JP2014075033A - 認証装置、認証方法および認証プログラム - Google Patents
認証装置、認証方法および認証プログラム Download PDFInfo
- Publication number
- JP2014075033A JP2014075033A JP2012222191A JP2012222191A JP2014075033A JP 2014075033 A JP2014075033 A JP 2014075033A JP 2012222191 A JP2012222191 A JP 2012222191A JP 2012222191 A JP2012222191 A JP 2012222191A JP 2014075033 A JP2014075033 A JP 2014075033A
- Authority
- JP
- Japan
- Prior art keywords
- authentication
- matrix
- type
- character string
- character
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims description 15
- 239000011159 matrix material Substances 0.000 claims abstract description 134
- 238000006243 chemical reaction Methods 0.000 claims abstract description 8
- 238000000605 extraction Methods 0.000 claims description 9
- 238000010586 diagram Methods 0.000 description 10
- 230000006870 function Effects 0.000 description 9
- 239000000284 extract Substances 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 238000004519 manufacturing process Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Images
Abstract
【課題】より高いセキュリティを確保したユーザ認証を行う。
【解決手段】認証装置2であって、第1の種類の文字列の認証情報を記憶する記憶手段25と、第1の種類の文字と、第2の種類の文字の両方が設定されたセルを複数配置した認証マトリックスを生成し、生成した認証マトリックスを認証要求元の端末1に送信する生成手段21と、端末1から第2の種類の文字列を受信し、当該第2の種類の文字列の各文字を前記認証マトリックスを用いて第1の種類の文字に変換して、第1の種類の文字列を生成する変換手段22と、変換後の第1の文字列と、認証情報とが一致するか否かを認証する認証手段22と、を備える。
【選択図】図1
【解決手段】認証装置2であって、第1の種類の文字列の認証情報を記憶する記憶手段25と、第1の種類の文字と、第2の種類の文字の両方が設定されたセルを複数配置した認証マトリックスを生成し、生成した認証マトリックスを認証要求元の端末1に送信する生成手段21と、端末1から第2の種類の文字列を受信し、当該第2の種類の文字列の各文字を前記認証マトリックスを用いて第1の種類の文字に変換して、第1の種類の文字列を生成する変換手段22と、変換後の第1の文字列と、認証情報とが一致するか否かを認証する認証手段22と、を備える。
【選択図】図1
Description
本発明は、ネットワークを介してアクセスしたユーザを認証する認証装置、認証方法および認証プログラムに関する。
近年、フィッシング詐欺に代表される、インターネット上でのユーザID、パスワードなどの詐取・盗難(identity theft)が問題となっている。そのため、より高いセキュリティを確保し、ユーザの正当性を認証する技術が求められている。例えば、特許文献1には、携帯端末を用いてワンタイムパスワードを取得し、取得したワンタイムパスワードを用いてユーザ認証を行う認証システムが記載されている。
例えば銀行などのシステムでは、一般に、口座番号と4桁の暗証番号とを用いてユーザ認証を行っている。この場合、暗証番号が4桁のため、総当り攻撃や推定に弱いという問題がある。暗証番号の総当り攻撃に対しては、複数回ミスした場合、当該口座をロックしてアクセスできないようにすることで、総当り攻撃を防止する対策が採られている。
しかしながら、膨大な数の口座数が存在する場合、特定の口座を狙うのではなく、全ての口座を対象として、総当たり攻撃を仕掛けた場合、いずれかの口座の暗証番号は、容易に判明してしまうおそれがある。これにより、悪意のある第三者が、不正に取得した口座番号と暗証番号とを使用して、例えばネットバンキングサービスにログインし、不正な操作を行う可能性がある。
本発明は上記事情に鑑みてなされたものであり、本発明の目的は、より高いセキュリティを確保したユーザ認証を行う認証装置、認証方法および認証プログラム提供することにある。
上記課題を解決するために、本発明は、認証装置であって、第1の種類の文字列の認証情報を記憶する記憶手段と、第1の種類の文字と、第2の種類の文字の両方が設定されたセルを複数配置した認証マトリックスを生成し、生成した認証マトリックスを認証要求元の端末に送信する生成手段と、前記端末から第2の種類の文字列を受信し、当該第2の種類の文字列の各文字を前記認証マトリックスを用いて第1の種類の文字に変換して、第1の種類の文字列を生成する変換手段と、前記変換後の第1の文字列と、前記認証情報とが一致するか否かを認証する認証手段と、を備える。
本発明は、認証装置であって、ランダムな文字が一列に配置された認証マトリックスにおける位置と向きとを、認証情報として記憶する記憶手段と、前記認証マトリックスを生成し、生成した認証マトリックスを認証要求元の端末に送信する生成手段と、前記端末から認証データを受信し、前記記憶手段に記憶された位置から、前記記憶手段に記憶された向きで前記認証マトリックスの文字を抽出して、文字列を生成する抽出手段と、前記抽出手段により生成された文字列と、前記端末から受信した認証データとが一致するか否かを認証する認証手段と、を備える。
本発明は、コンピュータが行う認証方法であって、前記コンピュータは、第1の種類の文字列の認証情報を記憶する記憶部を備え、第1の種類の文字と、第2の種類の文字の両方が設定されたセルを複数配置した認証マトリックスを生成する生成ステップと、前記認証マトリックスを認証要求元の端末に送信する送信ステップと、前記端末から第2の種類の文字列を受信し、当該第2の種類の文字列の各文字を前記認証マトリックスを用いて第1の種類の文字に変換して、第1の種類の文字列を生成する変換ステップと、前記変換後の第1の文字列と、前記記憶部に記憶された認証情報とが一致するか否かを認証する認証ステップと、を行う。
本発明は、コンピュータが行う認証方法であって、前記コンピュータは、ランダムな文字が一列に配置された認証マトリックスにおける位置と向きとを、認証情報として記憶する記憶部を備え、前記認証マトリックスを生成する生成ステップと、前記認証マトリックスを認証要求元の端末に送信する送信ステップと、前記端末から認証データを受信し、前記記憶部に記憶された位置から、前記記憶部に記憶された向きで前記認証マトリックスの文字を抽出して、文字列を生成する抽出手段と、前記抽出ステップで生成された文字列と、前記端末から受信した認証データとが一致するか否かを認証する認証ステップと、を行う。
本発明は、コンピュータを、第1の種類の文字列の認証情報を記憶する記憶手段、第1の種類の文字と、第2の種類の文字の両方が設定されたセルを複数配置した認証マトリックスを生成し、生成した認証マトリックスを認証要求元の端末に送信する生成手段、前記端末から第2の種類の文字列を受信し、当該第2の種類の文字列の各文字を前記認証マトリックスを用いて第1の種類の文字に変換して、第1の種類の文字列を生成する変換手段、および、前記変換後の第1の文字列と、前記認証情報とが一致するか否かを認証する認証手段、として機能させるための認証プログラムである。
本発明は、コンピュータを、ランダムな文字が一列に配置された認証マトリックスにおける位置と向きとを、認証情報として記憶する記憶手段、前記認証マトリックスを生成し、生成した認証マトリックスを認証要求元の端末に送信する生成手段、前記端末から認証データを受信し、前記記憶手段に記憶された位置から、前記記憶手段に記憶された向きで前記認証マトリックスの文字を抽出して、文字列を生成する抽出手段、および、前記抽出手段により生成された文字列と、前記端末から受信した認証データとが一致するか否かを認証する認証手段、として機能させるための認証プログラムである。
本発明では、より高いセキュリティを確保したユーザ認証を行う認証装置、認証方法および認証プログラム提供することができる。
以下、本発明の実施の形態について説明する。
<第1の実施形態>
図1は、本発明の第1の実施形態が適用された認証システムの全体構成図である。図示する認証システムは、スマートフォン、携帯電話、PC(Personal Computer)などの端末1と、認証サーバ2とを備える。ユーザが使用する端末1は、ユーザの指示を受け付けるとともに、例えばブラウザなどの機能を用いて出力装置に各種の情報・画面を表示する。
図1は、本発明の第1の実施形態が適用された認証システムの全体構成図である。図示する認証システムは、スマートフォン、携帯電話、PC(Personal Computer)などの端末1と、認証サーバ2とを備える。ユーザが使用する端末1は、ユーザの指示を受け付けるとともに、例えばブラウザなどの機能を用いて出力装置に各種の情報・画面を表示する。
認証サーバ2は、インターネットなどのネットワークを介してアクセスされる各端末1のユーザ認証を行う。本実施形態では、認証サーバ2として、ネットワークを介して残高照会、振込みなどのネットバンキングサービスを提供する銀行のサーバを例に、以下に説明するが、これに限定されるものではない。
図示する認証サーバ2は、認証マトリックス生成部21と、認証部22(変換手段、認証手段)と、アプリケーション部23と、認証マトリックス記憶部24と、口座情報記憶部25とを備える。認証マトリックス生成部21は、第1の種類の文字と、第2の種類の文字の両方が設定されたセルを複数配置した認証マトリックスを生成し、生成した認証マトリックスを認証要求元の端末1に送信する。
認証部22は、端末1から第2の種類の文字列を受信し、当該第2の種類の文字列の各文字を認証マトリックスを用いて第1の種類の文字に変換して、第1の種類の文字列を生成する。そして、認証部22は、変換後の第1の文字列と、口座情報記憶部25に記憶された第2の認証情報とが一致するか否かを認証する。アプリケーション部23は、認証部22が認証に成功したと判別した後、インターネットバンキングなどの所定のアプリケーション処理を行う。認証マトリックス記憶部24には、認証マトリックス生成部21が生成した認証マトリックスが記憶される。口座情報記憶部25には、認証サーバ2にあらかじめ登録され、認証サーバ2が提供するアプリケーションサービスを利用可能な各ユーザの認証に必要な情報が登録されている。
図2は、口座情報記憶部25の一例を示す図である。図示する口座情報記憶部25(口座情報テーブル)には、ユーザ(口座)毎に、店番号、口座番号、第1の認証情報および第2の認証情報が記憶されている。本実施形態の第1の認証情報としては、4桁の暗証番号(PIN、パスワード)を用いるものとする。第2の認証情報としては、第1の種類の文字列を用いるものとし、本実施形態では、第1の種類の文字列として4桁の数字の暗証番号を用いるものとする。
なお、第1の認証情報および第2の認証情報は、登録時に、ユーザが所望のものを設定する。また、本実施形態では、ネットワークを介したサービス提供を行うことから、よりセキュアな認証を実現するために、第1の認証情報だけでなく、第2の認証情報および認証マトリックスを用いるものとする。
本実施形態では、認証サーバ2は、認証機能とアプリケーション機能の両方を備えるサーバであるが、認証サーバ2からアプリケーション機能(アプリケーション部23)を分離し、別のアプリケーションサーバとして独立させることとしてもよい。
上記説明した、端末1および認証サーバ2は、例えば、CPUと、メモリと、HDD等の外部記憶装置と、入力装置と、出力装置とを備えた汎用的なコンピュータシステムを用いることができる。このコンピュータシステムにおいて、CPUがメモリ上にロードされた所定のプログラムを実行することにより、各装置の各機能が実現される。例えば、端末1および認証サーバ2の各機能は、端末1用のプログラムの場合は端末1のCPUが、そして、認証サーバ2用のプログラムの場合は認証サーバ2のCPUがそれぞれ実行することにより実現される。また、端末1用のプログラム、および認証サーバ2のプログラムは、ハードディスク、フレキシブルディスク、CD−ROM、MO、DVD−ROMなどのコンピュータ読取り可能な記録媒体に記憶することも、ネットワークを介して配信することもできる。
次に、本実施形態の処理について説明する。
図3は、端末1から認証サーバ2にログインする際の認証処理のシーケンス図である。図4は、端末1の出力装置(ディスプレイ)に表示される各種画面(画面遷移)の一例を示したものである。
端末1は、ユーザの指示を受け付けて所定のURL(Uniform Resource Locator)などを指定して、認証サーバ2にアクセスし、ログイン要求を送信する(S11)。認証サーバ2は、端末1からのログイン要求を受信すると、例えば図4に示すようなログイン画面41を生成する(S12)。図4のログイン画面41では、店番号の入力欄と、口座番号の入力欄と、第1の認証情報(暗証番号)の入力欄とを備え、さらに、認証マトリックス411と、第2の認証情報の入力欄412とを有する。
認証マトリックス生成部21は、所定のアルゴリズムにより、認証マトリックスを生成し、認証マトリックス記憶部24に記憶する。
本実施形態では、認証マトリックス生成部21は、第1の種類の文字と、第2の種類の文字の両方が設定されたセルを複数配置した認証マトリックスを生成するものとする。図4に示すログイン画面の認証マトリックスは、n行×m列(2行×5列)でセルが配置された表(マトリックス、テーブル)であって、各セルには数字とアルファベットの両方を設定されている。すなわち、数字(第1の種類の文字)とアルファベット(第2の種類の文字)とが対になって、各セルに設定される。なお、各セルに配置される数字は、図示する例では、1から5までを上段のセルに左から順に設定し、6から0までを下段のセルに左から順に設定しているが、1から0の10個の数字をランダムにセルに設定することとしてもよい。また、各セルに配置されるアルファベットは、セルの数だけランダムに抽出し、ランダムにセルに設定するものとする。
そして、認証マトリックス生成部21は、認証マトリックス記憶部24に記憶された認証マトリックスを設定したログイン画面を生成し、要求元の端末1に送信する(S13)。
端末1は、送信されたログイン画面を出力装置に表示する(S14)。ユーザは、ログイン画面に表示された各入力欄に対応する項目を入力する。具体的には、店番号、口座番号および第1の認証情報をそれぞれ対応する入力欄に設定する。そして、ユーザは、ログイン画面に表示された認証マトリックスを用いて第2の認証情報用の認証データを取得し、第2の認証情報の入力欄に認証データを入力する。すなわち、ユーザは、認証サーバ2に登録しておいた第2の認証情報である第1の種類の文字列の各文字(ここでは、数字)を、認証マトリックスのセルで対になった第2の種類の文字(ここでは、アルファベット)に変換し、第2の認証情報の文字列の順番でそれぞれ変換された第2の種類の文字の認証データを、第2の認証情報の入力欄に入力する。
具体的には、第2の認証情報が「1416」であり、図4に示す認証マトリックスを用いる場合、先頭から順に、「1」については、「1」が設定されたセルの対となるアルファベットの「C」に変換する。「4」については、「4」が設定されたセルの対となるアルファベットの「A」に変換する。「1」については、「1」が設定されたセルの対となるアルファベットの「C」に変換する。「6」については、「6」が設定されたセルの対となるアルファベットの「J」に変換する。そして、「1416」(第2の認証情報)の順でそれぞれ変換されたアルファベットの文字列「CACJ」(認証データ)を、入力欄に入力する。図4のログイン画面42は、ユーザが各入力欄に各データを入力した後のログイン画面の一例である。
端末1は、ユーザがログインボタンをクリックするなどの送信指示を受け付けると、各入力欄に入力されたログイン情報(店番号、口座番号、第1の認証情報、第2の認証情報用の認証データ)を認証サーバ2に送信する(S15)。
認証サーバ2の認証部22は、ログイン情報を受信すると、口座情報記憶部25を参照して、ユーザ認証を行う(S16)。すなわち、ログイン情報の店番号と口座番号とをキーに口座情報記憶部25のレコードを特定し、当該レコードに設定された対応する第1の認証情報と、第2の認証情報とを取得する。そして、認証部22は、ログイン情報の第1の認証情報と、口座情報記憶部25に登録された対応する第1の認証情報とを照合する。
また、認証部22は、ログイン情報の認証データを、認証マトリックス記憶部24に記憶した認証マトリックスを用いて変換する。すなわち、認証部22は、ログイン情報の認証データである第2の種類の文字列の各文字(ここでは、アルファベット)を、認証マトリックスのセルで対になった第1の種類の文字(ここでは、数字)に変換し、認証データの文字列の順番でそれぞれ変換された第1の種類の文字列を生成する。そして、認証部22は、変換した第1の種類の文字列と、口座情報記憶部25の第2の認証情報とを照合する。
ログイン情報の第1の認証情報と口座情報記憶部25の第1の暗証情報とが一致し、かつ、ログイン情報の認証データから変換された第1の種類の文字列と口座情報記憶部25の第2の認証情報とが一致する場合、認証部22は、端末1からのログイン要求は正当なユーザからのログイン要求であると判別する。また、認証部22は、第1の認証情報または第2の認証情報のどちらかが一致しない場合、あるいは、第1の認証情報および第2の認証情報の両方が一致しない場合、ログイン要求は正当なユーザからのログイン要求でないと判別する。なお、ログイン情報の店番号および口座番号に一致するレコードが、口座情報記憶部25に存在しない場合も、ログイン要求は正当なユーザからのログイン要求でないと判別する。
そして、認証部22は、認証結果を通知する認証結果画面を端末に送信し(S17)、端末1は、認証結果画面を表示する(S18)。正当なユーザからのログイン要求であると認証した場合(認証に成功した場合)、認証部22は、例えば図4に示すような、ログインを許可する旨の認証結果画面43を端末1に送信する。この場合、端末1のユーザは、認証サーバ2が提供する所定のサービスを利用することができる。すなわち、認証サーバ2のアプリケーション部23は、例えば、残高照会、振込み処理などのネットバンキングサービスを端末1に提供する。
一方、正当なユーザからのログイン要求でないと認証した場合(認証に失敗した場合)、認証部22は、ログインを許可しない旨の認証結果画面を端末1に通知する、あるいは、ログイン画面41を端末1に送信し、ユーザに再度入力を促すことなどが考えられる。
なお、本実施形態では、第2の認証情報として数字(第1の種類の文字)を用い、認証マトリックスの各セルに設定される対となる文字の種類として、数字(第1の種類の文字)と、アルファベット(第2の種類の文字)とを用いることとしたが、これに限定されるものではない。すなわち、認証マトリックスの対となる2つの種類の文字の一方が、口座情報記憶部25に登録された第2の認証情報の文字の種類と同じであればよく、数字またはアルファベット以外の種類の文字(ひらがな、カタカナ、漢字など、記号、図形など)を用いた認証マトリックスを生成することとしてもよい。
例えば、第1の種類の文字は数字であって、第2の種類の文字は数字以外の文字としてもよく、また、第1の種類の文字は数字以外の文字であって、第2の種類の文字は数字としてもよい。
また、口座情報記憶部25に登録された第2の認証情報がアルファベット(第1の種類の文字)の場合、認証マトリックスの各セルに設定される対となる文字には、第1の種類の文字としてはアルファベットを用い、第2の種類の文字としては数字、ひらがな、カタカナ、漢字、記号、図形など、端末1から入力可能な様々な種類の文字を用いることができる。
また、認証マトリックスを生成するタイミングとしては、端末1からログイン要求を受信し、ログイン画面を生成する度に認証マトリックスを生成することとしてもよい。この場合、生成した認証マトリックスは、例えば、セッションIDなどログイン要求を受け付けた端末1とのセッションを識別するための情報とともに認証マトリックス記憶部24に記憶し、S16でユーザ認証を行う際には、セッションIDなどを用いてS13で送信した認証マトリックスを認証マトリックス記憶部24から選択するものとする。
また、認証マトリックスは、所定のタイミングで生成し、認証マトリックス記憶部24に記憶しておくこととしてもよい。この場合、認証マトリックス生成部21は、ログイン画面を生成する際に、認証マトリックス記憶部24に記憶された認証マトリックスを読み出し、ログイン画面に設定する。
なお、認証マトリックス生成部21は、認証マトリックスを生成する毎に、生成する認証マトリックスの各セルに設定されるアルファベット(第2の種類の文字)、またはアルファベット(第2の種類の文字)および数字(第1の種類の文字)をランダムに変化させるものとする。
以上説明した第1の実施形態では、数字(第1の種類の文字)と、アルファベット(第2の種類の文字)の両方が設定されたセルを複数配置した認証マトリックスを端末に送信し、ユーザは、あらかじめ登録しておいた数字の第2の認証情報を認証マトリックスを用いてアルファベットに変換して、認証サーバに送信する。すなわち、第2の認証情報それ自体を、認証サーバに送信しない。これにより、本実施形態では、認証情報の漏洩リスクを軽減し、より高いセキュリティを確保することができる。すなわち、仮に、端末と認証サーバとの間でログイン情報(店番号、口座番号、第1の認証情報、認証データ)が盗聴された場合であっても、認証データから第2の認証情報を推測することは困難である。したがって、本実施形態では、第3者の不正なログインを拒否し、より高いセキュリティを確保することができる。
また、本実施形態の第2の認証情報そのものは、ユーザが覚えやすい4桁の数字であり、認証強度としてはそれほど強くないが、端末から送信される認証データは26文字あるアルファベットのいずれかの4文字の文字列であるため、認証強度を上げることができる。
また、本実施形態では、ランダムに配置されたアルファベットを用いて、第2の認証情報に対応する認証データを入力するため、マルウェア等によるキーロガーによりユーザが入力したキーが漏洩した場合であっても、第2の認証情報を推測することは困難であり、より高いセキュリティを確保することができる。また、フィッシングサイトが作られにくいという、利点もある。
また、本実施形態では、第1の認証情報(暗証番号)を用いた第1の認証に加えて、第2の認証情報を用いた第2の認証を、2重で行う。このような2重の認証処理を行うことで、本実施形態では、より高いセキュリティを確保することができるとともに、暗証番号に対する総当たり攻撃に有効に防御することができる。
<第2の実施形態>
次に、本発明の第2の実施形態について説明する。
次に、本発明の第2の実施形態について説明する。
図5は、本発明の第2の実施形態が適用された認証システムの全体構成図である。図示する認証システムは、第1の実施形態と同様の端末1と、認証サーバ3とを備える。認証サーバ3は、インターネットなどのネットワークを介してアクセスされる各端末1のユーザ認証を行う。本実施形態では、認証サーバ3として、第1の実施形態と同様に、ネットバンキングサービスを提供する銀行のサーバを例に、以下に説明するが、これに限定されるものではない。
第2の実施形態の認証サーバ3は、生成する認証マトリックスと、第2の認証情報として認証マトリックスの位置と向きとを用いる点が、第1の実施形態の認証サーバ2と異なる。図示する認証サーバ3は、認証マトリックス生成部31と、認証部32(抽出手段、認証手段)と、アプリケーション部33と、認証マトリックス記憶部34と、口座情報記憶部35とを備える。
認証マトリックス生成部31は、ランダムな文字が一列に配置された認証マトリックスを生成し、生成した認証マトリックスを認証要求元の端末1に送信する。認証部32は、端末1から認証データを受信し、口座情報記憶部35に記憶された位置から、口座情報記憶部35に記憶された向きで認証マトリックスの文字を抽出して、文字列を生成する。そしえて、認証部32は、生成した文字列と、端末1から受信した認証データとが一致するか否かを認証する。
アプリケーション部33は、認証部32が認証に成功したと判別した後、インターネットバンキングなどの所定のアプリケーション処理を行う。認証マトリックス記憶部34には、認証マトリックス生成部31が生成した認証マトリックスが記憶される。口座情報記憶部35には、認証サーバ3にあらかじめ登録され、認証サーバ3が提供するアプリケーションサービスを利用可能な各ユーザの認証に必要な情報が登録されている。
図6は、本実施形態の口座情報記憶部35の一例を示す図である。図示する口座情報記憶部35(口座情報テーブル)には、ユーザ(口座)毎に、店番号、口座番号、第1の認証情報および第2の認証情報が記憶されている。本実施形態の第1の認証情報としては、4桁の暗証番号を用いるものとする。本実施形態の第2の認証情報としては、認証マトリックスの位置と向きとを用いるものとする。
なお、第1の認証情報および第2の認証情報は、登録時に、ユーザが所望のものを設定する。また、本実施形態では、よりセキュアな認証を実現するために、第1の認証情報だけでなく、第2の認証情報および認証マトリックスを用いるものとする。
本実施形態では、認証サーバ3は、認証機能とアプリケーション機能の両方を備えるサーバであるが、認証サーバ3からアプリケーション機能(アプリケーション部33)を分離し、別のアプリケーションサーバとして独立させることとしてもよい。
次に、本実施形態の処理について説明する。
図7は、端末1から認証サーバ3にログインする際の認証処理のシーケンス図である。図8は、端末1の出力装置に表示される各種画面の一例を示したものである。
端末1は、ユーザの指示を受け付けて所定のURLを指定して、認証サーバ3にアクセスし、ログイン要求を送信する(S21)。認証サーバ3は、端末1からのログイン要求を受信すると、例えば図8に示すようなログイン画面81を生成する(S22)。図8のログイン画面81では、店番号の入力欄と、口座番号の入力欄と、第1の認証情報(暗証番号)の入力欄とを備え、さらに、認証マトリックス811と、第2の認証情報の入力欄812とを有する。
認証マトリックス生成部31は、所定のアルゴリズムにより、認証マトリックスを生成し、認証マトリックス記憶部34に記憶する。本実施形態では、認証マトリックス生成部31は、認証マトリックスとして、ランダムな文字が一列に配置された文字列を生成するものとする。図8に示すログイン画面81では、ランダムに抽出したアルファベットを、ランダムに一列に並べた文字列が生成されている。また、認証マトリックス生成部31は、一列配置された文字列の他に、当該文字列の各文字の位置を示す位置情報を、認証マトリックスとして生成することとしてもよい。図8に示すログイン画面81では、位置情報として、0〜9の数字を用いている。位置情報を設定することで、ユーザの入力し易さを向上し、また、誤入力を防止することができる。
なお、図8に示す例では、文字列にはアルファベットを用い、位置情報には数字を用いているが、これらに限定されるものではない。
そして、認証マトリックス生成部31は、認証マトリックス記憶部34に記憶された認証マトリックスを設定したログイン画面を生成し、要求元の端末1に送信する(S23)。
端末1は、送信されたログイン画面を出力装置に表示する(S24)。ユーザは、ログイン画面に表示された各入力欄に対応する項目を入力する。具体的には、店番号、口座番号および第1の認証情報をそれぞれ対応する入力欄に設定する。そして、ユーザは、ログイン画面に表示された認証マトリックスと、口座情報記憶部35に登録した第2の認証情報(位置、向き)を用いて、第2の認証情報用の認証データを取得し、取得した認証データを第2の認証情報の入力欄に入力する。すなわち、ユーザは、あらかじめ登録した位置から、あらかじめ登録した向きで、認証マトリックスの文字列の一部を抽出し、入力欄に入力する。
例えば、口座情報記憶部35の第2の認証情報が「位置:6、向き:左」であり、図8のログイン画面81に示す認証マトリックスを用いる場合、位置が「6」に対応する「V」から左に向かって順番に所定数の文字を抽出した文字列「VHYE」を、第2の認証情報の入力欄812に入力する。図8のログイン画面82は、ユーザが各入力欄に各データを入力した後のログイン画面の一例である。なお、第2の認証情報が「位置:9、向き:右」の場合など、所定数の文字が当該向きで抽出できない場合は、反対側に回って「KDAT」を抽出する。
端末1は、ユーザがログインボタンをクリックするなどの送信指示を受け付けると、各入力欄に入力されたたログイン情報(店番号、口座番号、第1の認証情報、第2の認証情報用の認証データ)を認証サーバ3に送信する(S25)。
認証サーバ3の認証部32は、ログイン情報を受信すると、口座情報記憶部35を参照して、ユーザ認証を行う(S26)。すなわち、ログイン情報の店番号と口座番号とをキーに口座情報記憶部35のレコードを特定し、当該レコードに設定された対応する第1の認証情報と、第2の認証情報とを取得する。そして、認証部32は、ログイン情報の第1の認証情報と、口座情報記憶部35に登録された対応する第1の認証情報とを照合する。
また、認証部32は、口座情報記憶部35の第2の認証情報(位置、向き)を用いて、認証マトリックスの文字を抽出する。すなわち、認証部32は、口座情報記憶部35に登録した位置から、登録した向きで、認証マトリックスの所定の数の文字を抽出する。例えば、口座情報記憶部35の第2の認証情報が「位置:6、向き:左」であり、図8のログイン画面81に示す認証マトリックスを用いる場合、位置が「6」に対応する「V」から左に向かって順番に所定数の文字を抽出した文字列「VHYE」を、抽出する。そして、認証部32は、抽出した文字列と、端末1から送信されたログイン情報の認証データとを照合する。
ログイン情報の第1の認証情報と口座情報記憶部35の第1の認証情報とが一致し、かつ、抽出した文字列とログイン情報の認証データとが一致する場合、認証部32は、端末1からのログイン要求は正当なユーザからのログイン要求であると判別する。また、認証部32は、第1の認証情報または抽出した文字列のどちらかが一致しない場合、あるいは、第1の認証情報および抽出した文字列の両方が一致しない場合、ログイン要求は正当なユーザからのログイン要求でないと判別する。なお、ログイン情報の店番号および口座番号に一致するレコードが、口座情報記憶部35に存在しない場合も、ログイン要求は正当なユーザからのログイン要求でないと判別する。
そして、認証部32は、認証結果を通知する認証結果画面を端末に送信し(S27)、端末1は、認証結果画面を表示する(S28)。正当なユーザからのログイン要求であると認証した場合(認証に成功した場合)、認証部32は、例えば図8に示すような、ログインを許可する旨の認証結果画面83を端末1に送信する。この場合、端末1のユーザは、認証サーバ3が提供する所定のサービスを利用することができる。認証サーバ3のアプリケーション部33は、例えば、残高照会、振込み処理などのネットバンキングサービスを端末1に提供する。
一方、正当なユーザからのログイン要求でないと認証した場合(認証に失敗した場合)、認証部32は、ログインを許可しない旨の認証結果画面を端末1に通知する、あるいは、ログイン画面81を端末1に送信し、ユーザに再度入力を促すことなどが考えられる。
なお、認証マトリックスを生成するタイミングとしては、第1の実施形態と同様であって、例えば、端末1からログイン要求を受信し、ログイン画面を生成する度に認証マトリックスを生成してもよく、あるいは、所定のタイミングで認証マトリックスを生成して認証マトリックス記憶部34に記憶しておくこととしてもよい。認証マトリックス生成部31は、認証マトリックスを生成する毎に、生成する文字列をランダムに変化させるものとする。
以上説明した第2の実施形態では、ランダムな文字が一列に配置された認証マトリックスを端末に送信し、ユーザは、登録しておいた第2の認証情報の位置から、登録しておいた向きで認証マトリックスの文字を抽出し、認証サーバに送信する。すなわち、第2の認証情報それ自体を、認証サーバに送信しない。これにより、本実施形態では、認証情報の漏洩リスクを軽減し、より高いセキュリティを確保することができる。すなわち、仮に、端末と認証サーバとの間でログイン情報(店番号、口座番号、第1の認証情報、認証データ)が盗聴された場合であっても、認証データから第2の認証情報を推測することは困難である。したがって、本実施形態では、第3者の不正なログインを拒否し、より高いセキュリティを確保することができる。
また、本実施形態では、ランダムに配置されたアルファベット(文字列)を用いて、第2の認証情報に対応する認証データを入力するため、マルウェア等によるキーロガーによりユーザが入力したキーが漏洩した場合であっても、第2の認証情報を推測することは困難であり、より高いセキュリティを確保することができる。また、フィッシングサイトが作られにくいという、利点もある。
また、本実施形態の第2の認証情報(位置、向き)そのものは、認証強度としてはそれほど強くないが、端末から送信される認証データは26文字あるアルファベットのいずれかの4文字の文字列であるため、認証強度を上げることができる。また、本実施形態の第2の認証情報(位置、向き)は、ユーザが比較的覚えやく、忘れにくいため、ユーザの利便性を向上することができる。
また、本実施形態では、第1の認証情報(暗証番号)を用いた第1の認証に加えて、第2の認証情報を用いた第2の認証を、2重で行う。このような2重の認証処理を行うことで、本実施形態では、より高いセキュリティを確保することができるとともに、暗証番号に対する総当たり攻撃に有効に防御することができる。
なお、本発明は上記の実施形態に限定されるものではなく、その要旨の範囲内で数々の変形が可能である。
例えば、上記第1および第2の実施形態では、第1の認証情報を用いた第1の認証に加えて、第2の認証情報を用いた第2の認証を行うこととしたが、第1の認証情報を用いた認証を行うことなく、第2の認証情報を用いた認証のみを行うこととしてもよい。
また、上記第1および第2の実施形態では、端末は、認証サーバからログイン画面を受信することとしたが、認証マトリックスのみを認証サーバから受信し、ログイン画面は端末側で生成することとしてもよい。例えば、端末は、認証サーバが提供するアプリケーションサービスを利用するために認証サーバに登録する際に、認証サーバから認証アプリ(プログラム)をダウンロードしておく。そして、ユーザが端末にインストールされた認証アプリを起動することで、端末は、認証マトリックスを認証サーバ2に要求し、認証サーバ2から受信した認証マトリックスを、認証アプリの中に含まれるログイン画面に設定して、表示することとしてもよい。
1:端末、
2、3:認証サーバ
21、31:認証マトリックス生成部
22、32:認証部
23、33:アプリケーション部
24、34:認証マトリックス記憶部
25、35:口座情報記憶部
2、3:認証サーバ
21、31:認証マトリックス生成部
22、32:認証部
23、33:アプリケーション部
24、34:認証マトリックス記憶部
25、35:口座情報記憶部
Claims (9)
- 第1の種類の文字列の認証情報を記憶する記憶手段と、
第1の種類の文字と、第2の種類の文字の両方が設定されたセルを複数配置した認証マトリックスを生成し、生成した認証マトリックスを認証要求元の端末に送信する生成手段と、
前記端末から第2の種類の文字列を受信し、当該第2の種類の文字列の各文字を前記認証マトリックスを用いて第1の種類の文字に変換して、第1の種類の文字列を生成する変換手段と、
前記変換後の第1の文字列と、前記認証情報とが一致するか否かを認証する認証手段と、を備えること
を特徴とする認証装置。 - 請求項1記載の認証装置であって、
前記第1の種類の文字は数字であって、前記第2の種類の文字は数字以外の文字であること、または、
前記第1の種類の文字は数字以外の文字であって、前記第2の種類の文字は数字であること
を特徴とする認証装置。 - ランダムな文字が一列に配置された認証マトリックスにおける位置と向きとを、認証情報として記憶する記憶手段と、
前記認証マトリックスを生成し、生成した認証マトリックスを認証要求元の端末に送信する生成手段と、
前記端末から認証データを受信し、前記記憶手段に記憶された位置から、前記記憶手段に記憶された向きで前記認証マトリックスの文字を抽出して、文字列を生成する抽出手段と、
前記抽出手段により生成された文字列と、前記端末から受信した認証データとが一致するか否かを認証する認証手段と、を備えること
を特徴とする認証装置。 - 請求項3記載の認証装置であって、
前記認証マトリックスは、前記一列に配置された各文字の位置を示す位置情報を、さらに有すること
を特徴とする認証装置。 - 請求項1から請求項4のいずれか1項に記載の認証装置であって、
前記記憶手段には、暗証番号が記憶されて、
前記認証手段は、前記端末から受信した暗証番号と、前記記憶手段に記憶された暗証番号とが一致するか否かを認証すること
を特徴とする認証装置。 - コンピュータが行う認証方法であって、
前記コンピュータは、第1の種類の文字列の認証情報を記憶する記憶部を備え、
第1の種類の文字と、第2の種類の文字の両方が設定されたセルを複数配置した認証マトリックスを生成する生成ステップと、
前記認証マトリックスを認証要求元の端末に送信する送信ステップと、
前記端末から第2の種類の文字列を受信し、当該第2の種類の文字列の各文字を前記認証マトリックスを用いて第1の種類の文字に変換して、第1の種類の文字列を生成する変換ステップと、
前記変換後の第1の文字列と、前記記憶部に記憶された認証情報とが一致するか否かを認証する認証ステップと、を行うこと
を特徴とする認証方法。 - コンピュータが行う認証方法であって、
前記コンピュータは、ランダムな文字が一列に配置された認証マトリックスにおける位置と向きとを、認証情報として記憶する記憶部を備え、
前記認証マトリックスを生成する生成ステップと、
前記認証マトリックスを認証要求元の端末に送信する送信ステップと、
前記端末から認証データを受信し、前記記憶部に記憶された位置から、前記記憶部に記憶された向きで前記認証マトリックスの文字を抽出して、文字列を生成する抽出手段と、
前記抽出ステップで生成された文字列と、前記端末から受信した認証データとが一致するか否かを認証する認証ステップと、を行うこと
を特徴とする認証方法。 - コンピュータを、
第1の種類の文字列の認証情報を記憶する記憶手段、
第1の種類の文字と、第2の種類の文字の両方が設定されたセルを複数配置した認証マトリックスを生成し、生成した認証マトリックスを認証要求元の端末に送信する生成手段、
前記端末から第2の種類の文字列を受信し、当該第2の種類の文字列の各文字を前記認証マトリックスを用いて第1の種類の文字に変換して、第1の種類の文字列を生成する変換手段、および、
前記変換後の第1の文字列と、前記認証情報とが一致するか否かを認証する認証手段、として機能させるための認証プログラム。 - コンピュータを、
ランダムな文字が一列に配置された認証マトリックスにおける位置と向きとを、認証情報として記憶する記憶手段、
前記認証マトリックスを生成し、生成した認証マトリックスを認証要求元の端末に送信する生成手段、
前記端末から認証データを受信し、前記記憶手段に記憶された位置から、前記記憶手段に記憶された向きで前記認証マトリックスの文字を抽出して、文字列を生成する抽出手段、および、
前記抽出手段により生成された文字列と、前記端末から受信した認証データとが一致するか否かを認証する認証手段、
として機能させるための認証プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012222191A JP2014075033A (ja) | 2012-10-04 | 2012-10-04 | 認証装置、認証方法および認証プログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012222191A JP2014075033A (ja) | 2012-10-04 | 2012-10-04 | 認証装置、認証方法および認証プログラム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2014075033A true JP2014075033A (ja) | 2014-04-24 |
Family
ID=50749149
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012222191A Pending JP2014075033A (ja) | 2012-10-04 | 2012-10-04 | 認証装置、認証方法および認証プログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2014075033A (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2017510869A (ja) * | 2014-06-25 | 2017-04-13 | テンセント・テクノロジー・(シェンジェン)・カンパニー・リミテッド | 携帯端末のアプリケーションプログラムパスワードを保護するための方法および装置 |
| JP2017130069A (ja) * | 2016-01-20 | 2017-07-27 | 富士通株式会社 | パスワード入力装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007041801A (ja) * | 2005-08-02 | 2007-02-15 | E Bank Corp | 取引システムの制御装置 |
| JP2007124470A (ja) * | 2005-10-31 | 2007-05-17 | Nec Corp | 携帯電話機、その利用者認証方法、および利用者認証プログラム |
| JP2007310515A (ja) * | 2006-05-16 | 2007-11-29 | Fuji Xerox Co Ltd | パスワード認証システム、パスワード認証サーバ、パスワード認証方法及びプログラム |
| US20110016520A1 (en) * | 2009-07-15 | 2011-01-20 | Ira Cohen | Authentication system and methods |
-
2012
- 2012-10-04 JP JP2012222191A patent/JP2014075033A/ja active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007041801A (ja) * | 2005-08-02 | 2007-02-15 | E Bank Corp | 取引システムの制御装置 |
| JP2007124470A (ja) * | 2005-10-31 | 2007-05-17 | Nec Corp | 携帯電話機、その利用者認証方法、および利用者認証プログラム |
| JP2007310515A (ja) * | 2006-05-16 | 2007-11-29 | Fuji Xerox Co Ltd | パスワード認証システム、パスワード認証サーバ、パスワード認証方法及びプログラム |
| US20110016520A1 (en) * | 2009-07-15 | 2011-01-20 | Ira Cohen | Authentication system and methods |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2017510869A (ja) * | 2014-06-25 | 2017-04-13 | テンセント・テクノロジー・(シェンジェン)・カンパニー・リミテッド | 携帯端末のアプリケーションプログラムパスワードを保護するための方法および装置 |
| US10546137B2 (en) | 2014-06-25 | 2020-01-28 | Tencent Technology (Shenzhen) Company Limited | Method and apparatus for protecting application program password of mobile terminal |
| JP2017130069A (ja) * | 2016-01-20 | 2017-07-27 | 富士通株式会社 | パスワード入力装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8931060B2 (en) | System for two way authentication | |
| US8041954B2 (en) | Method and system for providing a secure login solution using one-time passwords | |
| Mali et al. | Advanced pin entry method by resisting shoulder surfing attacks | |
| US20170086069A1 (en) | System and Method of Authentication by Leveraging Mobile Devices for Expediting User Login and Registration Processes Online | |
| US9787689B2 (en) | Network authentication of multiple profile accesses from a single remote device | |
| US20150317469A1 (en) | Dynamic interactive identity authentication method and system | |
| WO2013117019A1 (zh) | 基于用户自主产生的动态口令对系统登录的方法和装置 | |
| Archana et al. | Survey on usable and secure two-factor authentication | |
| EP1719041A1 (en) | User authentication | |
| JP4960738B2 (ja) | 認証システム、認証方法および認証プログラム | |
| US9654466B1 (en) | Methods and systems for electronic transactions using dynamic password authentication | |
| Boonkrong | Multi-factor authentication | |
| KR20130085566A (ko) | 캡챠를 이용한 비밀번호 인증시스템 및 그 방법 | |
| JP2014075033A (ja) | 認証装置、認証方法および認証プログラム | |
| CA2611549C (en) | Method and system for providing a secure login solution using one-time passwords | |
| Evseev et al. | Two-factor authentication methods threats analysis | |
| JP6068911B2 (ja) | 認証装置、認証方法および認証プログラム | |
| JP2011164837A (ja) | 認証システムおよび認証方法 | |
| JP6454493B2 (ja) | 認証システム、認証方法および認証プログラム | |
| JP2013097661A (ja) | 認証装置及び認証方法 | |
| JP2013250944A (ja) | 入力情報認証装置、サーバ装置、入力情報認証システムおよび装置のプログラム | |
| KR20090013616A (ko) | 서버 인증 코드를 이용한 서버 인증 시스템 및 방법 | |
| Naveen et al. | Improved CAPTCHA based authentication for E-mail ID | |
| JP6322549B2 (ja) | 認証システム、認証方法および認証プログラム | |
| JP2014092891A (ja) | 認証装置、認証方法および認証プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150727 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20160518 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20160524 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20161206 |