認証装置及び認証方法
【課題】セキュリティに係るリスクを軽減することができる認証装置及び認証方法を提供すること。
【解決手段】認証装置1は、ユーザIDと、パスワードとを関連付けた情報である認証情報を予め記憶する認証DB111と、ユーザ端末2にパスワードに使用可能な全ての文字をランダムな文字に変換するための変換表を送信する変換表送信部124と、ユーザ端末2から、ユーザIDと変換表に基づいてパスワードから変換された文字列とを受信する文字列受信部125と、認証DB111に記憶されている認証情報に基づいて、受信したユーザIDに対応するパスワードを特定するパスワード特定部126と、変換表送信部124により送信された変換表と同一の変換表に基づいて、特定されたパスワードを変換するパスワード変換部127と、受信した文字列と、変換された文字列とを対比してユーザ端末2を使用するユーザの認証を行う認証部128と、を備える。
【解決手段】認証装置1は、ユーザIDと、パスワードとを関連付けた情報である認証情報を予め記憶する認証DB111と、ユーザ端末2にパスワードに使用可能な全ての文字をランダムな文字に変換するための変換表を送信する変換表送信部124と、ユーザ端末2から、ユーザIDと変換表に基づいてパスワードから変換された文字列とを受信する文字列受信部125と、認証DB111に記憶されている認証情報に基づいて、受信したユーザIDに対応するパスワードを特定するパスワード特定部126と、変換表送信部124により送信された変換表と同一の変換表に基づいて、特定されたパスワードを変換するパスワード変換部127と、受信した文字列と、変換された文字列とを対比してユーザ端末2を使用するユーザの認証を行う認証部128と、を備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、認証装置及び認証方法に関する。
【背景技術】
【0002】
従来、ユーザが使用するユーザ端末とサーバとの間においてワンタイムパスワードで認証を行う方法が提案されている。例えば、認証カードを用いて認証を行う方法が特許文献1において提案されている。すなわち、特許文献1では、ユーザが、ランダムに記号が配置されたマトリックス表が表示された認証カードを所持しており、ユーザが、サーバに対して認証を行う場合、サーバから認証カードにおける所定位置を指定されたことに応じて、ユーザ端末を介して、所定位置に対応する記号をサーバに送信する。そして、特許文献1では、サーバが、ユーザ端末から受信した記号と、ユーザが所持している認証カードの所定位置に表示されている記号とが一致するか比較してユーザ認証を行う。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開平9−305541号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、特許文献1に記載の方法では、ユーザが、認証カードを使用して認証を行うため、認証カードを紛失すると認証することができないといった問題がある。また、ユーザが外出先で認証を行う場合、ユーザは、認証カードを持ち歩くことを忘れないようにする必要がある。このため、ユーザは、認証カードの所在について常に管理する必要があり、ユーザにとって負担となる。また、認証カードを複写されたりすると、第三者が認証可能になるというセキュリティ上の問題もある。
【0005】
本発明は、セキュリティに係るリスクを軽減することができる認証装置及び認証方法を提供することを目的とする。
【課題を解決するための手段】
【0006】
本発明に係る認証装置は、ユーザの識別情報と、前記ユーザのパスワードとを関連付けた情報である認証情報を予め記憶する認証情報記憶手段と、ユーザ端末に、前記パスワードに使用可能な全ての文字をランダムな文字に変換するための変換表を送信する変換表送信手段と、前記ユーザ端末から、前記ユーザの識別情報と、前記変換表に基づいて前記パスワードから変換された文字列とを受信する文字列受信手段と、前記認証情報記憶手段に記憶されている認証情報に基づいて、前記文字列受信手段により受信した前記ユーザの識別情報に対応するパスワードを特定するパスワード特定手段と、前記変換表送信手段により送信された変換表と同一の変換表に基づいて、前記パスワード特定手段により特定されたパスワードを変換するパスワード変換手段と、前記文字列受信手段により受信した文字列と、前記パスワード変換手段により変換された文字列とを対比して前記ユーザ端末を使用するユーザの認証を行う認証手段と、を備える。
【0007】
また、上記認証装置は、ユーザ端末から認証要求を受け付ける認証要求受付手段を更に備え、前記変換表送信手段は、前記認証要求受付手段により前記認証要求を受け付けたことに応じて、前記認証要求を行ったユーザ端末に前記変換表を送信することが好ましい。
【0008】
また、上記認証装置は、前記変換表を生成する変換表生成手段を更に備え、前記変換表送信手段は、前記認証要求受付手段により前記認証要求を受け付けたことに応じて、前記認証要求を行ったユーザ端末に、前記変換表生成手段によって最も新しく生成された変換表を送信することが好ましい。
【0009】
また、上記認証装置では、前記変換表生成手段は、所定時間間隔で変換表を生成することが好ましい。
【0010】
また、上記認証装置では、前記変換表生成手段は、前記認証要求受付手段により前記認証要求を受け付けたことに応じて変換表を生成することが好ましい。
【0011】
また、上記認証装置は、前記認証要求受付手段により前記認証要求を受け付けたことに応じて、セッション情報を生成するセッション情報生成手段と、前記セッション情報と前記変換表とを関連付けて関連情報として記憶する関連情報記憶手段と、を更に備え、前記変換表送信手段は、前記認証要求受付手段により前記認証要求を受け付けたことに応じて、前記認証要求を行ったユーザ端末に、前記セッション情報生成手段により生成されたセッション情報と、前記変換表生成手段により生成された前記変換表とを送信し、前記文字列受信手段は、前記ユーザ端末から、前記セッション情報と、前記ユーザの識別情報と、前記変換表に基づいて前記パスワードから変換された文字列とを受信し、前記パスワード変換手段は、前記文字列受信手段により受信された前記セッション情報に基づいて、前記関連情報記憶手段に記憶されている関連情報から、前記変換表送信手段により送信された変換表と同一の変換表を特定し、特定された同一の変換表に基づいて、前記パスワード特定手段により特定されたパスワードを変換することが好ましい。
【0012】
また、上記認証装置では、前記変換表生成手段は、前記変換表と、前記変換表の識別情報を生成し、前記変換表送信手段は、前記認証要求受付手段により前記認証要求を受け付けたことに応じて、前記認証要求を行ったユーザ端末に、前記変換表生成手段により生成された前記変換表と、前記変換表の識別情報とを送信し、前記文字列受信手段は、前記ユーザ端末から、前記変換表の識別情報と、前記ユーザの識別情報と、前記変換表に基づいて前記パスワードから変換された文字列とを受信する文字列受信手段とを受信し、前記パスワード変換手段は、前記文字列受信手段により受信された前記変換表の識別情報に基づいて、前記変換表送信手段により送信された変換表と同一の変換表を特定し、特定された同一の変換表に基づいて、前記パスワード特定手段により特定されたパスワードを変換することが好ましい。
【0013】
また、上記認証装置では、前記変換表は、母音と子音とを行列とし、仮名文字それぞれに対応するマトリックス表を含むことが好ましい。
【0014】
また、本発明に係る認証方法は、ユーザ端末と通信可能に接続されたコンピュータが、前記ユーザ端末を使用するユーザの認証を行う認証方法であって、前記コンピュータは、ユーザの識別情報と、前記ユーザのパスワードとを関連付けた認証情報を予め記憶する認証情報記憶手段を備え、前記認証方法は、ユーザ端末から認証要求を受け付ける認証要求受付ステップと、前記認証要求受付ステップにおいて前記認証要求を受け付けたことに応じて、前記認証要求を行ったユーザ端末に、前記パスワードに使用可能な全ての文字をランダムな文字に変換するための変換表を送信する変換表送信ステップと、前記変換表送信ステップにおいて変換表が送信された前記ユーザ端末から、前記ユーザの識別情報と、前記変換表に基づいて前記パスワードから変換された文字列とを受信する文字列受信ステップと、前記認証情報記憶手段に記憶されている認証情報に基づいて、前記文字列受信ステップにおいて受信した前記ユーザの識別情報に対応するパスワードを特定するパスワード特定ステップと、前記変換表送信ステップにおいて送信された変換表と同一の変換表に基づいて、前記パスワード特定ステップにおいて特定されたパスワードを変換するパスワード変換ステップと、前記文字列受信ステップにおいて受信した文字列と、前記パスワード変換ステップにおいて変換された文字列とを対比して前記ユーザ端末を使用するユーザの認証を行う認証ステップと、を含む。
【発明の効果】
【0015】
本発明によれば、セキュリティに係るリスクを軽減することができる。
【図面の簡単な説明】
【0016】
【図1】第1実施形態に係る認証システムの機能構成を示すブロック図である。
【図2】第1実施形態に係る認証DBを示す図である。
【図3】第1実施形態に係る変換表を示す図である。
【図4】第1実施形態に係る認証受付ページの一例を示す図である。
【図5】第1実施形態に係る認証装置における処理の流れを示すフローチャートである。
【図6】第2実施形態に係る認証システムの機能構成を示すブロック図である。
【図7】第2実施形態に係る認証装置における処理の流れを示すフローチャートである。
【発明を実施するための形態】
【0017】
以下、本発明の実施形態について図面に基づいて説明する。
【0018】
[第1実施形態]
図1は、第1実施形態に係る認証システムSの機能構成を示すブロック図である。
認証システムSは、認証装置1と、認証装置1に通信ネットワークNを介して通信可能接続された複数のユーザ端末2とを備える。認証システムSでは、認証装置1が、Web上で、ユーザ端末2からの認証要求を受け付ける認証ページを公開しており、複数のユーザ端末2それぞれから、この認証ページにアクセスされた(認証要求を受け付けた)ことに応じて、ユーザ端末のユーザの認証を行う。
【0019】
認証装置1は、記憶部11と、制御部12とを備えるサーバ(コンピュータ)である。
記憶部11は、メモリ及びハードディスク等により構成され、認証装置1として機能させるための各種プログラム(図示省略)を記憶する。また、記憶部11は、認証情報記憶手段としての認証データベース(以下、データベースをDBという)111と、関連情報記憶手段としての関連情報DB112とを記憶する。また、記憶部11は、関連情報記憶手段として機能し、後述のセッション情報と、後述の変換表とを関連付けて一時的に記憶する。ここで、記憶部11は、変換表を、例えば配列変数として記憶する。
【0020】
図2は、第1実施形態に係る認証DB111を示す図である。
認証DB111は、ユーザの識別情報であるユーザIDと、ユーザのパスワードとを関連付けた情報である認証情報を記憶する。パスワードは、仮名文字、英数字及び記号の少なくともいずれかを組み合わせることにより構成される文字列である。
なお、本実施形態では、認証DB111は、ユーザIDに対応するパスワードを1つのみ設けることとしたが、これに限らず、例えば、曜日ごとにパスワードを設けることとしてもよい。この場合、後述のパスワード特定部126において、認証している時点の曜日に対応するパスワードが参照される。
【0021】
図2に戻り制御部12は、認証装置1に係る機能を統括的に制御する部分であり、CPU(Central Processing Unit)等により構成される。制御部12は、認証要求受付手段としての認証要求受付部121と、セッション情報生成手段としてのセッション生成部122と、変換表生成手段としての変換表生成部123と、変換表送信手段としての変換表送信部124と、文字列受信手段としての文字列受信部125と、パスワード特定手段としてのパスワード特定部126と、パスワード変換手段としてのパスワード変換部127と、認証手段としての認証部128とを備える。
【0022】
認証要求受付部121は、ユーザ端末2から、このユーザ端末2を利用しているユーザが正当なユーザであることの確認を行うための認証要求を受け付ける。認証要求受付部121は、ユーザ端末2から、認証装置1がWeb上に公開している認証ページに対するリクエストを受け付けることにより、認証要求を受け付ける。なお、第1実施形態では、認証装置1は、ユーザ端末2から認証要求を受け付けた後のユーザ端末2との各種情報の送受信は、HTTPS(Hypertext Transfer Protocol over Secure Socket Layer)等の技術等により暗号化された状態で行われる。
【0023】
セッション生成部122は、認証要求受付部121によりユーザ端末2から認証要求を受け付けたことに応じて、セッション情報としてのセッションIDを生成する。
【0024】
変換表生成部123は、パスワードに使用可能な全ての文字をランダムな文字に変換するための変換表を生成する。具体的には、変換表生成部123は、認証要求受付部121によりユーザ端末2から認証要求を受け付けたことに応じて、変換表を生成する。
【0025】
図3は、第1実施形態に係る変換表の一例を示す図である。図3(1)は、パスワードとして使用可能な仮名文字に対応する変換表である。図3(1)に示されるように、仮名文字に対応する変換表は、母音(あ、か、さ、・・・、わ)を行、子音に対応する数字(1、2、3、4、5)を列とし、仮名文字それぞれに対応するマトリックス表である。例えば、パスワードが「ひろしまし」である場合、このパスワードは、図3(1)に示されるマトリックス表に基づいて「6gw3w」に変換される。
なお、この変換表における乱数は、図3(1)に示される「な」に対応する乱数と、「た」に対応する乱数が等しいように、それぞれの文字に一対一に対応する乱数としなくてもよい。また、この変換表における乱数は、数字に限らず、英字、仮名文字、記号等を含むものとする。
【0026】
図3(2)は、a〜zの26個の英字に対応する変換表である。例えば、パスワードが「flower」である場合、このパスワードは、図3(2)に示される変換表に基づいて「6tf05g」に変換される。
【0027】
変換表生成部123は、図3(1)及び(2)に示される変換表の他、不図示の数字及び記号に対応する変換表を生成する。なお、変換表生成部123は、所定時間間隔(例えば、1秒おき)に変換表を生成するようにしてもよい。また、変換表生成部123は、変換表を生成する場合に、変換表の行の並び及び列の並びの少なくともいずれかを並び替えるようにしてもよい。
【0028】
また、変換表生成部123は、生成された変換表と、セッション生成部122により生成されたセッションIDとを関連付けて関連情報として記憶部11に記憶させる。
また、変換表生成部123は、生成された変換表と、セッション生成部122により生成されたセッションIDとを含み、ユーザ端末2を使用するユーザから、ユーザIDと、変換表により変換された文字列と、を受け付ける認証受付ページを生成する。
【0029】
図4は、第1実施形態に係る認証受付ページの一例を示す図である。
図4に示されるように、認証受付ページPには、ユーザIDを入力するID入力欄L1、変換表にしたがって変換されたパスワードを入力するパスワード入力欄L2、認証ボタンB1、平仮名の変換表とカタカナの変換表を切り替えるための変換ボタンB2と、変換表が設けられている。この認証受付ページPにより、ユーザ端末2における認証情報の入力が受け付けられる。この認証受付ページPでは、変換表の乱数部分がマウス等を介してクリックされると、パスワード入力欄L2に対して、クリックされた位置に対応する乱数が入力される。
【0030】
図2に戻り、変換表送信部124は、認証要求受付部121により認証要求を受け付けたことに応じて、当該認証要求を送信したユーザ端末2に、変換表生成部123によって最も新しく生成された変換表と、セッション生成部122により生成されたセッションIDを送信する。具体的には、変換表送信部124は、ユーザ端末2に、変換表生成部123によって生成された認証受付ページを送信する。
【0031】
文字列受信部125は、変換表送信部124により変換表が送信されたユーザ端末2から、ユーザIDと、変換表に基づいてパスワードから変換された文字列とを受信する。具体的には、文字列受信部125は、変換表送信部124によって送信された認証受付ページにおいて受け付けられたユーザIDと文字列とを受信する。
また、文字列受信部125は、ユーザ端末2から、これらユーザID及び文字列を受信すると共に、変換表送信部124において変換表と共に送信されたセッションIDを受信する。
【0032】
パスワード特定部126は、認証DB111に記憶されている認証情報に基づいて、文字列受信部125により受信したユーザIDに対応するパスワードを特定する。具体的には、パスワード特定部126は、文字列受信部125によりユーザID、文字列及びセッションIDを受信したことに応じて、認証DB111に記憶されている認証情報から、受信したユーザIDに対応するパスワードを抽出する。なお、パスワード特定部126は、受信したユーザIDが認証DB111に記憶されておらず、パスワードを抽出できなかった場合、ユーザIDが見つからない旨を示す情報を認証部128に出力する。
【0033】
パスワード変換部127は、変換表送信部124により送信された変換表と同一の変換表に基づいて、パスワード特定部126により特定されたパスワードを変換する。具体的には、パスワード変換部127は、文字列受信部125により受信されたセッションIDに基づいて、記憶部11に記憶されている関連情報から、受信されたセッションIDに対応する変換表を特定することで、変換表送信部124により送信された変換表と同一の変換表を特定する。続いて、パスワード変換部127は、特定された同一の変換表に基づいて、パスワード特定部126により特定されたパスワードを変換する。
【0034】
なお、第1実施形態において、変換表送信部124により送信された変換表と同一の変換表とは、変換表送信部124により送信された変換表と同一の情報を有する変換表であり、変換表送信部124により送信された変換表そのものを示すものではない。
【0035】
認証部128は、文字列受信部125により受信された文字列と、パスワード変換部127により変換された文字列とを対比してユーザ端末2を使用するユーザが正当なユーザであるか否かの認証を行う。具体的には、認証部128は、文字列受信部125により受信された文字列と、パスワード変換部127により変換された文字列とを対比して一致した場合、認証が成功したものとし、一致しない場合、認証が失敗したものとする。また、認証部128は、パスワード特定部126からユーザIDが見つからない旨を示す情報が入力された場合、認証が失敗したものとする。
【0036】
例えば、変換表送信部124により送信された仮名文字に対応する変換表が図3(1)に示すものであり、文字列受信部125により受信された文字列が「6gw3w」、ユーザIDが「user1」であり、パスワード特定部126により特定されたパスワードが「ひろしまし」であるものとする。この場合、パスワード変換部127により、変換表送信部124により送信された図3(1)に示す変換表と同一の変換表に基づいて、パスワード「ひろしまし」が、「6gw3w」に変換される。そして、認証部128は、文字列受信部125により受信された文字列と、パスワード変換部127により変換された文字列とを対比した結果、一致するので、ユーザIDが「user1」の認証が成功したものとする。
【0037】
ユーザ端末2は、固定型のPCや、ノートPC、携帯電話機、スマートフォン及び携帯ゲーム等の携帯端末である。ユーザ端末2は、図示は省略するが、ユーザからの操作を受け付ける入力部、ユーザ端末2の機能に係る情報や、上述の認証受付ページを表示する表示部、メモリ及びハードディスク等により構成されユーザ端末2として機能させるための各種プログラムを記憶する記憶部、及びユーザ端末2に係る機能を統括的に制御する部分であり、CPU等により構成される制御部とを備える。
【0038】
ユーザ端末2は、入力部を介してユーザから所定の操作を受け付けたことに応じて、認証装置1に対して認証要求を送信する。また、ユーザ端末2は、図4に示される認証装置1から認証受付ページPを受信したことに応じて、ユーザから、入力部を介してユーザIDと、変換表に基づいて変換されたパスワードの入力を受け付ける。そして、図4に示される認証受付ページPのID入力欄L1と、パスワード入力欄L2とのそれぞれに対してIDの入力と変換後のパスワードが入力された状態で、入力部を介して認証ボタンB1の押下操作が受け付けられると、ユーザ端末2は、ID入力欄L1と、パスワード入力欄L2とのそれぞれに対して入力されたユーザIDと変換後のパスワードとを認証装置1に送信する。
【0039】
続いて、認証装置1の処理の流れについて説明する。図5は、第1実施形態に係る認証装置1に係る処理の流れを示すフローチャートである。
【0040】
ステップS1において、制御部12(認証要求受付部121)は、ユーザ端末2からの認証要求を受け付ける。
ステップS2において、制御部12(セッション生成部122)は、ステップS1において認証要求を受け付けたことに応じて、セッションIDを生成する。
【0041】
ステップS3において、制御部12(変換表生成部123)は、ステップS1において認証要求を受け付けたことに応じて、変換表を生成する。
ステップS4において、制御部12(変換表生成部123)は、ステップS3において生成された変換表と、ステップS2において生成されたセッションIDとを関連付けて関連情報として記憶部11に記憶させると共に、これら変換表及びセッションIDを含む認証受付ページを生成する。
【0042】
ステップS5において、制御部12(変換表送信部124)は、ステップS4において生成された認証受付ページを送信する。
ステップS6において、制御部12(文字列受信部125)は、ステップS5において送信された認証受付ページにより受け付けられたユーザIDと、変換表に基づいてパスワードから変換された文字列と、セッションIDとを受信する。
【0043】
ステップS7において、制御部12(パスワード特定部126)は、認証DB111に記憶されている認証情報に基づいて、ステップS6において受信したユーザIDに対応するパスワードを特定する。
ステップS8において、制御部12(パスワード変換部127)は、ステップS5においてユーザ端末2に送信された変換表と同一の変換表に基づいて、ステップS7において特定されたパスワードを変換する。
【0044】
ステップS9において、制御部12(認証部128)は、ステップS6において受信した文字列と、ステップS8において変換された文字列とを対比して認証を行う。
【0045】
以上、第1実施形態によれば、認証装置1は、変換表送信部124により、ユーザ端末2に、パスワードに使用可能な全ての文字をランダムな文字に変換するための変換表を送信する。そして、認証装置1は、文字列受信部125により、ユーザ端末2から、ユーザIDと、変換表に基づいて前記パスワードから変換された文字列とを受信し、パスワード特定部126により、認証DB111に記憶されている認証情報に基づいて、文字列受信部125により受信したユーザIDに対応するパスワードを特定する。そして、認証装置1は、パスワード変換部127により、変換表送信部124により送信された変換表と同一の変換表に基づいて、パスワード特定部126により特定されたパスワードを変換し、認証部128により、文字列受信部125により受信した文字列と、パスワード変換部127により変換された文字列とを対比してユーザ端末2を使用するユーザの認証を行う。
【0046】
このように、認証装置1では、ユーザ端末2に変換表を送信し、ユーザ端末2から、この変換表に基づいて変換されたパスワードを受信するので、ユーザ端末2では、認証を行う場合に、マトリックス表が表示されたカードを必要とすることなくパスワードを変換することができる。また、パスワードは、変換表に基づいて、ランダムな文字に変換されているので、認証装置1に送信する際に第三者が盗聴したとしても、変換前のパスワードを把握することは困難である。よって、認証装置1は、セキュリティに係るリスクを軽減することができる。
【0047】
また、認証装置1では、変換表送信部124により、認証要求受付部121により認証要求を受け付けたことに応じて、認証要求を行ったユーザ端末2に変換表を送信するので、認証要求に合わせて変換表を送信することができる。
【0048】
また、認証装置1では、変換表送信部124により、認証要求受付部121により認証要求を受け付けたことに応じて、認証要求を行ったユーザ端末2に、変換表生成部123によって最も新しく生成された変換表を送信する。よって、認証装置1では、最新の変換表に基づいて認証を行うことができる。
【0049】
また、認証装置1では、変換表生成部123により、所定時間間隔で変換表を生成するので、変換表をユーザ端末2に送信するための変換表を常に異なるものとすることができ、セキュリティを向上させることができる。
【0050】
また、認証装置1では、変換表生成部123により、認証要求受付部121により認証要求を受け付けたことに応じて変換表を生成するので、生成された直後の変換表をユーザ端末2に送信することができる。よって、変換表が生成されてからユーザ端末2に送信されるまでに不正アクセスによって変換表が閲覧される可能性を低減することができる。
【0051】
また、認証装置1では、認証要求受付部121により認証要求を受け付けたことに応じて、セッション生成部122によりセッションIDを生成し、記憶部11によりセッションIDと変換表とを関連付けて関連情報として記憶する。続いて、認証装置1では、変換表送信部124により、認証要求受付部121により認証要求を受け付けたことに応じて、認証要求を行ったユーザ端末2に、生成されたセッションIDと、生成された変換表とを送信し、文字列受信部125により、ユーザ端末2から、セッションIDと、ユーザIDと、文字列とを受信する。続いて、認証装置1では、パスワード変換部127により、文字列受信部125により受信されたセッションIDに基づいて、記憶部11に記憶されている関連情報から、変換表送信部124により送信された変換表と同一の変換表を特定し、特定された同一の変換表に基づいて、パスワード特定部126により特定されたパスワードを変換する。
【0052】
このようにすることで、認証装置1では、セッションIDに基づいて、ユーザ端末2に送信した変換表と同一の変換表を特定し、認証を行うことができる。
【0053】
また、変換表における乱数は、それぞれの文字に一対一に対応する乱数としなくてもよいので、変換表及び変換後文字列が盗聴された場合、又はショルダーハッキングされた場合であっても、パスワードが完全に特定されるのを防止することができる。
【0054】
[第2実施形態]
図6は、本発明の第2実施形態に係る認証システムSAの機能構成を示す図である。
本実施形態では、認証装置1Aの変換表生成部、変換表送信部、文字列受信部、及びパスワード変換部の構成が第1実施形態と異なり、その他の構成は、第1実施形態と同様である。
【0055】
認証装置1Aの制御部12Aは、認証要求受付部121と、変換表生成部123Aと、変換表送信部124Aと、文字列受信部125Aと、パスワード特定部126と、パスワード変換部127Aと、認証部128とを備える。以下、第1実施形態と異なる部分について説明し、第1実施形態と同一の符号を付した構成については説明を省略する。
【0056】
変換表生成部123Aは、認証要求受付部121によりユーザ端末2から認証要求を受け付けたことに応じて、変換表と、この変換表の識別情報である変換表IDを生成する。
また、変換表生成部123Aは、生成された変換表と変換表IDとを関連付けて記憶部11に記憶させる。
また、変換表生成部123Aは、生成された変換表と、変換表IDとを含み、ユーザ端末2を使用するユーザから、ユーザIDと、変換表により変換された文字列と、を受け付ける認証受付ページを生成する。
【0057】
変換表送信部124Aは、認証要求受付部121により認証要求を受け付けたことに応じて、認証要求を行ったユーザ端末2に、変換表生成部123Aにより生成された変換表と、変換表IDとを送信する。具体的には、変換表送信部124Aは、変換表生成部123Aにより生成された認証受付ページを送信する。
【0058】
文字列受信部125Aは、変換表送信部124Aにより認証受付ページが送信されたユーザ端末2から、変換表IDと、ユーザIDと、変換表に基づいてパスワードから変換された文字列を受信する。
【0059】
パスワード変換部127Aは、文字列受信部125Aにより受信された変換表IDに基づいて、記憶部11に記憶されている変換表送信部124Aにより送信された変換表と同一の変換表を特定し、特定された同一の変換表に基づいて、パスワード特定部126により特定されたパスワードを変換する。
【0060】
続いて、認証装置1Aの処理の流れについて説明する。図7は、第2実施形態に係る認証装置1Aに係る処理の流れを示すフローチャートである。
【0061】
ステップS11において、制御部12A(認証要求受付部121)は、ユーザ端末2からの認証要求を受け付ける。
【0062】
ステップS12において、制御部12A(変換表生成部123A)は、ステップS11において認証要求を受け付けたことに応じて、変換表と変換表IDを生成する。
ステップS13において、制御部12A(変換表生成部123A)は、ステップS12において生成された変換表と、変換表IDとを関連付けて記憶部11に記憶させると共に、これら変換表及び変換表IDを含む認証受付ページを生成する。
【0063】
ステップS14において、制御部12A(変換表送信部124A)は、ステップS13において生成された認証受付ページを送信する。
ステップS15において、制御部12A(文字列受信部125A)は、ステップS14において送信された認証受付ページにより受け付けられたユーザIDと、変換表に基づいてパスワードから変換された文字列と、変換表IDとを受信する。
【0064】
ステップS16において、制御部12A(パスワード特定部126)は、認証DB111に記憶されている認証情報に基づいて、ステップS15において受信したユーザIDに対応するパスワードを特定する。
ステップS17において、制御部12A(パスワード変換部127A)は、ステップS14においてユーザ端末2に送信された認証受付ページに含まれる変換表と同一の変換表に基づいて、ステップS16において特定されたパスワードを変換する。
【0065】
ステップS18において、制御部12A(認証部128)は、ステップS15において受信した文字列と、ステップS17において変換された文字列とを対比して認証を行う。
【0066】
以上、第2実施形態によれば、認証装置1Aでは、変換表生成部123Aにより変換表と変換表のIDを生成し、変換表送信部124Aにより、認証要求受付部121により認証要求を受け付けたことに応じて、認証要求を行ったユーザ端末2に、変換表生成部123Aにより生成された変換表と変換表IDとを送信する。続いて、認証装置1Aでは、文字列受信部125Aにより、ユーザ端末2から、変換表IDと、ユーザIDと、変換表に基づいてパスワードから変換された文字列とを受信する。また、認証装置1Aは、パスワード変換部127Aにより、文字列受信部125Aにより受信された変換表IDに基づいて、変換表送信部124Aにより送信された変換表と同一の変換表を特定し、特定された同一の変換表に基づいて、パスワード特定部126により特定されたパスワードを変換する。
【0067】
このようにすることで、認証装置1Aでは、セッション管理を行うことなく、変換表IDに基づいて、ユーザ端末2に送信した変換表と同一の変換表を特定し、認証を行うことができる。
【0068】
以上、本発明の実施形態について説明したが、本発明は第1実施形態に限定されるものではなく、本発明の目的を達成できる範囲での変形、改良等は本発明に含まれるものである。
【0069】
例えば、第1実施形態では、認証装置1は、ユーザ端末2から認証要求を受け付けた場合に、ユーザ端末2に対して変換表を送信し、ユーザ端末2において変換表に基づいてパスワードを変換することとしたが、これに限らない。例えば、ユーザ端末2(例えば、スマートフォン等の携帯端末)において、認証装置1の変換表生成部123、パスワード特定部126、パスワード変換部127及び認証部128と同等の機能を設けるようにしてもよい。そして、ユーザ端末2の制御部により、画面ロックを解除する場合に、マトリックス表を表示部に表示させて、画面ロックを解除するためのパスワードをタッチパネル等の入力部を介してユーザから受け付けることとしてもよい。
【符号の説明】
【0070】
S、SA 認証システム
1、1A 認証装置
2 ユーザ端末
11 記憶部
12 制御部
111 認証DB
121 認証要求受付部
122 セッション生成部
123、123A 変換表生成部
124、124A 変換表送信部
125、125A 文字列受信部
126 パスワード特定部
127、127A パスワード変換部
128 認証部
【技術分野】
【0001】
本発明は、認証装置及び認証方法に関する。
【背景技術】
【0002】
従来、ユーザが使用するユーザ端末とサーバとの間においてワンタイムパスワードで認証を行う方法が提案されている。例えば、認証カードを用いて認証を行う方法が特許文献1において提案されている。すなわち、特許文献1では、ユーザが、ランダムに記号が配置されたマトリックス表が表示された認証カードを所持しており、ユーザが、サーバに対して認証を行う場合、サーバから認証カードにおける所定位置を指定されたことに応じて、ユーザ端末を介して、所定位置に対応する記号をサーバに送信する。そして、特許文献1では、サーバが、ユーザ端末から受信した記号と、ユーザが所持している認証カードの所定位置に表示されている記号とが一致するか比較してユーザ認証を行う。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開平9−305541号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、特許文献1に記載の方法では、ユーザが、認証カードを使用して認証を行うため、認証カードを紛失すると認証することができないといった問題がある。また、ユーザが外出先で認証を行う場合、ユーザは、認証カードを持ち歩くことを忘れないようにする必要がある。このため、ユーザは、認証カードの所在について常に管理する必要があり、ユーザにとって負担となる。また、認証カードを複写されたりすると、第三者が認証可能になるというセキュリティ上の問題もある。
【0005】
本発明は、セキュリティに係るリスクを軽減することができる認証装置及び認証方法を提供することを目的とする。
【課題を解決するための手段】
【0006】
本発明に係る認証装置は、ユーザの識別情報と、前記ユーザのパスワードとを関連付けた情報である認証情報を予め記憶する認証情報記憶手段と、ユーザ端末に、前記パスワードに使用可能な全ての文字をランダムな文字に変換するための変換表を送信する変換表送信手段と、前記ユーザ端末から、前記ユーザの識別情報と、前記変換表に基づいて前記パスワードから変換された文字列とを受信する文字列受信手段と、前記認証情報記憶手段に記憶されている認証情報に基づいて、前記文字列受信手段により受信した前記ユーザの識別情報に対応するパスワードを特定するパスワード特定手段と、前記変換表送信手段により送信された変換表と同一の変換表に基づいて、前記パスワード特定手段により特定されたパスワードを変換するパスワード変換手段と、前記文字列受信手段により受信した文字列と、前記パスワード変換手段により変換された文字列とを対比して前記ユーザ端末を使用するユーザの認証を行う認証手段と、を備える。
【0007】
また、上記認証装置は、ユーザ端末から認証要求を受け付ける認証要求受付手段を更に備え、前記変換表送信手段は、前記認証要求受付手段により前記認証要求を受け付けたことに応じて、前記認証要求を行ったユーザ端末に前記変換表を送信することが好ましい。
【0008】
また、上記認証装置は、前記変換表を生成する変換表生成手段を更に備え、前記変換表送信手段は、前記認証要求受付手段により前記認証要求を受け付けたことに応じて、前記認証要求を行ったユーザ端末に、前記変換表生成手段によって最も新しく生成された変換表を送信することが好ましい。
【0009】
また、上記認証装置では、前記変換表生成手段は、所定時間間隔で変換表を生成することが好ましい。
【0010】
また、上記認証装置では、前記変換表生成手段は、前記認証要求受付手段により前記認証要求を受け付けたことに応じて変換表を生成することが好ましい。
【0011】
また、上記認証装置は、前記認証要求受付手段により前記認証要求を受け付けたことに応じて、セッション情報を生成するセッション情報生成手段と、前記セッション情報と前記変換表とを関連付けて関連情報として記憶する関連情報記憶手段と、を更に備え、前記変換表送信手段は、前記認証要求受付手段により前記認証要求を受け付けたことに応じて、前記認証要求を行ったユーザ端末に、前記セッション情報生成手段により生成されたセッション情報と、前記変換表生成手段により生成された前記変換表とを送信し、前記文字列受信手段は、前記ユーザ端末から、前記セッション情報と、前記ユーザの識別情報と、前記変換表に基づいて前記パスワードから変換された文字列とを受信し、前記パスワード変換手段は、前記文字列受信手段により受信された前記セッション情報に基づいて、前記関連情報記憶手段に記憶されている関連情報から、前記変換表送信手段により送信された変換表と同一の変換表を特定し、特定された同一の変換表に基づいて、前記パスワード特定手段により特定されたパスワードを変換することが好ましい。
【0012】
また、上記認証装置では、前記変換表生成手段は、前記変換表と、前記変換表の識別情報を生成し、前記変換表送信手段は、前記認証要求受付手段により前記認証要求を受け付けたことに応じて、前記認証要求を行ったユーザ端末に、前記変換表生成手段により生成された前記変換表と、前記変換表の識別情報とを送信し、前記文字列受信手段は、前記ユーザ端末から、前記変換表の識別情報と、前記ユーザの識別情報と、前記変換表に基づいて前記パスワードから変換された文字列とを受信する文字列受信手段とを受信し、前記パスワード変換手段は、前記文字列受信手段により受信された前記変換表の識別情報に基づいて、前記変換表送信手段により送信された変換表と同一の変換表を特定し、特定された同一の変換表に基づいて、前記パスワード特定手段により特定されたパスワードを変換することが好ましい。
【0013】
また、上記認証装置では、前記変換表は、母音と子音とを行列とし、仮名文字それぞれに対応するマトリックス表を含むことが好ましい。
【0014】
また、本発明に係る認証方法は、ユーザ端末と通信可能に接続されたコンピュータが、前記ユーザ端末を使用するユーザの認証を行う認証方法であって、前記コンピュータは、ユーザの識別情報と、前記ユーザのパスワードとを関連付けた認証情報を予め記憶する認証情報記憶手段を備え、前記認証方法は、ユーザ端末から認証要求を受け付ける認証要求受付ステップと、前記認証要求受付ステップにおいて前記認証要求を受け付けたことに応じて、前記認証要求を行ったユーザ端末に、前記パスワードに使用可能な全ての文字をランダムな文字に変換するための変換表を送信する変換表送信ステップと、前記変換表送信ステップにおいて変換表が送信された前記ユーザ端末から、前記ユーザの識別情報と、前記変換表に基づいて前記パスワードから変換された文字列とを受信する文字列受信ステップと、前記認証情報記憶手段に記憶されている認証情報に基づいて、前記文字列受信ステップにおいて受信した前記ユーザの識別情報に対応するパスワードを特定するパスワード特定ステップと、前記変換表送信ステップにおいて送信された変換表と同一の変換表に基づいて、前記パスワード特定ステップにおいて特定されたパスワードを変換するパスワード変換ステップと、前記文字列受信ステップにおいて受信した文字列と、前記パスワード変換ステップにおいて変換された文字列とを対比して前記ユーザ端末を使用するユーザの認証を行う認証ステップと、を含む。
【発明の効果】
【0015】
本発明によれば、セキュリティに係るリスクを軽減することができる。
【図面の簡単な説明】
【0016】
【図1】第1実施形態に係る認証システムの機能構成を示すブロック図である。
【図2】第1実施形態に係る認証DBを示す図である。
【図3】第1実施形態に係る変換表を示す図である。
【図4】第1実施形態に係る認証受付ページの一例を示す図である。
【図5】第1実施形態に係る認証装置における処理の流れを示すフローチャートである。
【図6】第2実施形態に係る認証システムの機能構成を示すブロック図である。
【図7】第2実施形態に係る認証装置における処理の流れを示すフローチャートである。
【発明を実施するための形態】
【0017】
以下、本発明の実施形態について図面に基づいて説明する。
【0018】
[第1実施形態]
図1は、第1実施形態に係る認証システムSの機能構成を示すブロック図である。
認証システムSは、認証装置1と、認証装置1に通信ネットワークNを介して通信可能接続された複数のユーザ端末2とを備える。認証システムSでは、認証装置1が、Web上で、ユーザ端末2からの認証要求を受け付ける認証ページを公開しており、複数のユーザ端末2それぞれから、この認証ページにアクセスされた(認証要求を受け付けた)ことに応じて、ユーザ端末のユーザの認証を行う。
【0019】
認証装置1は、記憶部11と、制御部12とを備えるサーバ(コンピュータ)である。
記憶部11は、メモリ及びハードディスク等により構成され、認証装置1として機能させるための各種プログラム(図示省略)を記憶する。また、記憶部11は、認証情報記憶手段としての認証データベース(以下、データベースをDBという)111と、関連情報記憶手段としての関連情報DB112とを記憶する。また、記憶部11は、関連情報記憶手段として機能し、後述のセッション情報と、後述の変換表とを関連付けて一時的に記憶する。ここで、記憶部11は、変換表を、例えば配列変数として記憶する。
【0020】
図2は、第1実施形態に係る認証DB111を示す図である。
認証DB111は、ユーザの識別情報であるユーザIDと、ユーザのパスワードとを関連付けた情報である認証情報を記憶する。パスワードは、仮名文字、英数字及び記号の少なくともいずれかを組み合わせることにより構成される文字列である。
なお、本実施形態では、認証DB111は、ユーザIDに対応するパスワードを1つのみ設けることとしたが、これに限らず、例えば、曜日ごとにパスワードを設けることとしてもよい。この場合、後述のパスワード特定部126において、認証している時点の曜日に対応するパスワードが参照される。
【0021】
図2に戻り制御部12は、認証装置1に係る機能を統括的に制御する部分であり、CPU(Central Processing Unit)等により構成される。制御部12は、認証要求受付手段としての認証要求受付部121と、セッション情報生成手段としてのセッション生成部122と、変換表生成手段としての変換表生成部123と、変換表送信手段としての変換表送信部124と、文字列受信手段としての文字列受信部125と、パスワード特定手段としてのパスワード特定部126と、パスワード変換手段としてのパスワード変換部127と、認証手段としての認証部128とを備える。
【0022】
認証要求受付部121は、ユーザ端末2から、このユーザ端末2を利用しているユーザが正当なユーザであることの確認を行うための認証要求を受け付ける。認証要求受付部121は、ユーザ端末2から、認証装置1がWeb上に公開している認証ページに対するリクエストを受け付けることにより、認証要求を受け付ける。なお、第1実施形態では、認証装置1は、ユーザ端末2から認証要求を受け付けた後のユーザ端末2との各種情報の送受信は、HTTPS(Hypertext Transfer Protocol over Secure Socket Layer)等の技術等により暗号化された状態で行われる。
【0023】
セッション生成部122は、認証要求受付部121によりユーザ端末2から認証要求を受け付けたことに応じて、セッション情報としてのセッションIDを生成する。
【0024】
変換表生成部123は、パスワードに使用可能な全ての文字をランダムな文字に変換するための変換表を生成する。具体的には、変換表生成部123は、認証要求受付部121によりユーザ端末2から認証要求を受け付けたことに応じて、変換表を生成する。
【0025】
図3は、第1実施形態に係る変換表の一例を示す図である。図3(1)は、パスワードとして使用可能な仮名文字に対応する変換表である。図3(1)に示されるように、仮名文字に対応する変換表は、母音(あ、か、さ、・・・、わ)を行、子音に対応する数字(1、2、3、4、5)を列とし、仮名文字それぞれに対応するマトリックス表である。例えば、パスワードが「ひろしまし」である場合、このパスワードは、図3(1)に示されるマトリックス表に基づいて「6gw3w」に変換される。
なお、この変換表における乱数は、図3(1)に示される「な」に対応する乱数と、「た」に対応する乱数が等しいように、それぞれの文字に一対一に対応する乱数としなくてもよい。また、この変換表における乱数は、数字に限らず、英字、仮名文字、記号等を含むものとする。
【0026】
図3(2)は、a〜zの26個の英字に対応する変換表である。例えば、パスワードが「flower」である場合、このパスワードは、図3(2)に示される変換表に基づいて「6tf05g」に変換される。
【0027】
変換表生成部123は、図3(1)及び(2)に示される変換表の他、不図示の数字及び記号に対応する変換表を生成する。なお、変換表生成部123は、所定時間間隔(例えば、1秒おき)に変換表を生成するようにしてもよい。また、変換表生成部123は、変換表を生成する場合に、変換表の行の並び及び列の並びの少なくともいずれかを並び替えるようにしてもよい。
【0028】
また、変換表生成部123は、生成された変換表と、セッション生成部122により生成されたセッションIDとを関連付けて関連情報として記憶部11に記憶させる。
また、変換表生成部123は、生成された変換表と、セッション生成部122により生成されたセッションIDとを含み、ユーザ端末2を使用するユーザから、ユーザIDと、変換表により変換された文字列と、を受け付ける認証受付ページを生成する。
【0029】
図4は、第1実施形態に係る認証受付ページの一例を示す図である。
図4に示されるように、認証受付ページPには、ユーザIDを入力するID入力欄L1、変換表にしたがって変換されたパスワードを入力するパスワード入力欄L2、認証ボタンB1、平仮名の変換表とカタカナの変換表を切り替えるための変換ボタンB2と、変換表が設けられている。この認証受付ページPにより、ユーザ端末2における認証情報の入力が受け付けられる。この認証受付ページPでは、変換表の乱数部分がマウス等を介してクリックされると、パスワード入力欄L2に対して、クリックされた位置に対応する乱数が入力される。
【0030】
図2に戻り、変換表送信部124は、認証要求受付部121により認証要求を受け付けたことに応じて、当該認証要求を送信したユーザ端末2に、変換表生成部123によって最も新しく生成された変換表と、セッション生成部122により生成されたセッションIDを送信する。具体的には、変換表送信部124は、ユーザ端末2に、変換表生成部123によって生成された認証受付ページを送信する。
【0031】
文字列受信部125は、変換表送信部124により変換表が送信されたユーザ端末2から、ユーザIDと、変換表に基づいてパスワードから変換された文字列とを受信する。具体的には、文字列受信部125は、変換表送信部124によって送信された認証受付ページにおいて受け付けられたユーザIDと文字列とを受信する。
また、文字列受信部125は、ユーザ端末2から、これらユーザID及び文字列を受信すると共に、変換表送信部124において変換表と共に送信されたセッションIDを受信する。
【0032】
パスワード特定部126は、認証DB111に記憶されている認証情報に基づいて、文字列受信部125により受信したユーザIDに対応するパスワードを特定する。具体的には、パスワード特定部126は、文字列受信部125によりユーザID、文字列及びセッションIDを受信したことに応じて、認証DB111に記憶されている認証情報から、受信したユーザIDに対応するパスワードを抽出する。なお、パスワード特定部126は、受信したユーザIDが認証DB111に記憶されておらず、パスワードを抽出できなかった場合、ユーザIDが見つからない旨を示す情報を認証部128に出力する。
【0033】
パスワード変換部127は、変換表送信部124により送信された変換表と同一の変換表に基づいて、パスワード特定部126により特定されたパスワードを変換する。具体的には、パスワード変換部127は、文字列受信部125により受信されたセッションIDに基づいて、記憶部11に記憶されている関連情報から、受信されたセッションIDに対応する変換表を特定することで、変換表送信部124により送信された変換表と同一の変換表を特定する。続いて、パスワード変換部127は、特定された同一の変換表に基づいて、パスワード特定部126により特定されたパスワードを変換する。
【0034】
なお、第1実施形態において、変換表送信部124により送信された変換表と同一の変換表とは、変換表送信部124により送信された変換表と同一の情報を有する変換表であり、変換表送信部124により送信された変換表そのものを示すものではない。
【0035】
認証部128は、文字列受信部125により受信された文字列と、パスワード変換部127により変換された文字列とを対比してユーザ端末2を使用するユーザが正当なユーザであるか否かの認証を行う。具体的には、認証部128は、文字列受信部125により受信された文字列と、パスワード変換部127により変換された文字列とを対比して一致した場合、認証が成功したものとし、一致しない場合、認証が失敗したものとする。また、認証部128は、パスワード特定部126からユーザIDが見つからない旨を示す情報が入力された場合、認証が失敗したものとする。
【0036】
例えば、変換表送信部124により送信された仮名文字に対応する変換表が図3(1)に示すものであり、文字列受信部125により受信された文字列が「6gw3w」、ユーザIDが「user1」であり、パスワード特定部126により特定されたパスワードが「ひろしまし」であるものとする。この場合、パスワード変換部127により、変換表送信部124により送信された図3(1)に示す変換表と同一の変換表に基づいて、パスワード「ひろしまし」が、「6gw3w」に変換される。そして、認証部128は、文字列受信部125により受信された文字列と、パスワード変換部127により変換された文字列とを対比した結果、一致するので、ユーザIDが「user1」の認証が成功したものとする。
【0037】
ユーザ端末2は、固定型のPCや、ノートPC、携帯電話機、スマートフォン及び携帯ゲーム等の携帯端末である。ユーザ端末2は、図示は省略するが、ユーザからの操作を受け付ける入力部、ユーザ端末2の機能に係る情報や、上述の認証受付ページを表示する表示部、メモリ及びハードディスク等により構成されユーザ端末2として機能させるための各種プログラムを記憶する記憶部、及びユーザ端末2に係る機能を統括的に制御する部分であり、CPU等により構成される制御部とを備える。
【0038】
ユーザ端末2は、入力部を介してユーザから所定の操作を受け付けたことに応じて、認証装置1に対して認証要求を送信する。また、ユーザ端末2は、図4に示される認証装置1から認証受付ページPを受信したことに応じて、ユーザから、入力部を介してユーザIDと、変換表に基づいて変換されたパスワードの入力を受け付ける。そして、図4に示される認証受付ページPのID入力欄L1と、パスワード入力欄L2とのそれぞれに対してIDの入力と変換後のパスワードが入力された状態で、入力部を介して認証ボタンB1の押下操作が受け付けられると、ユーザ端末2は、ID入力欄L1と、パスワード入力欄L2とのそれぞれに対して入力されたユーザIDと変換後のパスワードとを認証装置1に送信する。
【0039】
続いて、認証装置1の処理の流れについて説明する。図5は、第1実施形態に係る認証装置1に係る処理の流れを示すフローチャートである。
【0040】
ステップS1において、制御部12(認証要求受付部121)は、ユーザ端末2からの認証要求を受け付ける。
ステップS2において、制御部12(セッション生成部122)は、ステップS1において認証要求を受け付けたことに応じて、セッションIDを生成する。
【0041】
ステップS3において、制御部12(変換表生成部123)は、ステップS1において認証要求を受け付けたことに応じて、変換表を生成する。
ステップS4において、制御部12(変換表生成部123)は、ステップS3において生成された変換表と、ステップS2において生成されたセッションIDとを関連付けて関連情報として記憶部11に記憶させると共に、これら変換表及びセッションIDを含む認証受付ページを生成する。
【0042】
ステップS5において、制御部12(変換表送信部124)は、ステップS4において生成された認証受付ページを送信する。
ステップS6において、制御部12(文字列受信部125)は、ステップS5において送信された認証受付ページにより受け付けられたユーザIDと、変換表に基づいてパスワードから変換された文字列と、セッションIDとを受信する。
【0043】
ステップS7において、制御部12(パスワード特定部126)は、認証DB111に記憶されている認証情報に基づいて、ステップS6において受信したユーザIDに対応するパスワードを特定する。
ステップS8において、制御部12(パスワード変換部127)は、ステップS5においてユーザ端末2に送信された変換表と同一の変換表に基づいて、ステップS7において特定されたパスワードを変換する。
【0044】
ステップS9において、制御部12(認証部128)は、ステップS6において受信した文字列と、ステップS8において変換された文字列とを対比して認証を行う。
【0045】
以上、第1実施形態によれば、認証装置1は、変換表送信部124により、ユーザ端末2に、パスワードに使用可能な全ての文字をランダムな文字に変換するための変換表を送信する。そして、認証装置1は、文字列受信部125により、ユーザ端末2から、ユーザIDと、変換表に基づいて前記パスワードから変換された文字列とを受信し、パスワード特定部126により、認証DB111に記憶されている認証情報に基づいて、文字列受信部125により受信したユーザIDに対応するパスワードを特定する。そして、認証装置1は、パスワード変換部127により、変換表送信部124により送信された変換表と同一の変換表に基づいて、パスワード特定部126により特定されたパスワードを変換し、認証部128により、文字列受信部125により受信した文字列と、パスワード変換部127により変換された文字列とを対比してユーザ端末2を使用するユーザの認証を行う。
【0046】
このように、認証装置1では、ユーザ端末2に変換表を送信し、ユーザ端末2から、この変換表に基づいて変換されたパスワードを受信するので、ユーザ端末2では、認証を行う場合に、マトリックス表が表示されたカードを必要とすることなくパスワードを変換することができる。また、パスワードは、変換表に基づいて、ランダムな文字に変換されているので、認証装置1に送信する際に第三者が盗聴したとしても、変換前のパスワードを把握することは困難である。よって、認証装置1は、セキュリティに係るリスクを軽減することができる。
【0047】
また、認証装置1では、変換表送信部124により、認証要求受付部121により認証要求を受け付けたことに応じて、認証要求を行ったユーザ端末2に変換表を送信するので、認証要求に合わせて変換表を送信することができる。
【0048】
また、認証装置1では、変換表送信部124により、認証要求受付部121により認証要求を受け付けたことに応じて、認証要求を行ったユーザ端末2に、変換表生成部123によって最も新しく生成された変換表を送信する。よって、認証装置1では、最新の変換表に基づいて認証を行うことができる。
【0049】
また、認証装置1では、変換表生成部123により、所定時間間隔で変換表を生成するので、変換表をユーザ端末2に送信するための変換表を常に異なるものとすることができ、セキュリティを向上させることができる。
【0050】
また、認証装置1では、変換表生成部123により、認証要求受付部121により認証要求を受け付けたことに応じて変換表を生成するので、生成された直後の変換表をユーザ端末2に送信することができる。よって、変換表が生成されてからユーザ端末2に送信されるまでに不正アクセスによって変換表が閲覧される可能性を低減することができる。
【0051】
また、認証装置1では、認証要求受付部121により認証要求を受け付けたことに応じて、セッション生成部122によりセッションIDを生成し、記憶部11によりセッションIDと変換表とを関連付けて関連情報として記憶する。続いて、認証装置1では、変換表送信部124により、認証要求受付部121により認証要求を受け付けたことに応じて、認証要求を行ったユーザ端末2に、生成されたセッションIDと、生成された変換表とを送信し、文字列受信部125により、ユーザ端末2から、セッションIDと、ユーザIDと、文字列とを受信する。続いて、認証装置1では、パスワード変換部127により、文字列受信部125により受信されたセッションIDに基づいて、記憶部11に記憶されている関連情報から、変換表送信部124により送信された変換表と同一の変換表を特定し、特定された同一の変換表に基づいて、パスワード特定部126により特定されたパスワードを変換する。
【0052】
このようにすることで、認証装置1では、セッションIDに基づいて、ユーザ端末2に送信した変換表と同一の変換表を特定し、認証を行うことができる。
【0053】
また、変換表における乱数は、それぞれの文字に一対一に対応する乱数としなくてもよいので、変換表及び変換後文字列が盗聴された場合、又はショルダーハッキングされた場合であっても、パスワードが完全に特定されるのを防止することができる。
【0054】
[第2実施形態]
図6は、本発明の第2実施形態に係る認証システムSAの機能構成を示す図である。
本実施形態では、認証装置1Aの変換表生成部、変換表送信部、文字列受信部、及びパスワード変換部の構成が第1実施形態と異なり、その他の構成は、第1実施形態と同様である。
【0055】
認証装置1Aの制御部12Aは、認証要求受付部121と、変換表生成部123Aと、変換表送信部124Aと、文字列受信部125Aと、パスワード特定部126と、パスワード変換部127Aと、認証部128とを備える。以下、第1実施形態と異なる部分について説明し、第1実施形態と同一の符号を付した構成については説明を省略する。
【0056】
変換表生成部123Aは、認証要求受付部121によりユーザ端末2から認証要求を受け付けたことに応じて、変換表と、この変換表の識別情報である変換表IDを生成する。
また、変換表生成部123Aは、生成された変換表と変換表IDとを関連付けて記憶部11に記憶させる。
また、変換表生成部123Aは、生成された変換表と、変換表IDとを含み、ユーザ端末2を使用するユーザから、ユーザIDと、変換表により変換された文字列と、を受け付ける認証受付ページを生成する。
【0057】
変換表送信部124Aは、認証要求受付部121により認証要求を受け付けたことに応じて、認証要求を行ったユーザ端末2に、変換表生成部123Aにより生成された変換表と、変換表IDとを送信する。具体的には、変換表送信部124Aは、変換表生成部123Aにより生成された認証受付ページを送信する。
【0058】
文字列受信部125Aは、変換表送信部124Aにより認証受付ページが送信されたユーザ端末2から、変換表IDと、ユーザIDと、変換表に基づいてパスワードから変換された文字列を受信する。
【0059】
パスワード変換部127Aは、文字列受信部125Aにより受信された変換表IDに基づいて、記憶部11に記憶されている変換表送信部124Aにより送信された変換表と同一の変換表を特定し、特定された同一の変換表に基づいて、パスワード特定部126により特定されたパスワードを変換する。
【0060】
続いて、認証装置1Aの処理の流れについて説明する。図7は、第2実施形態に係る認証装置1Aに係る処理の流れを示すフローチャートである。
【0061】
ステップS11において、制御部12A(認証要求受付部121)は、ユーザ端末2からの認証要求を受け付ける。
【0062】
ステップS12において、制御部12A(変換表生成部123A)は、ステップS11において認証要求を受け付けたことに応じて、変換表と変換表IDを生成する。
ステップS13において、制御部12A(変換表生成部123A)は、ステップS12において生成された変換表と、変換表IDとを関連付けて記憶部11に記憶させると共に、これら変換表及び変換表IDを含む認証受付ページを生成する。
【0063】
ステップS14において、制御部12A(変換表送信部124A)は、ステップS13において生成された認証受付ページを送信する。
ステップS15において、制御部12A(文字列受信部125A)は、ステップS14において送信された認証受付ページにより受け付けられたユーザIDと、変換表に基づいてパスワードから変換された文字列と、変換表IDとを受信する。
【0064】
ステップS16において、制御部12A(パスワード特定部126)は、認証DB111に記憶されている認証情報に基づいて、ステップS15において受信したユーザIDに対応するパスワードを特定する。
ステップS17において、制御部12A(パスワード変換部127A)は、ステップS14においてユーザ端末2に送信された認証受付ページに含まれる変換表と同一の変換表に基づいて、ステップS16において特定されたパスワードを変換する。
【0065】
ステップS18において、制御部12A(認証部128)は、ステップS15において受信した文字列と、ステップS17において変換された文字列とを対比して認証を行う。
【0066】
以上、第2実施形態によれば、認証装置1Aでは、変換表生成部123Aにより変換表と変換表のIDを生成し、変換表送信部124Aにより、認証要求受付部121により認証要求を受け付けたことに応じて、認証要求を行ったユーザ端末2に、変換表生成部123Aにより生成された変換表と変換表IDとを送信する。続いて、認証装置1Aでは、文字列受信部125Aにより、ユーザ端末2から、変換表IDと、ユーザIDと、変換表に基づいてパスワードから変換された文字列とを受信する。また、認証装置1Aは、パスワード変換部127Aにより、文字列受信部125Aにより受信された変換表IDに基づいて、変換表送信部124Aにより送信された変換表と同一の変換表を特定し、特定された同一の変換表に基づいて、パスワード特定部126により特定されたパスワードを変換する。
【0067】
このようにすることで、認証装置1Aでは、セッション管理を行うことなく、変換表IDに基づいて、ユーザ端末2に送信した変換表と同一の変換表を特定し、認証を行うことができる。
【0068】
以上、本発明の実施形態について説明したが、本発明は第1実施形態に限定されるものではなく、本発明の目的を達成できる範囲での変形、改良等は本発明に含まれるものである。
【0069】
例えば、第1実施形態では、認証装置1は、ユーザ端末2から認証要求を受け付けた場合に、ユーザ端末2に対して変換表を送信し、ユーザ端末2において変換表に基づいてパスワードを変換することとしたが、これに限らない。例えば、ユーザ端末2(例えば、スマートフォン等の携帯端末)において、認証装置1の変換表生成部123、パスワード特定部126、パスワード変換部127及び認証部128と同等の機能を設けるようにしてもよい。そして、ユーザ端末2の制御部により、画面ロックを解除する場合に、マトリックス表を表示部に表示させて、画面ロックを解除するためのパスワードをタッチパネル等の入力部を介してユーザから受け付けることとしてもよい。
【符号の説明】
【0070】
S、SA 認証システム
1、1A 認証装置
2 ユーザ端末
11 記憶部
12 制御部
111 認証DB
121 認証要求受付部
122 セッション生成部
123、123A 変換表生成部
124、124A 変換表送信部
125、125A 文字列受信部
126 パスワード特定部
127、127A パスワード変換部
128 認証部
【特許請求の範囲】
【請求項1】
ユーザの識別情報と、前記ユーザのパスワードとを関連付けた情報である認証情報を予め記憶する認証情報記憶手段と、
ユーザ端末に、前記パスワードに使用可能な全ての文字をランダムな文字に変換するための変換表を送信する変換表送信手段と、
前記ユーザ端末から、前記ユーザの識別情報と、前記変換表に基づいて前記パスワードから変換された文字列とを受信する文字列受信手段と、
前記認証情報記憶手段に記憶されている認証情報に基づいて、前記文字列受信手段により受信した前記ユーザの識別情報に対応するパスワードを特定するパスワード特定手段と、
前記変換表送信手段により送信された変換表と同一の変換表に基づいて、前記パスワード特定手段により特定されたパスワードを変換するパスワード変換手段と、
前記文字列受信手段により受信した文字列と、前記パスワード変換手段により変換された文字列とを対比して前記ユーザ端末を使用するユーザの認証を行う認証手段と、
を備える認証装置。
【請求項2】
ユーザ端末から認証要求を受け付ける認証要求受付手段を更に備え、
前記変換表送信手段は、前記認証要求受付手段により前記認証要求を受け付けたことに応じて、前記認証要求を行ったユーザ端末に前記変換表を送信する、
請求項1に記載の認証装置。
【請求項3】
前記変換表を生成する変換表生成手段を更に備え、
前記変換表送信手段は、前記認証要求受付手段により前記認証要求を受け付けたことに応じて、前記認証要求を行ったユーザ端末に、前記変換表生成手段によって最も新しく生成された変換表を送信する、
請求項2に記載の認証装置。
【請求項4】
前記変換表生成手段は、所定時間間隔で変換表を生成する、
請求項3に記載の認証装置。
【請求項5】
前記変換表生成手段は、前記認証要求受付手段により前記認証要求を受け付けたことに応じて変換表を生成する、
請求項3に記載の認証装置。
【請求項6】
前記認証要求受付手段により前記認証要求を受け付けたことに応じて、セッション情報を生成するセッション情報生成手段と、
前記セッション情報と前記変換表とを関連付けて関連情報として記憶する関連情報記憶手段と、を更に備え、
前記変換表送信手段は、前記認証要求受付手段により前記認証要求を受け付けたことに応じて、前記認証要求を行ったユーザ端末に、前記セッション情報生成手段により生成されたセッション情報と、前記変換表生成手段により生成された前記変換表とを送信し、
前記文字列受信手段は、前記ユーザ端末から、前記セッション情報と、前記ユーザの識別情報と、前記変換表に基づいて前記パスワードから変換された文字列とを受信し、
前記パスワード変換手段は、前記文字列受信手段により受信された前記セッション情報に基づいて、前記関連情報記憶手段に記憶されている関連情報から、前記変換表送信手段により送信された変換表と同一の変換表を特定し、特定された同一の変換表に基づいて、前記パスワード特定手段により特定されたパスワードを変換する、
請求項3から5のいずれか1項に記載の認証装置。
【請求項7】
前記変換表生成手段は、前記変換表と、前記変換表の識別情報を生成し、
前記変換表送信手段は、前記認証要求受付手段により前記認証要求を受け付けたことに応じて、前記認証要求を行ったユーザ端末に、前記変換表生成手段により生成された前記変換表と、前記変換表の識別情報とを送信し、
前記文字列受信手段は、前記ユーザ端末から、前記変換表の識別情報と、前記ユーザの識別情報と、前記変換表に基づいて前記パスワードから変換された文字列とを受信する文字列受信手段とを受信し、
前記パスワード変換手段は、前記文字列受信手段により受信された前記変換表の識別情報に基づいて、前記変換表送信手段により送信された変換表と同一の変換表を特定し、特定された同一の変換表に基づいて、前記パスワード特定手段により特定されたパスワードを変換する、
請求項3から5のいずれか1項に記載の認証装置。
【請求項8】
前記変換表は、母音と子音とを行列とし、仮名文字それぞれに対応するマトリックス表を含む、
請求項1から7のいずれか1項に記載の認証装置。
【請求項9】
ユーザ端末と通信可能に接続されたコンピュータが、前記ユーザ端末を使用するユーザの認証を行う認証方法であって、
前記コンピュータは、ユーザの識別情報と、前記ユーザのパスワードとを関連付けた認証情報を予め記憶する認証情報記憶手段を備え、
前記認証方法は、
ユーザ端末から認証要求を受け付ける認証要求受付ステップと、
前記認証要求受付ステップにおいて前記認証要求を受け付けたことに応じて、前記認証要求を行ったユーザ端末に、前記パスワードに使用可能な全ての文字をランダムな文字に変換するための変換表を送信する変換表送信ステップと、
前記変換表送信ステップにおいて変換表が送信された前記ユーザ端末から、前記ユーザの識別情報と、前記変換表に基づいて前記パスワードから変換された文字列とを受信する文字列受信ステップと、
前記認証情報記憶手段に記憶されている認証情報に基づいて、前記文字列受信ステップにおいて受信した前記ユーザの識別情報に対応するパスワードを特定するパスワード特定ステップと、
前記変換表送信ステップにおいて送信された変換表と同一の変換表に基づいて、前記パスワード特定ステップにおいて特定されたパスワードを変換するパスワード変換ステップと、
前記文字列受信ステップにおいて受信した文字列と、前記パスワード変換ステップにおいて変換された文字列とを対比して前記ユーザ端末を使用するユーザの認証を行う認証ステップと、
を含む認証方法。
【請求項1】
ユーザの識別情報と、前記ユーザのパスワードとを関連付けた情報である認証情報を予め記憶する認証情報記憶手段と、
ユーザ端末に、前記パスワードに使用可能な全ての文字をランダムな文字に変換するための変換表を送信する変換表送信手段と、
前記ユーザ端末から、前記ユーザの識別情報と、前記変換表に基づいて前記パスワードから変換された文字列とを受信する文字列受信手段と、
前記認証情報記憶手段に記憶されている認証情報に基づいて、前記文字列受信手段により受信した前記ユーザの識別情報に対応するパスワードを特定するパスワード特定手段と、
前記変換表送信手段により送信された変換表と同一の変換表に基づいて、前記パスワード特定手段により特定されたパスワードを変換するパスワード変換手段と、
前記文字列受信手段により受信した文字列と、前記パスワード変換手段により変換された文字列とを対比して前記ユーザ端末を使用するユーザの認証を行う認証手段と、
を備える認証装置。
【請求項2】
ユーザ端末から認証要求を受け付ける認証要求受付手段を更に備え、
前記変換表送信手段は、前記認証要求受付手段により前記認証要求を受け付けたことに応じて、前記認証要求を行ったユーザ端末に前記変換表を送信する、
請求項1に記載の認証装置。
【請求項3】
前記変換表を生成する変換表生成手段を更に備え、
前記変換表送信手段は、前記認証要求受付手段により前記認証要求を受け付けたことに応じて、前記認証要求を行ったユーザ端末に、前記変換表生成手段によって最も新しく生成された変換表を送信する、
請求項2に記載の認証装置。
【請求項4】
前記変換表生成手段は、所定時間間隔で変換表を生成する、
請求項3に記載の認証装置。
【請求項5】
前記変換表生成手段は、前記認証要求受付手段により前記認証要求を受け付けたことに応じて変換表を生成する、
請求項3に記載の認証装置。
【請求項6】
前記認証要求受付手段により前記認証要求を受け付けたことに応じて、セッション情報を生成するセッション情報生成手段と、
前記セッション情報と前記変換表とを関連付けて関連情報として記憶する関連情報記憶手段と、を更に備え、
前記変換表送信手段は、前記認証要求受付手段により前記認証要求を受け付けたことに応じて、前記認証要求を行ったユーザ端末に、前記セッション情報生成手段により生成されたセッション情報と、前記変換表生成手段により生成された前記変換表とを送信し、
前記文字列受信手段は、前記ユーザ端末から、前記セッション情報と、前記ユーザの識別情報と、前記変換表に基づいて前記パスワードから変換された文字列とを受信し、
前記パスワード変換手段は、前記文字列受信手段により受信された前記セッション情報に基づいて、前記関連情報記憶手段に記憶されている関連情報から、前記変換表送信手段により送信された変換表と同一の変換表を特定し、特定された同一の変換表に基づいて、前記パスワード特定手段により特定されたパスワードを変換する、
請求項3から5のいずれか1項に記載の認証装置。
【請求項7】
前記変換表生成手段は、前記変換表と、前記変換表の識別情報を生成し、
前記変換表送信手段は、前記認証要求受付手段により前記認証要求を受け付けたことに応じて、前記認証要求を行ったユーザ端末に、前記変換表生成手段により生成された前記変換表と、前記変換表の識別情報とを送信し、
前記文字列受信手段は、前記ユーザ端末から、前記変換表の識別情報と、前記ユーザの識別情報と、前記変換表に基づいて前記パスワードから変換された文字列とを受信する文字列受信手段とを受信し、
前記パスワード変換手段は、前記文字列受信手段により受信された前記変換表の識別情報に基づいて、前記変換表送信手段により送信された変換表と同一の変換表を特定し、特定された同一の変換表に基づいて、前記パスワード特定手段により特定されたパスワードを変換する、
請求項3から5のいずれか1項に記載の認証装置。
【請求項8】
前記変換表は、母音と子音とを行列とし、仮名文字それぞれに対応するマトリックス表を含む、
請求項1から7のいずれか1項に記載の認証装置。
【請求項9】
ユーザ端末と通信可能に接続されたコンピュータが、前記ユーザ端末を使用するユーザの認証を行う認証方法であって、
前記コンピュータは、ユーザの識別情報と、前記ユーザのパスワードとを関連付けた認証情報を予め記憶する認証情報記憶手段を備え、
前記認証方法は、
ユーザ端末から認証要求を受け付ける認証要求受付ステップと、
前記認証要求受付ステップにおいて前記認証要求を受け付けたことに応じて、前記認証要求を行ったユーザ端末に、前記パスワードに使用可能な全ての文字をランダムな文字に変換するための変換表を送信する変換表送信ステップと、
前記変換表送信ステップにおいて変換表が送信された前記ユーザ端末から、前記ユーザの識別情報と、前記変換表に基づいて前記パスワードから変換された文字列とを受信する文字列受信ステップと、
前記認証情報記憶手段に記憶されている認証情報に基づいて、前記文字列受信ステップにおいて受信した前記ユーザの識別情報に対応するパスワードを特定するパスワード特定ステップと、
前記変換表送信ステップにおいて送信された変換表と同一の変換表に基づいて、前記パスワード特定ステップにおいて特定されたパスワードを変換するパスワード変換ステップと、
前記文字列受信ステップにおいて受信した文字列と、前記パスワード変換ステップにおいて変換された文字列とを対比して前記ユーザ端末を使用するユーザの認証を行う認証ステップと、
を含む認証方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2013−97661(P2013−97661A)
【公開日】平成25年5月20日(2013.5.20)
【国際特許分類】
【出願番号】特願2011−241138(P2011−241138)
【出願日】平成23年11月2日(2011.11.2)
【出願人】(000211307)中国電力株式会社 (6,505)
【出願人】(503320061)株式会社エネルギア・コミュニケーションズ (92)
【公開日】平成25年5月20日(2013.5.20)
【国際特許分類】
【出願日】平成23年11月2日(2011.11.2)
【出願人】(000211307)中国電力株式会社 (6,505)
【出願人】(503320061)株式会社エネルギア・コミュニケーションズ (92)
[ Back to top ]