認証システムおよび認証方法
【課題】VPNを介してアクセスされる端末において、より高いセキュリティを確保したユーザ認証技術を提供する。
【解決手段】VPNを介してアクセスされるVPN端末の認証を行う認証システムであって、認証装置6、7は、携帯端末から端末識別情報を含む要求を受け付けてワンタイムパスワードを生成して携帯端末に送信するとともに、生成したワンタムパスワードを記憶手段に記憶するパスワード生成手段と、VPN端末から送信されたワンタイムパスワードを含むアクセス要求をVPN装置を介して受信し、受信したアクセス要求のワンタイムパスワードと記憶手段に記憶されたワンタイムパスワードとが一致するか否かを認証する認証手段とを有し、VPN装置は、VPN端末から送信されたアクセス要求を認証装置または他の認証装置に振分ける振分手段を有する。
【解決手段】VPNを介してアクセスされるVPN端末の認証を行う認証システムであって、認証装置6、7は、携帯端末から端末識別情報を含む要求を受け付けてワンタイムパスワードを生成して携帯端末に送信するとともに、生成したワンタムパスワードを記憶手段に記憶するパスワード生成手段と、VPN端末から送信されたワンタイムパスワードを含むアクセス要求をVPN装置を介して受信し、受信したアクセス要求のワンタイムパスワードと記憶手段に記憶されたワンタイムパスワードとが一致するか否かを認証する認証手段とを有し、VPN装置は、VPN端末から送信されたアクセス要求を認証装置または他の認証装置に振分ける振分手段を有する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ワンタイムパスワードを用いてユーザの正当性を認証する認証技術に関する。
【背景技術】
【0002】
近年、フィッシング詐欺に代表される、インターネット上でのユーザID、パスワードなどの詐取・盗難(identity theft)が問題となっている。そのため、より高いセキュリティを確保し、ユーザの正当性を認証する技術が求められている。例えば、特許文献1には、ワンタイムパスワードを用いて、ユーザ認証を行うパスワード認証システムが記載されている。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2004−240637号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
特許文献1に記載のパスワード認証システムでは、携帯電話が認証サーバから取得したワンタイムパスワードを用いてユーザ認証を行う。しかしながら、特許文献1では、携帯電話は、ユーザIDを指定して認証サーバにワンタイムパスワードを要求する。そして、認証サーバは、当該ユーザIDに対するワンタイムパスワードを要求元の携帯端末に送信する。すなわち、ユーザIDが漏れた場合は、同時にワンタイムパスワードが漏れたも同義である。
【0005】
したがって、悪意のある第三者は、ユーザIDさえ取得できれば、ユーザIDを認証サーバに送ることによってワンタイムパスワードを取得できる。これにより、悪意のある第三者が、不正に取得したユーザIDとワンタイムパスワードとを使用して、例えばオンライン口座にログインし、不正な操作を行う可能性がある。
【0006】
また、パソコンやモバイル端末の普及に伴い、自宅や出張先から企業のイントラネット(社内LAN)にリモートアクセスする際に、ネットワーク経由して構築されるVPN(仮想的なプライベートネットワーク)が利用され、VPNにリモートアクセス(ログイン)する際には、ワンタイムパスワード等を用いた認証が行われている。このようなリモートアクセスする端末に対して、より高いセキュリティを確保したユーザ認証技術が求められている。
【0007】
本発明は上記事情に鑑みてなされたものであり、本発明の目的は、VPNを介してアクセスされる端末において、より高いセキュリティを確保したユーザ認証技術を提供することにある。
【課題を解決するための手段】
【0008】
上記課題を解決するために、本発明は、仮想プライベートネットワークを介してアクセスされるVPN端末の認証を行う認証システムであって、前記認証システムは、認証装置と、前記仮想プライベートネットワークを生成するVPN装置とを有し、前記認証装置は、携帯端末から端末識別情報を含むワンタイムパスワード生成要求を受け付けてワンタイムパスワードを生成し、生成したワンタイムパスワードを携帯端末に送信するとともに、生成したワンタイムパスワードを記憶手段に記憶するパスワード生成手段と、前記VPN端末から送信された、ワンタイムパスワードを含むアクセス要求を前記VPN装置を介して受信し、受信したアクセス要求のワンタイムパスワードと前記記憶手段に記憶されたワンタイムパスワードとが一致するか否かを認証する認証手段と、を有し、前記VPN装置は、前記VPN端末から送信されたアクセス要求を前記認証装置、または他の認証装置に振分ける振分手段を有する。
【0009】
また、本発明は、仮想プライベートネットワークを介してアクセスされるVPN端末の認証を行う認証方法であって、認証装置は、携帯端末から端末識別情報を含むワンタイムパスワード生成要求を受け付けてワンタイムパスワードを生成し、生成したワンタイムパスワードを携帯端末に送信するとともに、生成したワンタイムパスワードを記憶部に記憶するパスワード生成ステップと、前記VPN端末から送信された、ワンタイムパスワードを含むアクセス要求を、前記仮想プライベートネットワークを生成するVPN装置を介して受信し、受信したアクセス要求のワンタイムパスワードと前記記憶部に記憶されたワンタイムパスワードとが一致するか否かを認証する認証ステップと、を行い、前記VPN装置は、前記VPN端末から送信されたアクセス要求を前記認証装置、または他の認証装置に振分ける振分ステップを行う。
【発明の効果】
【0010】
本発明では、VPNを介してアクセスされる端末において、より高いセキュリティを確保したユーザ認証技術を提供することができる。
【図面の簡単な説明】
【0011】
【図1】本発明の第1の実施形態が適用された認証システムの全体構成図である。
【図2】第1の実施形態の認証テーブルの一例を示す図である。
【図3】各装置のハードウェア構成例を示す図である。
【図4】ワンタイムパスワードの発行処理を示すシーケンス図である。
【図5】携帯電話の出力装置に表示される各種画面の一例を示したものである。
【図6】認証BLサーバから取得したワンタイムパスワードの認証処理のシーケンス図である。
【図7】ハードトークンから取得したワンタイムパスワードの認証処理のシーケンス図である。
【図8】本発明の第2の実施形態が適用された認証システムの全体構成図である。
【図9】第2の実施形態の認証テーブルの一例を示す図である。
【図10】認証マトリックスの発行処理を示すシーケンス図である。
【図11】携帯電話の出力装置に表示される各種画面の一例を示したものである。
【図12】入力パターンの一例を示す図である。
【図13】入力パターンの発行処理を示すシーケンス図である。
【発明を実施するための形態】
【0012】
以下、本発明の実施の形態について説明する。
【0013】
[第1の実施形態]
図1は、本発明の第1の実施形態が適用された認証システムの全体構成図である。図示する認証システムは、携帯電話1(携帯端末)と、PC(Personal Computer)などのユーザ端末2(VPN端末)と、ハードトークン3と、ファイアフォール4と、業務サーバ5と、認証PL(presentation layer)サーバ6と、認証BL(business logic layer)サーバ7と、VPN(Virtual Private Network)サーバ8と、RADIUS(Remote Authentication Dial-In User Service)サーバ9と、プロトコル変換サーバ10と、を有する。
【0014】
本実施形態のユーザには、携帯電話1を用いてワンタイムパスワードを取得するユーザAと、ハードトークン3を用いてワンタイムパスワードを取得するユーザB、の2つのタイプのユーザが存在するものとする。
【0015】
ユーザAおよびユーザBは、業務サーバ5が提供するWebサイト(業務システム)のサービスを利用可能なユーザであって、あらかじめ業務サーバ5のWebサイトに登録してユーザIDを取得しているものとする。そして、ユーザAは、ユーザ端末2からVPNサーバ8を介して業務サーバ5にログイン(アクセス)する際に、携帯端末1を用いて認証PLサーバ6および認証BLサーバ7から取得したワンタイムパスワードを、ユーザ端末2に入力する。一方、ユーザBは、ユーザ端末2からVPNサーバ8を介して業務サーバ5にログインする際に、ハードトークン3から取得したワンタイムパスワードを、ユーザ端末2に入力する。
【0016】
携帯電話1は、携帯電話網やインターネットなどのネットワーク11およびファイアウォール4を介して認証PLサーバ6と接続され、ユーザ端末2は、インターネットなどのネットワーク11およびファイアウォール4を介して、VPNサーバ8および業務サーバ5に接続されるものとする。
【0017】
なお、本実施形態では、認証PLサーバ6および認証BLサーバ7を有するが、これらのサーバを統合して1つの認証サーバ(認証システム、認証装置)としてもよい。
【0018】
ユーザAが所有する携帯電話1は、ユーザの指示を受け付けるとともに、出力装置に各種の情報・画面を表示するものとする。なお、携帯電話1は、個体識別番号(端末識別情報)を送信する端末であって、図示しないメモリ等の記憶装置に個体識別番号があらかじめ記憶されているものとする。なお、個体識別番号が記憶されているメモリ等は、携帯端末1から着脱可能なICカードであってもよい。
【0019】
ユーザAおよびユーザBがそれぞれ使用するユーザ端末2は、ユーザの指示を受け付けるとともに、出力装置に各種の情報・画面を表示し、Webブラウザと同様の機能を有するものとする。
【0020】
なお、本実施形態のユーザ端末2は、VPNサーバ8のクライアント(VPNクライアント)であって、VPNサーバ8との間でネットワーク11を経由して仮想的なプライベートネットワーク(VPN)を生成し、VPN上で業務サーバ5にアクセスする。なお、ユーザ端末2には、VPNサーバ8との間でVPNを生成するためのVPNソフトウェアがインストールされているものとする。
【0021】
ユーザBが所有するハードトークン(パスワード生成器)3は、図示しないワンタイムパスワードを生成する生成部と、生成したワンタイムパスワードを表示する表示部とを有する。ハードトークンが生成するワンタイムパスワードと、RADIUSサーバ9がユーザB用に生成するワンタイムパスワードとは、常に同期がとれている。
【0022】
業務サーバ5は、ネットワークを介して各種のサービスを提供するシステムであって、オンラインバンキング、オンライントレード、ネットショッピングなどのWebサイトをユーザ端末2に提供する。
【0023】
認証PLサーバ6および認証BLサーバ7は、ワンタイムパスワードを生成して携帯端末1に送信するとともに、ユーザ端末2から送信されたアクセス要求(ログイン要求)の正当性を認証する。認証PLサーバ6は、携帯電話1に対する入出力処理を行う。
【0024】
認証BLサーバ7は、ワンタイムパスワードを生成するパスワード生成部71と、アクセス要求の正当性を認証する認証部72と、認証テーブル73とを有する。認証テーブル43には、認証に必要な各種の情報が登録される。なお、認証テーブル73については後述する。
【0025】
VPNサーバ8は、ネットワーク11を経由した仮想的なプライベートネットワーク(VPN)を構築するための装置である。本実施形態のVPNサーバ8は、ユーザ端末2から送信されたアクセス要求(ユーザID、ワンタイムパスワードなど)を、ユーザIDに基づいて認証BLサーバ7またはRADIUSサーバ9に振分ける。
【0026】
RADIUSサーバ9は、RADIUSプロトコルを用いてユーザ認証を行う装置である。RADIUSプロトコルは、VPN接続時またはRAS接続時に必要となるユーザ認証を請け負うためのプロトコルである。図示するRADIUSサーバ9は、ワンタイムパスワードを生成するパスワード生成部91と、アクセス要求の正当性を認証する認証部92と、認証テーブル93とを有する。パスワード生成部91は、ユーザ毎(ユーザID毎)に、当該ユーザが所有するハードトークン3と同期をとったワンタイムパスワードを生成する。認証テーブル93には、ハードトークン3を所有する各ユーザのユーザIDと、ユーザID毎に対応するハードトークン3と同期して生成されるワンタイムパスワードとが記憶される。
【0027】
プロトコル変換サーバ10は、VPNサーバ8から認証BLサーバ7へ送信されるデータを、RADIUSからHTTP(HyperText Transfer Protocol)にプロトコル変換する。
【0028】
次に、認証BLサーバ7の認証テーブル73について説明する。
【0029】
図2は、認証テーブル73の一例を示した図である。図示する認証テーブル73は、携帯端末1毎に、ユーザID731、PIN(Personal Identification Number)732、個体識別番号733、ワンタイムパスワード734、メールアドレス735などを有する。
【0030】
PIN732は、ユーザが設定する暗証番号である。個体識別番号733には、当該携帯電話の個体識別番号(または、携帯電話の電話番号)が設定される。ワンタイムパスワード734には、パスワード生成部71が生成したワンタイムパスワードが設定される。メールアドレス735には、ユーザのメールアドレスが設定される。
【0031】
上記説明した、携帯端末1、ユーザ端末2、業務サーバ5、認証PLサーバ6、認証BLサーバ7、VPNサーバ8、RADIUSサーバ9およびプロトコル変換サーバ10は、いずれも、例えば図3に示すようなCPU901と、メモリ902と、HDD等の外部記憶装置903と、キーボードやマウスなどの入力装置904と、ディスプレイやプリンタなどの出力装置905と、ネットワークと接続するための通信制御装置906と、を備えた汎用的なコンピュータシステムを用いることができる。このコンピュータシステムにおいて、CPU901がメモリ902上にロードされた所定のプログラムを実行することにより、各装置の各機能が実現される。なお、入力装置904および出力装置905については、各装置が必要に応じて備えるものとする。
【0032】
次に、認証PLサーバ6および認証BLサーバ7のワンタイムパスワードの発行処理について説明する。ユーザAは、ユーザ端末2から業務システム5にログインするために、携帯電話1を用いてワンタイムパスワードをあらかじめ取得しておくものとする。
【0033】
図4は、ワンタイムパスワード発行処理を示すシーケンス図である。図5は、携帯電話1の出力装置に表示される各種画面(画面遷移)の一例を示したものである。携帯電話1は、ユーザの指示を受け付けて所定のURL(Uniform Resource Locator)を指定して、認証PLサーバ6にアクセスし、例えば図5に示すメニュー画面61を出力装置に表示する。そして、携帯電話1は、ユーザの指示を受け付けて、ワンタイムパスワード発行要求を認証PLサーバ6に送信する(S11)。図示する例では、ユーザは、メニュー画面61のOTP発行ボタンをクリックするものとする。
【0034】
認証PLサーバ6は、ワンタイムパスワード発行要求を受け付けると、PIN入力画面を携帯電話1に送信する(S12)。携帯電話1は、例えば図5に示すPIN入力画面62を出力装置に表示する。ユーザは、認証BLサーバ7の認証テーブル73にあらかじめ登録したPINをPIN入力画面62に入力する。そして、携帯電話1は、入力されたPINを認証PLサーバ6に送信する(S13)。なお、携帯電話1は、認証PLサーバ6に情報を送信する際に、当該携帯電話1のメモリ等に記憶された個体識別番号を併せて送信するものとする。認証PLサーバ6は、送信されたPINおよび個体識別番号を認証BLサーバ7に送信する(S14)。
【0035】
認証BLサーバ7のパスワード生成部71は、受け付けたPINおよび個体識別番号を有するレコードが認証テーブル73に存在するか否かを判別し、当該レコードが認証テーブル73に存在する場合、所定のアルゴリズムによりワンタイムパスワードを生成し、生成したワンタイムパスワードを認証テーブル73の対応するレコードに記憶する(S15)。また、パスワード生成部71は、生成したワンタイムパスワードを認証PLサーバ6に通知する(S16)。
【0036】
なお、当該レコードが認証テーブル73に存在しない場合は、ワンタイムパスワードを生成することなくエラーメッセージを携帯電話1に送信する。
【0037】
認証PLサーバ6は、認証BLサーバ7が生成したワンタイムパスワードを含むワンタイムパスワード表示画面を携帯電話1に送信する(S17)。携帯電話1は、例えば、図5のワンタイムパスワード表示画面63を出力装置に表示する。
【0038】
なお、本実施形態の携帯端末1は、認証PLサーバ6に情報を送信する際に、個体識別番号を送信するが、固体識別番号を送信できない場合は、メール送信によりワンタイムパスワードの発行要求を認証PLサーバ6に送信することとしてもよい。この場合、認証BLサーバ7は、メールに記載されたPINおよびメールの送信元メールアドレスを有するレコードが認証テーブル73に存在するか否かを判別し、当該レコードが認証テーブル73に存在する場合、ワンタイムパスワードを生成する。
【0039】
次に、ユーザ端末2からVPNサーバ8を介して業務サーバ5にログインする際の、ワンタイムパスワードの認証処理について説明する。
【0040】
図6は、ユーザAの場合の、携帯電話1を用いて認証PLサーバ6および認証BLサーバ7から取得したワンタイムパスワードの認証処理のシーケンス図である。
【0041】
まず、ユーザ端末2は、ユーザの指示を受け付けて、認証情報入力画面を表示する。ユーザ端末2は、VPNサーバ8との間でVPNを生成するためのVPNソフトウェアがインストールされ、認証情報入力画面はVPNソフトウェアを起動することにより表示される。認証情報入力画面には、ユーザIDを入力するユーザID欄と、ワンタイムパスワードを入力するワンタイムパスワード入力欄とを有する。ユーザは、ユーザIDと、携帯電話1に表示されたワンタイムパスワード(図5参照)とを、認証情報入力画面に入力する。ユーザ端末2は、入力されたユーザIDおよびワンタイムパスワードとを含むアクセス要求をVPNサーバ8に送信する(S21)。なお、このアクセス要求のプロトコルは、RADIUSプロトコルである。
【0042】
VPNサーバ8は、アクセス要求に含まれるユーザIDを用いて、当該アクセス要求をRADISUサーバ9または認証BLサーバ7に振分ける(S22)。例えば、VPNサーバ8は、ユーザIDと認証先サーバ(RADISUサーバ9または認証BLサーバ7)とが対応付けて記憶されたテーブルを有し、当該テーブルを用いて、アクセス要求をRADISUサーバ9または認証BLサーバ7に振分けるものとする。ここでは、携帯電話1を使用するユーザAからのアクセス要求であるため、VPNサーバ8は、認証BLサーバ7に振分けるために、プロトコル変換サーバ10にアクセス要求を送信する(S23)。
【0043】
プロトコル変換サーバ10は、RADIUSプロトコルのアクセス要求を、認証BLサーバ7用のHTTPプロトコルに変換し(S24)、変換後のアクセス要求を認証BLサーバ7に送信する(S25)。
【0044】
認証BLサーバ7の認証部72は、変換後のアクセス要求のユーザIDに対応するワンタイムパスワードを認証テーブル73から取得し、当該ワンタイムパスワードとアクセス要求に含まれるワンタイムパスワードとが一致するか否かの認証を行い(S26)、認証結果(許可通知、拒否通知)をプロトコル変換サーバ10に送信する。一致する場合は、許可通知を送信し、一致しない場合は拒否通知を送信する。ここでは、認証部72は、許可通知をプロトコル変換サーバ10に送信するものとする(S27)。
【0045】
プロトコル変換サーバ10は、HTTPプロトコルの認証結果(許可通知)を、RADIUSプロトコルに変換し(S28)、変換後の許可通知をVPNサーバ8に送信する(S29)。
【0046】
VPNサーバ8は、許可通知をユーザ端末2に送信し、ユーザ端末2は、アクセス要求が許可されことを示す認証結果を表示する(S30)。これにより、ユーザ端末2は、業務サーバ5にアクセスすることができる。
【0047】
図7は、ユーザBの場合の、ハードトークン3から取得したワンタイムパスワードの認証処理のシーケンス図である。
【0048】
まず、ユーザ端末2は、ユーザの指示を受け付けて、図6で説明した認証情報入力画面を表示する。そして、ユーザは、当該認証情報入力画面にユーザIDおよびハードトークン3に表示されたワンタイムパスワードを入力する。ユーザ端末2は、入力されたユーザIDおよびワンタイムパスワードとを含むアクセス要求をVPNサーバ8に送信する(S41)。
【0049】
なお、ハードトークン3は、時刻同期方式またはカウンタ同期方式などにより、RADIUSサーバ9と同期して、RADIUSサーバ9が生成するワンタイムパスワードと同じワンタイムパスワードを生成し、ディスプレイなどの表示部に表示する。
【0050】
VPNサーバ8は、アクセス要求に含まれるユーザIDを用いて、当該アクセス要求をRADISUサーバ9または認証BLサーバ7に振分ける(S42)。ここでは、ハードトークン3を所有するユーザから送信されたアクセス要求であるため、VPNサーバ8は、RADIUSサーバ9にアクセス要求を送信する(S43)。
【0051】
RADIUSサーバ9の認証部92は、受信したアクセス要求のユーザIDに対応するワンタイムパスワードを認証テーブル93から取得し、当該ワンタイムパスワードとアクセス要求に含まれるワンタイムパスワードとが一致するか否かの認証を行い(S44)、認証結果(許可通知、拒否通知)をVPNサーバ8に送信する。ここでは、認証部92は、許可通知をVPNサーバ8に送信するものとする(S45)。
【0052】
VPNサーバ8は、許可通知をユーザ端末2に送信し、ユーザ端末2は、アクセス要求が許可されことを示す認証結果を表示する(S46)。これにより、ユーザ端末2は、業務サーバ5にアクセスすることができる。
【0053】
なお、ハードトークン3およびRADIUSサーバ9は、OATH規格(カウンタ同期方式)に準拠したワンタイムパスワード発行方式を用いても、独自のワンタイムパスワード発行方式を用いてもよい。本実施形態の認証システムを構築する再に、システム設計者は任意のワンタイムパスワード発行方式を採用することができる。
【0054】
[第2の実施形態]
図8は、本発明の第2の実施形態が適用された認証システムの全体構成図である。本実施形態の認証システムでは、認証PLサーバ6および認証BLサーバ7は、ワンタイムパスワードを生成してユーザAの携帯電話1に送信する代わりに、認証マトリックスをユーザAの携帯電話1に送信し、また、入力パターンをユーザAのユーザ端末2に送信する。
【0055】
そして、ユーザAは、携帯電話1から取得した認証マトリックスと、ユーザ端末2から取得した入力パターンとを用いた認証データを、ワンタイムパスワードとして業務サーバ5にアクセスする際の認証情報入力画面を入力する。
【0056】
本実施形態の認証BLサーバ7は、アクセス要求の正当性を認証する認証部72と、認証に必要な各種の情報が登録される認証テーブル73と、認証マトリックス生成するマトリックス生成部75と、後述する入力パターンを生成するパターン生成部76と、パターンテーブル77と、を有する。パターンテーブル77には、認証マトリックスの所定の入力箇所が指定された入力パターンが、複数記憶されている。
【0057】
なお、本実施形態の認証BLサーバ7は、第1の実施形態の認証BLサーバ7のパスワード生成部71をさらに有し、ワンタイムパスワードの生成と、認証マトリックスおよび入力パターンの生成との両方を行うこととしてもよい。また、その他の各装置については、第1の実施形態と同様であるため、ここでは説明を省略する。
【0058】
図9は、本実施形態の認証BLサーバ7の認証テーブ73の一例を示した図である。図示する認証テーブル73は、ユーザID731と、PIN732と、個体識別番号733と、認証マトリックス734と、入力パターン735とを有する。
【0059】
認証マトリックス734には、マトリックス生成部75が生成した認証マトリックスが設定される。入力パターン735には、認証マトリックスにおける所定の入力箇所(例えば、座標など)および入力順序が設定される。
【0060】
次に、認証マトリックスの取得処理について説明する。ユーザAは、携帯電話1を用いて認証マトリックスをあらかじめ取得し、携帯電話1の記憶部(不図示)に保存しておくものとする。なお、一旦取得した認証マトリックスは、次に新たな認証マトリックスを取得するまで有効であって、何度でも使用できるものとする。また、ユーザは、任意のタイミングで本処理を行うことにより、新たな認証マトリックスを取得し、携帯電話1に保存しておいた認証マトリックスを更新(変更)することができる。
【0061】
図10は、認証マトリックス取得処理のシーケンス図である。また、図11は、携帯電話1の出力装置に表示される各種画面(画面遷移)の一例を示したものである。まず、携帯電話1は、ユーザの指示を受け付けて、所定のURLを指定して認証PLサーバ6にアクセスし、認証マトリックス取得画面を要求する。そして、認証PLサーバ6は、携帯電話1からの要求を受け付けて、認証マトリックス取得画面を携帯電話1に送信する(S71)。
【0062】
そして、携帯電話1は、例えば図11に示す認証マトリックス取得画面81を出力装置に表示する(S72)。携帯電話1は、ユーザの指示を受け付けて、認証マトリックス取得要求を認証PLサーバ6に送信する。そして、認証PLサーバ6は、PIN入力画面を携帯電話1に送信する(S73)。
【0063】
そして、携帯電話1は、例えば図11に示すPIN入力画面82を出力装置に表示する(S74)。図示するPIN入力画面は、PIN入力欄と、送信ボタンとが表示されている。ユーザは、PIN入力欄にPINを入力し、送信ボタンをクリックする。そして、携帯電話1は、入力されたPINと個体識別番号とを、認証PLサーバ6に送信する(S75)。なお、携帯電話1は、認証PLサーバ6に各種情報を送信する際に、当該携帯電話1のメモリ等に記憶された個体識別番号を併せて送信するものとする。
【0064】
認証PLサーバ6は、PINおよび個体識別番号を受け付け、PINおよび個体識別番号とを含むマトリックス生成要求を、認証BLサーバ7に送信する(S76)。
【0065】
認証BLサーバ7のマトリックス生成部75は、マトリックス生成要求を受信し、当該要求で指定されたPINおよび個体識別番号を有するレコードが、認証テーブル73に存在するか否かを判別する(S77)。そして、認証テーブル73に存在する場合、マトリックス生成部75は、所定のアルゴリズムにより認証マトリックスを生成し、生成した認証マトリックスを認証テーブル73の対応するレコードに記憶する(S78)。なお、対象となるレコードが認証テーブル73に存在しない場合(S77)は、エラーメッセージが携帯電話1に送信される。
【0066】
本実施形態では、マトリックス生成部75は、認証マトリックスとしてn行×m列の乱数表を生成するものとする。図11に示す認証マトリックス表示画面83では、3行×3列の表(マトリックス、テーブル)に2桁の数字が設定された乱数表が生成されている。なお、マトリックス生成部75が乱数表を生成する毎に、生成される乱数表の各セルに設定される数字はランダムに変化する。
【0067】
なお、本実施形態では認証マトリックスとして乱数表を生成するが、マトリックス生成部75は、n行×m列の各セルに所定の文字(アルファベット、ひらがな、カタカナ、漢字など)、記号、図形などをそれぞれ設定した表を生成することとしてもよい。また、乱数表の各セルの文字数(図11では数字の桁数)は、パラメータにより変更可能である。
【0068】
そして、マトリックス生成部75は、生成した認証マトリックスを認証PLサーバ6に送信する(S79)。認証PLサーバ6は、生成された認証マトリックスを含む認証マトリックス表示画面を携帯電話1に送信する(S80)。携帯電話1は、認証マトリックス表示画面83(図11参照)を出力装置に表示する(S81)。
【0069】
ユーザは、携帯電話1に表示された認証マトリックスを、所定の操作(例えばカット&ペーストなど)を行うことにより、携帯電話1の記憶部に保存(記憶)する。そして、ユーザは、ユーザ端末2からVPNサーバ8を介して業務サーバ5にログインする際に、記憶部に保存しておいた認証マトリックスを用いる。
【0070】
次に、入力パターンの取得処理について説明する。ユーザAは、ユーザ端末2から業務サーバ5にログインする前に、入力パターンを取得する。
【0071】
図12は、端末2の出力装置に表示される入力パターンの一例を示したものである。また、図13は、入力パターン取得処理のシーケンス図である。まず、ユーザ端末2は、ユーザが入力したユーザIDおよびPINを含む入力パターン取得要求を認証PLサーバ6に送信する(S91)。認証PLサーバ6は、PINおよび個体識別番号を受け付け、PINおよび個体識別番号とを含む入力パターン生成要求を、認証BLサーバ7に送信する(S92)。
【0072】
認証BLサーバ7のパターン生成部76は、入力パターン生成要求を受信し、当該要求で指定されたユーザIDおよびPINを有するレコードが、認証テーブル73に存在するか否かを判別する(S93)。
【0073】
そして、認証テーブル73に存在する場合、パターン生成部76は、認証マトリックスの少なくとも1つの入力箇所(セル)を指定した入力パターンを生成し、生成した入力パターンを認証テーブル73の対応するレコードに記憶する(S94)。なお、対象となるレコードが認証テーブル73に存在しない場合(S93)は、エラーメッセージがユーザ端末2に送信される。
【0074】
入力パターンの生成方法としては、例えばパターンテーブル77を参照し、当該パターンテーブルに記憶された複数の入力パターンの中からいずれかの入力パターンをランダムに選択することにより、入力パターンを生成することが考えられる。
【0075】
パターンテーブル77には、認証マトリックスの大きさ(n行×m列)に応じて、複数の入力パターンが記憶されているものとする。なお、認証マトリックスの座標またはセルIDなどを用いて、入力箇所を指定することが考えられる。また、入力箇所が複数存在する入力パターンについては、入力箇所だけでなく入力順序も指定してあるものとする。
【0076】
なお、パターン生成部76は、パターンテーブル77を参照することなく、入力パターンを生成することとしてもよい。すなわち、パターン生成部76は、認証マトリックスの取りえる範囲の座標またはセルIDの中から任意の座標またはセルIDを所定の数だけランダムに生成して、入力パターンを生成することが考えられる。
【0077】
そして、パターン生成部76は、生成した入力パターンを認証PLサーバ6に送信する(S95)。認証PLサーバ6は、送信された入力パターンに基づいて入力パターン表示画面を生成し、ユーザ端末2に送信する(S96)。ユーザ端末2は、入力パターン表示画面(図12参照)を出力装置に表示する(S97)。
【0078】
図12に示す入力パターン表示画面には、マトリックス生成部75が生成した認証マトリックスと同じ大きさの空欄の表が、表示されている。そして、表には、パターン生成部76が生成した入力パターンで指定された入力箇所と、入力順番とが設定されている。なお、入力順番を示すために、数字と矢印を用いている。図示する例では、1番目に認証マトリックスの左上のセルに設定されたデータを、2番目に中心のセルに設定されたデータを、3番目に右下のセルに設定されたデータを、ワンタイムパスワードとすることが指示されている。
【0079】
なお、図示する表の入力パターンでは、3つのセルが入力箇所として指定されているが、入力対象のセルは3つに限らず、少なくとも1つのセルが指定されていればよい。また、図示する表では、左上から右下への対角線上の隣り合ったセルの順番で入力することが指定されているが、隣り合わない離散した複数のセルを任意の順番で入力する入力パターンであってもよい。
【0080】
このように、ユーザは、携帯電話1から認証マトリックスを取得し、ユーザ端末2から入力パターンを取得した状態で、第1の実施形態の図6で説明した、ユーザ端末2からVPNサーバ8を介して業務サーバ5にログインする。
【0081】
すなわち、ユーザ端末2は、ユーザの指示を受け付けて、認証情報入力画面を表示し、ユーザが入力したユーザIDおよびワンタイムパスワード(認証データ)とを含むアクセス要求をVPNサーバ8に送信する(S21)。
【0082】
ここで、ユーザは、認証マトリックスおよび入力パターンに基づいた認証データを、ワンタイムパスワードとして認証情報入力画面のワンタイムパスワード入力欄に入力する。具体的には、ユーザは、携帯電話1の記憶部に保存しておいた認証マトリックスを、携帯電話1の出力装置に表示する。そして、ユーザは、表示された認証マトリックスの中から、入力パターン表示画面で指定された入力箇所に対応するセルに設定されたデータを特定し、特定した各データを指定された順番でワンタイムパスワード入力欄に入力する。なお、携帯電話1に保存された認証マトリックスが図11の認証マトリックス表示画面83の場合であって、入力パターンが図12の入力パターン表示画面の場合、ユーザは「431104」の認証データを、ワンタイムパスワード入力欄に入力する。
【0083】
そして、第1の実施形態の図6のS22からS25と同様の処理を行い、S26において、認証BLサーバ4の認証部72は、アクセス要求の認証を行う。すなわち、認証部72は、アクセス要求のユーザIDに対応する認証マトリックスおよび入力パターンを認証テーブル73から特定し、特定した認証マトリックスおよび入力パターンにもとづいて前述のようにワンタイムパスワード(認証データ)を生成する。そして、認証部72は、生成したワンタイムパスワード(認証データ)と、アクセス要求に含まれるワンタイムパスワード(認証データ)とが一致するか否かの認証を行い(S26)、認証結果(許可通知、拒否通知)をプロトコル変換サーバ10に送信する(S27)。
【0084】
そして、第1の実施形態の図6のS38からS40と同様の処理を行い、これにより、ユーザ端末2は、業務サーバ5にアクセスすることができる。
【0085】
以上説明した、第1および第2の実施形態では、VPNを介してアクセスされる端末において、より高いセキュリティを確保したユーザ認証技術を提供することができる。
【0086】
すなわち、第1の実施形態では、ワンタイムパスワードを発行する際に、ユーザが所有する携帯電話の個体識別番号を用いることによる所有物確認と、ユーザが入力したPINを用いた知識による本人確認との2要素認証を行った後にワンタイムパスワードを発行し、当該ワンタイムパスワードを用いてVPNにアクセス要求を送信することにより、高度なセキュリティを実現することができる。
【0087】
また、第2の実施形態では、認証マトリックスを発行する際に、ユーザが所有する携帯電話の個体識別番号を用いることによる所有物確認と、ユーザが入力したPINを用いた知識による本人確認との2要素認証を行った後に認証マトリックスを発行し、当該認証マトリックスとユーザ端末2から取得した入力パターンとを用いて生成される認証データを、ワンタイムパスワードとして送信することにより、高度なセキュリティを実現することができる。
【0088】
また、第1および第2の実施形態では、VPNサーバ8がユーザ端末2から送信されたアクセス要求を、ユーザIDに基づいて認証BLサーバ7またはRADIUSサーバ9に振分ける。これにより、本実施形態では、複数種類の認証方法を並存することができ、ユーザは、携帯電話1を用いたワンタイムパスワードの取得、またはハードトークン3を用いたワンタイムパスワードの取得の何れかを選択することができ、ユーザの利便性を向上することができる。
【0089】
また、既存のハードトークン3およびRADIUSサーバ9を使用する既存の認証システムから、携帯電話1、認証PLサーバ6および認証BLサーバ7を用いた新たな認証システムに移行する際に、既存の認証システムを残したまま、新たな認証システムに円滑に移行することができる。
【0090】
なお、本発明は上記の実施形態に限定されるものではなく、その要旨の範囲内で数々の変形が可能である。例えば、上記第2の実施形態では、認証BLサーバ7が入力パターンを生成することとしたが、業務サーバ5が入力パターンを生成し、生成した入力パターンを認証BLサーバ7に通知することとしてもよい。
【符号の説明】
【0091】
1:携帯端末、2:ユーザ端末、3:ハードトークン、4:ファイアウォール、5:業務サーバ、6:認証PLサーバ、7:認証BLサーバ、71:パスワード生成部、72:認証部、73:認証テーブル、75:マトリックス生成部、76:パターン生成部、77:パターンテーブル、8:VPNサーバ、9:RADIUSサーバ、10:プロトコル変換サーバ、11:ネットワーク
【技術分野】
【0001】
本発明は、ワンタイムパスワードを用いてユーザの正当性を認証する認証技術に関する。
【背景技術】
【0002】
近年、フィッシング詐欺に代表される、インターネット上でのユーザID、パスワードなどの詐取・盗難(identity theft)が問題となっている。そのため、より高いセキュリティを確保し、ユーザの正当性を認証する技術が求められている。例えば、特許文献1には、ワンタイムパスワードを用いて、ユーザ認証を行うパスワード認証システムが記載されている。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2004−240637号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
特許文献1に記載のパスワード認証システムでは、携帯電話が認証サーバから取得したワンタイムパスワードを用いてユーザ認証を行う。しかしながら、特許文献1では、携帯電話は、ユーザIDを指定して認証サーバにワンタイムパスワードを要求する。そして、認証サーバは、当該ユーザIDに対するワンタイムパスワードを要求元の携帯端末に送信する。すなわち、ユーザIDが漏れた場合は、同時にワンタイムパスワードが漏れたも同義である。
【0005】
したがって、悪意のある第三者は、ユーザIDさえ取得できれば、ユーザIDを認証サーバに送ることによってワンタイムパスワードを取得できる。これにより、悪意のある第三者が、不正に取得したユーザIDとワンタイムパスワードとを使用して、例えばオンライン口座にログインし、不正な操作を行う可能性がある。
【0006】
また、パソコンやモバイル端末の普及に伴い、自宅や出張先から企業のイントラネット(社内LAN)にリモートアクセスする際に、ネットワーク経由して構築されるVPN(仮想的なプライベートネットワーク)が利用され、VPNにリモートアクセス(ログイン)する際には、ワンタイムパスワード等を用いた認証が行われている。このようなリモートアクセスする端末に対して、より高いセキュリティを確保したユーザ認証技術が求められている。
【0007】
本発明は上記事情に鑑みてなされたものであり、本発明の目的は、VPNを介してアクセスされる端末において、より高いセキュリティを確保したユーザ認証技術を提供することにある。
【課題を解決するための手段】
【0008】
上記課題を解決するために、本発明は、仮想プライベートネットワークを介してアクセスされるVPN端末の認証を行う認証システムであって、前記認証システムは、認証装置と、前記仮想プライベートネットワークを生成するVPN装置とを有し、前記認証装置は、携帯端末から端末識別情報を含むワンタイムパスワード生成要求を受け付けてワンタイムパスワードを生成し、生成したワンタイムパスワードを携帯端末に送信するとともに、生成したワンタイムパスワードを記憶手段に記憶するパスワード生成手段と、前記VPN端末から送信された、ワンタイムパスワードを含むアクセス要求を前記VPN装置を介して受信し、受信したアクセス要求のワンタイムパスワードと前記記憶手段に記憶されたワンタイムパスワードとが一致するか否かを認証する認証手段と、を有し、前記VPN装置は、前記VPN端末から送信されたアクセス要求を前記認証装置、または他の認証装置に振分ける振分手段を有する。
【0009】
また、本発明は、仮想プライベートネットワークを介してアクセスされるVPN端末の認証を行う認証方法であって、認証装置は、携帯端末から端末識別情報を含むワンタイムパスワード生成要求を受け付けてワンタイムパスワードを生成し、生成したワンタイムパスワードを携帯端末に送信するとともに、生成したワンタイムパスワードを記憶部に記憶するパスワード生成ステップと、前記VPN端末から送信された、ワンタイムパスワードを含むアクセス要求を、前記仮想プライベートネットワークを生成するVPN装置を介して受信し、受信したアクセス要求のワンタイムパスワードと前記記憶部に記憶されたワンタイムパスワードとが一致するか否かを認証する認証ステップと、を行い、前記VPN装置は、前記VPN端末から送信されたアクセス要求を前記認証装置、または他の認証装置に振分ける振分ステップを行う。
【発明の効果】
【0010】
本発明では、VPNを介してアクセスされる端末において、より高いセキュリティを確保したユーザ認証技術を提供することができる。
【図面の簡単な説明】
【0011】
【図1】本発明の第1の実施形態が適用された認証システムの全体構成図である。
【図2】第1の実施形態の認証テーブルの一例を示す図である。
【図3】各装置のハードウェア構成例を示す図である。
【図4】ワンタイムパスワードの発行処理を示すシーケンス図である。
【図5】携帯電話の出力装置に表示される各種画面の一例を示したものである。
【図6】認証BLサーバから取得したワンタイムパスワードの認証処理のシーケンス図である。
【図7】ハードトークンから取得したワンタイムパスワードの認証処理のシーケンス図である。
【図8】本発明の第2の実施形態が適用された認証システムの全体構成図である。
【図9】第2の実施形態の認証テーブルの一例を示す図である。
【図10】認証マトリックスの発行処理を示すシーケンス図である。
【図11】携帯電話の出力装置に表示される各種画面の一例を示したものである。
【図12】入力パターンの一例を示す図である。
【図13】入力パターンの発行処理を示すシーケンス図である。
【発明を実施するための形態】
【0012】
以下、本発明の実施の形態について説明する。
【0013】
[第1の実施形態]
図1は、本発明の第1の実施形態が適用された認証システムの全体構成図である。図示する認証システムは、携帯電話1(携帯端末)と、PC(Personal Computer)などのユーザ端末2(VPN端末)と、ハードトークン3と、ファイアフォール4と、業務サーバ5と、認証PL(presentation layer)サーバ6と、認証BL(business logic layer)サーバ7と、VPN(Virtual Private Network)サーバ8と、RADIUS(Remote Authentication Dial-In User Service)サーバ9と、プロトコル変換サーバ10と、を有する。
【0014】
本実施形態のユーザには、携帯電話1を用いてワンタイムパスワードを取得するユーザAと、ハードトークン3を用いてワンタイムパスワードを取得するユーザB、の2つのタイプのユーザが存在するものとする。
【0015】
ユーザAおよびユーザBは、業務サーバ5が提供するWebサイト(業務システム)のサービスを利用可能なユーザであって、あらかじめ業務サーバ5のWebサイトに登録してユーザIDを取得しているものとする。そして、ユーザAは、ユーザ端末2からVPNサーバ8を介して業務サーバ5にログイン(アクセス)する際に、携帯端末1を用いて認証PLサーバ6および認証BLサーバ7から取得したワンタイムパスワードを、ユーザ端末2に入力する。一方、ユーザBは、ユーザ端末2からVPNサーバ8を介して業務サーバ5にログインする際に、ハードトークン3から取得したワンタイムパスワードを、ユーザ端末2に入力する。
【0016】
携帯電話1は、携帯電話網やインターネットなどのネットワーク11およびファイアウォール4を介して認証PLサーバ6と接続され、ユーザ端末2は、インターネットなどのネットワーク11およびファイアウォール4を介して、VPNサーバ8および業務サーバ5に接続されるものとする。
【0017】
なお、本実施形態では、認証PLサーバ6および認証BLサーバ7を有するが、これらのサーバを統合して1つの認証サーバ(認証システム、認証装置)としてもよい。
【0018】
ユーザAが所有する携帯電話1は、ユーザの指示を受け付けるとともに、出力装置に各種の情報・画面を表示するものとする。なお、携帯電話1は、個体識別番号(端末識別情報)を送信する端末であって、図示しないメモリ等の記憶装置に個体識別番号があらかじめ記憶されているものとする。なお、個体識別番号が記憶されているメモリ等は、携帯端末1から着脱可能なICカードであってもよい。
【0019】
ユーザAおよびユーザBがそれぞれ使用するユーザ端末2は、ユーザの指示を受け付けるとともに、出力装置に各種の情報・画面を表示し、Webブラウザと同様の機能を有するものとする。
【0020】
なお、本実施形態のユーザ端末2は、VPNサーバ8のクライアント(VPNクライアント)であって、VPNサーバ8との間でネットワーク11を経由して仮想的なプライベートネットワーク(VPN)を生成し、VPN上で業務サーバ5にアクセスする。なお、ユーザ端末2には、VPNサーバ8との間でVPNを生成するためのVPNソフトウェアがインストールされているものとする。
【0021】
ユーザBが所有するハードトークン(パスワード生成器)3は、図示しないワンタイムパスワードを生成する生成部と、生成したワンタイムパスワードを表示する表示部とを有する。ハードトークンが生成するワンタイムパスワードと、RADIUSサーバ9がユーザB用に生成するワンタイムパスワードとは、常に同期がとれている。
【0022】
業務サーバ5は、ネットワークを介して各種のサービスを提供するシステムであって、オンラインバンキング、オンライントレード、ネットショッピングなどのWebサイトをユーザ端末2に提供する。
【0023】
認証PLサーバ6および認証BLサーバ7は、ワンタイムパスワードを生成して携帯端末1に送信するとともに、ユーザ端末2から送信されたアクセス要求(ログイン要求)の正当性を認証する。認証PLサーバ6は、携帯電話1に対する入出力処理を行う。
【0024】
認証BLサーバ7は、ワンタイムパスワードを生成するパスワード生成部71と、アクセス要求の正当性を認証する認証部72と、認証テーブル73とを有する。認証テーブル43には、認証に必要な各種の情報が登録される。なお、認証テーブル73については後述する。
【0025】
VPNサーバ8は、ネットワーク11を経由した仮想的なプライベートネットワーク(VPN)を構築するための装置である。本実施形態のVPNサーバ8は、ユーザ端末2から送信されたアクセス要求(ユーザID、ワンタイムパスワードなど)を、ユーザIDに基づいて認証BLサーバ7またはRADIUSサーバ9に振分ける。
【0026】
RADIUSサーバ9は、RADIUSプロトコルを用いてユーザ認証を行う装置である。RADIUSプロトコルは、VPN接続時またはRAS接続時に必要となるユーザ認証を請け負うためのプロトコルである。図示するRADIUSサーバ9は、ワンタイムパスワードを生成するパスワード生成部91と、アクセス要求の正当性を認証する認証部92と、認証テーブル93とを有する。パスワード生成部91は、ユーザ毎(ユーザID毎)に、当該ユーザが所有するハードトークン3と同期をとったワンタイムパスワードを生成する。認証テーブル93には、ハードトークン3を所有する各ユーザのユーザIDと、ユーザID毎に対応するハードトークン3と同期して生成されるワンタイムパスワードとが記憶される。
【0027】
プロトコル変換サーバ10は、VPNサーバ8から認証BLサーバ7へ送信されるデータを、RADIUSからHTTP(HyperText Transfer Protocol)にプロトコル変換する。
【0028】
次に、認証BLサーバ7の認証テーブル73について説明する。
【0029】
図2は、認証テーブル73の一例を示した図である。図示する認証テーブル73は、携帯端末1毎に、ユーザID731、PIN(Personal Identification Number)732、個体識別番号733、ワンタイムパスワード734、メールアドレス735などを有する。
【0030】
PIN732は、ユーザが設定する暗証番号である。個体識別番号733には、当該携帯電話の個体識別番号(または、携帯電話の電話番号)が設定される。ワンタイムパスワード734には、パスワード生成部71が生成したワンタイムパスワードが設定される。メールアドレス735には、ユーザのメールアドレスが設定される。
【0031】
上記説明した、携帯端末1、ユーザ端末2、業務サーバ5、認証PLサーバ6、認証BLサーバ7、VPNサーバ8、RADIUSサーバ9およびプロトコル変換サーバ10は、いずれも、例えば図3に示すようなCPU901と、メモリ902と、HDD等の外部記憶装置903と、キーボードやマウスなどの入力装置904と、ディスプレイやプリンタなどの出力装置905と、ネットワークと接続するための通信制御装置906と、を備えた汎用的なコンピュータシステムを用いることができる。このコンピュータシステムにおいて、CPU901がメモリ902上にロードされた所定のプログラムを実行することにより、各装置の各機能が実現される。なお、入力装置904および出力装置905については、各装置が必要に応じて備えるものとする。
【0032】
次に、認証PLサーバ6および認証BLサーバ7のワンタイムパスワードの発行処理について説明する。ユーザAは、ユーザ端末2から業務システム5にログインするために、携帯電話1を用いてワンタイムパスワードをあらかじめ取得しておくものとする。
【0033】
図4は、ワンタイムパスワード発行処理を示すシーケンス図である。図5は、携帯電話1の出力装置に表示される各種画面(画面遷移)の一例を示したものである。携帯電話1は、ユーザの指示を受け付けて所定のURL(Uniform Resource Locator)を指定して、認証PLサーバ6にアクセスし、例えば図5に示すメニュー画面61を出力装置に表示する。そして、携帯電話1は、ユーザの指示を受け付けて、ワンタイムパスワード発行要求を認証PLサーバ6に送信する(S11)。図示する例では、ユーザは、メニュー画面61のOTP発行ボタンをクリックするものとする。
【0034】
認証PLサーバ6は、ワンタイムパスワード発行要求を受け付けると、PIN入力画面を携帯電話1に送信する(S12)。携帯電話1は、例えば図5に示すPIN入力画面62を出力装置に表示する。ユーザは、認証BLサーバ7の認証テーブル73にあらかじめ登録したPINをPIN入力画面62に入力する。そして、携帯電話1は、入力されたPINを認証PLサーバ6に送信する(S13)。なお、携帯電話1は、認証PLサーバ6に情報を送信する際に、当該携帯電話1のメモリ等に記憶された個体識別番号を併せて送信するものとする。認証PLサーバ6は、送信されたPINおよび個体識別番号を認証BLサーバ7に送信する(S14)。
【0035】
認証BLサーバ7のパスワード生成部71は、受け付けたPINおよび個体識別番号を有するレコードが認証テーブル73に存在するか否かを判別し、当該レコードが認証テーブル73に存在する場合、所定のアルゴリズムによりワンタイムパスワードを生成し、生成したワンタイムパスワードを認証テーブル73の対応するレコードに記憶する(S15)。また、パスワード生成部71は、生成したワンタイムパスワードを認証PLサーバ6に通知する(S16)。
【0036】
なお、当該レコードが認証テーブル73に存在しない場合は、ワンタイムパスワードを生成することなくエラーメッセージを携帯電話1に送信する。
【0037】
認証PLサーバ6は、認証BLサーバ7が生成したワンタイムパスワードを含むワンタイムパスワード表示画面を携帯電話1に送信する(S17)。携帯電話1は、例えば、図5のワンタイムパスワード表示画面63を出力装置に表示する。
【0038】
なお、本実施形態の携帯端末1は、認証PLサーバ6に情報を送信する際に、個体識別番号を送信するが、固体識別番号を送信できない場合は、メール送信によりワンタイムパスワードの発行要求を認証PLサーバ6に送信することとしてもよい。この場合、認証BLサーバ7は、メールに記載されたPINおよびメールの送信元メールアドレスを有するレコードが認証テーブル73に存在するか否かを判別し、当該レコードが認証テーブル73に存在する場合、ワンタイムパスワードを生成する。
【0039】
次に、ユーザ端末2からVPNサーバ8を介して業務サーバ5にログインする際の、ワンタイムパスワードの認証処理について説明する。
【0040】
図6は、ユーザAの場合の、携帯電話1を用いて認証PLサーバ6および認証BLサーバ7から取得したワンタイムパスワードの認証処理のシーケンス図である。
【0041】
まず、ユーザ端末2は、ユーザの指示を受け付けて、認証情報入力画面を表示する。ユーザ端末2は、VPNサーバ8との間でVPNを生成するためのVPNソフトウェアがインストールされ、認証情報入力画面はVPNソフトウェアを起動することにより表示される。認証情報入力画面には、ユーザIDを入力するユーザID欄と、ワンタイムパスワードを入力するワンタイムパスワード入力欄とを有する。ユーザは、ユーザIDと、携帯電話1に表示されたワンタイムパスワード(図5参照)とを、認証情報入力画面に入力する。ユーザ端末2は、入力されたユーザIDおよびワンタイムパスワードとを含むアクセス要求をVPNサーバ8に送信する(S21)。なお、このアクセス要求のプロトコルは、RADIUSプロトコルである。
【0042】
VPNサーバ8は、アクセス要求に含まれるユーザIDを用いて、当該アクセス要求をRADISUサーバ9または認証BLサーバ7に振分ける(S22)。例えば、VPNサーバ8は、ユーザIDと認証先サーバ(RADISUサーバ9または認証BLサーバ7)とが対応付けて記憶されたテーブルを有し、当該テーブルを用いて、アクセス要求をRADISUサーバ9または認証BLサーバ7に振分けるものとする。ここでは、携帯電話1を使用するユーザAからのアクセス要求であるため、VPNサーバ8は、認証BLサーバ7に振分けるために、プロトコル変換サーバ10にアクセス要求を送信する(S23)。
【0043】
プロトコル変換サーバ10は、RADIUSプロトコルのアクセス要求を、認証BLサーバ7用のHTTPプロトコルに変換し(S24)、変換後のアクセス要求を認証BLサーバ7に送信する(S25)。
【0044】
認証BLサーバ7の認証部72は、変換後のアクセス要求のユーザIDに対応するワンタイムパスワードを認証テーブル73から取得し、当該ワンタイムパスワードとアクセス要求に含まれるワンタイムパスワードとが一致するか否かの認証を行い(S26)、認証結果(許可通知、拒否通知)をプロトコル変換サーバ10に送信する。一致する場合は、許可通知を送信し、一致しない場合は拒否通知を送信する。ここでは、認証部72は、許可通知をプロトコル変換サーバ10に送信するものとする(S27)。
【0045】
プロトコル変換サーバ10は、HTTPプロトコルの認証結果(許可通知)を、RADIUSプロトコルに変換し(S28)、変換後の許可通知をVPNサーバ8に送信する(S29)。
【0046】
VPNサーバ8は、許可通知をユーザ端末2に送信し、ユーザ端末2は、アクセス要求が許可されことを示す認証結果を表示する(S30)。これにより、ユーザ端末2は、業務サーバ5にアクセスすることができる。
【0047】
図7は、ユーザBの場合の、ハードトークン3から取得したワンタイムパスワードの認証処理のシーケンス図である。
【0048】
まず、ユーザ端末2は、ユーザの指示を受け付けて、図6で説明した認証情報入力画面を表示する。そして、ユーザは、当該認証情報入力画面にユーザIDおよびハードトークン3に表示されたワンタイムパスワードを入力する。ユーザ端末2は、入力されたユーザIDおよびワンタイムパスワードとを含むアクセス要求をVPNサーバ8に送信する(S41)。
【0049】
なお、ハードトークン3は、時刻同期方式またはカウンタ同期方式などにより、RADIUSサーバ9と同期して、RADIUSサーバ9が生成するワンタイムパスワードと同じワンタイムパスワードを生成し、ディスプレイなどの表示部に表示する。
【0050】
VPNサーバ8は、アクセス要求に含まれるユーザIDを用いて、当該アクセス要求をRADISUサーバ9または認証BLサーバ7に振分ける(S42)。ここでは、ハードトークン3を所有するユーザから送信されたアクセス要求であるため、VPNサーバ8は、RADIUSサーバ9にアクセス要求を送信する(S43)。
【0051】
RADIUSサーバ9の認証部92は、受信したアクセス要求のユーザIDに対応するワンタイムパスワードを認証テーブル93から取得し、当該ワンタイムパスワードとアクセス要求に含まれるワンタイムパスワードとが一致するか否かの認証を行い(S44)、認証結果(許可通知、拒否通知)をVPNサーバ8に送信する。ここでは、認証部92は、許可通知をVPNサーバ8に送信するものとする(S45)。
【0052】
VPNサーバ8は、許可通知をユーザ端末2に送信し、ユーザ端末2は、アクセス要求が許可されことを示す認証結果を表示する(S46)。これにより、ユーザ端末2は、業務サーバ5にアクセスすることができる。
【0053】
なお、ハードトークン3およびRADIUSサーバ9は、OATH規格(カウンタ同期方式)に準拠したワンタイムパスワード発行方式を用いても、独自のワンタイムパスワード発行方式を用いてもよい。本実施形態の認証システムを構築する再に、システム設計者は任意のワンタイムパスワード発行方式を採用することができる。
【0054】
[第2の実施形態]
図8は、本発明の第2の実施形態が適用された認証システムの全体構成図である。本実施形態の認証システムでは、認証PLサーバ6および認証BLサーバ7は、ワンタイムパスワードを生成してユーザAの携帯電話1に送信する代わりに、認証マトリックスをユーザAの携帯電話1に送信し、また、入力パターンをユーザAのユーザ端末2に送信する。
【0055】
そして、ユーザAは、携帯電話1から取得した認証マトリックスと、ユーザ端末2から取得した入力パターンとを用いた認証データを、ワンタイムパスワードとして業務サーバ5にアクセスする際の認証情報入力画面を入力する。
【0056】
本実施形態の認証BLサーバ7は、アクセス要求の正当性を認証する認証部72と、認証に必要な各種の情報が登録される認証テーブル73と、認証マトリックス生成するマトリックス生成部75と、後述する入力パターンを生成するパターン生成部76と、パターンテーブル77と、を有する。パターンテーブル77には、認証マトリックスの所定の入力箇所が指定された入力パターンが、複数記憶されている。
【0057】
なお、本実施形態の認証BLサーバ7は、第1の実施形態の認証BLサーバ7のパスワード生成部71をさらに有し、ワンタイムパスワードの生成と、認証マトリックスおよび入力パターンの生成との両方を行うこととしてもよい。また、その他の各装置については、第1の実施形態と同様であるため、ここでは説明を省略する。
【0058】
図9は、本実施形態の認証BLサーバ7の認証テーブ73の一例を示した図である。図示する認証テーブル73は、ユーザID731と、PIN732と、個体識別番号733と、認証マトリックス734と、入力パターン735とを有する。
【0059】
認証マトリックス734には、マトリックス生成部75が生成した認証マトリックスが設定される。入力パターン735には、認証マトリックスにおける所定の入力箇所(例えば、座標など)および入力順序が設定される。
【0060】
次に、認証マトリックスの取得処理について説明する。ユーザAは、携帯電話1を用いて認証マトリックスをあらかじめ取得し、携帯電話1の記憶部(不図示)に保存しておくものとする。なお、一旦取得した認証マトリックスは、次に新たな認証マトリックスを取得するまで有効であって、何度でも使用できるものとする。また、ユーザは、任意のタイミングで本処理を行うことにより、新たな認証マトリックスを取得し、携帯電話1に保存しておいた認証マトリックスを更新(変更)することができる。
【0061】
図10は、認証マトリックス取得処理のシーケンス図である。また、図11は、携帯電話1の出力装置に表示される各種画面(画面遷移)の一例を示したものである。まず、携帯電話1は、ユーザの指示を受け付けて、所定のURLを指定して認証PLサーバ6にアクセスし、認証マトリックス取得画面を要求する。そして、認証PLサーバ6は、携帯電話1からの要求を受け付けて、認証マトリックス取得画面を携帯電話1に送信する(S71)。
【0062】
そして、携帯電話1は、例えば図11に示す認証マトリックス取得画面81を出力装置に表示する(S72)。携帯電話1は、ユーザの指示を受け付けて、認証マトリックス取得要求を認証PLサーバ6に送信する。そして、認証PLサーバ6は、PIN入力画面を携帯電話1に送信する(S73)。
【0063】
そして、携帯電話1は、例えば図11に示すPIN入力画面82を出力装置に表示する(S74)。図示するPIN入力画面は、PIN入力欄と、送信ボタンとが表示されている。ユーザは、PIN入力欄にPINを入力し、送信ボタンをクリックする。そして、携帯電話1は、入力されたPINと個体識別番号とを、認証PLサーバ6に送信する(S75)。なお、携帯電話1は、認証PLサーバ6に各種情報を送信する際に、当該携帯電話1のメモリ等に記憶された個体識別番号を併せて送信するものとする。
【0064】
認証PLサーバ6は、PINおよび個体識別番号を受け付け、PINおよび個体識別番号とを含むマトリックス生成要求を、認証BLサーバ7に送信する(S76)。
【0065】
認証BLサーバ7のマトリックス生成部75は、マトリックス生成要求を受信し、当該要求で指定されたPINおよび個体識別番号を有するレコードが、認証テーブル73に存在するか否かを判別する(S77)。そして、認証テーブル73に存在する場合、マトリックス生成部75は、所定のアルゴリズムにより認証マトリックスを生成し、生成した認証マトリックスを認証テーブル73の対応するレコードに記憶する(S78)。なお、対象となるレコードが認証テーブル73に存在しない場合(S77)は、エラーメッセージが携帯電話1に送信される。
【0066】
本実施形態では、マトリックス生成部75は、認証マトリックスとしてn行×m列の乱数表を生成するものとする。図11に示す認証マトリックス表示画面83では、3行×3列の表(マトリックス、テーブル)に2桁の数字が設定された乱数表が生成されている。なお、マトリックス生成部75が乱数表を生成する毎に、生成される乱数表の各セルに設定される数字はランダムに変化する。
【0067】
なお、本実施形態では認証マトリックスとして乱数表を生成するが、マトリックス生成部75は、n行×m列の各セルに所定の文字(アルファベット、ひらがな、カタカナ、漢字など)、記号、図形などをそれぞれ設定した表を生成することとしてもよい。また、乱数表の各セルの文字数(図11では数字の桁数)は、パラメータにより変更可能である。
【0068】
そして、マトリックス生成部75は、生成した認証マトリックスを認証PLサーバ6に送信する(S79)。認証PLサーバ6は、生成された認証マトリックスを含む認証マトリックス表示画面を携帯電話1に送信する(S80)。携帯電話1は、認証マトリックス表示画面83(図11参照)を出力装置に表示する(S81)。
【0069】
ユーザは、携帯電話1に表示された認証マトリックスを、所定の操作(例えばカット&ペーストなど)を行うことにより、携帯電話1の記憶部に保存(記憶)する。そして、ユーザは、ユーザ端末2からVPNサーバ8を介して業務サーバ5にログインする際に、記憶部に保存しておいた認証マトリックスを用いる。
【0070】
次に、入力パターンの取得処理について説明する。ユーザAは、ユーザ端末2から業務サーバ5にログインする前に、入力パターンを取得する。
【0071】
図12は、端末2の出力装置に表示される入力パターンの一例を示したものである。また、図13は、入力パターン取得処理のシーケンス図である。まず、ユーザ端末2は、ユーザが入力したユーザIDおよびPINを含む入力パターン取得要求を認証PLサーバ6に送信する(S91)。認証PLサーバ6は、PINおよび個体識別番号を受け付け、PINおよび個体識別番号とを含む入力パターン生成要求を、認証BLサーバ7に送信する(S92)。
【0072】
認証BLサーバ7のパターン生成部76は、入力パターン生成要求を受信し、当該要求で指定されたユーザIDおよびPINを有するレコードが、認証テーブル73に存在するか否かを判別する(S93)。
【0073】
そして、認証テーブル73に存在する場合、パターン生成部76は、認証マトリックスの少なくとも1つの入力箇所(セル)を指定した入力パターンを生成し、生成した入力パターンを認証テーブル73の対応するレコードに記憶する(S94)。なお、対象となるレコードが認証テーブル73に存在しない場合(S93)は、エラーメッセージがユーザ端末2に送信される。
【0074】
入力パターンの生成方法としては、例えばパターンテーブル77を参照し、当該パターンテーブルに記憶された複数の入力パターンの中からいずれかの入力パターンをランダムに選択することにより、入力パターンを生成することが考えられる。
【0075】
パターンテーブル77には、認証マトリックスの大きさ(n行×m列)に応じて、複数の入力パターンが記憶されているものとする。なお、認証マトリックスの座標またはセルIDなどを用いて、入力箇所を指定することが考えられる。また、入力箇所が複数存在する入力パターンについては、入力箇所だけでなく入力順序も指定してあるものとする。
【0076】
なお、パターン生成部76は、パターンテーブル77を参照することなく、入力パターンを生成することとしてもよい。すなわち、パターン生成部76は、認証マトリックスの取りえる範囲の座標またはセルIDの中から任意の座標またはセルIDを所定の数だけランダムに生成して、入力パターンを生成することが考えられる。
【0077】
そして、パターン生成部76は、生成した入力パターンを認証PLサーバ6に送信する(S95)。認証PLサーバ6は、送信された入力パターンに基づいて入力パターン表示画面を生成し、ユーザ端末2に送信する(S96)。ユーザ端末2は、入力パターン表示画面(図12参照)を出力装置に表示する(S97)。
【0078】
図12に示す入力パターン表示画面には、マトリックス生成部75が生成した認証マトリックスと同じ大きさの空欄の表が、表示されている。そして、表には、パターン生成部76が生成した入力パターンで指定された入力箇所と、入力順番とが設定されている。なお、入力順番を示すために、数字と矢印を用いている。図示する例では、1番目に認証マトリックスの左上のセルに設定されたデータを、2番目に中心のセルに設定されたデータを、3番目に右下のセルに設定されたデータを、ワンタイムパスワードとすることが指示されている。
【0079】
なお、図示する表の入力パターンでは、3つのセルが入力箇所として指定されているが、入力対象のセルは3つに限らず、少なくとも1つのセルが指定されていればよい。また、図示する表では、左上から右下への対角線上の隣り合ったセルの順番で入力することが指定されているが、隣り合わない離散した複数のセルを任意の順番で入力する入力パターンであってもよい。
【0080】
このように、ユーザは、携帯電話1から認証マトリックスを取得し、ユーザ端末2から入力パターンを取得した状態で、第1の実施形態の図6で説明した、ユーザ端末2からVPNサーバ8を介して業務サーバ5にログインする。
【0081】
すなわち、ユーザ端末2は、ユーザの指示を受け付けて、認証情報入力画面を表示し、ユーザが入力したユーザIDおよびワンタイムパスワード(認証データ)とを含むアクセス要求をVPNサーバ8に送信する(S21)。
【0082】
ここで、ユーザは、認証マトリックスおよび入力パターンに基づいた認証データを、ワンタイムパスワードとして認証情報入力画面のワンタイムパスワード入力欄に入力する。具体的には、ユーザは、携帯電話1の記憶部に保存しておいた認証マトリックスを、携帯電話1の出力装置に表示する。そして、ユーザは、表示された認証マトリックスの中から、入力パターン表示画面で指定された入力箇所に対応するセルに設定されたデータを特定し、特定した各データを指定された順番でワンタイムパスワード入力欄に入力する。なお、携帯電話1に保存された認証マトリックスが図11の認証マトリックス表示画面83の場合であって、入力パターンが図12の入力パターン表示画面の場合、ユーザは「431104」の認証データを、ワンタイムパスワード入力欄に入力する。
【0083】
そして、第1の実施形態の図6のS22からS25と同様の処理を行い、S26において、認証BLサーバ4の認証部72は、アクセス要求の認証を行う。すなわち、認証部72は、アクセス要求のユーザIDに対応する認証マトリックスおよび入力パターンを認証テーブル73から特定し、特定した認証マトリックスおよび入力パターンにもとづいて前述のようにワンタイムパスワード(認証データ)を生成する。そして、認証部72は、生成したワンタイムパスワード(認証データ)と、アクセス要求に含まれるワンタイムパスワード(認証データ)とが一致するか否かの認証を行い(S26)、認証結果(許可通知、拒否通知)をプロトコル変換サーバ10に送信する(S27)。
【0084】
そして、第1の実施形態の図6のS38からS40と同様の処理を行い、これにより、ユーザ端末2は、業務サーバ5にアクセスすることができる。
【0085】
以上説明した、第1および第2の実施形態では、VPNを介してアクセスされる端末において、より高いセキュリティを確保したユーザ認証技術を提供することができる。
【0086】
すなわち、第1の実施形態では、ワンタイムパスワードを発行する際に、ユーザが所有する携帯電話の個体識別番号を用いることによる所有物確認と、ユーザが入力したPINを用いた知識による本人確認との2要素認証を行った後にワンタイムパスワードを発行し、当該ワンタイムパスワードを用いてVPNにアクセス要求を送信することにより、高度なセキュリティを実現することができる。
【0087】
また、第2の実施形態では、認証マトリックスを発行する際に、ユーザが所有する携帯電話の個体識別番号を用いることによる所有物確認と、ユーザが入力したPINを用いた知識による本人確認との2要素認証を行った後に認証マトリックスを発行し、当該認証マトリックスとユーザ端末2から取得した入力パターンとを用いて生成される認証データを、ワンタイムパスワードとして送信することにより、高度なセキュリティを実現することができる。
【0088】
また、第1および第2の実施形態では、VPNサーバ8がユーザ端末2から送信されたアクセス要求を、ユーザIDに基づいて認証BLサーバ7またはRADIUSサーバ9に振分ける。これにより、本実施形態では、複数種類の認証方法を並存することができ、ユーザは、携帯電話1を用いたワンタイムパスワードの取得、またはハードトークン3を用いたワンタイムパスワードの取得の何れかを選択することができ、ユーザの利便性を向上することができる。
【0089】
また、既存のハードトークン3およびRADIUSサーバ9を使用する既存の認証システムから、携帯電話1、認証PLサーバ6および認証BLサーバ7を用いた新たな認証システムに移行する際に、既存の認証システムを残したまま、新たな認証システムに円滑に移行することができる。
【0090】
なお、本発明は上記の実施形態に限定されるものではなく、その要旨の範囲内で数々の変形が可能である。例えば、上記第2の実施形態では、認証BLサーバ7が入力パターンを生成することとしたが、業務サーバ5が入力パターンを生成し、生成した入力パターンを認証BLサーバ7に通知することとしてもよい。
【符号の説明】
【0091】
1:携帯端末、2:ユーザ端末、3:ハードトークン、4:ファイアウォール、5:業務サーバ、6:認証PLサーバ、7:認証BLサーバ、71:パスワード生成部、72:認証部、73:認証テーブル、75:マトリックス生成部、76:パターン生成部、77:パターンテーブル、8:VPNサーバ、9:RADIUSサーバ、10:プロトコル変換サーバ、11:ネットワーク
【特許請求の範囲】
【請求項1】
仮想プライベートネットワークを介してアクセスされるVPN端末の認証を行う認証システムであって、
前記認証システムは、認証装置と、前記仮想プライベートネットワークを生成するVPN装置とを有し、
前記認証装置は、
携帯端末から端末識別情報を含むワンタイムパスワード生成要求を受け付けてワンタイムパスワードを生成し、生成したワンタイムパスワードを携帯端末に送信するとともに、生成したワンタイムパスワードを記憶手段に記憶するパスワード生成手段と、
前記VPN端末から送信された、ワンタイムパスワードを含むアクセス要求を前記VPN装置を介して受信し、受信したアクセス要求のワンタイムパスワードと前記記憶手段に記憶されたワンタイムパスワードとが一致するか否かを認証する認証手段と、を有し、
前記VPN装置は、
前記VPN端末から送信されたアクセス要求を前記認証装置、または他の認証装置に振分ける振分手段を有すること、
を特徴とする認証システム。
【請求項2】
請求項1記載の認証システムであって、
前記VPN装置および前記認証装置との間で送受信されるデータのプロトコルを変換するプロトコル変換装置を、さらに有し、
前記プロトコル変換装置は、前記VPN装置が前記認証装置に振分けたアクセス要求を、前記認証装置用のプロトコルに変換すること
を特徴とする認証システム。
【請求項3】
請求項1または請求項2記載の認証システムであって、
前記認証装置は、
携帯端末からの要求を受け付けて認証マトリックスを生成し、生成した認証マトリックスを携帯端末に送信するとともに、生成したマトリックスを前記記憶手段に記憶するマトリックス生成手段と、
VPN端末からの要求を受け付けて、前記認証マトリックスを基にした所定の入力方法が指定された入力パターンを生成し、生成した入力パターンを前記記憶手段に記憶するとともにVPN端末に送信するパターン生成手段と、をさらに有し、
前記認証手段は、前記携帯端末に送信された認証マトリックスと前記VPN端末に送信された入力パターンとに基づいて入力された認証データを含むアクセス要求を前記VPN装置を介してVPN端末から受信し、受信したアクセス要求の認証データと前記記憶手段に記憶された認証マトリックスおよび入力パターンから生成される認証データとが一致するか否かを認証すること
を特徴とする認証システム。
【請求項4】
請求項3記載の認証システムであって、
前記認証マトリックスは、乱数表であって、
前記入力パターンには、前記認証マトリックスの少なくとも1つの入力箇所と、入力箇所の入力順番とが指定されていること
を特徴とする認証システム。
【請求項5】
仮想プライベートネットワークを介してアクセスされるVPN端末の認証を行う認証方法であって、
認証装置は、
携帯端末から端末識別情報を含むワンタイムパスワード生成要求を受け付けてワンタイムパスワードを生成し、生成したワンタイムパスワードを携帯端末に送信するとともに、生成したワンタイムパスワードを記憶部に記憶するパスワード生成ステップと、
前記VPN端末から送信された、ワンタイムパスワードを含むアクセス要求を、前記仮想プライベートネットワークを生成するVPN装置を介して受信し、受信したアクセス要求のワンタイムパスワードと前記記憶部に記憶されたワンタイムパスワードとが一致するか否かを認証する認証ステップと、を行い、
前記VPN装置は、
前記VPN端末から送信されたアクセス要求を前記認証装置、または他の認証装置に振分ける振分ステップを行うこと、
を特徴とする認証方法。
【請求項6】
請求項5記載の認証方法であって、
プロトコル変換装置は、前記VPN装置が前記認証装置に振分けたアクセス要求を、前記認証装置用のプロトコルに変換する変換する変換ステップを行うこと
を特徴とする認証方法。
【請求項7】
請求項5または請求項6記載の認証方法であって、
前記認証装置は、
携帯端末からの要求を受け付けて認証マトリックスを生成し、生成した認証マトリックスを携帯端末に送信するとともに、生成したマトリックスを前記記憶部に記憶するマトリックス生成ステップと、
VPN端末からの要求を受け付けて、前記認証マトリックスを基にした所定の入力方法が指定された入力パターンを生成し、生成した入力パターンを前記記憶部に記憶するとともにVPN端末に送信するパターン生成ステップと、をさらに行い、
前記認証ステップは、前記携帯端末に送信された認証マトリックスと前記VPN端末に送信された入力パターンとに基づいて入力された認証データを含むアクセス要求を前記VPN装置を介してVPN端末から受信し、受信したアクセス要求の認証データと、前記記憶部に記憶された認証マトリックスおよび入力パターンから生成される認証データとが一致するか否かを認証すること
を特徴とする認証方法。
【請求項8】
請求項7記載の認証方法であって、
前記認証マトリックスは、乱数表であって、
前記入力パターンには、前記認証マトリックスの少なくとも1つの入力箇所と、入力箇所の入力順番とが指定されていること
を特徴とする認証方法。
【請求項1】
仮想プライベートネットワークを介してアクセスされるVPN端末の認証を行う認証システムであって、
前記認証システムは、認証装置と、前記仮想プライベートネットワークを生成するVPN装置とを有し、
前記認証装置は、
携帯端末から端末識別情報を含むワンタイムパスワード生成要求を受け付けてワンタイムパスワードを生成し、生成したワンタイムパスワードを携帯端末に送信するとともに、生成したワンタイムパスワードを記憶手段に記憶するパスワード生成手段と、
前記VPN端末から送信された、ワンタイムパスワードを含むアクセス要求を前記VPN装置を介して受信し、受信したアクセス要求のワンタイムパスワードと前記記憶手段に記憶されたワンタイムパスワードとが一致するか否かを認証する認証手段と、を有し、
前記VPN装置は、
前記VPN端末から送信されたアクセス要求を前記認証装置、または他の認証装置に振分ける振分手段を有すること、
を特徴とする認証システム。
【請求項2】
請求項1記載の認証システムであって、
前記VPN装置および前記認証装置との間で送受信されるデータのプロトコルを変換するプロトコル変換装置を、さらに有し、
前記プロトコル変換装置は、前記VPN装置が前記認証装置に振分けたアクセス要求を、前記認証装置用のプロトコルに変換すること
を特徴とする認証システム。
【請求項3】
請求項1または請求項2記載の認証システムであって、
前記認証装置は、
携帯端末からの要求を受け付けて認証マトリックスを生成し、生成した認証マトリックスを携帯端末に送信するとともに、生成したマトリックスを前記記憶手段に記憶するマトリックス生成手段と、
VPN端末からの要求を受け付けて、前記認証マトリックスを基にした所定の入力方法が指定された入力パターンを生成し、生成した入力パターンを前記記憶手段に記憶するとともにVPN端末に送信するパターン生成手段と、をさらに有し、
前記認証手段は、前記携帯端末に送信された認証マトリックスと前記VPN端末に送信された入力パターンとに基づいて入力された認証データを含むアクセス要求を前記VPN装置を介してVPN端末から受信し、受信したアクセス要求の認証データと前記記憶手段に記憶された認証マトリックスおよび入力パターンから生成される認証データとが一致するか否かを認証すること
を特徴とする認証システム。
【請求項4】
請求項3記載の認証システムであって、
前記認証マトリックスは、乱数表であって、
前記入力パターンには、前記認証マトリックスの少なくとも1つの入力箇所と、入力箇所の入力順番とが指定されていること
を特徴とする認証システム。
【請求項5】
仮想プライベートネットワークを介してアクセスされるVPN端末の認証を行う認証方法であって、
認証装置は、
携帯端末から端末識別情報を含むワンタイムパスワード生成要求を受け付けてワンタイムパスワードを生成し、生成したワンタイムパスワードを携帯端末に送信するとともに、生成したワンタイムパスワードを記憶部に記憶するパスワード生成ステップと、
前記VPN端末から送信された、ワンタイムパスワードを含むアクセス要求を、前記仮想プライベートネットワークを生成するVPN装置を介して受信し、受信したアクセス要求のワンタイムパスワードと前記記憶部に記憶されたワンタイムパスワードとが一致するか否かを認証する認証ステップと、を行い、
前記VPN装置は、
前記VPN端末から送信されたアクセス要求を前記認証装置、または他の認証装置に振分ける振分ステップを行うこと、
を特徴とする認証方法。
【請求項6】
請求項5記載の認証方法であって、
プロトコル変換装置は、前記VPN装置が前記認証装置に振分けたアクセス要求を、前記認証装置用のプロトコルに変換する変換する変換ステップを行うこと
を特徴とする認証方法。
【請求項7】
請求項5または請求項6記載の認証方法であって、
前記認証装置は、
携帯端末からの要求を受け付けて認証マトリックスを生成し、生成した認証マトリックスを携帯端末に送信するとともに、生成したマトリックスを前記記憶部に記憶するマトリックス生成ステップと、
VPN端末からの要求を受け付けて、前記認証マトリックスを基にした所定の入力方法が指定された入力パターンを生成し、生成した入力パターンを前記記憶部に記憶するとともにVPN端末に送信するパターン生成ステップと、をさらに行い、
前記認証ステップは、前記携帯端末に送信された認証マトリックスと前記VPN端末に送信された入力パターンとに基づいて入力された認証データを含むアクセス要求を前記VPN装置を介してVPN端末から受信し、受信したアクセス要求の認証データと、前記記憶部に記憶された認証マトリックスおよび入力パターンから生成される認証データとが一致するか否かを認証すること
を特徴とする認証方法。
【請求項8】
請求項7記載の認証方法であって、
前記認証マトリックスは、乱数表であって、
前記入力パターンには、前記認証マトリックスの少なくとも1つの入力箇所と、入力箇所の入力順番とが指定されていること
を特徴とする認証方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【公開番号】特開2011−164837(P2011−164837A)
【公開日】平成23年8月25日(2011.8.25)
【国際特許分類】
【出願番号】特願2010−25502(P2010−25502)
【出願日】平成22年2月8日(2010.2.8)
【出願人】(000155469)株式会社野村総合研究所 (1,067)
【Fターム(参考)】
【公開日】平成23年8月25日(2011.8.25)
【国際特許分類】
【出願日】平成22年2月8日(2010.2.8)
【出願人】(000155469)株式会社野村総合研究所 (1,067)
【Fターム(参考)】
[ Back to top ]