個人認証方法および個人認証システム
【課題】 より安全性を高めることが可能な個人認証方法を提供する。
【解決手段】 携帯電話2からユーザUの指紋データを添付して認証サーバ3に発信し、ワンタイムパスワードの付与を要求する。予め登録されたユーザUの指紋データと携帯電話2から受信した指紋データとが一致する場合に、ワンタイムパスワードとそのタイムスタンプとを生成し、携帯電話2とWebサーバ4とに送信する。ユーザUがワンタイムパスワードとタイムスタンプとをWebサーバ4に入力し、Webサーバ4に記憶されているワンタイムパスワードとタイムスタンプとに一致すると、ロックが解除されてWebサーバ4へのアクセスが可能となる。
【解決手段】 携帯電話2からユーザUの指紋データを添付して認証サーバ3に発信し、ワンタイムパスワードの付与を要求する。予め登録されたユーザUの指紋データと携帯電話2から受信した指紋データとが一致する場合に、ワンタイムパスワードとそのタイムスタンプとを生成し、携帯電話2とWebサーバ4とに送信する。ユーザUがワンタイムパスワードとタイムスタンプとをWebサーバ4に入力し、Webサーバ4に記憶されているワンタイムパスワードとタイムスタンプとに一致すると、ロックが解除されてWebサーバ4へのアクセスが可能となる。
【発明の詳細な説明】
【技術分野】
【0001】
この発明は、アクセスの許否を判定するために個人を認証する個人認証方法および個人認証システムに関する。
【背景技術】
【0002】
例えば、サーバにアクセス(ログイン)したり、ATM(現金自動入金・支払機)にアクセスしたりする際には、許可された者によるアクセスであることを示すために、氏名やパスワードなどの入力が必要である。このため、サーバにアクセスなどする者は、パスワードを記憶しておく必要があるが、パスワードを忘れてしまうおそれがある。一方、パスワードをメモ用紙などに記憶すると、メモ用紙を第三者に見られた場合に、パスワードを第三者に知られるおそれがある。また、永続的に同一のパスワードを用いた場合にも、第三者にパスワードを知られるおそれが高まり、セキュリティ上のリスクが高くなる。そこで、アクセスごとに異なるパスワードを自動的に付与するワンタイムパスワードシステムが知られている(例えば、特許文献1参照。)。
【0003】
このシステムは、パスワードを付与するサーバに対して、アクセスをする者の携帯電話番号やユーザ番号などを識別情報としてパスワードを要求すると、識別情報に基づいてアクセスの許否を判定し、許可された者である場合には、一時的な(一回のみ使用可能な)ワンタイムパスワードを生成、付与する。そして、このワンタイムパスワードを入力することで、サーバへのアクセスなどが可能となる。また、次のアクセスの際には、異なるワンタイムパスワードを付与して、再度のアクセスを可能にする。これにより、アクセスをする者はパスワードを記憶する必要がなく、また、アクセスごとにパスワードが異なるため、第三者にパスワードを知られるおそれが低くなり安全性が高まる、というものである。
【特許文献1】特開2001−312471号公報
【発明の開示】
【発明が解決しようとする課題】
【0004】
ところで、上記のようなワンタイムパスワードシステムでは、アクセスをする者の携帯電話番号やユーザ番号などを識別情報としてワンタイムパスワードを付与するため、安全性が損なわれるおそれがある。すなわち、アクセスを許可された者の携帯電話番号などを不正に知得した者であっても、携帯電話番号などを識別情報としてパスワードを要求することで、ワンタイムパスワードを取得することが可能となってしまう。
【0005】
また、上記のようなワンタイムパスワードシステムでは、付与されたワンタイムパスワードを入力すれば、誰でもサーバなどにアクセスできてしまう。つまり、アクセスを許可された者以外の第三者が不正にパスワードを知得した場合などには、許可されていない第三者のアクセスが可能となってしまう。
【0006】
さらに、上記のようなワンタイムパスワードシステムでは、アクセスをする対象が異なるごとに、パスワードを付与するサーバやユーザ番号など(識別情報)が必要となる。すなわち、例えば、あるサーバにアクセスする場合には、そのアクセスのためのパスワードを付与するサーバにユーザ番号などを付してパスワードを要求する必要がある。また、ATMにアクセスする場合には、ATMにアクセスするためのパスワードを付与するサーバにユーザ番号などを付してパスワードを要求する必要がある。このため、パスワードを付与するサーバや識別情報を記憶したIDカードなどを複数要することになる。
【0007】
そこでこの発明は、より安全性を高めることが可能で、さらには簡易な構成で複数のアクセス対象にアクセス可能な個人認証方法および個人認証システムを提供することを目的とする。
【課題を解決するための手段】
【0008】
上記目的を達成するために請求項1に記載の発明は、ユーザの生体情報を入力してワンタイムパスワードの付与を要求する要求ステップと、予め登録されたユーザの生体情報と前記要求ステップで入力された生体情報とが一致する場合に、ワンタイムパスワードを付与する付与ステップと、ユーザが入力したワンタイムパスワードと、前記付与ステップで付与されたワンタイムパスワードとを照合する照合ステップと、を備えることを特徴とする個人認証方法である。
【0009】
請求項2に記載の発明は、ユーザの識別情報を入力してワンタイムパスワードの付与を要求する要求ステップと、予め登録されたユーザの識別情報と前記要求ステップで入力された識別情報とが一致する場合に、ワンタイムパスワードとその識別情報とを付与する付与ステップと、ユーザが入力したワンタイムパスワードおよびその識別情報と、前記付与ステップで付与されたワンタイムパスワードおよびその識別情報とを照合する照合ステップと、を備えることを特徴とする個人認証方法である。
【0010】
請求項3に記載の発明は、ユーザの識別情報とアクセス対象の識別情報とを入力してワンタイムパスワードの付与を要求する要求ステップと、予め登録されたユーザの識別情報およびアクセスが許可されているアクセス対象の識別情報と、前記要求ステップで入力されたユーザの識別情報およびアクセス対象の識別情報とが一致する場合に、ワンタイムパスワードを付与する付与ステップと、ユーザが入力したワンタイムパスワードと、前記付与ステップで付与されたワンタイムパスワードとを照合する照合ステップと、を備えることを特徴とする個人認証方法である。
【0011】
請求項4に記載の発明は、請求項2または3のいずれか1項に記載の個人認証方法において、ユーザの生体情報を前記ユーザの識別情報とすることを特徴とする。
【0012】
請求項5に記載の発明は、ユーザの生体情報を入力してワンタイムパスワードの付与を要求する要求手段と、予め登録されたユーザの生体情報と前記要求手段から入力された生体情報とが一致する場合に、ワンタイムパスワードを付与する付与手段と、ユーザが入力したワンタイムパスワードと、前記付与手段から付与されたワンタイムパスワードとを照合する照合手段と、を備えることを特徴とする個人認証システムである。
(作用)
ユーザの生体情報を入力して要求手段からワンタイムパスワードの付与を要求すると、予め登録されたユーザの生体情報と一致する場合に付与手段によってワンタイムパスワードが付与される。そして、ユーザがワンタイムパスワードを入力すると、照合手段によってワンタイムパスワードが照合される。
【0013】
請求項6に記載の発明は、ユーザの識別情報を入力してワンタイムパスワードの付与を要求する要求手段と、予め登録されたユーザの識別情報と前記要求手段から入力された識別情報とが一致する場合に、ワンタイムパスワードとその識別情報とを付与する付与手段と、ユーザが入力したワンタイムパスワードおよびその識別情報と、前記付与手段から付与されたワンタイムパスワードおよびその識別情報とを照合する照合手段と、を備えることを特徴とする個人認証システムである。
(作用)
ユーザの識別情報を入力して要求手段からワンタイムパスワードの付与を要求すると、予め登録されたユーザの識別情報と一致する場合に付与手段によってワンタイムパスワードとその識別情報とが付与される。そして、ユーザがワンタイムパスワードとその識別情報とを入力すると、照合手段によってワンタイムパスワードとその識別情報とが照合される。
【0014】
請求項7に記載の発明は、ユーザの識別情報とアクセス対象の識別情報とを入力してワンタイムパスワードの付与を要求する要求手段と、予め登録されたユーザの識別情報およびアクセスが許可されているアクセス対象の識別情報と、前記要求手段から入力されたユーザの識別情報およびアクセス対象の識別情報とが一致する場合に、ワンタイムパスワードを付与する付与手段と、ユーザが入力したワンタイムパスワードと、前記付与手段から付与されたワンタイムパスワードとを照合する照合手段と、を備えることを特徴とする個人認証システムである。
(作用)
ユーザの識別情報とアクセス対象の識別情報とを入力して要求手段からワンタイムパスワードの付与を要求すると、予め登録されたユーザの識別情報および許可されているアクセス対象の識別情報が一致する場合に付与手段によってワンタイムパスワードが付与される。そして、ユーザがワンタイムパスワードを入力すると、照合手段によってワンタイムパスワードが照合される。
【0015】
請求項8に記載の発明は、請求項6または7のいずれか1項に記載の個人認証システムにおいて、ユーザの生体情報を前記ユーザの識別情報とすることを特徴とする。
【発明の効果】
【0016】
請求項1および5に記載の発明によれば、ユーザの生体情報に基づいてワンタイムパスワードを付与するため、ワンタイムパスワードを不正に取得しようとする者を適正に排除することができる。この結果、個人認証の安全性を高めることができる。
【0017】
請求項2および6に記載の発明によれば、ワンタイムパスワードとその識別情報に基づいて個人認証(照合)するため、個人認証の安全性を高めることができる。つまり、ワンタイムパスワードを不正に知得した第三者がワンタイムパスワードのみを入力しても、ワンタイムパスワードの識別情報が異なるとしてアクセスを拒否することが可能となる。
【0018】
請求項3および7に記載の発明によれば、ユーザの識別情報とアクセス対象の識別情報とに基づいてワンタイムパスワードを付与するため、簡易な構成で複数のアクセス対象にアクセス可能となる。つまり、1つのサーバなど(付与手段)に対してアクセス対象の識別情報を入力してワンタイムパスワードの付与を要求することで、当該アクセス対象へのアクセスが許可されている場合には、ワンタイムパスワードが付与される。このため、アクセス対象ごとに異なるサーバなどにワンタイムパスワードの付与を要求する必要がなくなる。この結果、パスワードを付与するサーバや識別情報を記憶したIDカードなどを複数設ける必要がなくなる。
【0019】
請求項4および8に記載の発明によれば、ユーザの生体情報を識別情報としてワンタイムパスワードを付与するため、ワンタイムパスワードを不正に取得しようとする者を適正に排除して、個人認証の安全性をより高めることができる。
【発明を実施するための最良の形態】
【0020】
以下、この発明を図示の実施の形態に基づいて説明する。
【0021】
(実施の形態1)
図1は、この実施の形態に係る個人認証システム1の概略構成図である。この個人認証システム1は、アクセスの許否を判定するために個人を認証するシステムであり、この実施の形態では、ユーザUが通信網N上のWebサイトにアクセスする場合について説明する。この個人認証システム1は、主として、ユーザUが所持している携帯電話(要求手段)2と、認証センタに設けられた認証サーバ(付与手段)3と、Webサイトを運用するWebサーバ(照合手段)4とを備えている。
【0022】
携帯電話2は、図2に示すように、指紋センサ21を備えている。この指紋センサ21は、ユーザUの指先を接触させながらスライドさせることで指紋(生体情報)を読み取り、指紋データをメモリに記憶する。そして、指紋データを添付して認証サーバ3に発信することで、認証サーバ3にワンタイムパスワードの付与を要求するものである。
【0023】
認証サーバ3は、図3に示すように、主として、ユーザデータベース31と、付与タスク32と、これらを起動制御などする制御タスク33とを備えている。
【0024】
ユーザデータベース31は、予め登録されたユーザU、つまりWebサイトへのアクセスを許可されたユーザUの情報を記憶したデータベースであり、図4に示すように、ユーザID311ごとに、ユーザ名312、発信番号・アドレス313、返信番号・アドレス314、指紋データ315および、その他316が記憶されている。そして、ユーザ名312には、ユーザUの氏名が記憶され、発信番号・アドレス313には、ユーザUの携帯電話2の電話番号や電子メールアドレスが記憶されている。返信番号・アドレス314には、ワンタイムパスワードを送信する送信先の電話番号や電子メールアドレスが記憶され、通常は、発信番号・アドレス313内のデータと同一となっている。つまり、通常はユーザUの携帯電話番号などにワンタイムパスワードが送信されるが、ユーザUからの申出などに応じて、ユーザUの携帯電話番号以外の電話番号などにもワンタイムパスワードを送信できるようになっている。指紋データ315には、予め登録されたユーザUの指紋のデータが記憶されている。
【0025】
付与タスク32は、予め登録されたユーザUの識別情報と携帯電話2から送信された識別情報とが一致する場合に、ワンタイムパスワードとその識別情報とを付与するタスクであり、図5に示すフローチャートに基づいている。まず、携帯電話2の発信者番号(発信者アドレス)に基づいて、ユーザデータベース31から該当する指紋データを取得する(ステップS1)。つまり、携帯電話2の発信者番号と同一の番号(アドレス)が記憶された発信番号・アドレス313のユーザID311を検索し、そのユーザID311の指紋データ315から指紋データを取得する。次に、取得した指紋データと携帯電話2から送信された指紋データとが一致するか否かを判定する(ステップS2)。このように、この実施の形態では、携帯電話2の発信者番号と指紋データとをユーザUの識別情報としている。そして、指紋データが一致しない場合には、アクセス不可を伝えるメッセージ、例えば、「登録のご本人と認証できません。」というメッセージを携帯電話2の発信者番号に対して送信する(ステップS3)。なお、携帯電話2の発信者番号と同一番号のユーザID311を検索できなかった場合にも、同様のメッセージを送信する。
【0026】
一方、指紋データが一致する場合には、ワンタイムパスワード生成プログラムによってワンタイムパスワードを生成する(ステップS4)。さらに、ワンタイムパスワードを生成した日時をこのワンタイムパスワードの識別情報としてタイムスタンプを生成、記憶する(ステップS5)。次に、生成したワンタイムパスワードとタイムスタンプとを、ユーザUとWebサーバ4とに送信する(ステップS6)。ここで、ユーザUに対しては、当該ユーザID311の返信番号・アドレス314の電話番号(アドレス)に送信する。
【0027】
Webサーバ4は、認証サーバ3から受信したワンタイムパスワードとタイムスタンプとを一対として記憶するメモリと、照合タスク41とを備えている。この照合タスク41は、メモリに記憶されたワンタイムパスワードおよびそのタイムスタンプと、ユーザUが入力したワンタイムパスワードおよびそのタイムスタンプとを照合などするタスクであり、図6に示すフローチャートに基づいている。まず、後述するようにしてユーザUの携帯電話2または端末5から送信されたワンタイムパスワードと同一のワンタイムパスワードをメモリから検索する(ステップS11)。さらに、メモリに同一のワンタイムパスワードが記憶されている場合には、そのワンタイムパスワードに対して記憶されているタイムスタンプを取得し、このタイムスタンプとユーザUの携帯電話2などから送信されたタイムスタンプとが一致するか否かを判定する(ステップS12)。そして、メモリに同一のワンタイムパスワードが記憶されていない場合(ステップS11で「N」の場合)および、タイムスタンプが一致しない場合(ステップS12で「N」の場合)には、アクセス不可を伝えるメッセージ、例えば、「パスワードが違います。」というメッセージを携帯電話2などに送信する(ステップS13)。
【0028】
一方、タイムスタンプが一致する場合(ステップS12で「Y」の場合)には、ロックを解除し、Webサイトをアクセス可能とする(ステップS14)。さらに、メモリ内の当該ワンタイムパスワードとそのタイムスタンプとを消去する(ステップS15)。なお、予め設定された時間内にユーザUからワンタイムパスワードとそのタイムスタンプの送信がない場合にも、タイムオーバしたワンタイムパスワードとタイムスタンプとを消去するようになっている。
【0029】
次に、このような構成の個人認証システム1の処理動作および個人認証方法について、図7に示すフローチャートに基づいて説明する。
【0030】
まず、ユーザUがWebサーバ4にアクセスするに先立って、要求ステップとして、認証サーバ3にワンタイムパスワードの付与を要求する(ステップS21)。つまり、携帯電話2から指紋データを添付して認証サーバ3に発信する。次に、認証サーバ3が携帯電話2からの着信を受けると、付与ステップとして付与タスク32が起動され(ステップS22)、上記のようにしてパスワードの付与の是非が判定される。そして、パスワードを付与できない場合(ステップS23で「N」の場合)には、アクセス不可を伝えるメッセージが携帯電話2に送信される(ステップS24)。一方、パスワードを付与できる場合(ステップS23で「Y」の場合)には、生成したワンタイムパスワードとタイムスタンプとが、ユーザUの携帯電話2とWebサーバ4とに送信される(ステップS25、26)。
【0031】
続いて、ユーザUがワンタイムパスワードとタイムスタンプとをWebサーバ4に送信(入力)する(ステップS27)。このとき、携帯電話2から直接Webサーバ4に送信(URLへ転送)してもよいし、パーソナルコンピュータなどの端末5からWebサーバ4に送信してもよい。次に、Webサーバ4が携帯電話2などからパスワードとタイムスタンプとを受信すると、照合ステップとして照合タスク41が起動され(ステップS28)、上記のようにしてパスワードの照合などが行われる。そして、パスワードとタイムスタンプとが一致しない場合(ステップS29で「N」の場合)には、アクセス不可を伝えるメッセージが携帯電話2などに送信される(ステップS30)。一方、一致する場合(ステップS29で「Y」の場合)には、ロックが解除されてWebサイトへのアクセスが可能となる(ステップS31)ものである。
【0032】
以上のように、この個人認証システム1および個人認証方法によれば、付与ステップにおいて、ユーザUの指紋データと携帯電話2の発信者番号とをユーザUの識別情報としてワンタイムパスワードを付与する。このため、ワンタイムパスワードを不正に取得しようとする者を適正に排除することができる。つまり、携帯電話2の発信者番号など(識別情報)を不正に知得した第三者に対して、ワンタイムパスワードを付与することを防止できる。この結果、個人認証の安全性を高めることができる。
【0033】
さらに、照合ステップにおいて、ワンタイムパスワードとそのタイムスタンプに基づいて個人認証(照合)するため、個人認証の安全性をより高めることができる。つまり、ワンタイムパスワードを不正に知得した第三者がワンタイムパスワードのみを入力しても、タイムスタンプが異なるとしてアクセスを拒否することが可能となる。また、安全性を確保した上で、ユーザUが許可した者によるアクセスが可能となる。つまり、ワンタイムパスワードとそのタイムスタンプとをユーザUが許可した者に伝えることで、上記のようにして第三者の不正アクセスが防止された上で、許可した者によるアクセスが可能となる。これにより、例えばユーザUが直接アクセスできない場合に、安全性を確保した上で、ユーザUの親類などがユーザUに代わってアクセスすることが可能となる。
【0034】
(実施の形態2)
図8は、この実施の形態に係る個人認証システム11の概略構成図である。この個人認証システム11では、アクセス対象が複数存在する点で実施の形態1と異なり、実施の形態1と同等の構成については、同一符号を付して説明する。
【0035】
図中符号6は、入退出が管理されている設備内の各部屋のドア(アクセス対象)で、符号7は、各ドア6の開錠を管理する管理サーバ(照合手段)であり、各ドア6の電子錠61と管理サーバ7とは、通信網Nを介して通信可能に接続されている。各ドア6の電子錠61はキーを備え、キーからワンタイムパスワードを入力すると、ドア6の識別情報とワンタイムパスワードとが管理サーバ7に送信される。そして、後述するように、ワンタイムパスワードが正しい場合には、管理サーバ7から電子錠61に「開錠指令」が送信され、電子錠61が開錠されるようになっている。また、各ドア6には、当該ドア6の識別情報を記憶した二次元バーコード62が貼り付けられている。
【0036】
携帯電話2は、二次元バーコードを読み取るためのカメラを備えている。そして、入室を希望するドア6の二次元バーコード62を携帯電話2で読み取り、読み取ったドア6の識別情報と指紋データとを添付して認証サーバ3に発信することで、認証サーバ3にワンタイムパスワードの付与を要求するものである。
【0037】
認証サーバ3のユーザデータベース31は、実施の形態1とほぼ同等のデータ構成であるが、ユーザID311ごとに、入室(アクセス)が許可されているドア6の識別情報が記憶されている。また、付与タスク32は、実施の形態1と異なるが、ここでは同一符号を付して説明する。
【0038】
付与タスク32は、予め登録されたユーザUの識別情報および入室が許可されているドア6の識別情報と、携帯電話2から送信されたユーザUの識別情報およびドア6の識別情報とが一致する場合に、ワンタイムパスワードを付与するタスクであり、図9に示すフローチャートに基づいている。まず、携帯電話2の発信者番号に基づいて、ユーザデータベース31から該当する指紋データを取得し(ステップS41)、取得した指紋データと携帯電話2から送信された指紋データとが一致するか否かを判定する(ステップS42)。そして、指紋データが一致する場合には、携帯電話2から送信されたドア6への当該ユーザUの入室が許可されているか否かを判定する(ステップS43)。つまり、携帯電話2から送信されたドア6の識別情報が、ユーザデータベース31に記憶されている当該ユーザID311が入室可能なドア6の識別情報に含まれているか否かを判定する。そして、入室が許可されている場合には、ワンタイムパスワードを生成し(ステップS45)、生成したワンタイムパスワードなどをユーザUと管理サーバ7とに送信する(ステップS46)。すなわち、ユーザUの携帯電話2にワンタイムパスワードを送信するとともに、管理サーバ7にドア6の識別情報とワンタイムパスワードとを送信する。一方、指紋データが一致しない場合または入室が許可されていない場合には、入室不可を伝えるメッセージを携帯電話2に送信する(ステップS44)ものである。
【0039】
管理サーバ7は、認証サーバ3から受信したドア6の識別情報とワンタイムパスワードとを一対として記憶するメモリと、照合タスク71とを備えている。この照合タスク71は、ユーザUが入力したワンタイムパスワードと、メモリに記憶されているワンタイムパスワードとを照合などするタスクであり、図10に示すフローチャートに基づいている。まず、上記のようにして電子錠61から送信されたドア6の識別情報に対して記憶されているワンタイムパスワードをメモリから取得し(ステップS51)、取得したワンタイムパスワードと電子錠61から受信したワンタイムパスワードとが一致するか否かを判定する(ステップS52)。そして、一致しない場合には、「入室不可」を電子錠61に送信する(ステップS53)。一方、ワンタイムパスワードが一致する場合には、「開錠指令」を電子錠61に送信し(ステップS54)、メモリ内の当該ワンタイムパスワードを消去する(ステップS55)。なお、予め設定された時間内に電子錠61からワンタイムパスワードの送信がない場合には、タイムオーバしたワンタイムパスワードを消去するようになっている。
【0040】
次に、このような構成の個人認証システム11の処理動作および個人認証方法について、図11に示すフローチャートに基づいて説明する。
【0041】
まず、ユーザUが入室を希望するドア6の二次元バーコード62を携帯電話2で読み取り(ステップS61)、要求ステップとして、認証サーバ3にワンタイムパスワードの付与を要求する(ステップS62)。つまり、二次元バーコード62から読み取ったドア6の識別情報と指紋データとを添付して、携帯電話2から認証サーバ3に発信する。次に、認証サーバ3において、付与ステップとして付与タスク32が起動され(ステップS63)、上記のようにしてパスワードの付与の是非が判定される。そして、パスワードを付与できない場合(ステップS64で「N」の場合)には、入室不可を伝えるメッセージが携帯電話2に送信される(ステップS65)。一方、パスワードを付与できる場合(ステップS64で「Y」の場合)には、生成されたワンタイムパスワードが携帯電話2に送信され(ステップS66)、ドア6の識別情報とワンタイムパスワードとが管理サーバ7に送信される(ステップS67)。
【0042】
続いて、ユーザUが電子錠61のキーからワンタイムパスワードを入力する(ステップS68)と、ドア6の識別情報とワンタイムパスワードとが、電子錠61から管理サーバ7に送信される(ステップS69)。次に、管理サーバ7において、照合ステップとして照合タスク71が起動され(ステップS70)、上記のようにしてパスワードの照合などが行われる。そして、ワンタイムパスワードが一致しない場合(ステップS71で「N」の場合)には、「入室不可」が電子錠61に送信され(ステップS72)、電子錠61の表示部に入室不可のメッセージが表示などされる。一方、一致する場合(ステップS71で「Y」の場合)には、「開錠指令」が電子錠61に送信され(ステップS73)、電子錠61が開錠されて(ステップS74)ユーザUの入室が可能となるものである。
【0043】
以上のように、この個人認証システム11および個人認証方法によれば、ユーザUの識別情報とドア6(アクセス対象)の識別情報とに基づいてワンタイムパスワードを付与するため、簡易な構成で複数のドア6にアクセス可能となる。つまり、1つの認証サーバ3に対してドア6の識別情報を入力してワンタイムパスワードの付与を要求することで、当該ドア6へのアクセスが許可されている場合には、ワンタイムパスワードが付与される。このため、ドア6ごとに異なるサーバなどにワンタイムパスワードの付与を要求する必要がなくなり、パスワードを付与するサーバやユーザUの識別情報などを複数設ける必要がなくなる。
【0044】
以上、この発明の実施の形態について説明したが、具体的な構成は、上記の実施の形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計の変更等があっても、この発明に含まれる。例えば、実施の形態1では、付与手段(付与タスク32)と照合手段(照合タスク41)とを異なるサーバ3、4に設けているが、ユーザUがアクセスしようとしているWebサーバ4に付与手段と照合手段とを設けるようにしてもよい。また、タイムスタンプをワンタイムパスワードの識別情報としているが、携帯電話2の発信者番号やその他の情報を識別情報としてもよく、タイムスタンプと発信者番号の双方を識別情報としてもよい。さらに、実施の形態1では、Webサイトにアクセスする場合について説明したが、ATMにアクセスする場合や、インターネット上の画面を開錠する場合、あるいは社内サーバにアクセスする場合などにも適用できる。
【0045】
また、実施の形態2では、二次元バーコード62を読み取ることでアクセス対象(ドア6)の識別情報を取得しているが、次のようにしてもよい。すなわち、GPS(Global Positioning System)機能を備えた携帯電話2を用いて、ユーザUの現在位置をアクセス対象の識別情報とし、その位置周辺に配設されているアクセス対象へのアクセスが許可されているか否かに基づいてワンタイムパスワードを付与するようにしてもよい。さらに、アクセス対象の識別情報をIC(Radio Frequency Identification)タグや一次元バーコードなどに記憶してもよいことは勿論である。また、実施の形態2において、実施の形態1と同様にタイムスタンプも付与し、ワンタイムパスワードとタイムスタンプとに基づいて照合を行うようにしてもよい。
【0046】
さらに、上記の実施の形態では、生体情報として指紋を利用しているが、人相や声紋、瞳の虹彩などを利用するようにしてもよい。
【図面の簡単な説明】
【0047】
【図1】この発明の実施の形態1に係る個人認証システムの概略構成図である。
【図2】図1のシステムにおける携帯電話の正面図である。
【図3】図1のシステムにおける認証サーバの概略構成ブロック図である。
【図4】図3の認証サーバのユーザデータベースのデータ構成図である。
【図5】図3の認証サーバの付与タスクのフローチャートである。
【図6】図1のシステムにおけるWebサーバの照合タスクのフローチャートである。
【図7】図1のシステムによる個人認証方法のフローチャートである。
【図8】この発明の実施の形態2に係る個人認証システムの概略構成図である。
【図9】図8のシステムにおける付与タスクのフローチャートである。
【図10】図8のシステムにおける照合タスクのフローチャートである。
【図11】図8のシステムによる個人認証方法のフローチャートである。
【符号の説明】
【0048】
1、11 個人認証システム
2 携帯電話(要求手段)
21 指紋センサ
3 認証サーバ(付与手段)
4 Webサーバ(アクセス対象、照合手段)
5 端末
6 ドア(アクセス対象)
61 電子錠
62 二次元バーコード
7 管理サーバ(照合手段)
U ユーザ
N 通信網
【技術分野】
【0001】
この発明は、アクセスの許否を判定するために個人を認証する個人認証方法および個人認証システムに関する。
【背景技術】
【0002】
例えば、サーバにアクセス(ログイン)したり、ATM(現金自動入金・支払機)にアクセスしたりする際には、許可された者によるアクセスであることを示すために、氏名やパスワードなどの入力が必要である。このため、サーバにアクセスなどする者は、パスワードを記憶しておく必要があるが、パスワードを忘れてしまうおそれがある。一方、パスワードをメモ用紙などに記憶すると、メモ用紙を第三者に見られた場合に、パスワードを第三者に知られるおそれがある。また、永続的に同一のパスワードを用いた場合にも、第三者にパスワードを知られるおそれが高まり、セキュリティ上のリスクが高くなる。そこで、アクセスごとに異なるパスワードを自動的に付与するワンタイムパスワードシステムが知られている(例えば、特許文献1参照。)。
【0003】
このシステムは、パスワードを付与するサーバに対して、アクセスをする者の携帯電話番号やユーザ番号などを識別情報としてパスワードを要求すると、識別情報に基づいてアクセスの許否を判定し、許可された者である場合には、一時的な(一回のみ使用可能な)ワンタイムパスワードを生成、付与する。そして、このワンタイムパスワードを入力することで、サーバへのアクセスなどが可能となる。また、次のアクセスの際には、異なるワンタイムパスワードを付与して、再度のアクセスを可能にする。これにより、アクセスをする者はパスワードを記憶する必要がなく、また、アクセスごとにパスワードが異なるため、第三者にパスワードを知られるおそれが低くなり安全性が高まる、というものである。
【特許文献1】特開2001−312471号公報
【発明の開示】
【発明が解決しようとする課題】
【0004】
ところで、上記のようなワンタイムパスワードシステムでは、アクセスをする者の携帯電話番号やユーザ番号などを識別情報としてワンタイムパスワードを付与するため、安全性が損なわれるおそれがある。すなわち、アクセスを許可された者の携帯電話番号などを不正に知得した者であっても、携帯電話番号などを識別情報としてパスワードを要求することで、ワンタイムパスワードを取得することが可能となってしまう。
【0005】
また、上記のようなワンタイムパスワードシステムでは、付与されたワンタイムパスワードを入力すれば、誰でもサーバなどにアクセスできてしまう。つまり、アクセスを許可された者以外の第三者が不正にパスワードを知得した場合などには、許可されていない第三者のアクセスが可能となってしまう。
【0006】
さらに、上記のようなワンタイムパスワードシステムでは、アクセスをする対象が異なるごとに、パスワードを付与するサーバやユーザ番号など(識別情報)が必要となる。すなわち、例えば、あるサーバにアクセスする場合には、そのアクセスのためのパスワードを付与するサーバにユーザ番号などを付してパスワードを要求する必要がある。また、ATMにアクセスする場合には、ATMにアクセスするためのパスワードを付与するサーバにユーザ番号などを付してパスワードを要求する必要がある。このため、パスワードを付与するサーバや識別情報を記憶したIDカードなどを複数要することになる。
【0007】
そこでこの発明は、より安全性を高めることが可能で、さらには簡易な構成で複数のアクセス対象にアクセス可能な個人認証方法および個人認証システムを提供することを目的とする。
【課題を解決するための手段】
【0008】
上記目的を達成するために請求項1に記載の発明は、ユーザの生体情報を入力してワンタイムパスワードの付与を要求する要求ステップと、予め登録されたユーザの生体情報と前記要求ステップで入力された生体情報とが一致する場合に、ワンタイムパスワードを付与する付与ステップと、ユーザが入力したワンタイムパスワードと、前記付与ステップで付与されたワンタイムパスワードとを照合する照合ステップと、を備えることを特徴とする個人認証方法である。
【0009】
請求項2に記載の発明は、ユーザの識別情報を入力してワンタイムパスワードの付与を要求する要求ステップと、予め登録されたユーザの識別情報と前記要求ステップで入力された識別情報とが一致する場合に、ワンタイムパスワードとその識別情報とを付与する付与ステップと、ユーザが入力したワンタイムパスワードおよびその識別情報と、前記付与ステップで付与されたワンタイムパスワードおよびその識別情報とを照合する照合ステップと、を備えることを特徴とする個人認証方法である。
【0010】
請求項3に記載の発明は、ユーザの識別情報とアクセス対象の識別情報とを入力してワンタイムパスワードの付与を要求する要求ステップと、予め登録されたユーザの識別情報およびアクセスが許可されているアクセス対象の識別情報と、前記要求ステップで入力されたユーザの識別情報およびアクセス対象の識別情報とが一致する場合に、ワンタイムパスワードを付与する付与ステップと、ユーザが入力したワンタイムパスワードと、前記付与ステップで付与されたワンタイムパスワードとを照合する照合ステップと、を備えることを特徴とする個人認証方法である。
【0011】
請求項4に記載の発明は、請求項2または3のいずれか1項に記載の個人認証方法において、ユーザの生体情報を前記ユーザの識別情報とすることを特徴とする。
【0012】
請求項5に記載の発明は、ユーザの生体情報を入力してワンタイムパスワードの付与を要求する要求手段と、予め登録されたユーザの生体情報と前記要求手段から入力された生体情報とが一致する場合に、ワンタイムパスワードを付与する付与手段と、ユーザが入力したワンタイムパスワードと、前記付与手段から付与されたワンタイムパスワードとを照合する照合手段と、を備えることを特徴とする個人認証システムである。
(作用)
ユーザの生体情報を入力して要求手段からワンタイムパスワードの付与を要求すると、予め登録されたユーザの生体情報と一致する場合に付与手段によってワンタイムパスワードが付与される。そして、ユーザがワンタイムパスワードを入力すると、照合手段によってワンタイムパスワードが照合される。
【0013】
請求項6に記載の発明は、ユーザの識別情報を入力してワンタイムパスワードの付与を要求する要求手段と、予め登録されたユーザの識別情報と前記要求手段から入力された識別情報とが一致する場合に、ワンタイムパスワードとその識別情報とを付与する付与手段と、ユーザが入力したワンタイムパスワードおよびその識別情報と、前記付与手段から付与されたワンタイムパスワードおよびその識別情報とを照合する照合手段と、を備えることを特徴とする個人認証システムである。
(作用)
ユーザの識別情報を入力して要求手段からワンタイムパスワードの付与を要求すると、予め登録されたユーザの識別情報と一致する場合に付与手段によってワンタイムパスワードとその識別情報とが付与される。そして、ユーザがワンタイムパスワードとその識別情報とを入力すると、照合手段によってワンタイムパスワードとその識別情報とが照合される。
【0014】
請求項7に記載の発明は、ユーザの識別情報とアクセス対象の識別情報とを入力してワンタイムパスワードの付与を要求する要求手段と、予め登録されたユーザの識別情報およびアクセスが許可されているアクセス対象の識別情報と、前記要求手段から入力されたユーザの識別情報およびアクセス対象の識別情報とが一致する場合に、ワンタイムパスワードを付与する付与手段と、ユーザが入力したワンタイムパスワードと、前記付与手段から付与されたワンタイムパスワードとを照合する照合手段と、を備えることを特徴とする個人認証システムである。
(作用)
ユーザの識別情報とアクセス対象の識別情報とを入力して要求手段からワンタイムパスワードの付与を要求すると、予め登録されたユーザの識別情報および許可されているアクセス対象の識別情報が一致する場合に付与手段によってワンタイムパスワードが付与される。そして、ユーザがワンタイムパスワードを入力すると、照合手段によってワンタイムパスワードが照合される。
【0015】
請求項8に記載の発明は、請求項6または7のいずれか1項に記載の個人認証システムにおいて、ユーザの生体情報を前記ユーザの識別情報とすることを特徴とする。
【発明の効果】
【0016】
請求項1および5に記載の発明によれば、ユーザの生体情報に基づいてワンタイムパスワードを付与するため、ワンタイムパスワードを不正に取得しようとする者を適正に排除することができる。この結果、個人認証の安全性を高めることができる。
【0017】
請求項2および6に記載の発明によれば、ワンタイムパスワードとその識別情報に基づいて個人認証(照合)するため、個人認証の安全性を高めることができる。つまり、ワンタイムパスワードを不正に知得した第三者がワンタイムパスワードのみを入力しても、ワンタイムパスワードの識別情報が異なるとしてアクセスを拒否することが可能となる。
【0018】
請求項3および7に記載の発明によれば、ユーザの識別情報とアクセス対象の識別情報とに基づいてワンタイムパスワードを付与するため、簡易な構成で複数のアクセス対象にアクセス可能となる。つまり、1つのサーバなど(付与手段)に対してアクセス対象の識別情報を入力してワンタイムパスワードの付与を要求することで、当該アクセス対象へのアクセスが許可されている場合には、ワンタイムパスワードが付与される。このため、アクセス対象ごとに異なるサーバなどにワンタイムパスワードの付与を要求する必要がなくなる。この結果、パスワードを付与するサーバや識別情報を記憶したIDカードなどを複数設ける必要がなくなる。
【0019】
請求項4および8に記載の発明によれば、ユーザの生体情報を識別情報としてワンタイムパスワードを付与するため、ワンタイムパスワードを不正に取得しようとする者を適正に排除して、個人認証の安全性をより高めることができる。
【発明を実施するための最良の形態】
【0020】
以下、この発明を図示の実施の形態に基づいて説明する。
【0021】
(実施の形態1)
図1は、この実施の形態に係る個人認証システム1の概略構成図である。この個人認証システム1は、アクセスの許否を判定するために個人を認証するシステムであり、この実施の形態では、ユーザUが通信網N上のWebサイトにアクセスする場合について説明する。この個人認証システム1は、主として、ユーザUが所持している携帯電話(要求手段)2と、認証センタに設けられた認証サーバ(付与手段)3と、Webサイトを運用するWebサーバ(照合手段)4とを備えている。
【0022】
携帯電話2は、図2に示すように、指紋センサ21を備えている。この指紋センサ21は、ユーザUの指先を接触させながらスライドさせることで指紋(生体情報)を読み取り、指紋データをメモリに記憶する。そして、指紋データを添付して認証サーバ3に発信することで、認証サーバ3にワンタイムパスワードの付与を要求するものである。
【0023】
認証サーバ3は、図3に示すように、主として、ユーザデータベース31と、付与タスク32と、これらを起動制御などする制御タスク33とを備えている。
【0024】
ユーザデータベース31は、予め登録されたユーザU、つまりWebサイトへのアクセスを許可されたユーザUの情報を記憶したデータベースであり、図4に示すように、ユーザID311ごとに、ユーザ名312、発信番号・アドレス313、返信番号・アドレス314、指紋データ315および、その他316が記憶されている。そして、ユーザ名312には、ユーザUの氏名が記憶され、発信番号・アドレス313には、ユーザUの携帯電話2の電話番号や電子メールアドレスが記憶されている。返信番号・アドレス314には、ワンタイムパスワードを送信する送信先の電話番号や電子メールアドレスが記憶され、通常は、発信番号・アドレス313内のデータと同一となっている。つまり、通常はユーザUの携帯電話番号などにワンタイムパスワードが送信されるが、ユーザUからの申出などに応じて、ユーザUの携帯電話番号以外の電話番号などにもワンタイムパスワードを送信できるようになっている。指紋データ315には、予め登録されたユーザUの指紋のデータが記憶されている。
【0025】
付与タスク32は、予め登録されたユーザUの識別情報と携帯電話2から送信された識別情報とが一致する場合に、ワンタイムパスワードとその識別情報とを付与するタスクであり、図5に示すフローチャートに基づいている。まず、携帯電話2の発信者番号(発信者アドレス)に基づいて、ユーザデータベース31から該当する指紋データを取得する(ステップS1)。つまり、携帯電話2の発信者番号と同一の番号(アドレス)が記憶された発信番号・アドレス313のユーザID311を検索し、そのユーザID311の指紋データ315から指紋データを取得する。次に、取得した指紋データと携帯電話2から送信された指紋データとが一致するか否かを判定する(ステップS2)。このように、この実施の形態では、携帯電話2の発信者番号と指紋データとをユーザUの識別情報としている。そして、指紋データが一致しない場合には、アクセス不可を伝えるメッセージ、例えば、「登録のご本人と認証できません。」というメッセージを携帯電話2の発信者番号に対して送信する(ステップS3)。なお、携帯電話2の発信者番号と同一番号のユーザID311を検索できなかった場合にも、同様のメッセージを送信する。
【0026】
一方、指紋データが一致する場合には、ワンタイムパスワード生成プログラムによってワンタイムパスワードを生成する(ステップS4)。さらに、ワンタイムパスワードを生成した日時をこのワンタイムパスワードの識別情報としてタイムスタンプを生成、記憶する(ステップS5)。次に、生成したワンタイムパスワードとタイムスタンプとを、ユーザUとWebサーバ4とに送信する(ステップS6)。ここで、ユーザUに対しては、当該ユーザID311の返信番号・アドレス314の電話番号(アドレス)に送信する。
【0027】
Webサーバ4は、認証サーバ3から受信したワンタイムパスワードとタイムスタンプとを一対として記憶するメモリと、照合タスク41とを備えている。この照合タスク41は、メモリに記憶されたワンタイムパスワードおよびそのタイムスタンプと、ユーザUが入力したワンタイムパスワードおよびそのタイムスタンプとを照合などするタスクであり、図6に示すフローチャートに基づいている。まず、後述するようにしてユーザUの携帯電話2または端末5から送信されたワンタイムパスワードと同一のワンタイムパスワードをメモリから検索する(ステップS11)。さらに、メモリに同一のワンタイムパスワードが記憶されている場合には、そのワンタイムパスワードに対して記憶されているタイムスタンプを取得し、このタイムスタンプとユーザUの携帯電話2などから送信されたタイムスタンプとが一致するか否かを判定する(ステップS12)。そして、メモリに同一のワンタイムパスワードが記憶されていない場合(ステップS11で「N」の場合)および、タイムスタンプが一致しない場合(ステップS12で「N」の場合)には、アクセス不可を伝えるメッセージ、例えば、「パスワードが違います。」というメッセージを携帯電話2などに送信する(ステップS13)。
【0028】
一方、タイムスタンプが一致する場合(ステップS12で「Y」の場合)には、ロックを解除し、Webサイトをアクセス可能とする(ステップS14)。さらに、メモリ内の当該ワンタイムパスワードとそのタイムスタンプとを消去する(ステップS15)。なお、予め設定された時間内にユーザUからワンタイムパスワードとそのタイムスタンプの送信がない場合にも、タイムオーバしたワンタイムパスワードとタイムスタンプとを消去するようになっている。
【0029】
次に、このような構成の個人認証システム1の処理動作および個人認証方法について、図7に示すフローチャートに基づいて説明する。
【0030】
まず、ユーザUがWebサーバ4にアクセスするに先立って、要求ステップとして、認証サーバ3にワンタイムパスワードの付与を要求する(ステップS21)。つまり、携帯電話2から指紋データを添付して認証サーバ3に発信する。次に、認証サーバ3が携帯電話2からの着信を受けると、付与ステップとして付与タスク32が起動され(ステップS22)、上記のようにしてパスワードの付与の是非が判定される。そして、パスワードを付与できない場合(ステップS23で「N」の場合)には、アクセス不可を伝えるメッセージが携帯電話2に送信される(ステップS24)。一方、パスワードを付与できる場合(ステップS23で「Y」の場合)には、生成したワンタイムパスワードとタイムスタンプとが、ユーザUの携帯電話2とWebサーバ4とに送信される(ステップS25、26)。
【0031】
続いて、ユーザUがワンタイムパスワードとタイムスタンプとをWebサーバ4に送信(入力)する(ステップS27)。このとき、携帯電話2から直接Webサーバ4に送信(URLへ転送)してもよいし、パーソナルコンピュータなどの端末5からWebサーバ4に送信してもよい。次に、Webサーバ4が携帯電話2などからパスワードとタイムスタンプとを受信すると、照合ステップとして照合タスク41が起動され(ステップS28)、上記のようにしてパスワードの照合などが行われる。そして、パスワードとタイムスタンプとが一致しない場合(ステップS29で「N」の場合)には、アクセス不可を伝えるメッセージが携帯電話2などに送信される(ステップS30)。一方、一致する場合(ステップS29で「Y」の場合)には、ロックが解除されてWebサイトへのアクセスが可能となる(ステップS31)ものである。
【0032】
以上のように、この個人認証システム1および個人認証方法によれば、付与ステップにおいて、ユーザUの指紋データと携帯電話2の発信者番号とをユーザUの識別情報としてワンタイムパスワードを付与する。このため、ワンタイムパスワードを不正に取得しようとする者を適正に排除することができる。つまり、携帯電話2の発信者番号など(識別情報)を不正に知得した第三者に対して、ワンタイムパスワードを付与することを防止できる。この結果、個人認証の安全性を高めることができる。
【0033】
さらに、照合ステップにおいて、ワンタイムパスワードとそのタイムスタンプに基づいて個人認証(照合)するため、個人認証の安全性をより高めることができる。つまり、ワンタイムパスワードを不正に知得した第三者がワンタイムパスワードのみを入力しても、タイムスタンプが異なるとしてアクセスを拒否することが可能となる。また、安全性を確保した上で、ユーザUが許可した者によるアクセスが可能となる。つまり、ワンタイムパスワードとそのタイムスタンプとをユーザUが許可した者に伝えることで、上記のようにして第三者の不正アクセスが防止された上で、許可した者によるアクセスが可能となる。これにより、例えばユーザUが直接アクセスできない場合に、安全性を確保した上で、ユーザUの親類などがユーザUに代わってアクセスすることが可能となる。
【0034】
(実施の形態2)
図8は、この実施の形態に係る個人認証システム11の概略構成図である。この個人認証システム11では、アクセス対象が複数存在する点で実施の形態1と異なり、実施の形態1と同等の構成については、同一符号を付して説明する。
【0035】
図中符号6は、入退出が管理されている設備内の各部屋のドア(アクセス対象)で、符号7は、各ドア6の開錠を管理する管理サーバ(照合手段)であり、各ドア6の電子錠61と管理サーバ7とは、通信網Nを介して通信可能に接続されている。各ドア6の電子錠61はキーを備え、キーからワンタイムパスワードを入力すると、ドア6の識別情報とワンタイムパスワードとが管理サーバ7に送信される。そして、後述するように、ワンタイムパスワードが正しい場合には、管理サーバ7から電子錠61に「開錠指令」が送信され、電子錠61が開錠されるようになっている。また、各ドア6には、当該ドア6の識別情報を記憶した二次元バーコード62が貼り付けられている。
【0036】
携帯電話2は、二次元バーコードを読み取るためのカメラを備えている。そして、入室を希望するドア6の二次元バーコード62を携帯電話2で読み取り、読み取ったドア6の識別情報と指紋データとを添付して認証サーバ3に発信することで、認証サーバ3にワンタイムパスワードの付与を要求するものである。
【0037】
認証サーバ3のユーザデータベース31は、実施の形態1とほぼ同等のデータ構成であるが、ユーザID311ごとに、入室(アクセス)が許可されているドア6の識別情報が記憶されている。また、付与タスク32は、実施の形態1と異なるが、ここでは同一符号を付して説明する。
【0038】
付与タスク32は、予め登録されたユーザUの識別情報および入室が許可されているドア6の識別情報と、携帯電話2から送信されたユーザUの識別情報およびドア6の識別情報とが一致する場合に、ワンタイムパスワードを付与するタスクであり、図9に示すフローチャートに基づいている。まず、携帯電話2の発信者番号に基づいて、ユーザデータベース31から該当する指紋データを取得し(ステップS41)、取得した指紋データと携帯電話2から送信された指紋データとが一致するか否かを判定する(ステップS42)。そして、指紋データが一致する場合には、携帯電話2から送信されたドア6への当該ユーザUの入室が許可されているか否かを判定する(ステップS43)。つまり、携帯電話2から送信されたドア6の識別情報が、ユーザデータベース31に記憶されている当該ユーザID311が入室可能なドア6の識別情報に含まれているか否かを判定する。そして、入室が許可されている場合には、ワンタイムパスワードを生成し(ステップS45)、生成したワンタイムパスワードなどをユーザUと管理サーバ7とに送信する(ステップS46)。すなわち、ユーザUの携帯電話2にワンタイムパスワードを送信するとともに、管理サーバ7にドア6の識別情報とワンタイムパスワードとを送信する。一方、指紋データが一致しない場合または入室が許可されていない場合には、入室不可を伝えるメッセージを携帯電話2に送信する(ステップS44)ものである。
【0039】
管理サーバ7は、認証サーバ3から受信したドア6の識別情報とワンタイムパスワードとを一対として記憶するメモリと、照合タスク71とを備えている。この照合タスク71は、ユーザUが入力したワンタイムパスワードと、メモリに記憶されているワンタイムパスワードとを照合などするタスクであり、図10に示すフローチャートに基づいている。まず、上記のようにして電子錠61から送信されたドア6の識別情報に対して記憶されているワンタイムパスワードをメモリから取得し(ステップS51)、取得したワンタイムパスワードと電子錠61から受信したワンタイムパスワードとが一致するか否かを判定する(ステップS52)。そして、一致しない場合には、「入室不可」を電子錠61に送信する(ステップS53)。一方、ワンタイムパスワードが一致する場合には、「開錠指令」を電子錠61に送信し(ステップS54)、メモリ内の当該ワンタイムパスワードを消去する(ステップS55)。なお、予め設定された時間内に電子錠61からワンタイムパスワードの送信がない場合には、タイムオーバしたワンタイムパスワードを消去するようになっている。
【0040】
次に、このような構成の個人認証システム11の処理動作および個人認証方法について、図11に示すフローチャートに基づいて説明する。
【0041】
まず、ユーザUが入室を希望するドア6の二次元バーコード62を携帯電話2で読み取り(ステップS61)、要求ステップとして、認証サーバ3にワンタイムパスワードの付与を要求する(ステップS62)。つまり、二次元バーコード62から読み取ったドア6の識別情報と指紋データとを添付して、携帯電話2から認証サーバ3に発信する。次に、認証サーバ3において、付与ステップとして付与タスク32が起動され(ステップS63)、上記のようにしてパスワードの付与の是非が判定される。そして、パスワードを付与できない場合(ステップS64で「N」の場合)には、入室不可を伝えるメッセージが携帯電話2に送信される(ステップS65)。一方、パスワードを付与できる場合(ステップS64で「Y」の場合)には、生成されたワンタイムパスワードが携帯電話2に送信され(ステップS66)、ドア6の識別情報とワンタイムパスワードとが管理サーバ7に送信される(ステップS67)。
【0042】
続いて、ユーザUが電子錠61のキーからワンタイムパスワードを入力する(ステップS68)と、ドア6の識別情報とワンタイムパスワードとが、電子錠61から管理サーバ7に送信される(ステップS69)。次に、管理サーバ7において、照合ステップとして照合タスク71が起動され(ステップS70)、上記のようにしてパスワードの照合などが行われる。そして、ワンタイムパスワードが一致しない場合(ステップS71で「N」の場合)には、「入室不可」が電子錠61に送信され(ステップS72)、電子錠61の表示部に入室不可のメッセージが表示などされる。一方、一致する場合(ステップS71で「Y」の場合)には、「開錠指令」が電子錠61に送信され(ステップS73)、電子錠61が開錠されて(ステップS74)ユーザUの入室が可能となるものである。
【0043】
以上のように、この個人認証システム11および個人認証方法によれば、ユーザUの識別情報とドア6(アクセス対象)の識別情報とに基づいてワンタイムパスワードを付与するため、簡易な構成で複数のドア6にアクセス可能となる。つまり、1つの認証サーバ3に対してドア6の識別情報を入力してワンタイムパスワードの付与を要求することで、当該ドア6へのアクセスが許可されている場合には、ワンタイムパスワードが付与される。このため、ドア6ごとに異なるサーバなどにワンタイムパスワードの付与を要求する必要がなくなり、パスワードを付与するサーバやユーザUの識別情報などを複数設ける必要がなくなる。
【0044】
以上、この発明の実施の形態について説明したが、具体的な構成は、上記の実施の形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計の変更等があっても、この発明に含まれる。例えば、実施の形態1では、付与手段(付与タスク32)と照合手段(照合タスク41)とを異なるサーバ3、4に設けているが、ユーザUがアクセスしようとしているWebサーバ4に付与手段と照合手段とを設けるようにしてもよい。また、タイムスタンプをワンタイムパスワードの識別情報としているが、携帯電話2の発信者番号やその他の情報を識別情報としてもよく、タイムスタンプと発信者番号の双方を識別情報としてもよい。さらに、実施の形態1では、Webサイトにアクセスする場合について説明したが、ATMにアクセスする場合や、インターネット上の画面を開錠する場合、あるいは社内サーバにアクセスする場合などにも適用できる。
【0045】
また、実施の形態2では、二次元バーコード62を読み取ることでアクセス対象(ドア6)の識別情報を取得しているが、次のようにしてもよい。すなわち、GPS(Global Positioning System)機能を備えた携帯電話2を用いて、ユーザUの現在位置をアクセス対象の識別情報とし、その位置周辺に配設されているアクセス対象へのアクセスが許可されているか否かに基づいてワンタイムパスワードを付与するようにしてもよい。さらに、アクセス対象の識別情報をIC(Radio Frequency Identification)タグや一次元バーコードなどに記憶してもよいことは勿論である。また、実施の形態2において、実施の形態1と同様にタイムスタンプも付与し、ワンタイムパスワードとタイムスタンプとに基づいて照合を行うようにしてもよい。
【0046】
さらに、上記の実施の形態では、生体情報として指紋を利用しているが、人相や声紋、瞳の虹彩などを利用するようにしてもよい。
【図面の簡単な説明】
【0047】
【図1】この発明の実施の形態1に係る個人認証システムの概略構成図である。
【図2】図1のシステムにおける携帯電話の正面図である。
【図3】図1のシステムにおける認証サーバの概略構成ブロック図である。
【図4】図3の認証サーバのユーザデータベースのデータ構成図である。
【図5】図3の認証サーバの付与タスクのフローチャートである。
【図6】図1のシステムにおけるWebサーバの照合タスクのフローチャートである。
【図7】図1のシステムによる個人認証方法のフローチャートである。
【図8】この発明の実施の形態2に係る個人認証システムの概略構成図である。
【図9】図8のシステムにおける付与タスクのフローチャートである。
【図10】図8のシステムにおける照合タスクのフローチャートである。
【図11】図8のシステムによる個人認証方法のフローチャートである。
【符号の説明】
【0048】
1、11 個人認証システム
2 携帯電話(要求手段)
21 指紋センサ
3 認証サーバ(付与手段)
4 Webサーバ(アクセス対象、照合手段)
5 端末
6 ドア(アクセス対象)
61 電子錠
62 二次元バーコード
7 管理サーバ(照合手段)
U ユーザ
N 通信網
【特許請求の範囲】
【請求項1】
ユーザの生体情報を入力してワンタイムパスワードの付与を要求する要求ステップと、
予め登録されたユーザの生体情報と前記要求ステップで入力された生体情報とが一致する場合に、ワンタイムパスワードを付与する付与ステップと、
ユーザが入力したワンタイムパスワードと、前記付与ステップで付与されたワンタイムパスワードとを照合する照合ステップと、を備えることを特徴とする個人認証方法。
【請求項2】
ユーザの識別情報を入力してワンタイムパスワードの付与を要求する要求ステップと、
予め登録されたユーザの識別情報と前記要求ステップで入力された識別情報とが一致する場合に、ワンタイムパスワードとその識別情報とを付与する付与ステップと、
ユーザが入力したワンタイムパスワードおよびその識別情報と、前記付与ステップで付与されたワンタイムパスワードおよびその識別情報とを照合する照合ステップと、を備えることを特徴とする個人認証方法。
【請求項3】
ユーザの識別情報とアクセス対象の識別情報とを入力してワンタイムパスワードの付与を要求する要求ステップと、
予め登録されたユーザの識別情報およびアクセスが許可されているアクセス対象の識別情報と、前記要求ステップで入力されたユーザの識別情報およびアクセス対象の識別情報とが一致する場合に、ワンタイムパスワードを付与する付与ステップと、
ユーザが入力したワンタイムパスワードと、前記付与ステップで付与されたワンタイムパスワードとを照合する照合ステップと、を備えることを特徴とする個人認証方法。
【請求項4】
ユーザの生体情報を前記ユーザの識別情報とすることを特徴とする請求項2または3のいずれか1項に記載の個人認証方法。
【請求項5】
ユーザの生体情報を入力してワンタイムパスワードの付与を要求する要求手段と、
予め登録されたユーザの生体情報と前記要求手段から入力された生体情報とが一致する場合に、ワンタイムパスワードを付与する付与手段と、
ユーザが入力したワンタイムパスワードと、前記付与手段から付与されたワンタイムパスワードとを照合する照合手段と、を備えることを特徴とする個人認証システム。
【請求項6】
ユーザの識別情報を入力してワンタイムパスワードの付与を要求する要求手段と、
予め登録されたユーザの識別情報と前記要求手段から入力された識別情報とが一致する場合に、ワンタイムパスワードとその識別情報とを付与する付与手段と、
ユーザが入力したワンタイムパスワードおよびその識別情報と、前記付与手段から付与されたワンタイムパスワードおよびその識別情報とを照合する照合手段と、を備えることを特徴とする個人認証システム。
【請求項7】
ユーザの識別情報とアクセス対象の識別情報とを入力してワンタイムパスワードの付与を要求する要求手段と、
予め登録されたユーザの識別情報およびアクセスが許可されているアクセス対象の識別情報と、前記要求手段から入力されたユーザの識別情報およびアクセス対象の識別情報とが一致する場合に、ワンタイムパスワードを付与する付与手段と、
ユーザが入力したワンタイムパスワードと、前記付与手段から付与されたワンタイムパスワードとを照合する照合手段と、を備えることを特徴とする個人認証システム。
【請求項8】
ユーザの生体情報を前記ユーザの識別情報とすることを特徴とする請求項6または7のいずれか1項に記載の個人認証システム。
【請求項1】
ユーザの生体情報を入力してワンタイムパスワードの付与を要求する要求ステップと、
予め登録されたユーザの生体情報と前記要求ステップで入力された生体情報とが一致する場合に、ワンタイムパスワードを付与する付与ステップと、
ユーザが入力したワンタイムパスワードと、前記付与ステップで付与されたワンタイムパスワードとを照合する照合ステップと、を備えることを特徴とする個人認証方法。
【請求項2】
ユーザの識別情報を入力してワンタイムパスワードの付与を要求する要求ステップと、
予め登録されたユーザの識別情報と前記要求ステップで入力された識別情報とが一致する場合に、ワンタイムパスワードとその識別情報とを付与する付与ステップと、
ユーザが入力したワンタイムパスワードおよびその識別情報と、前記付与ステップで付与されたワンタイムパスワードおよびその識別情報とを照合する照合ステップと、を備えることを特徴とする個人認証方法。
【請求項3】
ユーザの識別情報とアクセス対象の識別情報とを入力してワンタイムパスワードの付与を要求する要求ステップと、
予め登録されたユーザの識別情報およびアクセスが許可されているアクセス対象の識別情報と、前記要求ステップで入力されたユーザの識別情報およびアクセス対象の識別情報とが一致する場合に、ワンタイムパスワードを付与する付与ステップと、
ユーザが入力したワンタイムパスワードと、前記付与ステップで付与されたワンタイムパスワードとを照合する照合ステップと、を備えることを特徴とする個人認証方法。
【請求項4】
ユーザの生体情報を前記ユーザの識別情報とすることを特徴とする請求項2または3のいずれか1項に記載の個人認証方法。
【請求項5】
ユーザの生体情報を入力してワンタイムパスワードの付与を要求する要求手段と、
予め登録されたユーザの生体情報と前記要求手段から入力された生体情報とが一致する場合に、ワンタイムパスワードを付与する付与手段と、
ユーザが入力したワンタイムパスワードと、前記付与手段から付与されたワンタイムパスワードとを照合する照合手段と、を備えることを特徴とする個人認証システム。
【請求項6】
ユーザの識別情報を入力してワンタイムパスワードの付与を要求する要求手段と、
予め登録されたユーザの識別情報と前記要求手段から入力された識別情報とが一致する場合に、ワンタイムパスワードとその識別情報とを付与する付与手段と、
ユーザが入力したワンタイムパスワードおよびその識別情報と、前記付与手段から付与されたワンタイムパスワードおよびその識別情報とを照合する照合手段と、を備えることを特徴とする個人認証システム。
【請求項7】
ユーザの識別情報とアクセス対象の識別情報とを入力してワンタイムパスワードの付与を要求する要求手段と、
予め登録されたユーザの識別情報およびアクセスが許可されているアクセス対象の識別情報と、前記要求手段から入力されたユーザの識別情報およびアクセス対象の識別情報とが一致する場合に、ワンタイムパスワードを付与する付与手段と、
ユーザが入力したワンタイムパスワードと、前記付与手段から付与されたワンタイムパスワードとを照合する照合手段と、を備えることを特徴とする個人認証システム。
【請求項8】
ユーザの生体情報を前記ユーザの識別情報とすることを特徴とする請求項6または7のいずれか1項に記載の個人認証システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【公開番号】特開2009−20650(P2009−20650A)
【公開日】平成21年1月29日(2009.1.29)
【国際特許分類】
【出願番号】特願2007−181896(P2007−181896)
【出願日】平成19年7月11日(2007.7.11)
【出願人】(000211307)中国電力株式会社 (6,505)
【Fターム(参考)】
【公開日】平成21年1月29日(2009.1.29)
【国際特許分類】
【出願日】平成19年7月11日(2007.7.11)
【出願人】(000211307)中国電力株式会社 (6,505)
【Fターム(参考)】
[ Back to top ]