている場合には、通信部6としてネットワーク4に接続することが可能な装置、例えば、携帯電話端末(通信機能を有するPDA(Personal Digital Assistant)などを含む)などを用いることが可能となる。この場合には、パスワード生成部7と携帯電話端末とを専用のケーブルで接続することによって、ID情報、乱数情報、ワンタイムパスワードを、携帯電話端末を介してサーバ装置2に出力することが可能になる。
【0039】
パスワード生成部7は、制御部(時刻検出手段、時刻補正手段、ワンタイムパスワード生成手段、暗号化手段)10と、内部時計部(時刻検出手段、内部時計手段)11と、物理乱数生成部(乱数生成手段)12と、電波受信部(時刻検出手段、電波受信手段)13とを有している。また、パスワード生成部7の制御部10には、ディスプレイ15とキーボード16とマウス17とが接続されている。
【0040】
制御部10は、パスワード生成部7の制御部10における一連の処理、具体的には、乱数情報取得処理、時刻情報取得処理、内部時計修正処理、ワンタイムパスワード生成処理、暗号化処理などの処理を行う役割を有している。また、キーボード16およびマウス17により入力された情報を取得すると共に、必要な情報をディスプレイ15に出力する機能を有している。
【0041】
制御部10は、CPU(Central Processing Unit)20と、ROM(Read Only Memory)21と、RAM(Random Access Memory)22とを有している。
【0042】
CPU20は、上述した処理における様々な演算・制御処理を実行する役割を有している。ROM21は、上述した処理を行うためのプログラムや必要な情報、例えば、後述するワンタイムパスワードを生成するためのアルゴリズムプログラム、後述する乱数情報やワンタイムパスワードなどを暗号化するための暗号化プログラムおよび予め規定される暗号化キーなどが記録されている。
【0043】
CPU20(制御部10)は、ROM21に記録されるこれらのプログラムに従って乱数情報取得処理を行い、時刻情報取得処理を行い、内部時計修正処理を行い、ワンタイムパスワード生成処理を行い、暗号化処理を行う。このため、CPU20は、ワンタイムパスワードを生成するためのワンタイムパスワード生成手段としての機能を備えており、また、乱数情報、ID情報およびワンタイムパスワードの暗号化を行うための暗号化手段としての機能を備えている。
【0044】
なお、後述するサーバ装置2のROM39(図3参照)にも、ROM21に記録される予め規定された暗号化キーと同一の暗号化キーが記録されている。このため、情報通信装置3において予め規定された暗号化キーを用いて暗号化された情報は、同一の暗号化キーを用いることにより、サーバ装置2で復号化することが可能となっている。
【0045】
また、ROM21に記録されるアルゴリズムプログラムは、サーバ装置2において認証用ワンタイムパスワードを生成するためのアルゴリズムプログラムと共通するアルゴリズムによって構築されている。このため、後述するように、CPU20が、乱数情報および時刻情報に基づいて生成したワンタイムパスワードと一致するパスワードを、サーバ装置2のCPU38において生成することが可能となっている。
【0046】
RAM22は、CPU20において行われる処理のワークエリア等として用いられる記録手段である。
【0047】
なお、ディスプレイ15は、一般的な液晶ディスプレイやCRTディスプレイ(ブラウン管ディスプレイ)が該当し、処理の内容等をユーザに視認可能に表示させる機能を有している。また、キーボード16およびマウス17は、ユーザが情報通信装置3の処理に必要な操作を行うための入力手段であり、マウス17によってディスプレイ15に表示されるカーソル等を操作し、キーボード16によって文字等の入力を行うことが可能となっている。ユーザがサーバ装置2に対するアクセス認証を試みる場合、ユーザは、キーボード16を介してユーザのID情報を入力する必要が生ずる。
【0048】
内部時計部11は、水晶振動子により構成されており、この水晶振動子の振動に基づいて情報通信装置3における時間管理が行われる。ここで、内部時計部11における時刻精度はこの水晶振動子により維持されることとなるが、水晶振動子は温度変化などにより振動周期にズレが生じるおそれがある。このため、内部時計部11における時刻精度を確保するため、一定期間毎に電波受信部13を介して正確な時間を取得して内部時計部11の時刻補正を行っている。
【0049】
電波受信部13は、標準電波を受信する機能を有している。ここで標準電波とは、標準周波数報時電波とも呼ばれ、時刻と周波数の国家標準または国際標準として、政府や国際機関が放送している電波のことを意味している。CPU20では、送信局から送られてくる標準電波を電波受信部13で一定時間ごとに読み取り、読み取られた標準電波に基づいて内部時計部11の時刻の修正を行っている。このため、内部時計部11では、電波受信部13において電波が正常に受信できる環境であれば、ユーザが時刻合わせなどを手動で行うことなく、秒単位で正確な時刻を維持することができる。このように、制御部10のCPU20が、電波受信部13において受信された標準電波に基づいて内部時計部11の時刻を補正するので、制御部10は、時刻補正手段としての機能を有している。
【0050】
物理乱数生成部12は、プログラムなどに基づくアルゴリズムではなく、物理的現象に基づいて、乱数情報となる乱数値を生成させる機能を有している。
【0051】
今日では、ソフトウェアプログラムにより乱数を生成させるためのアルゴリズムを構築し、ソフトウェア処理により乱数値を生成させる方法が多く用いられている。しかしながら、ソフトウェア処理による乱数値の生成では、アルゴリズムの解読により乱数値の生成パターンを解読されたり、プログラム構築に伴う処理の不具合などが発生するおそれがある。本実施の形態に係るパスワード生成部7では、このようなソフトウェア処理による乱数値の生成ではなく、物理的な装置を用いて真性乱数値の生成を行う。
【0052】
物理乱数生成部12は、自然界の不規則性を利用することによって、自然界のランダムな現象に基づいた真性乱数値を生成させる装置である。自然界のランダムな現象に基づく乱数値の生成方法としては、例えば、半導体素子内部の熱電子のランダムな信号を用いる方法や、白色雑音(周波数に依存せず、全周波数成分を均等な強さで含んでいる雑音)を乱数源に用いる方法などが一般的である。このような自然界のランダムな現象に基づく物理的な乱数値の生成により、第三者に乱数値の生成パターンが解読されてしまう危険性を回避することができ、高いセキュリティを確保することが可能となる。このような物理乱数生成装置を物理乱数生成部12に用いることにより、アメリカ政府機関における暗号モジュールの標準規格であるFISP140−2相当の乱数品位を確保することが可能となる。
【0053】
次にサーバ装置2の構成について説明する。
【0054】
図3は、サーバ装置の概略構成を示している。サーバ装置2は、情報通信装置3より受信した乱数情報、ワンタイムパスワード、ID情報に基づいて、情報通信装置3によるアクセスを許可するか否かの認証を行う装置である。サーバ装置2は、サーバ制御部(受信時刻検出手段、時刻補正手段、認証用ワンタイムパスワード生成手段、認証判断手段、復号化手段)30と、データ記録部31と、情報通信部(情報受信手段)33と、内部時計部(受信時刻検出手段、内部時計手段)34と、電波受信部(受信時刻検出手段、電波受信手段)35とを有している。
【0055】
サーバ制御部30は、サーバ用のCPU38と、サーバ用のROM39と、サーバ用のRAM40とを有している。
【0056】
CPU38は、サーバ装置2における一連の処理、具体的には、乱数情報を受信した時刻を内部時計部34に基づいて検出取得する受信時刻検出処理や、受信した乱数情報に基づいて認証用ワンタイムパスワードを生成する認証用ワンタイムパスワード生成処理や、生成された認証用ワンタイムパスワードと情報通信装置3より受信したワンタイムパスワードとに基づいてアクセスの認証判断を行う認証判断処理や、暗号化されたワンタイムパスワードなどの復号化処理などを行う役割を有している。このため、CPU38(サーバ制御部30)は、本発明に係る受信時刻検出手段、認証用ワンタイムパスワード生成手段、認証判断手段、復号化手段としての機能を有している。
【0057】
ROM39は、上述した一連の処理を行うためのプログラムや必要な情報、例えば、認証用ワンタイムパスワードを生成するためのアルゴリズムプログラムや、暗号化された乱数情報やワンタイムパスワードなどを復号化するための復号化プログラムおよび予め規定される暗号化キー(復号化に用いられるキー情報)が記録されている。
【0058】
なお、ROM39に記録される予め規定された暗号化キーは、情報通信装置3のROM21に記録される暗号化キーと共通する暗号化キーである。また、認証用ワンタイムパスワードを生成するためのアルゴリズムプログラムのアルゴリズムは、情報通信装置3のROM21に記録されるプログラムのアルゴリズムに共通するアルゴリズムによって構築されている。
【0059】
RAM40は、CPU38において行われる処理のワークエリア等として用いられる記録手段である。
【0060】
データ記録部31は、認証処理に必要な様々な情報が記録されている。具体的にはアクセスの認証判断に用いるID情報が記録されている。サーバ装置2では、サーバ制御部30のCPU38が、情報通信装置3より受信したID情報に基づいて、データ記録部31に記録されたID情報と照合を行い、アクセス許可の判断対象となるID情報であるか否かの判断を行う。受信したID情報がデータ記録部31に記録されるID情報と一致しない場合には、ワンタイムパスワードに基づく認証を行うことなく、情報通信装置3のアクセスを拒絶(拒否)する旨の決定が行われる。
【0061】
情報通信部33は、情報通信装置3によって出力された乱数情報、ID情報、ワンタイムパスワードを受信する役割を有しており、また、後述するメッセージを情報通信装置3に対して出力する役割を有している。情報通信部33は、情報通信装置3の通信部6と同様に、例えば、ネットワークカード(NIC:Network Interface Card)等が該当し、サーバ装置2をネットワーク4に接続させる役割を有している。
【0062】
なお、図3では、情報通信装置3の通信部6と同様に、便宜的にサーバ装置2に内蔵されるネットワークカードを情報通信部33として記載しているが、情報通信部33より延設されるネットワークケーブルに対してモデムやメディアコンバータ等が接続される場合には、情報通信部33にモデム等が含まれることになる。
【0063】
内部時計部34と電波受信部35とは、上述した情報通信装置3に設けられる内部時計部11と電波受信部13と同一の機能を備えている。内部時計部34は、情報通信装置3の内部時計部11と同様に水晶振動子によって構成されており、この水晶振動子の振動に基づいてサーバ装置2における時間管理が行われる。電波受信部35は、情報通信装置3の電波受信部13と同様に、標準電波を受信する機能を有しており、サーバ制御部30よって、標準電波が一定時間ごとに読み取られて内部時計部34の時刻の修正が行われる。
【0064】
次に、図4および図5に示すフローチャートに基づいて、情報通信装置3とサーバ装置2との認証判断処理を説明する。
【0065】
まず。情報通信装置3のCPU20は、キーボード16を介して入力されたID情報を取得すると共に、物理乱数生成部12より乱数情報(乱数値)を取得する(ステップS.1)。そして、取得した乱数情報を、ROM21に記録される予め規定された暗号化キーを用いて暗号化する(ステップS.2)。その後、情報通信装置3のCPU20は、内部時計部11より時刻情報を取得(ステップS.3)し、時刻情報を取得した後直ぐに、暗号化された乱数情報を、通信部6を介してサーバ装置2へと出力する(ステップS.4)。
【0066】
CPU20は、ステップS.3において時刻情報を取得してから、ステップS.4において暗号化された乱数情報をサーバ装置2へ出力するまでの処理を、短時間に実行する。この処理を短時間で実行することにより、取得した時刻情報の時刻とほぼ同じ時間、具体的には、時分まで同じ時間内に、暗号化された乱数情報をサーバ装置2で受信することが可能となる。CPU20では、サーバ装置2における乱数情報の受信時刻と、ステップS.3の時刻情報取得処理により取得される時刻との対応を考慮して、時分まで(秒は含まない)の時刻を時刻情報として取得する。
【0067】
なお、ステップS.3において取得される時刻情報は、上述したように内部時計部11において管理される時刻情報であるが、既に説明したように、電波受信部13において一定時間毎に標準電波が受信されて内部時計部11の時刻修正が行われているので、CPU20では、正確な時刻情報を取得することができる。
【0068】
そして、情報通信装置3のCPU20は、取得した時刻情報とステップS.1において取得した乱数情報とに基づいてワンタイムパスワードを生成する(ステップS.5)。そして、CPU20は、生成したワンタイムパスワードとID情報とを、取得した乱数情報を暗号化キーに用いて暗号化し(ステップS.6)、暗号化されたワンタイムパスワードおよびID情報を、通信部6を介してサーバ装置2へと出力する(ステップS.7)。
【0069】
ステップS.5において、CPU20は、ROM21に記録されるアルゴリズムプログラムのアルゴリズムに基づいて、時刻情報と乱数情報とを用いてワンタイムパスワードを生成する。このアルゴリズムは、上述したようにサーバ装置2のROM39に記録されるアルゴリズムプログラムのアルゴリズムと同一であるため、サーバ装置2では、同一の時刻情報と同一の乱数情報とに基づいて同一のワンタイムパスワードを生成することが可能となっている。
【0070】
サーバ装置2のCPU38は、情報通信部33を介して情報通信装置3より暗号化された乱数情報を受信し(ステップS.21)、乱数情報の受信時刻(時刻情報)を、内部時計部34より取得する(ステップS.22)。
【0071】
なお、ステップS.22において取得される時刻情報も、上述したように内部時計部34において管理される時刻情報であるが、既に説明したように、電波受信部35において一定時間毎に標準電波が受信されて内部時計部34の時刻修正が行われているので、CPU38では、正確な時刻情報を取得することができる。
【0072】
次に、サーバ装置2のCPU38は、受信した乱数情報を、ROM39に記録される暗号化キーを用いて暗号化された乱数情報を復号化する(ステップS.23)。次に、サーバ装置2のCPU38は、情報通信部33を介して情報通信装置3より暗号化されたワンタイムパスワードおよびID情報を受信し(ステップS.24)、ステップS.23において復号化した乱数情報を用いて、受信したワンタイムパスワードおよびID情報の復号化を行う(ステップS.25)。
【0073】
そして、サーバ装置2のCPU38は、復号化したID情報を、データ記録部31に記録されるアクセスの許可対象となるID情報群と比較し、情報通信装置3のID情報がアクセス許可の対象となるID情報であるか否かを判断する(ステップS.26)。
【0074】
アクセス許可の対象とならないID情報である場合(ステップS.26においてNoの場合)、CPU38は、情報通信部33を介して、情報通信装置3に対して認証が失敗した旨のメッセージを送信し(ステップS.29)、情報通信装置3からのアクセスを禁止(拒絶)する設定を行い(ステップS.30)、処理を終了する。
【0075】
一方で、アクセス許可の対象となるID情報である場合(ステップS.26においてYesの場合)、CPU38は、ステップS.22において取得された時刻情報と、ステップS.23において復号化した乱数情報とを用い、ROM39に記録されるアルゴリズムプログラムのアルゴリズムに基づいて、認証用のワンタイムパスワードを生成する(ステップS.27)。
【0076】
このとき、CPU38は、ステップS.3において情報通信装置3のCPU20により取得された時刻情報と、ステップS.22においてサーバ装置2のCPU38により取得された時刻情報との時間差を考慮して、ステップS.22において取得された時刻情報よりも1〜2分程度早い時間となる複数の時刻情報を用いて、複数の認証用ワンタイムパスワードを生成する。このように1〜2分程度の時間差を考慮した複数の認証用ワンタイムパスワードを生成することにより、ワンタイムパスワードの送信に時間を要した場合などを考慮することが可能となる。
【0077】
次に、サーバ装置2のCPU38は、情報通信装置3より取得し復号化処理したワンタイムパスワードと、CPU38において生成した認証用ワンタイムパスワードとを比較し、同一のパスワードであるか否かを判断する(ステップS.28)。
【0078】
生成した複数の認証用ワンタイムパスワードと取得したワンタイムパスワードとが一致しない場合(ステップS.28においてNoの場合)、CPU38は、情報通信部33を介して、情報通信装置3に対して認証が失敗した旨のメッセージを送信し(ステップS.29)、情報通信装置3からのアクセスを禁止(拒絶)する設定を行い(ステップS.30)、処理を終了する。
【0079】
一方で、生成した複数の認証用ワンタイムパスワードと取得したワンタイムパスワードとが一致する場合(ステップS.28においてYesの場合)、CPU38は、情報通信部33を介して、情報通信装置3に対して認証が成功した旨のメッセージを送信し(ステップS.31)、情報通信装置3からのアクセスを認める(許容する)設定を行い(ステップS.32)、処理を終了する。
【0080】
情報通信装置3のCPU20は、通信部6を介して、サーバ装置2よりメッセージを受信し(ステップS.8)、受信したメッセージをディスプレイ15に表示して(ステップS.9)処理を終了する。
【0081】
以上説明したように、本実施の形態に係るワンタイムパスワード認証システム1では、ネットワーク4を介して、情報通信装置3とサーバ装置2との間で送受信される乱数情報、ワンタイムパスワード、ID情報の暗号化処理が行われているので、第三者がこれらの情報を受信しても、容易に中身を判断することができない。このため、情報通信装置3とサーバ装置2との認証処理に必要な情報が第三者に容易に知られてしまうことを防止することができ、高いセキュリティを確保することが可能となる。
【0082】
特に、ワンタイムパスワードとID情報とは、乱数情報を暗号化キーとして用いて暗号化されている。このため、ワンタイムパスワードの暗号化を行う度に、暗号化キーの内容が変更されることになり、安全の確保を図ることが容易となる。
【0083】
さらに、暗号化キーとして用いられる乱数情報は物理乱数生成部12において物理的現象を利用して生成される乱数情報であるため、プログラムなどに基づいて生成される乱数情報のように、乱数情報の生成アルゴリズムが解析されてしまうおそれや、プログラムの不具合により不適切な乱数情報が生成されてしまうおそれがない。このため、暗号化キー自体のセキュリティを高めることができ、容易にワンタイムパスワードおよびID情報の復号化が行われてしまうことを防止することができる。
【0084】
一方で、情報通信装置3の認証処理に用いられるワンタイムパスワードは、毎回異なる値となる乱数情報と、常に変化する時刻情報とに基づいて生成される。このため、従来のように一定の情報(例えば、ID情報)と時刻情報とによりワンタイムパスワードを生成する場合よりも、ワンタイムパスワードの生成パターンが増大し、ワンタイムパスワードの解析がより難しくなり、安全性の向上を図ることが可能となる。
【0085】
また、本実施の形態に係るワンタイムパスワード認証システム1では、ワンタイムパスワードの生成に必要とされる時刻情報がネットワーク4を介して送受信されることがない。このため、悪意のある第三者は、時刻情報を取得することが困難となり、容易にワンタイムパスワードを生成・解析することができなくなる。
【0086】
さらに、情報通信装置3およびサーバ装置2には、内部時計部11,34と電波受信部13,35とが設けられており、電波受信部13,35において受信された標準電波に基づいて内部時計部11,34の時刻が修正されるため、情報通信装置3およびサーバ装置2の内部時計部11,34は、常に正確な時刻を示すことになる。このため、時刻情報を情報通信装置3とサーバ装置2との間で送受信しなくても、情報通信装置3とサーバ装置2との時刻を同期させることが可能なり、ワンタイムパスワードおよび認証用ワンタイムパスワードの生成に不可欠な時刻情報のズレを低減させることが可能となる。
【0087】
また、本実施の形態に係るワンタイムパスワード認証システム1では、ワンタイムパスワードの生成に、物理乱数生成部12で生成された乱数情報が用いられる。この乱数情報は、上述したように、物理的現象を利用して生成される乱数情報であるため、プログラムなどに基づいて生成される乱数情報のように、乱数情報の生成アルゴリズムが解析されてしまうおそれや、プログラムの不具合により不適切な乱数情報が生成されてしまうおそれがない。また、物理的現象を利用して生成される乱数であるため、乱数生成のアルゴリズムを解析することが困難である。このような全くランダムに生成される乱数情報を用いてワンタイムパスワードが生成されるため、ワンタイムパスワードの偽造等を行うことが困難となり、結果として、ワンタイムパスワード認証システムの認証精度を向上させることが可能となる。
【0088】
以上、本発明に係るワンタイムパスワード認証システムを、図面を用いて詳細に説明したが、本発明に係るワンタイムパスワード認証システムは上述した本実施の形態に記載した内容に限定されるものではない。いわゆる当業者であれば、特許請求の範囲に記載された範疇内において、各種の変更例または修正例に想到し得ることは明らかであり、それらについても当然に本発明の技術的範囲に属するものと了解される。
【図面の簡単な説明】
【0089】
【図1】本実施の形態に係るワンタイムパスワード認証システムを示した概略構成図である。
【図2】本実施の形態に係る情報通信装置の概略構成を示したブロック図である。
【図3】本実施の形態に係るサーバ装置の概略構成を示したブロック図である。
【図4】本実施の形態に係るワンタイムパスワード認証システムの認証処理の前半を示したフローチャートである。
【図5】本実施の形態に係るワンタイムパスワード認証システムの認証処理の後半を示したフローチャートである。
【符号の説明】
【0090】
1 …ワンタイムパスワード認証システム
2 …サーバ装置(認証判断装置)
3 …情報通信装置
4 …ネットワーク
6 …(情報通信装置の)通信部(乱数情報出力手段、ワンタイムパスワード出力手段)
7 …(情報通信装置の)パスワード生成部
10 …(パスワード生成部の)制御部(時刻検出手段、時刻補正手段、ワンタイムパスワード生成手段、暗号化手段)
11 …(パスワード生成部の)内部時計部(時刻検出手段、内部時計手段)
12 …(パスワード生成部の)物理乱数生成部(乱数生成手段)
13 …(パスワード生成部の)電波受信部(時刻検出手段、電波受信手段)
15 …ディスプレイ
16 …キーボード
17 …マウス
20 …(制御部の)CPU
21 …(制御部の)ROM
22 …(制御部の)RAM
30 …(サーバ装置の)サーバ制御部(受信時刻検出手段、時刻補正手段、認証用ワンタイムパスワード生成手段、認証判断手段、復号化手段)
31 …(サーバ装置の)データ記録部
33 …(サーバ装置の)情報通信部(情報受信手段)
34 …(サーバ装置の)内部時計部(受信時刻検出手段、内部時計手段)
35 …(サーバ装置の)電波受信部(受信時刻検出手段、電波受信手段)
38 …(サーバ装置の)CPU
39 …(サーバ装置の)ROM
40 …(サーバ装置の)RAM
【特許請求の範囲】
【請求項1】
ワンタイムパスワードを出力する情報通信装置と、該情報通信装置より前記ワンタイムパスワードを受信して前記情報通信装置の認証判断を行う認証判断装置とを備えるワンタイムパスワード認証システムであって、
前記情報通信装置は、
乱数情報を生成する乱数生成手段と、
時刻検出を行うための時刻検出手段と、
前記乱数生成手段により生成された乱数情報と、前記時刻検出手段により検出された時刻情報とに基づいて前記ワンタイムパスワードを生成するワンタイムパスワード生成手段と、
前記時刻検出手段による前記時刻情報の検出時に、前記乱数生成手段により生成された乱数情報を前記認証判断装置に出力する乱数情報出力手段と、
前記ワンタイムパスワード生成手段により生成されたワンタイムパスワードを前記認証判断装置に出力するワンタイムパスワード出力手段と
を有し、
前記認証判断装置は、
前記乱数情報および前記ワンタイムパスワードを受信する情報受信手段と、
前記情報受信手段により前記乱数情報を受信した時の時刻検出を行う受信時刻検出手段と、
該受信時刻検出手段により検出された時刻情報と前記情報受信手段により受信された乱数情報とに基づいて認証用ワンタイムパスワードを生成する認証用ワンタイムパスワード生成手段と、
該認証用ワンタイムパスワード生成手段により生成された認証用ワンタイムパスワードと、前記情報受信手段により受信されたワンタイムパスワードとを比較して前記情報通信装置に対する認証判断を行う認証判断手段と
を有することを特徴とするワンタイムパスワード認証システム。
【請求項2】
前記乱数生成手段は、物理的現象を利用して乱数情報を生成する物理乱数生成装置により構成されることを特徴とする請求項1に記載のワンタイムパスワード認証システム。
【請求項3】
前記情報通信装置は、前記乱数情報および前記ワンタイムパスワードの暗号化処理を行う暗号化手段を有し、
前記認証判断装置は、前記暗号化手段により暗号化された前記乱数情報および前記ワンタイムパスワードの復号化処理を行う復号化手段を有し、
前記乱数情報出力手段は、予め規定された暗号化キーを用いて前記暗号化手段により暗号化された乱数情報を前記認証判断装置に出力し、
前記ワンタイムパスワード出力手段は、前記乱数情報を暗号化キーとして用いて前記暗号化手段により暗号化されたワンタイムパスワードを前記認証判断装置に出力し、
前記復号化手段では、前記情報受信手段により受信された前記乱数情報を予め規定された暗号化キーを用いて復号化すると共に、前記情報受信手段により受信された前記ワンタイムパスワードを、前記乱数情報を暗号化キーとして用いて復号化すること
を特徴とする請求項1または請求項2に記載のワンタイムパスワード認証システム。
【請求項4】
前記時刻検出手段および前記受信時刻検出手段は、
時刻管理機能を備える内部時計手段と、
時刻情報を含む標準電波を受信する電波受信手段と、
前記電波受信手段により受信された標準電波に基づいて前記内部時計手段における時刻情報の補正を行う時刻補正手段と
を有することを特徴とする請求項1乃至請求項3のいずれか1項に記載のワンタイムパスワード認証システム。
【請求項5】
情報通信装置より出力されたワンタイムパスワードを、認証判断装置において受信して認証判断処理を行うためのワンタイムパスワード認証方法であって、
前記情報通信装置の乱数生成手段が乱数情報を生成する乱数生成ステップと、
前記情報通信装置の時刻検出手段が時刻検出を行う時刻検出ステップと、
前記乱数生成ステップにおいて生成された乱数情報と、前記時刻検出ステップにおいて検出された時刻情報とに基づいて、前記情報通信装置のワンタイムパスワード生成手段が前記ワンタイムパスワードを生成するワンタイムパスワード生成ステップと、
前記時刻検出ステップにおいて前記時刻情報を検出した時に、前記乱数生成ステップにおいて生成された乱数情報を、前記情報通信装置の乱数情報出力手段が、前記情報通信装置から前記認証判断装置に出力する乱数情報出力ステップと、
前記ワンタイムパスワード生成ステップにおいて生成されたワンタイムパスワードを、前記情報通信装置のワンタイムパスワード出力手段が、前記情報通信装置から前記認証判断装置に出力するワンタイムパスワード出力ステップと、
前記認証判断装置の情報受信手段が、前記乱数情報および前記ワンタイムパスワードを受信する情報受信ステップと、
前記情報受信ステップにおいて前記乱数情報を受信した時の時刻検出を、前記認証判断装置の受信時刻検出手段が行う受信時刻検出ステップと、
該受信時刻検出ステップにより検出された時刻情報と前記情報受信ステップにより受信された乱数情報とに基づいて、前記認証判断装置の認証用ワンタイムパスワード生成手段が認証用ワンタイムパスワードを生成する認証用ワンタイムパスワード生成ステップと、
該認証用ワンタイムパスワード生成ステップにおいて生成された認証用ワンタイムパスワードと、前記情報受信ステップにおいて受信されたワンタイムパスワードとを比較して、前記認証判断装置の認証判断手段が、前記情報通信装置に対する認証判断を行う認証判断ステップと
を有することを特徴とするワンタイムパスワード認証方法。
【請求項6】
前記乱数生成ステップにおいて生成される乱数情報は、物理的現象を利用して乱数情報を生成する物理乱数生成装置を乱数生成手段として用いることにより生成されること
を特徴とする請求項5に記載のワンタイムパスワード認証方法。
【請求項7】
前記情報通信装置の暗号化手段が、予め規定された暗号化キーを用いて、前記乱数情報の暗号化を行う乱数情報暗号化ステップと、
前記暗号化手段が、前記乱数情報を暗号化キーとして用いて、前記ワンタイムパスワードの暗号化を行うワンタイムパスワード暗号化ステップと、
前記認証判断装置の復号化手段が、予め規定された暗号化キーを用いて、暗号化された前記乱数情報の復号化を行う乱数情報復号化ステップと、
前記復号化手段が前記乱数情報を暗号化キーとして用いて、前記ワンタイムパスワードの復号化を行うワンタイムパスワード復号化ステップと
を有し、
前記乱数情報出力ステップでは、前記乱数情報暗号化ステップにおいて暗号化された乱数情報を、前記情報通信装置の乱数情報出力手段が、前記情報通信装置から前記認証判断装置に出力し、
前記ワンタイムパスワード出力ステップでは、前記ワンタイムパスワード暗号化ステップにおいて暗号化されたワンタイムパスワードを、前記情報通信装置のワンタイムパスワード出力手段が、前記情報通信装置から前記認証判断装置に出力し、
前記乱数情報復号化ステップでは、前記復号化手段が、前記情報受信ステップにおいて受信された乱数情報の復号化処理を行い、
前記ワンタイムパスワード復号化ステップでは、前記復号化手段が、前記情報受信ステップにおいて受信されたワンタイムパスワードの復号化処理を行うこと
を特徴とする請求項5または請求項6に記載のワンタイムパスワード認証方法。
【請求項8】
認証判断処理を行うためのワンタイムパスワードを情報通信装置で生成して認証判断装置に出力するためのワンタイムパスワード生成プログラムであって、
前記情報通信装置のコンピュータに、
時刻検出を行う時刻検出機能と、
前記乱数生成手段により生成された乱数情報と、前記時刻検出機能により検出された時刻情報とに基づいて、前記ワンタイムパスワードを生成するワンタイムパスワード生成機能と、
前記時刻検出機能により前記時刻情報を検出した時に、前記乱数生成手段により生成された乱数情報を、前記情報通信装置から前記認証判断装置に出力する乱数情報出力機能と、
前記ワンタイムパスワード生成機能により生成されたワンタイムパスワードを、前記情報通信装置から前記認証判断装置に出力するワンタイムパスワード出力機能と
を実現させるためのワンタイムパスワード生成プログラム。
【請求項9】
前記乱数生成手段により生成される乱数情報は、物理的現象を利用して生成される乱数情報であることを特徴とする請求項8に記載のワンタイムパスワード生成プログラム。
【請求項10】
前記情報通信装置のコンピュータに、
前記乱数情報を予め規定された暗号化キーを用いて暗号化する乱数情報暗号化機能と、
前記乱数情報を暗号化キーとして用いて前記ワンタイムパスワードの暗号化を行うワンタイムパスワード暗号化機能とを実現させ、
前記乱数情報出力機能において、前記乱数情報暗号化機能により暗号化された乱数情報を前記情報通信装置から前記認証判断装置に出力させ、
前記ワンタイムパスワード出力機能において、前記ワンタイムパスワード暗号化機能により暗号化されたワンタイムパスワードを、前記情報通信装置から前記認証判断装置に出力させる
ための請求項8または請求項9に記載のワンタイムパスワード生成プログラム。
【請求項11】
情報通信装置より出力されたワンタイムパスワードを認証判断装置において受信して認証判断するためのワンタイムパスワード認証プログラムであって、
前記認証判断装置のコンピュータに、
前記情報通信装置より出力された乱数情報およびワンタイムパスワードを受信する情報受信機能と、
該情報受信機能により前記乱数情報を受信した時の時刻検出を行う受信時刻検出機能と、
該受信時刻検出機能により検出された時刻情報と前記情報受信機能により受信された乱数情報とに基づいて、認証用ワンタイムパスワードを生成する認証用ワンタイムパスワード生成機能と、
該認証用ワンタイムパスワード生成機能により生成された認証用ワンタイムパスワードと、前記情報受信機能により受信されたワンタイムパスワードとを比較して、前記情報通信装置に対する認証判断を行う認証判断機能と
を実現させるためのワンタイムパスワード認証プログラム。
【請求項12】
前記認証判断装置のコンピュータに、
前記情報受信機能により受信された乱数情報が暗号化されていた場合に、暗号化された乱数情報を予め規定された暗号化キーを用いて復号化する乱数情報復号化機能と、
前記情報受信機能により受信されたワンタイムパスワードが暗号化されていた場合に、前記乱数情報を暗号化キーとして用いて前記ワンタイムパスワードの復号化を行うワンタイムパスワード復号化機能と
を実現させることを特徴とする請求項11に記載のワンタイムパスワード認証プログラム。
【請求項13】
認証判断装置において認証判断を行うためのワンタイムパスワードを生成するワンタイムパスワード生成装置であって、
乱数情報を生成する乱数生成手段と、
時刻検出を行うための時刻検出手段と、
前記乱数生成手段により生成された乱数情報と、前記時刻検出手段により検出された時刻情報とに基づいて前記ワンタイムパスワードを生成するワンタイムパスワード生成手段と
を有することを特徴とするワンタイムパスワード生成装置。
【請求項14】
前記乱数生成手段は、物理的現象を利用して真性乱数情報を生成する物理乱数生成装置により構成されることを特徴とする請求項13に記載のワンタイムパスワード生成装置。
【請求項15】
前記時刻検出手段は、
時刻管理機能を備える内部時計手段と、
時刻情報を含む標準電波を受信する電波受信手段と、
前記電波受信手段により受信された標準電波に基づいて前記内部時計手段における時刻情報の補正を行う時刻補正手段と
を有することを特徴とする請求項13または請求項14に記載のワンタイムパスワード生成装置。
【請求項1】
ワンタイムパスワードを出力する情報通信装置と、該情報通信装置より前記ワンタイムパスワードを受信して前記情報通信装置の認証判断を行う認証判断装置とを備えるワンタイムパスワード認証システムであって、
前記情報通信装置は、
乱数情報を生成する乱数生成手段と、
時刻検出を行うための時刻検出手段と、
前記乱数生成手段により生成された乱数情報と、前記時刻検出手段により検出された時刻情報とに基づいて前記ワンタイムパスワードを生成するワンタイムパスワード生成手段と、
前記時刻検出手段による前記時刻情報の検出時に、前記乱数生成手段により生成された乱数情報を前記認証判断装置に出力する乱数情報出力手段と、
前記ワンタイムパスワード生成手段により生成されたワンタイムパスワードを前記認証判断装置に出力するワンタイムパスワード出力手段と
を有し、
前記認証判断装置は、
前記乱数情報および前記ワンタイムパスワードを受信する情報受信手段と、
前記情報受信手段により前記乱数情報を受信した時の時刻検出を行う受信時刻検出手段と、
該受信時刻検出手段により検出された時刻情報と前記情報受信手段により受信された乱数情報とに基づいて認証用ワンタイムパスワードを生成する認証用ワンタイムパスワード生成手段と、
該認証用ワンタイムパスワード生成手段により生成された認証用ワンタイムパスワードと、前記情報受信手段により受信されたワンタイムパスワードとを比較して前記情報通信装置に対する認証判断を行う認証判断手段と
を有することを特徴とするワンタイムパスワード認証システム。
【請求項2】
前記乱数生成手段は、物理的現象を利用して乱数情報を生成する物理乱数生成装置により構成されることを特徴とする請求項1に記載のワンタイムパスワード認証システム。
【請求項3】
前記情報通信装置は、前記乱数情報および前記ワンタイムパスワードの暗号化処理を行う暗号化手段を有し、
前記認証判断装置は、前記暗号化手段により暗号化された前記乱数情報および前記ワンタイムパスワードの復号化処理を行う復号化手段を有し、
前記乱数情報出力手段は、予め規定された暗号化キーを用いて前記暗号化手段により暗号化された乱数情報を前記認証判断装置に出力し、
前記ワンタイムパスワード出力手段は、前記乱数情報を暗号化キーとして用いて前記暗号化手段により暗号化されたワンタイムパスワードを前記認証判断装置に出力し、
前記復号化手段では、前記情報受信手段により受信された前記乱数情報を予め規定された暗号化キーを用いて復号化すると共に、前記情報受信手段により受信された前記ワンタイムパスワードを、前記乱数情報を暗号化キーとして用いて復号化すること
を特徴とする請求項1または請求項2に記載のワンタイムパスワード認証システム。
【請求項4】
前記時刻検出手段および前記受信時刻検出手段は、
時刻管理機能を備える内部時計手段と、
時刻情報を含む標準電波を受信する電波受信手段と、
前記電波受信手段により受信された標準電波に基づいて前記内部時計手段における時刻情報の補正を行う時刻補正手段と
を有することを特徴とする請求項1乃至請求項3のいずれか1項に記載のワンタイムパスワード認証システム。
【請求項5】
情報通信装置より出力されたワンタイムパスワードを、認証判断装置において受信して認証判断処理を行うためのワンタイムパスワード認証方法であって、
前記情報通信装置の乱数生成手段が乱数情報を生成する乱数生成ステップと、
前記情報通信装置の時刻検出手段が時刻検出を行う時刻検出ステップと、
前記乱数生成ステップにおいて生成された乱数情報と、前記時刻検出ステップにおいて検出された時刻情報とに基づいて、前記情報通信装置のワンタイムパスワード生成手段が前記ワンタイムパスワードを生成するワンタイムパスワード生成ステップと、
前記時刻検出ステップにおいて前記時刻情報を検出した時に、前記乱数生成ステップにおいて生成された乱数情報を、前記情報通信装置の乱数情報出力手段が、前記情報通信装置から前記認証判断装置に出力する乱数情報出力ステップと、
前記ワンタイムパスワード生成ステップにおいて生成されたワンタイムパスワードを、前記情報通信装置のワンタイムパスワード出力手段が、前記情報通信装置から前記認証判断装置に出力するワンタイムパスワード出力ステップと、
前記認証判断装置の情報受信手段が、前記乱数情報および前記ワンタイムパスワードを受信する情報受信ステップと、
前記情報受信ステップにおいて前記乱数情報を受信した時の時刻検出を、前記認証判断装置の受信時刻検出手段が行う受信時刻検出ステップと、
該受信時刻検出ステップにより検出された時刻情報と前記情報受信ステップにより受信された乱数情報とに基づいて、前記認証判断装置の認証用ワンタイムパスワード生成手段が認証用ワンタイムパスワードを生成する認証用ワンタイムパスワード生成ステップと、
該認証用ワンタイムパスワード生成ステップにおいて生成された認証用ワンタイムパスワードと、前記情報受信ステップにおいて受信されたワンタイムパスワードとを比較して、前記認証判断装置の認証判断手段が、前記情報通信装置に対する認証判断を行う認証判断ステップと
を有することを特徴とするワンタイムパスワード認証方法。
【請求項6】
前記乱数生成ステップにおいて生成される乱数情報は、物理的現象を利用して乱数情報を生成する物理乱数生成装置を乱数生成手段として用いることにより生成されること
を特徴とする請求項5に記載のワンタイムパスワード認証方法。
【請求項7】
前記情報通信装置の暗号化手段が、予め規定された暗号化キーを用いて、前記乱数情報の暗号化を行う乱数情報暗号化ステップと、
前記暗号化手段が、前記乱数情報を暗号化キーとして用いて、前記ワンタイムパスワードの暗号化を行うワンタイムパスワード暗号化ステップと、
前記認証判断装置の復号化手段が、予め規定された暗号化キーを用いて、暗号化された前記乱数情報の復号化を行う乱数情報復号化ステップと、
前記復号化手段が前記乱数情報を暗号化キーとして用いて、前記ワンタイムパスワードの復号化を行うワンタイムパスワード復号化ステップと
を有し、
前記乱数情報出力ステップでは、前記乱数情報暗号化ステップにおいて暗号化された乱数情報を、前記情報通信装置の乱数情報出力手段が、前記情報通信装置から前記認証判断装置に出力し、
前記ワンタイムパスワード出力ステップでは、前記ワンタイムパスワード暗号化ステップにおいて暗号化されたワンタイムパスワードを、前記情報通信装置のワンタイムパスワード出力手段が、前記情報通信装置から前記認証判断装置に出力し、
前記乱数情報復号化ステップでは、前記復号化手段が、前記情報受信ステップにおいて受信された乱数情報の復号化処理を行い、
前記ワンタイムパスワード復号化ステップでは、前記復号化手段が、前記情報受信ステップにおいて受信されたワンタイムパスワードの復号化処理を行うこと
を特徴とする請求項5または請求項6に記載のワンタイムパスワード認証方法。
【請求項8】
認証判断処理を行うためのワンタイムパスワードを情報通信装置で生成して認証判断装置に出力するためのワンタイムパスワード生成プログラムであって、
前記情報通信装置のコンピュータに、
時刻検出を行う時刻検出機能と、
前記乱数生成手段により生成された乱数情報と、前記時刻検出機能により検出された時刻情報とに基づいて、前記ワンタイムパスワードを生成するワンタイムパスワード生成機能と、
前記時刻検出機能により前記時刻情報を検出した時に、前記乱数生成手段により生成された乱数情報を、前記情報通信装置から前記認証判断装置に出力する乱数情報出力機能と、
前記ワンタイムパスワード生成機能により生成されたワンタイムパスワードを、前記情報通信装置から前記認証判断装置に出力するワンタイムパスワード出力機能と
を実現させるためのワンタイムパスワード生成プログラム。
【請求項9】
前記乱数生成手段により生成される乱数情報は、物理的現象を利用して生成される乱数情報であることを特徴とする請求項8に記載のワンタイムパスワード生成プログラム。
【請求項10】
前記情報通信装置のコンピュータに、
前記乱数情報を予め規定された暗号化キーを用いて暗号化する乱数情報暗号化機能と、
前記乱数情報を暗号化キーとして用いて前記ワンタイムパスワードの暗号化を行うワンタイムパスワード暗号化機能とを実現させ、
前記乱数情報出力機能において、前記乱数情報暗号化機能により暗号化された乱数情報を前記情報通信装置から前記認証判断装置に出力させ、
前記ワンタイムパスワード出力機能において、前記ワンタイムパスワード暗号化機能により暗号化されたワンタイムパスワードを、前記情報通信装置から前記認証判断装置に出力させる
ための請求項8または請求項9に記載のワンタイムパスワード生成プログラム。
【請求項11】
情報通信装置より出力されたワンタイムパスワードを認証判断装置において受信して認証判断するためのワンタイムパスワード認証プログラムであって、
前記認証判断装置のコンピュータに、
前記情報通信装置より出力された乱数情報およびワンタイムパスワードを受信する情報受信機能と、
該情報受信機能により前記乱数情報を受信した時の時刻検出を行う受信時刻検出機能と、
該受信時刻検出機能により検出された時刻情報と前記情報受信機能により受信された乱数情報とに基づいて、認証用ワンタイムパスワードを生成する認証用ワンタイムパスワード生成機能と、
該認証用ワンタイムパスワード生成機能により生成された認証用ワンタイムパスワードと、前記情報受信機能により受信されたワンタイムパスワードとを比較して、前記情報通信装置に対する認証判断を行う認証判断機能と
を実現させるためのワンタイムパスワード認証プログラム。
【請求項12】
前記認証判断装置のコンピュータに、
前記情報受信機能により受信された乱数情報が暗号化されていた場合に、暗号化された乱数情報を予め規定された暗号化キーを用いて復号化する乱数情報復号化機能と、
前記情報受信機能により受信されたワンタイムパスワードが暗号化されていた場合に、前記乱数情報を暗号化キーとして用いて前記ワンタイムパスワードの復号化を行うワンタイムパスワード復号化機能と
を実現させることを特徴とする請求項11に記載のワンタイムパスワード認証プログラム。
【請求項13】
認証判断装置において認証判断を行うためのワンタイムパスワードを生成するワンタイムパスワード生成装置であって、
乱数情報を生成する乱数生成手段と、
時刻検出を行うための時刻検出手段と、
前記乱数生成手段により生成された乱数情報と、前記時刻検出手段により検出された時刻情報とに基づいて前記ワンタイムパスワードを生成するワンタイムパスワード生成手段と
を有することを特徴とするワンタイムパスワード生成装置。
【請求項14】
前記乱数生成手段は、物理的現象を利用して真性乱数情報を生成する物理乱数生成装置により構成されることを特徴とする請求項13に記載のワンタイムパスワード生成装置。
【請求項15】
前記時刻検出手段は、
時刻管理機能を備える内部時計手段と、
時刻情報を含む標準電波を受信する電波受信手段と、
前記電波受信手段により受信された標準電波に基づいて前記内部時計手段における時刻情報の補正を行う時刻補正手段と
を有することを特徴とする請求項13または請求項14に記載のワンタイムパスワード生成装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図2】
【図3】
【図4】
【図5】
【公開番号】特開2009−230482(P2009−230482A)
【公開日】平成21年10月8日(2009.10.8)
【国際特許分類】
【出願番号】特願2008−75279(P2008−75279)
【出願日】平成20年3月24日(2008.3.24)
【出願人】(506301140)公立大学法人会津大学 (23)
【出願人】(508088214)株式会社福島県中央計算センター (1)
【出願人】(508088225)株式会社福島情報処理センター (1)
【出願人】(508088236)株式会社FSK (1)
【Fターム(参考)】
【公開日】平成21年10月8日(2009.10.8)
【国際特許分類】
【出願日】平成20年3月24日(2008.3.24)
【出願人】(506301140)公立大学法人会津大学 (23)
【出願人】(508088214)株式会社福島県中央計算センター (1)
【出願人】(508088225)株式会社福島情報処理センター (1)
【出願人】(508088236)株式会社FSK (1)
【Fターム(参考)】
[ Back to top ]