認証装置、認証方法、および認証プログラム
【課題】簡易な処理および構成でセキュリティレベルを向上させることが可能な認証装置、認証方法、および認証プログラムを提供する。
【解決手段】認証装置は、パスワードに関する所定の法則を記憶するための記憶部15と、パスワードとして入力された文字列が法則を満たすか否かを判定するための文字列解析部11と、文字列が法則を満たすと文字列解析部11が判定した場合には、文字列を入力したユーザまたは装置に認証情報を与えるための認証付与部12とを備え、文字列は、ユーザまたは装置が任意に選択可能である。
【解決手段】認証装置は、パスワードに関する所定の法則を記憶するための記憶部15と、パスワードとして入力された文字列が法則を満たすか否かを判定するための文字列解析部11と、文字列が法則を満たすと文字列解析部11が判定した場合には、文字列を入力したユーザまたは装置に認証情報を与えるための認証付与部12とを備え、文字列は、ユーザまたは装置が任意に選択可能である。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、認証装置、認証方法、および認証プログラムに関し、特に、パスワードを用いる認証装置、認証方法、および認証プログラムに関する。
【背景技術】
【0002】
オンラインでの不正アクセス、およびフィッシング詐欺などの金融犯罪が増加する現在、非常に信頼性の高い認証技術が求められている。
【0003】
従来のID・パスワード方式では、パスワードが固定であるため、キーワードハッキングおよび通信の傍受などによってパスワードが漏洩する可能性が高い。
【0004】
セキュリティ性の高いワンタイムパスワード方式および生体認証方式であればこのような問題点を解決することは可能である。しかしながら、ワンタイムパスワード方式では、トークンと呼ばれる変更されたパスワードを定期的に発行する機器をクライアントへ配布し、この機器を管理しなければならず、導入コストが高くなってしまう。また、生体認証方式も同様に、コスト面での課題がある。このため、ワンタイムパスワード方式および生体認証方式は、一般的なWebアプリケーションにおける認証方式としての普及が遅れている。よって、管理が容易かつ入力機器を限定させない一般的な方式であるID・パスワードによる認証を行ない、かつセキュリティを担保することが可能な認証方式が必要となっている。
【0005】
セキュリティレベルを向上させる認証方式の一例として、たとえば、特許文献1(特開2005−196800号公報)には、以下のような技術が開示されている。すなわち、ユーザごとのパスワード導出パターンを認証サーバに予め登録しておく。ユーザがシステムを利用する際に、認証サーバが提示用パターンを生成してユーザに提示する。この提示用パターンについてユーザ自身のパスワード導出パターンに対応するパスワードをユーザに入力させる。そして、認証サーバが、提示した提示用パターンとユーザ自身の登録してあるパスワード導出パターンとに基づいて、入力されたパスワードに対して認証を行ない、その認証結果を利用対象システムに通知する。
【0006】
また、特許文献2(特開2007−172221号公報)には、以下のような技術が開示されている。すなわち、端末と、上記端末とはネットワークを介して接続される検疫装置とからなる検疫システムであって、上記端末において実行された操作およびユーザ識別子の情報を含むログデータを記憶するログ記憶手段と、検出対象の操作を示すルールデータを記憶するルール記憶手段と、上記端末からログデータを受信して上記ログ記憶手段に書き込むログ収集管理部と、上記ログ記憶手段から上記ログ収集管理部が書き込んだログデータを読み出すログデータ読込部と、上記ログデータ読込部により読み出されたログデータが、上記ルール記憶手段内の上記ルールデータにより示される操作の実行を示している場合にルールに合致していると判断するルール照合部と、上記ルール照合部により合致していると判断されたルールと、上記ログデータ内のユーザ識別子との情報を示す結果情報を出力する結果送信部と、上記結果送信部により出力された結果情報の示すルールに対応して通信範囲を制限または拡大する通信制御を、該結果情報の示すユーザ識別子により特定されるユーザの端末へ指示する通信制御部とを備える。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】特開2005−196800号公報
【特許文献2】特開2007−172221号公報
【発明の概要】
【発明が解決しようとする課題】
【0008】
しかしながら、特許文献1に記載の技術では、提示用パターンおよびパスワード導出ルールから得られるパスワードと、ユーザが入力した文字列とを比較する構成であるため、ユーザにパターンを提示する処理が必要になり、処理手順が複雑になる。
【0009】
また、特許文献2に記載の技術では、ユーザの操作のログをとり、このログとルールデータを比較する構成であるため、ユーザの操作を認識するという複雑な処理が必要であり、また、ログをとるためにメモリ容量が大きくなってしまう。
【0010】
この発明は、上述の課題を解決するためになされたもので、その目的は、簡易な処理および構成でセキュリティレベルを向上させることが可能な認証装置、認証方法、および認証プログラムを提供することである。
【課題を解決するための手段】
【0011】
上記課題を解決するために、この発明のある局面に係わる認証装置は、パスワードによる認証を行なうための認証装置であって、パスワードに関する所定の法則を記憶するための記憶部と、パスワードとして入力された文字列が上記法則を満たすか否かを判定するための文字列解析部と、上記文字列が上記法則を満たすと上記文字列解析部が判定した場合には、上記文字列を入力したユーザまたは装置に認証情報を与えるための認証付与部とを備え、上記文字列は、上記ユーザまたは装置が任意に選択可能である。
【0012】
上記課題を解決するために、この発明のある局面に係わる認証方法は、パスワードによる認証を行なうための認証方法であって、(a)パスワードとして入力された文字列がパスワードに関する所定の法則を満たすか否かを判定するステップと、(b)上記文字列が上記法則を満たすと判定した場合には、上記文字列を入力したユーザまたは装置に認証情報を与えるステップとを含み、(c)上記文字列は、上記ユーザまたは装置が任意に選択可能である。
【0013】
上記課題を解決するために、この発明のある局面に係わる認証プログラムは、パスワードによる認証を行なうための認証プログラムであって、コンピュータに、(a)パスワードとして入力された文字列がパスワードに関する所定の法則を満たすか否かを判定するステップと、(b)上記文字列が上記法則を満たすと判定した場合には、上記文字列を入力したユーザまたは装置に認証情報を与えるステップとを実行させ、上記文字列は、上記ユーザまたは装置が任意に選択可能である。
【発明の効果】
【0014】
本発明によれば、簡易な処理および構成でセキュリティレベルを向上させることができる。
【図面の簡単な説明】
【0015】
【図1】本発明の実施の形態に係るクライアントサーバシステムの構成、および認証処理が行なわれる際の動作手順を示す図である。
【図2】本発明の実施の形態に係るサーバの概略構成図である。
【図3】本発明の実施の形態に係るサーバが提供する制御構造を示すブロック図である。
【図4】本発明の実施の形態に係る認証装置が提供するユーザIDおよびパスワードの登録画面の一例を示す図である。
【発明を実施するための形態】
【0016】
[概要]
本発明の実施の形態では、一般的な方式であるID・パスワードによる認証方式を用いながら、従来のID・パスワードによる認証方式では解決できない課題、すなわちキーワードハッキング、および通信の傍受への対策を解決することができる。
【0017】
すなわち、本発明の実施の形態では、認証されるユーザは、従来と同様にIDおよびパスワードを画面上で入力する。そして、パスワードを文字列によって照会するのではなく、パスワードに対しての法則を定める。そして、パスワードとして入力された文字列が当該法則を満たしているか否かで照会を行なう。よって、入力されるパスワードは毎回変更することが可能であることから、入力された文字列が一致しているか否かを照会する従来の方式に比べてセキュリティレベルを向上することができる。
【0018】
本発明の実施の形態に係る認証装置は、典型的には、汎用的なアーキテクチャを有するコンピュータを基本構造としており、予めインストールされたプログラムを実行することで、後述するような各種機能を提供する。一般的に、このようなプログラムは、フレキシブルディスク(Flexible Disk)およびCD−ROM(Compact Disk Read Only Memory)などの記録媒体に格納されて、あるいはネットワークなどを介して流通する。
【0019】
本発明の実施の形態に係るプログラムは、OS等の他のプログラムの一部に組み込まれて提供されるものであってもよい。この場合でも、本発明の実施の形態に係るプログラム自体は、上記のような組み込み先の他のプログラムが有するモジュールを含んでおらず、当該他のプログラムと協働して処理が実行される。すなわち、本発明の実施の形態に係るプログラムとしては、このような他のプログラムに組み込まれた形態であってもよい。
【0020】
なお、代替的に、プログラムの実行により提供される機能の一部もしくは全部を専用のハードウェア回路として実装してもよい。
【0021】
[装置構成]
以下、本発明の実施の形態について図面を用いて説明する。なお、図中同一または相当部分には同一符号を付してその説明は繰り返さない。
【0022】
図1は、本発明の実施の形態に係るクライアントサーバシステムの構成、および認証処理が行なわれる際の動作手順を示す図である。図1を参照して、クライアントサーバシステム300は、サーバ(認証装置)200と、サーバ210と、クライアント220とを備える。
【0023】
サーバ200は、IDおよびパスワードによる認証処理を行なう。サーバ200は、ユーザID、およびパスワードに関する所定の法則(以下、パスワード法則とも称する。)のデータベースを有する。サーバ210は、アクセス制御の対象となるコンテンツをクライアント220に提供する。クライアント220は、サーバ210が有する対象コンテンツにアクセスする。
【0024】
図2は、本発明の実施の形態に係るサーバの概略構成図である。ここでは、サーバ200の構成について説明する。サーバ210およびクライアント220の構成は、たとえばサーバ200と同様である。
【0025】
図2を参照して、サーバ200は、演算処理部であるCPU(Central Processing Unit)101と、メインメモリ102と、ハードディスク103と、入力インターフェイス104と、表示コントローラ105と、データリーダ/ライタ106と、通信インターフ
ェイス107とを備える。これらの各部は、バス121を介して、互いにデータ通信可能に接続される。
【0026】
CPU101は、ハードディスク103に格納されたプログラム(コード)をメインメモリ102に展開し、これらを所定順序で実行することにより、各種の演算を実施する。メインメモリ102は、典型的には、DRAM(Dynamic Random Access Memory)などの揮発性の記憶装置であり、ハードディスク103から読み出されたプログラムに加えて、各種の演算処理結果を示すデータなどを保持する。また、ハードディスク103は不揮発性の磁気記憶装置であり、CPU101で実行されるプログラムに加えて、各種設定値などが格納される。このハードディスク103にインストールされるプログラムは、後述するように、記録媒体111に格納された状態で流通する。なお、ハードディスク103に加えて、あるいはハードディスク103に代えて、フラッシュメモリなどの半導体記憶装置を採用してもよい。
【0027】
また、メインメモリ102またはハードディスク103には、図1に示すユーザIDおよびパスワード法則のデータベースが格納される。
【0028】
入力インターフェイス104は、CPU101とキーボード108、マウス109および図示しないタッチパネルなどの入力部との間のデータ伝送を仲介する。すなわち、入力インターフェイス104は、ユーザが入力部を操作することで与えられる操作指令などの外部からの入力を受付ける。
【0029】
表示コントローラ105は、表示部の典型例であるディスプレイ110と接続され、ディスプレイ110での表示を制御する。すなわち、表示コントローラ105は、CPU101による画像処理の結果などをユーザに対して表示する。ディスプレイ110は、たとえばLCD(Liquid Crystal Display)またはCRT(Cathode Ray Tube)である。
【0030】
データリーダ/ライタ106は、CPU101と記録媒体111の間のデータ伝送を仲介する。すなわち、記録媒体111は、サーバ200で実行されるプログラムなどが格納された状態で流通し、データリーダ/ライタ106は、この記録媒体111からプログラムを読み出す。また、データリーダ/ライタ106は、CPU101の内部指令に応答して、サーバ200における処理結果などを記録媒体111へ書き込む。なお、記録媒体111は、たとえば、CF(Compact Flash)およびSD(Secure Digital)などの汎用的な半導体記憶デバイス、フレキシブルディスク(Flexible Disk)などの磁気記憶媒体、またはCD−ROM(Compact Disk Read Only Memory)などの光学記憶媒体である。
【0031】
通信インターフェイス107は、CPU101と他のパーソナルコンピュータおよびサーバ装置などの間のデータ伝送を仲介する。たとえば、通信インターフェイス107は、CPU101とサーバ210およびクライアント220の間のデータ伝送を仲介する。通信インターフェイス107は、典型的には、イーサネット(登録商標)またはUSB(Universal Serial Bus)の通信機能を有する。なお、記録媒体111に格納されたプログラムをサーバ200にインストールする形態に代えて、通信インターフェイス107を介して配信サーバなどからダウンロードしたプログラムをサーバ200にインストールしてもよい。
【0032】
また、サーバ200には、必要に応じてプリンタなどの他の出力装置が接続されてもよい。
【0033】
[制御構造] 次に、サーバ200におけるユーザ認証機能を提供するための制御構造について説明する。
【0034】
図3は、本発明の実施の形態に係るサーバが提供する制御構造を示すブロック図である。図3に示す各ブロックは、ハードディスク103に格納されたプログラム(コード)などをメインメモリ102に展開して、CPU101に実行させることで提供される。なお、図3に示す制御構造の一部もしくは全部を専用ハードウェアおよび/または配線回路によって実現してもよい。
【0035】
図3を参照して、CPU101は、その制御構造として、文字列解析部11と、認証付与部12と、メモリアクセス制御部13と、表示制御部14とを含む。
【0036】
CPU101は、図3に示す各部の他に、多くのユニットによって構成されるのが一般的であるが、説明を簡単にするために、本発明に関係しないユニットについては図示していない。
【0037】
記憶部15は、パスワード法則を記憶する。より詳細には、メモリアクセス制御部13は、たとえば図2に示す通信インターフェイス107経由でクライアント220から受けたパスワード法則を記憶部15に格納する。記憶部15は、図2に示すメインメモリ102またはハードディスク103に相当する。
【0038】
文字列解析部11は、ユーザIDとして入力された文字列、およびパスワードとして入力された文字列を、たとえば図2に示す通信インターフェイス107経由でクライアント220から受ける。文字列解析部11は、このユーザIDをメモリアクセス制御部13へ送る。
【0039】
メモリアクセス制御部13は、文字列解析部11から受けたユーザIDに対応するパスワード法則を記憶部15から取得して文字列解析部11へ送る。文字列解析部11は、パスワードとして入力された文字列が、メモリアクセス制御部13から受けたパスワード法則を満たすか否かを判定する。
【0040】
認証付与部12は、パスワードとして入力された文字列がパスワード法則を満たすと文字列解析部11が判定した場合には、文字列を入力したユーザに認証情報を与える。より詳細には、認証付与部12は、認証情報をたとえば図2に示す通信インターフェイス107経由でクライアント220へ送る。ここで、パスワードとして入力すべき文字列は、サーバ200側からの制約はなく、ユーザが任意に選択可能である。
【0041】
また、パスワード法則はカスタマイズ可能である。すなわち、表示制御部14は、ユーザがパスワード法則を設定するための登録画面をクライアント220において表示する。記憶部15は、この登録画面においてユーザが設定したパスワード法則を記憶する。このような構成により、パスワード設定の自由度を高めることができ、また、ユーザの利便性を向上させることができる。また、表示制御部14は、ユーザがユーザIDおよびパスワードを入力するための認証画面をクライアント220において表示する。これらの登録画面、認証画面およびパスワード法則の情報は、他の情報と同様に、たとえば図2に示す通信インターフェイス107経由でクライアント220との間で送受信される。
【0042】
[動作]
次に、本発明の実施の形態に係る認証装置の動作について図面を用いて説明する。本発明の実施の形態では、サーバ200を動作させることによって、本発明の実施の形態に係る認証方法が実施される。よって、本発明の実施の形態に係る認証方法の説明は、以下のサーバ200の動作説明に代える。なお、以下の説明においては、適宜図1および図2を参照する。
【0043】
図1を参照して、まず、ユーザは、クライアント220のWebブラウザから、サーバ200のユーザ登録画面へアクセスする。サーバ200は、ユーザIDおよびパスワードの登録画面をクライアント220へ送信する(ステップS1)。
【0044】
クライアント220は、サーバ200から受信した登録画面を表示する。ユーザは、この登録画面上でユーザIDの登録を行なう。また、ユーザは、パスワード法則を登録する。ユーザは、たとえば、事前にサーバ200によって定義された複数の法則のうち少なくとも1つを選択し、選択した法則の詳細設定を行なうことにより、パスワード法則を登録する。クライアント220は、ユーザの登録したユーザIDおよびパスワード法則をサーバ200へ送信する(ステップS2)。
【0045】
サーバ200は、クライアント220から受信したユーザIDおよびパスワード法則をデータベースに格納する(ステップS3)。
【0046】
図4は、本発明の実施の形態に係る認証装置が提供するユーザIDおよびパスワードの登録画面の一例を示す図である。
【0047】
図4を参照して、パスワード法則は、文字数、入力必須文字、入力禁止文字、文字の整列順序、文字列に含まれる数字の合計および過去の入力文字列の少なくともいずれか1つに基づいて定められる。
【0048】
パスワード法則は、たとえば以下のようになる。なお、下線部はユーザごとにカスタマイズ可能な部分である。法則1:文字数は8文字以上12文字以内、法則2:パスワード内にXという文字を含める、法則3:パスワード内にYという文字を含めない、法則4:パスワード内の数字の後は、必ず小文字の英字が来る、法則5:パスワード内の数字の合計が本日の日付になる、法則6:過去10回、入力したパスワードは利用できない。これらの法則例に従ったパスワードは、たとえば“9aQ6vX0e9r5t”である。
【0049】
図4では、パスワード法則の一例として、法則1,2,3が未設定すなわち非選択であり、法則4,5,6が選択されており、法則4,5,6が以下のように設定されている。法則4:パスワード内の数字の後は、必ず半角英数字が来る、法則5:パスワード内の数字の合計が本日の日付になる、法則6:過去10回、入力したパスワードは利用できない。
【0050】
また、サーバ200における表示制御部14は、ユーザが「サンプルパスワード出力」ボタンを押下すると、登録されたパスワード法則に従ったパスワード例をクライアント220の画面に表示する。また、表示制御部14は、ユーザが「セキュリティ強度判定」ボタンを押下すると、登録されたパスワード法則のセキュリティ強度を判定し、クライアント220の画面に表示する。このような構成により、ユーザの利便性を向上させることができる。また、セキュリティレベルの向上を図ることができる。
【0051】
次に、ユーザは、ユーザIDおよびパスワード法則等のユーザ情報登録後、クライアント220のWebブラウザを用いてサーバ210上の対象コンテンツへアクセスする(ステップS4)。
【0052】
次に、サーバ210は、クライアント220からアクセスされると、ユーザの認証情報の有無を確認する。サーバ210は、ユーザが認証情報を有している場合には、対象コンテンツをクライアント220に与える。一方、サーバ210は、認証情報が無い場合には、クライアント220に対するサーバ200へのリダイレクト処理を行ない、サーバ20
0に対して認証処理を要求する(ステップS6)。
【0053】
次に、サーバ200は、リダイレクト処理を受けて、ユーザIDおよびパスワードの入力を促すための認証画面をクライアント220へ送信する(ステップS7)。
【0054】
次に、クライアント220は、サーバ200から受信した認証画面を表示する。ユーザは、この認証画面上でユーザIDおよび登録したパスワード法則に従ったパスワードを入力する。クライアント220は、ユーザの入力したユーザIDおよびパスワードをサーバ200へ送信する(ステップS8)。
【0055】
次に、サーバ200は、クライアント220から受信したユーザIDに対応するパスワード法則をデータベースから取得し、クライアント220から受信したパスワードが、データベースに登録されたパスワード法則を満たすか否かを判定する(ステップS9)。パスワード法則を満たしていない場合には、サーバ200は、クライアント220へエラーメッセージ等を送信する。一方、パスワード法則を満たす場合には、サーバ200は、クライアント220に認証情報を付与する(ステップS10)。
【0056】
次に、クライアント220は、サーバ200から認証情報を付与されると、アクセスしたいサーバ210上の対象コンテンツへリダイレクトする(ステップS11)。
【0057】
ところで、特許文献1に記載の技術では、ユーザにパターンを提示する処理が必要になるため、処理手順が複雑になる。また、提示用パターンおよびパスワード導出ルールから得られるパスワードと、ユーザが入力した文字列とを比較する構成であるため、ユーザが入力文字列を任意に選択することができず、自由度および利便性が低い。また、特許文献2に記載の技術では、ユーザの操作のログをとり、このログとルールデータを比較する構成であるため、ユーザの操作を認識するという複雑な処理が必要であり、また、ログをとるためにメモリ容量が大きくなってしまう。
【0058】
これに対して、本発明の実施の形態では、記憶部15は、パスワード法則を記憶する。文字列解析部11は、パスワードとして入力された文字列がパスワード法則を満たすか否かを判定する。認証付与部12は、文字列がパスワード法則を満たすと文字列解析部11が判定した場合には、文字列を入力したユーザに認証情報を与える。そして、パスワードとして入力すべき文字列は、ユーザが任意に選択可能である。
【0059】
このような構成により、ユーザにパターンを提示する処理が不要になるため、処理手順の簡易化を図ることができる。また、ユーザが入力文字列を任意に選択することができるため、自由度および利便性を高めることができる。また、ユーザの操作を認識するという複雑な処理が不要となり、また、ログをとるためのメモリ容量が不要となる。
【0060】
すなわち、本発明の実施の形態に係るサーバ200における各構成要素のうち、文字列解析部11、認証付与部12および記憶部15からなる最小構成により、簡易な処理および構成でセキュリティレベルを向上させるという本発明の目的を達成することが可能となる。
【0061】
さらに、本発明の実施の形態では、ユーザは毎回異なるパスワードを入力することができ、また、意味のない文字列をパスワードとして利用することができるため、セキュリティレベルを向上させることができる。また、ID・パスワードによる認証方式を採用することができるため、認証システムを低コストで構築することができる。また、パスワード法則は個人個人の頭の中に格納(記憶)されるため、システム上管理する必要がなく、システム構成の簡易化を図ることができる。
【0062】
また、本発明の実施の形態では、表示制御部14は、ユーザが設定したパスワード法則を満たす文字列を画面に表示する。このような構成により、ユーザが自ら設定したパスワード法則の確認を行なうことができるため、ユーザの利便性を向上させることができる。
【0063】
また、本発明の実施の形態では、記憶部15は、パスワード法則を複数種類記憶する。そして、文字列解析部11は、パスワードとして入力された文字列が複数種類のパスワード法則を満たすか否かを判定する。このような構成により、セキュリティレベルを大幅に向上させることができる。
【0064】
なお、本発明の実施の形態では、IDおよびパスワードをユーザがクライアント220を用いて入力する構成であるとしたが、これに限定するものではない。ユーザがサーバ200に対して直接IDおよびパスワードを入力する構成であってもよいし、ユーザではなくクライアント220等の装置が自身のIDおよびパスワードをサーバ200に対して入力する構成であってもよい。
【0065】
また、本発明の実施の形態では、サーバ200は、IDおよびパスワードによる認証処理を行なう構成であるとしたが、これに限定するものではない。認証処理の対象が1ユーザまたは1装置である場合には、IDを用いない構成とすることも可能である。
【0066】
また、本発明の実施の形態では、記憶部15は、パスワードに関する所定の法則を複数種類記憶する構成であるとしたが、これに限定するものではない。記憶部15がパスワードに関する所定の法則を1種類だけ記憶する構成であっても、簡易な処理および構成でセキュリティレベルを向上させるという本発明の目的を達成することが可能である。
【0067】
上記実施の形態は、すべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は、上記説明ではなく特許請求の範囲によって示され、特許請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。
【産業上の利用可能性】
【0068】
本発明によれば、簡易な処理および構成でセキュリティレベルを向上させることができる。したがって、本発明は、Web(World Wide Web)アプリケーションの認証などの用途に適用可能であり、また、OSまたはネットワークシステムへのログオンといった用途にも適用可能であることから、産業上の利用可能性を有している。
【0069】
[付記1]
パスワードによる認証を行なうための認証方法であって、
(a)パスワードとして入力された文字列がパスワードに関する所定の法則を満たすか否かを判定するステップと、
(b)前記文字列が前記法則を満たすと判定した場合には、前記文字列を入力したユーザまたは装置に認証情報を与えるステップとを含み、
前記文字列は、前記ユーザまたは装置が任意に選択可能である、認証方法。
【0070】
[付記2]
前記(a)のステップにおいては、パスワードとして入力された文字列がパスワードに関する複数種類の所定の法則を満たすか否かを判定する、付記1に記載の認証方法。
【0071】
[付記3] 前記認証方法は、さらに、
(c)前記法則を前記ユーザが設定するための画面を表示するステップを含み、
前記(a)のステップにおいては、パスワードとして入力された文字列が、前記画面に
おいて前記ユーザが設定した前記法則を満たすか否かを判定する、付記1または2に記載の認証方法。
【0072】
[付記4]
前記認証方法は、さらに、
(d)前記ユーザが設定した前記法則を満たす文字列を画面に表示するステップを含む、付記3に記載の認証方法。
【0073】
[付記5]
前記法則は、文字数、入力必須文字、入力禁止文字、文字の整列順序、文字列に含まれる数字の合計および過去の入力文字列の少なくともいずれか1つに基づいて定められる、付記1から4のいずれかに記載の認証方法。
【0074】
[付記6]
パスワードによる認証を行なうための認証プログラムであって、コンピュータに、
(a)パスワードとして入力された文字列がパスワードに関する所定の法則を満たすか否かを判定するステップと、
(b)前記文字列が前記法則を満たすと判定した場合には、前記文字列を入力したユーザまたは装置に認証情報を与えるステップとを実行させ、
前記文字列は、前記ユーザまたは装置が任意に選択可能である、認証プログラム。
【0075】
[付記7]
前記(a)のステップにおいては、パスワードとして入力された文字列がパスワードに関する複数種類の所定の法則を満たすか否かを判定する、付記6に記載の認証プログラム。
【0076】
[付記8]
前記認証プログラムは、さらに、コンピュータに、
(c)前記法則を前記ユーザが設定するための画面を表示するステップを実行させ、
前記(a)のステップにおいては、パスワードとして入力された文字列が、前記画面において前記ユーザが設定した前記法則を満たすか否かを判定する、付記6または7に記載の認証プログラム。
【0077】
[付記9]
前記認証プログラムは、さらに、コンピュータに、
(d)前記ユーザが設定した前記法則を満たす文字列を画面に表示するステップを実行させる、付記8に記載の認証プログラム。
【0078】
[付記10]
前記法則は、文字数、入力必須文字、入力禁止文字、文字の整列順序、文字列に含まれる数字の合計および過去の入力文字列の少なくともいずれか1つに基づいて定められる、付記6から9のいずれかに記載の認証プログラム。
【符号の説明】
【0079】
11 文字列解析部
12 認証付与部
13 メモリアクセス制御部 14 表示制御部
15 記憶部
101 CPU
102 メインメモリ
103 ハードディスク
104 入力インターフェイス
105 表示コントローラ
106 データリーダ/ライタ
107 通信インターフェイス
121 バス
200 サーバ(認証装置)
210 サーバ
220 クライアント
300 クライアントサーバシステム
【技術分野】
【0001】
本発明は、認証装置、認証方法、および認証プログラムに関し、特に、パスワードを用いる認証装置、認証方法、および認証プログラムに関する。
【背景技術】
【0002】
オンラインでの不正アクセス、およびフィッシング詐欺などの金融犯罪が増加する現在、非常に信頼性の高い認証技術が求められている。
【0003】
従来のID・パスワード方式では、パスワードが固定であるため、キーワードハッキングおよび通信の傍受などによってパスワードが漏洩する可能性が高い。
【0004】
セキュリティ性の高いワンタイムパスワード方式および生体認証方式であればこのような問題点を解決することは可能である。しかしながら、ワンタイムパスワード方式では、トークンと呼ばれる変更されたパスワードを定期的に発行する機器をクライアントへ配布し、この機器を管理しなければならず、導入コストが高くなってしまう。また、生体認証方式も同様に、コスト面での課題がある。このため、ワンタイムパスワード方式および生体認証方式は、一般的なWebアプリケーションにおける認証方式としての普及が遅れている。よって、管理が容易かつ入力機器を限定させない一般的な方式であるID・パスワードによる認証を行ない、かつセキュリティを担保することが可能な認証方式が必要となっている。
【0005】
セキュリティレベルを向上させる認証方式の一例として、たとえば、特許文献1(特開2005−196800号公報)には、以下のような技術が開示されている。すなわち、ユーザごとのパスワード導出パターンを認証サーバに予め登録しておく。ユーザがシステムを利用する際に、認証サーバが提示用パターンを生成してユーザに提示する。この提示用パターンについてユーザ自身のパスワード導出パターンに対応するパスワードをユーザに入力させる。そして、認証サーバが、提示した提示用パターンとユーザ自身の登録してあるパスワード導出パターンとに基づいて、入力されたパスワードに対して認証を行ない、その認証結果を利用対象システムに通知する。
【0006】
また、特許文献2(特開2007−172221号公報)には、以下のような技術が開示されている。すなわち、端末と、上記端末とはネットワークを介して接続される検疫装置とからなる検疫システムであって、上記端末において実行された操作およびユーザ識別子の情報を含むログデータを記憶するログ記憶手段と、検出対象の操作を示すルールデータを記憶するルール記憶手段と、上記端末からログデータを受信して上記ログ記憶手段に書き込むログ収集管理部と、上記ログ記憶手段から上記ログ収集管理部が書き込んだログデータを読み出すログデータ読込部と、上記ログデータ読込部により読み出されたログデータが、上記ルール記憶手段内の上記ルールデータにより示される操作の実行を示している場合にルールに合致していると判断するルール照合部と、上記ルール照合部により合致していると判断されたルールと、上記ログデータ内のユーザ識別子との情報を示す結果情報を出力する結果送信部と、上記結果送信部により出力された結果情報の示すルールに対応して通信範囲を制限または拡大する通信制御を、該結果情報の示すユーザ識別子により特定されるユーザの端末へ指示する通信制御部とを備える。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】特開2005−196800号公報
【特許文献2】特開2007−172221号公報
【発明の概要】
【発明が解決しようとする課題】
【0008】
しかしながら、特許文献1に記載の技術では、提示用パターンおよびパスワード導出ルールから得られるパスワードと、ユーザが入力した文字列とを比較する構成であるため、ユーザにパターンを提示する処理が必要になり、処理手順が複雑になる。
【0009】
また、特許文献2に記載の技術では、ユーザの操作のログをとり、このログとルールデータを比較する構成であるため、ユーザの操作を認識するという複雑な処理が必要であり、また、ログをとるためにメモリ容量が大きくなってしまう。
【0010】
この発明は、上述の課題を解決するためになされたもので、その目的は、簡易な処理および構成でセキュリティレベルを向上させることが可能な認証装置、認証方法、および認証プログラムを提供することである。
【課題を解決するための手段】
【0011】
上記課題を解決するために、この発明のある局面に係わる認証装置は、パスワードによる認証を行なうための認証装置であって、パスワードに関する所定の法則を記憶するための記憶部と、パスワードとして入力された文字列が上記法則を満たすか否かを判定するための文字列解析部と、上記文字列が上記法則を満たすと上記文字列解析部が判定した場合には、上記文字列を入力したユーザまたは装置に認証情報を与えるための認証付与部とを備え、上記文字列は、上記ユーザまたは装置が任意に選択可能である。
【0012】
上記課題を解決するために、この発明のある局面に係わる認証方法は、パスワードによる認証を行なうための認証方法であって、(a)パスワードとして入力された文字列がパスワードに関する所定の法則を満たすか否かを判定するステップと、(b)上記文字列が上記法則を満たすと判定した場合には、上記文字列を入力したユーザまたは装置に認証情報を与えるステップとを含み、(c)上記文字列は、上記ユーザまたは装置が任意に選択可能である。
【0013】
上記課題を解決するために、この発明のある局面に係わる認証プログラムは、パスワードによる認証を行なうための認証プログラムであって、コンピュータに、(a)パスワードとして入力された文字列がパスワードに関する所定の法則を満たすか否かを判定するステップと、(b)上記文字列が上記法則を満たすと判定した場合には、上記文字列を入力したユーザまたは装置に認証情報を与えるステップとを実行させ、上記文字列は、上記ユーザまたは装置が任意に選択可能である。
【発明の効果】
【0014】
本発明によれば、簡易な処理および構成でセキュリティレベルを向上させることができる。
【図面の簡単な説明】
【0015】
【図1】本発明の実施の形態に係るクライアントサーバシステムの構成、および認証処理が行なわれる際の動作手順を示す図である。
【図2】本発明の実施の形態に係るサーバの概略構成図である。
【図3】本発明の実施の形態に係るサーバが提供する制御構造を示すブロック図である。
【図4】本発明の実施の形態に係る認証装置が提供するユーザIDおよびパスワードの登録画面の一例を示す図である。
【発明を実施するための形態】
【0016】
[概要]
本発明の実施の形態では、一般的な方式であるID・パスワードによる認証方式を用いながら、従来のID・パスワードによる認証方式では解決できない課題、すなわちキーワードハッキング、および通信の傍受への対策を解決することができる。
【0017】
すなわち、本発明の実施の形態では、認証されるユーザは、従来と同様にIDおよびパスワードを画面上で入力する。そして、パスワードを文字列によって照会するのではなく、パスワードに対しての法則を定める。そして、パスワードとして入力された文字列が当該法則を満たしているか否かで照会を行なう。よって、入力されるパスワードは毎回変更することが可能であることから、入力された文字列が一致しているか否かを照会する従来の方式に比べてセキュリティレベルを向上することができる。
【0018】
本発明の実施の形態に係る認証装置は、典型的には、汎用的なアーキテクチャを有するコンピュータを基本構造としており、予めインストールされたプログラムを実行することで、後述するような各種機能を提供する。一般的に、このようなプログラムは、フレキシブルディスク(Flexible Disk)およびCD−ROM(Compact Disk Read Only Memory)などの記録媒体に格納されて、あるいはネットワークなどを介して流通する。
【0019】
本発明の実施の形態に係るプログラムは、OS等の他のプログラムの一部に組み込まれて提供されるものであってもよい。この場合でも、本発明の実施の形態に係るプログラム自体は、上記のような組み込み先の他のプログラムが有するモジュールを含んでおらず、当該他のプログラムと協働して処理が実行される。すなわち、本発明の実施の形態に係るプログラムとしては、このような他のプログラムに組み込まれた形態であってもよい。
【0020】
なお、代替的に、プログラムの実行により提供される機能の一部もしくは全部を専用のハードウェア回路として実装してもよい。
【0021】
[装置構成]
以下、本発明の実施の形態について図面を用いて説明する。なお、図中同一または相当部分には同一符号を付してその説明は繰り返さない。
【0022】
図1は、本発明の実施の形態に係るクライアントサーバシステムの構成、および認証処理が行なわれる際の動作手順を示す図である。図1を参照して、クライアントサーバシステム300は、サーバ(認証装置)200と、サーバ210と、クライアント220とを備える。
【0023】
サーバ200は、IDおよびパスワードによる認証処理を行なう。サーバ200は、ユーザID、およびパスワードに関する所定の法則(以下、パスワード法則とも称する。)のデータベースを有する。サーバ210は、アクセス制御の対象となるコンテンツをクライアント220に提供する。クライアント220は、サーバ210が有する対象コンテンツにアクセスする。
【0024】
図2は、本発明の実施の形態に係るサーバの概略構成図である。ここでは、サーバ200の構成について説明する。サーバ210およびクライアント220の構成は、たとえばサーバ200と同様である。
【0025】
図2を参照して、サーバ200は、演算処理部であるCPU(Central Processing Unit)101と、メインメモリ102と、ハードディスク103と、入力インターフェイス104と、表示コントローラ105と、データリーダ/ライタ106と、通信インターフ
ェイス107とを備える。これらの各部は、バス121を介して、互いにデータ通信可能に接続される。
【0026】
CPU101は、ハードディスク103に格納されたプログラム(コード)をメインメモリ102に展開し、これらを所定順序で実行することにより、各種の演算を実施する。メインメモリ102は、典型的には、DRAM(Dynamic Random Access Memory)などの揮発性の記憶装置であり、ハードディスク103から読み出されたプログラムに加えて、各種の演算処理結果を示すデータなどを保持する。また、ハードディスク103は不揮発性の磁気記憶装置であり、CPU101で実行されるプログラムに加えて、各種設定値などが格納される。このハードディスク103にインストールされるプログラムは、後述するように、記録媒体111に格納された状態で流通する。なお、ハードディスク103に加えて、あるいはハードディスク103に代えて、フラッシュメモリなどの半導体記憶装置を採用してもよい。
【0027】
また、メインメモリ102またはハードディスク103には、図1に示すユーザIDおよびパスワード法則のデータベースが格納される。
【0028】
入力インターフェイス104は、CPU101とキーボード108、マウス109および図示しないタッチパネルなどの入力部との間のデータ伝送を仲介する。すなわち、入力インターフェイス104は、ユーザが入力部を操作することで与えられる操作指令などの外部からの入力を受付ける。
【0029】
表示コントローラ105は、表示部の典型例であるディスプレイ110と接続され、ディスプレイ110での表示を制御する。すなわち、表示コントローラ105は、CPU101による画像処理の結果などをユーザに対して表示する。ディスプレイ110は、たとえばLCD(Liquid Crystal Display)またはCRT(Cathode Ray Tube)である。
【0030】
データリーダ/ライタ106は、CPU101と記録媒体111の間のデータ伝送を仲介する。すなわち、記録媒体111は、サーバ200で実行されるプログラムなどが格納された状態で流通し、データリーダ/ライタ106は、この記録媒体111からプログラムを読み出す。また、データリーダ/ライタ106は、CPU101の内部指令に応答して、サーバ200における処理結果などを記録媒体111へ書き込む。なお、記録媒体111は、たとえば、CF(Compact Flash)およびSD(Secure Digital)などの汎用的な半導体記憶デバイス、フレキシブルディスク(Flexible Disk)などの磁気記憶媒体、またはCD−ROM(Compact Disk Read Only Memory)などの光学記憶媒体である。
【0031】
通信インターフェイス107は、CPU101と他のパーソナルコンピュータおよびサーバ装置などの間のデータ伝送を仲介する。たとえば、通信インターフェイス107は、CPU101とサーバ210およびクライアント220の間のデータ伝送を仲介する。通信インターフェイス107は、典型的には、イーサネット(登録商標)またはUSB(Universal Serial Bus)の通信機能を有する。なお、記録媒体111に格納されたプログラムをサーバ200にインストールする形態に代えて、通信インターフェイス107を介して配信サーバなどからダウンロードしたプログラムをサーバ200にインストールしてもよい。
【0032】
また、サーバ200には、必要に応じてプリンタなどの他の出力装置が接続されてもよい。
【0033】
[制御構造] 次に、サーバ200におけるユーザ認証機能を提供するための制御構造について説明する。
【0034】
図3は、本発明の実施の形態に係るサーバが提供する制御構造を示すブロック図である。図3に示す各ブロックは、ハードディスク103に格納されたプログラム(コード)などをメインメモリ102に展開して、CPU101に実行させることで提供される。なお、図3に示す制御構造の一部もしくは全部を専用ハードウェアおよび/または配線回路によって実現してもよい。
【0035】
図3を参照して、CPU101は、その制御構造として、文字列解析部11と、認証付与部12と、メモリアクセス制御部13と、表示制御部14とを含む。
【0036】
CPU101は、図3に示す各部の他に、多くのユニットによって構成されるのが一般的であるが、説明を簡単にするために、本発明に関係しないユニットについては図示していない。
【0037】
記憶部15は、パスワード法則を記憶する。より詳細には、メモリアクセス制御部13は、たとえば図2に示す通信インターフェイス107経由でクライアント220から受けたパスワード法則を記憶部15に格納する。記憶部15は、図2に示すメインメモリ102またはハードディスク103に相当する。
【0038】
文字列解析部11は、ユーザIDとして入力された文字列、およびパスワードとして入力された文字列を、たとえば図2に示す通信インターフェイス107経由でクライアント220から受ける。文字列解析部11は、このユーザIDをメモリアクセス制御部13へ送る。
【0039】
メモリアクセス制御部13は、文字列解析部11から受けたユーザIDに対応するパスワード法則を記憶部15から取得して文字列解析部11へ送る。文字列解析部11は、パスワードとして入力された文字列が、メモリアクセス制御部13から受けたパスワード法則を満たすか否かを判定する。
【0040】
認証付与部12は、パスワードとして入力された文字列がパスワード法則を満たすと文字列解析部11が判定した場合には、文字列を入力したユーザに認証情報を与える。より詳細には、認証付与部12は、認証情報をたとえば図2に示す通信インターフェイス107経由でクライアント220へ送る。ここで、パスワードとして入力すべき文字列は、サーバ200側からの制約はなく、ユーザが任意に選択可能である。
【0041】
また、パスワード法則はカスタマイズ可能である。すなわち、表示制御部14は、ユーザがパスワード法則を設定するための登録画面をクライアント220において表示する。記憶部15は、この登録画面においてユーザが設定したパスワード法則を記憶する。このような構成により、パスワード設定の自由度を高めることができ、また、ユーザの利便性を向上させることができる。また、表示制御部14は、ユーザがユーザIDおよびパスワードを入力するための認証画面をクライアント220において表示する。これらの登録画面、認証画面およびパスワード法則の情報は、他の情報と同様に、たとえば図2に示す通信インターフェイス107経由でクライアント220との間で送受信される。
【0042】
[動作]
次に、本発明の実施の形態に係る認証装置の動作について図面を用いて説明する。本発明の実施の形態では、サーバ200を動作させることによって、本発明の実施の形態に係る認証方法が実施される。よって、本発明の実施の形態に係る認証方法の説明は、以下のサーバ200の動作説明に代える。なお、以下の説明においては、適宜図1および図2を参照する。
【0043】
図1を参照して、まず、ユーザは、クライアント220のWebブラウザから、サーバ200のユーザ登録画面へアクセスする。サーバ200は、ユーザIDおよびパスワードの登録画面をクライアント220へ送信する(ステップS1)。
【0044】
クライアント220は、サーバ200から受信した登録画面を表示する。ユーザは、この登録画面上でユーザIDの登録を行なう。また、ユーザは、パスワード法則を登録する。ユーザは、たとえば、事前にサーバ200によって定義された複数の法則のうち少なくとも1つを選択し、選択した法則の詳細設定を行なうことにより、パスワード法則を登録する。クライアント220は、ユーザの登録したユーザIDおよびパスワード法則をサーバ200へ送信する(ステップS2)。
【0045】
サーバ200は、クライアント220から受信したユーザIDおよびパスワード法則をデータベースに格納する(ステップS3)。
【0046】
図4は、本発明の実施の形態に係る認証装置が提供するユーザIDおよびパスワードの登録画面の一例を示す図である。
【0047】
図4を参照して、パスワード法則は、文字数、入力必須文字、入力禁止文字、文字の整列順序、文字列に含まれる数字の合計および過去の入力文字列の少なくともいずれか1つに基づいて定められる。
【0048】
パスワード法則は、たとえば以下のようになる。なお、下線部はユーザごとにカスタマイズ可能な部分である。法則1:文字数は8文字以上12文字以内、法則2:パスワード内にXという文字を含める、法則3:パスワード内にYという文字を含めない、法則4:パスワード内の数字の後は、必ず小文字の英字が来る、法則5:パスワード内の数字の合計が本日の日付になる、法則6:過去10回、入力したパスワードは利用できない。これらの法則例に従ったパスワードは、たとえば“9aQ6vX0e9r5t”である。
【0049】
図4では、パスワード法則の一例として、法則1,2,3が未設定すなわち非選択であり、法則4,5,6が選択されており、法則4,5,6が以下のように設定されている。法則4:パスワード内の数字の後は、必ず半角英数字が来る、法則5:パスワード内の数字の合計が本日の日付になる、法則6:過去10回、入力したパスワードは利用できない。
【0050】
また、サーバ200における表示制御部14は、ユーザが「サンプルパスワード出力」ボタンを押下すると、登録されたパスワード法則に従ったパスワード例をクライアント220の画面に表示する。また、表示制御部14は、ユーザが「セキュリティ強度判定」ボタンを押下すると、登録されたパスワード法則のセキュリティ強度を判定し、クライアント220の画面に表示する。このような構成により、ユーザの利便性を向上させることができる。また、セキュリティレベルの向上を図ることができる。
【0051】
次に、ユーザは、ユーザIDおよびパスワード法則等のユーザ情報登録後、クライアント220のWebブラウザを用いてサーバ210上の対象コンテンツへアクセスする(ステップS4)。
【0052】
次に、サーバ210は、クライアント220からアクセスされると、ユーザの認証情報の有無を確認する。サーバ210は、ユーザが認証情報を有している場合には、対象コンテンツをクライアント220に与える。一方、サーバ210は、認証情報が無い場合には、クライアント220に対するサーバ200へのリダイレクト処理を行ない、サーバ20
0に対して認証処理を要求する(ステップS6)。
【0053】
次に、サーバ200は、リダイレクト処理を受けて、ユーザIDおよびパスワードの入力を促すための認証画面をクライアント220へ送信する(ステップS7)。
【0054】
次に、クライアント220は、サーバ200から受信した認証画面を表示する。ユーザは、この認証画面上でユーザIDおよび登録したパスワード法則に従ったパスワードを入力する。クライアント220は、ユーザの入力したユーザIDおよびパスワードをサーバ200へ送信する(ステップS8)。
【0055】
次に、サーバ200は、クライアント220から受信したユーザIDに対応するパスワード法則をデータベースから取得し、クライアント220から受信したパスワードが、データベースに登録されたパスワード法則を満たすか否かを判定する(ステップS9)。パスワード法則を満たしていない場合には、サーバ200は、クライアント220へエラーメッセージ等を送信する。一方、パスワード法則を満たす場合には、サーバ200は、クライアント220に認証情報を付与する(ステップS10)。
【0056】
次に、クライアント220は、サーバ200から認証情報を付与されると、アクセスしたいサーバ210上の対象コンテンツへリダイレクトする(ステップS11)。
【0057】
ところで、特許文献1に記載の技術では、ユーザにパターンを提示する処理が必要になるため、処理手順が複雑になる。また、提示用パターンおよびパスワード導出ルールから得られるパスワードと、ユーザが入力した文字列とを比較する構成であるため、ユーザが入力文字列を任意に選択することができず、自由度および利便性が低い。また、特許文献2に記載の技術では、ユーザの操作のログをとり、このログとルールデータを比較する構成であるため、ユーザの操作を認識するという複雑な処理が必要であり、また、ログをとるためにメモリ容量が大きくなってしまう。
【0058】
これに対して、本発明の実施の形態では、記憶部15は、パスワード法則を記憶する。文字列解析部11は、パスワードとして入力された文字列がパスワード法則を満たすか否かを判定する。認証付与部12は、文字列がパスワード法則を満たすと文字列解析部11が判定した場合には、文字列を入力したユーザに認証情報を与える。そして、パスワードとして入力すべき文字列は、ユーザが任意に選択可能である。
【0059】
このような構成により、ユーザにパターンを提示する処理が不要になるため、処理手順の簡易化を図ることができる。また、ユーザが入力文字列を任意に選択することができるため、自由度および利便性を高めることができる。また、ユーザの操作を認識するという複雑な処理が不要となり、また、ログをとるためのメモリ容量が不要となる。
【0060】
すなわち、本発明の実施の形態に係るサーバ200における各構成要素のうち、文字列解析部11、認証付与部12および記憶部15からなる最小構成により、簡易な処理および構成でセキュリティレベルを向上させるという本発明の目的を達成することが可能となる。
【0061】
さらに、本発明の実施の形態では、ユーザは毎回異なるパスワードを入力することができ、また、意味のない文字列をパスワードとして利用することができるため、セキュリティレベルを向上させることができる。また、ID・パスワードによる認証方式を採用することができるため、認証システムを低コストで構築することができる。また、パスワード法則は個人個人の頭の中に格納(記憶)されるため、システム上管理する必要がなく、システム構成の簡易化を図ることができる。
【0062】
また、本発明の実施の形態では、表示制御部14は、ユーザが設定したパスワード法則を満たす文字列を画面に表示する。このような構成により、ユーザが自ら設定したパスワード法則の確認を行なうことができるため、ユーザの利便性を向上させることができる。
【0063】
また、本発明の実施の形態では、記憶部15は、パスワード法則を複数種類記憶する。そして、文字列解析部11は、パスワードとして入力された文字列が複数種類のパスワード法則を満たすか否かを判定する。このような構成により、セキュリティレベルを大幅に向上させることができる。
【0064】
なお、本発明の実施の形態では、IDおよびパスワードをユーザがクライアント220を用いて入力する構成であるとしたが、これに限定するものではない。ユーザがサーバ200に対して直接IDおよびパスワードを入力する構成であってもよいし、ユーザではなくクライアント220等の装置が自身のIDおよびパスワードをサーバ200に対して入力する構成であってもよい。
【0065】
また、本発明の実施の形態では、サーバ200は、IDおよびパスワードによる認証処理を行なう構成であるとしたが、これに限定するものではない。認証処理の対象が1ユーザまたは1装置である場合には、IDを用いない構成とすることも可能である。
【0066】
また、本発明の実施の形態では、記憶部15は、パスワードに関する所定の法則を複数種類記憶する構成であるとしたが、これに限定するものではない。記憶部15がパスワードに関する所定の法則を1種類だけ記憶する構成であっても、簡易な処理および構成でセキュリティレベルを向上させるという本発明の目的を達成することが可能である。
【0067】
上記実施の形態は、すべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は、上記説明ではなく特許請求の範囲によって示され、特許請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。
【産業上の利用可能性】
【0068】
本発明によれば、簡易な処理および構成でセキュリティレベルを向上させることができる。したがって、本発明は、Web(World Wide Web)アプリケーションの認証などの用途に適用可能であり、また、OSまたはネットワークシステムへのログオンといった用途にも適用可能であることから、産業上の利用可能性を有している。
【0069】
[付記1]
パスワードによる認証を行なうための認証方法であって、
(a)パスワードとして入力された文字列がパスワードに関する所定の法則を満たすか否かを判定するステップと、
(b)前記文字列が前記法則を満たすと判定した場合には、前記文字列を入力したユーザまたは装置に認証情報を与えるステップとを含み、
前記文字列は、前記ユーザまたは装置が任意に選択可能である、認証方法。
【0070】
[付記2]
前記(a)のステップにおいては、パスワードとして入力された文字列がパスワードに関する複数種類の所定の法則を満たすか否かを判定する、付記1に記載の認証方法。
【0071】
[付記3] 前記認証方法は、さらに、
(c)前記法則を前記ユーザが設定するための画面を表示するステップを含み、
前記(a)のステップにおいては、パスワードとして入力された文字列が、前記画面に
おいて前記ユーザが設定した前記法則を満たすか否かを判定する、付記1または2に記載の認証方法。
【0072】
[付記4]
前記認証方法は、さらに、
(d)前記ユーザが設定した前記法則を満たす文字列を画面に表示するステップを含む、付記3に記載の認証方法。
【0073】
[付記5]
前記法則は、文字数、入力必須文字、入力禁止文字、文字の整列順序、文字列に含まれる数字の合計および過去の入力文字列の少なくともいずれか1つに基づいて定められる、付記1から4のいずれかに記載の認証方法。
【0074】
[付記6]
パスワードによる認証を行なうための認証プログラムであって、コンピュータに、
(a)パスワードとして入力された文字列がパスワードに関する所定の法則を満たすか否かを判定するステップと、
(b)前記文字列が前記法則を満たすと判定した場合には、前記文字列を入力したユーザまたは装置に認証情報を与えるステップとを実行させ、
前記文字列は、前記ユーザまたは装置が任意に選択可能である、認証プログラム。
【0075】
[付記7]
前記(a)のステップにおいては、パスワードとして入力された文字列がパスワードに関する複数種類の所定の法則を満たすか否かを判定する、付記6に記載の認証プログラム。
【0076】
[付記8]
前記認証プログラムは、さらに、コンピュータに、
(c)前記法則を前記ユーザが設定するための画面を表示するステップを実行させ、
前記(a)のステップにおいては、パスワードとして入力された文字列が、前記画面において前記ユーザが設定した前記法則を満たすか否かを判定する、付記6または7に記載の認証プログラム。
【0077】
[付記9]
前記認証プログラムは、さらに、コンピュータに、
(d)前記ユーザが設定した前記法則を満たす文字列を画面に表示するステップを実行させる、付記8に記載の認証プログラム。
【0078】
[付記10]
前記法則は、文字数、入力必須文字、入力禁止文字、文字の整列順序、文字列に含まれる数字の合計および過去の入力文字列の少なくともいずれか1つに基づいて定められる、付記6から9のいずれかに記載の認証プログラム。
【符号の説明】
【0079】
11 文字列解析部
12 認証付与部
13 メモリアクセス制御部 14 表示制御部
15 記憶部
101 CPU
102 メインメモリ
103 ハードディスク
104 入力インターフェイス
105 表示コントローラ
106 データリーダ/ライタ
107 通信インターフェイス
121 バス
200 サーバ(認証装置)
210 サーバ
220 クライアント
300 クライアントサーバシステム
【特許請求の範囲】
【請求項1】
パスワードによる認証を行なうための認証装置であって、
パスワードに関する所定の法則を記憶するための記憶部と、
パスワードとして入力された文字列が前記法則を満たすか否かを判定するための文字列解析部と、
前記文字列が前記法則を満たすと前記文字列解析部が判定した場合には、前記文字列を入力したユーザまたは装置に認証情報を与えるための認証付与部とを備え、
前記文字列は、前記ユーザまたは装置が任意に選択可能である、認証装置。
【請求項2】
前記記憶部は、パスワードに関する所定の法則を複数種類記憶し、
前記文字列解析部は、パスワードとして入力された文字列が前記複数種類の法則を満たすか否かを判定する、請求項1に記載の認証装置。
【請求項3】
前記認証装置は、さらに、
前記法則を前記ユーザが設定するための画面を表示するための表示制御部を備え、
前記記憶部は、前記画面において前記ユーザが設定した前記法則を記憶する、請求項1または2に記載の認証装置。
【請求項4】
前記表示制御部は、さらに、
前記ユーザが設定した前記法則を満たす文字列を画面に表示する、請求項3に記載の認証装置。
【請求項5】
前記法則は、文字数、入力必須文字、入力禁止文字、文字の整列順序、文字列に含まれる数字の合計および過去の入力文字列の少なくともいずれか1つに基づいて定められる、請求項1から4のいずれかに記載の認証装置。
【請求項6】
パスワードによる認証を行なうための認証方法であって、
(a)パスワードとして入力された文字列がパスワードに関する所定の法則を満たすか否かを判定するステップと、
(b)前記文字列が前記法則を満たすと判定した場合には、前記文字列を入力したユーザまたは装置に認証情報を与えるステップとを含み、
前記文字列は、前記ユーザまたは装置が任意に選択可能である、認証方法。
【請求項7】
パスワードによる認証を行なうための認証プログラムであって、コンピュータに、
(a)パスワードとして入力された文字列がパスワードに関する所定の法則を満たすか否かを判定するステップと、
(b)前記文字列が前記法則を満たすと判定した場合には、前記文字列を入力したユーザまたは装置に認証情報を与えるステップとを実行させ、
前記文字列は、前記ユーザまたは装置が任意に選択可能である、認証プログラム。
【請求項1】
パスワードによる認証を行なうための認証装置であって、
パスワードに関する所定の法則を記憶するための記憶部と、
パスワードとして入力された文字列が前記法則を満たすか否かを判定するための文字列解析部と、
前記文字列が前記法則を満たすと前記文字列解析部が判定した場合には、前記文字列を入力したユーザまたは装置に認証情報を与えるための認証付与部とを備え、
前記文字列は、前記ユーザまたは装置が任意に選択可能である、認証装置。
【請求項2】
前記記憶部は、パスワードに関する所定の法則を複数種類記憶し、
前記文字列解析部は、パスワードとして入力された文字列が前記複数種類の法則を満たすか否かを判定する、請求項1に記載の認証装置。
【請求項3】
前記認証装置は、さらに、
前記法則を前記ユーザが設定するための画面を表示するための表示制御部を備え、
前記記憶部は、前記画面において前記ユーザが設定した前記法則を記憶する、請求項1または2に記載の認証装置。
【請求項4】
前記表示制御部は、さらに、
前記ユーザが設定した前記法則を満たす文字列を画面に表示する、請求項3に記載の認証装置。
【請求項5】
前記法則は、文字数、入力必須文字、入力禁止文字、文字の整列順序、文字列に含まれる数字の合計および過去の入力文字列の少なくともいずれか1つに基づいて定められる、請求項1から4のいずれかに記載の認証装置。
【請求項6】
パスワードによる認証を行なうための認証方法であって、
(a)パスワードとして入力された文字列がパスワードに関する所定の法則を満たすか否かを判定するステップと、
(b)前記文字列が前記法則を満たすと判定した場合には、前記文字列を入力したユーザまたは装置に認証情報を与えるステップとを含み、
前記文字列は、前記ユーザまたは装置が任意に選択可能である、認証方法。
【請求項7】
パスワードによる認証を行なうための認証プログラムであって、コンピュータに、
(a)パスワードとして入力された文字列がパスワードに関する所定の法則を満たすか否かを判定するステップと、
(b)前記文字列が前記法則を満たすと判定した場合には、前記文字列を入力したユーザまたは装置に認証情報を与えるステップとを実行させ、
前記文字列は、前記ユーザまたは装置が任意に選択可能である、認証プログラム。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公開番号】特開2011−154445(P2011−154445A)
【公開日】平成23年8月11日(2011.8.11)
【国際特許分類】
【出願番号】特願2010−14172(P2010−14172)
【出願日】平成22年1月26日(2010.1.26)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.COMPACTFLASH
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
【公開日】平成23年8月11日(2011.8.11)
【国際特許分類】
【出願日】平成22年1月26日(2010.1.26)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.COMPACTFLASH
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
[ Back to top ]