認証システムおよび認証方法
【課題】ICカードを利用するシステムにおける不正利用を低減し、不正利用が行われても事後的に不正利用の有無を追跡可能なシステムおよび方法を提供する。
【解決手段】ICカードは、利用者ごとの第1の識別子を2つ以上格納する。ICカードに対してデータを読み書き可能なクライアント端末に対する認証処理を実施するシステムは、第2の識別子を格納する手段と、クライアント端末から受信した認証要求データに基づいて利用者の認証可否を判定する手段と、クライアント端末から送信される最新日付の第1の識別子を受信する手段と、受信した最新日付の第1の識別子と当該利用者に関連付けられる最新日付の第2の識別子とを照合する手段と、乱数生成手段と、生成された乱数を第1の識別子としてICカードに書き込むためにクライアント端末に送信し、当該乱数を第2の識別子として格納手段に格納する手段と、を含む。
【解決手段】ICカードは、利用者ごとの第1の識別子を2つ以上格納する。ICカードに対してデータを読み書き可能なクライアント端末に対する認証処理を実施するシステムは、第2の識別子を格納する手段と、クライアント端末から受信した認証要求データに基づいて利用者の認証可否を判定する手段と、クライアント端末から送信される最新日付の第1の識別子を受信する手段と、受信した最新日付の第1の識別子と当該利用者に関連付けられる最新日付の第2の識別子とを照合する手段と、乱数生成手段と、生成された乱数を第1の識別子としてICカードに書き込むためにクライアント端末に送信し、当該乱数を第2の識別子として格納手段に格納する手段と、を含む。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、認証システムおよび認証方法に関する。より詳細には、被認証者のICカード等に記録されている認証用データとサーバが保持する認証用データとの照合を行うことで認証を行う認証システムおよび認証方法に関する。
【背景技術】
【0002】
ICカードは、プラスチック製カード等に極めて薄い半導体集積回路(ICチップ)を埋め込み、情報を記録できるようにしたカードであり、データの暗号化なども可能なため従来の磁気カードに比べて偽造にも強いことが知られている。
【0003】
このようなICカードは、様々な用途に利用されている。例えば、金融機関が提供するインターネットバンキングなどのシステムでは、よりセキュリティを高めるために、IDとパスワードによる認証に加えて、ICカードを利用者に配布しておき、そのICカードに格納されている認証用情報(例えば、電子証明書)を利用者端末に接続した読み取り機で読み込んで、当該システムに送信して認証を行うことが行われている。
【0004】
また、電車などの公共交通機関が発行するICカードは、出発地点と到着地点に設けられた所定端末にICカードをかざす(または接触させる)ことにより、利用料金の計算がセンター局において計算されて課金されるとともに利用情報などのデータがICカードに書き込まれる仕組みが利用されている(特許文献1)。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特許第3883548号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
しかしながら、たとえICカードを利用したとしても偽造カードによる不正利用を完全に防ぐことはできないし、また、正規カードによる不正利用を完全に防ぐことはできない。後者のケースでは、正規の利用者が法人の場合、法人内部の正規の利用者以外の者による「なりすまし」でインターネットバンキングなどのシステムを不正利用されてしまうことが想定される。
【0007】
従来技術では、第三者がICカードを偽造し、かつ正規の認証情報(例えば、パスワード)を入手してしまった場合に不正利用を完全に防ぐことは困難である。また、従来技術では、法人内部の正規の利用者以外の者による「なりすまし」の場合には、ICカードは偽造されておらず、しかも正規の認証情報を使用しているため、不正利用の有無を判別することは困難であった。仮にそのような「なりすまし」による不正利用が疑われる場合にも、システム利用時に通信データが盗聴されるなどして偽造されたICカードで不正利用がなされたのか、あるいは、法人内部の正規の利用者以外の者による正規のICカードによる不正利用なのかを判別することは困難であった。
【0008】
また、特許文献1に開示のシステムでは、そのシステム利用の開始時および終了時に利用者がICカードを適切に使用することが想定されているが、インターネットバンキングなどを始めとする電子商取引の場合、システム終了時のトリガーを明確に判別することは難しい(例えば、表示画面を強制終了する場合)。
【0009】
本発明は、このような問題に鑑みてなされたもので、ICカードを利用するシステムにおける不正利用の被害を低減し、仮に不正利用が行われる場合にも事後的に不正利用の有無を追跡可能な認証システムおよび認証方法を提供することを目的とする。また、電子商取引の場合のように、システム利用の終了時点が明確に判別できないような場合であっても情報記録が適切に行える認証システムおよび認証方法を提供することを目的とする。
【課題を解決するための手段】
【0010】
上記の課題を解決するために、本発明に係る認証システムは、ICカードに対してデータを読み書き可能なクライアント端末に対する認証処理を実施する認証システムであって、前記ICカードは、利用者ごとの第1の識別子を2つ以上格納する。前記認証システムは、1つまたは複数の、利用者ごとの前記第2の識別子を格納する格納手段と、前記クライアント端末から認証要求データを受信し、該認証要求データに基づいて利用者の認証可否を判定する受付・処理手段と、認証可と判定する場合に、前記クライアント端末に対して、前記ICカードに記憶されている前記第1の識別子のうち最新日付の第1の識別子を読み出して送信するよう要求する命令を送信し、該命令に応答して前記クライアント端末から送信される前記最新日付の第1の識別子を受信する要求・応答受信手段と、前記利用者に関連付けられる前記第2の識別子のうち最新日付の第2の識別子を前記格納手段から取得し、受信した前記最新日付の第1の識別子と前記取得した第2の識別子とを照合して両者が一致するか否かを判定する突合手段と、前記第1の識別子および前記第2の識別子として使用されることになる乱数を生成する乱数生成手段と、前記第1の識別子および前記第2の識別子が一致すると判定された場合に、生成された前記乱数を前記第1の識別子として前記クライアント端末に対して送信し、前記クライアント端末から前記第1の識別子の前記ICカードへの書き込み成功を示すデータを受信した後、前記乱数を前記第2の識別子として前記格納手段に格納する識別子送受信手段と、前記第1の識別子および前記第2の識別子の格納後に、実際のサービス画面を前記クライアント端末に提供する手段と、を備えたことを特徴とする。
【0011】
また、本発明に係る方法は、ICカードに対してデータを読み書き可能なクライアント端末に対する認証処理を実施する認証システムにおける方法であって、前記ICカードは、利用者ごとの第1の識別子を2つ以上格納し、前記認証システムは、1つまたは複数の、利用者ごとの前記第2の識別子を格納する格納手段を含む。前記方法は、前記クライアント端末から認証要求データを受信し、該認証要求データに基づいて利用者の認証可否を判定するステップと、認証可と判定する場合に、前記クライアント端末に対して、前記ICカードに記憶されている前記第1の識別子のうち最新日付の第1の識別子を読み出して送信するよう要求する命令を送信し、該命令に応答して前記クライアント端末から送信される前記最新日付の第1の識別子を受信するステップと、前記利用者に関連付けられる前記第2の識別子のうち最新日付の第2の識別子を前記格納手段から取得し、受信した前記最新日付の第1の識別子と前記取得した第2の識別子とを照合して両者が一致するか否かを判定するステップと、前記第1の識別子および前記第2の識別子として使用されることになる乱数を生成するステップと、前記第1の識別子および前記第2の識別子が一致すると判定された場合に、生成された前記乱数を前記第1の識別子として前記クライアント端末に対して送信し、前記クライアント端末から前記第1の識別子の前記ICカードへの書き込み成功を示すデータを受信した後、前記乱数を前記第2の識別子として前記格納手段に格納するステップと、前記第1の識別子および前記第2の識別子の格納後に、実際のサービス画面を前記クライアント端末に提供するステップと、を含むことを特徴とする。
【発明の効果】
【0012】
本発明は、偽造カードによる不正利用の被害を低減する効果を奏する。また、本発明は、法人内部の正規の利用者以外の者による不正利用などの正規カードによる不正利用が発生する場合に事後的に不正利用の有無を追跡できるという効果を奏する。
【図面の簡単な説明】
【0013】
【図1】本発明の一実施形態に係る履歴整合認証システムの概念を示す図である。
【図2】本発明に係る履歴整合認証システムの機能モジュールを示すブロック図である。
【図3】本発明に係る履歴整合認証システムの認証の仕組みを示すフロー図である。
【図4】ICカードに記憶されている操作履歴IDデータのアップデートを示す図である。
【図5】本発明に係るICカードの例示的なデータ記録構造を示す図である。
【発明を実施するための形態】
【0014】
本発明の例示的な実施形態について詳細に説明する。以下の説明では、法人向けインターネットバンキングシステム100(または、履歴整合認証システム100ともいう)を利用する場合を例として説明するが、本発明の要旨はそれ以外の用途にも適用可能であることは言うまでもない。
【0015】
図1は、本発明の例示的な実施形態に係る履歴整合認証システム100の概念を示す図であり、少なくとも利用者端末101、ICカード102、ネットワーク103、Webサーバ104および業務アプリケーション(AP)サーバ105を含む構成になっている。
【0016】
利用者端末101は、Webブラウザなどを介してネットワークに接続可能なパーソナルコンピュータとすることが可能であり、かつカードリーダー・ライターと接続して、ICカード102が格納するデータを読み出し、あるいはICカード102に対して所定のデータを書き込むことができる。また、利用者端末101は、ネットワーク103を介して履歴整合認証システム100と接続し、データ送受信を行うことができる。
【0017】
ICカード102は、従来のICカードとすることができる。なお、本明細書では、ICカードを例にして説明するが、利用者端末101との間でデータ伝送が可能であって、データを格納することができれば他の記憶媒体であっても構わない。また、ネットワーク103は、インターネット、専用線などに代表されるネットワークである。
【0018】
履歴整合認証システム100は、その内部にWebサーバ104および業務APサーバ105を有している。Webサーバ104は、ネットワーク103を介して利用者端末101から各種コマンドやデータを受信して業務APサーバ105に伝送し、かつ業務APサーバ105から受信したログイン画面やインターネットバンキングの実際のサービス画面を利用者端末101に対して提供する。業務APサーバ105は、利用者端末101からの各種コマンドやデータを処理するとともに、当該コマンドに応答してログイン画面やインターネットバンキングの実際のサービス画面を生成してWebサーバ104に送信する。なお、図1の例示的な構成ではWebサーバ104および業務APサーバ105は、一つのみ記載しているが複数個の構成とすることもできる。あるいは、例えば、業務APサーバ105について複数個のサーバの冗長化構成としたり、認証サーバやDBサーバを別途設けることによって機能ごとにサーバを分割する構成としたりすることもでき、図1に示した構成に限定されることはない。
【0019】
ここで、Webサーバ104および業務APサーバ105のハードウェア構成について図1を参照して説明する。なお、両者のハードウェア構成は従来技術であるので、業務APサーバ105を代表させて説明する。
【0020】
業務APサーバ105は、制御部111、主記憶部112、補助記憶部113、入力部114、出力部115および外部との送受信を行うインターフェース(I/F)を含む。これらの構成要素はバスなどで相互に接続されており、制御部111によって各構成要素112〜115は統括して制御される。
【0021】
制御部111は、中央処理装置(CPU:Central Processing Unit)とも呼ばれ、上述したように各構成要素112〜115の制御やデータの演算を行い、また、補助記憶部113に格納されている各種プログラムを主記憶部112に読み出して実行する。主記憶部112は、メインメモリとも呼ばれ、業務APサーバ105が受信した各種コマンドやデータ、コンピュータ実行可能な命令および当該命令による演算処理後のデータなどを記憶する。
【0022】
補助記憶部113は、ハードディスク(HDD)などに代表される記憶装置であり、データやプログラムを長期的に保存する際に使用される。主記憶部112は、補助記憶部113よりも記憶容量が相対的に小さいため、一時的なデータの記憶や演算処理などに使用されるのに対し、補助記憶部113は、必要なデータや情報の長期的な記憶・保存のために使用される。つまり、制御部111がプログラムを実行してデータの演算を行う場合には、補助記憶部113から必要なデータやプログラムを主記憶部112に読み出し、演算結果のデータを長期的に記憶・保存するには制御部111が補助記憶部113に演算結果のデータを書き込むこととなる。
【0023】
入力部114は、ネットワーク103経由で利用者端末101から受信した各種コマンドやデータを、業務APサーバ105に入力する。入力された各種コマンドやデータは、主記憶部112に一時的に記憶される。また、入力部114は、システムオペレータより各種コマンドや入力データ(各種マスタ、テーブルなど)を受け付けるインターフェース(入力画面などのアプリケーションプログラム)を提供する。
【0024】
出力部115は、業務APサーバ105において生成されるログイン画面や実際のサービス画面をWebサーバ104に対して送信し、Webサーバ104から当該画面は利用者端末102に提供される。また、出力部205は、業務APサーバ105によって処理されたデータを表示する表示画面も提供する。
【0025】
図2は、本発明の例示的な実施形態に係る履歴整合認証システム100の機能モジュールを示すブロック図である。図2に示すように、本システムは、少なくともログイン画面提供部201、認証要求受付・処理部202、操作履歴要求・応答受信部203、操作履歴突合部204、最新操作履歴ID送受信部205、サービス画面提供部206、乱数生成部207、利用者マスタ220、操作履歴DB221およびICカードマスタ222を含んでいる。なお、インターネットバンキングシステム100において提供される各種サービスで使用される銀行マスタ、口座マスタ、通貨マスタなどのマスタ群についても同様に含んでいる。
【0026】
ログイン画面提供部201は、利用者端末101からアクセス要求(例えば、インターネットバンキングシステム100へのアクセス要求)を受信すると、所定のログイン画面および所定の情報(例えば、ランダムに生成された文字列、等)をWebサーバ104を介して利用者端末101に提供する。この所定の情報は、利用者端末101の識別のために送信されたデータであり、以下に説明するように暗号化された上で利用者端末101から履歴整合認証システム100に返信される。
【0027】
認証要求受付・処理部202は、ICカード102に格納されている情報を基にした認証要求を利用者端末101から受信したか否かを判定する。この認証要求には、上述した所定の情報をICカード102が格納している秘密鍵を利用して暗号化した情報と、ICカード102が格納している電子証明書とが含まれる。そして、この認証要求を受信したと判定した場合には、認証要求受付・処理部202は、当該認証要求に基づいて利用者端末101が正規の利用者か否か(認証可または認証不可)を利用者マスタ220を参照して判定する。ここで、利用者マスタ220は、本発明に係る履歴整合認証システム100を利用する利用者のユーザ情報(例えば、ユーザID、ICカードの情報、等)を記憶するマスタである。なお、ここまで説明した実施形態以外の周知の実施形態にて初期のユーザ認証を行うこともできる。
【0028】
操作履歴要求・応答受信部203は、利用者端末101に対してICカード102に記憶されている最新の操作履歴IDを読み出して送信するよう要求する命令を送信する。ここで、操作履歴IDとは、各利用者が本インターネットバンキングシステム100のサービス利用の都度、利用開始時点(ログイン操作による認証成立後)において、利用者ごとかつ操作(ログイン操作からログアウト等で利用終了するまでを指す)ごとに付与される識別子のことを指す。そして、操作履歴要求・応答受信部203は、利用者端末101がICカード102から読み出した最新の操作履歴IDをネットワーク103経由で受信する。
【0029】
操作履歴突合部204は、当該利用者のユーザIDに関連付けられる操作履歴IDを操作履歴DB221に対して問い合わせを行い、1つまたは複数のレコードが存在する場合には、そのうちの最新日付の操作履歴IDを取得する。操作履歴突合部204は、取得した最新の操作履歴ID(つまり、前回操作時の操作履歴ID)と利用者端末101から受信した操作履歴IDとを突合して照合する。ここで、操作履歴DB221は、利用者ごとの操作履歴IDを操作時点のシステム日付情報とともに格納するデータベースである。
【0030】
最新操作履歴ID送受信部205は、乱数生成部206に乱数生成を要求し、生成された乱数を取得する。そして、最新操作履歴ID送受信部205は、その取得した乱数を最新操作履歴IDとして利用者端末101に送信する。利用者端末101にてICカード102に当該最新操作履歴IDの書き込みが完了したことを示す信号を受信した後、最新操作履歴ID送受信部205は、当該最新操作履歴IDを操作履歴DB222に当該利用者のIDおよびシステム日付情報に関連付けて保存する。つまり、インターネットバンキングシステム100の実際のサービス画面を提供開始する時点で、当該利用者に新たに付与された最新操作履歴IDはICカード102および操作履歴DB222の両方に格納されていることになる。
【0031】
乱数生成部207は、ハードウェアとして構成することもソフトウェアとして構成することも可能であるが、生成する乱数は利用者ごとの無作為な英数字のデータであれば構わない。なお、ソフトウェアとして構成する場合には、例えば、線形合同法(linear congruential method)やSHA−1などのハッシュ関数を用いることができる。なお、本発明に係る履歴整合認証システム100において操作履歴IDの桁数を十分長く設定しない場合には、確率的には小さいが、2回続けて同じ乱数が生成されることもありうる。
【0032】
サービス画面提供部206は、インターネットバンキングのシステムで提供する実際のサービス画面を生成し、Webサーバ104を介して利用者端末101に提供する。
【0033】
次に、図3を参照して、本発明の例示的な実施形態に係る履歴整合認証システム100の認証の仕組みを示すフロー図を説明する。なお、本フローの開始時には、利用者端末101はインターネットバンキングシステム100にアクセスし、システム側から所定の情報(例えば、ランダムに生成された文字列、等)とログイン画面を受信しているものとする。
【0034】
ステップS301では、認証要求受付・処理部202は、利用者端末101からICカード102に格納されている情報を基にした認証要求を受信する。この認証要求には、上述した所定の情報をICカード102が格納している秘密鍵を利用して暗号化した情報と、ICカード102が格納している電子証明書とが含まれる。なお、ICカード102の正規の利用者か否かの認証は、ICカード102自体に記憶されているパスワード502と、利用者端末101に表示されているログイン画面から入力されるパスワードとが一致するか否かによって利用者端末101において行われる。
【0035】
ステップS302では、認証要求受付・処理部202は、利用者端末101から認証要求を受信したと判定した場合には、当該認証要求に基づいて利用者端末101が正規の利用者か否か(認証可または認証不可)を利用者マスタ220を参照して判定する。この認証は、例えば、認証要求に含まれていた暗号化済みの所定の情報を復号して自らが送信したものと一致するか確認し、また電子証明書を確認することによって行う。認証要求受付・処理部202は、認証可と判定した場合ステップS304に処理を進め、一方、認証不可と判定した場合ステップS303に処理を進める。
【0036】
ステップS303では、認証要求受付・処理部202は、認証エラーとなったことを示すメッセージ、あるいはそのようなメッセージを示す画面を生成して利用者端末101に送信する。
【0037】
ステップS304では、操作履歴要求・応答受信部203は、利用者端末101に対してICカード102に記憶されている最新の操作履歴IDを読み出して送信するよう要求する命令を送信する。ステップS305では、利用者端末101は、当該命令に応答してICカード102の最新操作履歴ID(第n回)(505)から最新の操作履歴IDを読み出して、インターネットバンキングシステム100に対して送信する。操作履歴要求・応答受信部203は、当該最新の操作履歴IDを受信する。
【0038】
ステップS306では、操作履歴突合部204は、当該利用者のユーザIDに関連付けられる操作履歴IDを操作履歴DB221に対して問い合わせを行い、1つまたは複数のレコードが存在する場合には、そのうちの最新日付の操作履歴IDを取得する。操作履歴突合部204は、操作履歴DB221から取得した最新の操作履歴IDと利用者端末101から受信した操作履歴IDとを突合して照合するか否かを判定する。照合できた場合にはステップS308に処理が進み、照合できなかった場合にはステップS307に処理が進む。
【0039】
ステップS307では、操作履歴突合部204は、照合できなかったことを示すメッセージ(例えば、操作履歴ID不整合)、あるいはそのようなメッセージを含む画面を利用者端末101に対して送信する。
【0040】
ステップS308では、最新操作履歴ID送受信部205は、乱数生成部206によって生成された乱数を取得し、その取得した乱数を最新操作履歴IDとして利用者端末101に送信する。利用者端末101は、その最新操作履歴IDをICカード102に書き込む処理を行う。最新操作履歴ID送受信部205は、ICカード102への当該最新操作履歴IDの書き込みが完了したことを示す信号を利用者端末101から受信した後、当該最新操作履歴IDを当該利用者のユーザIDおよびインターネットバンキングシステム100のシステム日付と関連付けて操作履歴DB221に保存する。
【0041】
ステップS309では、操作履歴DB221への最新操作履歴IDの保存が終了したことに応答して、サービス画面提供部206は、インターネットバンキングシステム100の実際のサービス画面を利用者端末101に対して提供する。
【0042】
ここで、図4および図5を参照しながら、本発明において使用されるICカード102の内部構成およびICカード102に記憶されているデータがどのように処理されるのかを説明する。
【0043】
図5は、本発明に係るICカード102の例示的なデータ記録構造を示す図である。ICカード102は、ICカード識別子501、パスワード502、カード利用者503、有効期限504、最新操作履歴ID505および前回操作履歴ID506を含んでいる。ICカード識別子501は、ICカード102を識別する識別子を記録する。この識別子は、利用者マスタ220やICカードマスタ222に記憶されている。パスワード502は、ICカード102を使用するためのパスワードであり、利用者端末101に表示されるログイン画面から入力されるパスワードと一致するか否かによって正規の利用者を判別するために使用される。カード利用者503は、正規のカード保持者の情報(例えば、カード名義人の名前)を格納し、同様の情報は利用者マスタ220にも記憶されている。有効期限504は、ICカード102の有効期限を示す情報であり、当該有効期限経過後はそのICカード102は使用不可になることを示す。なお、パスワード502、カード利用者503および有効期限504は、本発明においては任意の項目であるため、ICカード102内になくても構わない。
【0044】
最新操作履歴ID505(第n回)は、システムのサービス利用の都度、利用開始時(ログイン認証成立後であって、実際のサービス画面提供前の時点)に最新操作履歴ID送受信部205から送信される最新操作履歴IDが格納されるエリアであり、前回操作履歴ID506(第n−1回)は、最新操作履歴ID505に記録される情報がアップデートされるタイミングで、最新操作履歴ID505がそれまでに有していた操作履歴IDが転記されるエリアである。つまり、ICカード102は、最新操作履歴ID505および前回操作履歴ID506のエリアを利用して操作履歴IDを少なくとも2件記録しておくことができる。なお、図5では操作履歴IDを少なくとも2件記録できるデータ構造を示しているが、3件以上記録できるデータ構造を備えていても構わない。
【0045】
図4は、ICカード102に記憶されている操作履歴IDのデータが本システムの利用前と利用後でどのように書き換えられているかを説明する。
【0046】
システム利用前には、ICカード102には、少なくとも2つの操作履歴ID(n回目:89193、n−1回目:xxxxx)がそれぞれ最新操作履歴ID505および前回操作履歴ID506のエリアに記憶されている。ステップS308の処理において、最新操作履歴ID送受信部205から最新の操作履歴ID(68784)が送信されてくると、利用者端末101はICカード102にその操作履歴ID(68784)を書き込む。すると、図4に示すように、操作履歴IDとしてn回目:68784、n−1回目:89193のデータがそれぞれ最新操作履歴ID505および前回操作履歴ID506のエリアに記憶される。つまり、利用者がインターネットバンキングシステム100を利用する度に、最新の操作履歴IDがICカード102に記憶されるとともに、ステップS308で説明したように同じ操作履歴IDが操作履歴DB221にも記憶されることになる。
【0047】
ここで、本発明に係る履歴整合認証システム100を用いて不正利用が行われたか否かを判別する処理について説明する。上述したように、本発明では、操作履歴DB221に格納されている最新日付の操作履歴IDと利用者が保持しているICカード102に記憶されている最新の操作履歴IDとが一致するか否かによって不正利用の有無を判別している。不正利用には、偽造ICカードによるものと、正規のICカードによるものとの2つの類型があるが、以下の実施例1、2を参照しながら、2つの類型の不正利用が起こったとしても被害を最小限に防ぐことができることを説明する。
【実施例1】
【0048】
本実施例1では、本発明に係る履歴整合認証システム100において、偽造カードによる不正利用が発生するケース(偽造カードを用いた第三者による不正利用のケース)を例に説明する。
【0049】
まず、正規の利用者が正規のICカード102を使用してインターネットバンキングシステム100にログインする。この時点では、操作履歴DB221とICカード102の両方に格納されている最新の操作履歴ID(つまり、直前の操作履歴ID)は同一であるのでシステム100が提供するサービス利用画面を正常に使用することができる。この際、操作履歴DB221とICカード102の両方に新たに操作履歴IDが格納される。
【0050】
次に、第三者がICカードを偽造して、その後インターネットバンキングのサービスを利用することを想定する。もし、偽造時点よりも後であって第三者が不正利用する前に、正規の利用者が正規のICカード102を利用してインターネットバンキングのサービスを利用した場合、操作履歴DB221と偽造したICカードの両方に格納されている最新の操作履歴IDは異なっているため、その時点で偽造カードによる不正利用を防ぐことができる。
【0051】
ICカードの偽造時点と実際の不正利用との間に正規の利用者が正規のICカード102を使用してシステムを利用しなかった場合には、不正利用を許すことになるが、正規の利用者がシステムを利用する際に操作履歴DB221とICカード102の両方に格納されている最新の操作履歴IDが異なるために不正利用の発生に早期に気づくことができ、それ以上の被害を防ぐことが可能になる。
【0052】
つまり、ICカード偽造による不正利用に対しては、操作履歴DB221とICカード102の両方に格納されている最新の操作履歴IDが同一か否かを判別すればよく、同一であれば、偽造ICカードによる不正利用がそれ以前になかったことを示すことになる。仮に、第三者が偽造ICカードを用いて不正利用したとしてもインターネットバンキングサービス100の開始時点において最新の操作履歴IDのデータを偽造ICカードに書き込むため、正規のICカード102には不正利用した際の操作履歴IDは記憶されていないことになる。このため、正規の利用者が正規のICカード102でシステム100を利用する際に、操作履歴DB221とICカード102の両方の操作履歴IDが不一致になり、それ以前に不正利用があったことを判別することができる。
【実施例2】
【0053】
本実施例2では、本発明に係る履歴整合認証システム100において、正規カードによる不正利用が発生するケース(正規のICカードを用いた内部不正等のケース)を例に説明する。
【0054】
実施例1と同様に、正規の利用者が正規のICカード102を使用してインターネットバンキングのシステムにログインする。この時点では、操作履歴DB221とICカード102の両方に格納されている最新の操作履歴IDは同一であるのでサービス利用画面を正常に使用することができる。この際、操作履歴DB221とICカード102の両方に新たに操作履歴IDが格納される点は実施例1と同様である。
【0055】
その後、法人内部の正規の利用者以外の者による「なりすまし」が起こったとする。この場合には、利用者の認証情報(パスワード等)は正規のものを使用しており、ICカード102も正規のものを使用しているのでインターネットバンキングのサービス利用画面も使用できる。ここでも、操作履歴DB221とICカード102の両方に新たに操作履歴IDが格納される。
【0056】
その後、正規の利用者側が身に覚えのない操作(例えば、第三者への大量送金)が行われているとして不正利用の存在が疑われることになった場合、操作履歴DB221とICカード102の双方に記憶されている操作履歴IDを照合することで、当該不正利用が正規のICカード102を使用して行われたもの(つまり、法人内部の正規の利用者以外の者による「なりすまし」)なのかを判別することができ、また、システム利用時に通信データが盗聴されるなどして偽造されたICカードによる不正利用あるいはインターネットバンキングのサービス提供者側が行った不正利用なのかを切り分けて判別することができる。
【0057】
つまり、正規カードによる不正利用の場合には、操作履歴DB221と正規のICカード102の両方の操作履歴IDは一致するため、仮に正規の利用者が把握していない利用があった場合には正規カードによる不正利用の可能性が高いとして追跡調査を行うことができる。
【0058】
以上、例示的な実施形態を参照しながら本発明の原理を説明したが、様々な実施形態を本発明の要旨を逸脱することなく、構成および細部において変更できることが当業者には理解されよう。
【符号の説明】
【0059】
100 履歴整合認証システム
101 利用者端末
102 ICカード
103 ネットワーク
104 Webサーバ
105 業務アプリケーション(AP)サーバ
201 ログイン画面提供部
202 認証要求受付・処理部
203 操作履歴要求・応答受信部
204 操作履歴突合部
205 最新操作履歴ID送受信部
206 サービス画面提供部
207 乱数生成部
220 利用者マスタ
221 操作履歴DB
222 ICカードマスタ
505 最新操作履歴ID(第n回)
506 前回操作履歴ID(第n−1回)
【技術分野】
【0001】
本発明は、認証システムおよび認証方法に関する。より詳細には、被認証者のICカード等に記録されている認証用データとサーバが保持する認証用データとの照合を行うことで認証を行う認証システムおよび認証方法に関する。
【背景技術】
【0002】
ICカードは、プラスチック製カード等に極めて薄い半導体集積回路(ICチップ)を埋め込み、情報を記録できるようにしたカードであり、データの暗号化なども可能なため従来の磁気カードに比べて偽造にも強いことが知られている。
【0003】
このようなICカードは、様々な用途に利用されている。例えば、金融機関が提供するインターネットバンキングなどのシステムでは、よりセキュリティを高めるために、IDとパスワードによる認証に加えて、ICカードを利用者に配布しておき、そのICカードに格納されている認証用情報(例えば、電子証明書)を利用者端末に接続した読み取り機で読み込んで、当該システムに送信して認証を行うことが行われている。
【0004】
また、電車などの公共交通機関が発行するICカードは、出発地点と到着地点に設けられた所定端末にICカードをかざす(または接触させる)ことにより、利用料金の計算がセンター局において計算されて課金されるとともに利用情報などのデータがICカードに書き込まれる仕組みが利用されている(特許文献1)。
【先行技術文献】
【特許文献】
【0005】
【特許文献1】特許第3883548号公報
【発明の概要】
【発明が解決しようとする課題】
【0006】
しかしながら、たとえICカードを利用したとしても偽造カードによる不正利用を完全に防ぐことはできないし、また、正規カードによる不正利用を完全に防ぐことはできない。後者のケースでは、正規の利用者が法人の場合、法人内部の正規の利用者以外の者による「なりすまし」でインターネットバンキングなどのシステムを不正利用されてしまうことが想定される。
【0007】
従来技術では、第三者がICカードを偽造し、かつ正規の認証情報(例えば、パスワード)を入手してしまった場合に不正利用を完全に防ぐことは困難である。また、従来技術では、法人内部の正規の利用者以外の者による「なりすまし」の場合には、ICカードは偽造されておらず、しかも正規の認証情報を使用しているため、不正利用の有無を判別することは困難であった。仮にそのような「なりすまし」による不正利用が疑われる場合にも、システム利用時に通信データが盗聴されるなどして偽造されたICカードで不正利用がなされたのか、あるいは、法人内部の正規の利用者以外の者による正規のICカードによる不正利用なのかを判別することは困難であった。
【0008】
また、特許文献1に開示のシステムでは、そのシステム利用の開始時および終了時に利用者がICカードを適切に使用することが想定されているが、インターネットバンキングなどを始めとする電子商取引の場合、システム終了時のトリガーを明確に判別することは難しい(例えば、表示画面を強制終了する場合)。
【0009】
本発明は、このような問題に鑑みてなされたもので、ICカードを利用するシステムにおける不正利用の被害を低減し、仮に不正利用が行われる場合にも事後的に不正利用の有無を追跡可能な認証システムおよび認証方法を提供することを目的とする。また、電子商取引の場合のように、システム利用の終了時点が明確に判別できないような場合であっても情報記録が適切に行える認証システムおよび認証方法を提供することを目的とする。
【課題を解決するための手段】
【0010】
上記の課題を解決するために、本発明に係る認証システムは、ICカードに対してデータを読み書き可能なクライアント端末に対する認証処理を実施する認証システムであって、前記ICカードは、利用者ごとの第1の識別子を2つ以上格納する。前記認証システムは、1つまたは複数の、利用者ごとの前記第2の識別子を格納する格納手段と、前記クライアント端末から認証要求データを受信し、該認証要求データに基づいて利用者の認証可否を判定する受付・処理手段と、認証可と判定する場合に、前記クライアント端末に対して、前記ICカードに記憶されている前記第1の識別子のうち最新日付の第1の識別子を読み出して送信するよう要求する命令を送信し、該命令に応答して前記クライアント端末から送信される前記最新日付の第1の識別子を受信する要求・応答受信手段と、前記利用者に関連付けられる前記第2の識別子のうち最新日付の第2の識別子を前記格納手段から取得し、受信した前記最新日付の第1の識別子と前記取得した第2の識別子とを照合して両者が一致するか否かを判定する突合手段と、前記第1の識別子および前記第2の識別子として使用されることになる乱数を生成する乱数生成手段と、前記第1の識別子および前記第2の識別子が一致すると判定された場合に、生成された前記乱数を前記第1の識別子として前記クライアント端末に対して送信し、前記クライアント端末から前記第1の識別子の前記ICカードへの書き込み成功を示すデータを受信した後、前記乱数を前記第2の識別子として前記格納手段に格納する識別子送受信手段と、前記第1の識別子および前記第2の識別子の格納後に、実際のサービス画面を前記クライアント端末に提供する手段と、を備えたことを特徴とする。
【0011】
また、本発明に係る方法は、ICカードに対してデータを読み書き可能なクライアント端末に対する認証処理を実施する認証システムにおける方法であって、前記ICカードは、利用者ごとの第1の識別子を2つ以上格納し、前記認証システムは、1つまたは複数の、利用者ごとの前記第2の識別子を格納する格納手段を含む。前記方法は、前記クライアント端末から認証要求データを受信し、該認証要求データに基づいて利用者の認証可否を判定するステップと、認証可と判定する場合に、前記クライアント端末に対して、前記ICカードに記憶されている前記第1の識別子のうち最新日付の第1の識別子を読み出して送信するよう要求する命令を送信し、該命令に応答して前記クライアント端末から送信される前記最新日付の第1の識別子を受信するステップと、前記利用者に関連付けられる前記第2の識別子のうち最新日付の第2の識別子を前記格納手段から取得し、受信した前記最新日付の第1の識別子と前記取得した第2の識別子とを照合して両者が一致するか否かを判定するステップと、前記第1の識別子および前記第2の識別子として使用されることになる乱数を生成するステップと、前記第1の識別子および前記第2の識別子が一致すると判定された場合に、生成された前記乱数を前記第1の識別子として前記クライアント端末に対して送信し、前記クライアント端末から前記第1の識別子の前記ICカードへの書き込み成功を示すデータを受信した後、前記乱数を前記第2の識別子として前記格納手段に格納するステップと、前記第1の識別子および前記第2の識別子の格納後に、実際のサービス画面を前記クライアント端末に提供するステップと、を含むことを特徴とする。
【発明の効果】
【0012】
本発明は、偽造カードによる不正利用の被害を低減する効果を奏する。また、本発明は、法人内部の正規の利用者以外の者による不正利用などの正規カードによる不正利用が発生する場合に事後的に不正利用の有無を追跡できるという効果を奏する。
【図面の簡単な説明】
【0013】
【図1】本発明の一実施形態に係る履歴整合認証システムの概念を示す図である。
【図2】本発明に係る履歴整合認証システムの機能モジュールを示すブロック図である。
【図3】本発明に係る履歴整合認証システムの認証の仕組みを示すフロー図である。
【図4】ICカードに記憶されている操作履歴IDデータのアップデートを示す図である。
【図5】本発明に係るICカードの例示的なデータ記録構造を示す図である。
【発明を実施するための形態】
【0014】
本発明の例示的な実施形態について詳細に説明する。以下の説明では、法人向けインターネットバンキングシステム100(または、履歴整合認証システム100ともいう)を利用する場合を例として説明するが、本発明の要旨はそれ以外の用途にも適用可能であることは言うまでもない。
【0015】
図1は、本発明の例示的な実施形態に係る履歴整合認証システム100の概念を示す図であり、少なくとも利用者端末101、ICカード102、ネットワーク103、Webサーバ104および業務アプリケーション(AP)サーバ105を含む構成になっている。
【0016】
利用者端末101は、Webブラウザなどを介してネットワークに接続可能なパーソナルコンピュータとすることが可能であり、かつカードリーダー・ライターと接続して、ICカード102が格納するデータを読み出し、あるいはICカード102に対して所定のデータを書き込むことができる。また、利用者端末101は、ネットワーク103を介して履歴整合認証システム100と接続し、データ送受信を行うことができる。
【0017】
ICカード102は、従来のICカードとすることができる。なお、本明細書では、ICカードを例にして説明するが、利用者端末101との間でデータ伝送が可能であって、データを格納することができれば他の記憶媒体であっても構わない。また、ネットワーク103は、インターネット、専用線などに代表されるネットワークである。
【0018】
履歴整合認証システム100は、その内部にWebサーバ104および業務APサーバ105を有している。Webサーバ104は、ネットワーク103を介して利用者端末101から各種コマンドやデータを受信して業務APサーバ105に伝送し、かつ業務APサーバ105から受信したログイン画面やインターネットバンキングの実際のサービス画面を利用者端末101に対して提供する。業務APサーバ105は、利用者端末101からの各種コマンドやデータを処理するとともに、当該コマンドに応答してログイン画面やインターネットバンキングの実際のサービス画面を生成してWebサーバ104に送信する。なお、図1の例示的な構成ではWebサーバ104および業務APサーバ105は、一つのみ記載しているが複数個の構成とすることもできる。あるいは、例えば、業務APサーバ105について複数個のサーバの冗長化構成としたり、認証サーバやDBサーバを別途設けることによって機能ごとにサーバを分割する構成としたりすることもでき、図1に示した構成に限定されることはない。
【0019】
ここで、Webサーバ104および業務APサーバ105のハードウェア構成について図1を参照して説明する。なお、両者のハードウェア構成は従来技術であるので、業務APサーバ105を代表させて説明する。
【0020】
業務APサーバ105は、制御部111、主記憶部112、補助記憶部113、入力部114、出力部115および外部との送受信を行うインターフェース(I/F)を含む。これらの構成要素はバスなどで相互に接続されており、制御部111によって各構成要素112〜115は統括して制御される。
【0021】
制御部111は、中央処理装置(CPU:Central Processing Unit)とも呼ばれ、上述したように各構成要素112〜115の制御やデータの演算を行い、また、補助記憶部113に格納されている各種プログラムを主記憶部112に読み出して実行する。主記憶部112は、メインメモリとも呼ばれ、業務APサーバ105が受信した各種コマンドやデータ、コンピュータ実行可能な命令および当該命令による演算処理後のデータなどを記憶する。
【0022】
補助記憶部113は、ハードディスク(HDD)などに代表される記憶装置であり、データやプログラムを長期的に保存する際に使用される。主記憶部112は、補助記憶部113よりも記憶容量が相対的に小さいため、一時的なデータの記憶や演算処理などに使用されるのに対し、補助記憶部113は、必要なデータや情報の長期的な記憶・保存のために使用される。つまり、制御部111がプログラムを実行してデータの演算を行う場合には、補助記憶部113から必要なデータやプログラムを主記憶部112に読み出し、演算結果のデータを長期的に記憶・保存するには制御部111が補助記憶部113に演算結果のデータを書き込むこととなる。
【0023】
入力部114は、ネットワーク103経由で利用者端末101から受信した各種コマンドやデータを、業務APサーバ105に入力する。入力された各種コマンドやデータは、主記憶部112に一時的に記憶される。また、入力部114は、システムオペレータより各種コマンドや入力データ(各種マスタ、テーブルなど)を受け付けるインターフェース(入力画面などのアプリケーションプログラム)を提供する。
【0024】
出力部115は、業務APサーバ105において生成されるログイン画面や実際のサービス画面をWebサーバ104に対して送信し、Webサーバ104から当該画面は利用者端末102に提供される。また、出力部205は、業務APサーバ105によって処理されたデータを表示する表示画面も提供する。
【0025】
図2は、本発明の例示的な実施形態に係る履歴整合認証システム100の機能モジュールを示すブロック図である。図2に示すように、本システムは、少なくともログイン画面提供部201、認証要求受付・処理部202、操作履歴要求・応答受信部203、操作履歴突合部204、最新操作履歴ID送受信部205、サービス画面提供部206、乱数生成部207、利用者マスタ220、操作履歴DB221およびICカードマスタ222を含んでいる。なお、インターネットバンキングシステム100において提供される各種サービスで使用される銀行マスタ、口座マスタ、通貨マスタなどのマスタ群についても同様に含んでいる。
【0026】
ログイン画面提供部201は、利用者端末101からアクセス要求(例えば、インターネットバンキングシステム100へのアクセス要求)を受信すると、所定のログイン画面および所定の情報(例えば、ランダムに生成された文字列、等)をWebサーバ104を介して利用者端末101に提供する。この所定の情報は、利用者端末101の識別のために送信されたデータであり、以下に説明するように暗号化された上で利用者端末101から履歴整合認証システム100に返信される。
【0027】
認証要求受付・処理部202は、ICカード102に格納されている情報を基にした認証要求を利用者端末101から受信したか否かを判定する。この認証要求には、上述した所定の情報をICカード102が格納している秘密鍵を利用して暗号化した情報と、ICカード102が格納している電子証明書とが含まれる。そして、この認証要求を受信したと判定した場合には、認証要求受付・処理部202は、当該認証要求に基づいて利用者端末101が正規の利用者か否か(認証可または認証不可)を利用者マスタ220を参照して判定する。ここで、利用者マスタ220は、本発明に係る履歴整合認証システム100を利用する利用者のユーザ情報(例えば、ユーザID、ICカードの情報、等)を記憶するマスタである。なお、ここまで説明した実施形態以外の周知の実施形態にて初期のユーザ認証を行うこともできる。
【0028】
操作履歴要求・応答受信部203は、利用者端末101に対してICカード102に記憶されている最新の操作履歴IDを読み出して送信するよう要求する命令を送信する。ここで、操作履歴IDとは、各利用者が本インターネットバンキングシステム100のサービス利用の都度、利用開始時点(ログイン操作による認証成立後)において、利用者ごとかつ操作(ログイン操作からログアウト等で利用終了するまでを指す)ごとに付与される識別子のことを指す。そして、操作履歴要求・応答受信部203は、利用者端末101がICカード102から読み出した最新の操作履歴IDをネットワーク103経由で受信する。
【0029】
操作履歴突合部204は、当該利用者のユーザIDに関連付けられる操作履歴IDを操作履歴DB221に対して問い合わせを行い、1つまたは複数のレコードが存在する場合には、そのうちの最新日付の操作履歴IDを取得する。操作履歴突合部204は、取得した最新の操作履歴ID(つまり、前回操作時の操作履歴ID)と利用者端末101から受信した操作履歴IDとを突合して照合する。ここで、操作履歴DB221は、利用者ごとの操作履歴IDを操作時点のシステム日付情報とともに格納するデータベースである。
【0030】
最新操作履歴ID送受信部205は、乱数生成部206に乱数生成を要求し、生成された乱数を取得する。そして、最新操作履歴ID送受信部205は、その取得した乱数を最新操作履歴IDとして利用者端末101に送信する。利用者端末101にてICカード102に当該最新操作履歴IDの書き込みが完了したことを示す信号を受信した後、最新操作履歴ID送受信部205は、当該最新操作履歴IDを操作履歴DB222に当該利用者のIDおよびシステム日付情報に関連付けて保存する。つまり、インターネットバンキングシステム100の実際のサービス画面を提供開始する時点で、当該利用者に新たに付与された最新操作履歴IDはICカード102および操作履歴DB222の両方に格納されていることになる。
【0031】
乱数生成部207は、ハードウェアとして構成することもソフトウェアとして構成することも可能であるが、生成する乱数は利用者ごとの無作為な英数字のデータであれば構わない。なお、ソフトウェアとして構成する場合には、例えば、線形合同法(linear congruential method)やSHA−1などのハッシュ関数を用いることができる。なお、本発明に係る履歴整合認証システム100において操作履歴IDの桁数を十分長く設定しない場合には、確率的には小さいが、2回続けて同じ乱数が生成されることもありうる。
【0032】
サービス画面提供部206は、インターネットバンキングのシステムで提供する実際のサービス画面を生成し、Webサーバ104を介して利用者端末101に提供する。
【0033】
次に、図3を参照して、本発明の例示的な実施形態に係る履歴整合認証システム100の認証の仕組みを示すフロー図を説明する。なお、本フローの開始時には、利用者端末101はインターネットバンキングシステム100にアクセスし、システム側から所定の情報(例えば、ランダムに生成された文字列、等)とログイン画面を受信しているものとする。
【0034】
ステップS301では、認証要求受付・処理部202は、利用者端末101からICカード102に格納されている情報を基にした認証要求を受信する。この認証要求には、上述した所定の情報をICカード102が格納している秘密鍵を利用して暗号化した情報と、ICカード102が格納している電子証明書とが含まれる。なお、ICカード102の正規の利用者か否かの認証は、ICカード102自体に記憶されているパスワード502と、利用者端末101に表示されているログイン画面から入力されるパスワードとが一致するか否かによって利用者端末101において行われる。
【0035】
ステップS302では、認証要求受付・処理部202は、利用者端末101から認証要求を受信したと判定した場合には、当該認証要求に基づいて利用者端末101が正規の利用者か否か(認証可または認証不可)を利用者マスタ220を参照して判定する。この認証は、例えば、認証要求に含まれていた暗号化済みの所定の情報を復号して自らが送信したものと一致するか確認し、また電子証明書を確認することによって行う。認証要求受付・処理部202は、認証可と判定した場合ステップS304に処理を進め、一方、認証不可と判定した場合ステップS303に処理を進める。
【0036】
ステップS303では、認証要求受付・処理部202は、認証エラーとなったことを示すメッセージ、あるいはそのようなメッセージを示す画面を生成して利用者端末101に送信する。
【0037】
ステップS304では、操作履歴要求・応答受信部203は、利用者端末101に対してICカード102に記憶されている最新の操作履歴IDを読み出して送信するよう要求する命令を送信する。ステップS305では、利用者端末101は、当該命令に応答してICカード102の最新操作履歴ID(第n回)(505)から最新の操作履歴IDを読み出して、インターネットバンキングシステム100に対して送信する。操作履歴要求・応答受信部203は、当該最新の操作履歴IDを受信する。
【0038】
ステップS306では、操作履歴突合部204は、当該利用者のユーザIDに関連付けられる操作履歴IDを操作履歴DB221に対して問い合わせを行い、1つまたは複数のレコードが存在する場合には、そのうちの最新日付の操作履歴IDを取得する。操作履歴突合部204は、操作履歴DB221から取得した最新の操作履歴IDと利用者端末101から受信した操作履歴IDとを突合して照合するか否かを判定する。照合できた場合にはステップS308に処理が進み、照合できなかった場合にはステップS307に処理が進む。
【0039】
ステップS307では、操作履歴突合部204は、照合できなかったことを示すメッセージ(例えば、操作履歴ID不整合)、あるいはそのようなメッセージを含む画面を利用者端末101に対して送信する。
【0040】
ステップS308では、最新操作履歴ID送受信部205は、乱数生成部206によって生成された乱数を取得し、その取得した乱数を最新操作履歴IDとして利用者端末101に送信する。利用者端末101は、その最新操作履歴IDをICカード102に書き込む処理を行う。最新操作履歴ID送受信部205は、ICカード102への当該最新操作履歴IDの書き込みが完了したことを示す信号を利用者端末101から受信した後、当該最新操作履歴IDを当該利用者のユーザIDおよびインターネットバンキングシステム100のシステム日付と関連付けて操作履歴DB221に保存する。
【0041】
ステップS309では、操作履歴DB221への最新操作履歴IDの保存が終了したことに応答して、サービス画面提供部206は、インターネットバンキングシステム100の実際のサービス画面を利用者端末101に対して提供する。
【0042】
ここで、図4および図5を参照しながら、本発明において使用されるICカード102の内部構成およびICカード102に記憶されているデータがどのように処理されるのかを説明する。
【0043】
図5は、本発明に係るICカード102の例示的なデータ記録構造を示す図である。ICカード102は、ICカード識別子501、パスワード502、カード利用者503、有効期限504、最新操作履歴ID505および前回操作履歴ID506を含んでいる。ICカード識別子501は、ICカード102を識別する識別子を記録する。この識別子は、利用者マスタ220やICカードマスタ222に記憶されている。パスワード502は、ICカード102を使用するためのパスワードであり、利用者端末101に表示されるログイン画面から入力されるパスワードと一致するか否かによって正規の利用者を判別するために使用される。カード利用者503は、正規のカード保持者の情報(例えば、カード名義人の名前)を格納し、同様の情報は利用者マスタ220にも記憶されている。有効期限504は、ICカード102の有効期限を示す情報であり、当該有効期限経過後はそのICカード102は使用不可になることを示す。なお、パスワード502、カード利用者503および有効期限504は、本発明においては任意の項目であるため、ICカード102内になくても構わない。
【0044】
最新操作履歴ID505(第n回)は、システムのサービス利用の都度、利用開始時(ログイン認証成立後であって、実際のサービス画面提供前の時点)に最新操作履歴ID送受信部205から送信される最新操作履歴IDが格納されるエリアであり、前回操作履歴ID506(第n−1回)は、最新操作履歴ID505に記録される情報がアップデートされるタイミングで、最新操作履歴ID505がそれまでに有していた操作履歴IDが転記されるエリアである。つまり、ICカード102は、最新操作履歴ID505および前回操作履歴ID506のエリアを利用して操作履歴IDを少なくとも2件記録しておくことができる。なお、図5では操作履歴IDを少なくとも2件記録できるデータ構造を示しているが、3件以上記録できるデータ構造を備えていても構わない。
【0045】
図4は、ICカード102に記憶されている操作履歴IDのデータが本システムの利用前と利用後でどのように書き換えられているかを説明する。
【0046】
システム利用前には、ICカード102には、少なくとも2つの操作履歴ID(n回目:89193、n−1回目:xxxxx)がそれぞれ最新操作履歴ID505および前回操作履歴ID506のエリアに記憶されている。ステップS308の処理において、最新操作履歴ID送受信部205から最新の操作履歴ID(68784)が送信されてくると、利用者端末101はICカード102にその操作履歴ID(68784)を書き込む。すると、図4に示すように、操作履歴IDとしてn回目:68784、n−1回目:89193のデータがそれぞれ最新操作履歴ID505および前回操作履歴ID506のエリアに記憶される。つまり、利用者がインターネットバンキングシステム100を利用する度に、最新の操作履歴IDがICカード102に記憶されるとともに、ステップS308で説明したように同じ操作履歴IDが操作履歴DB221にも記憶されることになる。
【0047】
ここで、本発明に係る履歴整合認証システム100を用いて不正利用が行われたか否かを判別する処理について説明する。上述したように、本発明では、操作履歴DB221に格納されている最新日付の操作履歴IDと利用者が保持しているICカード102に記憶されている最新の操作履歴IDとが一致するか否かによって不正利用の有無を判別している。不正利用には、偽造ICカードによるものと、正規のICカードによるものとの2つの類型があるが、以下の実施例1、2を参照しながら、2つの類型の不正利用が起こったとしても被害を最小限に防ぐことができることを説明する。
【実施例1】
【0048】
本実施例1では、本発明に係る履歴整合認証システム100において、偽造カードによる不正利用が発生するケース(偽造カードを用いた第三者による不正利用のケース)を例に説明する。
【0049】
まず、正規の利用者が正規のICカード102を使用してインターネットバンキングシステム100にログインする。この時点では、操作履歴DB221とICカード102の両方に格納されている最新の操作履歴ID(つまり、直前の操作履歴ID)は同一であるのでシステム100が提供するサービス利用画面を正常に使用することができる。この際、操作履歴DB221とICカード102の両方に新たに操作履歴IDが格納される。
【0050】
次に、第三者がICカードを偽造して、その後インターネットバンキングのサービスを利用することを想定する。もし、偽造時点よりも後であって第三者が不正利用する前に、正規の利用者が正規のICカード102を利用してインターネットバンキングのサービスを利用した場合、操作履歴DB221と偽造したICカードの両方に格納されている最新の操作履歴IDは異なっているため、その時点で偽造カードによる不正利用を防ぐことができる。
【0051】
ICカードの偽造時点と実際の不正利用との間に正規の利用者が正規のICカード102を使用してシステムを利用しなかった場合には、不正利用を許すことになるが、正規の利用者がシステムを利用する際に操作履歴DB221とICカード102の両方に格納されている最新の操作履歴IDが異なるために不正利用の発生に早期に気づくことができ、それ以上の被害を防ぐことが可能になる。
【0052】
つまり、ICカード偽造による不正利用に対しては、操作履歴DB221とICカード102の両方に格納されている最新の操作履歴IDが同一か否かを判別すればよく、同一であれば、偽造ICカードによる不正利用がそれ以前になかったことを示すことになる。仮に、第三者が偽造ICカードを用いて不正利用したとしてもインターネットバンキングサービス100の開始時点において最新の操作履歴IDのデータを偽造ICカードに書き込むため、正規のICカード102には不正利用した際の操作履歴IDは記憶されていないことになる。このため、正規の利用者が正規のICカード102でシステム100を利用する際に、操作履歴DB221とICカード102の両方の操作履歴IDが不一致になり、それ以前に不正利用があったことを判別することができる。
【実施例2】
【0053】
本実施例2では、本発明に係る履歴整合認証システム100において、正規カードによる不正利用が発生するケース(正規のICカードを用いた内部不正等のケース)を例に説明する。
【0054】
実施例1と同様に、正規の利用者が正規のICカード102を使用してインターネットバンキングのシステムにログインする。この時点では、操作履歴DB221とICカード102の両方に格納されている最新の操作履歴IDは同一であるのでサービス利用画面を正常に使用することができる。この際、操作履歴DB221とICカード102の両方に新たに操作履歴IDが格納される点は実施例1と同様である。
【0055】
その後、法人内部の正規の利用者以外の者による「なりすまし」が起こったとする。この場合には、利用者の認証情報(パスワード等)は正規のものを使用しており、ICカード102も正規のものを使用しているのでインターネットバンキングのサービス利用画面も使用できる。ここでも、操作履歴DB221とICカード102の両方に新たに操作履歴IDが格納される。
【0056】
その後、正規の利用者側が身に覚えのない操作(例えば、第三者への大量送金)が行われているとして不正利用の存在が疑われることになった場合、操作履歴DB221とICカード102の双方に記憶されている操作履歴IDを照合することで、当該不正利用が正規のICカード102を使用して行われたもの(つまり、法人内部の正規の利用者以外の者による「なりすまし」)なのかを判別することができ、また、システム利用時に通信データが盗聴されるなどして偽造されたICカードによる不正利用あるいはインターネットバンキングのサービス提供者側が行った不正利用なのかを切り分けて判別することができる。
【0057】
つまり、正規カードによる不正利用の場合には、操作履歴DB221と正規のICカード102の両方の操作履歴IDは一致するため、仮に正規の利用者が把握していない利用があった場合には正規カードによる不正利用の可能性が高いとして追跡調査を行うことができる。
【0058】
以上、例示的な実施形態を参照しながら本発明の原理を説明したが、様々な実施形態を本発明の要旨を逸脱することなく、構成および細部において変更できることが当業者には理解されよう。
【符号の説明】
【0059】
100 履歴整合認証システム
101 利用者端末
102 ICカード
103 ネットワーク
104 Webサーバ
105 業務アプリケーション(AP)サーバ
201 ログイン画面提供部
202 認証要求受付・処理部
203 操作履歴要求・応答受信部
204 操作履歴突合部
205 最新操作履歴ID送受信部
206 サービス画面提供部
207 乱数生成部
220 利用者マスタ
221 操作履歴DB
222 ICカードマスタ
505 最新操作履歴ID(第n回)
506 前回操作履歴ID(第n−1回)
【特許請求の範囲】
【請求項1】
ICカードに対してデータを読み書き可能なクライアント端末に対する認証処理を実施する認証システムであって、
前記ICカードは、利用者ごとの第1の識別子を2つ以上格納し、
前記認証システムは、
1つまたは複数の、利用者ごとの前記第2の識別子を格納する格納手段と、
前記クライアント端末から認証要求データを受信し、該認証要求データに基づいて利用者の認証可否を判定する受付・処理手段と、
認証可と判定する場合に、前記クライアント端末に対して、前記ICカードに記憶されている前記第1の識別子のうち最新日付の第1の識別子を読み出して送信するよう要求する命令を送信し、該命令に応答して前記クライアント端末から送信される前記最新日付の第1の識別子を受信する要求・応答受信手段と、
前記利用者に関連付けられる前記第2の識別子のうち最新日付の第2の識別子を前記格納手段から取得し、受信した前記最新日付の第1の識別子と前記取得した第2の識別子とを照合して両者が一致するか否かを判定する突合手段と、
前記第1の識別子および前記第2の識別子として使用されることになる乱数を生成する乱数生成手段と、
前記第1の識別子および前記第2の識別子が一致すると判定された場合に、生成された前記乱数を前記第1の識別子として前記クライアント端末に対して送信し、前記クライアント端末から前記第1の識別子の前記ICカードへの書き込み成功を示すデータを受信した後、前記乱数を前記第2の識別子として前記格納手段に格納する識別子送受信手段と、
前記第1の識別子および前記第2の識別子の格納後に、実際のサービス画面を前記クライアント端末に提供する手段と
を備えたことを特徴とする認証システム。
【請求項2】
前記ICカードに格納される前記第1の識別子の数は2つであることを特徴とする請求項1に記載の認証システム。
【請求項3】
前記2つの第1の識別子は、当該認証システムを前回利用した際に付与されたことを示す第1のエリアおよび前々回利用した際に付与されたことを示す第2のエリアに記憶され、
前記生成された乱数が前記第1の識別子として前記クライアント端末に送信された場合に、前記生成された乱数が前記第1のエリアに記憶され、それまで前記第1のエリアに記憶されていた第1の識別子が前記第2のエリアに記憶されることを特徴とする請求項2に記載の認証システム。
【請求項4】
前記2つの第1の識別子は、同一であることを特徴とする請求項3に記載の認証システム。
【請求項5】
前記2つの第1の識別子は、互いに異なることを特徴とする請求項3に記載の認証システム。
【請求項6】
前記第1の識別子および前記第2の識別子が一致しないと判定された場合に、前記クライアント端末に対してエラーメッセージを送信することを特徴とする請求項1に記載の認証システム。
【請求項7】
前記乱数生成手段による前記乱数の生成は、識別子送受信手段からの命令によって実行されることを特徴とする請求項1に記載の認証システム。
【請求項8】
前記乱数は、線形合同法またはハッシュ関数のいずれかを用いて生成されることを特徴とする請求項7に記載の認証システム。
【請求項9】
ICカードに対してデータを読み書き可能なクライアント端末に対する認証処理を実施する認証システムにおける方法であって、
前記ICカードは、利用者ごとの第1の識別子を2つ以上格納し、
前記認証システムは、1つまたは複数の、利用者ごとの前記第2の識別子を格納する格納手段を含み、
前記方法は、
前記クライアント端末から認証要求データを受信し、該認証要求データに基づいて利用者の認証可否を判定するステップと、
認証可と判定する場合に、前記クライアント端末に対して、前記ICカードに記憶されている前記第1の識別子のうち最新日付の第1の識別子を読み出して送信するよう要求する命令を送信し、該命令に応答して前記クライアント端末から送信される前記最新日付の第1の識別子を受信するステップと、
前記利用者に関連付けられる前記第2の識別子のうち最新日付の第2の識別子を前記格納手段から取得し、受信した前記最新日付の第1の識別子と前記取得した第2の識別子とを照合して両者が一致するか否かを判定するステップと、
前記第1の識別子および前記第2の識別子として使用されることになる乱数を生成するステップと、
前記第1の識別子および前記第2の識別子が一致すると判定された場合に、生成された前記乱数を前記第1の識別子として前記クライアント端末に対して送信し、前記クライアント端末から前記第1の識別子の前記ICカードへの書き込み成功を示すデータを受信した後、前記乱数を前記第2の識別子として前記格納手段に格納するステップと、
前記第1の識別子および前記第2の識別子の格納後に、実際のサービス画面を前記クライアント端末に提供するステップと
を含むことを特徴とする方法。
【請求項10】
前記ICカードに格納される前記第1の識別子の数は2つであることを特徴とする請求項9に記載の方法。
【請求項11】
前記2つの第1の識別子は、当該認証システムを前回利用した際に付与されたことを示す第1のエリアおよび前々回利用した際に付与されたことを示す第2のエリアに記憶され、
前記生成された乱数が前記第1の識別子として前記クライアント端末に送信された場合に、前記生成された乱数が前記第1のエリアに記憶され、それまで前記第1のエリアに記憶されていた第1の識別子が前記第2のエリアに記憶されることを特徴とする請求項10に記載の方法。
【請求項12】
前記2つの第1の識別子は、同一であることを特徴とする請求項11に記載の方法。
【請求項13】
前記2つの第1の識別子は、互いに異なることを特徴とする請求項11に記載の方法。
【請求項14】
前記第1の識別子および前記第2の識別子が一致しないと判定された場合に、前記クライアント端末に対してエラーメッセージを送信するステップをさらに含むことを特徴とする請求項9に記載の方法。
【請求項15】
前記乱数は、線形合同法またはハッシュ関数のいずれかを用いて生成されることを特徴とする請求項9に記載の方法。
【請求項1】
ICカードに対してデータを読み書き可能なクライアント端末に対する認証処理を実施する認証システムであって、
前記ICカードは、利用者ごとの第1の識別子を2つ以上格納し、
前記認証システムは、
1つまたは複数の、利用者ごとの前記第2の識別子を格納する格納手段と、
前記クライアント端末から認証要求データを受信し、該認証要求データに基づいて利用者の認証可否を判定する受付・処理手段と、
認証可と判定する場合に、前記クライアント端末に対して、前記ICカードに記憶されている前記第1の識別子のうち最新日付の第1の識別子を読み出して送信するよう要求する命令を送信し、該命令に応答して前記クライアント端末から送信される前記最新日付の第1の識別子を受信する要求・応答受信手段と、
前記利用者に関連付けられる前記第2の識別子のうち最新日付の第2の識別子を前記格納手段から取得し、受信した前記最新日付の第1の識別子と前記取得した第2の識別子とを照合して両者が一致するか否かを判定する突合手段と、
前記第1の識別子および前記第2の識別子として使用されることになる乱数を生成する乱数生成手段と、
前記第1の識別子および前記第2の識別子が一致すると判定された場合に、生成された前記乱数を前記第1の識別子として前記クライアント端末に対して送信し、前記クライアント端末から前記第1の識別子の前記ICカードへの書き込み成功を示すデータを受信した後、前記乱数を前記第2の識別子として前記格納手段に格納する識別子送受信手段と、
前記第1の識別子および前記第2の識別子の格納後に、実際のサービス画面を前記クライアント端末に提供する手段と
を備えたことを特徴とする認証システム。
【請求項2】
前記ICカードに格納される前記第1の識別子の数は2つであることを特徴とする請求項1に記載の認証システム。
【請求項3】
前記2つの第1の識別子は、当該認証システムを前回利用した際に付与されたことを示す第1のエリアおよび前々回利用した際に付与されたことを示す第2のエリアに記憶され、
前記生成された乱数が前記第1の識別子として前記クライアント端末に送信された場合に、前記生成された乱数が前記第1のエリアに記憶され、それまで前記第1のエリアに記憶されていた第1の識別子が前記第2のエリアに記憶されることを特徴とする請求項2に記載の認証システム。
【請求項4】
前記2つの第1の識別子は、同一であることを特徴とする請求項3に記載の認証システム。
【請求項5】
前記2つの第1の識別子は、互いに異なることを特徴とする請求項3に記載の認証システム。
【請求項6】
前記第1の識別子および前記第2の識別子が一致しないと判定された場合に、前記クライアント端末に対してエラーメッセージを送信することを特徴とする請求項1に記載の認証システム。
【請求項7】
前記乱数生成手段による前記乱数の生成は、識別子送受信手段からの命令によって実行されることを特徴とする請求項1に記載の認証システム。
【請求項8】
前記乱数は、線形合同法またはハッシュ関数のいずれかを用いて生成されることを特徴とする請求項7に記載の認証システム。
【請求項9】
ICカードに対してデータを読み書き可能なクライアント端末に対する認証処理を実施する認証システムにおける方法であって、
前記ICカードは、利用者ごとの第1の識別子を2つ以上格納し、
前記認証システムは、1つまたは複数の、利用者ごとの前記第2の識別子を格納する格納手段を含み、
前記方法は、
前記クライアント端末から認証要求データを受信し、該認証要求データに基づいて利用者の認証可否を判定するステップと、
認証可と判定する場合に、前記クライアント端末に対して、前記ICカードに記憶されている前記第1の識別子のうち最新日付の第1の識別子を読み出して送信するよう要求する命令を送信し、該命令に応答して前記クライアント端末から送信される前記最新日付の第1の識別子を受信するステップと、
前記利用者に関連付けられる前記第2の識別子のうち最新日付の第2の識別子を前記格納手段から取得し、受信した前記最新日付の第1の識別子と前記取得した第2の識別子とを照合して両者が一致するか否かを判定するステップと、
前記第1の識別子および前記第2の識別子として使用されることになる乱数を生成するステップと、
前記第1の識別子および前記第2の識別子が一致すると判定された場合に、生成された前記乱数を前記第1の識別子として前記クライアント端末に対して送信し、前記クライアント端末から前記第1の識別子の前記ICカードへの書き込み成功を示すデータを受信した後、前記乱数を前記第2の識別子として前記格納手段に格納するステップと、
前記第1の識別子および前記第2の識別子の格納後に、実際のサービス画面を前記クライアント端末に提供するステップと
を含むことを特徴とする方法。
【請求項10】
前記ICカードに格納される前記第1の識別子の数は2つであることを特徴とする請求項9に記載の方法。
【請求項11】
前記2つの第1の識別子は、当該認証システムを前回利用した際に付与されたことを示す第1のエリアおよび前々回利用した際に付与されたことを示す第2のエリアに記憶され、
前記生成された乱数が前記第1の識別子として前記クライアント端末に送信された場合に、前記生成された乱数が前記第1のエリアに記憶され、それまで前記第1のエリアに記憶されていた第1の識別子が前記第2のエリアに記憶されることを特徴とする請求項10に記載の方法。
【請求項12】
前記2つの第1の識別子は、同一であることを特徴とする請求項11に記載の方法。
【請求項13】
前記2つの第1の識別子は、互いに異なることを特徴とする請求項11に記載の方法。
【請求項14】
前記第1の識別子および前記第2の識別子が一致しないと判定された場合に、前記クライアント端末に対してエラーメッセージを送信するステップをさらに含むことを特徴とする請求項9に記載の方法。
【請求項15】
前記乱数は、線形合同法またはハッシュ関数のいずれかを用いて生成されることを特徴とする請求項9に記載の方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図2】
【図3】
【図4】
【図5】
【公開番号】特開2011−3085(P2011−3085A)
【公開日】平成23年1月6日(2011.1.6)
【国際特許分類】
【出願番号】特願2009−146731(P2009−146731)
【出願日】平成21年6月19日(2009.6.19)
【出願人】(397077955)株式会社三井住友銀行 (120)
【Fターム(参考)】
【公開日】平成23年1月6日(2011.1.6)
【国際特許分類】
【出願日】平成21年6月19日(2009.6.19)
【出願人】(397077955)株式会社三井住友銀行 (120)
【Fターム(参考)】
[ Back to top ]