説明

認証情報入力装置、認証情報入力方法および認証情報入力プログラム

【課題】ポインティングデバイスのみを利用した簡単かつ直感的な操作によって、十分な強度のセキュリティを得ることのできる認証情報入力装置等を提供する。
【解決手段】方向入力部と2個以上の入力ボタンを備えるポインティングデバイス20と、入力された移動方向と各ボタンの操作状態とを取得するポインティング動作取得部103と、移動方向の入力の開始時点と終了時点とを取得する開始/終了認識部104と、開始時点から終了時点までの期間中に入力された移動方向と各ボタンの操作状態とを検出する動作生成部102と、この入力操作をパスコードとして出力するパスコード生成部101と、パスコードの中からユーザIDおよび入力パスワードを抽出するID/パスワード生成部151と、ID/パスワード台帳を記憶する記憶手段52と、この入力パスワードをID/パスワード台帳に定義されたパスワードと比較する認証手段62とを備える。

【発明の詳細な説明】
【技術分野】
【0001】
本発明はコンピュータ装置におけるユーザの認証情報の入力に関し、特にポインティングデバイスのみによるパスワードの入力に関する。
【背景技術】
【0002】
コンピュータ装置を利用する場面や、インターネットを介して特定のサービスを利用する場面などで、ユーザを認証する必要がある場合に、最も多く利用されている認証方法が「ユーザIDとパスワード」の入力による方法である。この方法では、入力されたユーザIDと対応づけられて該装置内部に記憶されているパスワードと、入力されたパスワードとが一致している場合に、当該ユーザIDを入力したユーザに特定の装置やサービスなどの利用を許可する。
【0003】
他ユーザのパスワードを不正に取得することができれば、そのユーザになりすましてそれらの装置やサービスなどを利用することができる。このため、他ユーザのパスワードを不正に取得する手法がいくつか存在し、実際にこれらの手法による被害も多く発生している。
【0004】
たとえば、他ユーザがパスワードを入力する際のキーボード上での指の動きなどを盗み見する手法(ソーシャルハッキング)、他ユーザがキー入力したパスワードをソフトウェアによって取得する手法(キーロガー、パケットスニファリングなど)、文字や単語などをアトランダムに組み合わせてパスワードを生成してはそれらを順次入力して試す手法(総当たり攻撃、辞書攻撃など)などが、他ユーザのパスワードを不正に取得する手法として知られている。
【0005】
このため、非特許文献1にも記載されているように、パスワードは「長いこと(一般的には8文字以上)」「多くの種類の文字(アルファベット大文字/小文字、数字、記号)を利用していること」「辞書に掲載されていない(他人に推測されにくい)言葉を使用していること」「定期的かつ頻繁に変更していること」などの条件を満たすことが望ましいとされる。しかしながら、それらの条件を満たすパスワードは、人間にとって記憶しにくく、また入力しにくいものである。
【0006】
この不便さを解決し、またキーボードによる文字入力も必要とせず、さらにICカード(トークン)やバイオメトリクスなどのような特殊なハードウェアを必要としない、一般的なポインティングデバイス(マウスなど)のみで容易にパスワードの入力を可能にしようとする試みが、いくつか行われてきた。それらの試みは、たとえば次に示す各文献に記載されている。
【0007】
特許文献1には、マウスの移動方向とクリック回数とを確認パターンとして符号化して、これをパスワード入力とするというユーザ認証システムが記載されている。たとえば、この特許文献1の第1の実施例では、「入力ボタンを3回クリック」→「マウスを右に移動」→「入力ボタンを2回クリック」→「マウスを左に移動」…のように、マウスの移動方向と入力ボタンのクリック回数とを組み合わせたパターンをパスワード入力の代替としている。
【0008】
特許文献2には、マウスの移動とクリックとをベクトル解析して文字入力を行うという入力手段が記載されている。また、特許文献3には、入力ボタンの連続クリック数をパスワード入力の代替として認証に利用するというパスコードの入力方法が記載されている。特許文献4には、画面上の指定された領域(画像)をクリックした順序をパスワード入力の代替として認証に利用するという認証装置が記載されている。
【先行技術文献】
【特許文献】
【0009】
【特許文献1】特開平05−324560号公報
【特許文献2】特表2001−509088号公報
【特許文献3】特開2005−063360号公報
【特許文献4】特開2003−178026号公報
【非特許文献】
【0010】
【非特許文献1】「強力なパスワード:その作り方と使い方」、平成18年3月22日、マイクロソフト株式会社、[online][平成21年11月4日検索]、インターネット<URL:http://www.microsoft.com/japan/protect/yourself/password/create.mspx>
【発明の概要】
【発明が解決しようとする課題】
【0011】
前述のように、マウスなどのポインティングデバイスのみによって容易にパスワードの入力を可能にしようとする試みは過去においていくつかなされてきたが、このようなポインティングデバイスのみで可能な入力操作の種類は限られているので、操作回数を非常に多くしないと十分なセキュリティ強度(以後、単に強度という)を得ることができない。そのため、これらの試みの中で実用に耐えうるものは出現していない。
【0012】
ディスプレイ上にキーボードを表示して、これをクリックすることによって文字入力の代替とするスクリーンキーボードをパスワードの入力に利用することは可能ではあるが、これは通常のキーボードと比べて文字の入力に多大な手間と時間がかかり、特に長い文字列の入力には不向きである。
【0013】
通常のパスワード入力では、パスワードに使用可能な文字種類を「アルファベット半角大文字(ABCDEFGHIJKLMNOPQRSTUVWXYZの26種)」「アルファベット半角小文字(abcdefghijklmnopqrstuvwxyzの26種)」「半角数字(0123456789の10種)」「半角記号(.,-_$%&#+*の10種)」の合計62種とすると、パスワードとしてこれらの文字の中で任意の8文字を選択することを考えた場合、可能な組み合わせは62の8乗=218,340,105,584,896通りである。
【0014】
特許文献1に記載の技術では、マウスの移動方向と連続クリック数以外の入力ができない。このため、通常の文字入力によるパスワードと比較して遜色のない強度を得るには、この特許文献1の第1の実施例だと、マウスの移動方向を左右の2方向、連続クリック数を最小1回〜最大10回の間、かつ連続クリックの動作から入力を開始すると仮定すると、22動作分で考えられる組み合わせは(10×2)の11乗=204,800,000,000,000通りとなる。
【0015】
即ち、特許文献1に記載の技術では、操作回数を非常に多くしないと「パスワードと比較して遜色ない強度」を得ることができず、これだけ多くの操作回数は人間が直感的に記憶可能な範囲を超えるので、現実的ではない。また、特許文献1に記載の技術では、マウスの操作によって代替しているのはパスワードの入力だけであり、ユーザIDの入力については従来通りキーボードを介して行う必要がある。
【0016】
特許文献2に記載の技術は、マウスを利用した手書き入力から文字を認識するものであり、パスワードの入力にかかる手間を軽減するものではない。特許文献3に記載の技術では、数字以外の入力が不可能であるので、特許文献1に記載の技術と同じく、操作回数を非常に多くしないと「パスワードと比較して遜色のない強度」を得ることができない。特許文献4に記載の技術も、スクリーンキーボードによる文字入力を画像による入力に置き換えただけであると言えるので、パスワードの入力にかかる手間を軽減したことにはならない。即ち、特許文献1〜4に記載の技術、あるいはそれらを組み合わせた技術では、強度を確保しつつパスワードの入力にかかる手間を軽減することはできない。
【0017】
本発明の目的は、一般的なポインティングデバイスのみを利用した簡単かつ直感的な操作によって、文字入力によるパスワードと比較しても遜色のないセキュリティ強度を得ることのできる認証情報入力装置、認証情報入力方法および認証情報入力プログラムを提供することにある。
【課題を解決するための手段】
【0018】
上記目的を達成するため、本発明に係る認証情報入力装置は、少なくとも4方向以上の移動方向の入力が可能である方向入力部と移動方向の入力中に操作可能な少なくとも2個以上の入力ボタンとを備えるポインティングデバイスと、ポインティングデバイスによって入力された移動方向と各入力ボタンの操作状態とを取得するポインティング動作取得部と、ポインティングデバイスに対する操作の中から入力開始時点および一回の操作の終了を示す入力終了時点を取得する開始/終了認識部と、入力開始時点から入力終了時点までの期間中に方向入力部に入力された移動方向と当該期間中の各入力ボタンの操作状態とを入力操作として検出する動作生成部と、検出された入力操作をパスコードとして出力するパスコード生成部と、パスコードからユーザIDおよび入力パスワードを抽出するID/パスワード生成部とを備えると共に、ユーザIDを含む複数のユーザIDおよびこれに対応するパスワードを予め定義するID/パスワード台帳と、ユーザIDおよびこれに対応するID識別コードとを予め定義する変換表とを記憶する記憶手段と、入力パスワードをユーザIDに対応づけられてID/パスワード台帳に定義されたパスワードと比較してこれらの両者が一致していればユーザIDに該当するユーザを認証する認証手段とを設け、ID/パスワード生成部が、パスコード生成部から入力されたパスコードをID識別コードと入力パスワードとに分割すると共に変換表を参照してこのID識別コードに対応するユーザIDを抽出することを特徴とする。
【0019】
上記目的を達成するため、本発明に係る認証情報入力方法は、ユーザの認証に必要な情報であるユーザIDおよびこれに対応するパスワードを予め定義するID/パスワード台帳と、ID識別コードおよびこれに対応するユーザIDとを予め定義する変換表とを記憶する記憶手段と、少なくとも4方向以上の移動方向の入力が可能である方向入力部と移動方向の入力中に操作可能な少なくとも2個以上の入力ボタンとによってユーザIDおよびパスワードを入力するポインティングデバイスとを備えた認証情報入力装置にあって、ポインティングデバイスによって入力された移動方向と各入力ボタンの操作状態とをポインティング動作取得部が取得し、ポインティングデバイスに対する操作の中から移動方向の入力開始時点および一回の操作の終了を示す入力終了時点を開始/終了認識部が取得し、入力開始時点から入力終了時点までの期間中に方向入力部に入力された移動方向と当該期間中の各入力ボタンの操作状態とを入力操作として動作生成部が検出し、検出された入力操作をパスコードとしてパスコード生成部がID/パスワード生成部が出力し、出力されたパスコードをID識別コードと入力パスワードとにID/パスワード生成部が分割し、変換表を参照してこのID識別コードに対応するユーザIDをID/パスワード生成部が抽出し、抽出された入力パスワードをユーザIDに対応づけられてID/パスワード台帳に定義されたパスワードと比較してこれらの両者が一致していればユーザIDに該当するユーザを認証手段が認証することを特徴とする。
【0020】
上記目的を達成するため、本発明に係る認証情報入力プログラムは、ユーザの認証に必要な情報であるユーザIDおよびこれに対応するパスワードを予め定義するID/パスワード台帳と、ID識別コードおよびこれに対応するユーザIDとを予め定義する変換表とを記憶する記憶手段と、少なくとも4方向以上の移動方向の入力が可能である方向入力部と移動方向の入力中に操作可能な少なくとも2個以上の入力ボタンとによってユーザIDおよびパスワードを入力するポインティングデバイスとを備えた認証情報入力装置にあって、認証情報入力装置が備えるコンピュータに、ポインティングデバイスによって入力された移動方向と各入力ボタンの操作状態とを取得する手順、ポインティングデバイスに対する操作の中から移動方向の入力開始時点および一回の操作の終了を示す入力終了時点を取得する手順、入力開始時点から入力終了時点までの期間中に方向入力部に入力された移動方向と当該期間中の各入力ボタンの操作状態とを入力操作として検出する手順、検出された入力操作をパスコードとして出力する手順、出力されたパスコードをID識別コードと入力パスワードとに分割する手順、変換表を参照してこのID識別コードに対応するユーザIDを抽出する手順、および抽出された入力パスワードをユーザIDに対応づけられてID/パスワード台帳に定義されたパスワードと比較してこれらの両者が一致していればユーザIDに該当するユーザを認証する手順を実行させることを特徴とする。
【発明の効果】
【0021】
上述したように本発明は、ポインティングデバイスの移動方向とその間の各入力ボタンの操作状態とを入力操作として検出するように構成したので、少ない操作数で高いセキュリティ強度を得ることができる。これによって、簡単かつ直感的な操作によって、文字入力によるパスワードと比較しても遜色のないセキュリティ強度を得ることが可能であるという、優れた特徴を持つ認証情報入力装置、認証情報入力方法および認証情報入力プログラムを提供することができる。
【図面の簡単な説明】
【0022】
【図1】図2で示した端末装置およびウェブサーバのより詳しい構成を示す説明図である。
【図2】本発明の第1の実施形態に係るユーザ認証システムのネットワーク構成を示す説明図である。
【図3】図1で示したポインティングデバイスの外観およびより詳しい構成を示す説明図である。
【図4】図1で示した端末装置側の認証アプリケーションの動作を示すフローチャートである。
【図5】図4のステップS208でパスコード生成部が記憶手段に一時的に記憶させるパスコードの一例を示す説明図である。
【図6】図1で示したウェブサーバ側の認証アプリケーションの動作を示すフローチャートである。
【図7】図1で示したID/パスワード台帳およびID識別コード/ID変換表の記憶内容の一例を示す説明図である。図7(a)はID/パスワード台帳、図7(b)はID識別コード/ID変換表を各々示す。
【図8】本発明の第2の実施形態に係る認証装置の構成を示す説明図である。
【発明を実施するための形態】
【0023】
(第1の実施形態)
以下、本発明の第1の実施形態の構成について添付図1〜3に基づいて説明する。
最初に、本実施形態の基本的な内容について説明し、その後でより具体的な内容について説明する。
本実施形態に係る認証情報入力装置(ユーザ認証システム1)は少なくとも4方向以上の移動方向の入力が可能である方向入力部21と移動方向の入力中に操作可能な少なくとも2個以上の入力ボタン22a〜bを備えるポインティングデバイス20と、ポインティングデバイスに入力された移動方向と各入力ボタンの操作状態とを取得するポインティング動作取得部103と、ポインティングデバイスに対する操作の中から入力開始時点および一回の操作の終了を示す入力終了時点を取得する開始/終了認識部104と、入力開始時点から入力終了時点までの期間中に方向入力部に入力された移動方向と当該期間中の各入力ボタンの操作状態とを入力操作として検出する動作生成部102と、検出された入力操作をパスコードとして出力するパスコード生成部101と、パスコードからユーザID161aおよび入力パスワード110bを抽出するID/パスワード生成部151を備える。そして、ユーザIDおよびこれに対応するパスワードを予め定義するID/パスワード台帳161と、ID識別コードおよびこれに対応するユーザIDとを予め定義する変換表162とを記憶する記憶手段52と、抽出された入力パスワードをユーザIDに対応づけられてID/パスワード台帳に定義されたパスワード161bと比較してこれらの両者が一致していればユーザIDに該当するユーザを認証する認証手段62とを併設しつつ、ID/パスワード生成部151はパスコード生成部から入力されたパスコード110をID識別コード110aと入力パスワード110bとに分割すると共に変換表を参照してこのID識別コード110aに対応するユーザID161aを抽出する。
【0024】
また動作生成部102は、入力開始から入力終了までの期間中に方向入力部21に入力された各移動方向の中で最も移動量が大きかった方向を移動方向として検出すると共に、各入力ボタン22a〜bが期間中の半分以上の時間にわたって押下されているか否かを各入力ボタンの操作状態として検出する。
【0025】
そしてパスコード生成部101は、検出された移動方向および各入力ボタンの操作状態をバイナリデータに置換してこれをパスコード110として出力する。
【0026】
この認証情報入力装置は、ポインティングデバイス20、ポインティング動作取得部103、開始/終了認識部104、動作生成部102、およびパスコード生成部101を備えた端末装置10を設けると共に、ID/パスワード生成部151、記憶手段52、および認証手段62を端末装置と相互に接続されたサーバ(ウェブサーバ50)内に装備するという構成である。
【0027】
以上の構成を備えることにより、この認証情報入力装置は、簡単かつ直感的な操作によって、文字入力によるパスワードと比較しても遜色のない強度のセキュリティを得ることが可能となる。
以下、これをより詳細に説明する。
【0028】
図2は、本発明の実施形態に係るユーザ認証システム1のネットワーク構成を示す説明図である。ユーザ認証システム1は、ユーザの操作するコンピュータ装置である端末装置10と、ウェブサービスなどの一般的なサービスを端末装置10に対して提供するコンピュータ装置であるウェブサーバ50とが、インターネット70を介して相互に接続されて構成される。
【0029】
端末装置10とウェブサーバ50との間のインターネット70を介した接続は、VPN(Virtual Private Network)もしくはSSL(Secure Socket Layer)などのようなセキュアな接続方法で行われることが望ましいが、それ自体は本発明の範囲ではないので、公知技術を適宜利用することができる。
【0030】
図1は、図2で示した端末装置10およびウェブサーバ50のより詳しい構成を示す説明図である。端末装置10は、コンピュータプログラムを実施する演算装置であるプロセッサ11、プログラムやデータを記憶する記憶手段12、インターネット70を介して他のコンピュータ装置とのデータ通信を行う通信手段13、処理結果をユーザ向けに出力する出力手段であるディスプレイ14、およびユーザからの入力を受け付けるポインティングデバイス20を備える。
【0031】
プロセッサ11では、ウェブサーバ50から送信されるデータをディスプレイ14に表示してユーザの操作を受け付けるウェブブラウザ31と、ユーザ認証の操作を行う認証アプリケーション32とが、コンピュータプログラムとして動作する。
【0032】
ウェブサーバ50は、コンピュータプログラムを実施する演算装置であるプロセッサ51、プログラムやデータを記憶する記憶手段52、およびインターネット70を介して他のコンピュータ装置とのデータ通信を行う通信手段53を備える。
【0033】
プロセッサ51では、端末装置10に対してウェブサービスを提供するウェブサーバソフト61、端末装置10を操作するユーザを認証する認証手段62、および認証アプリケーション32と連携してユーザの認証に係る操作の入力を受け付ける認証アプリケーション63とが、コンピュータプログラムとして動作する。ウェブサーバソフト61は、Apacheなどのような一般的なウェブサービスを提供するソフトウェアであり、認証手段62は、このウェブサーバソフト61が通常備える動作モジュールの一つである。
【0034】
端末装置10側の認証アプリケーション32は、パスコード生成部101、動作生成部102、ポインティング動作取得部103、開始/終了認識部104といった各動作部を含む。また、端末装置10の記憶手段12には、パスコード生成部101がパスコード110を4ビット以上のバイナリデータとして一時的に記憶させる。これら各々の詳細は後述する。
【0035】
ウェブサーバ50側の認証アプリケーション63は、ID/パスワード生成部151という動作部を含み、またウェブサーバ50の記憶手段52にID識別コード/ID変換表162を記憶させる。それとは別個に、ウェブサーバソフト61が通常備える動作モジュールの一つである認証手段62は、ID/パスワード台帳161を記憶している。これら各々の記憶データの詳細についても後述する。
【0036】
ユーザはウェブブラウザ31を介して、ウェブサーバ50(ウェブサーバソフト61)が提供するウェブサービスを閲覧するが、必要に応じて認証アプリケーション32を起動する。より具体的には、ウェブサーバソフト61が端末装置10に対して配信するコンテンツの中で、ユーザ認証を必要とするコンテンツをユーザが閲覧しようとする場合などで、ユーザは認証アプリケーション32を起動して後述の方法でユーザ認証を行うこともできるし、認証アプリケーション32を利用しないで従来通りにユーザIDおよびパスワードを入力してユーザ認証を行うこともできる。
【0037】
図3は、図1で示したポインティングデバイス20の外観およびより詳しい構成を示す説明図である。ポインティングデバイス20は、GUI(Graghic User Interface)であるコンピュータ装置の操作環境で、操作対象を示すポインタをユーザが移動させたい方向を入力するための方向入力部21と、ユーザが該ポインタの示す対象へのクリック操作を行うための第1の入力ボタン22a、および第2の入力ボタン22bとを備える。
【0038】
図3では、ポインティングデバイス20は一般的なボール式2ボタンマウスであるものとして描いているので、方向入力部21はこのポインティングデバイス20の底面に設けられたマウスボールである。ユーザがポインティングデバイス20を机面に置いて方向入力部21(マウスボール)を回転させれば、ポインティングデバイス20はこの回転からGUIのポインタを移動させる移動量と移動方向とを検出することができる。
【0039】
ボール式2ボタンマウス以外にも、たとえば光学式マウス、タッチパッド、タブレット、トラックボール、ジョイスティックなどをポインティングデバイス20として利用することができる。また、入力ボタンの数は3個以上であってもよいし、たとえばホイールなどのような、方向入力部および入力ボタン以外の入力要素を備えていてもよい。
【0040】
(端末装置側の動作)
図4は、図1で示した端末装置10側の認証アプリケーション32の動作を示すフローチャートである。ユーザが認証アプリケーションを起動して、ポインティングデバイス20を操作すると、ポインティング動作取得部103がポインティングデバイス20の方向入力部21および第1〜2の入力ボタン22a〜bに対するユーザの操作を取得し(ステップS201)、その操作の内容から開始/終了認識部104は入力操作の開始もしくは終了を検出する操作を行う(ステップS202〜203)。
【0041】
より具体的には、「方向入力部21で所定の距離以上のポインタの移動があった」または「第1〜2の入力ボタン22a〜bのいずれかが押された」場合を、開始/終了認識部104は「入力操作開始」と認識する。また、「ポインティングデバイス20に対する操作が予め定められた所定の時間(たとえば2秒間)行われない」場合を、開始/終了認識部104は「入力操作終了」と認識する。
【0042】
動作生成部102は、この「入力操作開始」から「入力操作終了」の間に、ポインティングデバイス20で行われた操作についての情報をポインティング動作取得部103から連続して受け取り、これを一連の入力操作として認識する(ステップS204)。
【0043】
より具体的には、ポインティング動作取得部103は所定の周期(たとえば0.1秒)ごとに方向入力部21の示す座標を取得し、動作生成部102は周期内でのその座標の上下方向および左右方向の移動量を取得する。そして動作生成部102は、上下左右の各方向の中で最も移動量が大きかった方向を、その時点での移動方向として検出する。さらに、周期内での第1〜2の入力ボタン22a〜bの各々に対する押下の有無を検出する。
【0044】
動作生成部102は、方向入力部21の示す座標が、所定の時間(たとえば0.3秒間)以上連続して同一方向へ移動した後別方向へ移動するまでの間、もしくは移動した後所定の時間(たとえば1秒)以上の移動停止(たとえば0.1秒あたりの移動距離が1mm以下)を認識するまでの間を1動作期間と認識する(ステップS205)。
【0045】
そして動作生成部102は、この1動作期間の1/2以上の間にわたって、第1〜2の入力ボタン22a〜bが押下されていたか否かを判定する。第1〜2の入力ボタン22a〜bの各々について、1動作期間の1/2以上の間押下されていれば「TRUE」、そうでない場合は「FALSE」とする(ステップS206)。動作生成部102は、該1動作期間におけるポインタの移動方向(上下左右の4方向)と第1〜2の入力ボタン22a〜bの各々の押下状態(TRUEまたはFALSE)を組み合わせて「1動作」の動作内容データを生成して、パスコード生成部101に出力する(ステップS207)。
【0046】
パスコード生成部101は、動作生成部102から受け取った動作内容データをパスコード110として記憶手段12に一時的に記憶させた(ステップS208)後、このパスコード110をウェブサーバ50側の認証アプリケーション63に送信する(ステップS209)。
【0047】
図5は、図4のステップS208でパスコード生成部101が記憶手段12に一時的に記憶させるパスコード110の一例を示す説明図である。パスコード110は、動作数×4bitの長さを持つバイナリデータである。
【0048】
1動作に対して、1〜2桁目がポインタの移動方向(上下左右の4方向、上:00、下:01、左:10、右:11)、3桁目が第1の入力ボタン22aが押下されていたか否か(TRUE:1、FALSE:0)、4桁目が第2の入力ボタン22bが押下されていたか否か(TRUE:1、FALSE:0)をそれぞれ表す。
【0049】
図5に記載された例でいえば、ユーザはポインティングデバイス20を「第1の入力ボタン22aのみ押して上方向」「第1の入力ボタン22aのみ押して右方向」「第1〜2の入力ボタン22a〜bを両方押して右方向」「第1〜2の入力ボタン22a〜bのいずれも押さずに右方向」「第1〜2の入力ボタン22a〜bのいずれも押さずに上方向」…のように動かす操作を繰り返す。
【0050】
これによって、「0010」「1110」「1111」「0100」「0000」「0100」…というパスコード110がパスコード生成部101によって生成される。このように、本実施形態ではパスコード110は5動作分以上の動作内容、即ち20ビット以上のバイナリデータとなる。このうち先頭の16ビット(4動作分)を後述のID識別コード110aとし、残りの17ビット目以降を入力パスワード110bとして利用する。
【0051】
図5に記載の例では、「0010」「1110」「1111」「0100」の先頭の4動作分がID識別コード110a=「2ef4」、残る「0000」「0100」…が入力パスワード110b=「049ad…」となる。
【0052】
(ウェブサーバ側の動作)
図6は、図1で示したウェブサーバ50側の認証アプリケーション63の動作を示すフローチャートである。ウェブサーバ50側の認証アプリケーション63で、パスコード110を受信したID/パスワード生成部151(ステップS301)は、2進数のバイナリデータとして受信したパスコード110を16進数に変換し、さらにそれを「0」〜「f」の文字列に変換する。そしてこの文字列の先頭4文字をID識別コード110aとし、5文字目以降を1文字以上の入力パスワード110bとする(ステップS302)。
【0053】
図7は、図1で示したID/パスワード台帳161およびID識別コード/ID変換表162の記憶内容の一例を示す説明図である。図7(a)として示したID/パスワード台帳161は、前述したようにウェブサーバソフト61が通常備える動作モジュールの一つである認証手段62が利用するものである。
【0054】
即ち、ユーザはウェブブラウザ31を介してユーザ認証を必要とするコンテンツを閲覧しようとする場合、認証手段62に対してウェブブラウザ31経由でユーザIDおよびパスワードを入力する。ID/パスワード台帳161には、予め登録されたユーザID161aと、これに対応して登録されたパスワード161bとが登録されている。パスワード161bは、ユーザID161aに対応してユーザが入力したパスワードの文字列を(MD5などのような暗号アルゴリズムに基づく)不可逆関数によってハッシュ化した文字列が登録されている。
【0055】
本実施形態に係る入力方法を利用しない場合は、認証手段62はウェブブラウザ31を介してユーザにユーザID161aとそれに対応するパスワードの入力を求める。認証手段62は、入力されたパスワードをハッシュ化して、これとユーザID161aに対応するパスワード161bの記録内容とを比較して、一致していれば該ユーザを認証して、当該コンテンツの閲覧を許可する。
【0056】
図7(b)として示したID識別コード/ID変換表162は、前述のユーザID161aと、パスコード110の先頭4文字であるID識別コード110aとの間を対応づけるものである。そして本実施例では、パスコード110から先頭4文字(ID識別コード110a)を除いた1文字以上の文字列を入力パスワード110bとし、これをハッシュ化してパスワード161bとしてID/パスワード台帳161が予め記憶している。
【0057】
即ち、ID識別コード110a(に対応するユーザID161a)と入力パスワード110bとが、ポインティングデバイス20のみの操作で入力できるのである。ID/パスワード生成部151は、これによって入力されたID識別コード110aに対応するユーザID161aを、入力パスワード110bと共に認証手段62に入力する(ステップS303)。
【0058】
認証手段62は、従来技術と全く同様にして、入力パスワード110bをハッシュ化して、これとユーザID161aに対応するパスワード161bの記録内容とを比較して(ステップS304)、一致していれば該ユーザを認証して、当該コンテンツの閲覧を許可する旨をウェブサーバソフト61に通知する(ステップS305)。これによってユーザは、ウェブブラウザ31を介して当該コンテンツを閲覧することができる。ステップS304でハッシュ化された入力パスワード110bがパスワード161bの記録内容と一致しない場合は、認証手段62は当該コンテンツの閲覧を許可せずに処理を終了する。
【0059】
図5および図7記載の例でいえば、ID/パスワード生成部151は、端末装置10側の認証アプリケーション32から入力された「0010」「1110」「1111」「0100」「0000」「0100」「1001」「1010」「1101」…というバイナリコードであるパスコード110を16進数「2ef4049ad…」に変換し、さらに文字列「2ef4049ad…」に変換する。
【0060】
そしてID/パスワード生成部151は、この文字列の冒頭4桁をID識別コード110a=「2ef4」とし、ID識別コード/ID変換表162を参照してID識別コード110a=「2ef4」に対応するユーザID161a=「k−suzuki」を抽出する(ステップS301〜302)。ID/パスワード生成部151は、パスコード110からID識別コード110a=「2ef4」を抽出した後に残る「049ad…」を入力パスワード110bとする。
【0061】
そしてID/パスワード生成部151は、このユーザID161a=「k−suzuki」と、入力パスワード110b=「049ad…」とを認証手段62に入力する(ステップS303)。認証手段62は、入力パスワード110b=「049ad…」をハッシュ化し、これとID/パスワード台帳161に記録されたユーザID161a=「k−suzuki」に対応するパスワード161b(ハッシュ化済文字列)=「qXrVIYG9Xtdmo」とを比較して、一致するか否かを判断する(ステップS304)。一致すれば、認証手段62は該ユーザの当該コンテンツの閲覧を許可する(ステップS305)。
【0062】
(第1の実施形態の全体的な動作)
次に、上記の実施形態の全体的な動作について説明する。本実施形態に係る認証方法は、ユーザの認証に必要な情報であるユーザIDおよびこれに対応するパスワードを予め定義するID/パスワード台帳と、ID識別コードおよびこれに対応するユーザIDとを予め定義する変換表とを記憶する記憶手段と、少なくとも4方向以上の移動方向の入力が可能である方向入力部と移動方向の入力中に操作可能な少なくとも2個以上の入力ボタンとによってユーザIDおよびパスワードを入力するポインティングデバイスとを備えた認証情報入力装置にあって、ポインティングデバイスによって入力された移動方向と各入力ボタンの操作状態とをポインティング動作取得部が取得し(図4:ステップS201)、ポインティングデバイスに対する操作の中から移動方向の入力開始時点および一回の操作の終了を示す入力終了時点を開始/終了認識部が取得し(図4:ステップS202〜203)、入力開始時点から入力終了時点までの期間中に方向入力部に入力された移動方向と当該期間中の各入力ボタンの操作状態とを入力操作として動作生成部が検出し(図4:ステップS205〜206)、検出された入力操作をパスコードとしてパスコード生成部が出力する(図4:ステップS207〜209)。そして出力されたパスコードをID識別コードと入力パスワードとにID/パスワード生成部が分割し(図6:ステップS302)、変換表を参照してこのID識別コードに対応するユーザIDをID/パスワード生成部が抽出し(図6:ステップS303)、抽出された入力パスワードをユーザIDに対応づけられてID/パスワード台帳に定義されたパスワードと比較してこれらの両者が一致していればユーザIDに該当するユーザを認証手段が認証する(図6:ステップS304〜305)。
【0063】
ここで、上記各動作ステップについては、これをコンピュータで実行可能にプログラム化し、これらを前記各ステップを直接実行するコンピュータである端末装置10およびウェブサーバ50に実行させるようにしてもよい。
この構成および動作により、本実施形態は以下のような効果を奏する。
【0064】
本実施形態によれば、ポインティングデバイス20のみで、キーボードを利用して文字を入力することもなく、またそれら以外の特殊な入力装置を利用することもなく、ユーザの認証にかかる動作を行うことができる。これは、文字や回数などを記憶する必要がないので、ユーザにとって直感的で記憶しやすい動作である。
【0065】
また、特許文献1に記載の方法では、パスワードの入力のみをマウスによって行い、ユーザIDの入力は従来通りキーボードによる文字入力で行っていた。これに対して本実施形態では、パスコード110の先頭4桁をID識別コード110aとして、これに対応するユーザID161aを抽出する構成となっているので、ユーザIDおよびパスワードの入力を、ポインティングデバイス20のみの操作でまとめて行うことが可能である。
【0066】
前述のように、通常のパスワード入力で任意の英数文字8文字をパスワードとして入力する場合に可能な組み合わせは62の8乗=218,340,105,584,896通りである。これに対して本実施形態では、1動作が4ビット=16通りの情報量を持つので、入力パスワード110bは12動作分で16の12乗=281,474,976,710,656通りの情報量を持つ。
【0067】
特許文献1の第1の実施形態に記載の発明では、任意の半角英数文字8文字によって構成されるパスワードと同等の強度を得るには、前述のように22動作程度の操作が必要であった。これに対して、本実施形態では12動作程度でこれと同等の強度を得ることができる。即ち、本実施形態では比較的少ない操作回数、かつユーザにとって直感的で記憶しやすい動作で、半角英数文字8桁のパスワードと比較しても遜色のない強度を得ることができる。
【0068】
本実施形態の実施のためには、端末装置10とウェブサーバ50のいずれの側にも特殊なハードウェアは必要ではなく、ただ認証アプリケーション32および63を双方にインストールするだけでよい。端末装置10の側には通常のポインティングデバイス20があればよい。またウェブサーバ50の側でも、ウェブサーバソフト61が通常備える動作モジュールである認証手段62をそのまま利用することができる。即ち、端末装置10とウェブサーバ50の双方ともハードウェアの改変は全く不要であり、ソフトウェアについても最小限の追加のみで済む。
【0069】
(第2の実施形態)
本発明の第2の実施形態は、第1の実施形態として説明した各動作部を、全て単一のコンピュータ装置である認証装置401内に備える。これによっても、第1の実施形態と全く同一の動作が可能であり、全く同一の効果を得ることができる。
以下、これをより詳しく説明する。
【0070】
図8は、本発明の第2の実施形態に係る認証装置401の構成を示す説明図である。認証装置401は通常のコンピュータ装置であり、コンピュータプログラムを実施する演算装置であるプロセッサ411、プログラムやデータを記憶する記憶手段412、処理結果をユーザ向けに出力する出力手段であるディスプレイ414、およびユーザからの入力を受け付ける、図3に示した第1の実施形態と同一のポインティングデバイス20を備える。
【0071】
プロセッサ411では、ユーザの操作を受け付けて動作するアプリケーション431と、アプリケーション431を使用しようとするユーザを認証する認証手段462、認証手段462と連携してユーザ認証の操作を行う認証アプリケーション432とが、コンピュータプログラムとして動作する。
【0072】
認証アプリケーション432は、第1の実施例と同一の動作を行うパスコード生成部101、動作生成部102、ポインティング動作取得部103、開始/終了認識部104、およびID/パスワード生成部151といった各動作部を含む。また、記憶手段412は第1の実施例と同内容のパスコード110、ID/パスワード台帳161、およびID/パスワード生成部151を含む。これらは、動作および記憶の内容が第1の実施例と同一であるので、同一の参照番号を付している。
【0073】
即ち、認証アプリケーション432を構成する各部の動作は、第1の実施形態で説明したものと全く同一である。また、記憶手段412に記憶される各データの内容も、第1の実施形態で説明したものと全く同一である。認証アプリケーション432から出力されるユーザID161aおよび入力パスワード110bは認証手段462に入力される。認証手段462は、第1の実施形態の認証手段62と同様に、入力パスワード110bをハッシュ化して、これとユーザID161aに対応するパスワード161bの記録内容とを比較して(図7:ステップS304)、一致していれば該ユーザを認証して、アプリケーション431の使用を許可する(図7:ステップS305)。
【0074】
アプリケーション431の使用以外にも、たとえばローカルコンピュータ上でのOS(Operating System)へのログイン、特定の記憶装置や記憶域へのアクセスなど、コンピュータ装置上で一般にユーザの認証を必要とする場合であれば本実施形態を適用して第1の実施形態と同一の効果を得ることができる。
【0075】
(実施形態の拡張および変形)
以上で説明した本発明の第1および第2の実施形態は、本発明の趣旨を逸脱しない範囲で、様々な拡張および変形が可能である。以下、第1および第2の実施形態に対して可能である拡張および変形の例について示す。
【0076】
まず、第1および第2の実施形態で利用したポインティングデバイスは、図3で示したボール式2ボタンマウスである必要は特にない。たとえば光学式マウス、タッチパッド、タブレット、トラックボール、ジョイスティックなどをポインティングデバイスとして利用することができる。また、方向入力中に独立して操作可能であれば、入力ボタンの数は3個以上であってもよいし、たとえばホイールの回転角度などのように、方向入力部および入力ボタン以外の入力要素を利用することもできる。さらに、方向入力部は4方向以上の、たとえば8方向を移動方向として定義してもよい。入力ボタン(入力要素)の数および方向の数は、ポインティングデバイスで可能な入力の種類を増加させるので、強度の向上に直結する。
【0077】
また、第1および第2の実施形態ではパスコードの「先頭4桁」をID識別コードとして、これに対応するユーザIDを抽出する構成としたが、ID識別コードはパスコードの「先頭」に限定されるものではなく、パスコード内で予め決めておいた任意の桁をID識別コードとして利用することができる。また桁数も4桁に限定せず、識別する必要があるユーザの数に応じて任意に決定することができる。
【0078】
そして、第1および第2の実施形態ではポインティングデバイスで入力されたパスコードをID識別コードとパスワードに分解し、ID識別コードに対応するユーザIDおよびパスワードが、ID/パスワード台帳に予め登録されたユーザIDおよびパスワードと「完全一致」するか否かによってユーザを認証するという例を示した。この判断を、ある程度のヒューマンエラーを加味して、特にポインティングデバイスによる方向入力に習熟していないユーザが存在することも考慮して、強度を損なわない範囲でユーザIDおよびパスワードの「一部一致」でユーザを認証するようにしてもよい。
【0079】
これまで本発明について図面に示した特定の実施形態をもって説明してきたが、本発明は図面に示した実施形態に限定されるものではなく、本発明の効果を奏する限り、これまで知られたいかなる構成であっても採用することができる。
【産業上の利用可能性】
【0080】
本発明は、一般にユーザの認証を必要とする装置およびシステムに対して幅広く適用することができる。
【符号の説明】
【0081】
1 ユーザ認証システム
10 端末装置
11、51、411 プロセッサ
12、52、412 記憶手段
13、53 通信手段
14、414 ディスプレイ
20 ポインティングデバイス
21 方向入力部
22a 第1の入力ボタン
22b 第2の入力ボタン
31 ウェブブラウザ
32、63、432 認証アプリケーション
50 ウェブサーバ
61 ウェブサーバソフト
62、462 認証手段
70 インターネット
101 パスコード生成部
102 動作生成部
103 ポインティング動作取得部
104 開始/終了認識部
110 パスコード
110a ID識別コード
110b 入力パスワード
151 ID/パスワード生成部
161 ID/パスワード台帳
161a ユーザID
161b パスワード
162 ID識別コード/ID変換表
401 認証装置
431 アプリケーション

【特許請求の範囲】
【請求項1】
少なくとも4方向以上の移動方向の入力が可能である方向入力部と前記移動方向の入力中に操作可能な少なくとも2個以上の入力ボタンとを備えるポインティングデバイスと、
前記ポインティングデバイスによって入力された前記移動方向と前記各入力ボタンの操作状態とを取得するポインティング動作取得部と、
前記ポインティングデバイスに対する操作の中から入力開始時点および一回の操作の終了を示す入力終了時点を取得する開始/終了認識部と、
前記入力開始時点から前記入力終了時点までの期間中に前記方向入力部に入力された移動方向と当該期間中の前記各入力ボタンの操作状態とを入力操作として検出する動作生成部と、
検出された前記入力操作をパスコードとして出力するパスコード生成部と、
前記パスコードからユーザIDおよび入力パスワードを抽出するID/パスワード生成部とを備えると共に、
前記ユーザIDを含む複数のユーザIDおよびこれに対応するパスワードを予め定義するID/パスワード台帳と、前記ユーザIDおよびこれに対応するID識別コードとを予め定義する変換表とを記憶する記憶手段と、
前記入力パスワードを前記ユーザIDに対応づけられて前記ID/パスワード台帳に定義されたパスワードと比較してこれらの両者が一致していれば前記ユーザIDに該当するユーザを認証する認証手段とを設け、
前記ID/パスワード生成部が、前記パスコード生成部から入力された前記パスコードを前記ID識別コードと入力パスワードとに分割すると共に前記変換表を参照してこのID識別コードに対応する前記ユーザIDを抽出することを特徴とする認証情報入力装置。
【請求項2】
前記動作生成部が、前記入力開始時点から前記入力終了時点までの期間中に前記方向入力部に入力された各移動方向の中で最も移動量が大きかった方向を前記移動方向として検出すると共に、前記各入力ボタンが前記期間中の半分以上の時間にわたって押下されているか否かを前記各入力ボタンの操作状態として検出する機能を備えることを特徴とする、請求項1に記載の認証情報入力装置。
【請求項3】
前記パスコード生成部が、検出された前記移動方向および前記各入力ボタンの操作状態をバイナリデータに置換してこれを前記パスコードとして出力することを特徴とする、請求項1に記載の認証情報入力装置。
【請求項4】
前記ポインティングデバイス、前記ポインティング動作取得部、前記開始/終了認識部、前記動作生成部、および前記パスコード生成部を備えた端末装置を設けると共に、
前記ID/パスワード生成部、前記記憶手段、および前記認証手段を前記端末装置と相互に接続されたサーバ内に装備する構成としたことを特徴とする、請求項1に記載の認証情報入力装置。
【請求項5】
ユーザの認証に必要な情報であるユーザIDおよびこれに対応するパスワードを予め定義するID/パスワード台帳と、ID識別コードおよびこれに対応する前記ユーザIDとを予め定義する変換表とを記憶する記憶手段と、少なくとも4方向以上の移動方向の入力が可能である方向入力部と前記移動方向の入力中に操作可能な少なくとも2個以上の入力ボタンとによって前記ユーザIDおよび前記パスワードを入力するポインティングデバイスとを備えた認証情報入力装置にあって、
前記ポインティングデバイスによって入力された前記移動方向と前記各入力ボタンの操作状態とをポインティング動作取得部が取得し、
前記ポインティングデバイスに対する操作の中から前記移動方向の入力開始時点および一回の操作の終了を示す入力終了時点を開始/終了認識部が取得し、
前記入力開始時点から前記入力終了時点までの期間中に前記方向入力部に入力された移動方向と当該期間中の前記各入力ボタンの操作状態とを入力操作として動作生成部が検出し、
検出された前記入力操作をパスコードとしてパスコード生成部が出力し、
出力された前記パスコードを前記ID識別コードと入力パスワードとにID/パスワード生成部が分割し、
前記変換表を参照してこのID識別コードに対応する前記ユーザIDを前記ID/パスワード生成部が抽出し、
抽出された前記入力パスワードを前記ユーザIDに対応づけられて前記ID/パスワード台帳に定義されたパスワードと比較してこれらの両者が一致していれば前記ユーザIDに該当するユーザを認証手段が認証することを特徴とする認証情報入力方法。
【請求項6】
ユーザの認証に必要な情報であるユーザIDおよびこれに対応するパスワードを予め定義するID/パスワード台帳と、ID識別コードおよびこれに対応する前記ユーザIDとを予め定義する変換表とを記憶する記憶手段と、少なくとも4方向以上の移動方向の入力が可能である方向入力部と前記移動方向の入力中に操作可能な少なくとも2個以上の入力ボタンとによって前記ユーザIDおよび前記パスワードを入力するポインティングデバイスとを備えた認証情報入力装置にあって、
前記認証情報入力装置が備えるコンピュータに、
前記ポインティングデバイスによって入力された前記移動方向と前記各入力ボタンの操作状態とを取得する手順、
前記ポインティングデバイスに対する操作の中から前記移動方向の入力開始時点および一回の操作の終了を示す入力終了時点を取得する手順、
前記入力開始時点から前記入力終了時点までの期間中に前記方向入力部に入力された移動方向と当該期間中の前記各入力ボタンの操作状態とを入力操作として検出する手順、
検出された前記入力操作をパスコードとして出力する手順、
出力された前記パスコードを前記ID識別コードと入力パスワードとに分割する手順、
前記変換表を参照してこのID識別コードに対応する前記ユーザIDを抽出する手順、
および抽出された前記入力パスワードを前記ユーザIDに対応づけられて前記ID/パスワード台帳に定義されたパスワードと比較してこれらの両者が一致していれば前記ユーザIDに該当するユーザを認証する手順を実行させることを特徴とする認証情報入力プログラム。

【図1】
image rotate

【図2】
image rotate

【図3】
image rotate

【図4】
image rotate

【図5】
image rotate

【図6】
image rotate

【図7】
image rotate

【図8】
image rotate


【公開番号】特開2011−107918(P2011−107918A)
【公開日】平成23年6月2日(2011.6.2)
【国際特許分類】
【出願番号】特願2009−261367(P2009−261367)
【出願日】平成21年11月16日(2009.11.16)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】