個人認証システム、個人認証方法
【課題】被認証者に対して認証用のパスワードをより安全かつ確実に通知する。
【解決手段】携帯電話002からの要求に応じて第1のシェア画像を生成するとシェア画像生成部102と、この第1のシェア画像を取得した携帯電話002からの認証要求に対して認証パスワードを発行するパスワード生成部103を有し、上記シェア画像生成部102が、第1のシェア画像および認証パスワードそれぞれを表示したときの表示差分である第2のシェア画像を生成する、認証サーバ100と、第2のシェア画像を取得すると共に、前記第1および第2のシェア画像を合成した合成シェア画像を表示し、表示した合成シェア画像内に文字画像として含まれる認証パスワードを認証サーバ100に対して送信する携帯電話002とを備えた。
【解決手段】携帯電話002からの要求に応じて第1のシェア画像を生成するとシェア画像生成部102と、この第1のシェア画像を取得した携帯電話002からの認証要求に対して認証パスワードを発行するパスワード生成部103を有し、上記シェア画像生成部102が、第1のシェア画像および認証パスワードそれぞれを表示したときの表示差分である第2のシェア画像を生成する、認証サーバ100と、第2のシェア画像を取得すると共に、前記第1および第2のシェア画像を合成した合成シェア画像を表示し、表示した合成シェア画像内に文字画像として含まれる認証パスワードを認証サーバ100に対して送信する携帯電話002とを備えた。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワークを介して端末利用者の個人認証を行う認証システムに関する。
【背景技術】
【0002】
銀行のATM(現金自動預け払い機)やオンラインバンキングなどにおける認証システムとして、IC(Integrated Circuit)カード認証やワンタイムパスワード認証を利用した二要素認証を行う認証システムが広く利用されている。また、携帯電話端末を利用した認証を行う手法も開示されている。
【0003】
しかしながら、上記認証システムでは、例えば、専用のICカードリーダやハードウェアトークン、ソフトウェアトークンなどが必要となり、導入コストが高くなってしまうといった不都合がある。
また、これらの認証システムでは、被認証者はICカードやトークンを常に持ち歩き、厳重に管理する必要があり、利用者の負担が大きいという不都合がある。
【0004】
また、携帯電話端末を利用した認証システムでは、ユーザは認証を行う毎に携帯電話を利用してサーバと通信を行う必要が生じるため、通信ができない状況および環境では、この認証システムを利用することができないという不都合が生じ得る。また、認証を行う際に通信費用が発生してしまうといった不都合があった。
【0005】
更に、例えば、インターネットバンキングの第二認証として、碁盤目状に並ぶ表の中から特定の位置の数字を選び入力させるマトリックス認証が広く用いられているが、この場合、位置情報を盗み見られてしまった場合、本人になりすまして認証を受けることが可能となってしまうといった不都合があった。また、このマトリックス認証についても知識認証であることから、所有物認証としての理想的な二要素認証とはなっていない。
【0006】
これに対する関連技術として、認証サーバへのURL(Uniform Resource Locator)をPC(Personal Computer)画面上にQR(Quick Response)コードで表示し、携帯電話におけるカメラによりこのQRコードを読み取り、認証サーバにアクセスすることで認証を受ける認証システムが開示されている(特許文献1)。
【0007】
また、この関連技術として、暗号化したパスワードをPCの画面上にQRコードとして表示させ、携帯電話のカメラによりQRコードを読み取り、携帯電話に内蔵されている、被認証者所有の復元ソフトウェアを利用して解読を行う認証システムが開示されている(特許文献2)。
【0008】
更には、この関連技術として、電子投票のパスワードを視覚復号型秘密分散法により生成したシェア画像を透過フィルムに印刷し、このパスワードを郵便で有権者に配布する手法が開示されている(特許文献3)。
【先行技術文献】
【特許文献】
【0009】
【特許文献1】特開2007−108973公報
【特許文献2】特開2009−64400公報
【特許文献3】特開2007−183707公報
【発明の概要】
【発明が解決しようとする課題】
【0010】
しかしながら、上記特許文献1に開示された関連技術では、認証処理を必要とする毎に携帯電話から認証サーバへの通信を行う必要があり、通信費用が多大にかかり、更には、通信トラフィックが増大してしまう、といった不都合が生じ得る。
【0011】
また、上記特許文献2に開示された関連技術では、携帯電話で暗号化されたデータを復号するために、専用のアプリケーションが必要となり、導入コストが高価となってしまうといった不都合がある。
【0012】
更に、上記特許文献3の関連技術は、銀行のATMやインターネットを介しての取引時の認証時には適用することができず、また、郵便を利用した配布のため、パスワードを迅速に配布することができず、更には、パスワードが漏洩した場合の対処や、パスワードの変更およびその配布などにも多大な時間がかかってしまうといった不都合がある。
【0013】
[発明の目的]
本発明は、上記関連技術の有する不都合を改善し、被認証者に対して認証用のパスワードをより安全かつ確実に通知し得る個人認証システム、個人認証方法を提供することを、その目的とする。
【課題を解決するための手段】
【0014】
上記目的を達成するために、本発明に係る個人認証システムは、ネットワークを介して行われる認証要求に対して予め設定された認証パスワードに基づき利用者認証を行う認証サーバと、前記認証サーバから送られた画像情報を表示する表示画面を有する携帯端末とを備えた個人認証システムであって、前記認証サーバは、前記携帯端末からの登録要求に応じて第1のシェア画像を生成しこれを前記携帯端末に送信する第1の画像生成送信部と、前記第1のシェア画像を取得した前記携帯端末からの認証要求に対して認証パスワードを生成し発行するパスワード発行部と、前記認証パスワードおよび前記第1のシェア画像それぞれを表示した場合の表示差分である差分画像を第2のシェア画像として生成する第2の画像生成部とを備え、前記携帯端末は、前記第1および第2のシェア画像を合成した合成シェア画像を前記表示画面に表示する画像合成処理部を備え、前記表示された合成シェア画像内には前記認証パスワードが文字画像として表示されることを特徴としている。
【0015】
また、本発明にかかる個人認証方法は、予め設定された認証パスワードに基づき利用者の認証を行う認証サーバと、前記認証サーバから送り込まれた画像情報を表示する表示画面を有する携帯端末とを備えた個人認証システムにあって、前記携帯端末の利用者認証を行う個人認証方法であって、前記認証サーバは、前記携帯端末からの登録要求に応じて第1のシェア画像を生成し前記携帯端末に送信し、前記第1のシェア画像を取得した携帯端末からの認証要求があった場合にこの認証要求に対する認証パスワードを発行し、前記第1のシェア画像および前記認証パスワードそれぞれを表示されたときの表示差分である第2のシェア画像を生成し、前記携帯端末は、前記第2のシェア画像を取得すると共に前記第1および第2のシェア画像を合成した合成シェア画像を表示し、表示した前記合成シェア画像内に文字画像として含まれる前記認証パスワードを前記認証サーバに対して送信することを特徴としている。
【0016】
又、本発明にかかる個人認証プログラムは、撮影用のカメラ部を有する携帯端末と、前記携帯端末から送られた認証パスワードに基づき利用者認証を行う認証サーバと、前記認証サーバから送り込まれた画像情報を表示する情報表示装置とを備えた個人認証システムにあって、前記携帯端末の認証を行う個人認証方法であって、前記認証サーバは、前記携帯端末からの登録要求に応じて第1のシェア画像を生成し前記携帯端末に送信し、前記第1のシェア画像を取得した携帯端末から認証要求があった場合に当該認証要求に対する認証パスワードを発行し、前記第1のシェア画像および前記認証パスワードそれぞれが表示されたときの表示差分としての第2のシェア画像を生成すると共に当該第2のシェア画像を前記情報表示装置に送信し、前記携帯端末は、前記情報表示装置に表示された前記第2のシェア画像を撮影し、当該撮影により得られた前記第2のシェア画像と前記第1シェア画像とを合成した合成シェア画像を生成し、前記合成シェア画像内に表示された前記認証パスワードを前記認証サーバに対して認証用に送信することを特徴としている。
【発明の効果】
【0017】
本発明は、以上のように構成され機能するので、これによると、携帯端末の表示画面に予め取得した第1のシェア画像と、認証サーバから新たに取得した第2のシェア画像を重ね合わせた合成画像を表示し、この合成画像内に認証サーバにより発行されたパスワードを視認可能に表示する構成としたことにより、認証用のパスワードを被認証者に対してより安全かつ確実に通知する個人認証システム、個人認証方法を提供することができる。
【図面の簡単な説明】
【0018】
【図1】本発明による個人認証システムにおける一実施形態を示す概略ブロック図である。
【図2】図1に開示した個人認証システムにおける携帯電話がシェア画像aを取得する動作の動作処理ステップを示すシーケンスチャートである。
【図3】図1に開示した個人認証システムにおける認証処理全体の動作処理ステップを示すシーケンスチャートである。
【図4】図1に開示した個人認証システムにおける認証情報記録部に記憶された情報の形式の一例を示す説明図である。
【発明を実施するための形態】
【0019】
[実施形態]
次に、本発明の実施形態について、その基本的構成内容を説明する。
【0020】
本実施形態にかかる個人認証システムは、図1に示すように、被認証者001が操作するフォトフレーム機能付きのカメラ機能を有する携帯電話002と、携帯電話002からの要求に応じてパスワードおよびシェア画像を生成すると共に、ネットワークを介して送り込まれた認証要求に応じて認証処理を行う認証サーバ100と、認証サーバ100から送り込まれたシェア画像b(302:図1)を表示すると共に被認証者001からの入力を受付け認証サーバ100に対して認証要求を行う認証装置200を備えた構成となっている。
【0021】
認証サーバ100は、予め設定されたウェブページや画像情報などを、予め設定されたネットワークを介して携帯電話002または認証装置200に対して提供するウェブサーバ手段と、被認証者(001)からの要求に対して各要求に固有のシェア画像を作成するシェア画像生成部102と、被認証者からの要求に応じて各要求に固有の認証パスワードの生成発行を行うパスワード生成部103と、生成されたシェア画像および認証パスワードを関連付けて記憶する認証情報記録部101を備えた構成となっている。
【0022】
尚、認証サーバ100は、ネットワーク通信機能を備えた一般的なコンピュータ端末であって、CPU(Central Processing Unit)、メモリ、HDD(Hard Disk Drive)を備え、CPUが予め設定されたプログラムに基づく動作処理を実行することにより上記ウェブサーバ手段、認証情報記録部、シェア画像生成部102、およびパスワード生成部103の各種機能動作を実現するものとする。
【0023】
ウェブサーバ手段は、認証装置200から送信されたID情報を受け付け、このID情報を検索キーとして、認証情報記録部101にID情報、およびこのID情報に関連付けて設定されたシェア画像aが登録済みであるかを調べるシェア画像検索機能を備えている。
また、ウェブサーバ手段は、ID情報およびシェア画像aが認証情報記録部101に登録されていない場合、認証拒否と判定し、認証装置200に対してエラーメッセージを送信する(エラーメッセージ返却機能)。
更に、ウェブサーバ手段は、シェア画像生成部102により生成されたシェア画像bを認証装置200に送信する第2シェア画像送信機能を備えている。
【0024】
ウェブサーバ手段は、送信されたワンタイムパスワードが認証情報記録部101に予め登録されたワンタイムパスワードと一致した場合に、認証装置200の利用者(被認証者001)を正規利用者として認証する(認証処理機能)。
一方、ワンタイムパスワードが認証情報記録部101に予め登録されたワンタイムパスワードと一致しない場合(NG)、認証を拒否して認証処理を終了する。
【0025】
認証情報記録部101は、上述のように、シェア画像生成部102およびパスワード生成部103により生成されたシェア画像および認証パスワードを、被認証者に対して発行されたIDと関連付けた情報を記憶保持するID情報記憶機能を有する。
尚、この認証情報記録部101は、被認証者のIDとシェア画像および認証パスワードの識別子との関連付け内容を示す情報を、例えばテーブル情報として記憶する設定としてもよい。
また、認証情報記録部101は、生成されたシェア画像および認証パスワードであるファイルの複製ファイルを記憶する設定であってもよい。
【0026】
シェア画像生成部102(第2の画像生成部)は、被認証者001のID情報とシェア画像a(301:図1)との関連付けを行い認証情報記録部101に格納すると共に、このシェア画像aを携帯電話002に対して配信するシェア画像格納配信機能を有する。
また、シェア画像生成部102は、パスワード生成部103から入力されたシェア画像aとワンタイムパスワードに基づきシェア画像bを生成する第2シェア画像生成機能を有する。
ここで、シェア画像生成部102により生成されるシェア画像b(第2のシェア画像に相当)は、シェア画像aと重ね合わせる、(つまりシェア画像aとの合成画像生成する)、ことによって生成される合成画像中に文字画像として、予め設定されたワンタイムパスワードが視認可能に含まれるように設定される。つまり、シェア画像bは、認証パスワード(ワンタイムパスワード)を画像化した文字画像とシェア画像a(第1のシェア画像)との差分を示す差分画像であるものとする。
【0027】
更に、シェア画像生成部102は、シェア画像aとパスワードとに基づき、シェア画像aと重ね合わせることにより視認可能な認証パスワードを解釈でき、それ以外の画像と重ね合わせても正しく読み取れないような、シェア画像bを生成するものとする。
【0028】
また、シェア画像生成部102は、一定期間毎に被認証者001に設定されたシェア画像aを更新する、または新たにシェア画像aを生成する設定としてもよい。これにより、よりセキュリティを高めることが可能となる。
【0029】
パスワード生成部103は、被認証者が認証サーバ100に対してユーザ登録を行う際に、被認証者に対応したIDを発行するID発行機能と、認証装置200から認証サーバ100に対しての認証要求が行われた場合に、この認証要求に対応したパスワード(ワンタイムパスワード)を生成するパスワード生成発行機能を有する。
【0030】
尚、パスワード生成部103は、認証情報記録部101を参照する機能を有し、ID情報、および、このID情報に関連付けされたシェア画像aが登録されている場合にのみ、認証装置200から送り込まれたID情報(およびシェア画像a)に対応した認証パスワードを生成発行するものとする。
【0031】
また、パスワード生成部103は、被認証者から送り込まれたID情報に対応したシェア画像aと生成したパスワード(ワンタイムパスワード)をシェア画像生成部102に入力する。
【0032】
ここで、パスワード生成部103により発行されるパスワードは、認証装置200から認証サーバ100に対しての認証要求が行われる毎に生成される、ワンタイムパスワードであるものとする(図4:パスワード)。
ここで、生成されたワンタイムパスワードは、認証情報記録部101に保存される。また、このワンタイムパスワードは一定時間ごとに異なるパスワードが生成される設定としてもよい。
【0033】
更に、シェア画像生成部102が、シェア画像(a,b)を生成するための手法としては、例えば、単純にパスワード(ワンタイムパスワード)が含まれる画像(文字画像)を分解することにより生成するものであってもよい。
また、例えば、マトリックス認証のように、碁盤目上に数字を並べた画像をシェア画像bとし、そこから数字を選択する窓の画像をシェア画像aとしてもよい。
【0034】
本発明では、認証毎に認証サーバ100側でシェア画像bを生成することにより、ワンタイムパスワードの利用が可能であるが、そのためには複数のパスワードを解釈させることができるよう、シェア画像を生成する必要がある。
また、このシェア画像が単純な画像である場合には、例えばシェア画像が盗み見され、「なりすまし」のように不正に利用される場合が生じ得る。このため、ワンタイムパスワードが容易には視認するのが困難なある程度煩雑な画像であることが好ましい。
【0035】
そのため、分散画像を生成する手法として、視覚復号型秘密分散法を利用する設定としてもよい。視覚復号型秘密分散法とは、画像を細かくブロック化して分散画像を生成し、正しい分散画像を重ね合わせた場合にのみ、元の画像を判読することができるようにする技術である。
分散画像は、それぞれでは細かいノイズ画像で判読不能であり、また、不正な画像を重ね合わせても判読不能であるため、正しい元の分散画像を重ね合わせることにより視認可能となる画像内に含まれるパスワード情報が漏洩することを有効に抑制することができる。
【0036】
携帯電話002は、ネットワーク通信を介して取得した情報を表示する表示画面と、この表示画面上に認証サーバ(ウェブサーバ手段)から取得したウェブページを予め設定されたウェブブラウザ手段と、このウェブブラウザ手段を利用して認証サーバ100のウェブサーバ手段に設定されたウェブページ(例えば、オンラインバンクの登録用サイト)にアクセスし、予め設定されたID情報を送信するウェブアクセス機能を備えている。
【0037】
これにより、被認証者001は、携帯電話002の表示画面に表示されたウェブブラウザを介してインターネット経由で銀行などの金融機関のオンラインバンクやネットバンキング用のユーザ登録を行うことができる。
また、被認証者001は、携帯電話002のウェブブラウザを利用してID情報の入力を行い、これを認証サーバ100に送信することができる。
【0038】
尚、携帯電話002は、ID情報を認証サーバ100に送信することにより、認証サーバ100に対してシェア画像(シェア画像a)の発行を要求するものとする。
【0039】
また、携帯電話002は、認証サーバ100から配信されたシェア画像(a)を受信すると共に、認証用の画像として記憶する認証用画像記憶機能を備えている。
更に、携帯電話002は、カメラ撮影を行うカメラ機能と、事前に認証サーバ100から配布されたシェア画像aをフレーム画像として画面上に表示させた状態でカメラ撮影を行う(フレーム撮影機能)ことにより、シェア画像aの透過部分に撮影された画像を重ね合わせた合成画像を生成する撮影合成画像生成機能を備えている。
【0040】
ここで、上記フレーム撮影機能は、携帯電話のカメラ機能には、一般的に標準で搭載されている機能であり、撮影された撮影画像に、予め携帯電話内に記憶された画像を合成することにより装飾を施す機能を示す。このため、新たにデバイスやソフトウェアを準備する必要はない。
尚、フレーム画像と撮影画像との合成処理は、撮影が行われる際もしくは撮影後に行うことが可能であるものとする。
【0041】
これにより、携帯電話002は、認証装置200の表示部201に表示されたシェア画像bをカメラで撮影することで、シェア画像aの透過部分にシェア画像bを重ねあわせた合成画像を生成することができる。
ここで、携帯電話002の表示画面上には、予めフレーム画像として設定されたシェア画像aとカメラ機能により撮影されたシェア画像bとが合成され、合成画像が表示される。
このとき、携帯電話002の利用者である被認証者001は、この合成画像内に含まれるワンタイムパスワードを読み取ることができる。
【0042】
尚、シェア画像aが携帯電話上で自由に複製可能である場合、正確に所有者認証を行うことができないため、シェア画像aは、複製もしくは他の機器に対しての転送ができない形式の画像ファイルであるものとする。
これにより、携帯電話の所有者としての被認証者を正確に認証することができる。
【0043】
また、本実施形態では、携帯電話002のカメラ機能により、シェア画像aをフレーム画像として設定した状態で、表示画面201に表示されたシェア画像bを撮影し、これにより、携帯電話002がシェア画像bを取得する場合について説明しているが、認証サーバ100のウェブサーバ手段が携帯電話002に対してシェア画像bを送信することにより、携帯電話002がシェア画像bを取得する設定としてもよい。
【0044】
また、本実施形態では認証装置200に予め設定されたブラウザ(ウェブクライアント手段)を利用して被認証者001のID情報を認証サーバ100に送信する場合について説明しているが、携帯電話002に予め設定されたブラウザを利用して認証サーバ100に対してID情報(認証要求)を送信する設定であってもよい。
【0045】
認証装置200は、認証サーバ100に通信ネットワークを介して接続されたコンピュータ端末であって、認証サーバ100から送り込まれた画像情報などを出力表示するシェア画像b表示部(以下「表示部」という)201と、被認証者からのパスワードなどの入力を受け付けるパスワード入力部202を備えた構成となっている。
【0046】
また、認証装置200は、認証サーバ100のウェブサーバ手段により提供されるオンラインバンクなどのウェブサイトにアクセスし、そのウェブページを表示部201に表示する処理を行うウェブクライアント手段(ブラウザ)を備えている。
更に、認証装置200のブラウザは、被認証者がパスワード入力部202により入力したID情報などの情報を認証サーバ100に送信する入力情報送信機能を有する。
【0047】
認証装置200のウェブクライアント手段は、認証サーバ100(ウェブサーバ手段)から送り込まれたシェア画像bを受信し、このシェア画像bを表示部201に表示するシェア画像出力機能を有する。これにより、認証装置200の表示部201にシェア画像bが表示される。
【0048】
パスワード入力部202は、被認証者からの入力を受付け、ブラウザを介して認証サーバ100に入力内容を送信する。
これにより、例えば、被認証者(利用者)001は、携帯電話002の表示画面上の合成画像から読み取ったワンタイムパスワードを、パスワード入力部202を利用して入力することにより、このワンタイムパスワードを、第二認証用のパスワードとして認証サーバに送信して照会することができる。
【0049】
この照会に対して、認証サーバ100は、入力されたパスワードに基づき認証情報記録部101に保存された、被認証者001に対して発行した認証パスワードと比較し、認証パスワード(ワンタイムパスワード)が一致すれば、シェア画像aと携帯電話002の所有者として認証する。携帯電話002の所有者以外は、パスワードを知ることができないため、認証されない。
【0050】
尚、本実施形態では、合成画像内に視認可能に表示されるパスワード(ワンタイムパスワード)を第二認証用のパスワードとして利用している場合を示しているが、認証手続き開始時に被認証者001にIDのみを入力させ、合成画像内に視認可能に表示されるパスワード(ワンタイムパスワード)を、第一認証用のパスワードとして利用する設定としてもよい。
【0051】
また、本実施形態では、インターネットバンキングなどの厳密な認証が必要な場合においては、シェア画像を重ね合わせた結果読み取れる画像は、ユーザが一意にパスワードを解釈可能である必要があり、そのため、文字列などの画像が望ましい。
しかしながら、厳密さを求められる状況でない場合、合成画像内に表されるものは、文字列に限る必要はなく、例えば、人物や物の画像を表示させ、その名前をパスワードとして入力する設定としてもよい。
【0052】
また、予め表示内容について知っている人にしか解釈できない画像を表示させ、その解釈結果をパスワードとする設定としてもよい。これにより、よりセキュリティの高い個人利用者認証を行うことができる。
【0053】
また、本実施形態では、携帯電話のカメラ機能を利用しているが、フォトフレーム機能を備えた、一般のディジタルカメラを利用する構成としてもよい。尚、この場合、予めシェア画像aをフレーム画像としてディジタルカメラ内に記憶しているものとする。
【0054】
また、本実施形態では、認証毎に認証サーバ100と認証装置200間でシェア画像bや入力されたパスワードなどの情報の相互通信を行っているが、予め認証サーバ100において、被認証者毎のシェア画像bとワンタイムパスワードのペアを、異なる複数個生成しておき、これを認証装置200に送信しておく設定としてもよい。
【0055】
これにより、認証装置200側でのみ認証処理を実行できるので、認証サーバ100と認証装置200間における通信回数を軽減することができる。
また、認証サーバ100でシェア画像の生成などの全ての処理を行う場合、処理の負担が大きくなるため、シェア画像生成部102やパスワード生成部103の一部の動作機能を認証装置200側に設定する構成としてもよい。これにより、認証装置200における動作処理負荷を軽減することができる。
【0056】
以上のように、本実施形態では、人が容易に記憶すること、もしくは解釈することが困難な2つのシェア画像(a,b)を取得し、この2つの画像を合成することにより視認可能なパスワード(文字画像)が携帯電話の表示画面に表示させる構成としたことにより、パスワードの漏洩を有効に抑制することができ、携帯電話の所有者である正規利用者のユーザ認証を安全、かつ確実に行うことができる。
【0057】
また、本実施形態では、被認証者001は初回のシェア画像aの配信時のみ携帯電話002で認証サーバ100にアクセスするだけでよく、認証サーバ100側の処理のみでワンタイムパスワードを利用することができる。
このため、電波の届かない環境での認証処理も可能であり、通信費の発生や通信トラフィックの増大を有効に軽減することができる。
[実施形態の動作説明]
次に、本実施形態の動作について、その概略を説明する。
まず、認証サーバ100は、携帯電話002からの登録要求に応じて第1のシェア画像を生成すると共にこれを携帯電話002に送信し、この第1のシェア画像を取得した携帯電話002からの認証要求があった場合に、この認証要求に対する認証パスワードを発行し、第1のシェア画像および認証パスワードそれぞれを表示したときの表示差分である第2のシェア画像を生成し、携帯電話002は、第2のシェア画像を取得すると共に、前記第1および第2のシェア画像を合成した合成シェア画像を表示し、表示した合成シェア画像内に文字画像として含まれる前記認証パスワードを認証サーバ100に対して送信し、認証サーバ100がこの認証パスワードに基づき認証を行う。
【0058】
また、以下に示す動作を行う設定としてもよい。
まず、認証サーバ100は、携帯電話002からの登録要求に応じて第1のシェア画像を生成し携帯電話002に送信し、第1のシェア画像を取得した携帯電話002から認証要求があった場合に認証要求に対する認証パスワードを発行し、第1のシェア画像および認証パスワードそれぞれが表示されたときの表示差分としての第2のシェア画像を生成し、この第2のシェア画像を情報表示装置(認証装置200)に送信し、携帯電話002は、認証装置200に表示された第2のシェア画像を撮影し、この撮影により得られた第2のシェア画像と第1シェア画像とを合成した合成シェア画像を生成し、前記合成シェア画像内に表示された前記認証パスワードを認証サーバ100に対して認証用に送信し、認証サーバ100がこの認証パスワードに基づき認証を行う。
【0059】
次に、本実施形態である個人認証システムの動作について、図2のフローチャートに基づいて説明する。
【0060】
まず、被認証者001は、フォトフレーム撮影機能付き携帯電話(以下「携帯電話」という)002を利用して、インターネット経由で銀行などの金融機関のオンラインバンクやネットバンキング用のユーザ登録を行う。
ここでは、本実施形態における、このユーザ登録の動作ステップについて、図2のフローチャートに基づき説明する。
【0061】
被認証者001は、携帯電話002に予め設定されたウェブブラウザを利用してオンラインバンクの登録用サイト(シェア画像発行用サイト)にアクセスし、被認証者001に予め設定されたID情報を認証サーバ100に送信する(ステップS01)。
ここで、被認証者001は、携帯電話002の表示画面に表示されたウェブブラウザに対してID情報の入力を行い、これを認証サーバ100に送信するものとする。
【0062】
これにより、被認証者001は、認証サーバ100に対してシェア画像(シェア画像a)の発行を要求する。
【0063】
認証サーバ100は、携帯電話002から送り込まれたID情報を受付け(ステップS02)、シェア画像生成部102が、このID情報に対応したシェア画像aを生成する(ステップS03)。
次いで、シェア画像生成部102は、被認証者001のID情報とシェア画像aとの関連付けを行う。ここで、シェア画像生成部102は、このシェア画像aを認証情報記録部101に格納し(ステップS04)、このシェア画像aを携帯電話002に対して配信する(ステップS05)。
【0064】
携帯電話002は、配信されたシェア画像aを受信すると共に、認証用の画像として記憶する(ステップS06)。
【0065】
次に、上述のようにユーザ登録を行ったオンラインバンク(ネットバンキング)を被認証者001が利用する場合の認証動作について、図3のフローチャートに基づき説明する。
【0066】
被認証者001は、予め設定されたコンピュータ端末(以下「PC」という)である認証装置200を介してオンラインバンクのウェブサイトにアクセスする。
ここでは、認証装置200の表示部201にオンラインバンクのウェブサイトが表示されているものとする。
【0067】
まず、被認証者001は、第一認証として、上記発行されたID(ID情報)を、認証装置200のブラウザに入力しこのブラウザを介して認証サーバ100に、認証要求として送信する(ステップS07:ID情報送信)。
ここで、上記ID情報は、被認証者001に対して発行されたIDとこのIDに対応して設定されたパスワードを含んでいてもよい。
【0068】
認証サーバ100は、認証装置200から送信されたID情報を受け付け(ステップS08:ID情報受付)、このID情報を検索キーとして、認証情報記録部101にID情報、およびこのID情報に関連付けて設定されたシェア画像aが登録済みであるかを調べる(ステップS09:ID情報とシェア画像aを検索)。
【0069】
ここで、ID情報およびシェア画像aが登録されていない場合(ID情報なし)は、認証拒否と判定し、被認証者端末001に対してエラーメッセージを送信する(ステップS11:エラーメッセージ返却)。
【0070】
認証装置200から送り込まれたID情報とこのID情報に関連付けされたシェア画像aが認証情報記録部101に登録されている場合(ID情報発見)、パスワード生成部103は、送り込まれたID情報およびシェア画像aに対応する認証パスワードを生成発行する(ステップS12:パスワード生成)。
【0071】
尚、パスワード生成部103により発行されるパスワードは、認証装置200から認証サーバ100に対する認証要求毎に生成される、ワンタイムパスワードであるものとする。
ここで、生成されたワンタイムパスワードは、認証情報記録部101に保存される。図4に、認証情報記録部101の保存データの一例を示す。
【0072】
尚、本実施形態におけるステップS07では、認証装置200に予め設定されたブラウザを利用してID情報を認証装置に送信する設定について説明しているが、携帯電話002に設定されたブラウザを利用して認証サーバ100に対してID情報(認証要求)を送信する設定であってもよい。
【0073】
次いで、パスワード生成部103は、上記ID情報に対応したシェア画像aとワンタイムパスワードをシェア画像生成部102に入力し、シェア画像生成部102(第2の画像生成部)は、入力されたシェア画像aとワンタイムパスワードに基づきシェア画像bを生成する(ステップS13:シェア画像bを生成)
【0074】
ここで、生成されるシェア画像b(第2のシェア画像に相当)は、シェア画像aと重ね合わせる、(つまりシェア画像aとの合成画像生成する)、ことにより生成された合成画像中に文字画像としてのワンタイムパスワードが視認可能に含まれるように設定されたものであり、つまり、シェア画像bは、認証パスワード(ワンタイムパスワード)を画像化した文字画像とシェア画像a(第1のシェア画像)との差分を示す差分画像であるものとする。
【0075】
次いで、認証サーバ100のウェブサーバ手段が、シェア画像生成部102により生成されたシェア画像bを認証装置200に送信する。
認証装置200は、認証サーバ100から送り込まれたシェア画像bを受信し、認証装置200のブラウザ(ウェブクライアント手段)が、このシェア画像bを表示する。これにより、認証装置200の表示部201にシェア画像bが表示される(ステップS14)。
【0076】
次いで、被認証者001は、携帯電話002のカメラ機能により、シェア画像aをフレーム画像として設定した状態で、認証装置200の表示画面201に表示されたシェア画像bを撮影する(ステップS15)。これにより、携帯電話002は、シェア画像bを取得する。
【0077】
ここで、携帯電話002の表示画面上には、予めフレーム画像として設定されたシェア画像aとカメラ機能により撮影されたシェア画像bとが合成され、合成画像が表示される。
ここで、携帯電話002の利用者である被認証者001は、この合成画像内に含まれるワンタイムパスワードを読み取ることができる。
【0078】
次いで、被認証者(利用者)001は、合成画像から読み取ったワンタイムパスワードを認証装置(PC)200におけるパスワード入力部202(WEBブラウザ)に入力することにより、ワンタイムパスワードを認証サーバ100に送信する(ステップS16)。
【0079】
認証サーバ100は、送信されたワンタイムパスワードが認証情報記録部101に予め登録されたワンタイムパスワードと一致した場合に、認証装置200の利用者(被認証者001)を正規利用者として認証する(ステップS17)。
一方、ワンタイムパスワードが認証情報記録部101に予め登録されたワンタイムパスワードと一致しない場合(NG)、認証を拒否して認証処理を終了する。
【0080】
以上のように、本実施形態では、フレーム機能付きカメラ撮影が可能な携帯電話(携帯端末)を利用し、予め設定されたユーザIDに基づく知識認証と、シェア画像a,bを携帯電話内に保持した場合に視認可能となるパスワードとを組み合わせることにより、セキュリティの高い二要素認証を実現することが可能となる。
また、本実施形態は、ICカード認証やワンタイムパスワード認証があるが、専用ICカードリーダや、ハードウェアトークン、ソフトウェアトークンなどを必要とすることなく、一般に利用されるカメラ機能付きの携帯電話を利用した構成により実現可能であることから、本実施形態の導入にかかる導入コストを有効に抑制することができる。
【0081】
更には、被認証者001は初回のシェア画像aの配信時のみ、携帯電話002で認証サーバ100にアクセスするだけでよく、認証サーバ100側の処理のみでワンタイムパスワードを利用することができるため、携帯電話002は、認証毎に認証サーバ100に対して通信を行う必要がない。
このため、携帯電話における電波の届かない環境においても認証処理を行うことが可能であり、更には、被認証者001が認証毎に通信費を負担する必要がないといった効果を有する。
【産業上の利用可能性】
【0082】
本発明は、二要素認証により所有物(および所有者)認証を行う認証システムに対して有用に適用することができる。
【符号の説明】
【0083】
001 被認証者
002 携帯電話
100 認証サーバ
101 認証情報記録部
102 シェア画像生成部
103 パスワード生成部
200 認証装置
201 表示部
202 パスワード入力部
301 シェア画像a
302 シェア画像b
【技術分野】
【0001】
本発明は、ネットワークを介して端末利用者の個人認証を行う認証システムに関する。
【背景技術】
【0002】
銀行のATM(現金自動預け払い機)やオンラインバンキングなどにおける認証システムとして、IC(Integrated Circuit)カード認証やワンタイムパスワード認証を利用した二要素認証を行う認証システムが広く利用されている。また、携帯電話端末を利用した認証を行う手法も開示されている。
【0003】
しかしながら、上記認証システムでは、例えば、専用のICカードリーダやハードウェアトークン、ソフトウェアトークンなどが必要となり、導入コストが高くなってしまうといった不都合がある。
また、これらの認証システムでは、被認証者はICカードやトークンを常に持ち歩き、厳重に管理する必要があり、利用者の負担が大きいという不都合がある。
【0004】
また、携帯電話端末を利用した認証システムでは、ユーザは認証を行う毎に携帯電話を利用してサーバと通信を行う必要が生じるため、通信ができない状況および環境では、この認証システムを利用することができないという不都合が生じ得る。また、認証を行う際に通信費用が発生してしまうといった不都合があった。
【0005】
更に、例えば、インターネットバンキングの第二認証として、碁盤目状に並ぶ表の中から特定の位置の数字を選び入力させるマトリックス認証が広く用いられているが、この場合、位置情報を盗み見られてしまった場合、本人になりすまして認証を受けることが可能となってしまうといった不都合があった。また、このマトリックス認証についても知識認証であることから、所有物認証としての理想的な二要素認証とはなっていない。
【0006】
これに対する関連技術として、認証サーバへのURL(Uniform Resource Locator)をPC(Personal Computer)画面上にQR(Quick Response)コードで表示し、携帯電話におけるカメラによりこのQRコードを読み取り、認証サーバにアクセスすることで認証を受ける認証システムが開示されている(特許文献1)。
【0007】
また、この関連技術として、暗号化したパスワードをPCの画面上にQRコードとして表示させ、携帯電話のカメラによりQRコードを読み取り、携帯電話に内蔵されている、被認証者所有の復元ソフトウェアを利用して解読を行う認証システムが開示されている(特許文献2)。
【0008】
更には、この関連技術として、電子投票のパスワードを視覚復号型秘密分散法により生成したシェア画像を透過フィルムに印刷し、このパスワードを郵便で有権者に配布する手法が開示されている(特許文献3)。
【先行技術文献】
【特許文献】
【0009】
【特許文献1】特開2007−108973公報
【特許文献2】特開2009−64400公報
【特許文献3】特開2007−183707公報
【発明の概要】
【発明が解決しようとする課題】
【0010】
しかしながら、上記特許文献1に開示された関連技術では、認証処理を必要とする毎に携帯電話から認証サーバへの通信を行う必要があり、通信費用が多大にかかり、更には、通信トラフィックが増大してしまう、といった不都合が生じ得る。
【0011】
また、上記特許文献2に開示された関連技術では、携帯電話で暗号化されたデータを復号するために、専用のアプリケーションが必要となり、導入コストが高価となってしまうといった不都合がある。
【0012】
更に、上記特許文献3の関連技術は、銀行のATMやインターネットを介しての取引時の認証時には適用することができず、また、郵便を利用した配布のため、パスワードを迅速に配布することができず、更には、パスワードが漏洩した場合の対処や、パスワードの変更およびその配布などにも多大な時間がかかってしまうといった不都合がある。
【0013】
[発明の目的]
本発明は、上記関連技術の有する不都合を改善し、被認証者に対して認証用のパスワードをより安全かつ確実に通知し得る個人認証システム、個人認証方法を提供することを、その目的とする。
【課題を解決するための手段】
【0014】
上記目的を達成するために、本発明に係る個人認証システムは、ネットワークを介して行われる認証要求に対して予め設定された認証パスワードに基づき利用者認証を行う認証サーバと、前記認証サーバから送られた画像情報を表示する表示画面を有する携帯端末とを備えた個人認証システムであって、前記認証サーバは、前記携帯端末からの登録要求に応じて第1のシェア画像を生成しこれを前記携帯端末に送信する第1の画像生成送信部と、前記第1のシェア画像を取得した前記携帯端末からの認証要求に対して認証パスワードを生成し発行するパスワード発行部と、前記認証パスワードおよび前記第1のシェア画像それぞれを表示した場合の表示差分である差分画像を第2のシェア画像として生成する第2の画像生成部とを備え、前記携帯端末は、前記第1および第2のシェア画像を合成した合成シェア画像を前記表示画面に表示する画像合成処理部を備え、前記表示された合成シェア画像内には前記認証パスワードが文字画像として表示されることを特徴としている。
【0015】
また、本発明にかかる個人認証方法は、予め設定された認証パスワードに基づき利用者の認証を行う認証サーバと、前記認証サーバから送り込まれた画像情報を表示する表示画面を有する携帯端末とを備えた個人認証システムにあって、前記携帯端末の利用者認証を行う個人認証方法であって、前記認証サーバは、前記携帯端末からの登録要求に応じて第1のシェア画像を生成し前記携帯端末に送信し、前記第1のシェア画像を取得した携帯端末からの認証要求があった場合にこの認証要求に対する認証パスワードを発行し、前記第1のシェア画像および前記認証パスワードそれぞれを表示されたときの表示差分である第2のシェア画像を生成し、前記携帯端末は、前記第2のシェア画像を取得すると共に前記第1および第2のシェア画像を合成した合成シェア画像を表示し、表示した前記合成シェア画像内に文字画像として含まれる前記認証パスワードを前記認証サーバに対して送信することを特徴としている。
【0016】
又、本発明にかかる個人認証プログラムは、撮影用のカメラ部を有する携帯端末と、前記携帯端末から送られた認証パスワードに基づき利用者認証を行う認証サーバと、前記認証サーバから送り込まれた画像情報を表示する情報表示装置とを備えた個人認証システムにあって、前記携帯端末の認証を行う個人認証方法であって、前記認証サーバは、前記携帯端末からの登録要求に応じて第1のシェア画像を生成し前記携帯端末に送信し、前記第1のシェア画像を取得した携帯端末から認証要求があった場合に当該認証要求に対する認証パスワードを発行し、前記第1のシェア画像および前記認証パスワードそれぞれが表示されたときの表示差分としての第2のシェア画像を生成すると共に当該第2のシェア画像を前記情報表示装置に送信し、前記携帯端末は、前記情報表示装置に表示された前記第2のシェア画像を撮影し、当該撮影により得られた前記第2のシェア画像と前記第1シェア画像とを合成した合成シェア画像を生成し、前記合成シェア画像内に表示された前記認証パスワードを前記認証サーバに対して認証用に送信することを特徴としている。
【発明の効果】
【0017】
本発明は、以上のように構成され機能するので、これによると、携帯端末の表示画面に予め取得した第1のシェア画像と、認証サーバから新たに取得した第2のシェア画像を重ね合わせた合成画像を表示し、この合成画像内に認証サーバにより発行されたパスワードを視認可能に表示する構成としたことにより、認証用のパスワードを被認証者に対してより安全かつ確実に通知する個人認証システム、個人認証方法を提供することができる。
【図面の簡単な説明】
【0018】
【図1】本発明による個人認証システムにおける一実施形態を示す概略ブロック図である。
【図2】図1に開示した個人認証システムにおける携帯電話がシェア画像aを取得する動作の動作処理ステップを示すシーケンスチャートである。
【図3】図1に開示した個人認証システムにおける認証処理全体の動作処理ステップを示すシーケンスチャートである。
【図4】図1に開示した個人認証システムにおける認証情報記録部に記憶された情報の形式の一例を示す説明図である。
【発明を実施するための形態】
【0019】
[実施形態]
次に、本発明の実施形態について、その基本的構成内容を説明する。
【0020】
本実施形態にかかる個人認証システムは、図1に示すように、被認証者001が操作するフォトフレーム機能付きのカメラ機能を有する携帯電話002と、携帯電話002からの要求に応じてパスワードおよびシェア画像を生成すると共に、ネットワークを介して送り込まれた認証要求に応じて認証処理を行う認証サーバ100と、認証サーバ100から送り込まれたシェア画像b(302:図1)を表示すると共に被認証者001からの入力を受付け認証サーバ100に対して認証要求を行う認証装置200を備えた構成となっている。
【0021】
認証サーバ100は、予め設定されたウェブページや画像情報などを、予め設定されたネットワークを介して携帯電話002または認証装置200に対して提供するウェブサーバ手段と、被認証者(001)からの要求に対して各要求に固有のシェア画像を作成するシェア画像生成部102と、被認証者からの要求に応じて各要求に固有の認証パスワードの生成発行を行うパスワード生成部103と、生成されたシェア画像および認証パスワードを関連付けて記憶する認証情報記録部101を備えた構成となっている。
【0022】
尚、認証サーバ100は、ネットワーク通信機能を備えた一般的なコンピュータ端末であって、CPU(Central Processing Unit)、メモリ、HDD(Hard Disk Drive)を備え、CPUが予め設定されたプログラムに基づく動作処理を実行することにより上記ウェブサーバ手段、認証情報記録部、シェア画像生成部102、およびパスワード生成部103の各種機能動作を実現するものとする。
【0023】
ウェブサーバ手段は、認証装置200から送信されたID情報を受け付け、このID情報を検索キーとして、認証情報記録部101にID情報、およびこのID情報に関連付けて設定されたシェア画像aが登録済みであるかを調べるシェア画像検索機能を備えている。
また、ウェブサーバ手段は、ID情報およびシェア画像aが認証情報記録部101に登録されていない場合、認証拒否と判定し、認証装置200に対してエラーメッセージを送信する(エラーメッセージ返却機能)。
更に、ウェブサーバ手段は、シェア画像生成部102により生成されたシェア画像bを認証装置200に送信する第2シェア画像送信機能を備えている。
【0024】
ウェブサーバ手段は、送信されたワンタイムパスワードが認証情報記録部101に予め登録されたワンタイムパスワードと一致した場合に、認証装置200の利用者(被認証者001)を正規利用者として認証する(認証処理機能)。
一方、ワンタイムパスワードが認証情報記録部101に予め登録されたワンタイムパスワードと一致しない場合(NG)、認証を拒否して認証処理を終了する。
【0025】
認証情報記録部101は、上述のように、シェア画像生成部102およびパスワード生成部103により生成されたシェア画像および認証パスワードを、被認証者に対して発行されたIDと関連付けた情報を記憶保持するID情報記憶機能を有する。
尚、この認証情報記録部101は、被認証者のIDとシェア画像および認証パスワードの識別子との関連付け内容を示す情報を、例えばテーブル情報として記憶する設定としてもよい。
また、認証情報記録部101は、生成されたシェア画像および認証パスワードであるファイルの複製ファイルを記憶する設定であってもよい。
【0026】
シェア画像生成部102(第2の画像生成部)は、被認証者001のID情報とシェア画像a(301:図1)との関連付けを行い認証情報記録部101に格納すると共に、このシェア画像aを携帯電話002に対して配信するシェア画像格納配信機能を有する。
また、シェア画像生成部102は、パスワード生成部103から入力されたシェア画像aとワンタイムパスワードに基づきシェア画像bを生成する第2シェア画像生成機能を有する。
ここで、シェア画像生成部102により生成されるシェア画像b(第2のシェア画像に相当)は、シェア画像aと重ね合わせる、(つまりシェア画像aとの合成画像生成する)、ことによって生成される合成画像中に文字画像として、予め設定されたワンタイムパスワードが視認可能に含まれるように設定される。つまり、シェア画像bは、認証パスワード(ワンタイムパスワード)を画像化した文字画像とシェア画像a(第1のシェア画像)との差分を示す差分画像であるものとする。
【0027】
更に、シェア画像生成部102は、シェア画像aとパスワードとに基づき、シェア画像aと重ね合わせることにより視認可能な認証パスワードを解釈でき、それ以外の画像と重ね合わせても正しく読み取れないような、シェア画像bを生成するものとする。
【0028】
また、シェア画像生成部102は、一定期間毎に被認証者001に設定されたシェア画像aを更新する、または新たにシェア画像aを生成する設定としてもよい。これにより、よりセキュリティを高めることが可能となる。
【0029】
パスワード生成部103は、被認証者が認証サーバ100に対してユーザ登録を行う際に、被認証者に対応したIDを発行するID発行機能と、認証装置200から認証サーバ100に対しての認証要求が行われた場合に、この認証要求に対応したパスワード(ワンタイムパスワード)を生成するパスワード生成発行機能を有する。
【0030】
尚、パスワード生成部103は、認証情報記録部101を参照する機能を有し、ID情報、および、このID情報に関連付けされたシェア画像aが登録されている場合にのみ、認証装置200から送り込まれたID情報(およびシェア画像a)に対応した認証パスワードを生成発行するものとする。
【0031】
また、パスワード生成部103は、被認証者から送り込まれたID情報に対応したシェア画像aと生成したパスワード(ワンタイムパスワード)をシェア画像生成部102に入力する。
【0032】
ここで、パスワード生成部103により発行されるパスワードは、認証装置200から認証サーバ100に対しての認証要求が行われる毎に生成される、ワンタイムパスワードであるものとする(図4:パスワード)。
ここで、生成されたワンタイムパスワードは、認証情報記録部101に保存される。また、このワンタイムパスワードは一定時間ごとに異なるパスワードが生成される設定としてもよい。
【0033】
更に、シェア画像生成部102が、シェア画像(a,b)を生成するための手法としては、例えば、単純にパスワード(ワンタイムパスワード)が含まれる画像(文字画像)を分解することにより生成するものであってもよい。
また、例えば、マトリックス認証のように、碁盤目上に数字を並べた画像をシェア画像bとし、そこから数字を選択する窓の画像をシェア画像aとしてもよい。
【0034】
本発明では、認証毎に認証サーバ100側でシェア画像bを生成することにより、ワンタイムパスワードの利用が可能であるが、そのためには複数のパスワードを解釈させることができるよう、シェア画像を生成する必要がある。
また、このシェア画像が単純な画像である場合には、例えばシェア画像が盗み見され、「なりすまし」のように不正に利用される場合が生じ得る。このため、ワンタイムパスワードが容易には視認するのが困難なある程度煩雑な画像であることが好ましい。
【0035】
そのため、分散画像を生成する手法として、視覚復号型秘密分散法を利用する設定としてもよい。視覚復号型秘密分散法とは、画像を細かくブロック化して分散画像を生成し、正しい分散画像を重ね合わせた場合にのみ、元の画像を判読することができるようにする技術である。
分散画像は、それぞれでは細かいノイズ画像で判読不能であり、また、不正な画像を重ね合わせても判読不能であるため、正しい元の分散画像を重ね合わせることにより視認可能となる画像内に含まれるパスワード情報が漏洩することを有効に抑制することができる。
【0036】
携帯電話002は、ネットワーク通信を介して取得した情報を表示する表示画面と、この表示画面上に認証サーバ(ウェブサーバ手段)から取得したウェブページを予め設定されたウェブブラウザ手段と、このウェブブラウザ手段を利用して認証サーバ100のウェブサーバ手段に設定されたウェブページ(例えば、オンラインバンクの登録用サイト)にアクセスし、予め設定されたID情報を送信するウェブアクセス機能を備えている。
【0037】
これにより、被認証者001は、携帯電話002の表示画面に表示されたウェブブラウザを介してインターネット経由で銀行などの金融機関のオンラインバンクやネットバンキング用のユーザ登録を行うことができる。
また、被認証者001は、携帯電話002のウェブブラウザを利用してID情報の入力を行い、これを認証サーバ100に送信することができる。
【0038】
尚、携帯電話002は、ID情報を認証サーバ100に送信することにより、認証サーバ100に対してシェア画像(シェア画像a)の発行を要求するものとする。
【0039】
また、携帯電話002は、認証サーバ100から配信されたシェア画像(a)を受信すると共に、認証用の画像として記憶する認証用画像記憶機能を備えている。
更に、携帯電話002は、カメラ撮影を行うカメラ機能と、事前に認証サーバ100から配布されたシェア画像aをフレーム画像として画面上に表示させた状態でカメラ撮影を行う(フレーム撮影機能)ことにより、シェア画像aの透過部分に撮影された画像を重ね合わせた合成画像を生成する撮影合成画像生成機能を備えている。
【0040】
ここで、上記フレーム撮影機能は、携帯電話のカメラ機能には、一般的に標準で搭載されている機能であり、撮影された撮影画像に、予め携帯電話内に記憶された画像を合成することにより装飾を施す機能を示す。このため、新たにデバイスやソフトウェアを準備する必要はない。
尚、フレーム画像と撮影画像との合成処理は、撮影が行われる際もしくは撮影後に行うことが可能であるものとする。
【0041】
これにより、携帯電話002は、認証装置200の表示部201に表示されたシェア画像bをカメラで撮影することで、シェア画像aの透過部分にシェア画像bを重ねあわせた合成画像を生成することができる。
ここで、携帯電話002の表示画面上には、予めフレーム画像として設定されたシェア画像aとカメラ機能により撮影されたシェア画像bとが合成され、合成画像が表示される。
このとき、携帯電話002の利用者である被認証者001は、この合成画像内に含まれるワンタイムパスワードを読み取ることができる。
【0042】
尚、シェア画像aが携帯電話上で自由に複製可能である場合、正確に所有者認証を行うことができないため、シェア画像aは、複製もしくは他の機器に対しての転送ができない形式の画像ファイルであるものとする。
これにより、携帯電話の所有者としての被認証者を正確に認証することができる。
【0043】
また、本実施形態では、携帯電話002のカメラ機能により、シェア画像aをフレーム画像として設定した状態で、表示画面201に表示されたシェア画像bを撮影し、これにより、携帯電話002がシェア画像bを取得する場合について説明しているが、認証サーバ100のウェブサーバ手段が携帯電話002に対してシェア画像bを送信することにより、携帯電話002がシェア画像bを取得する設定としてもよい。
【0044】
また、本実施形態では認証装置200に予め設定されたブラウザ(ウェブクライアント手段)を利用して被認証者001のID情報を認証サーバ100に送信する場合について説明しているが、携帯電話002に予め設定されたブラウザを利用して認証サーバ100に対してID情報(認証要求)を送信する設定であってもよい。
【0045】
認証装置200は、認証サーバ100に通信ネットワークを介して接続されたコンピュータ端末であって、認証サーバ100から送り込まれた画像情報などを出力表示するシェア画像b表示部(以下「表示部」という)201と、被認証者からのパスワードなどの入力を受け付けるパスワード入力部202を備えた構成となっている。
【0046】
また、認証装置200は、認証サーバ100のウェブサーバ手段により提供されるオンラインバンクなどのウェブサイトにアクセスし、そのウェブページを表示部201に表示する処理を行うウェブクライアント手段(ブラウザ)を備えている。
更に、認証装置200のブラウザは、被認証者がパスワード入力部202により入力したID情報などの情報を認証サーバ100に送信する入力情報送信機能を有する。
【0047】
認証装置200のウェブクライアント手段は、認証サーバ100(ウェブサーバ手段)から送り込まれたシェア画像bを受信し、このシェア画像bを表示部201に表示するシェア画像出力機能を有する。これにより、認証装置200の表示部201にシェア画像bが表示される。
【0048】
パスワード入力部202は、被認証者からの入力を受付け、ブラウザを介して認証サーバ100に入力内容を送信する。
これにより、例えば、被認証者(利用者)001は、携帯電話002の表示画面上の合成画像から読み取ったワンタイムパスワードを、パスワード入力部202を利用して入力することにより、このワンタイムパスワードを、第二認証用のパスワードとして認証サーバに送信して照会することができる。
【0049】
この照会に対して、認証サーバ100は、入力されたパスワードに基づき認証情報記録部101に保存された、被認証者001に対して発行した認証パスワードと比較し、認証パスワード(ワンタイムパスワード)が一致すれば、シェア画像aと携帯電話002の所有者として認証する。携帯電話002の所有者以外は、パスワードを知ることができないため、認証されない。
【0050】
尚、本実施形態では、合成画像内に視認可能に表示されるパスワード(ワンタイムパスワード)を第二認証用のパスワードとして利用している場合を示しているが、認証手続き開始時に被認証者001にIDのみを入力させ、合成画像内に視認可能に表示されるパスワード(ワンタイムパスワード)を、第一認証用のパスワードとして利用する設定としてもよい。
【0051】
また、本実施形態では、インターネットバンキングなどの厳密な認証が必要な場合においては、シェア画像を重ね合わせた結果読み取れる画像は、ユーザが一意にパスワードを解釈可能である必要があり、そのため、文字列などの画像が望ましい。
しかしながら、厳密さを求められる状況でない場合、合成画像内に表されるものは、文字列に限る必要はなく、例えば、人物や物の画像を表示させ、その名前をパスワードとして入力する設定としてもよい。
【0052】
また、予め表示内容について知っている人にしか解釈できない画像を表示させ、その解釈結果をパスワードとする設定としてもよい。これにより、よりセキュリティの高い個人利用者認証を行うことができる。
【0053】
また、本実施形態では、携帯電話のカメラ機能を利用しているが、フォトフレーム機能を備えた、一般のディジタルカメラを利用する構成としてもよい。尚、この場合、予めシェア画像aをフレーム画像としてディジタルカメラ内に記憶しているものとする。
【0054】
また、本実施形態では、認証毎に認証サーバ100と認証装置200間でシェア画像bや入力されたパスワードなどの情報の相互通信を行っているが、予め認証サーバ100において、被認証者毎のシェア画像bとワンタイムパスワードのペアを、異なる複数個生成しておき、これを認証装置200に送信しておく設定としてもよい。
【0055】
これにより、認証装置200側でのみ認証処理を実行できるので、認証サーバ100と認証装置200間における通信回数を軽減することができる。
また、認証サーバ100でシェア画像の生成などの全ての処理を行う場合、処理の負担が大きくなるため、シェア画像生成部102やパスワード生成部103の一部の動作機能を認証装置200側に設定する構成としてもよい。これにより、認証装置200における動作処理負荷を軽減することができる。
【0056】
以上のように、本実施形態では、人が容易に記憶すること、もしくは解釈することが困難な2つのシェア画像(a,b)を取得し、この2つの画像を合成することにより視認可能なパスワード(文字画像)が携帯電話の表示画面に表示させる構成としたことにより、パスワードの漏洩を有効に抑制することができ、携帯電話の所有者である正規利用者のユーザ認証を安全、かつ確実に行うことができる。
【0057】
また、本実施形態では、被認証者001は初回のシェア画像aの配信時のみ携帯電話002で認証サーバ100にアクセスするだけでよく、認証サーバ100側の処理のみでワンタイムパスワードを利用することができる。
このため、電波の届かない環境での認証処理も可能であり、通信費の発生や通信トラフィックの増大を有効に軽減することができる。
[実施形態の動作説明]
次に、本実施形態の動作について、その概略を説明する。
まず、認証サーバ100は、携帯電話002からの登録要求に応じて第1のシェア画像を生成すると共にこれを携帯電話002に送信し、この第1のシェア画像を取得した携帯電話002からの認証要求があった場合に、この認証要求に対する認証パスワードを発行し、第1のシェア画像および認証パスワードそれぞれを表示したときの表示差分である第2のシェア画像を生成し、携帯電話002は、第2のシェア画像を取得すると共に、前記第1および第2のシェア画像を合成した合成シェア画像を表示し、表示した合成シェア画像内に文字画像として含まれる前記認証パスワードを認証サーバ100に対して送信し、認証サーバ100がこの認証パスワードに基づき認証を行う。
【0058】
また、以下に示す動作を行う設定としてもよい。
まず、認証サーバ100は、携帯電話002からの登録要求に応じて第1のシェア画像を生成し携帯電話002に送信し、第1のシェア画像を取得した携帯電話002から認証要求があった場合に認証要求に対する認証パスワードを発行し、第1のシェア画像および認証パスワードそれぞれが表示されたときの表示差分としての第2のシェア画像を生成し、この第2のシェア画像を情報表示装置(認証装置200)に送信し、携帯電話002は、認証装置200に表示された第2のシェア画像を撮影し、この撮影により得られた第2のシェア画像と第1シェア画像とを合成した合成シェア画像を生成し、前記合成シェア画像内に表示された前記認証パスワードを認証サーバ100に対して認証用に送信し、認証サーバ100がこの認証パスワードに基づき認証を行う。
【0059】
次に、本実施形態である個人認証システムの動作について、図2のフローチャートに基づいて説明する。
【0060】
まず、被認証者001は、フォトフレーム撮影機能付き携帯電話(以下「携帯電話」という)002を利用して、インターネット経由で銀行などの金融機関のオンラインバンクやネットバンキング用のユーザ登録を行う。
ここでは、本実施形態における、このユーザ登録の動作ステップについて、図2のフローチャートに基づき説明する。
【0061】
被認証者001は、携帯電話002に予め設定されたウェブブラウザを利用してオンラインバンクの登録用サイト(シェア画像発行用サイト)にアクセスし、被認証者001に予め設定されたID情報を認証サーバ100に送信する(ステップS01)。
ここで、被認証者001は、携帯電話002の表示画面に表示されたウェブブラウザに対してID情報の入力を行い、これを認証サーバ100に送信するものとする。
【0062】
これにより、被認証者001は、認証サーバ100に対してシェア画像(シェア画像a)の発行を要求する。
【0063】
認証サーバ100は、携帯電話002から送り込まれたID情報を受付け(ステップS02)、シェア画像生成部102が、このID情報に対応したシェア画像aを生成する(ステップS03)。
次いで、シェア画像生成部102は、被認証者001のID情報とシェア画像aとの関連付けを行う。ここで、シェア画像生成部102は、このシェア画像aを認証情報記録部101に格納し(ステップS04)、このシェア画像aを携帯電話002に対して配信する(ステップS05)。
【0064】
携帯電話002は、配信されたシェア画像aを受信すると共に、認証用の画像として記憶する(ステップS06)。
【0065】
次に、上述のようにユーザ登録を行ったオンラインバンク(ネットバンキング)を被認証者001が利用する場合の認証動作について、図3のフローチャートに基づき説明する。
【0066】
被認証者001は、予め設定されたコンピュータ端末(以下「PC」という)である認証装置200を介してオンラインバンクのウェブサイトにアクセスする。
ここでは、認証装置200の表示部201にオンラインバンクのウェブサイトが表示されているものとする。
【0067】
まず、被認証者001は、第一認証として、上記発行されたID(ID情報)を、認証装置200のブラウザに入力しこのブラウザを介して認証サーバ100に、認証要求として送信する(ステップS07:ID情報送信)。
ここで、上記ID情報は、被認証者001に対して発行されたIDとこのIDに対応して設定されたパスワードを含んでいてもよい。
【0068】
認証サーバ100は、認証装置200から送信されたID情報を受け付け(ステップS08:ID情報受付)、このID情報を検索キーとして、認証情報記録部101にID情報、およびこのID情報に関連付けて設定されたシェア画像aが登録済みであるかを調べる(ステップS09:ID情報とシェア画像aを検索)。
【0069】
ここで、ID情報およびシェア画像aが登録されていない場合(ID情報なし)は、認証拒否と判定し、被認証者端末001に対してエラーメッセージを送信する(ステップS11:エラーメッセージ返却)。
【0070】
認証装置200から送り込まれたID情報とこのID情報に関連付けされたシェア画像aが認証情報記録部101に登録されている場合(ID情報発見)、パスワード生成部103は、送り込まれたID情報およびシェア画像aに対応する認証パスワードを生成発行する(ステップS12:パスワード生成)。
【0071】
尚、パスワード生成部103により発行されるパスワードは、認証装置200から認証サーバ100に対する認証要求毎に生成される、ワンタイムパスワードであるものとする。
ここで、生成されたワンタイムパスワードは、認証情報記録部101に保存される。図4に、認証情報記録部101の保存データの一例を示す。
【0072】
尚、本実施形態におけるステップS07では、認証装置200に予め設定されたブラウザを利用してID情報を認証装置に送信する設定について説明しているが、携帯電話002に設定されたブラウザを利用して認証サーバ100に対してID情報(認証要求)を送信する設定であってもよい。
【0073】
次いで、パスワード生成部103は、上記ID情報に対応したシェア画像aとワンタイムパスワードをシェア画像生成部102に入力し、シェア画像生成部102(第2の画像生成部)は、入力されたシェア画像aとワンタイムパスワードに基づきシェア画像bを生成する(ステップS13:シェア画像bを生成)
【0074】
ここで、生成されるシェア画像b(第2のシェア画像に相当)は、シェア画像aと重ね合わせる、(つまりシェア画像aとの合成画像生成する)、ことにより生成された合成画像中に文字画像としてのワンタイムパスワードが視認可能に含まれるように設定されたものであり、つまり、シェア画像bは、認証パスワード(ワンタイムパスワード)を画像化した文字画像とシェア画像a(第1のシェア画像)との差分を示す差分画像であるものとする。
【0075】
次いで、認証サーバ100のウェブサーバ手段が、シェア画像生成部102により生成されたシェア画像bを認証装置200に送信する。
認証装置200は、認証サーバ100から送り込まれたシェア画像bを受信し、認証装置200のブラウザ(ウェブクライアント手段)が、このシェア画像bを表示する。これにより、認証装置200の表示部201にシェア画像bが表示される(ステップS14)。
【0076】
次いで、被認証者001は、携帯電話002のカメラ機能により、シェア画像aをフレーム画像として設定した状態で、認証装置200の表示画面201に表示されたシェア画像bを撮影する(ステップS15)。これにより、携帯電話002は、シェア画像bを取得する。
【0077】
ここで、携帯電話002の表示画面上には、予めフレーム画像として設定されたシェア画像aとカメラ機能により撮影されたシェア画像bとが合成され、合成画像が表示される。
ここで、携帯電話002の利用者である被認証者001は、この合成画像内に含まれるワンタイムパスワードを読み取ることができる。
【0078】
次いで、被認証者(利用者)001は、合成画像から読み取ったワンタイムパスワードを認証装置(PC)200におけるパスワード入力部202(WEBブラウザ)に入力することにより、ワンタイムパスワードを認証サーバ100に送信する(ステップS16)。
【0079】
認証サーバ100は、送信されたワンタイムパスワードが認証情報記録部101に予め登録されたワンタイムパスワードと一致した場合に、認証装置200の利用者(被認証者001)を正規利用者として認証する(ステップS17)。
一方、ワンタイムパスワードが認証情報記録部101に予め登録されたワンタイムパスワードと一致しない場合(NG)、認証を拒否して認証処理を終了する。
【0080】
以上のように、本実施形態では、フレーム機能付きカメラ撮影が可能な携帯電話(携帯端末)を利用し、予め設定されたユーザIDに基づく知識認証と、シェア画像a,bを携帯電話内に保持した場合に視認可能となるパスワードとを組み合わせることにより、セキュリティの高い二要素認証を実現することが可能となる。
また、本実施形態は、ICカード認証やワンタイムパスワード認証があるが、専用ICカードリーダや、ハードウェアトークン、ソフトウェアトークンなどを必要とすることなく、一般に利用されるカメラ機能付きの携帯電話を利用した構成により実現可能であることから、本実施形態の導入にかかる導入コストを有効に抑制することができる。
【0081】
更には、被認証者001は初回のシェア画像aの配信時のみ、携帯電話002で認証サーバ100にアクセスするだけでよく、認証サーバ100側の処理のみでワンタイムパスワードを利用することができるため、携帯電話002は、認証毎に認証サーバ100に対して通信を行う必要がない。
このため、携帯電話における電波の届かない環境においても認証処理を行うことが可能であり、更には、被認証者001が認証毎に通信費を負担する必要がないといった効果を有する。
【産業上の利用可能性】
【0082】
本発明は、二要素認証により所有物(および所有者)認証を行う認証システムに対して有用に適用することができる。
【符号の説明】
【0083】
001 被認証者
002 携帯電話
100 認証サーバ
101 認証情報記録部
102 シェア画像生成部
103 パスワード生成部
200 認証装置
201 表示部
202 パスワード入力部
301 シェア画像a
302 シェア画像b
【特許請求の範囲】
【請求項1】
ネットワークを介して行われる認証要求に対して予め設定された認証パスワードに基づき利用者認証を行う認証サーバと、前記認証サーバから送られた画像情報を表示する表示画面を有する携帯端末とを備えた個人認証システムであって、
前記認証サーバは、
前記携帯端末からの登録要求に応じて第1のシェア画像を生成しこれを前記携帯端末に送信する第1の画像生成送信部と、
前記第1のシェア画像を取得した前記携帯端末からの認証要求に対して認証パスワードを生成し発行するパスワード発行部と、
前記認証パスワードおよび前記第1のシェア画像それぞれを表示した場合の表示差分である差分画像を第2のシェア画像として生成する第2の画像生成部とを備え、
前記携帯端末は、
前記第1および第2のシェア画像を合成した合成シェア画像を前記表示画面に表示する画像合成処理部を備え、
前記表示された合成シェア画像内には前記認証パスワードが文字画像として表示されることを特徴とした個人認証システム。
【請求項2】
請求項1に記載の個人認証システムにおいて、
前記ネットワークに接続して設けられ前記認証サーバから送り込まれた前記第2のシェア画像を表示する画像出力表示装置を備えると共に、
前記携帯端末は、前記画像生成装置に表示された前記第2のシェア画像を撮影するカメラ部を備えたことを特徴とする個人認証システム。
【請求項3】
請求項2に記載の個人認証システムにおいて、
前記合成処理部は、前記カメラ部が撮影した前記第2のシェア画像を前記第1のシェア画像と合成することにより前記合成シェア画像を生成する撮影画像合成手段を備えたことを特徴とする個人認証システム。
【請求項4】
予め設定された認証パスワードに基づき予め設定された利用者の認証を行う認証サーバと、前記認証サーバから送り込まれた画像情報を表示する表示画面を有する携帯端末とを備えた個人認証システムにあって、前記携帯端末の利用者認証を行う個人認証方法であって、
前記認証サーバは、前記携帯端末からの登録要求に応じて第1のシェア画像を生成し前記携帯端末に送信し、
前記第1のシェア画像を取得した携帯端末からの認証要求があった場合にこの認証要求に対する認証パスワードを発行し、
前記第1のシェア画像および前記認証パスワードそれぞれを表示されたときの表示差分である第2のシェア画像を生成し、
前記携帯端末は、前記第2のシェア画像を取得すると共に前記第1および第2のシェア画像を合成した合成シェア画像を表示し、
表示した前記合成シェア画像内に文字画像として含まれる前記認証パスワードを前記認証サーバに対して送信することを特徴とした個人認証方法。
【請求項5】
撮影用のカメラ部を有する携帯端末と、前記携帯端末から送られた認証パスワードに基づき利用者認証を行う認証サーバと、前記認証サーバから送り込まれた画像情報を表示する情報表示装置とを備えた個人認証システムにあって、前記携帯端末の認証を行う個人認証方法であって、
前記認証サーバは、前記携帯端末からの登録要求に応じて第1のシェア画像を生成し前記携帯端末に送信し、
前記第1のシェア画像を取得した携帯端末から認証要求があった場合に当該認証要求に対する認証パスワードを発行し、
前記第1のシェア画像および前記認証パスワードそれぞれが表示されたときの表示差分としての第2のシェア画像を生成すると共に当該第2のシェア画像を前記情報表示装置に送信し、
前記携帯端末は、
前記情報表示装置に表示された前記第2のシェア画像を撮影し、当該撮影により得られた前記第2のシェア画像と前記第1シェア画像とを合成した合成シェア画像を生成し、前記合成シェア画像内に表示された前記認証パスワードを前記認証サーバに対して認証用に送信することを特徴とした個人認証方法。
【請求項1】
ネットワークを介して行われる認証要求に対して予め設定された認証パスワードに基づき利用者認証を行う認証サーバと、前記認証サーバから送られた画像情報を表示する表示画面を有する携帯端末とを備えた個人認証システムであって、
前記認証サーバは、
前記携帯端末からの登録要求に応じて第1のシェア画像を生成しこれを前記携帯端末に送信する第1の画像生成送信部と、
前記第1のシェア画像を取得した前記携帯端末からの認証要求に対して認証パスワードを生成し発行するパスワード発行部と、
前記認証パスワードおよび前記第1のシェア画像それぞれを表示した場合の表示差分である差分画像を第2のシェア画像として生成する第2の画像生成部とを備え、
前記携帯端末は、
前記第1および第2のシェア画像を合成した合成シェア画像を前記表示画面に表示する画像合成処理部を備え、
前記表示された合成シェア画像内には前記認証パスワードが文字画像として表示されることを特徴とした個人認証システム。
【請求項2】
請求項1に記載の個人認証システムにおいて、
前記ネットワークに接続して設けられ前記認証サーバから送り込まれた前記第2のシェア画像を表示する画像出力表示装置を備えると共に、
前記携帯端末は、前記画像生成装置に表示された前記第2のシェア画像を撮影するカメラ部を備えたことを特徴とする個人認証システム。
【請求項3】
請求項2に記載の個人認証システムにおいて、
前記合成処理部は、前記カメラ部が撮影した前記第2のシェア画像を前記第1のシェア画像と合成することにより前記合成シェア画像を生成する撮影画像合成手段を備えたことを特徴とする個人認証システム。
【請求項4】
予め設定された認証パスワードに基づき予め設定された利用者の認証を行う認証サーバと、前記認証サーバから送り込まれた画像情報を表示する表示画面を有する携帯端末とを備えた個人認証システムにあって、前記携帯端末の利用者認証を行う個人認証方法であって、
前記認証サーバは、前記携帯端末からの登録要求に応じて第1のシェア画像を生成し前記携帯端末に送信し、
前記第1のシェア画像を取得した携帯端末からの認証要求があった場合にこの認証要求に対する認証パスワードを発行し、
前記第1のシェア画像および前記認証パスワードそれぞれを表示されたときの表示差分である第2のシェア画像を生成し、
前記携帯端末は、前記第2のシェア画像を取得すると共に前記第1および第2のシェア画像を合成した合成シェア画像を表示し、
表示した前記合成シェア画像内に文字画像として含まれる前記認証パスワードを前記認証サーバに対して送信することを特徴とした個人認証方法。
【請求項5】
撮影用のカメラ部を有する携帯端末と、前記携帯端末から送られた認証パスワードに基づき利用者認証を行う認証サーバと、前記認証サーバから送り込まれた画像情報を表示する情報表示装置とを備えた個人認証システムにあって、前記携帯端末の認証を行う個人認証方法であって、
前記認証サーバは、前記携帯端末からの登録要求に応じて第1のシェア画像を生成し前記携帯端末に送信し、
前記第1のシェア画像を取得した携帯端末から認証要求があった場合に当該認証要求に対する認証パスワードを発行し、
前記第1のシェア画像および前記認証パスワードそれぞれが表示されたときの表示差分としての第2のシェア画像を生成すると共に当該第2のシェア画像を前記情報表示装置に送信し、
前記携帯端末は、
前記情報表示装置に表示された前記第2のシェア画像を撮影し、当該撮影により得られた前記第2のシェア画像と前記第1シェア画像とを合成した合成シェア画像を生成し、前記合成シェア画像内に表示された前記認証パスワードを前記認証サーバに対して認証用に送信することを特徴とした個人認証方法。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公開番号】特開2011−43902(P2011−43902A)
【公開日】平成23年3月3日(2011.3.3)
【国際特許分類】
【出願番号】特願2009−190208(P2009−190208)
【出願日】平成21年8月19日(2009.8.19)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.QRコード
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
【公開日】平成23年3月3日(2011.3.3)
【国際特許分類】
【出願日】平成21年8月19日(2009.8.19)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.QRコード
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
[ Back to top ]