個人認証システム
【課題】
個人認証において、安全性を維持しつつコストを低減することが求められている。特に、専用の装置、端末などを用意しなくとも、安全性を確保できる個人認証技術を提供することを課題とする。
【解決手段】
そこで、本発明では、照合などの認証ための処理を複数行い場合、時間的に後に行う処理に用いる情報を認証対象者に通知するための方法を複数用意しておくものである。この方法について、先に行う認証とは別の手段で必要な情報を通知することが好適である。その一例を挙げるならば、ワンタイムパスワードの配布方式を携帯電話のメールと電話の2つ方法を予め登録することにより代替手段を確保し、低コストかつ安全な認証方式を利便性の低下を抑止して実現する。
個人認証において、安全性を維持しつつコストを低減することが求められている。特に、専用の装置、端末などを用意しなくとも、安全性を確保できる個人認証技術を提供することを課題とする。
【解決手段】
そこで、本発明では、照合などの認証ための処理を複数行い場合、時間的に後に行う処理に用いる情報を認証対象者に通知するための方法を複数用意しておくものである。この方法について、先に行う認証とは別の手段で必要な情報を通知することが好適である。その一例を挙げるならば、ワンタイムパスワードの配布方式を携帯電話のメールと電話の2つ方法を予め登録することにより代替手段を確保し、低コストかつ安全な認証方式を利便性の低下を抑止して実現する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、個人を認証するための技術に関する。その中でも特に、認証のための処理を複数回実行することにより、その適否を判断する技術に関する。
【背景技術】
【0002】
現在、コンピュータシステムの利用などでその安全性(セキュリティ)を確保することが必要となっている。このため、パスワードを利用するなどした認証技術が提案されている。ここで、安全性を保つ際にも際限なくコストを掛けられる訳ではない。そこで、コストの問題を考慮した従来技術として、特許文献1がある。この特許文献1には、「可搬媒体に記憶された第1の識別情報と、ユーザ端末に記憶された第2の識別情報と、に基づいて生成された使用回数制限パスワードを、第1及び第2の識別情報に関連付けて記憶したユーザ端末と、使用回数制限パスワードを、第1及び第2の識別情報に基づいて予め生成された認証用識別情報に関連付けて記憶した認証サーバと、を備え、ユーザ端末が、第1及び第2の識別情報を読み出す識別情報読出手段と、第1及び第2の識別情報を用いて使用回数制限パスワードを読み出すパスワード読出手段と、使用回数制限パスワードをネットワークを介して認証サーバに送信する認証情報送信手段と、を備え、認証サーバが、記憶されている使用回数制限パスワードを読み出し、ユーザ端末から受け取った使用回数制限パスワードとの照合を行う照合手段を備え」ることにより、簡便な認証としつつそれなりの精度を保つことが開示されている。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2007−334644号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
また、近年クラウドサービスなどを代表としてネットワークを介したサービス利用が広まりつつある。これらのサービスを他者に介入されること無く安全に利用する為には個人特定するための認証システムが必要となる。しかし、安全な認証システム、たとえば生体認証システムでは生体認証情報読み取りの為の専用機器が必要な為、高コストとなる。また生体認証情報読み取り用の専用機器のない場所では利用出来ないなど利便性が低いことが課題となる。また、特許文献1に記載されたトークンを利用する技術についても、トークン配布コスト、またトークン紛失時に再度サービス事業者からトークン再配布を受けるまで間、サービス利用ができなくなる等の利便性の低下の課題がある。
【課題を解決するための手段】
【0005】
そこで、本発明では、照合などの認証ための処理を複数行い場合、時間的に後に行う処理に用いる情報を認証対象者に通知するための方法を複数用意しておくものである。この方法について、先に行う認証とは別の手段で必要な情報を通知することが好適である。その一例を挙げるならば、ワンタイムパスワードの配布方式を携帯電話のメールと電話の2つ方法を予め登録することにより代替手段を確保し、低コストかつ安全な認証方式を利便性の低下を抑止して実現するものである。特に、電話やメールと言った既存の手段を用いることで、低コストが実現可能になる。ここで、本発明では、電話等を利用することに加え、電話等の既存のシステムでもセキュリティを維持するための情報処理である(先の)第1の認証処理の結果等からこれらの手段を用いる第2の認証処理を行う点にその特徴がある。
【発明の効果】
【0006】
本発明によれば、個人認証システムをユーザの利便性を確保しつつ、低コストに実現することが可能。
【図面の簡単な説明】
【0007】
【図1】本発明の一実施の形態による、全体概要を説明する図である。
【図2】本発明の一実施の形態による、認証システムおよび、端末装置の概要を説明する図である。
【図3】本発明の一実施の形態による、端末制御装置部の処理概要を説明するフローチャートの例である。
【図4】本発明の一実施の形態による、入力受付処理102の流れを説明するフローチャートの例である。
【図5】本発明の一実施の形態による、第一認証処理103の流れを説明するフローチャートの例である。
【図6】本発明の一実施の形態による、送信手段選択処理105の流れを説明するフローチャートの例である。
【図7】本発明の一実施の形態による、ワンタイムパスワード更新処理106の流れを説明するフローチャートの例である
【図8】本発明の一実施の形態による、第二認証処理109の流れを説明するフローチャートの例である。
【図9】本発明の一実施の形態で用いるユーザ管理テーブルである。
【発明を実施するための形態】
【0008】
以下、本発明の一実施の形態を図面を用いて説明する。本実施の形態では、図1に示すような全体システムを対象としている。各装置(端末装置1000など)がそれぞれインターネットのようなネットワークを介して接続されている。そして、利用者(ユーザ)は、端末装置1000の使用ないしこれを利用して(図示しない)業務システムの使用の際に、個人認証システム1100での認証を行う。また、利用者の認証において、携帯電話1010−1や電話機1010−2を用いるものとする。その利用の仕方は追って説明する。
【0009】
また、図2は、図1が模式的に適用システムを示したものであるのに対し、個人認証システム1100を中心に、装置構成を詳細化したものである。端末装置100については、複数の装置がネットワークに接続可能、利用可能である。そして、各端末装置100は、いわゆるコンピュータとして実現され、プログラムに従い演算処理を行う端末制御装置1000−1、演算結果等を表示する表示装置1000−2およびマウス、キーボードなどのようなユーザからの入力、指示を受付ける外部指示入力装置1000−3から構成される。また、個人認証システム1100は、これもいわゆるコンピュータで実現され、各処理は図示しないプログラムに従ってCPUの如き演算装置でその処理を実現する。まず、個人認証システム1100は、認証自体を実行する認証装置1101、この認証に関するユーザについての情報を格納したユーザ管理テーブルを記憶するユーザ管理記憶装置1102、認証に用いる情報(ワンタイムパスワード等)を電話機1010−2等に送信するメール送信装置1103や自動電話装置1104を備える。そして、これらの情報は、端末IF装置1105を介して送信される。
【0010】
以下、上述した装置での処理について、フローチャート(図3〜8)およびフローチャートで示される処理に用いられるユーザ管理テーブル(図9)を用いて説明する。
まず、端末装置1000は、起動する際、業務システムの利用要求を受付けた際などに、第一認証画面表示処理101として、ユーザID及びパスワードの受付画面を画面表示装置(1000−2)に表示する。そして、ユーザからの入力に応じて、端末装置1000は、入力受付処理102においてユーザID及びパスワードを外部指示入力装置(1000−3)から入力を受付ける。その際に後続処理の選択可能とする。
【0011】
そして、端末装置1000は、ID/パスワード入力受付処理102-1において、外部指示入力装置(1000−3)より、ID、パスワードの入力を受付ける。
また、端末装置1000は、後続処理選択処理102-2において、外部指示入力装置(1000−3)より、後続処理の選択をユーザから受付ける。そして、端末装置1000は、受付けた情報を含む認証要求を、インターネットを経由して個人認証システム1100に送信する。
【0012】
上記の認証要求を受け、個人認証システム1100は、第一認証処理103において103−1以下の処理で構成され、入力受付処理102で入力されたユーザID及びパスワードを使用し、認証を行う。認証は予め登録されたパスワードと比較して一致するかで判断する
なお、ID/パスワード送信処理103−1において先に記載のように端末制御装置(1000−1)より送信されたID,パスワードを認証装置(1101)に送信する処理である。
【0013】
そして、認証システム1100は、認証サーバID/パスワード受信処理103−3において認証装置(1101)にて端末制御装置(1000−1)から送信されたID,パスワード情報を受信する。
【0014】
そして、認証装置1101では、ID/パスワード照合処理103−4において受信したID,パスワードをユーザ管理記憶装置(1102)に格納された情報と照合する。
【0015】
この照合を受け、個人認証システム1100では、NG応答送信処理103−5において103−4での照合結果が非合致の場合、NG応答を認証要求を送信した端末制御装置(1000−1)に送信する。
また、上記の照合を受け、個人認証システム1100では、OK応答送信処理103−6において103−4での照合結果が合致の場合、OK応答を認証要求を送信した端末制御装置(1000−1)に送信する。
【0016】
これらの結果を受信した端末制御装置1000−1(端末装置1000、以下同様)では、結果受信処理103−7において103−5あるいは103−6の応答を受信する。
【0017】
これを受け、端末制御装置1000−1は、結果判定処理104において第一認証処理103で得られた認証結果と入力受付処理102で選択した後続処理の選択(ユーザの選択ないし装置に予め登録されている選択内容)により判定を行う。
この判定の結果、認証OKであり、後続処理が「送信手段選択」である場合、送信手段選択処理105に進む。本処理では、端末制御装置1000−1は、パスワード送信手段を選択するインタフェースを提供し、ユーザ管理記憶装置(1102)の送信手段情報を更新する。なお、この判定の結果、認証OKであり、後続処理が「第二認証」の場合には、ステップ106に進む。また、認証NGの場合には、ステップ101に戻る。
【0018】
この更新を受け、端末制御装置1000−1は、送信手段・送信先情報選択入力処理105−1において外部指示入力装置(1000−3)よりワンタイムパスワードの送信先情報の入力をユーザから受け付る。
そして、受付けた内容について、送信手段・送信先情報送信処理105−2において端末制御装置(1000−1)より認証装置(1101)に105−1で入力された送信先情報を、個人認証システム1100に送信する。
【0019】
これを受け、個人認証システム1100では、認証サーバ送信手段・送信先情報受信処理105−3において105−2で送信された送信先情報を認証装置(1101)で受信する。
【0020】
そして、認証装置1101は、ユーザ管理テーブル送信手段・送信先情報更新処理105−4においてユーザ管理記憶装置(1102)の送信手段、および送信先情報を、受信した内容に更新する。
この更新を受け、認証装置1101は、ワンタイムパスワード更新依頼処理106において106−1以下の処理で構成され、ワンタイムパスワードの生成を行い、ユーザ管理記憶装置(1102)のワンタイムパスワードを更新する。
【0021】
個人認証装置1101は、ワンタイムパスワード生成処理106−1においてワンタイムパスワードを生成する。この生成は、乱数により生成するものとする。
生成された際には、個人認証装置1101は、ユーザ管理テーブル・ワンタイムパスワード列更新処理106−2においてユーザ管理記憶装置(1102)のワンタイムパスワードを、生成された内容に更新する。
【0022】
次に、個人認証装置1101は、送信手段判定処理106−3においてユーザ管理記憶装置(1102)に記録されている送信手段を判別する。例えば、ユーザ:00000001の場合、電話と判別される。
【0023】
そして、この判決された結果について、個人認証装置1101は、ユーザ管理テーブル送信先メールアドレス取得処理106−3−1において、106−3での判別結果がメールであった場合、ユーザ管理記憶装置(1102)より、送信先情報を取得する。
そして、個人認証装置1101は、ワンタイムパスワード送信処理106−3−2において、メール送信装置(1103)に対して、106−3−1にて取得したメールアドレスに対し、ワンタイムパスワードを送信するような指示情報を送信する。
【0024】
また、個人認証装置1101は、ユーザ管理テーブル送信先電話番号取得処理106−4−1において、106−3での判別結果が電話であった場合、ユーザ管理記憶装置(1102)より送信先の電話番号情報を取得する。
そして、個人認証装置1101は、ワンタイムパスワード送信処理106−4−2において、自動電話装置(1104)に対して、106−4−1にて取得した電話番号に対し、ワンタイムパスワードを自動音声にて電話発信するような指示情報を送信するする。
【0025】
なお、これらのワンタイムパスワード送信処理は、ユーザに特有の経路であり、先にIDパスワードが送られるものとは別経路である電話、メールを介して送信されるものである。このユーザに特有とは、内線番号などであり、他のユーザと併用するものであってもかまわないが、より好適には専用のものがよい。
【0026】
これらの処理を受け、第二認証処理を開始する。ここで、ユーザは電話ないしメールで受け取ったワンタイムパスワードを利用することになるので、この内容をメモしたり覚えておくことが必要になる。
【0027】
まず、端末制御装置1000−1では、ワンタイムパスワードを受領したユーザの入力や個人認証装置1101から第二認証開始の通知を受信するなどの所定条件を満たして場合、第二認証画面表示処理107においてワンタイムパスワードの受付画面を画面表示装置(1000−2)に表示する。
そして、端末制御装置1000−1は、入力受付処理108においてワンタイムパスワードを外部指示入力装置(1000−3)を介してユーザからその入力を受付ける。
【0028】
この第二認証処理109は109−1以下の処理で構成され、ユーザIDおよび108で入力されたワンタイムパスワードを使用し、認証を行う。認証は予め登録されたワンタイムパスワードと比較して一致するかで判断する
まず、端末制御装置1000−1は、ワンタイムパスワード送信処理109−1として108にて外部指示入力装置(1000−3)より入力されたワンタイムパスワードを、認証装置(1101)に送信する。
これを受け、認証サーバワンタイムパスワード受信処理109−11において認証装置(1101)にて、端末制御装置(1000−1)より送信されたワンタイムパスワードを受信する。
【0029】
そして、認証装置1101は、ワンタイムパスワード照合処理109−12において109−11にて受信したワンタイムパスワードをユーザ管理記憶装置(1102)に保存されている値と比較し、評価を行う。つまり、照合して合致しているかを判断する。
この結果を受け、認証装置1101は、NG応答送信処理109−13において、109−12の評価の結果、合致しない場合は、NG応答を端末制御装置(1000−1)に送信する。
認証装置1101は、OK応答送信処理109−14において、109−12の評価の結果、合致する場合は、OK応答を端末制御装置(1000−1)に送信する。
【0030】
結果受信処理109−2は認証装置(1101)より送信された応答を受信する。
結果判定処理110は第二認証処理109で得られた認証結果により判定を行う。OKの場合は認証処理を終了し、OSのログイン処理に遷移する。ないし、OKとの結果を図示しない業務システムに送信し、端末装置1000からのアクセスを許可させる。
【符号の説明】
【0031】
1000 端末装置
1000−1 端末制御装置
1000−2 表示装置
1000−3 外部指示入力装置
1010 ワンタイムパスワード通知装置
1010−1 携帯電話端末
1010−2 電話機
1100 個人認証システム
1101 認証装置
1102 ユーザ管理記憶装置
1103 メール送信装置
1104 自動電話装置
1105 端末IF装置
【技術分野】
【0001】
本発明は、個人を認証するための技術に関する。その中でも特に、認証のための処理を複数回実行することにより、その適否を判断する技術に関する。
【背景技術】
【0002】
現在、コンピュータシステムの利用などでその安全性(セキュリティ)を確保することが必要となっている。このため、パスワードを利用するなどした認証技術が提案されている。ここで、安全性を保つ際にも際限なくコストを掛けられる訳ではない。そこで、コストの問題を考慮した従来技術として、特許文献1がある。この特許文献1には、「可搬媒体に記憶された第1の識別情報と、ユーザ端末に記憶された第2の識別情報と、に基づいて生成された使用回数制限パスワードを、第1及び第2の識別情報に関連付けて記憶したユーザ端末と、使用回数制限パスワードを、第1及び第2の識別情報に基づいて予め生成された認証用識別情報に関連付けて記憶した認証サーバと、を備え、ユーザ端末が、第1及び第2の識別情報を読み出す識別情報読出手段と、第1及び第2の識別情報を用いて使用回数制限パスワードを読み出すパスワード読出手段と、使用回数制限パスワードをネットワークを介して認証サーバに送信する認証情報送信手段と、を備え、認証サーバが、記憶されている使用回数制限パスワードを読み出し、ユーザ端末から受け取った使用回数制限パスワードとの照合を行う照合手段を備え」ることにより、簡便な認証としつつそれなりの精度を保つことが開示されている。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2007−334644号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
また、近年クラウドサービスなどを代表としてネットワークを介したサービス利用が広まりつつある。これらのサービスを他者に介入されること無く安全に利用する為には個人特定するための認証システムが必要となる。しかし、安全な認証システム、たとえば生体認証システムでは生体認証情報読み取りの為の専用機器が必要な為、高コストとなる。また生体認証情報読み取り用の専用機器のない場所では利用出来ないなど利便性が低いことが課題となる。また、特許文献1に記載されたトークンを利用する技術についても、トークン配布コスト、またトークン紛失時に再度サービス事業者からトークン再配布を受けるまで間、サービス利用ができなくなる等の利便性の低下の課題がある。
【課題を解決するための手段】
【0005】
そこで、本発明では、照合などの認証ための処理を複数行い場合、時間的に後に行う処理に用いる情報を認証対象者に通知するための方法を複数用意しておくものである。この方法について、先に行う認証とは別の手段で必要な情報を通知することが好適である。その一例を挙げるならば、ワンタイムパスワードの配布方式を携帯電話のメールと電話の2つ方法を予め登録することにより代替手段を確保し、低コストかつ安全な認証方式を利便性の低下を抑止して実現するものである。特に、電話やメールと言った既存の手段を用いることで、低コストが実現可能になる。ここで、本発明では、電話等を利用することに加え、電話等の既存のシステムでもセキュリティを維持するための情報処理である(先の)第1の認証処理の結果等からこれらの手段を用いる第2の認証処理を行う点にその特徴がある。
【発明の効果】
【0006】
本発明によれば、個人認証システムをユーザの利便性を確保しつつ、低コストに実現することが可能。
【図面の簡単な説明】
【0007】
【図1】本発明の一実施の形態による、全体概要を説明する図である。
【図2】本発明の一実施の形態による、認証システムおよび、端末装置の概要を説明する図である。
【図3】本発明の一実施の形態による、端末制御装置部の処理概要を説明するフローチャートの例である。
【図4】本発明の一実施の形態による、入力受付処理102の流れを説明するフローチャートの例である。
【図5】本発明の一実施の形態による、第一認証処理103の流れを説明するフローチャートの例である。
【図6】本発明の一実施の形態による、送信手段選択処理105の流れを説明するフローチャートの例である。
【図7】本発明の一実施の形態による、ワンタイムパスワード更新処理106の流れを説明するフローチャートの例である
【図8】本発明の一実施の形態による、第二認証処理109の流れを説明するフローチャートの例である。
【図9】本発明の一実施の形態で用いるユーザ管理テーブルである。
【発明を実施するための形態】
【0008】
以下、本発明の一実施の形態を図面を用いて説明する。本実施の形態では、図1に示すような全体システムを対象としている。各装置(端末装置1000など)がそれぞれインターネットのようなネットワークを介して接続されている。そして、利用者(ユーザ)は、端末装置1000の使用ないしこれを利用して(図示しない)業務システムの使用の際に、個人認証システム1100での認証を行う。また、利用者の認証において、携帯電話1010−1や電話機1010−2を用いるものとする。その利用の仕方は追って説明する。
【0009】
また、図2は、図1が模式的に適用システムを示したものであるのに対し、個人認証システム1100を中心に、装置構成を詳細化したものである。端末装置100については、複数の装置がネットワークに接続可能、利用可能である。そして、各端末装置100は、いわゆるコンピュータとして実現され、プログラムに従い演算処理を行う端末制御装置1000−1、演算結果等を表示する表示装置1000−2およびマウス、キーボードなどのようなユーザからの入力、指示を受付ける外部指示入力装置1000−3から構成される。また、個人認証システム1100は、これもいわゆるコンピュータで実現され、各処理は図示しないプログラムに従ってCPUの如き演算装置でその処理を実現する。まず、個人認証システム1100は、認証自体を実行する認証装置1101、この認証に関するユーザについての情報を格納したユーザ管理テーブルを記憶するユーザ管理記憶装置1102、認証に用いる情報(ワンタイムパスワード等)を電話機1010−2等に送信するメール送信装置1103や自動電話装置1104を備える。そして、これらの情報は、端末IF装置1105を介して送信される。
【0010】
以下、上述した装置での処理について、フローチャート(図3〜8)およびフローチャートで示される処理に用いられるユーザ管理テーブル(図9)を用いて説明する。
まず、端末装置1000は、起動する際、業務システムの利用要求を受付けた際などに、第一認証画面表示処理101として、ユーザID及びパスワードの受付画面を画面表示装置(1000−2)に表示する。そして、ユーザからの入力に応じて、端末装置1000は、入力受付処理102においてユーザID及びパスワードを外部指示入力装置(1000−3)から入力を受付ける。その際に後続処理の選択可能とする。
【0011】
そして、端末装置1000は、ID/パスワード入力受付処理102-1において、外部指示入力装置(1000−3)より、ID、パスワードの入力を受付ける。
また、端末装置1000は、後続処理選択処理102-2において、外部指示入力装置(1000−3)より、後続処理の選択をユーザから受付ける。そして、端末装置1000は、受付けた情報を含む認証要求を、インターネットを経由して個人認証システム1100に送信する。
【0012】
上記の認証要求を受け、個人認証システム1100は、第一認証処理103において103−1以下の処理で構成され、入力受付処理102で入力されたユーザID及びパスワードを使用し、認証を行う。認証は予め登録されたパスワードと比較して一致するかで判断する
なお、ID/パスワード送信処理103−1において先に記載のように端末制御装置(1000−1)より送信されたID,パスワードを認証装置(1101)に送信する処理である。
【0013】
そして、認証システム1100は、認証サーバID/パスワード受信処理103−3において認証装置(1101)にて端末制御装置(1000−1)から送信されたID,パスワード情報を受信する。
【0014】
そして、認証装置1101では、ID/パスワード照合処理103−4において受信したID,パスワードをユーザ管理記憶装置(1102)に格納された情報と照合する。
【0015】
この照合を受け、個人認証システム1100では、NG応答送信処理103−5において103−4での照合結果が非合致の場合、NG応答を認証要求を送信した端末制御装置(1000−1)に送信する。
また、上記の照合を受け、個人認証システム1100では、OK応答送信処理103−6において103−4での照合結果が合致の場合、OK応答を認証要求を送信した端末制御装置(1000−1)に送信する。
【0016】
これらの結果を受信した端末制御装置1000−1(端末装置1000、以下同様)では、結果受信処理103−7において103−5あるいは103−6の応答を受信する。
【0017】
これを受け、端末制御装置1000−1は、結果判定処理104において第一認証処理103で得られた認証結果と入力受付処理102で選択した後続処理の選択(ユーザの選択ないし装置に予め登録されている選択内容)により判定を行う。
この判定の結果、認証OKであり、後続処理が「送信手段選択」である場合、送信手段選択処理105に進む。本処理では、端末制御装置1000−1は、パスワード送信手段を選択するインタフェースを提供し、ユーザ管理記憶装置(1102)の送信手段情報を更新する。なお、この判定の結果、認証OKであり、後続処理が「第二認証」の場合には、ステップ106に進む。また、認証NGの場合には、ステップ101に戻る。
【0018】
この更新を受け、端末制御装置1000−1は、送信手段・送信先情報選択入力処理105−1において外部指示入力装置(1000−3)よりワンタイムパスワードの送信先情報の入力をユーザから受け付る。
そして、受付けた内容について、送信手段・送信先情報送信処理105−2において端末制御装置(1000−1)より認証装置(1101)に105−1で入力された送信先情報を、個人認証システム1100に送信する。
【0019】
これを受け、個人認証システム1100では、認証サーバ送信手段・送信先情報受信処理105−3において105−2で送信された送信先情報を認証装置(1101)で受信する。
【0020】
そして、認証装置1101は、ユーザ管理テーブル送信手段・送信先情報更新処理105−4においてユーザ管理記憶装置(1102)の送信手段、および送信先情報を、受信した内容に更新する。
この更新を受け、認証装置1101は、ワンタイムパスワード更新依頼処理106において106−1以下の処理で構成され、ワンタイムパスワードの生成を行い、ユーザ管理記憶装置(1102)のワンタイムパスワードを更新する。
【0021】
個人認証装置1101は、ワンタイムパスワード生成処理106−1においてワンタイムパスワードを生成する。この生成は、乱数により生成するものとする。
生成された際には、個人認証装置1101は、ユーザ管理テーブル・ワンタイムパスワード列更新処理106−2においてユーザ管理記憶装置(1102)のワンタイムパスワードを、生成された内容に更新する。
【0022】
次に、個人認証装置1101は、送信手段判定処理106−3においてユーザ管理記憶装置(1102)に記録されている送信手段を判別する。例えば、ユーザ:00000001の場合、電話と判別される。
【0023】
そして、この判決された結果について、個人認証装置1101は、ユーザ管理テーブル送信先メールアドレス取得処理106−3−1において、106−3での判別結果がメールであった場合、ユーザ管理記憶装置(1102)より、送信先情報を取得する。
そして、個人認証装置1101は、ワンタイムパスワード送信処理106−3−2において、メール送信装置(1103)に対して、106−3−1にて取得したメールアドレスに対し、ワンタイムパスワードを送信するような指示情報を送信する。
【0024】
また、個人認証装置1101は、ユーザ管理テーブル送信先電話番号取得処理106−4−1において、106−3での判別結果が電話であった場合、ユーザ管理記憶装置(1102)より送信先の電話番号情報を取得する。
そして、個人認証装置1101は、ワンタイムパスワード送信処理106−4−2において、自動電話装置(1104)に対して、106−4−1にて取得した電話番号に対し、ワンタイムパスワードを自動音声にて電話発信するような指示情報を送信するする。
【0025】
なお、これらのワンタイムパスワード送信処理は、ユーザに特有の経路であり、先にIDパスワードが送られるものとは別経路である電話、メールを介して送信されるものである。このユーザに特有とは、内線番号などであり、他のユーザと併用するものであってもかまわないが、より好適には専用のものがよい。
【0026】
これらの処理を受け、第二認証処理を開始する。ここで、ユーザは電話ないしメールで受け取ったワンタイムパスワードを利用することになるので、この内容をメモしたり覚えておくことが必要になる。
【0027】
まず、端末制御装置1000−1では、ワンタイムパスワードを受領したユーザの入力や個人認証装置1101から第二認証開始の通知を受信するなどの所定条件を満たして場合、第二認証画面表示処理107においてワンタイムパスワードの受付画面を画面表示装置(1000−2)に表示する。
そして、端末制御装置1000−1は、入力受付処理108においてワンタイムパスワードを外部指示入力装置(1000−3)を介してユーザからその入力を受付ける。
【0028】
この第二認証処理109は109−1以下の処理で構成され、ユーザIDおよび108で入力されたワンタイムパスワードを使用し、認証を行う。認証は予め登録されたワンタイムパスワードと比較して一致するかで判断する
まず、端末制御装置1000−1は、ワンタイムパスワード送信処理109−1として108にて外部指示入力装置(1000−3)より入力されたワンタイムパスワードを、認証装置(1101)に送信する。
これを受け、認証サーバワンタイムパスワード受信処理109−11において認証装置(1101)にて、端末制御装置(1000−1)より送信されたワンタイムパスワードを受信する。
【0029】
そして、認証装置1101は、ワンタイムパスワード照合処理109−12において109−11にて受信したワンタイムパスワードをユーザ管理記憶装置(1102)に保存されている値と比較し、評価を行う。つまり、照合して合致しているかを判断する。
この結果を受け、認証装置1101は、NG応答送信処理109−13において、109−12の評価の結果、合致しない場合は、NG応答を端末制御装置(1000−1)に送信する。
認証装置1101は、OK応答送信処理109−14において、109−12の評価の結果、合致する場合は、OK応答を端末制御装置(1000−1)に送信する。
【0030】
結果受信処理109−2は認証装置(1101)より送信された応答を受信する。
結果判定処理110は第二認証処理109で得られた認証結果により判定を行う。OKの場合は認証処理を終了し、OSのログイン処理に遷移する。ないし、OKとの結果を図示しない業務システムに送信し、端末装置1000からのアクセスを許可させる。
【符号の説明】
【0031】
1000 端末装置
1000−1 端末制御装置
1000−2 表示装置
1000−3 外部指示入力装置
1010 ワンタイムパスワード通知装置
1010−1 携帯電話端末
1010−2 電話機
1100 個人認証システム
1101 認証装置
1102 ユーザ管理記憶装置
1103 メール送信装置
1104 自動電話装置
1105 端末IF装置
【特許請求の範囲】
【請求項1】
認証に関する複数の処理を行う個人認証システムであって、利用者が利用する端末装置と前記認証および前記複数の処理を実行する認証装置を有する個人認証システムにおいて、
前記端末装置は、前記利用者からの入力に応じて、前記複数の処理に含まれる第1の処理に用いる第1の情報を含む認証要求を認証装置に送信し、
前記認証装置は、前記第1の情報を用いて、前記第1の処理を実行し、当該実行の結果が前記認証において肯定的である場合に、前記第1の情報の送信とは別の経路であって前記利用者特有の経路にて、前記利用者に対して、前記複数の処理に含まれる第2の処理に用いる第2の情報を送信し、
前記端末装置は、前記利用者からの入力に応じて、前記第2の情報を含む認証要求を、前記認証装置に送信し、
前記認証装置は、前記第2の情報を用いて前記第2の処理を実行し、当該第2の処理に基づいて前記認証を行うことを特徴とする個人認証システム。
【請求項2】
請求項1に記載の個人認証システムにおいて、
前記第2の処理は、ワンタイムパスワード認証であり、前記第2の情報はワンタイムパスワードであることを特徴とする個人認証システム。
【請求項3】
請求項1または2のいずれかに記載の個人認証システムにおいて、
前記別の経路は、電話ないし電子メールでの送信経路であることを特徴とする個人認証システム。
【請求項1】
認証に関する複数の処理を行う個人認証システムであって、利用者が利用する端末装置と前記認証および前記複数の処理を実行する認証装置を有する個人認証システムにおいて、
前記端末装置は、前記利用者からの入力に応じて、前記複数の処理に含まれる第1の処理に用いる第1の情報を含む認証要求を認証装置に送信し、
前記認証装置は、前記第1の情報を用いて、前記第1の処理を実行し、当該実行の結果が前記認証において肯定的である場合に、前記第1の情報の送信とは別の経路であって前記利用者特有の経路にて、前記利用者に対して、前記複数の処理に含まれる第2の処理に用いる第2の情報を送信し、
前記端末装置は、前記利用者からの入力に応じて、前記第2の情報を含む認証要求を、前記認証装置に送信し、
前記認証装置は、前記第2の情報を用いて前記第2の処理を実行し、当該第2の処理に基づいて前記認証を行うことを特徴とする個人認証システム。
【請求項2】
請求項1に記載の個人認証システムにおいて、
前記第2の処理は、ワンタイムパスワード認証であり、前記第2の情報はワンタイムパスワードであることを特徴とする個人認証システム。
【請求項3】
請求項1または2のいずれかに記載の個人認証システムにおいて、
前記別の経路は、電話ないし電子メールでの送信経路であることを特徴とする個人認証システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【公開番号】特開2013−25553(P2013−25553A)
【公開日】平成25年2月4日(2013.2.4)
【国際特許分類】
【出願番号】特願2011−159486(P2011−159486)
【出願日】平成23年7月21日(2011.7.21)
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
【公開日】平成25年2月4日(2013.2.4)
【国際特許分類】
【出願日】平成23年7月21日(2011.7.21)
【出願人】(000005108)株式会社日立製作所 (27,607)
【Fターム(参考)】
[ Back to top ]