認証システム、認証方法および認証プログラム
【課題】高度なユーザ認証を行っているWebサイトにアクセスする際に、ユーザの利便性をより向上する。
【解決手段】認証システム5は、ユーザ端末1、2からの要求に認証記憶手段61に記憶された当該ユーザ端末の端末識別情報が含まれているか否かを判別する判別手段52と、端末識別情報が含まれている場合に認証記憶手段61に記憶されたパスワード生成キーに基づいて第1のワンタイムパスワードを生成し、ユーザ端末に送信する第1の生成手段53と、ユーザ端末から第2のワンタイムパスワードおよびセッション情報を受信し、対応するユーザIDをセッション情報記憶手段62から取得するパスワード受信手段55と、認証記憶手段61の対応するパスワード生成キーに基づいて第3のワンタイムパスワードを生成する第2の生成手段56と、第3のワンタイムパスワードと第2のワンタイムパスワードとが一致するか否かを検証する認証手段57と、を有する。
【解決手段】認証システム5は、ユーザ端末1、2からの要求に認証記憶手段61に記憶された当該ユーザ端末の端末識別情報が含まれているか否かを判別する判別手段52と、端末識別情報が含まれている場合に認証記憶手段61に記憶されたパスワード生成キーに基づいて第1のワンタイムパスワードを生成し、ユーザ端末に送信する第1の生成手段53と、ユーザ端末から第2のワンタイムパスワードおよびセッション情報を受信し、対応するユーザIDをセッション情報記憶手段62から取得するパスワード受信手段55と、認証記憶手段61の対応するパスワード生成キーに基づいて第3のワンタイムパスワードを生成する第2の生成手段56と、第3のワンタイムパスワードと第2のワンタイムパスワードとが一致するか否かを検証する認証手段57と、を有する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ワンタイムパスワードを用いてユーザの正当性を認証する認証技術に関する。
【背景技術】
【0002】
近年、フィッシング詐欺に代表される、インターネット上でのユーザID、パスワードなどの詐取・盗難(identity theft)が問題となっている。そのため、より高いセキュリティを確保し、ユーザの正当性を認証する技術が求められている。例えば、特許文献1には、ワンタイムパスワードを用いて、ユーザ認証を行うワンタイムパスワード認証システムが記載されている。
【特許文献1】特開2002−259344
【発明の開示】
【発明が解決しようとする課題】
【0003】
特許文献1に記載のワンタイムパスワード認証システムでは、ワンタイムパスワード生成機能を有する携帯電話が生成したワンタイムパスワードを、ユーザPC上のログイン画面から入力し、ユーザ認証サーバに送信する。そして、ユーザ認証サーバは、ユーザPCから送信されたワンタイムパスワードを認証する。
【0004】
さて、携帯電話の普及に伴い、携帯電話からアクセス可能なWebサイトが増加している。また、携帯電話からアクセス可能なWebサイトにおいても、高度なユーザ認証を行うためにワンタイムパスワードを要求する場合がある。
【0005】
ここで、携帯電話の機種によっては、特許文献1のワンタイムパスワード生成機能と、Webサイトにアクセスするためのブラウザ機能とを同時に起動できない場合がある。このように複数のアプリケーションを同時に起動できない携帯電話でWebサイトにアクセスする場合、ユーザは、携帯電話のディスプレイに表示されたワンタイムパスワードを、一旦メモまたは暗記しておき、その後ブラウザ機能を立ち上げてWebサイトにアクセスする必要がある。しかしながら、ワンタイムパスワードはランダムな文字列であるため、メモの際の書き間違えや、誤って暗記してしまう場合などがあり、ユーザにとって負荷が大きい。
【0006】
本発明は上記事情に鑑みてなされたものであり、本発明の目的は、ワンタイムパスワードの入力が必要な高度なユーザ認証を行っているWebサイトにアクセスする際に、ユーザの利便性をより向上することにある。
【課題を解決するための手段】
【0007】
上記課題を解決するために、本発明は、認証システムであって、ユーザ端末の端末識別情報と、ワンタイムパスワードを生成するためのパスワード生成キーと、ユーザIDとを対応付けて記憶する認証記憶手段と、前記ユーザ端末のセッション情報とユーザIDとを対応付けて記憶するセッション情報記憶手段と、前記ユーザ端末からの要求に前記認証記憶手段に記憶された当該ユーザ端末の端末識別情報が含まれているか否かを判別する判別手段と、前記要求に前記ユーザ端末の端末識別情報が含まれている場合に、前記認証記憶手段に記憶された当該端末識別情報に対応するパスワード生成キーに基づいて第1のワンタイムパスワードを生成し、前記ユーザ端末に送信する第1の生成手段と、前記ユーザ端末から第2のワンタイムパスワードおよびセッション情報を受信し、前記セッション情報に対応するユーザIDを前記セッション情報記憶手段から取得するパスワード受信手段と、前記取得したユーザIDに対応するパスワード生成キーを前記認証記憶手段から特定し、当該パスワード生成キーに基づいて第3のワンタイムパスワードを生成する第2の生成手段と、前記第3のワンタイムパスワードと、前記パスワード受信手段が受信した第2のワンタイムパスワードとが一致するか否かを検証し、一致する場合に認証に成功したと判別する認証手段と、を有する。
【0008】
また、本発明は、認証システムが行うワンタイムパスワードの認証方法であって、前記認証システムは、ユーザ端末の端末識別情報と、ワンタイムパスワードを生成するためのパスワード生成キーと、ユーザIDとを対応付けて記憶する認証記憶部と、前記ユーザ端末のセッション情報とユーザIDとを対応付けて記憶するセッション情報記憶部と、処理部とを有し、前記処理部は、前記ユーザ端末からの要求に前記認証記憶部に記憶された当該ユーザ端末の端末識別情報が含まれているか否かを判別する判別ステップと、前記要求に前記ユーザ端末の端末識別情報が含まれている場合に、前記認証記憶部に記憶された当該端末識別情報に対応するパスワード生成キーに基づいて第1のワンタイムパスワードを生成し、前記ユーザ端末に送信する第1の生成ステップと、前記ユーザ端末から第2のワンタイムパスワードおよびセッション情報を受信し、前記セッション情報に対応するユーザIDを前記セッション情報記憶部から取得するパスワード受信ステップと、前記取得したユーザIDに対応するパスワード生成キーを前記認証記憶部から特定し、当該パスワード生成キーに基づいて第3のワンタイムパスワードを生成する第2の生成ステップと、前記第3のワンタイムパスワードと、前記パスワード受信ステップで受信した第2のワンタイムパスワードとが一致するか否かを検証し、一致する場合に認証に成功したと判別する認証ステップと、を行う。
【0009】
また、本発明は、認証システムが実行するワンタイムパスワードの認証プログラムであって、前記認証システムは、ユーザ端末の端末識別情報と、ワンタイムパスワードを生成するためのパスワード生成キーと、ユーザIDとを対応付けて記憶する認証記憶部と、前記ユーザ端末のセッション情報とユーザIDとを対応付けて記憶するセッション情報記憶部と、処理部とを有し、前記処理部に、前記ユーザ端末からの要求に前記認証記憶部に記憶された当該ユーザ端末の端末識別情報が含まれているか否かを判別する判別ステップと、前記要求に前記ユーザ端末の端末識別情報が含まれている場合に、前記認証記憶部に記憶された当該端末識別情報に対応するパスワード生成キーに基づいて第1のワンタイムパスワードを生成し、前記ユーザ端末に送信する第1の生成ステップと、前記ユーザ端末から第2のワンタイムパスワードおよびセッション情報を受信し、前記セッション情報に対応するユーザIDを前記セッション情報記憶部から取得するパスワード受信ステップと、前記取得したユーザIDに対応するパスワード生成キーを前記認証記憶部から特定し、当該パスワード生成キーに基づいて第3のワンタイムパスワードを生成する第2の生成ステップと、前記第3のワンタイムパスワードと、前記パスワード受信ステップで受信した第2のワンタイムパスワードとが一致するか否かを検証し、一致する場合に認証に成功したと判別する認証ステップと、を実行させる。
【発明の効果】
【0010】
本発明では、ワンタイムパスワードの入力が必要な高度なユーザ認証を行っているWebサイトにアクセスする際に、ユーザの利便性をより向上することができる。
【発明を実施するための最良の形態】
【0011】
以下、本発明の実施の形態について説明する。
【0012】
<第1の実施形態>
図1は、本発明の第1の実施形態が適用された認証システムの全体構成図である。
【0013】
図示する認証システムは、ユーザ端末として携帯電話1またはPC(Personal Computer)などの端末2と、認証サーバ5とを有する。これらの装置1、2、5は、携帯電話網やインターネットなどのネットワークを介して接続される。
【0014】
本認証システムのユーザは、認証サーバ5が提供するWebサイトのサービスを利用可能なユーザであって、あらかじめ認証サーバ5に登録し、ユーザIDを取得しているものとする。
【0015】
また、ユーザは、携帯電話1または端末2を用いて、認証サーバ5のWebサイトにアクセスするものとする。携帯電話1を用いて認証サーバ5のWebサイトにアクセスする場合、ユーザは、認証サーバ5からワンタイムパスワードを取得する。また、端末2を用いて認証サーバ5のWebサイトにアクセスする場合、ユーザは、ハードウェアトークン3からワンタイムパスワードを取得する。
【0016】
携帯電話1は、ユーザの指示を受け付ける指示受付部と、各種の情報・画面を表示する表示部とを有する。指示受付部および表示部は、ブラウザと同様の機能を有するものとする。
【0017】
端末2は、ユーザの各種指示を受け付ける指示受付部と、各種の情報・画面を表示する表示部とを有する。指示受付部および表示部は、ブラウザと同様の機能を有するものとする。
【0018】
ハードウェアトークン3は、ワンタイムパスワードを生成する装置であって、ワンタイムパスワード生成キーと、ワンタイムパスワード生成部と、ワンタイムパスワード表示部とを有する。
【0019】
認証サーバ5は、ユーザ端末(携帯電話1、端末2)からのアクセス要求を認証し、認証に成功した場合に所定のサービスを提供する。図示する認証サーバ5は、1次認証を行う1次認証部51と、ユーザ端末が携帯電話1か否かを判別する判別部52と、ユーザ端末が携帯電話1の場合にワンタイムパスワードを生成する第1の生成部53と、ユーザ端末が端末2の場合にワンタイムパスワードを要求するワンタイムパスワード要求部54と、ユーザ端末からワンタイムパスワードを受信するワンタイムパスワード受信部55と、認証用のワンタイムパスワードを生成する第2の生成部56と、ユーザ端末から送信されたワンタイムパスワードと第2の生成部が生成したワンタイムパスワードとを検証する2次認証部57と、ユーザ端末に所定のサービスを提供する業務処理部58と、を有する。
【0020】
また、認証サーバ5は、認証に必要な各種の情報が記憶される認証テーブル61と、ユーザ端末のセッション情報を記憶するセッション情報テーブル62と、を有する。
【0021】
図2は、認証テーブル61の一例を示す図である。図示する認証テーブル61は、ユーザID201と、パスワード202と、携帯電話ID203と、ワンタイムパスワード生成キー204とを有する。携帯電話ID203は、携帯電話あるいはその所持者であるユーザを特定するための情報であって、携帯電話の機種などに応じて様々な情報を用いることができる。例えば、携帯電話ID203に、携帯電話1のメモリ(携帯電話1から着脱可能なICカードを含む)などに記憶された機体識別番号、電話番号、ユーザ情報などを用いることが考えられる。また、携帯電話ID203に、電話番号に基づいてキャリアのゲートウェイが発行する識別情報を用いることことが考えられる。
【0022】
ワンタイムパスワード生成キー204は、ワンタイムパスワードを生成するための情報であって、固定情報(シード)と可変情報(カウンタ、時刻情報など)とを有する。固定情報は、ユーザ毎(またはユーザID毎)に割り当てられるユニークな文字列である。可変情報は、毎回異なるワンタイムパスワードを生成するための情報である。可変情報としては、例えば、時刻情報(タイムスタンプ)や、ワンタイムパスワードの生成回数を用いることが考えられる。
【0023】
図3は、セッション情報テーブル62の一例を示す図である。図示するセッション情報テーブル62は、セッションID301(セッション情報)とユーザID302とを有する。セッションID301は、認証サーバ5にアクセスしたユーザ端末(携帯電話1または端末2)を識別するための情報であって、ログインからログアウトまでのセッション毎に一意に割り振られる情報である。
【0024】
上記説明した、携帯電話1、端末2および認証サーバ5は、いずれも、例えば図4に示すようなCPU901と、メモリ902と、HDD等の外部記憶装置903と、キーボードやマウスなどの入力装置904と、ディスプレイやプリンタなどの出力装置905と、ネットワークと接続するための通信制御装置906と、を備えた汎用的なコンピュータシステムを用いることができる。このコンピュータシステムにおいて、CPU901がメモリ902上にロードされた所定のプログラムを実行することにより、各装置の各機能が実現される。
【0025】
例えば、携帯電話1、端末2および認証サーバ5の各機能は、携帯電話1用のプログラムの場合は携帯電話1のCPU901が、端末2のプログラムの場合は端末2のCPU901が、そして、認証サーバ5用のプログラムの場合は認証サーバ5のCPU901が、それぞれ実行することにより実現される。
【0026】
なお、認証サーバ5の認証テーブル61およびセッション情報テーブル62には、認証サーバ5のメモリ902または外部記憶装置903が用いられるものとする。また、認証サーバ5は、複数のサーバにより構成されるものであってもよい。
【0027】
次に、ユーザ端末(携帯電話1または端末2)から認証サーバ5のWebサイトにアクセスする際の処理について説明する。
【0028】
図5および図6は、アクセス処理のシーケンス図である。図7は、ユーザ端末の出力装置に表示される各種画面の一例を示したものである。図7(a)は、ユーザ端末が携帯電話1の場合の各種画面例で、図7(b)は、ユーザ端末が端末2の場合の各種画面例である。
【0029】
ユーザ端末は、ユーザの指示を受け付けて、所定のURL(Uniform Resource Locator)を指定して認証サーバ5のWebサイトにアクセスし、認証サーバ5が提供するログイン画面を取得する。そして、ユーザ端末は、例えば図7(a)に示すログイン画面71を、出力装置に表示する(S11)。
【0030】
図7(a)に示すログイン画面71は、ユーザ端末が携帯電話1の場合のログイン画面であって、ユーザID入力欄と、パスワード入力欄と、送信ボタンとが表示されている。なお、ユーザ端末が端末2の場合、図7(a)のログイン画面71と同様のログイン画面が端末2に表示される。ユーザは、あらかじめ認証テーブル61に登録済みのユーザIDおよびパスワードを、それぞれの入力欄に入力し、送信ボタンをクリックする。ユーザ端末は、ユーザIDおよびパスワードを含む一次認証要求を、認証サーバ5に送信する(S12)。
【0031】
認証サーバ5の1次認証部51は、受信した1次認証要求のユーザIDおよびパスワードが認証テーブル61(図2参照)に存在するか否かを判別し、認証テーブル61に存在する場合に正当なユーザからのアクセスであると認証する(S13)。
【0032】
そして、正当なユーザからのアクセスである場合、1次認証部51は、1次認証に成功したことを示すセッションIDを生成し、生成したセッションIDをユーザIDとともに、セッション情報テーブル62に登録する(S14)。1次認証部51は、例えば時刻情報などを用いて当該ユーザ端末を識別するためのユニークなセッションIDを生成する。なお、認証テーブル61に存在しない場合、1次認証部51は、1次認証に失敗したとしてエラーメッセージをユーザ端末に送信する。
【0033】
そして、1次認証部51は、所定のメニュー画面と生成したセッションIDとを、ユーザ端末に送信する(S15)。そして、ユーザ端末は、メニュー画面を出力装置に表示する(S16)。図7(a)のメニュー画面82は、携帯電話1に表示されたメニュー画面の一例である。図示するメニュー画面には、認証サーバ5が提供する各種のサービスが表示され、S13の1次認証だけで利用可能なサービス(例えば「照会」)と、2次認証も必要なサービス(例えば「注文」)とが混在している。なお、ユーザ端末が端末2の場合、図7(a)のメニュー画面72と同様のメニュー画面が端末2に表示される。
【0034】
ここでユーザは、2次認証も必要なサービス(図示する例では「注文」)を選択するものとする。そして、ユーザ端末は、選択されたメニュー番号と、メニュー画面に埋め込まれたセッションIDとを含むサービス選択指示を認証サーバ5に送信する(S17)。なお、ユーザ端末が携帯電話1の場合、携帯電話1は、認証サーバ5に情報を送信する際に、当該携帯電話1のメモリ等に記憶された携帯電話IDを併せて送信するものとする。
【0035】
判別部52は、受信したサービス選択指示のセッションIDがセッション情報テーブル62に存在するか否かをチェックする(S18)。判別部52は、セッション情報テーブル62に存在する場合には当該サービス選択指示は1次認証に成功後のものであるとみなし、セッション情報テーブル62に存在しない場合には当該サービス選択指示は不正なユーザからのものであるとみなしエラーメッセージをユーザ端末に送信する。
【0036】
セッションIDがセッション情報テーブル62に存在する場合、判別部52は、当該サービス番号について2次認証が必要なサービスか否かを判別する。なお、認証サーバ5のメモリなどにはサービス番号各々について2次認証の要否が記憶されているものとする。2次認証が不要なサービス番号の場合、判別部52は、サービス番号を業務処理部58に引き渡し、業務処理部58は当該サービス番号のサービスを提供するための所定の業務サービス画面をユーザ端末に送信する。
【0037】
2次認証が必要なサービス番号の場合、判別部52は、当該サービス選択指示に携帯電話IDが含まれているか否かを判別する(S19)。携帯電話IDが含まれていない場合(S19:無)、すなわちユーザ端末がPCなどの端末2の場合、図6の処理に進む。一方、携帯電話IDが含まれている場合(S19:有)、すなわちユーザ端末が携帯電話1の場合、判別部52は、当該携帯電話IDおよびユーザIDが認証テーブル61に存在するか否かをチェックする(S20)。なお、判別部52は、セッション情報テーブル62から当該セッションIDに対応するユーザIDを取得するものとする。
【0038】
認証テーブル61に存在する場合、判別部52は、当該レコードに設定されたパスワード生成キーを取得して第1の生成部53に送出する。一方、認証テーブル61の中に存在しない場合、判別部52は、不正なユーザまたはワンタイムパスワードの発行サービスに未登録のユーザからの要求であると判別し、エラーメッセージをユーザ端末に送信する。
【0039】
第1の生成部53は、送出されたパスワード生成キーに基づいて、所定のアルゴリズム(例えば、ハッシュ関数等の一方向性関数)によりワンタイムパスワードを生成する(S21)。
【0040】
そして、第1の生成部53は、生成したワンタイムパスワードを含むワンタイムパスワード確認画面と、セッションIDとをユーザ端末に送信する(S22)。ユーザ端末は、例えば、図7(a)のワンタイムパスワード確認画面73を出力装置に表示する(S23)。ユーザが当該画面のOKボタンをクリックすることにより、ユーザ端末は、表示されたワンタイムパスワード、および当該画面に埋め込まれたセッションIDを認証サーバ5に送信する(S24)。
【0041】
認証サーバ5のワンタイムパスワード受信部55は、S18と同様に、受信したセッションIDがセッション情報テーブル62に存在するか否かをチェックする(S25)。セッション情報テーブル62に存在する場合、ワンタイムパスワード受信部55は、セッション情報テーブル62から対応するユーザIDを取得する。そして、ワンタイムパスワード受信部55は、認証テーブル61から取得したユーザIDに対応するワンタイムパスワード生成キーを取得して第2の生成部56に送出する。
【0042】
第2の生成部56は、送出されたパスワード生成キーに基づいて、S21と同様のアルゴリズムによりワンタイムパスワードを生成する(S26)。そして、2次認証部57は、S24で受信したワンタイムパスワードと、S26で生成したワンタイムパスワードとが一致するか否かを判別する(S27)。ワンタイムパスワードが一致した場合、2次認証部57は、正当なユーザからの要求であると認証し、2次認証に成功した旨を示すログイン後画面をユーザ端末に送信する(S28)。
【0043】
ユーザ端末は、例えば図7(a)に示すログイン後画面74を、出力装置に表示する(S29)。図示する画面の場合、ユーザが「次へ」のボタンをクリックすることにより、認証サーバ5の業務処理部58は、S17で送信されたメニュー番号のサービスをユーザに提供する。なお、ワンタイムパスワードが一致しない場合(S27)、2次認証部57は、2次認証に失敗した旨を示すエラーメッセージを端末2に送信する。
【0044】
次に、携帯電話IDが含まれていない場合(S19:無)、すなわちユーザ端末がPCなどの端末2の場合の処理を、図6を参照して説明する。
【0045】
認証サーバ5のワンタイムパスワード要求部54は、ユーザ端末にワンタイムパスワードを要求する(S41)。すなわち、ワンタイムパスワード要求部54は、ワンタイムパスワード入力画面と、セッションIDとをユーザ端末に送信する。ユーザ端末は、例えば、図7(b)のワンタイムパスワード入力画面75を出力装置に表示する(S42)。
【0046】
ユーザは、ハードウェアトークン3に表示されたワンタイムパスワードを、ワンタイムパスワード入力画面に入力し、送信ボタンをクリックする。ハードウェアトークン3のメモリには、当該ハードウェアトークン3を使用するユーザのユーザID固有のワンタイムパスワード生成キーが設定されている。なお、ハードウェアトークン3に記憶されたワンタイムパスワード生成キーと、認証テーブル61の対応するワンタイムパスワード生成キーとは、同じものである。ハードウェアトークン3は、所定のタイミングでまたはユーザの指示を受け付けて、認証サーバ5と同様のアルゴリズム(S21、S26)によりワンタイムパスワードを生成し、ディスプレイなどの表示装置に表示する。
【0047】
なお、ワンタイムパスワードを生成する手段は、ハードウェアトークン3を利用する場合に限定されず、他の端末を通じてワンタイムパスワードの発行を受ける場合、携帯電話1のワンタイムパスワード生成アプリを用いる場合などが考えられる。
【0048】
ユーザ端末は、ユーザが入力したワンタイムパスワードと、セッションIDとを認証サーバ5に送信する(S43)。認証サーバ5は、図5で説明したS25からS28と同様に、セッション情報のチェック、ワンタイムパスワードの生成、および生成したワンタイムパスワードとユーザ端末から受信したワンタイムパスワードとが一致するか否かの2次認証を行い、ログイン後画面をユーザ端末に送信する(S44〜S47)。ユーザ端末は、例えば図7(b)に示すログイン後画面76を、出力装置に表示する(S48)。
【0049】
以上説明した本実施形態の認証サーバ5は、ユーザ端末から送信されたサービス選択指示などの要求に、携帯電話IDが含まれている場合はユーザ端末が携帯電話であると判別し、ワンタイムパスワードを生成して携帯電話に送信する。これにより、ユーザは、認証サーバ5のWebサイトへのアクセス処理を中断することなく、携帯電話1に表示されたワンタイムパスワードを容易に認証サーバ5に送信することができる。すなわち、本実施形態では、携帯電話の機種に関わらず、ワンタイムパスワードの入力が必要な高度なユーザ認証を行っているWebサイトにアクセスする際に、ユーザの利便性をより向上することができる。また、本実施形態では、ワンタイムパスワードの生成機能を有しない携帯電話であっても、ワンタイムパスワードの入力が必要なWebサイトに容易にアクセスすることができる。
【0050】
また、本実施形態の認証サーバ5は、ユーザ端末から送信された要求に携帯電話IDが含まれていない場合は、ユーザ端末がPCなどの端末であると判別し、ワンタイムパスワードの入力を要求する。これにより、本実施形態では、ユーザ端末が携帯電話の場合に限らずパソコンなどの端末であっても、ハードウェアトークンを利用することにより、容易にワンタイムパスワードの入力が必要なWebサイトにアクセスすることができる。
【0051】
また、本実施形態の認証サーバ5は、まずユーザIDおよびパスワードの1次認証を行い、1次認証に成功した場合にセッションIDをセッション情報テーブルに記憶し、その後、ワンタイムパスワードの2次認証を行う。これにより、サービスの種類に応じて柔軟に認証レベルを設定することができる。
【0052】
なお、本発明は上記の実施形態に限定されるものではなく、その要旨の範囲内で数々の変形が可能である。例えば、上記実施形態では、図5のアクセス処理のS22からS24において、認証サーバ5はワンタイムパスワード確認画面を携帯電話に表示させ、ユーザの指示によりワンタイムパスワードを認証サーバ5に送信させることとした。しかしながら、認証サーバ5の第1の生成部53は、ワンタイムパスワード確認画面を携帯電話に表示させることなく、生成したワンタイムパスワードを当該認証システムに自動的に送信させるリダイレクト指示をユーザ端末に送信することとしてもよい。これにより、ユーザの利便性をより向上することができる。
【0053】
また、上記実施形態の認証サーバ5は、第1および第2の生成部53、56を有するが、1つの生成部が携帯電話1に送信するワンタイムパスワードを生成するとともに(図5:S21)、認証用のワンタイムパスワードを生成する(図5:S26)こととしてもよい。
【0054】
<第2の実施形態>
図8は、本発明の第2の実施形態が適用された認証システムの全体構成図である。
【0055】
図示する認証システムは、ユーザ端末として携帯電話1またはPC(Personal Computer)などの端末2と、業務サーバ7と、認証サーバ8とを有する。業務サーバ7は、携帯電話1および端末2と携帯電話網やインターネットなどのネットワークを介して接続されるとともに、認証サーバ8とLANなどのネットワークにより接続される。
【0056】
本実施形態の業務サーバ7は、ユーザ端末(携帯電話1、端末2)からのアクセス要求を認証サーバ8とともに認証し、認証に成功した場合に所定のサービスを提供する。図示する業務サーバ7は、1次認証を行う1次認証部71と、ユーザ端末が携帯電話1か否かを判別する判別部72と、ユーザ端末が携帯電話1の場合にPINを要求するPIN要求部73と、ユーザ端末が端末2の場合にワンタイムパスワードを要求するワンタイムパスワード要求部74と、ユーザ端末からワンタイムパスワードを受信するワンタイムパスワード受信部75と、ワンタイムパスワードを生成する生成部76と、ユーザ端末から送信されたワンタイムパスワードと生成部76が生成したワンタイムパスワードとを検証する2次認証部77と、ユーザ端末に所定のサービスを提供する業務処理部78と、を有する。
【0057】
また、図示する業務サーバ7は、認証に必要な各種の情報が記憶される第1の認証テーブル79と、第1の実施形態のセッション情報テーブル62(図3参照)と同様のセッション情報テーブル80と、を有する。
【0058】
本実施形態の認証サーバ8は、業務サーバ7の要求を受け付けて携帯電話IDの検証を行う携帯電話ID検証部81と、業務サーバ7の要求を受け付けてPINの検証を行うPIN検証部82と、第2の認証テーブル85とを有する。
【0059】
図9は、業務サーバ7の第1の認証テーブル79の一例を示す図である。図示する第1の認証テーブル79は、ユーザID111と、パスワード112と、ワンタイムパスワード生成キー113とを有する。
【0060】
図10は、認証サーバ8の第2の認証テーブル85の一例を示す図である。図示する第2の認証テーブル80は、ユーザID121と、携帯電話ID122(機体識別番号、電話番号、携帯電話のICメモリに記憶されたユーザ情報など)と、ユーザが任意に設定する暗証番号であるPIN(Personal Identification Number)123とを有する。
【0061】
次に、ユーザ端末(携帯電話1または端末2)から業務サーバ7のWebサイトにアクセスする際の処理について説明する。
【0062】
図11および図12は、アクセス処理のシーケンス図である。
【0063】
図11のS51からS58までの処理は、第1の実施形態の処理(図5:S11〜S18)と同様であるため、ここでは説明を省略する。なお、本実施形態では、第1の実施形態で認証サーバ5の1次認証部51および判別部52が行っていた処理を、業務サーバ7の1次認証部71および判別部72が行う。
【0064】
S59において、業務サーバ7の判別部72は、当該サービス番号について2次認証が必要なサービスか否かを判別し、2次認証が不要なサービス番号の場合はサービス番号を業務処理部78に引き渡し、業務処理部78は当該サービス番号のサービスを提供するための所定の業務サービス画面をユーザ端末に送信する。一方、2次認証が必要なサービス番号の場合、判別部72は、当該サービス選択指示に携帯電話IDが含まれているか否かを判別する。
【0065】
携帯電話IDが含まれていない場合(S59:無)、すなわちユーザ端末がPCなどの端末2の場合、図12の処理に進む。一方、携帯電話IDが含まれている場合(S59:有)、すなわちユーザ端末が携帯電話1の場合、判別部72は、当該携帯電話IDおよびユーザIDの検証要求を認証サーバ8に送信する(S60)。なお、判別部72は、セッション情報テーブル80から当該セッションIDに対応するユーザIDを取得するものとする。
【0066】
認証サーバ8の携帯電話ID検証部81は、業務サーバ7が送信した検証要求に含まれる携帯電話IDおよびユーザIDが、第2の認証テーブル85に存在するか否かをチェックする(S61)。第2の認証テーブル85の中に存在しない場合(S61:NG)、携帯電話ID検証部81は、認証サーバ8への登録を行っていない未登録ユーザからの要求であると判別し、検証結果(NGデータ)を業務サーバ7に送信し(S62)、図12の処理に進む。一方、第2の認証テーブル85に存在する場合、携帯電話ID検証部81は、検証結果(OKデータ)を業務サーバ7に送信する(S63)。
【0067】
業務サーバ7のPIN要求部73は、ユーザ端末にPIN(暗証番号)を要求する(S64)。すなわち、PIN要求部73は、PIN入力画面と、セッションIDとをユーザ端末に送信する。ユーザ端末は、PINの入力欄が設定されたPIN入力画面を出力装置に表示する(S65)。
【0068】
ユーザは、あらかじめ認証サーバ8に登録したPINをPIN入力画面に入力する。ユーザ端末は、ユーザが入力したPINと、セッションIDとを業務サーバ7に送信する(S66)。業務サーバ7のPIN要求部73は、受信したセッションIDがセッション情報テーブル80に存在するか否かをチェックする(S67)。セッション情報テーブル80に存在する場合、PIN要求部73は、当該PINおよびユーザIDの検証要求を認証サーバ8に送信する(S68)。なお、PIN要求部73は、セッション情報テーブル80から当該セッションIDに対応するユーザIDを取得するものとする。
【0069】
認証サーバ8のPIN検証部82は、業務サーバ7が送信したPINおよびユーザIDが、第2の認証テーブル85に存在するか否かをチェックし(S69)、検証結果(OKまたはNG)を業務サーバ7に送信する(S70)。業務サーバ7の2次認証部77は、OKの検証結果の場合、正当なユーザからの要求であると認証し、2次認証に成功した旨を示す2次認証後画面をユーザ端末に送信する(S71)。ユーザ端末は、例えば図7(a)に示すログイン後画面74を、出力装置に表示する(S72)。
【0070】
なお、携帯電話IDが含まれていない場合、すなわちユーザ端末がPCなどの端末2の場合(S59:無)の処理と、携帯電話IDが認証サーバ8の第2の認証テーブルに登録されていない場合の処理(S61:NG)は、図12に示すとおりである。図12のS81からS88までの処理は、第1の実施形態の処理(図6:S41〜S48)と同様であるため、ここでは説明を省略する。図12の本実施形態では、第1の実施形態で認証サーバ5のワンタイムパスワード要求部54、ワンタイムパスワード受信部55、第2の生成部56および2次認証部57が行う処理を、業務サーバ7のワンタイムパスワード要求部74、ワンタイムパスワード受信部75、生成部76および2次認証部77が行う。
【0071】
以上説明した本実施形態の業務サーバ7および認証サーバ8は、ユーザ端末から送信されたサービス選択指示などの要求に、携帯電話IDが含まれている場合はユーザ端末が携帯電話であると判別し、ワンタイムパスワードの替わりにPINの入力を要求する。ユーザは、認証サーバ5のWebサイトへのアクセス処理を中断することなく、PINを入力することにより2次認証に応答することができる。すなわち、本実施形態では、携帯電話の機種に関わらず、必要な高度なユーザ認証を行っているWebサイトにアクセスする際に、ユーザの利便性をより向上することができる。また、本実施形態では、ワンタイムパスワードの生成機能を有しない携帯電話であっても、高度なユーサ認証を行っているWebサイトに容易にアクセスすることができる。
【0072】
また、本実施形態の業務サーバ7および認証サーバ8は、ユーザ端末から送信された要求に、携帯電話IDが含まれていない場合は、ユーザ端末がPCなどの端末であると判別し、ワンタイムパスワードの入力を要求する。これにより、本実施形態では、ユーザ端末が携帯電話の場合に限らず、パソコンなどの端末であっても、ハードウェアトークンを利用することにより、容易にワンタイムパスワードの入力が必要なWebサイトにアクセスすることができる。
【0073】
なお、本発明は上記の実施形態に限定されるものではなく、その要旨の範囲内で数々の変形が可能である。例えば、上記実施形態では、図11のアクセス処理のS61において携帯電話IDが第2の認証テーブルに登録されていた場合(S61:OK)、PIN入力画面をユーザ端末に送信することとした(S64)。しかしながら、業務サーバ7は、第1の実施形態のようにワンタイムパスワードを生成し、ワンタイムパスワード確認画面をユーザ端末に送信し(図5:S21〜S24)、その後、PIN入力画面をユーザ端末に送信することととしてもよい。
【図面の簡単な説明】
【0074】
【図1】本発明の第1の実施形態が適用された認証システムの全体構成図である。
【図2】認証テーブルの一例を示す図である。
【図3】セッション情報テーブルの一例を示す図である。
【図4】各装置のハードウェア構成例を示す図である。
【図5】アクセス処理のシーケンス図である。
【図6】アクセス処理のシーケンス図である。
【図7】ユーザ端末の各種画面例である。
【図8】本発明の第2の実施形態が適用された認証システムの全体構成図である。
【図9】第1の認証テーブルの一例を示す図である。
【図10】第2の認証テーブルの一例を示す図である。
【図11】アクセス処理のシーケンス図である。
【図12】アクセス処理のシーケンス図である。
【符号の説明】
【0075】
1:携帯電話、2:端末、3:ハードウェアトークン、5:認証サーバ、51:1次認証部、52:判別部、53:第1の生成部、54:ワンタイムパスワード要求部、55:ワンタイムパスワード受信部、56:第2の生成部、57:2次認証部、58:業務処理部、61:認証テーブル、62:セッション情報テーブル
【技術分野】
【0001】
本発明は、ワンタイムパスワードを用いてユーザの正当性を認証する認証技術に関する。
【背景技術】
【0002】
近年、フィッシング詐欺に代表される、インターネット上でのユーザID、パスワードなどの詐取・盗難(identity theft)が問題となっている。そのため、より高いセキュリティを確保し、ユーザの正当性を認証する技術が求められている。例えば、特許文献1には、ワンタイムパスワードを用いて、ユーザ認証を行うワンタイムパスワード認証システムが記載されている。
【特許文献1】特開2002−259344
【発明の開示】
【発明が解決しようとする課題】
【0003】
特許文献1に記載のワンタイムパスワード認証システムでは、ワンタイムパスワード生成機能を有する携帯電話が生成したワンタイムパスワードを、ユーザPC上のログイン画面から入力し、ユーザ認証サーバに送信する。そして、ユーザ認証サーバは、ユーザPCから送信されたワンタイムパスワードを認証する。
【0004】
さて、携帯電話の普及に伴い、携帯電話からアクセス可能なWebサイトが増加している。また、携帯電話からアクセス可能なWebサイトにおいても、高度なユーザ認証を行うためにワンタイムパスワードを要求する場合がある。
【0005】
ここで、携帯電話の機種によっては、特許文献1のワンタイムパスワード生成機能と、Webサイトにアクセスするためのブラウザ機能とを同時に起動できない場合がある。このように複数のアプリケーションを同時に起動できない携帯電話でWebサイトにアクセスする場合、ユーザは、携帯電話のディスプレイに表示されたワンタイムパスワードを、一旦メモまたは暗記しておき、その後ブラウザ機能を立ち上げてWebサイトにアクセスする必要がある。しかしながら、ワンタイムパスワードはランダムな文字列であるため、メモの際の書き間違えや、誤って暗記してしまう場合などがあり、ユーザにとって負荷が大きい。
【0006】
本発明は上記事情に鑑みてなされたものであり、本発明の目的は、ワンタイムパスワードの入力が必要な高度なユーザ認証を行っているWebサイトにアクセスする際に、ユーザの利便性をより向上することにある。
【課題を解決するための手段】
【0007】
上記課題を解決するために、本発明は、認証システムであって、ユーザ端末の端末識別情報と、ワンタイムパスワードを生成するためのパスワード生成キーと、ユーザIDとを対応付けて記憶する認証記憶手段と、前記ユーザ端末のセッション情報とユーザIDとを対応付けて記憶するセッション情報記憶手段と、前記ユーザ端末からの要求に前記認証記憶手段に記憶された当該ユーザ端末の端末識別情報が含まれているか否かを判別する判別手段と、前記要求に前記ユーザ端末の端末識別情報が含まれている場合に、前記認証記憶手段に記憶された当該端末識別情報に対応するパスワード生成キーに基づいて第1のワンタイムパスワードを生成し、前記ユーザ端末に送信する第1の生成手段と、前記ユーザ端末から第2のワンタイムパスワードおよびセッション情報を受信し、前記セッション情報に対応するユーザIDを前記セッション情報記憶手段から取得するパスワード受信手段と、前記取得したユーザIDに対応するパスワード生成キーを前記認証記憶手段から特定し、当該パスワード生成キーに基づいて第3のワンタイムパスワードを生成する第2の生成手段と、前記第3のワンタイムパスワードと、前記パスワード受信手段が受信した第2のワンタイムパスワードとが一致するか否かを検証し、一致する場合に認証に成功したと判別する認証手段と、を有する。
【0008】
また、本発明は、認証システムが行うワンタイムパスワードの認証方法であって、前記認証システムは、ユーザ端末の端末識別情報と、ワンタイムパスワードを生成するためのパスワード生成キーと、ユーザIDとを対応付けて記憶する認証記憶部と、前記ユーザ端末のセッション情報とユーザIDとを対応付けて記憶するセッション情報記憶部と、処理部とを有し、前記処理部は、前記ユーザ端末からの要求に前記認証記憶部に記憶された当該ユーザ端末の端末識別情報が含まれているか否かを判別する判別ステップと、前記要求に前記ユーザ端末の端末識別情報が含まれている場合に、前記認証記憶部に記憶された当該端末識別情報に対応するパスワード生成キーに基づいて第1のワンタイムパスワードを生成し、前記ユーザ端末に送信する第1の生成ステップと、前記ユーザ端末から第2のワンタイムパスワードおよびセッション情報を受信し、前記セッション情報に対応するユーザIDを前記セッション情報記憶部から取得するパスワード受信ステップと、前記取得したユーザIDに対応するパスワード生成キーを前記認証記憶部から特定し、当該パスワード生成キーに基づいて第3のワンタイムパスワードを生成する第2の生成ステップと、前記第3のワンタイムパスワードと、前記パスワード受信ステップで受信した第2のワンタイムパスワードとが一致するか否かを検証し、一致する場合に認証に成功したと判別する認証ステップと、を行う。
【0009】
また、本発明は、認証システムが実行するワンタイムパスワードの認証プログラムであって、前記認証システムは、ユーザ端末の端末識別情報と、ワンタイムパスワードを生成するためのパスワード生成キーと、ユーザIDとを対応付けて記憶する認証記憶部と、前記ユーザ端末のセッション情報とユーザIDとを対応付けて記憶するセッション情報記憶部と、処理部とを有し、前記処理部に、前記ユーザ端末からの要求に前記認証記憶部に記憶された当該ユーザ端末の端末識別情報が含まれているか否かを判別する判別ステップと、前記要求に前記ユーザ端末の端末識別情報が含まれている場合に、前記認証記憶部に記憶された当該端末識別情報に対応するパスワード生成キーに基づいて第1のワンタイムパスワードを生成し、前記ユーザ端末に送信する第1の生成ステップと、前記ユーザ端末から第2のワンタイムパスワードおよびセッション情報を受信し、前記セッション情報に対応するユーザIDを前記セッション情報記憶部から取得するパスワード受信ステップと、前記取得したユーザIDに対応するパスワード生成キーを前記認証記憶部から特定し、当該パスワード生成キーに基づいて第3のワンタイムパスワードを生成する第2の生成ステップと、前記第3のワンタイムパスワードと、前記パスワード受信ステップで受信した第2のワンタイムパスワードとが一致するか否かを検証し、一致する場合に認証に成功したと判別する認証ステップと、を実行させる。
【発明の効果】
【0010】
本発明では、ワンタイムパスワードの入力が必要な高度なユーザ認証を行っているWebサイトにアクセスする際に、ユーザの利便性をより向上することができる。
【発明を実施するための最良の形態】
【0011】
以下、本発明の実施の形態について説明する。
【0012】
<第1の実施形態>
図1は、本発明の第1の実施形態が適用された認証システムの全体構成図である。
【0013】
図示する認証システムは、ユーザ端末として携帯電話1またはPC(Personal Computer)などの端末2と、認証サーバ5とを有する。これらの装置1、2、5は、携帯電話網やインターネットなどのネットワークを介して接続される。
【0014】
本認証システムのユーザは、認証サーバ5が提供するWebサイトのサービスを利用可能なユーザであって、あらかじめ認証サーバ5に登録し、ユーザIDを取得しているものとする。
【0015】
また、ユーザは、携帯電話1または端末2を用いて、認証サーバ5のWebサイトにアクセスするものとする。携帯電話1を用いて認証サーバ5のWebサイトにアクセスする場合、ユーザは、認証サーバ5からワンタイムパスワードを取得する。また、端末2を用いて認証サーバ5のWebサイトにアクセスする場合、ユーザは、ハードウェアトークン3からワンタイムパスワードを取得する。
【0016】
携帯電話1は、ユーザの指示を受け付ける指示受付部と、各種の情報・画面を表示する表示部とを有する。指示受付部および表示部は、ブラウザと同様の機能を有するものとする。
【0017】
端末2は、ユーザの各種指示を受け付ける指示受付部と、各種の情報・画面を表示する表示部とを有する。指示受付部および表示部は、ブラウザと同様の機能を有するものとする。
【0018】
ハードウェアトークン3は、ワンタイムパスワードを生成する装置であって、ワンタイムパスワード生成キーと、ワンタイムパスワード生成部と、ワンタイムパスワード表示部とを有する。
【0019】
認証サーバ5は、ユーザ端末(携帯電話1、端末2)からのアクセス要求を認証し、認証に成功した場合に所定のサービスを提供する。図示する認証サーバ5は、1次認証を行う1次認証部51と、ユーザ端末が携帯電話1か否かを判別する判別部52と、ユーザ端末が携帯電話1の場合にワンタイムパスワードを生成する第1の生成部53と、ユーザ端末が端末2の場合にワンタイムパスワードを要求するワンタイムパスワード要求部54と、ユーザ端末からワンタイムパスワードを受信するワンタイムパスワード受信部55と、認証用のワンタイムパスワードを生成する第2の生成部56と、ユーザ端末から送信されたワンタイムパスワードと第2の生成部が生成したワンタイムパスワードとを検証する2次認証部57と、ユーザ端末に所定のサービスを提供する業務処理部58と、を有する。
【0020】
また、認証サーバ5は、認証に必要な各種の情報が記憶される認証テーブル61と、ユーザ端末のセッション情報を記憶するセッション情報テーブル62と、を有する。
【0021】
図2は、認証テーブル61の一例を示す図である。図示する認証テーブル61は、ユーザID201と、パスワード202と、携帯電話ID203と、ワンタイムパスワード生成キー204とを有する。携帯電話ID203は、携帯電話あるいはその所持者であるユーザを特定するための情報であって、携帯電話の機種などに応じて様々な情報を用いることができる。例えば、携帯電話ID203に、携帯電話1のメモリ(携帯電話1から着脱可能なICカードを含む)などに記憶された機体識別番号、電話番号、ユーザ情報などを用いることが考えられる。また、携帯電話ID203に、電話番号に基づいてキャリアのゲートウェイが発行する識別情報を用いることことが考えられる。
【0022】
ワンタイムパスワード生成キー204は、ワンタイムパスワードを生成するための情報であって、固定情報(シード)と可変情報(カウンタ、時刻情報など)とを有する。固定情報は、ユーザ毎(またはユーザID毎)に割り当てられるユニークな文字列である。可変情報は、毎回異なるワンタイムパスワードを生成するための情報である。可変情報としては、例えば、時刻情報(タイムスタンプ)や、ワンタイムパスワードの生成回数を用いることが考えられる。
【0023】
図3は、セッション情報テーブル62の一例を示す図である。図示するセッション情報テーブル62は、セッションID301(セッション情報)とユーザID302とを有する。セッションID301は、認証サーバ5にアクセスしたユーザ端末(携帯電話1または端末2)を識別するための情報であって、ログインからログアウトまでのセッション毎に一意に割り振られる情報である。
【0024】
上記説明した、携帯電話1、端末2および認証サーバ5は、いずれも、例えば図4に示すようなCPU901と、メモリ902と、HDD等の外部記憶装置903と、キーボードやマウスなどの入力装置904と、ディスプレイやプリンタなどの出力装置905と、ネットワークと接続するための通信制御装置906と、を備えた汎用的なコンピュータシステムを用いることができる。このコンピュータシステムにおいて、CPU901がメモリ902上にロードされた所定のプログラムを実行することにより、各装置の各機能が実現される。
【0025】
例えば、携帯電話1、端末2および認証サーバ5の各機能は、携帯電話1用のプログラムの場合は携帯電話1のCPU901が、端末2のプログラムの場合は端末2のCPU901が、そして、認証サーバ5用のプログラムの場合は認証サーバ5のCPU901が、それぞれ実行することにより実現される。
【0026】
なお、認証サーバ5の認証テーブル61およびセッション情報テーブル62には、認証サーバ5のメモリ902または外部記憶装置903が用いられるものとする。また、認証サーバ5は、複数のサーバにより構成されるものであってもよい。
【0027】
次に、ユーザ端末(携帯電話1または端末2)から認証サーバ5のWebサイトにアクセスする際の処理について説明する。
【0028】
図5および図6は、アクセス処理のシーケンス図である。図7は、ユーザ端末の出力装置に表示される各種画面の一例を示したものである。図7(a)は、ユーザ端末が携帯電話1の場合の各種画面例で、図7(b)は、ユーザ端末が端末2の場合の各種画面例である。
【0029】
ユーザ端末は、ユーザの指示を受け付けて、所定のURL(Uniform Resource Locator)を指定して認証サーバ5のWebサイトにアクセスし、認証サーバ5が提供するログイン画面を取得する。そして、ユーザ端末は、例えば図7(a)に示すログイン画面71を、出力装置に表示する(S11)。
【0030】
図7(a)に示すログイン画面71は、ユーザ端末が携帯電話1の場合のログイン画面であって、ユーザID入力欄と、パスワード入力欄と、送信ボタンとが表示されている。なお、ユーザ端末が端末2の場合、図7(a)のログイン画面71と同様のログイン画面が端末2に表示される。ユーザは、あらかじめ認証テーブル61に登録済みのユーザIDおよびパスワードを、それぞれの入力欄に入力し、送信ボタンをクリックする。ユーザ端末は、ユーザIDおよびパスワードを含む一次認証要求を、認証サーバ5に送信する(S12)。
【0031】
認証サーバ5の1次認証部51は、受信した1次認証要求のユーザIDおよびパスワードが認証テーブル61(図2参照)に存在するか否かを判別し、認証テーブル61に存在する場合に正当なユーザからのアクセスであると認証する(S13)。
【0032】
そして、正当なユーザからのアクセスである場合、1次認証部51は、1次認証に成功したことを示すセッションIDを生成し、生成したセッションIDをユーザIDとともに、セッション情報テーブル62に登録する(S14)。1次認証部51は、例えば時刻情報などを用いて当該ユーザ端末を識別するためのユニークなセッションIDを生成する。なお、認証テーブル61に存在しない場合、1次認証部51は、1次認証に失敗したとしてエラーメッセージをユーザ端末に送信する。
【0033】
そして、1次認証部51は、所定のメニュー画面と生成したセッションIDとを、ユーザ端末に送信する(S15)。そして、ユーザ端末は、メニュー画面を出力装置に表示する(S16)。図7(a)のメニュー画面82は、携帯電話1に表示されたメニュー画面の一例である。図示するメニュー画面には、認証サーバ5が提供する各種のサービスが表示され、S13の1次認証だけで利用可能なサービス(例えば「照会」)と、2次認証も必要なサービス(例えば「注文」)とが混在している。なお、ユーザ端末が端末2の場合、図7(a)のメニュー画面72と同様のメニュー画面が端末2に表示される。
【0034】
ここでユーザは、2次認証も必要なサービス(図示する例では「注文」)を選択するものとする。そして、ユーザ端末は、選択されたメニュー番号と、メニュー画面に埋め込まれたセッションIDとを含むサービス選択指示を認証サーバ5に送信する(S17)。なお、ユーザ端末が携帯電話1の場合、携帯電話1は、認証サーバ5に情報を送信する際に、当該携帯電話1のメモリ等に記憶された携帯電話IDを併せて送信するものとする。
【0035】
判別部52は、受信したサービス選択指示のセッションIDがセッション情報テーブル62に存在するか否かをチェックする(S18)。判別部52は、セッション情報テーブル62に存在する場合には当該サービス選択指示は1次認証に成功後のものであるとみなし、セッション情報テーブル62に存在しない場合には当該サービス選択指示は不正なユーザからのものであるとみなしエラーメッセージをユーザ端末に送信する。
【0036】
セッションIDがセッション情報テーブル62に存在する場合、判別部52は、当該サービス番号について2次認証が必要なサービスか否かを判別する。なお、認証サーバ5のメモリなどにはサービス番号各々について2次認証の要否が記憶されているものとする。2次認証が不要なサービス番号の場合、判別部52は、サービス番号を業務処理部58に引き渡し、業務処理部58は当該サービス番号のサービスを提供するための所定の業務サービス画面をユーザ端末に送信する。
【0037】
2次認証が必要なサービス番号の場合、判別部52は、当該サービス選択指示に携帯電話IDが含まれているか否かを判別する(S19)。携帯電話IDが含まれていない場合(S19:無)、すなわちユーザ端末がPCなどの端末2の場合、図6の処理に進む。一方、携帯電話IDが含まれている場合(S19:有)、すなわちユーザ端末が携帯電話1の場合、判別部52は、当該携帯電話IDおよびユーザIDが認証テーブル61に存在するか否かをチェックする(S20)。なお、判別部52は、セッション情報テーブル62から当該セッションIDに対応するユーザIDを取得するものとする。
【0038】
認証テーブル61に存在する場合、判別部52は、当該レコードに設定されたパスワード生成キーを取得して第1の生成部53に送出する。一方、認証テーブル61の中に存在しない場合、判別部52は、不正なユーザまたはワンタイムパスワードの発行サービスに未登録のユーザからの要求であると判別し、エラーメッセージをユーザ端末に送信する。
【0039】
第1の生成部53は、送出されたパスワード生成キーに基づいて、所定のアルゴリズム(例えば、ハッシュ関数等の一方向性関数)によりワンタイムパスワードを生成する(S21)。
【0040】
そして、第1の生成部53は、生成したワンタイムパスワードを含むワンタイムパスワード確認画面と、セッションIDとをユーザ端末に送信する(S22)。ユーザ端末は、例えば、図7(a)のワンタイムパスワード確認画面73を出力装置に表示する(S23)。ユーザが当該画面のOKボタンをクリックすることにより、ユーザ端末は、表示されたワンタイムパスワード、および当該画面に埋め込まれたセッションIDを認証サーバ5に送信する(S24)。
【0041】
認証サーバ5のワンタイムパスワード受信部55は、S18と同様に、受信したセッションIDがセッション情報テーブル62に存在するか否かをチェックする(S25)。セッション情報テーブル62に存在する場合、ワンタイムパスワード受信部55は、セッション情報テーブル62から対応するユーザIDを取得する。そして、ワンタイムパスワード受信部55は、認証テーブル61から取得したユーザIDに対応するワンタイムパスワード生成キーを取得して第2の生成部56に送出する。
【0042】
第2の生成部56は、送出されたパスワード生成キーに基づいて、S21と同様のアルゴリズムによりワンタイムパスワードを生成する(S26)。そして、2次認証部57は、S24で受信したワンタイムパスワードと、S26で生成したワンタイムパスワードとが一致するか否かを判別する(S27)。ワンタイムパスワードが一致した場合、2次認証部57は、正当なユーザからの要求であると認証し、2次認証に成功した旨を示すログイン後画面をユーザ端末に送信する(S28)。
【0043】
ユーザ端末は、例えば図7(a)に示すログイン後画面74を、出力装置に表示する(S29)。図示する画面の場合、ユーザが「次へ」のボタンをクリックすることにより、認証サーバ5の業務処理部58は、S17で送信されたメニュー番号のサービスをユーザに提供する。なお、ワンタイムパスワードが一致しない場合(S27)、2次認証部57は、2次認証に失敗した旨を示すエラーメッセージを端末2に送信する。
【0044】
次に、携帯電話IDが含まれていない場合(S19:無)、すなわちユーザ端末がPCなどの端末2の場合の処理を、図6を参照して説明する。
【0045】
認証サーバ5のワンタイムパスワード要求部54は、ユーザ端末にワンタイムパスワードを要求する(S41)。すなわち、ワンタイムパスワード要求部54は、ワンタイムパスワード入力画面と、セッションIDとをユーザ端末に送信する。ユーザ端末は、例えば、図7(b)のワンタイムパスワード入力画面75を出力装置に表示する(S42)。
【0046】
ユーザは、ハードウェアトークン3に表示されたワンタイムパスワードを、ワンタイムパスワード入力画面に入力し、送信ボタンをクリックする。ハードウェアトークン3のメモリには、当該ハードウェアトークン3を使用するユーザのユーザID固有のワンタイムパスワード生成キーが設定されている。なお、ハードウェアトークン3に記憶されたワンタイムパスワード生成キーと、認証テーブル61の対応するワンタイムパスワード生成キーとは、同じものである。ハードウェアトークン3は、所定のタイミングでまたはユーザの指示を受け付けて、認証サーバ5と同様のアルゴリズム(S21、S26)によりワンタイムパスワードを生成し、ディスプレイなどの表示装置に表示する。
【0047】
なお、ワンタイムパスワードを生成する手段は、ハードウェアトークン3を利用する場合に限定されず、他の端末を通じてワンタイムパスワードの発行を受ける場合、携帯電話1のワンタイムパスワード生成アプリを用いる場合などが考えられる。
【0048】
ユーザ端末は、ユーザが入力したワンタイムパスワードと、セッションIDとを認証サーバ5に送信する(S43)。認証サーバ5は、図5で説明したS25からS28と同様に、セッション情報のチェック、ワンタイムパスワードの生成、および生成したワンタイムパスワードとユーザ端末から受信したワンタイムパスワードとが一致するか否かの2次認証を行い、ログイン後画面をユーザ端末に送信する(S44〜S47)。ユーザ端末は、例えば図7(b)に示すログイン後画面76を、出力装置に表示する(S48)。
【0049】
以上説明した本実施形態の認証サーバ5は、ユーザ端末から送信されたサービス選択指示などの要求に、携帯電話IDが含まれている場合はユーザ端末が携帯電話であると判別し、ワンタイムパスワードを生成して携帯電話に送信する。これにより、ユーザは、認証サーバ5のWebサイトへのアクセス処理を中断することなく、携帯電話1に表示されたワンタイムパスワードを容易に認証サーバ5に送信することができる。すなわち、本実施形態では、携帯電話の機種に関わらず、ワンタイムパスワードの入力が必要な高度なユーザ認証を行っているWebサイトにアクセスする際に、ユーザの利便性をより向上することができる。また、本実施形態では、ワンタイムパスワードの生成機能を有しない携帯電話であっても、ワンタイムパスワードの入力が必要なWebサイトに容易にアクセスすることができる。
【0050】
また、本実施形態の認証サーバ5は、ユーザ端末から送信された要求に携帯電話IDが含まれていない場合は、ユーザ端末がPCなどの端末であると判別し、ワンタイムパスワードの入力を要求する。これにより、本実施形態では、ユーザ端末が携帯電話の場合に限らずパソコンなどの端末であっても、ハードウェアトークンを利用することにより、容易にワンタイムパスワードの入力が必要なWebサイトにアクセスすることができる。
【0051】
また、本実施形態の認証サーバ5は、まずユーザIDおよびパスワードの1次認証を行い、1次認証に成功した場合にセッションIDをセッション情報テーブルに記憶し、その後、ワンタイムパスワードの2次認証を行う。これにより、サービスの種類に応じて柔軟に認証レベルを設定することができる。
【0052】
なお、本発明は上記の実施形態に限定されるものではなく、その要旨の範囲内で数々の変形が可能である。例えば、上記実施形態では、図5のアクセス処理のS22からS24において、認証サーバ5はワンタイムパスワード確認画面を携帯電話に表示させ、ユーザの指示によりワンタイムパスワードを認証サーバ5に送信させることとした。しかしながら、認証サーバ5の第1の生成部53は、ワンタイムパスワード確認画面を携帯電話に表示させることなく、生成したワンタイムパスワードを当該認証システムに自動的に送信させるリダイレクト指示をユーザ端末に送信することとしてもよい。これにより、ユーザの利便性をより向上することができる。
【0053】
また、上記実施形態の認証サーバ5は、第1および第2の生成部53、56を有するが、1つの生成部が携帯電話1に送信するワンタイムパスワードを生成するとともに(図5:S21)、認証用のワンタイムパスワードを生成する(図5:S26)こととしてもよい。
【0054】
<第2の実施形態>
図8は、本発明の第2の実施形態が適用された認証システムの全体構成図である。
【0055】
図示する認証システムは、ユーザ端末として携帯電話1またはPC(Personal Computer)などの端末2と、業務サーバ7と、認証サーバ8とを有する。業務サーバ7は、携帯電話1および端末2と携帯電話網やインターネットなどのネットワークを介して接続されるとともに、認証サーバ8とLANなどのネットワークにより接続される。
【0056】
本実施形態の業務サーバ7は、ユーザ端末(携帯電話1、端末2)からのアクセス要求を認証サーバ8とともに認証し、認証に成功した場合に所定のサービスを提供する。図示する業務サーバ7は、1次認証を行う1次認証部71と、ユーザ端末が携帯電話1か否かを判別する判別部72と、ユーザ端末が携帯電話1の場合にPINを要求するPIN要求部73と、ユーザ端末が端末2の場合にワンタイムパスワードを要求するワンタイムパスワード要求部74と、ユーザ端末からワンタイムパスワードを受信するワンタイムパスワード受信部75と、ワンタイムパスワードを生成する生成部76と、ユーザ端末から送信されたワンタイムパスワードと生成部76が生成したワンタイムパスワードとを検証する2次認証部77と、ユーザ端末に所定のサービスを提供する業務処理部78と、を有する。
【0057】
また、図示する業務サーバ7は、認証に必要な各種の情報が記憶される第1の認証テーブル79と、第1の実施形態のセッション情報テーブル62(図3参照)と同様のセッション情報テーブル80と、を有する。
【0058】
本実施形態の認証サーバ8は、業務サーバ7の要求を受け付けて携帯電話IDの検証を行う携帯電話ID検証部81と、業務サーバ7の要求を受け付けてPINの検証を行うPIN検証部82と、第2の認証テーブル85とを有する。
【0059】
図9は、業務サーバ7の第1の認証テーブル79の一例を示す図である。図示する第1の認証テーブル79は、ユーザID111と、パスワード112と、ワンタイムパスワード生成キー113とを有する。
【0060】
図10は、認証サーバ8の第2の認証テーブル85の一例を示す図である。図示する第2の認証テーブル80は、ユーザID121と、携帯電話ID122(機体識別番号、電話番号、携帯電話のICメモリに記憶されたユーザ情報など)と、ユーザが任意に設定する暗証番号であるPIN(Personal Identification Number)123とを有する。
【0061】
次に、ユーザ端末(携帯電話1または端末2)から業務サーバ7のWebサイトにアクセスする際の処理について説明する。
【0062】
図11および図12は、アクセス処理のシーケンス図である。
【0063】
図11のS51からS58までの処理は、第1の実施形態の処理(図5:S11〜S18)と同様であるため、ここでは説明を省略する。なお、本実施形態では、第1の実施形態で認証サーバ5の1次認証部51および判別部52が行っていた処理を、業務サーバ7の1次認証部71および判別部72が行う。
【0064】
S59において、業務サーバ7の判別部72は、当該サービス番号について2次認証が必要なサービスか否かを判別し、2次認証が不要なサービス番号の場合はサービス番号を業務処理部78に引き渡し、業務処理部78は当該サービス番号のサービスを提供するための所定の業務サービス画面をユーザ端末に送信する。一方、2次認証が必要なサービス番号の場合、判別部72は、当該サービス選択指示に携帯電話IDが含まれているか否かを判別する。
【0065】
携帯電話IDが含まれていない場合(S59:無)、すなわちユーザ端末がPCなどの端末2の場合、図12の処理に進む。一方、携帯電話IDが含まれている場合(S59:有)、すなわちユーザ端末が携帯電話1の場合、判別部72は、当該携帯電話IDおよびユーザIDの検証要求を認証サーバ8に送信する(S60)。なお、判別部72は、セッション情報テーブル80から当該セッションIDに対応するユーザIDを取得するものとする。
【0066】
認証サーバ8の携帯電話ID検証部81は、業務サーバ7が送信した検証要求に含まれる携帯電話IDおよびユーザIDが、第2の認証テーブル85に存在するか否かをチェックする(S61)。第2の認証テーブル85の中に存在しない場合(S61:NG)、携帯電話ID検証部81は、認証サーバ8への登録を行っていない未登録ユーザからの要求であると判別し、検証結果(NGデータ)を業務サーバ7に送信し(S62)、図12の処理に進む。一方、第2の認証テーブル85に存在する場合、携帯電話ID検証部81は、検証結果(OKデータ)を業務サーバ7に送信する(S63)。
【0067】
業務サーバ7のPIN要求部73は、ユーザ端末にPIN(暗証番号)を要求する(S64)。すなわち、PIN要求部73は、PIN入力画面と、セッションIDとをユーザ端末に送信する。ユーザ端末は、PINの入力欄が設定されたPIN入力画面を出力装置に表示する(S65)。
【0068】
ユーザは、あらかじめ認証サーバ8に登録したPINをPIN入力画面に入力する。ユーザ端末は、ユーザが入力したPINと、セッションIDとを業務サーバ7に送信する(S66)。業務サーバ7のPIN要求部73は、受信したセッションIDがセッション情報テーブル80に存在するか否かをチェックする(S67)。セッション情報テーブル80に存在する場合、PIN要求部73は、当該PINおよびユーザIDの検証要求を認証サーバ8に送信する(S68)。なお、PIN要求部73は、セッション情報テーブル80から当該セッションIDに対応するユーザIDを取得するものとする。
【0069】
認証サーバ8のPIN検証部82は、業務サーバ7が送信したPINおよびユーザIDが、第2の認証テーブル85に存在するか否かをチェックし(S69)、検証結果(OKまたはNG)を業務サーバ7に送信する(S70)。業務サーバ7の2次認証部77は、OKの検証結果の場合、正当なユーザからの要求であると認証し、2次認証に成功した旨を示す2次認証後画面をユーザ端末に送信する(S71)。ユーザ端末は、例えば図7(a)に示すログイン後画面74を、出力装置に表示する(S72)。
【0070】
なお、携帯電話IDが含まれていない場合、すなわちユーザ端末がPCなどの端末2の場合(S59:無)の処理と、携帯電話IDが認証サーバ8の第2の認証テーブルに登録されていない場合の処理(S61:NG)は、図12に示すとおりである。図12のS81からS88までの処理は、第1の実施形態の処理(図6:S41〜S48)と同様であるため、ここでは説明を省略する。図12の本実施形態では、第1の実施形態で認証サーバ5のワンタイムパスワード要求部54、ワンタイムパスワード受信部55、第2の生成部56および2次認証部57が行う処理を、業務サーバ7のワンタイムパスワード要求部74、ワンタイムパスワード受信部75、生成部76および2次認証部77が行う。
【0071】
以上説明した本実施形態の業務サーバ7および認証サーバ8は、ユーザ端末から送信されたサービス選択指示などの要求に、携帯電話IDが含まれている場合はユーザ端末が携帯電話であると判別し、ワンタイムパスワードの替わりにPINの入力を要求する。ユーザは、認証サーバ5のWebサイトへのアクセス処理を中断することなく、PINを入力することにより2次認証に応答することができる。すなわち、本実施形態では、携帯電話の機種に関わらず、必要な高度なユーザ認証を行っているWebサイトにアクセスする際に、ユーザの利便性をより向上することができる。また、本実施形態では、ワンタイムパスワードの生成機能を有しない携帯電話であっても、高度なユーサ認証を行っているWebサイトに容易にアクセスすることができる。
【0072】
また、本実施形態の業務サーバ7および認証サーバ8は、ユーザ端末から送信された要求に、携帯電話IDが含まれていない場合は、ユーザ端末がPCなどの端末であると判別し、ワンタイムパスワードの入力を要求する。これにより、本実施形態では、ユーザ端末が携帯電話の場合に限らず、パソコンなどの端末であっても、ハードウェアトークンを利用することにより、容易にワンタイムパスワードの入力が必要なWebサイトにアクセスすることができる。
【0073】
なお、本発明は上記の実施形態に限定されるものではなく、その要旨の範囲内で数々の変形が可能である。例えば、上記実施形態では、図11のアクセス処理のS61において携帯電話IDが第2の認証テーブルに登録されていた場合(S61:OK)、PIN入力画面をユーザ端末に送信することとした(S64)。しかしながら、業務サーバ7は、第1の実施形態のようにワンタイムパスワードを生成し、ワンタイムパスワード確認画面をユーザ端末に送信し(図5:S21〜S24)、その後、PIN入力画面をユーザ端末に送信することととしてもよい。
【図面の簡単な説明】
【0074】
【図1】本発明の第1の実施形態が適用された認証システムの全体構成図である。
【図2】認証テーブルの一例を示す図である。
【図3】セッション情報テーブルの一例を示す図である。
【図4】各装置のハードウェア構成例を示す図である。
【図5】アクセス処理のシーケンス図である。
【図6】アクセス処理のシーケンス図である。
【図7】ユーザ端末の各種画面例である。
【図8】本発明の第2の実施形態が適用された認証システムの全体構成図である。
【図9】第1の認証テーブルの一例を示す図である。
【図10】第2の認証テーブルの一例を示す図である。
【図11】アクセス処理のシーケンス図である。
【図12】アクセス処理のシーケンス図である。
【符号の説明】
【0075】
1:携帯電話、2:端末、3:ハードウェアトークン、5:認証サーバ、51:1次認証部、52:判別部、53:第1の生成部、54:ワンタイムパスワード要求部、55:ワンタイムパスワード受信部、56:第2の生成部、57:2次認証部、58:業務処理部、61:認証テーブル、62:セッション情報テーブル
【特許請求の範囲】
【請求項1】
認証システムであって、
ユーザ端末の端末識別情報と、ワンタイムパスワードを生成するためのパスワード生成キーと、ユーザIDとを対応付けて記憶する認証記憶手段と、
前記ユーザ端末のセッション情報とユーザIDとを対応付けて記憶するセッション情報記憶手段と、
前記ユーザ端末からの要求に前記認証記憶手段に記憶された当該ユーザ端末の端末識別情報が含まれているか否かを判別する判別手段と、
前記要求に前記ユーザ端末の端末識別情報が含まれている場合に、前記認証記憶手段に記憶された当該端末識別情報に対応するパスワード生成キーに基づいて第1のワンタイムパスワードを生成し、前記ユーザ端末に送信する第1の生成手段と、
前記ユーザ端末から第2のワンタイムパスワードおよびセッション情報を受信し、前記セッション情報に対応するユーザIDを前記セッション情報記憶手段から取得するパスワード受信手段と、
前記取得したユーザIDに対応するパスワード生成キーを前記認証記憶手段から特定し、当該パスワード生成キーに基づいて第3のワンタイムパスワードを生成する第2の生成手段と、
前記第3のワンタイムパスワードと、前記パスワード受信手段が受信した第2のワンタイムパスワードとが一致するか否かを検証し、一致する場合に認証に成功したと判別する認証手段と、を有すること
を特徴とする認証システム。
【請求項2】
請求項1記載の認証システムであって、
前記パスワード受信手段が受信した第2のワンタイムパスワードは、前記第1の生成手段が生成した第1のワンタイムパスワード、または、前記ユーザ端末においてユーザが入力したワンタイムパスワードであること
を特徴とする認証システム。
【請求項3】
請求項1記載の認証システムであって、
前記要求に前記ユーザ端末の端末識別情報が含まれていない場合、ワンタイムパスワードを要求する要求指示を前記ユーザ端末に送信するワンタイムパスワード要求手段を、さらに有すること
を特徴とする認証システム。
【請求項4】
請求項1記載の認証システムであって、
前記第1の生成手段は、生成した第1のワンタイムパスワードを、当該認証システムに送信させるリダイレクト指示を前記ユーザ端末に送信すること
を特徴とする認証システム。
【請求項5】
請求項1記載の認証システムであって、
前記ユーザ端末からユーザIDを含む1次認証要求を受信し、前記ユーザIDが前記認証記憶手段に記憶されている場合に1次認証に成功したことを示す前記セッション情報を生成し、前記ユーザIDとともにセッション情報記憶手段に記憶する1次認証手段を、さらに有すること
を特徴とする認証システム。
【請求項6】
認証システムが行うワンタイムパスワードの認証方法であって、
前記認証システムは、
ユーザ端末の端末識別情報と、ワンタイムパスワードを生成するためのパスワード生成キーと、ユーザIDとを対応付けて記憶する認証記憶部と、
前記ユーザ端末のセッション情報とユーザIDとを対応付けて記憶するセッション情報記憶部と、処理部とを有し、
前記処理部は、
前記ユーザ端末からの要求に前記認証記憶部に記憶された当該ユーザ端末の端末識別情報が含まれているか否かを判別する判別ステップと、
前記要求に前記ユーザ端末の端末識別情報が含まれている場合に、前記認証記憶部に記憶された当該端末識別情報に対応するパスワード生成キーに基づいて第1のワンタイムパスワードを生成し、前記ユーザ端末に送信する第1の生成ステップと、
前記ユーザ端末から第2のワンタイムパスワードおよびセッション情報を受信し、前記セッション情報に対応するユーザIDを前記セッション情報記憶部から取得するパスワード受信ステップと、
前記取得したユーザIDに対応するパスワード生成キーを前記認証記憶部から特定し、当該パスワード生成キーに基づいて第3のワンタイムパスワードを生成する第2の生成ステップと、
前記第3のワンタイムパスワードと、前記パスワード受信ステップで受信した第2のワンタイムパスワードとが一致するか否かを検証し、一致する場合に認証に成功したと判別する認証ステップと、を行うこと
を特徴とする認証方法。
【請求項7】
認証システムが実行するワンタイムパスワードの認証プログラムであって、
前記認証システムは、
ユーザ端末の端末識別情報と、ワンタイムパスワードを生成するためのパスワード生成キーと、ユーザIDとを対応付けて記憶する認証記憶部と、
前記ユーザ端末のセッション情報とユーザIDとを対応付けて記憶するセッション情報記憶部と、処理部とを有し、
前記処理部に、
前記ユーザ端末からの要求に前記認証記憶部に記憶された当該ユーザ端末の端末識別情報が含まれているか否かを判別する判別ステップと、
前記要求に前記ユーザ端末の端末識別情報が含まれている場合に、前記認証記憶部に記憶された当該端末識別情報に対応するパスワード生成キーに基づいて第1のワンタイムパスワードを生成し、前記ユーザ端末に送信する第1の生成ステップと、
前記ユーザ端末から第2のワンタイムパスワードおよびセッション情報を受信し、前記セッション情報に対応するユーザIDを前記セッション情報記憶部から取得するパスワード受信ステップと、
前記取得したユーザIDに対応するパスワード生成キーを前記認証記憶部から特定し、当該パスワード生成キーに基づいて第3のワンタイムパスワードを生成する第2の生成ステップと、
前記第3のワンタイムパスワードと、前記パスワード受信ステップで受信した第2のワンタイムパスワードとが一致するか否かを検証し、一致する場合に認証に成功したと判別する認証ステップと、を実行させること
を特徴とする認証プログラム。
【請求項1】
認証システムであって、
ユーザ端末の端末識別情報と、ワンタイムパスワードを生成するためのパスワード生成キーと、ユーザIDとを対応付けて記憶する認証記憶手段と、
前記ユーザ端末のセッション情報とユーザIDとを対応付けて記憶するセッション情報記憶手段と、
前記ユーザ端末からの要求に前記認証記憶手段に記憶された当該ユーザ端末の端末識別情報が含まれているか否かを判別する判別手段と、
前記要求に前記ユーザ端末の端末識別情報が含まれている場合に、前記認証記憶手段に記憶された当該端末識別情報に対応するパスワード生成キーに基づいて第1のワンタイムパスワードを生成し、前記ユーザ端末に送信する第1の生成手段と、
前記ユーザ端末から第2のワンタイムパスワードおよびセッション情報を受信し、前記セッション情報に対応するユーザIDを前記セッション情報記憶手段から取得するパスワード受信手段と、
前記取得したユーザIDに対応するパスワード生成キーを前記認証記憶手段から特定し、当該パスワード生成キーに基づいて第3のワンタイムパスワードを生成する第2の生成手段と、
前記第3のワンタイムパスワードと、前記パスワード受信手段が受信した第2のワンタイムパスワードとが一致するか否かを検証し、一致する場合に認証に成功したと判別する認証手段と、を有すること
を特徴とする認証システム。
【請求項2】
請求項1記載の認証システムであって、
前記パスワード受信手段が受信した第2のワンタイムパスワードは、前記第1の生成手段が生成した第1のワンタイムパスワード、または、前記ユーザ端末においてユーザが入力したワンタイムパスワードであること
を特徴とする認証システム。
【請求項3】
請求項1記載の認証システムであって、
前記要求に前記ユーザ端末の端末識別情報が含まれていない場合、ワンタイムパスワードを要求する要求指示を前記ユーザ端末に送信するワンタイムパスワード要求手段を、さらに有すること
を特徴とする認証システム。
【請求項4】
請求項1記載の認証システムであって、
前記第1の生成手段は、生成した第1のワンタイムパスワードを、当該認証システムに送信させるリダイレクト指示を前記ユーザ端末に送信すること
を特徴とする認証システム。
【請求項5】
請求項1記載の認証システムであって、
前記ユーザ端末からユーザIDを含む1次認証要求を受信し、前記ユーザIDが前記認証記憶手段に記憶されている場合に1次認証に成功したことを示す前記セッション情報を生成し、前記ユーザIDとともにセッション情報記憶手段に記憶する1次認証手段を、さらに有すること
を特徴とする認証システム。
【請求項6】
認証システムが行うワンタイムパスワードの認証方法であって、
前記認証システムは、
ユーザ端末の端末識別情報と、ワンタイムパスワードを生成するためのパスワード生成キーと、ユーザIDとを対応付けて記憶する認証記憶部と、
前記ユーザ端末のセッション情報とユーザIDとを対応付けて記憶するセッション情報記憶部と、処理部とを有し、
前記処理部は、
前記ユーザ端末からの要求に前記認証記憶部に記憶された当該ユーザ端末の端末識別情報が含まれているか否かを判別する判別ステップと、
前記要求に前記ユーザ端末の端末識別情報が含まれている場合に、前記認証記憶部に記憶された当該端末識別情報に対応するパスワード生成キーに基づいて第1のワンタイムパスワードを生成し、前記ユーザ端末に送信する第1の生成ステップと、
前記ユーザ端末から第2のワンタイムパスワードおよびセッション情報を受信し、前記セッション情報に対応するユーザIDを前記セッション情報記憶部から取得するパスワード受信ステップと、
前記取得したユーザIDに対応するパスワード生成キーを前記認証記憶部から特定し、当該パスワード生成キーに基づいて第3のワンタイムパスワードを生成する第2の生成ステップと、
前記第3のワンタイムパスワードと、前記パスワード受信ステップで受信した第2のワンタイムパスワードとが一致するか否かを検証し、一致する場合に認証に成功したと判別する認証ステップと、を行うこと
を特徴とする認証方法。
【請求項7】
認証システムが実行するワンタイムパスワードの認証プログラムであって、
前記認証システムは、
ユーザ端末の端末識別情報と、ワンタイムパスワードを生成するためのパスワード生成キーと、ユーザIDとを対応付けて記憶する認証記憶部と、
前記ユーザ端末のセッション情報とユーザIDとを対応付けて記憶するセッション情報記憶部と、処理部とを有し、
前記処理部に、
前記ユーザ端末からの要求に前記認証記憶部に記憶された当該ユーザ端末の端末識別情報が含まれているか否かを判別する判別ステップと、
前記要求に前記ユーザ端末の端末識別情報が含まれている場合に、前記認証記憶部に記憶された当該端末識別情報に対応するパスワード生成キーに基づいて第1のワンタイムパスワードを生成し、前記ユーザ端末に送信する第1の生成ステップと、
前記ユーザ端末から第2のワンタイムパスワードおよびセッション情報を受信し、前記セッション情報に対応するユーザIDを前記セッション情報記憶部から取得するパスワード受信ステップと、
前記取得したユーザIDに対応するパスワード生成キーを前記認証記憶部から特定し、当該パスワード生成キーに基づいて第3のワンタイムパスワードを生成する第2の生成ステップと、
前記第3のワンタイムパスワードと、前記パスワード受信ステップで受信した第2のワンタイムパスワードとが一致するか否かを検証し、一致する場合に認証に成功したと判別する認証ステップと、を実行させること
を特徴とする認証プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【公開番号】特開2008−242926(P2008−242926A)
【公開日】平成20年10月9日(2008.10.9)
【国際特許分類】
【出願番号】特願2007−84047(P2007−84047)
【出願日】平成19年3月28日(2007.3.28)
【出願人】(000155469)株式会社野村総合研究所 (1,067)
【Fターム(参考)】
【公開日】平成20年10月9日(2008.10.9)
【国際特許分類】
【出願日】平成19年3月28日(2007.3.28)
【出願人】(000155469)株式会社野村総合研究所 (1,067)
【Fターム(参考)】
[ Back to top ]