ワンタイムパスワード認証システム
【課題】本発明の課題は、扱い易いワンタイムパスワードを用いて本人認証するシステムを提供することである。
【解決手段】
入力を受け付けた乱数情報と事前共有鍵情報を用いてワンタイムパスワードを作成して表示するOTP生成機と、認証サーバ装置から受信した乱数情報を表示して、利用者識別情報とワンタイムパスワードを受け付けて、返信する利用者端末装置と、利用者端末装置のアクセスを受けた時間を用いて乱数情報を生成して返信して、利用者端末装置から利用者識別情報とワンタイムパスワードを受け付けて、受付時刻情報を用いて生成した照合用乱数情報と受け付けられた利用者識別情報に対応した事前共有鍵情報を用いて照合用ワンタイムパスワードを作成して、前記受け付けたワンタイムパスワードと照合してOTP認証をおこなう認証サーバ装置とから構成されることを特徴とするワンタイムパスワード認証システムである。
【解決手段】
入力を受け付けた乱数情報と事前共有鍵情報を用いてワンタイムパスワードを作成して表示するOTP生成機と、認証サーバ装置から受信した乱数情報を表示して、利用者識別情報とワンタイムパスワードを受け付けて、返信する利用者端末装置と、利用者端末装置のアクセスを受けた時間を用いて乱数情報を生成して返信して、利用者端末装置から利用者識別情報とワンタイムパスワードを受け付けて、受付時刻情報を用いて生成した照合用乱数情報と受け付けられた利用者識別情報に対応した事前共有鍵情報を用いて照合用ワンタイムパスワードを作成して、前記受け付けたワンタイムパスワードと照合してOTP認証をおこなう認証サーバ装置とから構成されることを特徴とするワンタイムパスワード認証システムである。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、暗号鍵認証のたびに使い捨てるパスワード(以下、ワンタイムパスワード)を用いて本人認証するシステムに関するものである。
【背景技術】
【0002】
現代のネットワークシステムの利用においては、本人認証の信頼性を高めることが益々重要となっており、ワンタイムパスワードを用いた本人認証方法が増えている。特に、オンラインバンキングにおける犯罪の増加にともない、インターネットでのログイン認証のために、ワンタイムパスワードの利用が増えている。
ワンタイムパスワードの代表的な生成方法には、たとえば、ワンタイムパスワード生成機と認証装置の両者で時刻を同期させておき、それぞれにワンタイムパスワードを生成して比較照合する時刻同期方式がある。
あるいは、認証のたびに、認証装置が利用装置に擬似乱数(チャレンジという)を与えて、事前共有秘密鍵で擬似乱数からワンタイムパスワード(レスポンスという)を生成して比較照合するチャレンジレスポンス方式がある。
ここで、擬似乱数とは、計算によって求めた乱数列のことを言う。
【0003】
たとえば、特許文献1では、個人が所有するクロックを備える個人所有装置(=標準クレジットカード形状の電源内蔵型ICカード。以下、電源内蔵型ICカード)を用いて、クロックが発生する時間情報(=現在時刻情報)から一意的な時間変化予測不能コード(=時刻同期方式のワンタイムパスワード。以下、ワンタイムパスワード)を発生させて、中央照合コンピュータ(=認証装置)に送信して、認証装置は電源内蔵型ICカードのクロックと同期させたクロックを備えて電源内蔵型ICカードと同じアルゴリズムを使用してワンタイムパスワードを発生させて、両ワンタイムパスワードを照合して認証する技術が開示されている。
【0004】
また、特許文献2では、認証側装置が被認証側装置に乱数(チャレンジという)を与えて、共通鍵(=暗号鍵)でチャレンジを暗号化(レスポンスという)して返信して、認証側装置は返信されたレスポンスを共通鍵で復号して、チャレンジと比較照合する技術が開示されている。
【特許文献1】特表平6−507277号公報(4−5ページ、図1、3)
【特許文献2】特開2003−101530(段落0036−段落0041、図4)
【発明の開示】
【発明が解決しようとする課題】
【0005】
しかしながら、特許文献1の技術では、ICカードが備えるクロックが認証装置のクロックとの時刻同期がずれると双方のワンタイムパスワードが異なってしまうので、認証照合が失敗するという欠点があった。
あるいは、特許文献2の技術では、暗号化された乱数(レスポンス)の桁数が長いと、利用者の入力の手間がかかるという不具合があった。他方、レスポンスの桁数が短いと、類推される危険性が増大するという問題点があった。
【0006】
本発明は以上のような点を解決するためになされたものであって、本発明の課題は、扱い易いワンタイムパスワードを用いて本人認証するシステムを提供することである。
【課題を解決するための手段】
【0007】
本発明は、以下の各態様に記載の手段により、前記課題を解決する。
すなわち、本願発明の第1の態様は、OTP生成機(100)と、ネットワーク接続された利用者端末装置(300)と認証サーバ装置(500)とから構成されるシステムであって、前記OTP生成機(100)は、事前共有鍵情報(191)と、利用者識別情報(192)と、を記憶する記憶手段(109)と、乱数情報およびPIN情報の入力を受け付けるPIN受付手段(110)と、受け付けられた乱数情報およびPIN情報と、前記記憶する事前共有鍵情報(191)とを用いて、ワンタイムパスワードを作成するワンタイムパスワード作成手段(130)と、作成したワンタイムパスワードを表示部に表示するワンタイムパスワード表示手段(140)と、を備える生成機であって、利用者端末装置(300)は、認証サーバ装置(500)から乱数情報を受信して、表示する乱数提示手段(310)と、利用者識別情報とワンタイムパスワードの入力を受け付けるOTP入力受付手段(320)と、前記受け付けられた利用者識別情報とワンタイムパスワードを含むOTP認証要求を認証サーバ装置に送信して、OTP認証結果を受信するOTP認証要求手段(330)と、を備える端末装置であって、前記認証サーバ装置(500)は、利用者識別情報(592)と対応付けられた事前共有鍵情報(591)とPIN情報(594)を記憶する記憶手段(509)と、利用者端末装置(300)からのアクセスをうけて、アクセス時間を用いて乱数情報を生成して返信する乱数返信手段(510)と、利用者端末装置(300)からOTP認証要求を受け付けるOTP受付手段(530)と、前記OTP認証要求を受け付けた時刻情報を用いて照合用乱数情報を生成する照合用乱数生成手段(515)と、前記受け付けられたOTP認証要求に含まれる利用者識別情報(592)と対応付けられた事前共有鍵情報(591)およびPIN情報(594)を選択して、前記選択された事前共有鍵情報(591)およびPIN情報(594)と、前記生成された照合用乱数情報とを用いて、照合用ワンタイムパスワードを作成する照合用ワンタイムパスワード作成手段(540)と、前記受け付けられたOTP認証要求に含まれるワンタイムパスワードと、前記照合用ワンタイムパスワードとを照合してOTP認証をおこなうOTP認証手段(550)と、を備えるサーバ装置であることを特徴とするワンタイムパスワード認証システムである。
【0008】
このように、OTP生成機は、認証サーバ装置が備えるクロックを利用して、ワンタイムパスワードを生成し、更に認証用のワンタイムパスワードも認証サーバ側のクロックを利用してワンタイムパスワードを生成することができる。それにより、従来のようにワンタイムパスワード生成機のクロックと、認証サーバ装置のクロックがずれていた場合の認証失敗を防止することができる。さらに、ワンタイムパスワード生成機のクロックを不正に操作して、未来の時間をセットして、ワンタイムパスワードを生成する等の不正を防止することができる。
【0009】
なお、OTPとは、One Time Passwordの略である。PINとは、Personal Identification Numberの略である。
【0010】
本願発明の第2の態様は、前記OTP生成機(100)は、前記記憶手段が、PIN情報(194)を記憶して、前記受け付けたPIN情報と、記憶手段のPIN情報(194)と照合して、PIN認証するPIN認証手段(120)を備えることを特徴とする請求項1に記載のワンタイムパスワード認証システムである。
【発明の効果】
【0011】
本願発明によれば、
(1)時刻情報は、認証サーバ装置から取得するので、時間情報のずれを懸念せずに、ワンタイムパスワードを生成することが可能である。
(2)ワンタイムパスワード生成機には、乱数(例えば7桁)を入力する場合に比較して、乱数と同じ桁数でも、利用者が記憶しているPIN(例えば4桁)に乱数(3桁)をつなげて入力するのであれば、利用者に負担をかけずにワンタイムパスワードを入力することが可能である。
【発明を実施するための最良の形態】
【0012】
以下、図面等を参照しながら、本発明の実施の形態について、更に詳しく説明する。
図1は、ワンタイムパスワード認証システム1の概要を説明する図である。ワンタイムパスワード認証システム1は、ワンタイムパスワード生成機(以下OTP生成機)100と、ネットワーク接続された利用者端末装置300と認証サーバ装置500とから構成される。利用者端末装置300と認証サーバ装置500は通信接続される。
【0013】
OTP生成機100は、乱数情報を入力する入力手段を備えており、乱数情報を入力することのよって、ワンタイムパスワードの生成をおこない、表示部にワンタイムパスワードを表示する。
OTP生成機100は、コンピュータプログラムによって制御される電子装置である。OTP生成機100のコンピュータプログラムは、たとえば,C言語にて機能を追加することができる。
【0014】
利用者が利用者端末装置300から、WEBブラウザなどで認証サーバ装置500のURLにアクセスして、ログイン画面を呼び出す。認証サーバ装置500は、利用者端末装置300がアクセスしてきた時刻をもとに、擬似乱数を発生させて乱数情報を生成し、ログイン画面に乱数情報を表示する。
利用者は、利用者のPINとログイン画面に表示された乱数情報をつなげてOTP生成機100に入力を行う。OTP生成機100は、内部メモリにPIN、利用者識別情報、事前共有鍵を記憶しており、利用者が入力したPINの照合を行う。利用者が入力したPINが内部メモリに記憶しているPINと一致すれば、OTP生成機100は、乱数情報とPINと利用者識別情報と事前共有鍵を用いてワンタイムパスワードを生成する。OTP生成機100は、生成したワンタイムパスワードを表示部に表示する。
利用者はOTP生成機100の表示部に表示されたワンタイムパスワードを目視で確認して、認証サーバ装置500のログイン画面に利用者識別情報とワンタイムパスワードを入力する。認証サーバ装置500は利用者識別情報とワンタイムパスワードを受け付けて、ワンタイムパスワード認証(以下OTP認証)を行う。
【0015】
図3は、OTP生成機100の詳細な構成図である。OTP生成機100は、CPU101と、表示部104と、入力部105と、メモリ(=記憶手段)109と、専用プログラムを備える。
【0016】
入力部105は、キーボタンである。表示部104は、LCDやELである。メモリ109は、半導体メモリや磁気メモリである。
メモリ109は、利用者の事前共有鍵情報191と、利用者識別情報192と、PIN194を記憶する。
【0017】
専用プログラムは、入力受付手段110と、PIN認証手段120と、ワンタイムパスワード作成手段130と、ワンタイムパスワード表示手段140とから構成される。
【0018】
入力受付手段110は、入力部105から乱数情報とPIN情報の入力を受け付ける。利用者がPIN情報と乱数情報の入力を行うときには、PIN情報と乱数情報をつなげて入力を行う。具体的には、PINを4桁、乱数情報を3桁にして合計7桁の情報を入力する。
利用者は記憶しているPIN4桁に対して乱数3桁を追加して入力するだけなので、乱数情報を7桁入力するよりも、入力ミスが少なくてすむ。
PIN認証手段120は、入力受付手段110から受け付けたPIN情報と乱数情報からPIN情報部分について、メモリ109に記憶されているPIN情報194と照合して、PIN認証を行う。利用者が入力したPINが正しければ、認証が成功し、ワンタイムパスワードの生成が行われる。利用者が入力したPINとPIN情報194が一致しなければ、認証は失敗し、OTP生成機100はエラーを返す。
【0019】
ワンタイムパスワード作成手段130は、入力受付手段110から受け付けたPIN情報と乱数情報とメモリ109に記憶されている事前共有鍵情報191とを用いて、ワンタイムパスワードを作成する。ワンタイムパスワード表示手段140は、作成したワンタイムパスワードを表示部104に表示する。
【0020】
図4は、認証サーバ装置500の詳細な構成図である。認証サーバ装置500は、CPU501と、時計部503と、通信部507と、メモリ(=記憶手段)509と、専用プログラムとを備える。
【0021】
時計部503は、時刻情報を生成するクロック回路である。通信部507は、利用者端末装置300と通信接続する接続端子(たとえば、IP接続端子)である。メモリ509は、半導体メモリや磁気メモリである。
【0022】
メモリ(=記憶手段)509は、利用者を一意に識別する利用者識別情報192と利用者識別情報192に対応付けられた事前共有鍵情報591とPIN情報594を記憶する。
【0023】
専用プログラムは、乱数返信手段510と、OTP受付手段530と、照合用乱数生成手段515と、照合用ワンタイムパスワード作成手段540と、OTP認証手段550から構成される。
【0024】
乱数生成手段510は、利用者端末装置300が認証サーバ装置500にアクセスしたときの時間をもちいて擬似乱数を発生して、乱数情報を生成する手段である。具体的には、利用者端末装置300から認証サーバ装置500にアクセスがあったときに、
乱数生成手段510は、認証サーバ装置500へのアクセス時間を用いて、擬似乱数を発生させて、乱数情報を作成する。引き続き、認証サーバ装置500はログイン画面を生成して、ログイン画面に乱数情報をセットして利用者端末装置300にログイン画面を送信する。
ログイン画面は、利用者識別情報とワンタイムパスワードの入力フィールドと乱数情報を表示するフィールドから構成される。乱数情報を表示するフィールドには、認証サーバ装置500が生成した乱数情報が表示される。
OTP受付手段530は、利用者端末装置300に送信したログイン画面の利用者識別情報入力フィールドとワンタイムパスワード入力フィールドに、利用者から入力された利用者識別情報192とワンタイムパスワードを受信して受け付ける手段である。
このとき、利用者識別情報192とワンタイムパスワードを受け付けた時刻情報をワンタイムパスワード生成のために、メモリ509に一時的に記憶する。
【0025】
認証サーバ装置500は乱数情報とPINの組み合わせを方法についても、利用者端末装置300に送信してもよい。具体的には、認証サーバ装置500で生成したログイン画面に乱数情報と、乱数情報とPINの組み合わせ方法を表示する。例えば、「PINの前に乱数を入力せよ」、「PINの後に乱数を入力せよ」、といった表示をする。このとき、OTP生成機100は、どのパターンの入力であるかを判断するために、予め1桁目あるいは最終桁には必ず入力方法のパターンを示すフラグをつける必要がある。
【0026】
照合用乱数生成手段515は、ワンタイムパスワードを生成するための擬似乱数を発生する手段であり、メモリ509に一時的に記憶された時刻情報を用いて擬似乱数を発生して、照合用乱数情報を生成する。
【0027】
照合用ワンタイムパスワード作成手段540は、OTP受付手段530で受け付けた利用者識別情報192に対応付けられた事前共有鍵情報591とPIN情報594をメモリ509から選択して、選択した事前共有鍵情報591とPIN情報594と照合用乱数情報とを用いて、照合用ワンタイムパスワードを作成する。
照合用ワンタイムパスワードは、OTP受付手段530で受け付けたワンタイムパスワードを照合するためのワンタイムパスワードである。
【0028】
OTP認証手段550は、OTP受付手段530で受け付けたンタイムパスワードと、照合用ワンタイムパスワードの照合を行い、一致すれば認証を行う。
OTP受付手段530で受け付けたワンタイムパスワードと照合用ワンタイムパスワードとが一致しない場合には、照合用乱数を生成するときに使用した時刻情報を少し早めて、照合用のワンタイムパスワードを再生成する。照合用乱数生成手段515は、時刻情報を少し早めて、擬似乱数を発生し、照合用乱数情報を生成する。
照合用ワンタイムパスワード作成手段540は、新たに作成した照合用乱数情報と、事前共有鍵情報591と、PIN情報594と、利用者識別情報を用いて照合用ワンタイムパスワードを作成する。
OTP認証手段550は、再生成した照合用ワンタイムパスワードと、OTP受付手段530で受け付けたワンタイムパスワードの照合を行う。このようにOTP受付手段530でワンタイムパスワードと利用者識別情報を受付けた時間情報を少しずつずらして、照合用ワンタイムパスワードを再生成し、再度照合をおこなっていく。
ある規定の時間までさかのぼらせても、照合用ワンタイムパスワードが、利用者が入力したワンタイムパスワードに一致しない場合には、認証失敗になり、OTP認証手段550は、エラーを返す。照合用ワンタイムパスワードと利用者が入力したパスワードが一致する場合には認証が成功する。
【0029】
図5は、利用者端末装置300の詳細な構成図である。
利用者端末装置300は、CPU301と、通信部302と、表示部304と、入力部305と、メモリ(=記憶手段)309と、専用プログラムとを備える。
表示部304は、LCDやELである。入力部305は、キーボードである。通信部302は、利用者端末装置500と通信接続する接続端子(たとえば、IP接続端子)である。メモリ309は、半導体メモリや磁気メモリである。
専用プログラムは、認証サーバアクセス手段310と、OTP入力受付手段320と、OTP認証要求手段330とから構成される。
【0030】
認証サーバアクセス手段310は、具体的にはWEB等のソフトウエアであり、利用者端末装置300から通信部302を通じて、同じネットワークに接続せれている認証サーバ装置500アクセスする手段である。認証サーバ装置500に利用者端末装置300の認証サーバアクセス手段110によりアクセスがあると、認証サーバ装置500はログイン画面を生成して、利用者端末装置300に乱数情報をセットして送信する。乱数情報は、利用者端末装置300が認証サーバ装置500アクセスしたときの時刻を元に発生した擬似乱数である。
【0031】
OTP入力受付手段320は、認証サーバ装置500から送信されたログイン画面に、利用者が入力した利用者識別情報とワンタイムパスワードを受け付ける手段である。
OTP認証要求手段330は、ログイン画面で入力を受付けた利用者識別情報とワンタイムパスワードを認証サーバ装置500に送信して、認証サーバ装置500に認証作業を要求する。
認証サーバ装置500は、利用者端末装置300から送信された利用識別情報とワンタームパスワードを受け付けて、受付時刻と利用者識別情報から認証用のワンタイムパスワードの生成を行い、利用者端末装置300から送信されてきたワンタイムパスワードと一致するか照合を行う。一致すれば認証が成功する。
【0032】
図2は、ワンタイムパスワード認証システム1の処理を示す。OTP生成機100でワンタイムパスワードの生成を行い、認証サーバ装置500で認証を行うまでの処理手順を説明する。
【0033】
最初に擬似乱数(チャレンジ)受取処理の手順を説明する。
利用者が、利用者端末装置300から同じネットワークに接続されている認証サーバ装置500にアクセスを行う(図2(1))。
認証サーバ装置500は、利用者端末装置300からアクセスを受付けると、そのアクセスの受付時刻情報を用いて擬似乱数を発生して、乱数情報の生成を行い、利用者端末装置300に返信する(図2(2))。
利用者端末装置300には、認証サーバ装置500から返信された乱数情報が表示される(図2(3))。
【0034】
次に、ワンタイムパスワード生成処理の手順を説明する。
利用者が、利用者端末装置300に表示された乱数情報を目視で読み取って、PIN情報および乱数情報をつなげてOTP生成機100の入力部105に入力を行うと、OTP生成機の入力受付手段110は、利用者が入力したPIN情報および乱数情報を受け付ける(図2(4))。
PIN認証手段120は、入力されたPIN情報とメモリ109に記憶されているPIN194を照合して本人認証を行う(図2(5))。
OTP生成機100は、入力受付手段110により受付けられた乱数情報およびPIN情報と、メモリ109に記憶する事前共有鍵情報191とを用いて、ワンタイムパスワードを作成する。作成したワンタイムパスワードは表示部105に表示される(図2(6))。
【0035】
次に、ワンタイムパスワード認証(以下OTP認証)処理の手順を説明する。
利用者が、OTP生成機100に表示されたワンタイムパスワードを目視で読み取って、利用者端末装置300に表示された認証サーバ装置500から送信されたログイン画面の利用者識別情報とワンタイムパスワードの入力フィールドに入力すると、利用者端末装置300のOTP入力受付手段320は、ワンタイムパスワードおよび利用者識別情報の入力を受け付ける(図2(7))。
OTP認証要求手段330は、ワンタイムパスワードと利用者識別情報を認証サーバ装置500に送信する(図2(8))。
認証サーバ装置500は、OTP受付手段530によりワンタイムパスワードおよび利用者識別情報を受け付ける。認証サーバ装置500は、利用者識別情報にかれんづけられた共有鍵情報591とPIN情報と、認証サーバ装置500へのアクセス時間を元に生成した乱数情報を元に、ワンタイムパスワードの生成を行い、利用者端末装置300から送信されてきたワンタイムパスワードと照合を行い、OTP認証を行う(図2(9))。
【図面の簡単な説明】
【0036】
【図1】ワンタイムパスワード認証システム1の概要を説明する図
【図2】ワンタイムパスワード認証システム1の処理の流れ
【図3】OTP生成機100の詳細な構成図
【図4】認証サーバ装置500の詳細な構成図
【図5】利用者端末装置300の詳細な構成図
【符号の説明】
【0037】
1 ワンタイムパスワード認証システム
100 ワンタイムパスワード生成機、以下OTP生成機
110 入力受付手段
120 PIN認証手段
130 ワンタイムパスワード作成手段
140 ワンタイムパスワード表示手段
191 事前共有鍵情報
192 利用者識別情報
300 利用者端末装置
310 認証サーバアクセス手段
320 OTP入力受付手段
330 OTP認証要求手段
500 認証サーバ装置
510 乱数生成手段
530 OTP受付手段
515 照合用乱数生成手段
540 照合用ワンタイムパスワード作成手段
550 OTP認証手段
591 事前共有鍵情報
594 PIN情報
【技術分野】
【0001】
本発明は、暗号鍵認証のたびに使い捨てるパスワード(以下、ワンタイムパスワード)を用いて本人認証するシステムに関するものである。
【背景技術】
【0002】
現代のネットワークシステムの利用においては、本人認証の信頼性を高めることが益々重要となっており、ワンタイムパスワードを用いた本人認証方法が増えている。特に、オンラインバンキングにおける犯罪の増加にともない、インターネットでのログイン認証のために、ワンタイムパスワードの利用が増えている。
ワンタイムパスワードの代表的な生成方法には、たとえば、ワンタイムパスワード生成機と認証装置の両者で時刻を同期させておき、それぞれにワンタイムパスワードを生成して比較照合する時刻同期方式がある。
あるいは、認証のたびに、認証装置が利用装置に擬似乱数(チャレンジという)を与えて、事前共有秘密鍵で擬似乱数からワンタイムパスワード(レスポンスという)を生成して比較照合するチャレンジレスポンス方式がある。
ここで、擬似乱数とは、計算によって求めた乱数列のことを言う。
【0003】
たとえば、特許文献1では、個人が所有するクロックを備える個人所有装置(=標準クレジットカード形状の電源内蔵型ICカード。以下、電源内蔵型ICカード)を用いて、クロックが発生する時間情報(=現在時刻情報)から一意的な時間変化予測不能コード(=時刻同期方式のワンタイムパスワード。以下、ワンタイムパスワード)を発生させて、中央照合コンピュータ(=認証装置)に送信して、認証装置は電源内蔵型ICカードのクロックと同期させたクロックを備えて電源内蔵型ICカードと同じアルゴリズムを使用してワンタイムパスワードを発生させて、両ワンタイムパスワードを照合して認証する技術が開示されている。
【0004】
また、特許文献2では、認証側装置が被認証側装置に乱数(チャレンジという)を与えて、共通鍵(=暗号鍵)でチャレンジを暗号化(レスポンスという)して返信して、認証側装置は返信されたレスポンスを共通鍵で復号して、チャレンジと比較照合する技術が開示されている。
【特許文献1】特表平6−507277号公報(4−5ページ、図1、3)
【特許文献2】特開2003−101530(段落0036−段落0041、図4)
【発明の開示】
【発明が解決しようとする課題】
【0005】
しかしながら、特許文献1の技術では、ICカードが備えるクロックが認証装置のクロックとの時刻同期がずれると双方のワンタイムパスワードが異なってしまうので、認証照合が失敗するという欠点があった。
あるいは、特許文献2の技術では、暗号化された乱数(レスポンス)の桁数が長いと、利用者の入力の手間がかかるという不具合があった。他方、レスポンスの桁数が短いと、類推される危険性が増大するという問題点があった。
【0006】
本発明は以上のような点を解決するためになされたものであって、本発明の課題は、扱い易いワンタイムパスワードを用いて本人認証するシステムを提供することである。
【課題を解決するための手段】
【0007】
本発明は、以下の各態様に記載の手段により、前記課題を解決する。
すなわち、本願発明の第1の態様は、OTP生成機(100)と、ネットワーク接続された利用者端末装置(300)と認証サーバ装置(500)とから構成されるシステムであって、前記OTP生成機(100)は、事前共有鍵情報(191)と、利用者識別情報(192)と、を記憶する記憶手段(109)と、乱数情報およびPIN情報の入力を受け付けるPIN受付手段(110)と、受け付けられた乱数情報およびPIN情報と、前記記憶する事前共有鍵情報(191)とを用いて、ワンタイムパスワードを作成するワンタイムパスワード作成手段(130)と、作成したワンタイムパスワードを表示部に表示するワンタイムパスワード表示手段(140)と、を備える生成機であって、利用者端末装置(300)は、認証サーバ装置(500)から乱数情報を受信して、表示する乱数提示手段(310)と、利用者識別情報とワンタイムパスワードの入力を受け付けるOTP入力受付手段(320)と、前記受け付けられた利用者識別情報とワンタイムパスワードを含むOTP認証要求を認証サーバ装置に送信して、OTP認証結果を受信するOTP認証要求手段(330)と、を備える端末装置であって、前記認証サーバ装置(500)は、利用者識別情報(592)と対応付けられた事前共有鍵情報(591)とPIN情報(594)を記憶する記憶手段(509)と、利用者端末装置(300)からのアクセスをうけて、アクセス時間を用いて乱数情報を生成して返信する乱数返信手段(510)と、利用者端末装置(300)からOTP認証要求を受け付けるOTP受付手段(530)と、前記OTP認証要求を受け付けた時刻情報を用いて照合用乱数情報を生成する照合用乱数生成手段(515)と、前記受け付けられたOTP認証要求に含まれる利用者識別情報(592)と対応付けられた事前共有鍵情報(591)およびPIN情報(594)を選択して、前記選択された事前共有鍵情報(591)およびPIN情報(594)と、前記生成された照合用乱数情報とを用いて、照合用ワンタイムパスワードを作成する照合用ワンタイムパスワード作成手段(540)と、前記受け付けられたOTP認証要求に含まれるワンタイムパスワードと、前記照合用ワンタイムパスワードとを照合してOTP認証をおこなうOTP認証手段(550)と、を備えるサーバ装置であることを特徴とするワンタイムパスワード認証システムである。
【0008】
このように、OTP生成機は、認証サーバ装置が備えるクロックを利用して、ワンタイムパスワードを生成し、更に認証用のワンタイムパスワードも認証サーバ側のクロックを利用してワンタイムパスワードを生成することができる。それにより、従来のようにワンタイムパスワード生成機のクロックと、認証サーバ装置のクロックがずれていた場合の認証失敗を防止することができる。さらに、ワンタイムパスワード生成機のクロックを不正に操作して、未来の時間をセットして、ワンタイムパスワードを生成する等の不正を防止することができる。
【0009】
なお、OTPとは、One Time Passwordの略である。PINとは、Personal Identification Numberの略である。
【0010】
本願発明の第2の態様は、前記OTP生成機(100)は、前記記憶手段が、PIN情報(194)を記憶して、前記受け付けたPIN情報と、記憶手段のPIN情報(194)と照合して、PIN認証するPIN認証手段(120)を備えることを特徴とする請求項1に記載のワンタイムパスワード認証システムである。
【発明の効果】
【0011】
本願発明によれば、
(1)時刻情報は、認証サーバ装置から取得するので、時間情報のずれを懸念せずに、ワンタイムパスワードを生成することが可能である。
(2)ワンタイムパスワード生成機には、乱数(例えば7桁)を入力する場合に比較して、乱数と同じ桁数でも、利用者が記憶しているPIN(例えば4桁)に乱数(3桁)をつなげて入力するのであれば、利用者に負担をかけずにワンタイムパスワードを入力することが可能である。
【発明を実施するための最良の形態】
【0012】
以下、図面等を参照しながら、本発明の実施の形態について、更に詳しく説明する。
図1は、ワンタイムパスワード認証システム1の概要を説明する図である。ワンタイムパスワード認証システム1は、ワンタイムパスワード生成機(以下OTP生成機)100と、ネットワーク接続された利用者端末装置300と認証サーバ装置500とから構成される。利用者端末装置300と認証サーバ装置500は通信接続される。
【0013】
OTP生成機100は、乱数情報を入力する入力手段を備えており、乱数情報を入力することのよって、ワンタイムパスワードの生成をおこない、表示部にワンタイムパスワードを表示する。
OTP生成機100は、コンピュータプログラムによって制御される電子装置である。OTP生成機100のコンピュータプログラムは、たとえば,C言語にて機能を追加することができる。
【0014】
利用者が利用者端末装置300から、WEBブラウザなどで認証サーバ装置500のURLにアクセスして、ログイン画面を呼び出す。認証サーバ装置500は、利用者端末装置300がアクセスしてきた時刻をもとに、擬似乱数を発生させて乱数情報を生成し、ログイン画面に乱数情報を表示する。
利用者は、利用者のPINとログイン画面に表示された乱数情報をつなげてOTP生成機100に入力を行う。OTP生成機100は、内部メモリにPIN、利用者識別情報、事前共有鍵を記憶しており、利用者が入力したPINの照合を行う。利用者が入力したPINが内部メモリに記憶しているPINと一致すれば、OTP生成機100は、乱数情報とPINと利用者識別情報と事前共有鍵を用いてワンタイムパスワードを生成する。OTP生成機100は、生成したワンタイムパスワードを表示部に表示する。
利用者はOTP生成機100の表示部に表示されたワンタイムパスワードを目視で確認して、認証サーバ装置500のログイン画面に利用者識別情報とワンタイムパスワードを入力する。認証サーバ装置500は利用者識別情報とワンタイムパスワードを受け付けて、ワンタイムパスワード認証(以下OTP認証)を行う。
【0015】
図3は、OTP生成機100の詳細な構成図である。OTP生成機100は、CPU101と、表示部104と、入力部105と、メモリ(=記憶手段)109と、専用プログラムを備える。
【0016】
入力部105は、キーボタンである。表示部104は、LCDやELである。メモリ109は、半導体メモリや磁気メモリである。
メモリ109は、利用者の事前共有鍵情報191と、利用者識別情報192と、PIN194を記憶する。
【0017】
専用プログラムは、入力受付手段110と、PIN認証手段120と、ワンタイムパスワード作成手段130と、ワンタイムパスワード表示手段140とから構成される。
【0018】
入力受付手段110は、入力部105から乱数情報とPIN情報の入力を受け付ける。利用者がPIN情報と乱数情報の入力を行うときには、PIN情報と乱数情報をつなげて入力を行う。具体的には、PINを4桁、乱数情報を3桁にして合計7桁の情報を入力する。
利用者は記憶しているPIN4桁に対して乱数3桁を追加して入力するだけなので、乱数情報を7桁入力するよりも、入力ミスが少なくてすむ。
PIN認証手段120は、入力受付手段110から受け付けたPIN情報と乱数情報からPIN情報部分について、メモリ109に記憶されているPIN情報194と照合して、PIN認証を行う。利用者が入力したPINが正しければ、認証が成功し、ワンタイムパスワードの生成が行われる。利用者が入力したPINとPIN情報194が一致しなければ、認証は失敗し、OTP生成機100はエラーを返す。
【0019】
ワンタイムパスワード作成手段130は、入力受付手段110から受け付けたPIN情報と乱数情報とメモリ109に記憶されている事前共有鍵情報191とを用いて、ワンタイムパスワードを作成する。ワンタイムパスワード表示手段140は、作成したワンタイムパスワードを表示部104に表示する。
【0020】
図4は、認証サーバ装置500の詳細な構成図である。認証サーバ装置500は、CPU501と、時計部503と、通信部507と、メモリ(=記憶手段)509と、専用プログラムとを備える。
【0021】
時計部503は、時刻情報を生成するクロック回路である。通信部507は、利用者端末装置300と通信接続する接続端子(たとえば、IP接続端子)である。メモリ509は、半導体メモリや磁気メモリである。
【0022】
メモリ(=記憶手段)509は、利用者を一意に識別する利用者識別情報192と利用者識別情報192に対応付けられた事前共有鍵情報591とPIN情報594を記憶する。
【0023】
専用プログラムは、乱数返信手段510と、OTP受付手段530と、照合用乱数生成手段515と、照合用ワンタイムパスワード作成手段540と、OTP認証手段550から構成される。
【0024】
乱数生成手段510は、利用者端末装置300が認証サーバ装置500にアクセスしたときの時間をもちいて擬似乱数を発生して、乱数情報を生成する手段である。具体的には、利用者端末装置300から認証サーバ装置500にアクセスがあったときに、
乱数生成手段510は、認証サーバ装置500へのアクセス時間を用いて、擬似乱数を発生させて、乱数情報を作成する。引き続き、認証サーバ装置500はログイン画面を生成して、ログイン画面に乱数情報をセットして利用者端末装置300にログイン画面を送信する。
ログイン画面は、利用者識別情報とワンタイムパスワードの入力フィールドと乱数情報を表示するフィールドから構成される。乱数情報を表示するフィールドには、認証サーバ装置500が生成した乱数情報が表示される。
OTP受付手段530は、利用者端末装置300に送信したログイン画面の利用者識別情報入力フィールドとワンタイムパスワード入力フィールドに、利用者から入力された利用者識別情報192とワンタイムパスワードを受信して受け付ける手段である。
このとき、利用者識別情報192とワンタイムパスワードを受け付けた時刻情報をワンタイムパスワード生成のために、メモリ509に一時的に記憶する。
【0025】
認証サーバ装置500は乱数情報とPINの組み合わせを方法についても、利用者端末装置300に送信してもよい。具体的には、認証サーバ装置500で生成したログイン画面に乱数情報と、乱数情報とPINの組み合わせ方法を表示する。例えば、「PINの前に乱数を入力せよ」、「PINの後に乱数を入力せよ」、といった表示をする。このとき、OTP生成機100は、どのパターンの入力であるかを判断するために、予め1桁目あるいは最終桁には必ず入力方法のパターンを示すフラグをつける必要がある。
【0026】
照合用乱数生成手段515は、ワンタイムパスワードを生成するための擬似乱数を発生する手段であり、メモリ509に一時的に記憶された時刻情報を用いて擬似乱数を発生して、照合用乱数情報を生成する。
【0027】
照合用ワンタイムパスワード作成手段540は、OTP受付手段530で受け付けた利用者識別情報192に対応付けられた事前共有鍵情報591とPIN情報594をメモリ509から選択して、選択した事前共有鍵情報591とPIN情報594と照合用乱数情報とを用いて、照合用ワンタイムパスワードを作成する。
照合用ワンタイムパスワードは、OTP受付手段530で受け付けたワンタイムパスワードを照合するためのワンタイムパスワードである。
【0028】
OTP認証手段550は、OTP受付手段530で受け付けたンタイムパスワードと、照合用ワンタイムパスワードの照合を行い、一致すれば認証を行う。
OTP受付手段530で受け付けたワンタイムパスワードと照合用ワンタイムパスワードとが一致しない場合には、照合用乱数を生成するときに使用した時刻情報を少し早めて、照合用のワンタイムパスワードを再生成する。照合用乱数生成手段515は、時刻情報を少し早めて、擬似乱数を発生し、照合用乱数情報を生成する。
照合用ワンタイムパスワード作成手段540は、新たに作成した照合用乱数情報と、事前共有鍵情報591と、PIN情報594と、利用者識別情報を用いて照合用ワンタイムパスワードを作成する。
OTP認証手段550は、再生成した照合用ワンタイムパスワードと、OTP受付手段530で受け付けたワンタイムパスワードの照合を行う。このようにOTP受付手段530でワンタイムパスワードと利用者識別情報を受付けた時間情報を少しずつずらして、照合用ワンタイムパスワードを再生成し、再度照合をおこなっていく。
ある規定の時間までさかのぼらせても、照合用ワンタイムパスワードが、利用者が入力したワンタイムパスワードに一致しない場合には、認証失敗になり、OTP認証手段550は、エラーを返す。照合用ワンタイムパスワードと利用者が入力したパスワードが一致する場合には認証が成功する。
【0029】
図5は、利用者端末装置300の詳細な構成図である。
利用者端末装置300は、CPU301と、通信部302と、表示部304と、入力部305と、メモリ(=記憶手段)309と、専用プログラムとを備える。
表示部304は、LCDやELである。入力部305は、キーボードである。通信部302は、利用者端末装置500と通信接続する接続端子(たとえば、IP接続端子)である。メモリ309は、半導体メモリや磁気メモリである。
専用プログラムは、認証サーバアクセス手段310と、OTP入力受付手段320と、OTP認証要求手段330とから構成される。
【0030】
認証サーバアクセス手段310は、具体的にはWEB等のソフトウエアであり、利用者端末装置300から通信部302を通じて、同じネットワークに接続せれている認証サーバ装置500アクセスする手段である。認証サーバ装置500に利用者端末装置300の認証サーバアクセス手段110によりアクセスがあると、認証サーバ装置500はログイン画面を生成して、利用者端末装置300に乱数情報をセットして送信する。乱数情報は、利用者端末装置300が認証サーバ装置500アクセスしたときの時刻を元に発生した擬似乱数である。
【0031】
OTP入力受付手段320は、認証サーバ装置500から送信されたログイン画面に、利用者が入力した利用者識別情報とワンタイムパスワードを受け付ける手段である。
OTP認証要求手段330は、ログイン画面で入力を受付けた利用者識別情報とワンタイムパスワードを認証サーバ装置500に送信して、認証サーバ装置500に認証作業を要求する。
認証サーバ装置500は、利用者端末装置300から送信された利用識別情報とワンタームパスワードを受け付けて、受付時刻と利用者識別情報から認証用のワンタイムパスワードの生成を行い、利用者端末装置300から送信されてきたワンタイムパスワードと一致するか照合を行う。一致すれば認証が成功する。
【0032】
図2は、ワンタイムパスワード認証システム1の処理を示す。OTP生成機100でワンタイムパスワードの生成を行い、認証サーバ装置500で認証を行うまでの処理手順を説明する。
【0033】
最初に擬似乱数(チャレンジ)受取処理の手順を説明する。
利用者が、利用者端末装置300から同じネットワークに接続されている認証サーバ装置500にアクセスを行う(図2(1))。
認証サーバ装置500は、利用者端末装置300からアクセスを受付けると、そのアクセスの受付時刻情報を用いて擬似乱数を発生して、乱数情報の生成を行い、利用者端末装置300に返信する(図2(2))。
利用者端末装置300には、認証サーバ装置500から返信された乱数情報が表示される(図2(3))。
【0034】
次に、ワンタイムパスワード生成処理の手順を説明する。
利用者が、利用者端末装置300に表示された乱数情報を目視で読み取って、PIN情報および乱数情報をつなげてOTP生成機100の入力部105に入力を行うと、OTP生成機の入力受付手段110は、利用者が入力したPIN情報および乱数情報を受け付ける(図2(4))。
PIN認証手段120は、入力されたPIN情報とメモリ109に記憶されているPIN194を照合して本人認証を行う(図2(5))。
OTP生成機100は、入力受付手段110により受付けられた乱数情報およびPIN情報と、メモリ109に記憶する事前共有鍵情報191とを用いて、ワンタイムパスワードを作成する。作成したワンタイムパスワードは表示部105に表示される(図2(6))。
【0035】
次に、ワンタイムパスワード認証(以下OTP認証)処理の手順を説明する。
利用者が、OTP生成機100に表示されたワンタイムパスワードを目視で読み取って、利用者端末装置300に表示された認証サーバ装置500から送信されたログイン画面の利用者識別情報とワンタイムパスワードの入力フィールドに入力すると、利用者端末装置300のOTP入力受付手段320は、ワンタイムパスワードおよび利用者識別情報の入力を受け付ける(図2(7))。
OTP認証要求手段330は、ワンタイムパスワードと利用者識別情報を認証サーバ装置500に送信する(図2(8))。
認証サーバ装置500は、OTP受付手段530によりワンタイムパスワードおよび利用者識別情報を受け付ける。認証サーバ装置500は、利用者識別情報にかれんづけられた共有鍵情報591とPIN情報と、認証サーバ装置500へのアクセス時間を元に生成した乱数情報を元に、ワンタイムパスワードの生成を行い、利用者端末装置300から送信されてきたワンタイムパスワードと照合を行い、OTP認証を行う(図2(9))。
【図面の簡単な説明】
【0036】
【図1】ワンタイムパスワード認証システム1の概要を説明する図
【図2】ワンタイムパスワード認証システム1の処理の流れ
【図3】OTP生成機100の詳細な構成図
【図4】認証サーバ装置500の詳細な構成図
【図5】利用者端末装置300の詳細な構成図
【符号の説明】
【0037】
1 ワンタイムパスワード認証システム
100 ワンタイムパスワード生成機、以下OTP生成機
110 入力受付手段
120 PIN認証手段
130 ワンタイムパスワード作成手段
140 ワンタイムパスワード表示手段
191 事前共有鍵情報
192 利用者識別情報
300 利用者端末装置
310 認証サーバアクセス手段
320 OTP入力受付手段
330 OTP認証要求手段
500 認証サーバ装置
510 乱数生成手段
530 OTP受付手段
515 照合用乱数生成手段
540 照合用ワンタイムパスワード作成手段
550 OTP認証手段
591 事前共有鍵情報
594 PIN情報
【特許請求の範囲】
【請求項1】
OTP生成機と、ネットワーク接続された利用者端末装置と認証サーバ装置とから構成されるシステムであって、
前記OTP生成機は、
事前共有鍵情報と、利用者識別情報と、を記憶する記憶手段と、
乱数情報およびPIN情報の入力を受け付けるPIN受付手段と、
受け付けられた乱数情報およびPIN情報と、前記記憶する事前共有鍵情報とを用いて、ワンタイムパスワードを作成するワンタイムパスワード作成手段と、
作成したワンタイムパスワードを表示部に表示するワンタイムパスワード表示手段と、
を備える生成機であって、
利用者端末装置は、
認証サーバ装置から乱数情報を受信して、表示する乱数提示手段と、
利用者識別情報とワンタイムパスワードの入力を受け付けるOTP入力受付手段と、
前記受け付けられた利用者識別情報とワンタイムパスワードを含むOTP認証要求を認証サーバ装置に送信して、OTP認証結果を受信するOTP認証要求手段と、
を備える端末装置であって、
前記認証サーバ装置は、
利用者識別情報と対応付けられた事前共有鍵情報とPIN情報を記憶する記憶手段と、
利用者端末装置からのアクセスをうけて、アクセス時間を用いて乱数情報を生成して返信する乱数返信手段と、
利用者端末装置からOTP認証要求を受け付けるOTP受付手段と、
前記OTP認証要求を受け付けた時刻情報を用いて照合用乱数情報を生成する照合用乱数生成手段と、
前記受け付けられたOTP認証要求に含まれる利用者識別情報と対応付けられた事前共有鍵情報およびPIN情報を選択して、前記選択された事前共有鍵情報およびPIN情報(594)と、前記生成された照合用乱数情報とを用いて、照合用ワンタイムパスワードを作成する照合用ワンタイムパスワード作成手段と、
前記受け付けられたOTP認証要求に含まれるワンタイムパスワードと、前記照合用ワンタイムパスワードとを照合してOTP認証をおこなうOTP認証手段と、
を備えるサーバ装置である
ことを特徴とするワンタイムパスワード認証システム。
【請求項2】
前記OTP生成機は、
前記記憶手段が、PIN情報を記憶して、
前記受け付けたPIN情報と、記憶手段のPIN情報と照合して、PIN認証するPIN認証手段
を備える
ことを特徴とする請求項1に記載のワンタイムパスワード認証システム。
【請求項1】
OTP生成機と、ネットワーク接続された利用者端末装置と認証サーバ装置とから構成されるシステムであって、
前記OTP生成機は、
事前共有鍵情報と、利用者識別情報と、を記憶する記憶手段と、
乱数情報およびPIN情報の入力を受け付けるPIN受付手段と、
受け付けられた乱数情報およびPIN情報と、前記記憶する事前共有鍵情報とを用いて、ワンタイムパスワードを作成するワンタイムパスワード作成手段と、
作成したワンタイムパスワードを表示部に表示するワンタイムパスワード表示手段と、
を備える生成機であって、
利用者端末装置は、
認証サーバ装置から乱数情報を受信して、表示する乱数提示手段と、
利用者識別情報とワンタイムパスワードの入力を受け付けるOTP入力受付手段と、
前記受け付けられた利用者識別情報とワンタイムパスワードを含むOTP認証要求を認証サーバ装置に送信して、OTP認証結果を受信するOTP認証要求手段と、
を備える端末装置であって、
前記認証サーバ装置は、
利用者識別情報と対応付けられた事前共有鍵情報とPIN情報を記憶する記憶手段と、
利用者端末装置からのアクセスをうけて、アクセス時間を用いて乱数情報を生成して返信する乱数返信手段と、
利用者端末装置からOTP認証要求を受け付けるOTP受付手段と、
前記OTP認証要求を受け付けた時刻情報を用いて照合用乱数情報を生成する照合用乱数生成手段と、
前記受け付けられたOTP認証要求に含まれる利用者識別情報と対応付けられた事前共有鍵情報およびPIN情報を選択して、前記選択された事前共有鍵情報およびPIN情報(594)と、前記生成された照合用乱数情報とを用いて、照合用ワンタイムパスワードを作成する照合用ワンタイムパスワード作成手段と、
前記受け付けられたOTP認証要求に含まれるワンタイムパスワードと、前記照合用ワンタイムパスワードとを照合してOTP認証をおこなうOTP認証手段と、
を備えるサーバ装置である
ことを特徴とするワンタイムパスワード認証システム。
【請求項2】
前記OTP生成機は、
前記記憶手段が、PIN情報を記憶して、
前記受け付けたPIN情報と、記憶手段のPIN情報と照合して、PIN認証するPIN認証手段
を備える
ことを特徴とする請求項1に記載のワンタイムパスワード認証システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図2】
【図3】
【図4】
【図5】
【公開番号】特開2009−3498(P2009−3498A)
【公開日】平成21年1月8日(2009.1.8)
【国際特許分類】
【出願番号】特願2007−160934(P2007−160934)
【出願日】平成19年6月19日(2007.6.19)
【出願人】(000002897)大日本印刷株式会社 (14,506)
【Fターム(参考)】
【公開日】平成21年1月8日(2009.1.8)
【国際特許分類】
【出願日】平成19年6月19日(2007.6.19)
【出願人】(000002897)大日本印刷株式会社 (14,506)
【Fターム(参考)】
[ Back to top ]