認証システム及び認証方法
【課題】ワンタイムパスワードを利用した認証システムの安全性向上や固定パスワードを利用する認証システムからの移行容易化や使用範囲の拡大を図る。
【解決手段】ワンタイムパスワードが時間に同期する認証システムまたはワンタイムパスワードがオンラインサービス認証要求の回数に同期する認証システムであり、ワンタイムパスワードクライアント9がワンタイムパスワードサーバ2からオンラインサービス認証用ワンタイムパスワードをダウンロードする際に、クライアントサーバ間で現在の時刻情報またはオンラインサービス認証要求回数の現在値を一致させて、ダウンロードされたオンラインサービス認証用ワンタイムパスワードが有効な間だけ、オンラインサービス認証要求を認証する。ワンタイムパスワードをオンラインサービス認証要求に含まれるサービス利用内容に同期させることもできる。
【解決手段】ワンタイムパスワードが時間に同期する認証システムまたはワンタイムパスワードがオンラインサービス認証要求の回数に同期する認証システムであり、ワンタイムパスワードクライアント9がワンタイムパスワードサーバ2からオンラインサービス認証用ワンタイムパスワードをダウンロードする際に、クライアントサーバ間で現在の時刻情報またはオンラインサービス認証要求回数の現在値を一致させて、ダウンロードされたオンラインサービス認証用ワンタイムパスワードが有効な間だけ、オンラインサービス認証要求を認証する。ワンタイムパスワードをオンラインサービス認証要求に含まれるサービス利用内容に同期させることもできる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、認証システム及び認証方法に係り、特に、クライアントサーバシステムにおけるクライアントの認証及びメールの認証に使用して好適な認証システム及び認証方法に関する。
【背景技術】
【0002】
クライアントサーバシステムにおけるクライアントの認証を行う技術として、固定パスワードを利用する認証システムが知られている。
【0003】
図1は固定パスワードを利用した従来技術による認証システムの構成例を示すブロック図である。図1において、1はオンラインサービスサーバ、3は情報端末装置、5はネットワーク、6はデータベース、7はオンラインサービスクライアントである。
【0004】
固定パスワードを利用した従来技術による認証システムは、オンラインサービスサーバ1と情報端末装置3が、ネットワーク5を介して接続されて構成されている。オンラインサービスサーバ1は、データベース6に接続されており、情報端末装置3は、オンラインサービスクライアント7を備えて構成されている。前述において、オンラインサービスサーバ1とデータベース6とは、オンラインサービス提供者が所有している。また、情報端末装置3は、オンラインサービス利用者が所有している。そして、例えば、オンラインサービスサーバ1はWWWサーバであり、情報端末装置3はパソコンであり、オンラインサービスクライアント7はWWWブラウザである。
【0005】
次に、前述したように構成される固定パスワードを利用した認証システムの初期状態について説明する。
【0006】
データベース6は、オンラインサービス利用者毎に、オンラインサービス利用者ID、及び、オンラインサービス認証用パスワードの各データを記憶している。また、オンラインサービス利用者は、オンラインサービス利用者ID、及び、オンラインサービス認証用固定パスワードの各データを自身が記憶する。但し、オンラインサービス認証用パスワードとしては、オンラインサービス認証用固定パスワードが設定される。
【0007】
図2は固定パスワードを利用した認証システムのオンラインサービス認証処理の処理動作を説明するフローチャートであり、次に、これについて説明する。
【0008】
(1)オンラインサービス利用者は、情報端末装置3のオンラインサービスクライアント7に、オンラインサービス認証用固定パスワードをオンラインサービス認証用パスワードとして、オンラインサービス利用者IDとオンラインサービス認証用パスワードとサービス利用内容とを入力する。ここで、サービス利用内容とは、例えば、オンラインサービスログイン等の操作内容や、商品売買や銀行振込等の取引内容である(ステップ101)。
【0009】
(2)情報端末装置3のオンラインサービスクライアント7は、入力されたオンラインサービス利用者IDとオンラインサービス認証用パスワードとサービス利用内容とを含むオンラインサービス認証要求を、オンラインサービスサーバ1に送信する(ステップ102)。
【0010】
(3)オンラインサービスサーバ1は、受信したオンラインサービス認証要求に含まれるオンラインサービス利用者IDとオンラインサービス認証用パスワードとの組によりデータベース6を検索し、データベースに記憶されているオンラインサービス利用者IDとオンラインサービス認証用パスワードとの組に一致するものがあり、かつ、受信したオンラインサービス認証要求に含まれるオンラインサービス利用者IDを含むオンラインサービス認証要求が一定時間以内に一定回数以下だけ認証に失敗している(アカウントロックアウトされていない)、すなわち、認証に成功していた場合、受信したサービス利用内容に従ってオンラインサービスを提供する(ステップ103)。
【0011】
固定パスワードを利用した認証システムは、オンラインサービス認証用固定パスワードが頻繁には変更されないので、利用者が使用する情報端末装置にキーロガー等が仕掛けられてオンラインサービス利用者IDとオンラインサービス認証用固定パスワードとが漏洩すると、これらのパスワードが不正に再利用される危険性が高い。
【0012】
前述した固定パスワードを利用した認証システムの危険性への対策を施したクライアントサーバシステムにおけるクライアントの認証技術として、ワンタイムパスワードを利用した認証システムが知られている。ワンタイムパスワードを利用した認証システムは、ワンタイムパスワードサーバとワンタイムパスワードクライアントとがオンラインサービス認証用ワンタイムパスワードを共有して、ワンタイムパスワードクライアントがオンラインサービス認証用ワンタイムパスワードを表示し、オンラインサービス認証用ワンタイムパスワードをオンラインサービス認証用パスワードとして、オンラインサービス認証処理を実行するというものである。
【0013】
ワンタイムパスワードを利用した認証システムのうち、ワンタイムパスワードをワンタイムパスワードサーバからダウンロードする認証システムは、オンラインサービス利用者が、ワンタイムパスワードクライアントに、オンラインサービス利用者IDとワンタイムパスワードダウンロード用固定パスワードとを入力して、ワンタイムパスワードクライアントが、ワンタイムパスワードサーバにオンラインサービス利用者IDとワンタイムパスワードダウンロード用固定パスワードとの組を含むオンラインサービス認証用ワンタイムパスワードダウンロード要求を送信し、ワンタイムパスワードサーバが受信したオンラインサービス認証用ワンタイムパスワードダウンロード要求に含まれるオンラインサービス利用者IDとワンタイムパスワードダウンロード用固定パスワードとの組を認証してからワンタイムパスワードクライアントにオンラインサービス認証用ワンタイムパスワードを送信して共有するというものである。
【0014】
また、ワンタイムパスワードを利用した認証システムのうち、特許文献1に記載されているワンタイムパスワードが時間に同期する認証システムは、オンラインサービスサーバとワンタイムパスワードクライアントとが独立に、セキュアハッシュ関数をオンラインサービス利用者IDと固定パスワードと現在の時刻情報とを引数にオンラインサービス認証用ワンタイムパスワードを計算して共有するというものである。
【0015】
さらに、ワンタイムパスワードを利用した認証システムのうち、ワンタイムパスワードがオンラインサービス認証要求の回数に同期する認証システムは、オンラインサービスサーバとワンタイムパスワードクライアントとが独立に、セキュアハッシュ関数をオンラインサービス利用者IDと固定パスワードとオンラインサービス認証要求回数の現在値とを引数にオンラインサービス認証用ワンタイムパスワードを計算して共有するというものである。
【0016】
前述で説明したワンタイムパスワードを利用した認証システムは、オンラインサービス認証用ワンタイムパスワードが現在の時刻情報毎またはオンラインサービス認証要求回数毎に異なるので、キーロガー等によりオンラインサービス利用者IDとオンラインサービス認証用ワンタイムパスワードとが漏洩した場合にも、不正に再利用される危険性が低いという特徴を有している。
【特許文献1】特開2002−259344号公報
【発明の開示】
【発明が解決しようとする課題】
【0017】
しかし、前述した従来技術によるワンタイムパスワードを利用した認証システムは、その何れのものも、以下に説明するような問題点を有している。
【0018】
第1の問題点として、ワンタイムパスワードをワンタイムパスワードサーバからダウンロードする認証システムの場合、オンラインサービス認証用ワンタイムパスワードダウンロード要求を、オンラインサービス利用者が入力したワンタイムパスワードダウンロード用固定パスワードを用いて認証するため、ワンタイムパスワードの安全性がオンラインサービス利用者によって入力される固定パスワードの安全性に常に依存することになるという問題点がある。
【0019】
第2の問題点として、新規にワンタイムパスワードを利用した認証システムを構築する場合のみを想定しており、固定パスワードを利用した認証システムからワンタイムパスワードを利用した認証システムに移行する場合を想定していないため、オンラインサービス認証要求の認証を行っている図2により説明したステップ103の処理の変更が必要になるという問題点がある。
【0020】
第3の問題点として、従来技術のワンタイムパスワードが時間に同期する認証システム及びワンタイムパスワードがオンラインサービス認証要求の回数に同期する認証システムの場合、オンラインサービスサーバとワンタイムパスワードクライアントとの現在の時刻情報やオンラインサービス認証要求回数の現在値が一致しない場合を想定しておかなければならないため、前後数分間の時刻情報や数回先のオンラインサービス認証要求回数を引数に計算されるオンラインサービス認証用ワンタイムパスワードも認証に成功させてしまうという問題点がある。
【0021】
第4の問題点として、従来技術のワンタイムパスワードが時間に同期する認証システム及びワンタイムパスワードがオンラインサービス認証要求の回数に同期する認証システムの場合、オンラインサービスサーバとワンタイムパスワードクライアントとが独立にオンラインサービス認証用ワンタイムパスワードを計算するため、攻撃者が時間や回数に制限なく攻撃することができるという問題点がある。
【0022】
第5の問題点として、オンラインサービス認証用ワンタイムパスワードの強度が常に一定であるため、特定のオンラインサービス利用者IDが攻撃された場合に、オンラインサービス認証用ワンタイムパスワードの強度が強くならないという問題点がある。
【0023】
第6の問題点として、ワンタイムパスワードがオンラインサービス認証要求に含まれるサービス利用内容に同期していないため、オンラインサービス認証要求に含まれるサービス利用内容が改竄されても認証に成功してしまうという問題点がある。
【0024】
第7の問題点として、携帯端末装置がオンラインサービスクライアントとワンタイムパスワードクライアントとから構成される場合を想定していないため、携帯端末装置のオンラインサービスクライアント使用時のオンラインサービス認証処理にワンタイムパスワードを使用することができないという問題点がある。
【0025】
第8の問題点として、ワンタイムパスワードをクライアントの認証に使用する場合のみを想定しており、ワンタイムパスワードをメールの認証に使用する場合を想定していないため、フィッシングメール対策にワンタイムパスワードを使用することができないという問題点がある。
【0026】
第9の問題点として、パスワードの安全性を向上させることができるものの、IDの安全性を向上させることができず、しかも、オンラインサービス利用者IDは連番で割り当てられやすいため、攻撃者は有効なオンラインサービス利用者IDを推測してアカウントロックアウトすることができるという問題点がある。
【0027】
本発明の目的は、前述したワンタイムパスワードを使用する従来技術の問題点を解決し、ワンタイムパスワードを利用した認証システムの安全性向上、システム移行の容易化、使用範囲の拡大を図ることを可能にした認証システム及び認証方法を提供することにある。
【課題を解決するための手段】
【0028】
本発明によれば前記目的は、オンラインサービスサーバとワンタイムパスワードサーバとオンラインサービスクライアントとワンタイムパスワードクライアントとがネットワークを介して接続されて構成されるクライアントサーバシステムでの認証システムであって、前記ワンタイムパスワードサーバは、オンラインサービス認証用ワンタイムパスワードダウンロード要求を認証してから前記ワンタイムパスワードクライアントと複数個のオンラインサービス認証用ワンタイムパスワードを共有し、前記ワンタイムパスワードクライアントは、オンラインサービス認証用ワンタイムパスワードを前記ワンタイムパスワードサーバと共有してから一定時間間隔で順番に表示対象となる複数個のオンラインサービス認証用ワンタイムパスワードのいずれか1個、あるいは、オンラインサービス認証要求回数とオンラインサービス認証用ワンタイムパスワードとの組を表示し、前記オンラインサービスサーバは、前記オンラインサービスクライアントから受信したオンラインサービス認証要求を、オンラインサービス認証用ワンタイムパスワードを共有してから一定時間経過後、あるいは、オンラインサービス認証用ワンタイムパスワードを共有以降のオンラインサービス認証要求回数が共有したオンラインサービス認証用ワンタイムパスワードの個数を超えたならば認証失敗とし、オンラインサービス認証用ワンタイムパスワードを共有してから一定時間間隔で順番に認証条件となる複数個のオンラインサービス認証用ワンタイムパスワードのいずれか1個により、あるいは、オンラインサービス認証用ワンタイムパスワードを共有以降のオンラインサービス認証要求回数と組になるオンラインサービス認証用ワンタイムパスワードにより認証することにより達成される。
【0029】
また、前記目的は、オンラインサービスサーバとワンタイムパスワードサーバとオンラインサービスクライアントとワンタイムパスワードクライアントとがネットワークを介して接続され、オンラインサービスサーバとワンタイムパスワードサーバとがデータベースに接続されて構成されるクライアントサーバシステムでの認証システムであって、認証システムの初期状態が、前記データベースに記憶されているオンラインサービス認証用パスワードにオンラインサービス認証用固定パスワードが設定された状態であり、前記ワンタイムパスワードサーバは、前記ワンタイムパスワードクライアントからの初期化要求を認証してからデータベースに記憶されているオンラインサービス認証用パスワードにダミーワンタイムパスワードを設定すると共に、オンラインサービス認証用ワンタイムパスワードダウンロード要求を認証してから前記データベースに記憶されているオンラインサービス認証用パスワードにオンラインサービス認証用ワンタイムパスワードを設定し、前記オンラインサービスサーバは、前記オンラインサービスクライアントから受信したオンラインサービス認証要求を前記データベースに記憶されているオンラインサービス認証用パスワードにより認証し、前記オンラインサービスサーバまたは前記ワンタイムパスワードサーバは、オンラインサービス認証用ワンタイムパスワードダウンロード要求を認証してから、ワンタイムパスワードクライアントと共有したオンラインサービス認証用ワンタイムパスワードをオンラインサービス認証要求の認証条件としない場合、前記データベースに記憶されているオンラインサービス認証用パスワードにダミーワンタイムパスワードを設定することにより達成される。
【0030】
また、前記目的は、オンラインサービスサーバとオンラインサービスクライアントとがネットワークを介して接続され、オンラインサービスサーバとワンタイムパスワードサーバとオンラインサービスクライアントとワンタイムパスワードクライアントとから構成されるクライアントサーバシステムでの認証システムであって、前記オンラインサービスサーバは、オンラインサービスクライアントから受信したオンラインサービス認証要求を文字数がオンラインサービス認証用ワンタイムパスワード強度の現在値であるオンラインサービス認証用ワンタイムパスワードで認証し、認証失敗したならばオンラインサービス認証用ワンタイムパスワード強度の現在値を大きくすることにより達成される。
【0031】
また、前記目的は、オンラインサービスサーバとワンタイムパスワードサーバとオンラインサービスクライアントとワンタイムパスワードクライアントとがネットワークを介して接続されて構成されるクライアントサーバシステムでの認証方法であって、前記ワンタイムパスワードサーバは、オンラインサービス認証用ワンタイムパスワードダウンロード要求を認証してから前記ワンタイムパスワードクライアントと複数個のオンラインサービス認証用ワンタイムパスワードを共有し、前記ワンタイムパスワードクライアントは、オンラインサービス認証用ワンタイムパスワードを前記ワンタイムパスワードサーバと共有してから一定時間間隔で順番に表示対象となる複数個のオンラインサービス認証用ワンタイムパスワードのいずれか1個、あるいは、オンラインサービス認証要求回数とオンラインサービス認証用ワンタイムパスワードとの組を表示し、前記オンラインサービスサーバは、前記オンラインサービスクライアントから受信したオンラインサービス認証要求を、オンラインサービス認証用ワンタイムパスワードを共有してから一定時間経過後、あるいは、オンラインサービス認証用ワンタイムパスワードを共有以降のオンラインサービス認証要求回数が共有したオンラインサービス認証用ワンタイムパスワードの個数を超えたならば認証失敗とし、オンラインサービス認証用ワンタイムパスワードを共有してから一定時間間隔で順番に認証条件となる複数個のオンラインサービス認証用ワンタイムパスワードのいずれか1個により、あるいは、オンラインサービス認証用ワンタイムパスワードを共有以降のオンラインサービス認証要求回数と組になるオンラインサービス認証用ワンタイムパスワードにより認証することにより達成される。
【0032】
また、前記目的は、オンラインサービスサーバとワンタイムパスワードサーバとオンラインサービスクライアントとワンタイムパスワードクライアントとがネットワークを介して接続され、オンラインサービスサーバとワンタイムパスワードサーバとがデータベースに接続されて構成されるクライアントサーバシステムでの認証方法であって、認証システムの初期状態が、前記データベースに記憶されているオンラインサービス認証用パスワードにオンラインサービス認証用固定パスワードが設定された状態であり、前記ワンタイムパスワードサーバは、前記ワンタイムパスワードクライアントからの初期化要求を認証してからデータベースに記憶されているオンラインサービス認証用パスワードにダミーワンタイムパスワードを設定すると共に、オンラインサービス認証用ワンタイムパスワードダウンロード要求を認証してから前記データベースに記憶されているオンラインサービス認証用パスワードにオンラインサービス認証用ワンタイムパスワードを設定し、前記オンラインサービスサーバは、前記オンラインサービスクライアントから受信したオンラインサービス認証要求を前記データベースに記憶されているオンラインサービス認証用パスワードにより認証し、前記オンラインサービスサーバまたは前記ワンタイムパスワードサーバは、オンラインサービス認証用ワンタイムパスワードダウンロード要求を認証してから、ワンタイムパスワードクライアントと共有したオンラインサービス認証用ワンタイムパスワードをオンラインサービス認証要求の認証条件としない場合、前記データベースに記憶されているオンラインサービス認証用パスワードにダミーワンタイムパスワードを設定することにより達成される。
【発明の効果】
【0033】
本発明によれば、クライアントサーバシステムにおける、ワンタイムパスワードを利用した認証システムの安全性向上や固定パスワードを利用する認証システムからの移行容易化や使用範囲の拡大を図ることができる。
【発明を実施するための最良の形態】
【0034】
以下、本発明による認証システム及び認証方法の実施形態を図面により詳細に説明する。
【0035】
図3は本発明の一実施形態による認証システムの構成を示すブロック図である。以下に説明する本発明の実施形態は、ワンタイムパスワードを利用した認証システムである。図3において、2はワンタイムパスワードサーバ、4は携帯端末装置、8はオンラインサービスクライアント、9はワンタイムパスワードクライアントであり、他の符号は図1の場合と同一である。
【0036】
図3に示す本発明の実施形態による認証システムは、オンラインサービスサーバ1とワンタイムパスワードサーバ2と情報端末装置3と携帯端末装置4とが、ネットワーク5を介して接続されて構成されている。オンラインサービスサーバ1とワンタイムパスワードサーバ2とは、データベース6に接続されている。情報端末装置3は、オンラインサービスクライアント7から構成され、携帯端末装置4は、オンラインサービスクライアント8とワンタイムパスワードクライアント9とから構成される。
【0037】
前述において、オンラインサービスサーバ1とワンタイムパスワードサーバ2とデータベース6とは、オンラインサービス提供者が所有し、情報端末装置3と携帯端末装置4は、オンラインサービス利用者が所有する。また、携帯端末装置4は、携帯電話等であってよい。
【0038】
次に、前述したように構成される本発明の実施形態によるワンタイムパスワードを利用した認証システムの初期状態について説明する。
【0039】
データベース6は、オンラインサービス利用者毎に、オンラインサービス利用者ID、オンラインサービス認証用パスワード、及び、ワンタイムパスワードクライアント初期化用固定パスワードの各データを記憶している。また、オンラインサービス利用者は、オンラインサービス利用者ID及びワンタイムパスワードクライアント初期化用固定パスワードの各データを記憶する。
【0040】
但し、固定パスワードを利用した認証システムから本発明による認証システムに移行する場合、オンラインサービス認証用パスワードには、オンラインサービス認証用固定パスワードを設定する。また、新規に本発明による認証システムを構築する場合、オンラインサービス認証用パスワードには、ワンタイムパスワードサーバ2がランダムに生成したダミーワンタイムパスワードを設定する。以下の説明では、データベース6に対するデータ操作は、オンラインサービス利用者IDと組になるデータを対象とする。
【0041】
次に、本発明の実施形態による認証システムにおけるワンタイムパスワードクライアントの初期化処理の処理動作を説明する。但し、ワンタイムパスワードクライアントの初期化処理以前に、オンラインサービス利用者は、ワンタイムパスワードクライアント起動用固定パスワードをランダムに生成して記憶しておくものとする。なお、ここでの処理動作のフローは示していない。
【0042】
(処理201)
オンラインサービス利用者は、ワンタイムパスワードクライアント9に、オンラインサービス利用者IDとワンタイムパスワードクライアント初期化用固定パスワードとワンタイムパスワードクライアント起動用固定パスワードとを入力する。
【0043】
(処理202)
ワンタイムパスワードクライアント9は、ワンタイムパスワードサーバ2に、オンラインサービス利用者IDとワンタイムパスワードクライアント初期化用固定パスワードとの組を含むワンタイムパスワードクライアント初期化要求を送信する。
【0044】
(処理203)
ワンタイムパスワードサーバ2は、受信したワンタイムパスワードクライアント初期化要求に含まれるオンラインサービス利用者IDとワンタイムパスワードクライアント初期化用固定パスワードとの組によりデータベース6を検索し、データベース6に記憶されているオンラインサービス利用者IDとワンタイムパスワードクライアント初期化用固定パスワードとの組に一致するものがあり、かつ、受信したワンタイムパスワードクライアント初期化要求に含まれるオンラインサービス利用者IDを含むワンタイムパスワードクライアント初期化要求が一定時間以内に一定回数以下だけしか認証に失敗していない場合(アカウントロックアウトされていない)、ダミーワンタイムパスワードをランダムに生成して、データベース6に記憶されているオンラインサービス認証用パスワードにダミーワンタイムパスワードを設定し、共有秘密情報をランダムに生成して、この共有秘密情報をデータベース6に記憶し、ワンタイムパスワードクライアント9に共有秘密情報を送信する。但し、共有秘密情報とは、ワンタイムパスワードサーバ2とワンタイムパスワードクライアント9とが共有する固定パスワードまたは暗号系の鍵である。
【0045】
(処理204)
ワンタイムパスワードクライアント9は、送信されてきた共有秘密情報を受信すると、オンラインサービス利用者IDとワンタイムパスワードクライアント起動用固定パスワードと共有秘密情報とを記憶する。
【0046】
以上の処理を実行することにより、ワンタイムパスワードクライアントの初期化処理が終了する。
【0047】
次に、本発明の実施形態による認証システムにおけるワンタイムパスワードクライアントの起動処理について説明する。但し、ワンタイムパスワードクライアントの起動処理以前に、前述で説明したワンタイムパスワードクライアントの初期化処理の実行が終了しているものとする。なお、ここでの処理動作のフローは示していない。
【0048】
(処理301)
オンラインサービス利用者は、ワンタイムパスワードクライアント9に、ワンタイムパスワードクライアント起動用固定パスワードを入力する。
【0049】
(処理302)
ワンタイムパスワードクライアント9は、入力されたワンタイムパスワードクライアント起動用固定パスワードがワンタイムパスワードクライアント9に記憶されているワンタイムパスワードクライアント起動用固定パスワードに等しい場合に、図4により後述するステップ401の処理以降のワンタイムパスワードクライアント9での処理を実行可能にする。
【0050】
(処理303)
ワンタイムパスワードクライアント9は、一定回数連続して、入力されたワンタイムパスワードクライアント起動用固定パスワードがワンタイムパスワードクライアント9に記憶されているワンタイムパスワードクライアント起動用固定パスワードに等しくなかった場合、ワンタイムパスワードクライアント9に記憶されているオンラインサービス利用者IDとワンタイムパスワードクライアント起動用固定パスワードと共有秘密情報とを消去する。
【0051】
図4は本発明による認証システムにおいて、情報端末装置のオンラインサービスクライアント使用時のオンラインサービス認証処理(ワンタイムパスワードが時間に同期する場合)の処理動作を説明するフローチャートであり、次に、これについて説明する。但し、ここでの処理で使用する共有秘密情報は、ワンタイムパスワードダウンロード用固定パスワードであるとする。
【0052】
(1)携帯端末装置4のワンタイムパスワードクライアント9は、ワンタイムパスワードサーバ2に、オンラインサービス利用者IDとワンタイムパスワードダウンロード用固定パスワードとの組を含むオンラインサービス認証用ワンタイムパスワードダウンロード要求を送信する(ステップ401)。
【0053】
(2)ワンタイムパスワードサーバ2は、受信したオンラインサービス認証用ワンタイムパスワードダウンロード要求に含まれるオンラインサービス利用者IDとワンタイムパスワードダウンロード用固定パスワードとの組によりデータベース6を検索し、データベース6に記憶されているオンラインサービス利用者IDとワンタイムパスワードダウンロード用固定パスワードとの組に一致するものがある場合、N個のオンラインサービス認証用ワンタイムパスワード(OTP[0]〜OTP[N−1])をランダムに生成して、データベース6に記憶されているオンラインサービス認証用パスワードにOTP[0]を設定して、ワンタイムパスワードクライアント9にOTP[0]〜OTP[N−1]を送信する(ステップ402)。
【0054】
(3)ワンタイムパスワードクライアント9は、オンラインサービス利用者IDと受信したオンラインサービス認証用ワンタイムパスワードの1つであるOTP[0]を表示する(ステップ403)。
【0055】
(4)ワンタイムパスワードサーバ2は、ステップ402の処理を実行した後、一定時間(Ti秒、1≦i≦N−1)経過後に、データベース6に記憶されているオンラインサービス認証用パスワードにOTP[i]を設定する。また、ワンタイムパスワードサーバ2は、ステップ402の処理を実行した後、一定時間(TN秒)経過後に、ダミーワンタイムパスワードをランダムに生成して、データベース6に記憶されているオンラインサービス認証用パスワードにダミーワンタイムパスワードを設定する(ステップ404)。
【0056】
(5)ワンタイムパスワードクライアント9は、ステップ403の処理を実行した後、一定時間(Ti秒、1≦i≦N−1)経過後に、オンラインサービス利用者IDとオンラインサービス認証用ワンタイムパスワードの1つであるOTP[i]を表示する。また、ワンタイムパスワードクライアント9は、ステップ403の処理を実行した後、一定時間(TN秒)経過後に、オンラインサービス利用者IDとオンラインサービス認証用ワンタイムパスワードとの表示を終了する(ステップ405)。
【0057】
(6)オンラインサービス利用者は、情報端末装置3のオンラインサービスクライアント7に、ワンタイムパスワードクライアント9に表示されているオンラインサービス認証用ワンタイムパスワードをオンラインサービス認証用パスワードとして、オンラインサービス利用者IDとオンラインサービス認証用パスワードとサービス利用内容とを入力する(ステップ406)。
【0058】
(7)情報端末装置3のオンラインサービスクライアント7は、オンラインサービスサーバ1に、オンラインサービス利用者IDとオンラインサービス認証用パスワードとサービス利用内容との組を含むオンラインサービス認証要求を送信する(ステップ407)。
【0059】
(8)オンラインサービスサーバ1は、ステップ407の処理で送信されてきたオンラインサービス認証要求を受信すると、図2により説明した従来技術でのステップ103の処理と同一の処理を実行する(ステップ408)。
【0060】
図5は本発明の認証システムにおいて、情報端末装置のオンラインサービスクライアント使用時のオンラインサービス認証処理(ワンタイムパスワードがオンラインサービス認証要求の回数に同期する場合)の処理動作を説明するフローチャートであり、次に、これについて説明する。但し、ここでの処理で使用する共有秘密情報をワンタイムパスワードダウンロード用固定パスワードとする。また、本発明の認証システムの初期状態で、データベース6が、オンラインサービス利用者毎に、オンラインサービス認証要求回数の最大値としてNが設定されたオンラインサービス認証要求回数の現在値を記憶しているものとする。
【0061】
(1)携帯端末装置4のワンタイムパスワードクライアント9は、ワンタイムパスワードサーバ2に、オンラインサービス利用者IDとワンタイムパスワードダウンロード用固定パスワードとの組を含むオンラインサービス認証用ワンタイムパスワードダウンロード要求を送信する(ステップ501)。
【0062】
(2)ワンタイムパスワードサーバ2は、受信したオンラインサービス認証用ワンタイムパスワードダウンロード要求に含まれるオンラインサービス利用者IDとワンタイムパスワードダウンロード用固定パスワードとの組によりデータベース6を検索し、データベース6に記憶されているオンラインサービス利用者IDとワンタイムパスワードダウンロード用固定パスワードとの組に一致するものあった場合、N個のオンラインサービス認証用ワンタイムパスワード(OTP[1]〜OTP[N])をランダムに生成して、データベース6に記憶されているオンラインサービス認証用パスワードにOTP[1]を設定して、データベース6に記憶されているオンラインサービス認証要求回数の現在値にオンラインサービス認証要求回数初期値1を設定して、データベース6にOTP[2]〜OTP[N]を記憶して、ワンタイムパスワードクライアント9にオンラインサービス認証用ワンタイムパスワードOTP[1]〜OTP[N]を送信する(ステップ502)。
【0063】
(3)ワンタイムパスワードクライアント9は、送信されてきたオンラインサービス認証用ワンタイムパスワードOTP[1]〜OTP[N]を受信して記憶する(ステップ503)。
【0064】
(4)ワンタイムパスワードクライアント9は、オンラインサービス利用者IDとオンラインサービス認証要求回数iとオンラインサービス認証用ワンタイムパスワードOTP[i]との組(1≦i≦N)を表示する(ステップ504)。
【0065】
(5)オンラインサービス利用者は、情報端末装置3のオンラインサービスクライアント7に、オンラインサービス認証要求回数の現在値xと組になるワンタイムパスワードクライアント9に表示されているオンラインサービス認証用ワンタイムパスワードOTP[x]をオンラインサービス認証用パスワードとして、オンラインサービス利用者IDとオンラインサービス認証用パスワードとサービス利用内容とを入力する(ステップ505)。
【0066】
(6)情報端末装置3のオンラインサービスクライアント7は、オンラインサービスサーバ1に、オンラインサービス利用者IDとオンラインサービス認証用パスワードとサービス利用内容との組を含むオンラインサービス認証要求を送信する(ステップ506)。
【0067】
(7)オンラインサービスサーバ1は、ステップ506の処理で送信されてきたオンラインサービス認証要求を受信すると、図2により説明した従来技術でのステップ103の処理と同一の処理を実行する(ステップ507)。
【0068】
(8)その後、オンラインサービスサーバ1は、データベース6に記憶されているオンラインサービス認証要求回数の現在値xがオンラインサービス認証要求回数の最大値Nに等しかった場合、ダミーワンタイムパスワードをランダムに生成して、データベース6に記憶されているオンラインサービス認証用パスワードにダミーワンタイムパスワードを設定して、情報端末装置3のオンラインサービスクライアント7にオンラインサービス認証用ワンタイムパスワードダウンロードを促す画面を送信する。また、オンラインサービスサーバ1は、データベース6に記憶されているオンラインサービス認証要求回数の現在値xがオンラインサービス認証要求回数最大値N未満であれば、データベース6に記憶されているオンラインサービス認証用パスワードにOTP[x+1]を設定して、データベース6に記憶されているオンラインサービス認証要求回数の現在値にx+1を設定して、情報端末装置3のオンラインサービスクライアント7にオンラインサービス認証要求回数の現在値x+1を表示する画面を送信する(ステップ508)。
【0069】
次に、本発明の認証システムにおいて、特定のオンラインサービス利用者IDが攻撃された場合にもワンタイムパスワードを当てられにくくして安全性を高めることができる対策処理について説明する。この処理は、前述で説明した図4、図5のフローの一部を変更することにより実施することができる。なお、本発明による認証システムの初期状態で、データベース6が、オンラインサービス利用者毎に、オンラインサービス認証用ワンタイムパスワード強度の初期値が設定されたオンラインサービス認証用ワンタイムパスワード強度現在値を記憶しているものとする。
【0070】
図4におけるステップ408の処理または図5におけるステップ507の処理で、オンラインサービスサーバ1は、データベース6に記憶されているオンラインサービス認証用ワンタイムパスワード強度現在値xを取得して、受信したオンラインサービス認証要求に含まれるオンラインサービス認証用パスワードとデータベース6に記憶されているオンラインサービス認証用パスワードとを先頭からx文字が等しいか否かにより認証し、認証に成功したならばデータベース6に記憶されているオンラインサービス認証用ワンタイムパスワード強度現在値にオンラインサービス認証用ワンタイムパスワード強度初期値を設定して、認証に失敗したならばデータベース6に記憶されているオンラインサービス認証用ワンタイムパスワード強度現在値にx+1を設定して、情報端末装置3のオンラインサービスクライアント7にオンラインサービス認証用ワンタイムパスワード強度現在値を表示する画面を送信する。
【0071】
図6は本発明による認証システムにおいて、情報端末装置のオンラインサービスクライアント使用時のオンラインサービス認証処理(ワンタイムパスワードがオンラインサービス認証要求に含まれるサービス利用内容に同期する場合)の処理動作を説明するフローチャートであり、次に、これについて説明する。但し、ここでの処理で使用する共有秘密情報を共通鍵暗号系の共通鍵Kとする。また、本発明による認証システムの初期状態で、データベース6が、オンラインサービス利用者毎に、オンラインサービス認証用ワンタイムパスワード強度の初期値が設定されたオンラインサービス認証用ワンタイムパスワード強度現在値を記憶しているものとする。
【0072】
(1)オンラインサービス利用者は、情報端末装置3のオンラインサービスクライアント7に、オンラインサービス利用者IDとサービス利用内容とを入力する(ステップ601)。
【0073】
(2)情報端末装置3のオンラインサービスクライアント7は、オンラインサービスサーバ1に、入力されたオンラインサービス利用者IDとサービス利用内容との組を含むオンラインサービス認証準備要求を送信する(ステップ602)。
【0074】
(3)オンラインサービスサーバ1は、ワンタイムパスワードサーバ2に、オンラインサービス利用者IDとサービス利用内容との組を含むオンラインサービス認証準備要求を送信する(ステップ603)。
【0075】
(4)ワンタイムパスワードサーバ2は、受信したオンラインサービス利用者IDによりデータベース6を検索し、オンラインサービス利用者IDがデータベース6に記憶されていた場合、データベース6に記憶されている共通鍵Kとオンラインサービス認証用ワンタイムパスワード強度現在値xとを取得して、オンラインサービス認証準備IDと強度がx文字であるオンラインサービス認証用ワンタイムパスワードとをランダムに生成して、データベース6に記憶されているオンラインサービス認証用ワンタイムパスワード強度現在値にx+1を設定して、データベース6にオンラインサービス認証準備IDとサービス利用内容とオンラインサービス認証用ワンタイムパスワードとの組を記憶する。また、ワンタイムパスワードサーバ2は、受信したオンラインサービス利用者IDがデータベース6に記憶されていなかった場合、共通鍵Kとオンラインサービス認証準備IDとオンラインサービス認証用ワンタイムパスワードとをランダムに生成する。そして、ワンタイムパスワードサーバ2は、サービス利用内容とオンラインサービス認証用ワンタイムパスワードとの連結ビット列を平文として、共通鍵Kで暗号化し、かつ、MAC(Message Authentication Code)を付加してこれをオンラインサービス認証準備情報として、オンラインサービスサーバ1にオンラインサービス認証準備IDとオンラインサービス認証準備情報とを送信する(ステップ604)。
【0076】
(5)オンラインサービスサーバ1は、受信したオンラインサービス認証準備情報をQRコードにエンコードして、情報端末装置3のオンラインサービスクライアント7にオンラインサービス認証準備IDとQRコードとを送信する(ステップ605)。
【0077】
(6)情報端末装置3のオンラインサービスクライアント7は、受信したQRコードを表示する(ステップ606)。
【0078】
(7)ワンタイムパスワードクライアント9は、オンラインサービス認証準備情報をQRコードからデコードして、オンラインサービス認証準備情報を共通鍵Kで復号し、かつ、MACによる認証に成功したならば、サービス利用内容とオンラインサービス認証用ワンタイムパスワードとを表示する(ステップ607)。
【0079】
(8)オンラインサービス利用者は、ワンタイムパスワードクライアント9に表示されているサービス利用内容がステップ601の処理で入力したサービス利用内容に等しいことを確認し、等しければ、情報端末装置3のオンラインサービスクライアント7に、ワンタイムパスワードクライアント9に表示されているオンラインサービス認証用ワンタイムパスワードを入力する(ステップ608)。
【0080】
(9)情報端末装置3のオンラインサービスクライアント7は、オンラインサービスサーバ1に、オンラインサービス利用者IDとオンラインサービス認証準備IDとオンラインサービス認証用ワンタイムパスワードとの組を含むオンラインサービス認証要求を送信する(ステップ609)。
【0081】
(10)オンラインサービスサーバ1は、受信したオンラインサービス認証要求に含まれるオンラインサービス利用者IDとオンラインサービス認証準備IDとオンラインサービス認証用ワンタイムパスワードとの組によりデータベース6を検索し、データベース6に記憶されているオンラインサービス利用者IDとオンラインサービス認証準備IDとオンラインサービス認証用ワンタイムパスワードとの組に一致するものがあった場合、認証に成功したものとして、データベース6に記憶されているオンラインサービス認証用ワンタイムパスワード強度現在値にオンラインサービス認証用ワンタイムパスワード強度初期値を設定して、受信したオンラインサービス認証要求に含まれるオンラインサービス利用者IDとオンラインサービス認証準備IDと組になるデータベース6に記憶されているサービス利用内容を取得して、サービス利用内容に従ってオンラインサービスを提供する。また、オンラインサービスサーバ1は、認証に失敗した場合、受信したオンラインサービス認証要求に含まれるオンラインサービス利用者IDとオンラインサービス認証準備IDと組になるデータベース6に記憶されているオンラインサービス認証準備IDとサービス利用内容とオンラインサービス認証用ワンタイムパスワードとの組を消去する(ステップ610)。
【0082】
前述した、情報端末装置のオンラインサービスクライアント使用時のオンラインサービス認証処理(ワンタイムパスワードがオンラインサービス認証要求に含まれるサービス利用内容に同期する場合)の処理動作は、共有秘密情報をワンタイムパスワードダウンロード用固定パスワードに変更して、前述のステップ604〜607を以下のステップ611〜615に変更しても実施可能である。なお、ここでの処理動作のフローは示していない。
【0083】
(11)ワンタイムパスワードサーバ2は、受信したオンラインサービス利用者IDによりデータベース6を検索し、オンラインサービス利用者IDがデータベース6に記憶されていた場合、データベース6に記憶されているオンラインサービス認証用ワンタイムパスワード強度現在値xを取得して、オンラインサービス認証準備IDと強度がx文字であるオンラインサービス認証用ワンタイムパスワードとをランダムに生成して、データベース6に記憶されているオンラインサービス認証用ワンタイムパスワード強度現在値にx+1を設定して、データベース6にオンラインサービス認証準備IDとサービス利用内容とオンラインサービス認証用ワンタイムパスワードとの組を記憶する。また、ワンタイムパスワードサーバ2は、受信したオンラインサービス利用者IDがデータベース6に記憶されていなかった場合、オンラインサービス認証準備IDをランダムに生成する。そして、ワンタイムパスワードサーバ2は、オンラインサービスサーバ1にオンラインサービス認証準備IDを送信する(ステップ611)。
【0084】
(12)オンラインサービスサーバ1は、情報端末装置3のオンラインサービスクライアント7にオンラインサービス認証準備IDを送信する(ステップ612)。
【0085】
(13)携帯端末装置3のワンタイムパスワードクライアント9は、ワンタイムパスワードサーバ2に、オンラインサービス利用者IDとワンタイムパスワードダウンロード用固定パスワードとの組を含むオンラインサービス認証用ワンタイムパスワードダウンロード要求を送信する(ステップ613)。
【0086】
(14)ワンタイムパスワードサーバ2は、受信したオンラインサービス認証用ワンタイムパスワードダウンロード要求に含まれるオンラインサービス利用者IDとワンタイムパスワードダウンロード用固定パスワードとの組によりデータベース6を検索し、データベース6に記憶されているオンラインサービス利用者IDとワンタイムパスワードダウンロード用固定パスワードとの組に一致するものがある場合、データベース6に記憶されているサービス利用内容とオンラインサービス認証用ワンタイムパスワードとの組をワンタイムパスワードクライアント9に送信する(ステップ614)。
【0087】
(15)ワンタイムパスワードクライアント9は、受信したサービス利用内容とオンラインサービス認証用ワンタイムパスワードとの組を表示する(ステップ615)。
【0088】
次に、本発明の認証システムにおいて、携帯端末装置のオンラインサービスクライアント使用時のオンラインサービス認証処理の処理動作について説明する。但し、ここでの処理で使用する共有秘密情報をワンタイムパスワードダウンロード用固定パスワードとする。なお、ここでの処理動作のフローは示していない。
【0089】
(処理701)
携帯端末装置4のワンタイムパスワードクライアント9は、ワンタイムパスワードサーバ2に、オンラインサービス利用者IDとワンタイムパスワードダウンロード用固定パスワードとの組を含むオンラインサービスログイン用ワンタイムパスワードダウンロード要求を送信する。
【0090】
(処理702)
ワンタイムパスワードサーバ2は、受信したオンラインサービスログイン用ワンタイムパスワードダウンロード要求に含まれるオンラインサービス利用者IDとワンタイムパスワードダウンロード用固定パスワードとの組によりデータペース6を検索し、データベース6に記憶されているオンラインサービス利用者IDとワンタイムパスワードダウンロード用固定パスワードとの組に一致するものがあった場合、オンラインサービスログイン用ワンタイムパスワードをランダムに生成して、データベース6にオンラインサービスログイン用ワンタイムパスワードを記憶し、ワンタイムパスワードクライアント9にオンラインサービスログイン用ワンタイムパスワードを送信する。
【0091】
(処理703)
ワンタイムパスワードクライアント9は、オンラインサービス利用者IDとオンラインサービスログイン用ワンタイムパスワードとを引数として、携帯端末装置4のオンラインサービスクライアント8を起動する。
【0092】
(処理704)
携帯端末装置4のオンラインサービスクライアント8は、オンラインサービスサーバ1に、オンラインサービス利用者IDとオンラインサービスログイン用ワンタイムパスワードとの組を含むオンラインサービスログイン要求を送信する。
【0093】
(処理705)
オンラインサービスサーバ1は、受信したオンラインサービスログイン要求に含まれるオンラインサービス利用者IDとオンラインサービスログイン用ワンタイムパスワードとの組によりデータベース6を検索し、データベース6に記憶されているオンラインサービス利用者IDとオンラインサービスログイン用ワンタイムパスワードとの組に一致するものがあった場合、携帯端末装置4のオンラインサービスクライアント8にオンラインサービスログイン成功画面を送信する。
【0094】
次に、本発明による認証システムにおけるメール認証処理の処理動作について説明する。但し、ここでの処理で使用する共有秘密情報をワンタイムパスワードダウンロード用固定パスワードとする。なお、なお、ここでの処理動作のフローは示していない。
【0095】
(処理801)
ワンタイムパスワードサーバ2は、送信先がオンラインサービス利用者であるメールと送信先のオンラインサービス利用者のオンラインサービス利用者IDとを受信した場合、メール認証用ワンタイムパスワードをランダムに生成して、データベース6にメール認証用ワンタイムパスワードを記憶し、メールにメール認証用ワンタイムパスワードを記載して送信先に送信する。
【0096】
(処理802)
ワンタイムパスワードクライアント9は、ワンタイムパスワードサーバ2に、オンラインサービス利用者IDとワンタイムパスワードダウンロード用固定パスワードとの組を含むメール認証用ワンタイムパスワードダウンロード要求を送信する。
【0097】
(処理803)
ワンタイムパスワードサーバ2は、受信したメール認証用ワンタイムパスワードダウンロード要求に含まれるオンラインサービス利用者IDとワンタイムパスワードダウンロード用固定パスワードとの組によりデータベース6を検索し、データベース6に記憶されているオンラインサービス利用者IDとワンタイムパスワードダウンロード用固定パスワードとの組に一致するものがあった場合、データベース6に記憶されているメール認証用ワンタイムパスワードを取得して、ワンタイムパスワードクライアント9にメール認証用ワンタイムパスワードを送信する。
【0098】
(処理804)
ワンタイムパスワードクライアント9は、受信したメール認証用ワンタイムパスワードを表示する。
【0099】
オンラインサービス利用者は、処理804を実行した後に、メールに記載されているメール認証用ワンタイムパスワードとワンタイムパスワードクライアント9に表示されているメール認証用ワンタイムパスワードとを比較して、一致すればメールの送信元がオンラインサービス提供者であり、一致しなければメールの送信元がオンラインサービス提供者以外であることを知ることができる。
【0100】
前述した処理801は、メールとして電子メールを想定した場合であるが、メールとして葉書などの送付物を想定した場合でも、送付物にメール認証用ワンタイムパスワードを記載することにより、メールの送信元を認証することができる。
【0101】
次に、本発明の認証システムにおいて、攻撃者が有効なIDを推測できないようにする対策処理について説明する。この処理は、前述で説明した処理203、及び、処理204以降の処理を変更することにより実施することができる。
【0102】
前述で説明した処理203での処理で、ワンタイムパスワードサーバ2は、オンラインサービス利用者サブIDをランダムに生成して、データベース6にオンラインサービス利用者サブIDを記憶し、ワンタイムパスワードクライアント9にオンラインサービス利用者サブIDを送信する。
【0103】
処理204での処理以降の処理で、オンラインサービス利用者IDの代わりにオンラインサービス利用者サブIDを使用する。但し、オンラインサービス利用者サブIDが取り得る値の総数は、オンラインサービス利用者の総数より遥かに大きくして、例えば、1万倍程度に大きくすることが必要である。
【0104】
次に、前述した本発明の実施形態で使用する各パスワードの強度について説明する。パスワードの強度は、一般に、パスワードを構成する英数字記号の文字数により決まり、システムの安全性とオンラインサービス利用者の利便性とを考慮して決められるが、本発明の実施形態では、ダミーワンタイムパスワード、ワンタイムパスワードダウンロード用固定パスワード、及び、オンラインサービスログイン用ワンタイムパスワードとしては、英数字記号32文字程度のものが使用され、また、ワンタイムパスワードクライアント初期化用固定パスワード及びオンラインサービス認証用固定パスワードとしては、英数字記号8文字程度のものが使用され、さらに、ワンタイムパスワードクライアント起動用固定パスワード、オンラインサービス認証用ワンタイムパスワード、及び、メール認証用ワンタイムパスワードとしては、数字8文字程度のものが使用される。また、オンラインサービス認証用ワンタイムパスワード強度の初期値は8程度である。
【0105】
前述した本発明の実施形態を構成するオンラインサービスサーバ1、ワンタイムパスワードサーバ2及び情報端末装置3は、CPU、メモリ、ハードディスク装置、表示装置、入出力装置等を備える情報処理装置により構成されればよい。また、携帯端末装置4は、携帯電話であるとして説明してきたが、携帯端末装置4として、携帯可能な前述のように構成される情報処理装置を使用することができる。
【0106】
また、前述した本発明の各実施形態での各処理は、プログラムにより構成し、計算機が備えるCPUに実行させることができ、また、それらのプログラムは、FD、CDROM、DVD等の記録媒体に格納して提供することができ、また、ネットワークを介してディジタル情報により提供することができる。
【0107】
前述した本発明の実施形態によれば、ワンタイムパスワードクライアント初期化要求の認証において、ワンタイムパスワードクライアント初期化用固定パスワードの強度が英数字記号8文字程度と弱いので、アカウントロックアウトの条件が含まれているが、オンラインサービス認証用ワンタイムパスワードダウンロード要求の認証では、ワンタイムパスワードダウンロード用固定パスワードの強度を英数字記号32文字程度と強くしているので、アカウントロックアウトの条件が含まれていないため、攻撃者が正当なオンラインサービス利用者のオンラインサービス認証用ワンタイムパスワードダウンロード要求を妨害できないようにすることができ、これにより、ワンタイムパスワードの安全性がオンラインサービス利用者によって入力された固定パスワードの安全性に常に依存するという、従来技術によるワンタイムパスワードを利用した認証システムの第1の問題点を解決することができる。
【0108】
また、本発明の実施形態によれば、ワンタイムパスワードクライアント初期化の有無及びオンラインサービス認証要求の認証条件となるオンラインサービス認証用ワンタイムパスワードの有無に応じて、データベースに記憶されているオンラインサービス認証用パスワードに、オンラインサービス認証用固定パスワード、ダミーワンタイムパスワードまたはオンラインサービス認証用ワンタイムパスワードを設定することとしているので、オンラインサービス認証要求の認証を実行しているステップ103での処理を変更しなければならないという、従来技術のワンタイムパスワードを利用した認証システムの第2の問題点を解決することができる。
【0109】
また、本発明の実施形態によれば、オンラインサービス認証用ワンタイムパスワードを共有する際に、オンラインサービスサーバとワンタイムパスワードクライアントとの現在の時刻情報やオンラインサービス認証要求回数の現在値を一致させて、共有してから一定時間経過後または共有以降のオンラインサービス認証要求回数が一定回数超過後ならば、オンラインサービス認証要求を認証失敗とすることとしているので、前後数分間の時刻情報や数回先のオンラインサービス認証要求回数を引数に計算されるオンラインサービス認証用ワンタイムパスワードも認証成功させてしまうという、従来技術のワンタイムパスワードを利用した認証システムの第3の問題点と、攻撃者が時間や回数に制限なく攻撃できるという第4の問題点を解決することができる。
【0110】
また、本発明の実施形態によれば、オンラインサービスサーバがオンラインサービスクライアントから受信したオンラインサービス認証要求を文字数がオンラインサービス認証用ワンタイムパスワード強度の現在値であるオンラインサービス認証用ワンタイムパスワードで認証して、認証に失敗したならばオンラインサービス認証用ワンタイムパスワード強度の現在値を大きくすることとしているので、特定のオンラインサービス利用者IDが攻撃されてもオンラインサービス認証用ワンタイムパスワードの強度が強くならないという、従来技術のワンタイムパスワードを利用した認証システムの第5の問題点を解決することができる。
【0111】
また、本発明の実施形態によれば、ワンタイムパスワードサーバがオンラインサービスクライアントから受信したサービス利用内容を含むオンラインサービス認証準備要求に対して、サービス利用内容とオンラインサービス認証用ワンタイムパスワードとを同期させて、ワンタイムパスワードクライアントが正当なワンタイムパスワードサーバとサービス利用内容及びオンラインサービス認証用ワンタイムパスワードとを共有したことを確認してから、サービス利用内容とオンラインサービス認証用ワンタイムパスワードとを表示して、オンラインサービス利用者がワンタイムパスワードクライアントに表示されているサービス利用内容とオンラインサービス認証準備要求に含まれるサービス利用内容とが等しいことを確認可能にすることとしているので、オンラインサービス認証要求に含まれるサービス利用内容が改ざんされても認証が成功してしまうという、従来技術のワンタイムパスワードを利用した認証システムの第6の問題点を解決することができる。
【0112】
また、本発明の実施形態によれば、携帯端末装置のワンタイムパスワードクライアントがオンラインサービスログイン用ワンタイムパスワードを引数として携帯端末装置のオンラインサービスクライアントを起動して、オンラインサービスサーバが携帯端末装置のオンラインサービスクライアントから受信したオンラインサービスログイン要求をオンラインサービスログイン用ワンタイムパスワードにより認証することとしているので、携帯端末装置のオンラインサービスクライアント使用時のオンラインサービス認証処理にワンタイムパスワードを使用できないという、従来技術のワンタイムパスワードを利用した認証システムの第7の問題点を解決することができる。
【0113】
また、本発明の実施形態によれば、ワンタイムパスワードサーバがメールにメール認証用ワンタイムパスワードを記載して、ワンタイムパスワードクライアントがメール認証用ワンタイムパスワードを表示することとしているので、フィッシングメール対策にワンタイムパスワードを使用できないという、従来技術のワンタイムパスワードを利用した認証システムの第8の問題点を解決することができる。
【0114】
さらに、本発明の実施形態によれば、オンラインサービス認証要求を、無効なIDが有効なIDより遥かに多くランダムに割り当てるオンラインサービス利用者サブIDにより認証することとしているので、攻撃者が有効なオンラインサービス利用者IDを推測してアカウントロックアウトすることができるという、従来技術のワンタイムパスワードを利用した認証システムの第9の問題点を解決することができる。
【図面の簡単な説明】
【0115】
【図1】固定パスワードを利用した従来技術による認証システムの構成例を示すブロック図である。
【図2】固定パスワードを利用した認証システムのオンラインサービス認証処理の処理動作を説明するフローチャートである。
【図3】本発明の一実施形態による認証システムの構成を示すブロック図である。
【図4】情報端末装置のオンラインサービスクライアント使用時のオンラインサービス認証処理(ワンタイムパスワードが時間に同期する場合)の処理動作を説明するフローチャートである。
【図5】情報端末装置のオンラインサービスクライアント使用時のオンラインサービス認証処理(ワンタイムパスワードがオンラインサービス認証要求の回数に同期する場合)の処理動作を説明するフローチャートである。
【図6】情報端末装置のオンラインサービスクライアント使用時のオンラインサービス認証処理(ワンタイムパスワードがオンラインサービス認証要求に含まれるサービス利用内容に同期する場合)の処理動作を説明するフローチャートである。
【符号の説明】
【0116】
1 オンラインサービスサーバ
2 ワンタイムパスワードサーバ
3 情報端末装置
4 携帯端末装置
5 ネットワーク
6 データベース
7 オンラインサービスクライアント
8 オンラインサービスクライアント
9 ワンタイムパスワードクライアント
【技術分野】
【0001】
本発明は、認証システム及び認証方法に係り、特に、クライアントサーバシステムにおけるクライアントの認証及びメールの認証に使用して好適な認証システム及び認証方法に関する。
【背景技術】
【0002】
クライアントサーバシステムにおけるクライアントの認証を行う技術として、固定パスワードを利用する認証システムが知られている。
【0003】
図1は固定パスワードを利用した従来技術による認証システムの構成例を示すブロック図である。図1において、1はオンラインサービスサーバ、3は情報端末装置、5はネットワーク、6はデータベース、7はオンラインサービスクライアントである。
【0004】
固定パスワードを利用した従来技術による認証システムは、オンラインサービスサーバ1と情報端末装置3が、ネットワーク5を介して接続されて構成されている。オンラインサービスサーバ1は、データベース6に接続されており、情報端末装置3は、オンラインサービスクライアント7を備えて構成されている。前述において、オンラインサービスサーバ1とデータベース6とは、オンラインサービス提供者が所有している。また、情報端末装置3は、オンラインサービス利用者が所有している。そして、例えば、オンラインサービスサーバ1はWWWサーバであり、情報端末装置3はパソコンであり、オンラインサービスクライアント7はWWWブラウザである。
【0005】
次に、前述したように構成される固定パスワードを利用した認証システムの初期状態について説明する。
【0006】
データベース6は、オンラインサービス利用者毎に、オンラインサービス利用者ID、及び、オンラインサービス認証用パスワードの各データを記憶している。また、オンラインサービス利用者は、オンラインサービス利用者ID、及び、オンラインサービス認証用固定パスワードの各データを自身が記憶する。但し、オンラインサービス認証用パスワードとしては、オンラインサービス認証用固定パスワードが設定される。
【0007】
図2は固定パスワードを利用した認証システムのオンラインサービス認証処理の処理動作を説明するフローチャートであり、次に、これについて説明する。
【0008】
(1)オンラインサービス利用者は、情報端末装置3のオンラインサービスクライアント7に、オンラインサービス認証用固定パスワードをオンラインサービス認証用パスワードとして、オンラインサービス利用者IDとオンラインサービス認証用パスワードとサービス利用内容とを入力する。ここで、サービス利用内容とは、例えば、オンラインサービスログイン等の操作内容や、商品売買や銀行振込等の取引内容である(ステップ101)。
【0009】
(2)情報端末装置3のオンラインサービスクライアント7は、入力されたオンラインサービス利用者IDとオンラインサービス認証用パスワードとサービス利用内容とを含むオンラインサービス認証要求を、オンラインサービスサーバ1に送信する(ステップ102)。
【0010】
(3)オンラインサービスサーバ1は、受信したオンラインサービス認証要求に含まれるオンラインサービス利用者IDとオンラインサービス認証用パスワードとの組によりデータベース6を検索し、データベースに記憶されているオンラインサービス利用者IDとオンラインサービス認証用パスワードとの組に一致するものがあり、かつ、受信したオンラインサービス認証要求に含まれるオンラインサービス利用者IDを含むオンラインサービス認証要求が一定時間以内に一定回数以下だけ認証に失敗している(アカウントロックアウトされていない)、すなわち、認証に成功していた場合、受信したサービス利用内容に従ってオンラインサービスを提供する(ステップ103)。
【0011】
固定パスワードを利用した認証システムは、オンラインサービス認証用固定パスワードが頻繁には変更されないので、利用者が使用する情報端末装置にキーロガー等が仕掛けられてオンラインサービス利用者IDとオンラインサービス認証用固定パスワードとが漏洩すると、これらのパスワードが不正に再利用される危険性が高い。
【0012】
前述した固定パスワードを利用した認証システムの危険性への対策を施したクライアントサーバシステムにおけるクライアントの認証技術として、ワンタイムパスワードを利用した認証システムが知られている。ワンタイムパスワードを利用した認証システムは、ワンタイムパスワードサーバとワンタイムパスワードクライアントとがオンラインサービス認証用ワンタイムパスワードを共有して、ワンタイムパスワードクライアントがオンラインサービス認証用ワンタイムパスワードを表示し、オンラインサービス認証用ワンタイムパスワードをオンラインサービス認証用パスワードとして、オンラインサービス認証処理を実行するというものである。
【0013】
ワンタイムパスワードを利用した認証システムのうち、ワンタイムパスワードをワンタイムパスワードサーバからダウンロードする認証システムは、オンラインサービス利用者が、ワンタイムパスワードクライアントに、オンラインサービス利用者IDとワンタイムパスワードダウンロード用固定パスワードとを入力して、ワンタイムパスワードクライアントが、ワンタイムパスワードサーバにオンラインサービス利用者IDとワンタイムパスワードダウンロード用固定パスワードとの組を含むオンラインサービス認証用ワンタイムパスワードダウンロード要求を送信し、ワンタイムパスワードサーバが受信したオンラインサービス認証用ワンタイムパスワードダウンロード要求に含まれるオンラインサービス利用者IDとワンタイムパスワードダウンロード用固定パスワードとの組を認証してからワンタイムパスワードクライアントにオンラインサービス認証用ワンタイムパスワードを送信して共有するというものである。
【0014】
また、ワンタイムパスワードを利用した認証システムのうち、特許文献1に記載されているワンタイムパスワードが時間に同期する認証システムは、オンラインサービスサーバとワンタイムパスワードクライアントとが独立に、セキュアハッシュ関数をオンラインサービス利用者IDと固定パスワードと現在の時刻情報とを引数にオンラインサービス認証用ワンタイムパスワードを計算して共有するというものである。
【0015】
さらに、ワンタイムパスワードを利用した認証システムのうち、ワンタイムパスワードがオンラインサービス認証要求の回数に同期する認証システムは、オンラインサービスサーバとワンタイムパスワードクライアントとが独立に、セキュアハッシュ関数をオンラインサービス利用者IDと固定パスワードとオンラインサービス認証要求回数の現在値とを引数にオンラインサービス認証用ワンタイムパスワードを計算して共有するというものである。
【0016】
前述で説明したワンタイムパスワードを利用した認証システムは、オンラインサービス認証用ワンタイムパスワードが現在の時刻情報毎またはオンラインサービス認証要求回数毎に異なるので、キーロガー等によりオンラインサービス利用者IDとオンラインサービス認証用ワンタイムパスワードとが漏洩した場合にも、不正に再利用される危険性が低いという特徴を有している。
【特許文献1】特開2002−259344号公報
【発明の開示】
【発明が解決しようとする課題】
【0017】
しかし、前述した従来技術によるワンタイムパスワードを利用した認証システムは、その何れのものも、以下に説明するような問題点を有している。
【0018】
第1の問題点として、ワンタイムパスワードをワンタイムパスワードサーバからダウンロードする認証システムの場合、オンラインサービス認証用ワンタイムパスワードダウンロード要求を、オンラインサービス利用者が入力したワンタイムパスワードダウンロード用固定パスワードを用いて認証するため、ワンタイムパスワードの安全性がオンラインサービス利用者によって入力される固定パスワードの安全性に常に依存することになるという問題点がある。
【0019】
第2の問題点として、新規にワンタイムパスワードを利用した認証システムを構築する場合のみを想定しており、固定パスワードを利用した認証システムからワンタイムパスワードを利用した認証システムに移行する場合を想定していないため、オンラインサービス認証要求の認証を行っている図2により説明したステップ103の処理の変更が必要になるという問題点がある。
【0020】
第3の問題点として、従来技術のワンタイムパスワードが時間に同期する認証システム及びワンタイムパスワードがオンラインサービス認証要求の回数に同期する認証システムの場合、オンラインサービスサーバとワンタイムパスワードクライアントとの現在の時刻情報やオンラインサービス認証要求回数の現在値が一致しない場合を想定しておかなければならないため、前後数分間の時刻情報や数回先のオンラインサービス認証要求回数を引数に計算されるオンラインサービス認証用ワンタイムパスワードも認証に成功させてしまうという問題点がある。
【0021】
第4の問題点として、従来技術のワンタイムパスワードが時間に同期する認証システム及びワンタイムパスワードがオンラインサービス認証要求の回数に同期する認証システムの場合、オンラインサービスサーバとワンタイムパスワードクライアントとが独立にオンラインサービス認証用ワンタイムパスワードを計算するため、攻撃者が時間や回数に制限なく攻撃することができるという問題点がある。
【0022】
第5の問題点として、オンラインサービス認証用ワンタイムパスワードの強度が常に一定であるため、特定のオンラインサービス利用者IDが攻撃された場合に、オンラインサービス認証用ワンタイムパスワードの強度が強くならないという問題点がある。
【0023】
第6の問題点として、ワンタイムパスワードがオンラインサービス認証要求に含まれるサービス利用内容に同期していないため、オンラインサービス認証要求に含まれるサービス利用内容が改竄されても認証に成功してしまうという問題点がある。
【0024】
第7の問題点として、携帯端末装置がオンラインサービスクライアントとワンタイムパスワードクライアントとから構成される場合を想定していないため、携帯端末装置のオンラインサービスクライアント使用時のオンラインサービス認証処理にワンタイムパスワードを使用することができないという問題点がある。
【0025】
第8の問題点として、ワンタイムパスワードをクライアントの認証に使用する場合のみを想定しており、ワンタイムパスワードをメールの認証に使用する場合を想定していないため、フィッシングメール対策にワンタイムパスワードを使用することができないという問題点がある。
【0026】
第9の問題点として、パスワードの安全性を向上させることができるものの、IDの安全性を向上させることができず、しかも、オンラインサービス利用者IDは連番で割り当てられやすいため、攻撃者は有効なオンラインサービス利用者IDを推測してアカウントロックアウトすることができるという問題点がある。
【0027】
本発明の目的は、前述したワンタイムパスワードを使用する従来技術の問題点を解決し、ワンタイムパスワードを利用した認証システムの安全性向上、システム移行の容易化、使用範囲の拡大を図ることを可能にした認証システム及び認証方法を提供することにある。
【課題を解決するための手段】
【0028】
本発明によれば前記目的は、オンラインサービスサーバとワンタイムパスワードサーバとオンラインサービスクライアントとワンタイムパスワードクライアントとがネットワークを介して接続されて構成されるクライアントサーバシステムでの認証システムであって、前記ワンタイムパスワードサーバは、オンラインサービス認証用ワンタイムパスワードダウンロード要求を認証してから前記ワンタイムパスワードクライアントと複数個のオンラインサービス認証用ワンタイムパスワードを共有し、前記ワンタイムパスワードクライアントは、オンラインサービス認証用ワンタイムパスワードを前記ワンタイムパスワードサーバと共有してから一定時間間隔で順番に表示対象となる複数個のオンラインサービス認証用ワンタイムパスワードのいずれか1個、あるいは、オンラインサービス認証要求回数とオンラインサービス認証用ワンタイムパスワードとの組を表示し、前記オンラインサービスサーバは、前記オンラインサービスクライアントから受信したオンラインサービス認証要求を、オンラインサービス認証用ワンタイムパスワードを共有してから一定時間経過後、あるいは、オンラインサービス認証用ワンタイムパスワードを共有以降のオンラインサービス認証要求回数が共有したオンラインサービス認証用ワンタイムパスワードの個数を超えたならば認証失敗とし、オンラインサービス認証用ワンタイムパスワードを共有してから一定時間間隔で順番に認証条件となる複数個のオンラインサービス認証用ワンタイムパスワードのいずれか1個により、あるいは、オンラインサービス認証用ワンタイムパスワードを共有以降のオンラインサービス認証要求回数と組になるオンラインサービス認証用ワンタイムパスワードにより認証することにより達成される。
【0029】
また、前記目的は、オンラインサービスサーバとワンタイムパスワードサーバとオンラインサービスクライアントとワンタイムパスワードクライアントとがネットワークを介して接続され、オンラインサービスサーバとワンタイムパスワードサーバとがデータベースに接続されて構成されるクライアントサーバシステムでの認証システムであって、認証システムの初期状態が、前記データベースに記憶されているオンラインサービス認証用パスワードにオンラインサービス認証用固定パスワードが設定された状態であり、前記ワンタイムパスワードサーバは、前記ワンタイムパスワードクライアントからの初期化要求を認証してからデータベースに記憶されているオンラインサービス認証用パスワードにダミーワンタイムパスワードを設定すると共に、オンラインサービス認証用ワンタイムパスワードダウンロード要求を認証してから前記データベースに記憶されているオンラインサービス認証用パスワードにオンラインサービス認証用ワンタイムパスワードを設定し、前記オンラインサービスサーバは、前記オンラインサービスクライアントから受信したオンラインサービス認証要求を前記データベースに記憶されているオンラインサービス認証用パスワードにより認証し、前記オンラインサービスサーバまたは前記ワンタイムパスワードサーバは、オンラインサービス認証用ワンタイムパスワードダウンロード要求を認証してから、ワンタイムパスワードクライアントと共有したオンラインサービス認証用ワンタイムパスワードをオンラインサービス認証要求の認証条件としない場合、前記データベースに記憶されているオンラインサービス認証用パスワードにダミーワンタイムパスワードを設定することにより達成される。
【0030】
また、前記目的は、オンラインサービスサーバとオンラインサービスクライアントとがネットワークを介して接続され、オンラインサービスサーバとワンタイムパスワードサーバとオンラインサービスクライアントとワンタイムパスワードクライアントとから構成されるクライアントサーバシステムでの認証システムであって、前記オンラインサービスサーバは、オンラインサービスクライアントから受信したオンラインサービス認証要求を文字数がオンラインサービス認証用ワンタイムパスワード強度の現在値であるオンラインサービス認証用ワンタイムパスワードで認証し、認証失敗したならばオンラインサービス認証用ワンタイムパスワード強度の現在値を大きくすることにより達成される。
【0031】
また、前記目的は、オンラインサービスサーバとワンタイムパスワードサーバとオンラインサービスクライアントとワンタイムパスワードクライアントとがネットワークを介して接続されて構成されるクライアントサーバシステムでの認証方法であって、前記ワンタイムパスワードサーバは、オンラインサービス認証用ワンタイムパスワードダウンロード要求を認証してから前記ワンタイムパスワードクライアントと複数個のオンラインサービス認証用ワンタイムパスワードを共有し、前記ワンタイムパスワードクライアントは、オンラインサービス認証用ワンタイムパスワードを前記ワンタイムパスワードサーバと共有してから一定時間間隔で順番に表示対象となる複数個のオンラインサービス認証用ワンタイムパスワードのいずれか1個、あるいは、オンラインサービス認証要求回数とオンラインサービス認証用ワンタイムパスワードとの組を表示し、前記オンラインサービスサーバは、前記オンラインサービスクライアントから受信したオンラインサービス認証要求を、オンラインサービス認証用ワンタイムパスワードを共有してから一定時間経過後、あるいは、オンラインサービス認証用ワンタイムパスワードを共有以降のオンラインサービス認証要求回数が共有したオンラインサービス認証用ワンタイムパスワードの個数を超えたならば認証失敗とし、オンラインサービス認証用ワンタイムパスワードを共有してから一定時間間隔で順番に認証条件となる複数個のオンラインサービス認証用ワンタイムパスワードのいずれか1個により、あるいは、オンラインサービス認証用ワンタイムパスワードを共有以降のオンラインサービス認証要求回数と組になるオンラインサービス認証用ワンタイムパスワードにより認証することにより達成される。
【0032】
また、前記目的は、オンラインサービスサーバとワンタイムパスワードサーバとオンラインサービスクライアントとワンタイムパスワードクライアントとがネットワークを介して接続され、オンラインサービスサーバとワンタイムパスワードサーバとがデータベースに接続されて構成されるクライアントサーバシステムでの認証方法であって、認証システムの初期状態が、前記データベースに記憶されているオンラインサービス認証用パスワードにオンラインサービス認証用固定パスワードが設定された状態であり、前記ワンタイムパスワードサーバは、前記ワンタイムパスワードクライアントからの初期化要求を認証してからデータベースに記憶されているオンラインサービス認証用パスワードにダミーワンタイムパスワードを設定すると共に、オンラインサービス認証用ワンタイムパスワードダウンロード要求を認証してから前記データベースに記憶されているオンラインサービス認証用パスワードにオンラインサービス認証用ワンタイムパスワードを設定し、前記オンラインサービスサーバは、前記オンラインサービスクライアントから受信したオンラインサービス認証要求を前記データベースに記憶されているオンラインサービス認証用パスワードにより認証し、前記オンラインサービスサーバまたは前記ワンタイムパスワードサーバは、オンラインサービス認証用ワンタイムパスワードダウンロード要求を認証してから、ワンタイムパスワードクライアントと共有したオンラインサービス認証用ワンタイムパスワードをオンラインサービス認証要求の認証条件としない場合、前記データベースに記憶されているオンラインサービス認証用パスワードにダミーワンタイムパスワードを設定することにより達成される。
【発明の効果】
【0033】
本発明によれば、クライアントサーバシステムにおける、ワンタイムパスワードを利用した認証システムの安全性向上や固定パスワードを利用する認証システムからの移行容易化や使用範囲の拡大を図ることができる。
【発明を実施するための最良の形態】
【0034】
以下、本発明による認証システム及び認証方法の実施形態を図面により詳細に説明する。
【0035】
図3は本発明の一実施形態による認証システムの構成を示すブロック図である。以下に説明する本発明の実施形態は、ワンタイムパスワードを利用した認証システムである。図3において、2はワンタイムパスワードサーバ、4は携帯端末装置、8はオンラインサービスクライアント、9はワンタイムパスワードクライアントであり、他の符号は図1の場合と同一である。
【0036】
図3に示す本発明の実施形態による認証システムは、オンラインサービスサーバ1とワンタイムパスワードサーバ2と情報端末装置3と携帯端末装置4とが、ネットワーク5を介して接続されて構成されている。オンラインサービスサーバ1とワンタイムパスワードサーバ2とは、データベース6に接続されている。情報端末装置3は、オンラインサービスクライアント7から構成され、携帯端末装置4は、オンラインサービスクライアント8とワンタイムパスワードクライアント9とから構成される。
【0037】
前述において、オンラインサービスサーバ1とワンタイムパスワードサーバ2とデータベース6とは、オンラインサービス提供者が所有し、情報端末装置3と携帯端末装置4は、オンラインサービス利用者が所有する。また、携帯端末装置4は、携帯電話等であってよい。
【0038】
次に、前述したように構成される本発明の実施形態によるワンタイムパスワードを利用した認証システムの初期状態について説明する。
【0039】
データベース6は、オンラインサービス利用者毎に、オンラインサービス利用者ID、オンラインサービス認証用パスワード、及び、ワンタイムパスワードクライアント初期化用固定パスワードの各データを記憶している。また、オンラインサービス利用者は、オンラインサービス利用者ID及びワンタイムパスワードクライアント初期化用固定パスワードの各データを記憶する。
【0040】
但し、固定パスワードを利用した認証システムから本発明による認証システムに移行する場合、オンラインサービス認証用パスワードには、オンラインサービス認証用固定パスワードを設定する。また、新規に本発明による認証システムを構築する場合、オンラインサービス認証用パスワードには、ワンタイムパスワードサーバ2がランダムに生成したダミーワンタイムパスワードを設定する。以下の説明では、データベース6に対するデータ操作は、オンラインサービス利用者IDと組になるデータを対象とする。
【0041】
次に、本発明の実施形態による認証システムにおけるワンタイムパスワードクライアントの初期化処理の処理動作を説明する。但し、ワンタイムパスワードクライアントの初期化処理以前に、オンラインサービス利用者は、ワンタイムパスワードクライアント起動用固定パスワードをランダムに生成して記憶しておくものとする。なお、ここでの処理動作のフローは示していない。
【0042】
(処理201)
オンラインサービス利用者は、ワンタイムパスワードクライアント9に、オンラインサービス利用者IDとワンタイムパスワードクライアント初期化用固定パスワードとワンタイムパスワードクライアント起動用固定パスワードとを入力する。
【0043】
(処理202)
ワンタイムパスワードクライアント9は、ワンタイムパスワードサーバ2に、オンラインサービス利用者IDとワンタイムパスワードクライアント初期化用固定パスワードとの組を含むワンタイムパスワードクライアント初期化要求を送信する。
【0044】
(処理203)
ワンタイムパスワードサーバ2は、受信したワンタイムパスワードクライアント初期化要求に含まれるオンラインサービス利用者IDとワンタイムパスワードクライアント初期化用固定パスワードとの組によりデータベース6を検索し、データベース6に記憶されているオンラインサービス利用者IDとワンタイムパスワードクライアント初期化用固定パスワードとの組に一致するものがあり、かつ、受信したワンタイムパスワードクライアント初期化要求に含まれるオンラインサービス利用者IDを含むワンタイムパスワードクライアント初期化要求が一定時間以内に一定回数以下だけしか認証に失敗していない場合(アカウントロックアウトされていない)、ダミーワンタイムパスワードをランダムに生成して、データベース6に記憶されているオンラインサービス認証用パスワードにダミーワンタイムパスワードを設定し、共有秘密情報をランダムに生成して、この共有秘密情報をデータベース6に記憶し、ワンタイムパスワードクライアント9に共有秘密情報を送信する。但し、共有秘密情報とは、ワンタイムパスワードサーバ2とワンタイムパスワードクライアント9とが共有する固定パスワードまたは暗号系の鍵である。
【0045】
(処理204)
ワンタイムパスワードクライアント9は、送信されてきた共有秘密情報を受信すると、オンラインサービス利用者IDとワンタイムパスワードクライアント起動用固定パスワードと共有秘密情報とを記憶する。
【0046】
以上の処理を実行することにより、ワンタイムパスワードクライアントの初期化処理が終了する。
【0047】
次に、本発明の実施形態による認証システムにおけるワンタイムパスワードクライアントの起動処理について説明する。但し、ワンタイムパスワードクライアントの起動処理以前に、前述で説明したワンタイムパスワードクライアントの初期化処理の実行が終了しているものとする。なお、ここでの処理動作のフローは示していない。
【0048】
(処理301)
オンラインサービス利用者は、ワンタイムパスワードクライアント9に、ワンタイムパスワードクライアント起動用固定パスワードを入力する。
【0049】
(処理302)
ワンタイムパスワードクライアント9は、入力されたワンタイムパスワードクライアント起動用固定パスワードがワンタイムパスワードクライアント9に記憶されているワンタイムパスワードクライアント起動用固定パスワードに等しい場合に、図4により後述するステップ401の処理以降のワンタイムパスワードクライアント9での処理を実行可能にする。
【0050】
(処理303)
ワンタイムパスワードクライアント9は、一定回数連続して、入力されたワンタイムパスワードクライアント起動用固定パスワードがワンタイムパスワードクライアント9に記憶されているワンタイムパスワードクライアント起動用固定パスワードに等しくなかった場合、ワンタイムパスワードクライアント9に記憶されているオンラインサービス利用者IDとワンタイムパスワードクライアント起動用固定パスワードと共有秘密情報とを消去する。
【0051】
図4は本発明による認証システムにおいて、情報端末装置のオンラインサービスクライアント使用時のオンラインサービス認証処理(ワンタイムパスワードが時間に同期する場合)の処理動作を説明するフローチャートであり、次に、これについて説明する。但し、ここでの処理で使用する共有秘密情報は、ワンタイムパスワードダウンロード用固定パスワードであるとする。
【0052】
(1)携帯端末装置4のワンタイムパスワードクライアント9は、ワンタイムパスワードサーバ2に、オンラインサービス利用者IDとワンタイムパスワードダウンロード用固定パスワードとの組を含むオンラインサービス認証用ワンタイムパスワードダウンロード要求を送信する(ステップ401)。
【0053】
(2)ワンタイムパスワードサーバ2は、受信したオンラインサービス認証用ワンタイムパスワードダウンロード要求に含まれるオンラインサービス利用者IDとワンタイムパスワードダウンロード用固定パスワードとの組によりデータベース6を検索し、データベース6に記憶されているオンラインサービス利用者IDとワンタイムパスワードダウンロード用固定パスワードとの組に一致するものがある場合、N個のオンラインサービス認証用ワンタイムパスワード(OTP[0]〜OTP[N−1])をランダムに生成して、データベース6に記憶されているオンラインサービス認証用パスワードにOTP[0]を設定して、ワンタイムパスワードクライアント9にOTP[0]〜OTP[N−1]を送信する(ステップ402)。
【0054】
(3)ワンタイムパスワードクライアント9は、オンラインサービス利用者IDと受信したオンラインサービス認証用ワンタイムパスワードの1つであるOTP[0]を表示する(ステップ403)。
【0055】
(4)ワンタイムパスワードサーバ2は、ステップ402の処理を実行した後、一定時間(Ti秒、1≦i≦N−1)経過後に、データベース6に記憶されているオンラインサービス認証用パスワードにOTP[i]を設定する。また、ワンタイムパスワードサーバ2は、ステップ402の処理を実行した後、一定時間(TN秒)経過後に、ダミーワンタイムパスワードをランダムに生成して、データベース6に記憶されているオンラインサービス認証用パスワードにダミーワンタイムパスワードを設定する(ステップ404)。
【0056】
(5)ワンタイムパスワードクライアント9は、ステップ403の処理を実行した後、一定時間(Ti秒、1≦i≦N−1)経過後に、オンラインサービス利用者IDとオンラインサービス認証用ワンタイムパスワードの1つであるOTP[i]を表示する。また、ワンタイムパスワードクライアント9は、ステップ403の処理を実行した後、一定時間(TN秒)経過後に、オンラインサービス利用者IDとオンラインサービス認証用ワンタイムパスワードとの表示を終了する(ステップ405)。
【0057】
(6)オンラインサービス利用者は、情報端末装置3のオンラインサービスクライアント7に、ワンタイムパスワードクライアント9に表示されているオンラインサービス認証用ワンタイムパスワードをオンラインサービス認証用パスワードとして、オンラインサービス利用者IDとオンラインサービス認証用パスワードとサービス利用内容とを入力する(ステップ406)。
【0058】
(7)情報端末装置3のオンラインサービスクライアント7は、オンラインサービスサーバ1に、オンラインサービス利用者IDとオンラインサービス認証用パスワードとサービス利用内容との組を含むオンラインサービス認証要求を送信する(ステップ407)。
【0059】
(8)オンラインサービスサーバ1は、ステップ407の処理で送信されてきたオンラインサービス認証要求を受信すると、図2により説明した従来技術でのステップ103の処理と同一の処理を実行する(ステップ408)。
【0060】
図5は本発明の認証システムにおいて、情報端末装置のオンラインサービスクライアント使用時のオンラインサービス認証処理(ワンタイムパスワードがオンラインサービス認証要求の回数に同期する場合)の処理動作を説明するフローチャートであり、次に、これについて説明する。但し、ここでの処理で使用する共有秘密情報をワンタイムパスワードダウンロード用固定パスワードとする。また、本発明の認証システムの初期状態で、データベース6が、オンラインサービス利用者毎に、オンラインサービス認証要求回数の最大値としてNが設定されたオンラインサービス認証要求回数の現在値を記憶しているものとする。
【0061】
(1)携帯端末装置4のワンタイムパスワードクライアント9は、ワンタイムパスワードサーバ2に、オンラインサービス利用者IDとワンタイムパスワードダウンロード用固定パスワードとの組を含むオンラインサービス認証用ワンタイムパスワードダウンロード要求を送信する(ステップ501)。
【0062】
(2)ワンタイムパスワードサーバ2は、受信したオンラインサービス認証用ワンタイムパスワードダウンロード要求に含まれるオンラインサービス利用者IDとワンタイムパスワードダウンロード用固定パスワードとの組によりデータベース6を検索し、データベース6に記憶されているオンラインサービス利用者IDとワンタイムパスワードダウンロード用固定パスワードとの組に一致するものあった場合、N個のオンラインサービス認証用ワンタイムパスワード(OTP[1]〜OTP[N])をランダムに生成して、データベース6に記憶されているオンラインサービス認証用パスワードにOTP[1]を設定して、データベース6に記憶されているオンラインサービス認証要求回数の現在値にオンラインサービス認証要求回数初期値1を設定して、データベース6にOTP[2]〜OTP[N]を記憶して、ワンタイムパスワードクライアント9にオンラインサービス認証用ワンタイムパスワードOTP[1]〜OTP[N]を送信する(ステップ502)。
【0063】
(3)ワンタイムパスワードクライアント9は、送信されてきたオンラインサービス認証用ワンタイムパスワードOTP[1]〜OTP[N]を受信して記憶する(ステップ503)。
【0064】
(4)ワンタイムパスワードクライアント9は、オンラインサービス利用者IDとオンラインサービス認証要求回数iとオンラインサービス認証用ワンタイムパスワードOTP[i]との組(1≦i≦N)を表示する(ステップ504)。
【0065】
(5)オンラインサービス利用者は、情報端末装置3のオンラインサービスクライアント7に、オンラインサービス認証要求回数の現在値xと組になるワンタイムパスワードクライアント9に表示されているオンラインサービス認証用ワンタイムパスワードOTP[x]をオンラインサービス認証用パスワードとして、オンラインサービス利用者IDとオンラインサービス認証用パスワードとサービス利用内容とを入力する(ステップ505)。
【0066】
(6)情報端末装置3のオンラインサービスクライアント7は、オンラインサービスサーバ1に、オンラインサービス利用者IDとオンラインサービス認証用パスワードとサービス利用内容との組を含むオンラインサービス認証要求を送信する(ステップ506)。
【0067】
(7)オンラインサービスサーバ1は、ステップ506の処理で送信されてきたオンラインサービス認証要求を受信すると、図2により説明した従来技術でのステップ103の処理と同一の処理を実行する(ステップ507)。
【0068】
(8)その後、オンラインサービスサーバ1は、データベース6に記憶されているオンラインサービス認証要求回数の現在値xがオンラインサービス認証要求回数の最大値Nに等しかった場合、ダミーワンタイムパスワードをランダムに生成して、データベース6に記憶されているオンラインサービス認証用パスワードにダミーワンタイムパスワードを設定して、情報端末装置3のオンラインサービスクライアント7にオンラインサービス認証用ワンタイムパスワードダウンロードを促す画面を送信する。また、オンラインサービスサーバ1は、データベース6に記憶されているオンラインサービス認証要求回数の現在値xがオンラインサービス認証要求回数最大値N未満であれば、データベース6に記憶されているオンラインサービス認証用パスワードにOTP[x+1]を設定して、データベース6に記憶されているオンラインサービス認証要求回数の現在値にx+1を設定して、情報端末装置3のオンラインサービスクライアント7にオンラインサービス認証要求回数の現在値x+1を表示する画面を送信する(ステップ508)。
【0069】
次に、本発明の認証システムにおいて、特定のオンラインサービス利用者IDが攻撃された場合にもワンタイムパスワードを当てられにくくして安全性を高めることができる対策処理について説明する。この処理は、前述で説明した図4、図5のフローの一部を変更することにより実施することができる。なお、本発明による認証システムの初期状態で、データベース6が、オンラインサービス利用者毎に、オンラインサービス認証用ワンタイムパスワード強度の初期値が設定されたオンラインサービス認証用ワンタイムパスワード強度現在値を記憶しているものとする。
【0070】
図4におけるステップ408の処理または図5におけるステップ507の処理で、オンラインサービスサーバ1は、データベース6に記憶されているオンラインサービス認証用ワンタイムパスワード強度現在値xを取得して、受信したオンラインサービス認証要求に含まれるオンラインサービス認証用パスワードとデータベース6に記憶されているオンラインサービス認証用パスワードとを先頭からx文字が等しいか否かにより認証し、認証に成功したならばデータベース6に記憶されているオンラインサービス認証用ワンタイムパスワード強度現在値にオンラインサービス認証用ワンタイムパスワード強度初期値を設定して、認証に失敗したならばデータベース6に記憶されているオンラインサービス認証用ワンタイムパスワード強度現在値にx+1を設定して、情報端末装置3のオンラインサービスクライアント7にオンラインサービス認証用ワンタイムパスワード強度現在値を表示する画面を送信する。
【0071】
図6は本発明による認証システムにおいて、情報端末装置のオンラインサービスクライアント使用時のオンラインサービス認証処理(ワンタイムパスワードがオンラインサービス認証要求に含まれるサービス利用内容に同期する場合)の処理動作を説明するフローチャートであり、次に、これについて説明する。但し、ここでの処理で使用する共有秘密情報を共通鍵暗号系の共通鍵Kとする。また、本発明による認証システムの初期状態で、データベース6が、オンラインサービス利用者毎に、オンラインサービス認証用ワンタイムパスワード強度の初期値が設定されたオンラインサービス認証用ワンタイムパスワード強度現在値を記憶しているものとする。
【0072】
(1)オンラインサービス利用者は、情報端末装置3のオンラインサービスクライアント7に、オンラインサービス利用者IDとサービス利用内容とを入力する(ステップ601)。
【0073】
(2)情報端末装置3のオンラインサービスクライアント7は、オンラインサービスサーバ1に、入力されたオンラインサービス利用者IDとサービス利用内容との組を含むオンラインサービス認証準備要求を送信する(ステップ602)。
【0074】
(3)オンラインサービスサーバ1は、ワンタイムパスワードサーバ2に、オンラインサービス利用者IDとサービス利用内容との組を含むオンラインサービス認証準備要求を送信する(ステップ603)。
【0075】
(4)ワンタイムパスワードサーバ2は、受信したオンラインサービス利用者IDによりデータベース6を検索し、オンラインサービス利用者IDがデータベース6に記憶されていた場合、データベース6に記憶されている共通鍵Kとオンラインサービス認証用ワンタイムパスワード強度現在値xとを取得して、オンラインサービス認証準備IDと強度がx文字であるオンラインサービス認証用ワンタイムパスワードとをランダムに生成して、データベース6に記憶されているオンラインサービス認証用ワンタイムパスワード強度現在値にx+1を設定して、データベース6にオンラインサービス認証準備IDとサービス利用内容とオンラインサービス認証用ワンタイムパスワードとの組を記憶する。また、ワンタイムパスワードサーバ2は、受信したオンラインサービス利用者IDがデータベース6に記憶されていなかった場合、共通鍵Kとオンラインサービス認証準備IDとオンラインサービス認証用ワンタイムパスワードとをランダムに生成する。そして、ワンタイムパスワードサーバ2は、サービス利用内容とオンラインサービス認証用ワンタイムパスワードとの連結ビット列を平文として、共通鍵Kで暗号化し、かつ、MAC(Message Authentication Code)を付加してこれをオンラインサービス認証準備情報として、オンラインサービスサーバ1にオンラインサービス認証準備IDとオンラインサービス認証準備情報とを送信する(ステップ604)。
【0076】
(5)オンラインサービスサーバ1は、受信したオンラインサービス認証準備情報をQRコードにエンコードして、情報端末装置3のオンラインサービスクライアント7にオンラインサービス認証準備IDとQRコードとを送信する(ステップ605)。
【0077】
(6)情報端末装置3のオンラインサービスクライアント7は、受信したQRコードを表示する(ステップ606)。
【0078】
(7)ワンタイムパスワードクライアント9は、オンラインサービス認証準備情報をQRコードからデコードして、オンラインサービス認証準備情報を共通鍵Kで復号し、かつ、MACによる認証に成功したならば、サービス利用内容とオンラインサービス認証用ワンタイムパスワードとを表示する(ステップ607)。
【0079】
(8)オンラインサービス利用者は、ワンタイムパスワードクライアント9に表示されているサービス利用内容がステップ601の処理で入力したサービス利用内容に等しいことを確認し、等しければ、情報端末装置3のオンラインサービスクライアント7に、ワンタイムパスワードクライアント9に表示されているオンラインサービス認証用ワンタイムパスワードを入力する(ステップ608)。
【0080】
(9)情報端末装置3のオンラインサービスクライアント7は、オンラインサービスサーバ1に、オンラインサービス利用者IDとオンラインサービス認証準備IDとオンラインサービス認証用ワンタイムパスワードとの組を含むオンラインサービス認証要求を送信する(ステップ609)。
【0081】
(10)オンラインサービスサーバ1は、受信したオンラインサービス認証要求に含まれるオンラインサービス利用者IDとオンラインサービス認証準備IDとオンラインサービス認証用ワンタイムパスワードとの組によりデータベース6を検索し、データベース6に記憶されているオンラインサービス利用者IDとオンラインサービス認証準備IDとオンラインサービス認証用ワンタイムパスワードとの組に一致するものがあった場合、認証に成功したものとして、データベース6に記憶されているオンラインサービス認証用ワンタイムパスワード強度現在値にオンラインサービス認証用ワンタイムパスワード強度初期値を設定して、受信したオンラインサービス認証要求に含まれるオンラインサービス利用者IDとオンラインサービス認証準備IDと組になるデータベース6に記憶されているサービス利用内容を取得して、サービス利用内容に従ってオンラインサービスを提供する。また、オンラインサービスサーバ1は、認証に失敗した場合、受信したオンラインサービス認証要求に含まれるオンラインサービス利用者IDとオンラインサービス認証準備IDと組になるデータベース6に記憶されているオンラインサービス認証準備IDとサービス利用内容とオンラインサービス認証用ワンタイムパスワードとの組を消去する(ステップ610)。
【0082】
前述した、情報端末装置のオンラインサービスクライアント使用時のオンラインサービス認証処理(ワンタイムパスワードがオンラインサービス認証要求に含まれるサービス利用内容に同期する場合)の処理動作は、共有秘密情報をワンタイムパスワードダウンロード用固定パスワードに変更して、前述のステップ604〜607を以下のステップ611〜615に変更しても実施可能である。なお、ここでの処理動作のフローは示していない。
【0083】
(11)ワンタイムパスワードサーバ2は、受信したオンラインサービス利用者IDによりデータベース6を検索し、オンラインサービス利用者IDがデータベース6に記憶されていた場合、データベース6に記憶されているオンラインサービス認証用ワンタイムパスワード強度現在値xを取得して、オンラインサービス認証準備IDと強度がx文字であるオンラインサービス認証用ワンタイムパスワードとをランダムに生成して、データベース6に記憶されているオンラインサービス認証用ワンタイムパスワード強度現在値にx+1を設定して、データベース6にオンラインサービス認証準備IDとサービス利用内容とオンラインサービス認証用ワンタイムパスワードとの組を記憶する。また、ワンタイムパスワードサーバ2は、受信したオンラインサービス利用者IDがデータベース6に記憶されていなかった場合、オンラインサービス認証準備IDをランダムに生成する。そして、ワンタイムパスワードサーバ2は、オンラインサービスサーバ1にオンラインサービス認証準備IDを送信する(ステップ611)。
【0084】
(12)オンラインサービスサーバ1は、情報端末装置3のオンラインサービスクライアント7にオンラインサービス認証準備IDを送信する(ステップ612)。
【0085】
(13)携帯端末装置3のワンタイムパスワードクライアント9は、ワンタイムパスワードサーバ2に、オンラインサービス利用者IDとワンタイムパスワードダウンロード用固定パスワードとの組を含むオンラインサービス認証用ワンタイムパスワードダウンロード要求を送信する(ステップ613)。
【0086】
(14)ワンタイムパスワードサーバ2は、受信したオンラインサービス認証用ワンタイムパスワードダウンロード要求に含まれるオンラインサービス利用者IDとワンタイムパスワードダウンロード用固定パスワードとの組によりデータベース6を検索し、データベース6に記憶されているオンラインサービス利用者IDとワンタイムパスワードダウンロード用固定パスワードとの組に一致するものがある場合、データベース6に記憶されているサービス利用内容とオンラインサービス認証用ワンタイムパスワードとの組をワンタイムパスワードクライアント9に送信する(ステップ614)。
【0087】
(15)ワンタイムパスワードクライアント9は、受信したサービス利用内容とオンラインサービス認証用ワンタイムパスワードとの組を表示する(ステップ615)。
【0088】
次に、本発明の認証システムにおいて、携帯端末装置のオンラインサービスクライアント使用時のオンラインサービス認証処理の処理動作について説明する。但し、ここでの処理で使用する共有秘密情報をワンタイムパスワードダウンロード用固定パスワードとする。なお、ここでの処理動作のフローは示していない。
【0089】
(処理701)
携帯端末装置4のワンタイムパスワードクライアント9は、ワンタイムパスワードサーバ2に、オンラインサービス利用者IDとワンタイムパスワードダウンロード用固定パスワードとの組を含むオンラインサービスログイン用ワンタイムパスワードダウンロード要求を送信する。
【0090】
(処理702)
ワンタイムパスワードサーバ2は、受信したオンラインサービスログイン用ワンタイムパスワードダウンロード要求に含まれるオンラインサービス利用者IDとワンタイムパスワードダウンロード用固定パスワードとの組によりデータペース6を検索し、データベース6に記憶されているオンラインサービス利用者IDとワンタイムパスワードダウンロード用固定パスワードとの組に一致するものがあった場合、オンラインサービスログイン用ワンタイムパスワードをランダムに生成して、データベース6にオンラインサービスログイン用ワンタイムパスワードを記憶し、ワンタイムパスワードクライアント9にオンラインサービスログイン用ワンタイムパスワードを送信する。
【0091】
(処理703)
ワンタイムパスワードクライアント9は、オンラインサービス利用者IDとオンラインサービスログイン用ワンタイムパスワードとを引数として、携帯端末装置4のオンラインサービスクライアント8を起動する。
【0092】
(処理704)
携帯端末装置4のオンラインサービスクライアント8は、オンラインサービスサーバ1に、オンラインサービス利用者IDとオンラインサービスログイン用ワンタイムパスワードとの組を含むオンラインサービスログイン要求を送信する。
【0093】
(処理705)
オンラインサービスサーバ1は、受信したオンラインサービスログイン要求に含まれるオンラインサービス利用者IDとオンラインサービスログイン用ワンタイムパスワードとの組によりデータベース6を検索し、データベース6に記憶されているオンラインサービス利用者IDとオンラインサービスログイン用ワンタイムパスワードとの組に一致するものがあった場合、携帯端末装置4のオンラインサービスクライアント8にオンラインサービスログイン成功画面を送信する。
【0094】
次に、本発明による認証システムにおけるメール認証処理の処理動作について説明する。但し、ここでの処理で使用する共有秘密情報をワンタイムパスワードダウンロード用固定パスワードとする。なお、なお、ここでの処理動作のフローは示していない。
【0095】
(処理801)
ワンタイムパスワードサーバ2は、送信先がオンラインサービス利用者であるメールと送信先のオンラインサービス利用者のオンラインサービス利用者IDとを受信した場合、メール認証用ワンタイムパスワードをランダムに生成して、データベース6にメール認証用ワンタイムパスワードを記憶し、メールにメール認証用ワンタイムパスワードを記載して送信先に送信する。
【0096】
(処理802)
ワンタイムパスワードクライアント9は、ワンタイムパスワードサーバ2に、オンラインサービス利用者IDとワンタイムパスワードダウンロード用固定パスワードとの組を含むメール認証用ワンタイムパスワードダウンロード要求を送信する。
【0097】
(処理803)
ワンタイムパスワードサーバ2は、受信したメール認証用ワンタイムパスワードダウンロード要求に含まれるオンラインサービス利用者IDとワンタイムパスワードダウンロード用固定パスワードとの組によりデータベース6を検索し、データベース6に記憶されているオンラインサービス利用者IDとワンタイムパスワードダウンロード用固定パスワードとの組に一致するものがあった場合、データベース6に記憶されているメール認証用ワンタイムパスワードを取得して、ワンタイムパスワードクライアント9にメール認証用ワンタイムパスワードを送信する。
【0098】
(処理804)
ワンタイムパスワードクライアント9は、受信したメール認証用ワンタイムパスワードを表示する。
【0099】
オンラインサービス利用者は、処理804を実行した後に、メールに記載されているメール認証用ワンタイムパスワードとワンタイムパスワードクライアント9に表示されているメール認証用ワンタイムパスワードとを比較して、一致すればメールの送信元がオンラインサービス提供者であり、一致しなければメールの送信元がオンラインサービス提供者以外であることを知ることができる。
【0100】
前述した処理801は、メールとして電子メールを想定した場合であるが、メールとして葉書などの送付物を想定した場合でも、送付物にメール認証用ワンタイムパスワードを記載することにより、メールの送信元を認証することができる。
【0101】
次に、本発明の認証システムにおいて、攻撃者が有効なIDを推測できないようにする対策処理について説明する。この処理は、前述で説明した処理203、及び、処理204以降の処理を変更することにより実施することができる。
【0102】
前述で説明した処理203での処理で、ワンタイムパスワードサーバ2は、オンラインサービス利用者サブIDをランダムに生成して、データベース6にオンラインサービス利用者サブIDを記憶し、ワンタイムパスワードクライアント9にオンラインサービス利用者サブIDを送信する。
【0103】
処理204での処理以降の処理で、オンラインサービス利用者IDの代わりにオンラインサービス利用者サブIDを使用する。但し、オンラインサービス利用者サブIDが取り得る値の総数は、オンラインサービス利用者の総数より遥かに大きくして、例えば、1万倍程度に大きくすることが必要である。
【0104】
次に、前述した本発明の実施形態で使用する各パスワードの強度について説明する。パスワードの強度は、一般に、パスワードを構成する英数字記号の文字数により決まり、システムの安全性とオンラインサービス利用者の利便性とを考慮して決められるが、本発明の実施形態では、ダミーワンタイムパスワード、ワンタイムパスワードダウンロード用固定パスワード、及び、オンラインサービスログイン用ワンタイムパスワードとしては、英数字記号32文字程度のものが使用され、また、ワンタイムパスワードクライアント初期化用固定パスワード及びオンラインサービス認証用固定パスワードとしては、英数字記号8文字程度のものが使用され、さらに、ワンタイムパスワードクライアント起動用固定パスワード、オンラインサービス認証用ワンタイムパスワード、及び、メール認証用ワンタイムパスワードとしては、数字8文字程度のものが使用される。また、オンラインサービス認証用ワンタイムパスワード強度の初期値は8程度である。
【0105】
前述した本発明の実施形態を構成するオンラインサービスサーバ1、ワンタイムパスワードサーバ2及び情報端末装置3は、CPU、メモリ、ハードディスク装置、表示装置、入出力装置等を備える情報処理装置により構成されればよい。また、携帯端末装置4は、携帯電話であるとして説明してきたが、携帯端末装置4として、携帯可能な前述のように構成される情報処理装置を使用することができる。
【0106】
また、前述した本発明の各実施形態での各処理は、プログラムにより構成し、計算機が備えるCPUに実行させることができ、また、それらのプログラムは、FD、CDROM、DVD等の記録媒体に格納して提供することができ、また、ネットワークを介してディジタル情報により提供することができる。
【0107】
前述した本発明の実施形態によれば、ワンタイムパスワードクライアント初期化要求の認証において、ワンタイムパスワードクライアント初期化用固定パスワードの強度が英数字記号8文字程度と弱いので、アカウントロックアウトの条件が含まれているが、オンラインサービス認証用ワンタイムパスワードダウンロード要求の認証では、ワンタイムパスワードダウンロード用固定パスワードの強度を英数字記号32文字程度と強くしているので、アカウントロックアウトの条件が含まれていないため、攻撃者が正当なオンラインサービス利用者のオンラインサービス認証用ワンタイムパスワードダウンロード要求を妨害できないようにすることができ、これにより、ワンタイムパスワードの安全性がオンラインサービス利用者によって入力された固定パスワードの安全性に常に依存するという、従来技術によるワンタイムパスワードを利用した認証システムの第1の問題点を解決することができる。
【0108】
また、本発明の実施形態によれば、ワンタイムパスワードクライアント初期化の有無及びオンラインサービス認証要求の認証条件となるオンラインサービス認証用ワンタイムパスワードの有無に応じて、データベースに記憶されているオンラインサービス認証用パスワードに、オンラインサービス認証用固定パスワード、ダミーワンタイムパスワードまたはオンラインサービス認証用ワンタイムパスワードを設定することとしているので、オンラインサービス認証要求の認証を実行しているステップ103での処理を変更しなければならないという、従来技術のワンタイムパスワードを利用した認証システムの第2の問題点を解決することができる。
【0109】
また、本発明の実施形態によれば、オンラインサービス認証用ワンタイムパスワードを共有する際に、オンラインサービスサーバとワンタイムパスワードクライアントとの現在の時刻情報やオンラインサービス認証要求回数の現在値を一致させて、共有してから一定時間経過後または共有以降のオンラインサービス認証要求回数が一定回数超過後ならば、オンラインサービス認証要求を認証失敗とすることとしているので、前後数分間の時刻情報や数回先のオンラインサービス認証要求回数を引数に計算されるオンラインサービス認証用ワンタイムパスワードも認証成功させてしまうという、従来技術のワンタイムパスワードを利用した認証システムの第3の問題点と、攻撃者が時間や回数に制限なく攻撃できるという第4の問題点を解決することができる。
【0110】
また、本発明の実施形態によれば、オンラインサービスサーバがオンラインサービスクライアントから受信したオンラインサービス認証要求を文字数がオンラインサービス認証用ワンタイムパスワード強度の現在値であるオンラインサービス認証用ワンタイムパスワードで認証して、認証に失敗したならばオンラインサービス認証用ワンタイムパスワード強度の現在値を大きくすることとしているので、特定のオンラインサービス利用者IDが攻撃されてもオンラインサービス認証用ワンタイムパスワードの強度が強くならないという、従来技術のワンタイムパスワードを利用した認証システムの第5の問題点を解決することができる。
【0111】
また、本発明の実施形態によれば、ワンタイムパスワードサーバがオンラインサービスクライアントから受信したサービス利用内容を含むオンラインサービス認証準備要求に対して、サービス利用内容とオンラインサービス認証用ワンタイムパスワードとを同期させて、ワンタイムパスワードクライアントが正当なワンタイムパスワードサーバとサービス利用内容及びオンラインサービス認証用ワンタイムパスワードとを共有したことを確認してから、サービス利用内容とオンラインサービス認証用ワンタイムパスワードとを表示して、オンラインサービス利用者がワンタイムパスワードクライアントに表示されているサービス利用内容とオンラインサービス認証準備要求に含まれるサービス利用内容とが等しいことを確認可能にすることとしているので、オンラインサービス認証要求に含まれるサービス利用内容が改ざんされても認証が成功してしまうという、従来技術のワンタイムパスワードを利用した認証システムの第6の問題点を解決することができる。
【0112】
また、本発明の実施形態によれば、携帯端末装置のワンタイムパスワードクライアントがオンラインサービスログイン用ワンタイムパスワードを引数として携帯端末装置のオンラインサービスクライアントを起動して、オンラインサービスサーバが携帯端末装置のオンラインサービスクライアントから受信したオンラインサービスログイン要求をオンラインサービスログイン用ワンタイムパスワードにより認証することとしているので、携帯端末装置のオンラインサービスクライアント使用時のオンラインサービス認証処理にワンタイムパスワードを使用できないという、従来技術のワンタイムパスワードを利用した認証システムの第7の問題点を解決することができる。
【0113】
また、本発明の実施形態によれば、ワンタイムパスワードサーバがメールにメール認証用ワンタイムパスワードを記載して、ワンタイムパスワードクライアントがメール認証用ワンタイムパスワードを表示することとしているので、フィッシングメール対策にワンタイムパスワードを使用できないという、従来技術のワンタイムパスワードを利用した認証システムの第8の問題点を解決することができる。
【0114】
さらに、本発明の実施形態によれば、オンラインサービス認証要求を、無効なIDが有効なIDより遥かに多くランダムに割り当てるオンラインサービス利用者サブIDにより認証することとしているので、攻撃者が有効なオンラインサービス利用者IDを推測してアカウントロックアウトすることができるという、従来技術のワンタイムパスワードを利用した認証システムの第9の問題点を解決することができる。
【図面の簡単な説明】
【0115】
【図1】固定パスワードを利用した従来技術による認証システムの構成例を示すブロック図である。
【図2】固定パスワードを利用した認証システムのオンラインサービス認証処理の処理動作を説明するフローチャートである。
【図3】本発明の一実施形態による認証システムの構成を示すブロック図である。
【図4】情報端末装置のオンラインサービスクライアント使用時のオンラインサービス認証処理(ワンタイムパスワードが時間に同期する場合)の処理動作を説明するフローチャートである。
【図5】情報端末装置のオンラインサービスクライアント使用時のオンラインサービス認証処理(ワンタイムパスワードがオンラインサービス認証要求の回数に同期する場合)の処理動作を説明するフローチャートである。
【図6】情報端末装置のオンラインサービスクライアント使用時のオンラインサービス認証処理(ワンタイムパスワードがオンラインサービス認証要求に含まれるサービス利用内容に同期する場合)の処理動作を説明するフローチャートである。
【符号の説明】
【0116】
1 オンラインサービスサーバ
2 ワンタイムパスワードサーバ
3 情報端末装置
4 携帯端末装置
5 ネットワーク
6 データベース
7 オンラインサービスクライアント
8 オンラインサービスクライアント
9 ワンタイムパスワードクライアント
【特許請求の範囲】
【請求項1】
オンラインサービスサーバとワンタイムパスワードサーバとオンラインサービスクライアントとワンタイムパスワードクライアントとがネットワークを介して接続されて構成されるクライアントサーバシステムでの認証システムであって、
前記ワンタイムパスワードサーバは、オンラインサービス認証用ワンタイムパスワードダウンロード要求を認証してから前記ワンタイムパスワードクライアントと複数個のオンラインサービス認証用ワンタイムパスワードを共有し、
前記ワンタイムパスワードクライアントは、オンラインサービス認証用ワンタイムパスワードを前記ワンタイムパスワードサーバと共有してから一定時間間隔で順番に表示対象となる複数個のオンラインサービス認証用ワンタイムパスワードのいずれか1個、あるいは、オンラインサービス認証要求回数とオンラインサービス認証用ワンタイムパスワードとの組を表示し、
前記オンラインサービスサーバは、前記オンラインサービスクライアントから受信したオンラインサービス認証要求を、オンラインサービス認証用ワンタイムパスワードを共有してから一定時間経過後、あるいは、オンラインサービス認証用ワンタイムパスワードを共有以降のオンラインサービス認証要求回数が共有したオンラインサービス認証用ワンタイムパスワードの個数を超えたならば認証失敗とし、オンラインサービス認証用ワンタイムパスワードを共有してから一定時間間隔で順番に認証条件となる複数個のオンラインサービス認証用ワンタイムパスワードのいずれか1個により、あるいは、オンラインサービス認証用ワンタイムパスワードを共有以降のオンラインサービス認証要求回数と組になるオンラインサービス認証用ワンタイムパスワードにより認証することを特徴とする認証システム。
【請求項2】
オンラインサービスサーバとワンタイムパスワードサーバとオンラインサービスクライアントとワンタイムパスワードクライアントとがネットワークを介して接続され、オンラインサービスサーバとワンタイムパスワードサーバとがデータベースに接続されて構成されるクライアントサーバシステムでの認証システムであって、
認証システムの初期状態が、前記データベースに記憶されているオンラインサービス認証用パスワードにオンラインサービス認証用固定パスワードが設定された状態であり、
前記ワンタイムパスワードサーバは、前記ワンタイムパスワードクライアントからの初期化要求を認証してからデータベースに記憶されているオンラインサービス認証用パスワードにダミーワンタイムパスワードを設定すると共に、オンラインサービス認証用ワンタイムパスワードダウンロード要求を認証してから前記データベースに記憶されているオンラインサービス認証用パスワードにオンラインサービス認証用ワンタイムパスワードを設定し、
前記オンラインサービスサーバは、前記オンラインサービスクライアントから受信したオンラインサービス認証要求を前記データベースに記憶されているオンラインサービス認証用パスワードにより認証し、
前記オンラインサービスサーバまたは前記ワンタイムパスワードサーバは、オンラインサービス認証用ワンタイムパスワードダウンロード要求を認証してから、ワンタイムパスワードクライアントと共有したオンラインサービス認証用ワンタイムパスワードをオンラインサービス認証要求の認証条件としない場合、前記データベースに記憶されているオンラインサービス認証用パスワードにダミーワンタイムパスワードを設定することを特徴とする認証システム。
【請求項3】
オンラインサービスサーバとオンラインサービスクライアントとがネットワークを介して接続され、オンラインサービスサーバとワンタイムパスワードサーバとオンラインサービスクライアントとワンタイムパスワードクライアントとから構成されるクライアントサーバシステムでの認証システムであって、
前記オンラインサービスサーバは、オンラインサービスクライアントから受信したオンラインサービス認証要求を文字数がオンラインサービス認証用ワンタイムパスワード強度の現在値であるオンラインサービス認証用ワンタイムパスワードで認証し、認証失敗したならばオンラインサービス認証用ワンタイムパスワード強度の現在値を大きくすることを特徴とする認証システム。
【請求項4】
オンラインサービスサーバとワンタイムパスワードサーバとオンラインサービスクライアントとワンタイムパスワードクライアントとがネットワークを介して接続されて構成されるクライアントサーバシステムでの認証方法であって、
前記ワンタイムパスワードサーバは、オンラインサービス認証用ワンタイムパスワードダウンロード要求を認証してから前記ワンタイムパスワードクライアントと複数個のオンラインサービス認証用ワンタイムパスワードを共有し、
前記ワンタイムパスワードクライアントは、オンラインサービス認証用ワンタイムパスワードを前記ワンタイムパスワードサーバと共有してから一定時間間隔で順番に表示対象となる複数個のオンラインサービス認証用ワンタイムパスワードのいずれか1個、あるいは、オンラインサービス認証要求回数とオンラインサービス認証用ワンタイムパスワードとの組を表示し、
前記オンラインサービスサーバは、前記オンラインサービスクライアントから受信したオンラインサービス認証要求を、オンラインサービス認証用ワンタイムパスワードを共有してから一定時間経過後、あるいは、オンラインサービス認証用ワンタイムパスワードを共有以降のオンラインサービス認証要求回数が共有したオンラインサービス認証用ワンタイムパスワードの個数を超えたならば認証失敗とし、オンラインサービス認証用ワンタイムパスワードを共有してから一定時間間隔で順番に認証条件となる複数個のオンラインサービス認証用ワンタイムパスワードのいずれか1個により、あるいは、オンラインサービス認証用ワンタイムパスワードを共有以降のオンラインサービス認証要求回数と組になるオンラインサービス認証用ワンタイムパスワードにより認証することを特徴とする認証方法。
【請求項5】
オンラインサービスサーバとワンタイムパスワードサーバとオンラインサービスクライアントとワンタイムパスワードクライアントとがネットワークを介して接続され、オンラインサービスサーバとワンタイムパスワードサーバとがデータベースに接続されて構成されるクライアントサーバシステムでの認証方法であって、
認証システムの初期状態が、前記データベースに記憶されているオンラインサービス認証用パスワードにオンラインサービス認証用固定パスワードが設定された状態であり、
前記ワンタイムパスワードサーバは、前記ワンタイムパスワードクライアントからの初期化要求を認証してからデータベースに記憶されているオンラインサービス認証用パスワードにダミーワンタイムパスワードを設定すると共に、オンラインサービス認証用ワンタイムパスワードダウンロード要求を認証してから前記データベースに記憶されているオンラインサービス認証用パスワードにオンラインサービス認証用ワンタイムパスワードを設定し、
前記オンラインサービスサーバは、前記オンラインサービスクライアントから受信したオンラインサービス認証要求を前記データベースに記憶されているオンラインサービス認証用パスワードにより認証し、
前記オンラインサービスサーバまたは前記ワンタイムパスワードサーバは、オンラインサービス認証用ワンタイムパスワードダウンロード要求を認証してから、ワンタイムパスワードクライアントと共有したオンラインサービス認証用ワンタイムパスワードをオンラインサービス認証要求の認証条件としない場合、前記データベースに記憶されているオンラインサービス認証用パスワードにダミーワンタイムパスワードを設定することを特徴とする認証方法。
【請求項1】
オンラインサービスサーバとワンタイムパスワードサーバとオンラインサービスクライアントとワンタイムパスワードクライアントとがネットワークを介して接続されて構成されるクライアントサーバシステムでの認証システムであって、
前記ワンタイムパスワードサーバは、オンラインサービス認証用ワンタイムパスワードダウンロード要求を認証してから前記ワンタイムパスワードクライアントと複数個のオンラインサービス認証用ワンタイムパスワードを共有し、
前記ワンタイムパスワードクライアントは、オンラインサービス認証用ワンタイムパスワードを前記ワンタイムパスワードサーバと共有してから一定時間間隔で順番に表示対象となる複数個のオンラインサービス認証用ワンタイムパスワードのいずれか1個、あるいは、オンラインサービス認証要求回数とオンラインサービス認証用ワンタイムパスワードとの組を表示し、
前記オンラインサービスサーバは、前記オンラインサービスクライアントから受信したオンラインサービス認証要求を、オンラインサービス認証用ワンタイムパスワードを共有してから一定時間経過後、あるいは、オンラインサービス認証用ワンタイムパスワードを共有以降のオンラインサービス認証要求回数が共有したオンラインサービス認証用ワンタイムパスワードの個数を超えたならば認証失敗とし、オンラインサービス認証用ワンタイムパスワードを共有してから一定時間間隔で順番に認証条件となる複数個のオンラインサービス認証用ワンタイムパスワードのいずれか1個により、あるいは、オンラインサービス認証用ワンタイムパスワードを共有以降のオンラインサービス認証要求回数と組になるオンラインサービス認証用ワンタイムパスワードにより認証することを特徴とする認証システム。
【請求項2】
オンラインサービスサーバとワンタイムパスワードサーバとオンラインサービスクライアントとワンタイムパスワードクライアントとがネットワークを介して接続され、オンラインサービスサーバとワンタイムパスワードサーバとがデータベースに接続されて構成されるクライアントサーバシステムでの認証システムであって、
認証システムの初期状態が、前記データベースに記憶されているオンラインサービス認証用パスワードにオンラインサービス認証用固定パスワードが設定された状態であり、
前記ワンタイムパスワードサーバは、前記ワンタイムパスワードクライアントからの初期化要求を認証してからデータベースに記憶されているオンラインサービス認証用パスワードにダミーワンタイムパスワードを設定すると共に、オンラインサービス認証用ワンタイムパスワードダウンロード要求を認証してから前記データベースに記憶されているオンラインサービス認証用パスワードにオンラインサービス認証用ワンタイムパスワードを設定し、
前記オンラインサービスサーバは、前記オンラインサービスクライアントから受信したオンラインサービス認証要求を前記データベースに記憶されているオンラインサービス認証用パスワードにより認証し、
前記オンラインサービスサーバまたは前記ワンタイムパスワードサーバは、オンラインサービス認証用ワンタイムパスワードダウンロード要求を認証してから、ワンタイムパスワードクライアントと共有したオンラインサービス認証用ワンタイムパスワードをオンラインサービス認証要求の認証条件としない場合、前記データベースに記憶されているオンラインサービス認証用パスワードにダミーワンタイムパスワードを設定することを特徴とする認証システム。
【請求項3】
オンラインサービスサーバとオンラインサービスクライアントとがネットワークを介して接続され、オンラインサービスサーバとワンタイムパスワードサーバとオンラインサービスクライアントとワンタイムパスワードクライアントとから構成されるクライアントサーバシステムでの認証システムであって、
前記オンラインサービスサーバは、オンラインサービスクライアントから受信したオンラインサービス認証要求を文字数がオンラインサービス認証用ワンタイムパスワード強度の現在値であるオンラインサービス認証用ワンタイムパスワードで認証し、認証失敗したならばオンラインサービス認証用ワンタイムパスワード強度の現在値を大きくすることを特徴とする認証システム。
【請求項4】
オンラインサービスサーバとワンタイムパスワードサーバとオンラインサービスクライアントとワンタイムパスワードクライアントとがネットワークを介して接続されて構成されるクライアントサーバシステムでの認証方法であって、
前記ワンタイムパスワードサーバは、オンラインサービス認証用ワンタイムパスワードダウンロード要求を認証してから前記ワンタイムパスワードクライアントと複数個のオンラインサービス認証用ワンタイムパスワードを共有し、
前記ワンタイムパスワードクライアントは、オンラインサービス認証用ワンタイムパスワードを前記ワンタイムパスワードサーバと共有してから一定時間間隔で順番に表示対象となる複数個のオンラインサービス認証用ワンタイムパスワードのいずれか1個、あるいは、オンラインサービス認証要求回数とオンラインサービス認証用ワンタイムパスワードとの組を表示し、
前記オンラインサービスサーバは、前記オンラインサービスクライアントから受信したオンラインサービス認証要求を、オンラインサービス認証用ワンタイムパスワードを共有してから一定時間経過後、あるいは、オンラインサービス認証用ワンタイムパスワードを共有以降のオンラインサービス認証要求回数が共有したオンラインサービス認証用ワンタイムパスワードの個数を超えたならば認証失敗とし、オンラインサービス認証用ワンタイムパスワードを共有してから一定時間間隔で順番に認証条件となる複数個のオンラインサービス認証用ワンタイムパスワードのいずれか1個により、あるいは、オンラインサービス認証用ワンタイムパスワードを共有以降のオンラインサービス認証要求回数と組になるオンラインサービス認証用ワンタイムパスワードにより認証することを特徴とする認証方法。
【請求項5】
オンラインサービスサーバとワンタイムパスワードサーバとオンラインサービスクライアントとワンタイムパスワードクライアントとがネットワークを介して接続され、オンラインサービスサーバとワンタイムパスワードサーバとがデータベースに接続されて構成されるクライアントサーバシステムでの認証方法であって、
認証システムの初期状態が、前記データベースに記憶されているオンラインサービス認証用パスワードにオンラインサービス認証用固定パスワードが設定された状態であり、
前記ワンタイムパスワードサーバは、前記ワンタイムパスワードクライアントからの初期化要求を認証してからデータベースに記憶されているオンラインサービス認証用パスワードにダミーワンタイムパスワードを設定すると共に、オンラインサービス認証用ワンタイムパスワードダウンロード要求を認証してから前記データベースに記憶されているオンラインサービス認証用パスワードにオンラインサービス認証用ワンタイムパスワードを設定し、
前記オンラインサービスサーバは、前記オンラインサービスクライアントから受信したオンラインサービス認証要求を前記データベースに記憶されているオンラインサービス認証用パスワードにより認証し、
前記オンラインサービスサーバまたは前記ワンタイムパスワードサーバは、オンラインサービス認証用ワンタイムパスワードダウンロード要求を認証してから、ワンタイムパスワードクライアントと共有したオンラインサービス認証用ワンタイムパスワードをオンラインサービス認証要求の認証条件としない場合、前記データベースに記憶されているオンラインサービス認証用パスワードにダミーワンタイムパスワードを設定することを特徴とする認証方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公開番号】特開2008−146669(P2008−146669A)
【公開日】平成20年6月26日(2008.6.26)
【国際特許分類】
【出願番号】特願2008−8068(P2008−8068)
【出願日】平成20年1月17日(2008.1.17)
【分割の表示】特願2007−525103(P2007−525103)の分割
【原出願日】平成18年11月28日(2006.11.28)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.QRコード
【出願人】(000233055)日立ソフトウエアエンジニアリング株式会社 (1,610)
【Fターム(参考)】
【公開日】平成20年6月26日(2008.6.26)
【国際特許分類】
【出願日】平成20年1月17日(2008.1.17)
【分割の表示】特願2007−525103(P2007−525103)の分割
【原出願日】平成18年11月28日(2006.11.28)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.QRコード
【出願人】(000233055)日立ソフトウエアエンジニアリング株式会社 (1,610)
【Fターム(参考)】
[ Back to top ]