[go: up one dir, main page]

JP4960738B2 - 認証システム、認証方法および認証プログラム - Google Patents

認証システム、認証方法および認証プログラム Download PDF

Info

Publication number
JP4960738B2
JP4960738B2 JP2007084047A JP2007084047A JP4960738B2 JP 4960738 B2 JP4960738 B2 JP 4960738B2 JP 2007084047 A JP2007084047 A JP 2007084047A JP 2007084047 A JP2007084047 A JP 2007084047A JP 4960738 B2 JP4960738 B2 JP 4960738B2
Authority
JP
Japan
Prior art keywords
authentication
user
time password
user terminal
password
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2007084047A
Other languages
English (en)
Other versions
JP2008242926A (ja
Inventor
慎 青山
泰徳 池田
慎 溝西
龍俊 村田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nomura Research Institute Ltd
Original Assignee
Nomura Research Institute Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nomura Research Institute Ltd filed Critical Nomura Research Institute Ltd
Priority to JP2007084047A priority Critical patent/JP4960738B2/ja
Publication of JP2008242926A publication Critical patent/JP2008242926A/ja
Application granted granted Critical
Publication of JP4960738B2 publication Critical patent/JP4960738B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、ワンタイムパスワードを用いてユーザの正当性を認証する認証技術に関する。
近年、フィッシング詐欺に代表される、インターネット上でのユーザID、パスワードなどの詐取・盗難(identity theft)が問題となっている。そのため、より高いセキュリティを確保し、ユーザの正当性を認証する技術が求められている。例えば、特許文献1には、ワンタイムパスワードを用いて、ユーザ認証を行うワンタイムパスワード認証システムが記載されている。
特開2002−259344
特許文献1に記載のワンタイムパスワード認証システムでは、ワンタイムパスワード生成機能を有する携帯電話が生成したワンタイムパスワードを、ユーザPC上のログイン画面から入力し、ユーザ認証サーバに送信する。そして、ユーザ認証サーバは、ユーザPCから送信されたワンタイムパスワードを認証する。
さて、携帯電話の普及に伴い、携帯電話からアクセス可能なWebサイトが増加している。また、携帯電話からアクセス可能なWebサイトにおいても、高度なユーザ認証を行うためにワンタイムパスワードを要求する場合がある。
ここで、携帯電話の機種によっては、特許文献1のワンタイムパスワード生成機能と、Webサイトにアクセスするためのブラウザ機能とを同時に起動できない場合がある。このように複数のアプリケーションを同時に起動できない携帯電話でWebサイトにアクセスする場合、ユーザは、携帯電話のディスプレイに表示されたワンタイムパスワードを、一旦メモまたは暗記しておき、その後ブラウザ機能を立ち上げてWebサイトにアクセスする必要がある。しかしながら、ワンタイムパスワードはランダムな文字列であるため、メモの際の書き間違えや、誤って暗記してしまう場合などがあり、ユーザにとって負荷が大きい。
本発明は上記事情に鑑みてなされたものであり、本発明の目的は、ワンタイムパスワードの入力が必要な高度なユーザ認証を行っているWebサイトにアクセスする際に、ユーザの利便性をより向上することにある。
上記課題を解決するために、本発明は、認証システムであって、ユーザ端末の端末識別情報と、ワンタイムパスワードを生成するためのパスワード生成キーと、ユーザIDとを対応付けて記憶する認証記憶手段と、前記ユーザ端末のセッション情報とユーザIDとを対応付けて記憶するセッション情報記憶手段と、前記ユーザ端末からの要求に前記認証記憶手段に記憶された当該ユーザ端末の端末識別情報が含まれているか否かを判別する判別手段と、前記要求に前記ユーザ端末の端末識別情報が含まれている場合に、前記認証記憶手段に記憶された当該端末識別情報に対応するパスワード生成キーに基づいて第1のワンタイムパスワードを生成し、前記ユーザ端末に送信する第1の生成手段と、前記ユーザ端末から第2のワンタイムパスワードおよびセッション情報を受信し、前記セッション情報に対応するユーザIDを前記セッション情報記憶手段から取得するパスワード受信手段と、前記取得したユーザIDに対応するパスワード生成キーを前記認証記憶手段から特定し、当該パスワード生成キーに基づいて第3のワンタイムパスワードを生成する第2の生成手段と、前記第3のワンタイムパスワードと、前記パスワード受信手段が受信した第2のワンタイムパスワードとが一致するか否かを検証し、一致する場合に認証に成功したと判別する認証手段と、を有する。
また、本発明は、認証システムが行うワンタイムパスワードの認証方法であって、前記認証システムは、ユーザ端末の端末識別情報と、ワンタイムパスワードを生成するためのパスワード生成キーと、ユーザIDとを対応付けて記憶する認証記憶部と、前記ユーザ端末のセッション情報とユーザIDとを対応付けて記憶するセッション情報記憶部と、処理部とを有し、前記処理部は、前記ユーザ端末からの要求に前記認証記憶部に記憶された当該ユーザ端末の端末識別情報が含まれているか否かを判別する判別ステップと、前記要求に前記ユーザ端末の端末識別情報が含まれている場合に、前記認証記憶部に記憶された当該端末識別情報に対応するパスワード生成キーに基づいて第1のワンタイムパスワードを生成し、前記ユーザ端末に送信する第1の生成ステップと、前記ユーザ端末から第2のワンタイムパスワードおよびセッション情報を受信し、前記セッション情報に対応するユーザIDを前記セッション情報記憶部から取得するパスワード受信ステップと、前記取得したユーザIDに対応するパスワード生成キーを前記認証記憶部から特定し、当該パスワード生成キーに基づいて第3のワンタイムパスワードを生成する第2の生成ステップと、前記第3のワンタイムパスワードと、前記パスワード受信ステップで受信した第2のワンタイムパスワードとが一致するか否かを検証し、一致する場合に認証に成功したと判別する認証ステップと、を行う。
また、本発明は、認証システムが実行するワンタイムパスワードの認証プログラムであって、前記認証システムは、ユーザ端末の端末識別情報と、ワンタイムパスワードを生成するためのパスワード生成キーと、ユーザIDとを対応付けて記憶する認証記憶部と、前記ユーザ端末のセッション情報とユーザIDとを対応付けて記憶するセッション情報記憶部と、処理部とを有し、前記処理部に、前記ユーザ端末からの要求に前記認証記憶部に記憶された当該ユーザ端末の端末識別情報が含まれているか否かを判別する判別ステップと、前記要求に前記ユーザ端末の端末識別情報が含まれている場合に、前記認証記憶部に記憶された当該端末識別情報に対応するパスワード生成キーに基づいて第1のワンタイムパスワードを生成し、前記ユーザ端末に送信する第1の生成ステップと、前記ユーザ端末から第2のワンタイムパスワードおよびセッション情報を受信し、前記セッション情報に対応するユーザIDを前記セッション情報記憶部から取得するパスワード受信ステップと、前記取得したユーザIDに対応するパスワード生成キーを前記認証記憶部から特定し、当該パスワード生成キーに基づいて第3のワンタイムパスワードを生成する第2の生成ステップと、前記第3のワンタイムパスワードと、前記パスワード受信ステップで受信した第2のワンタイムパスワードとが一致するか否かを検証し、一致する場合に認証に成功したと判別する認証ステップと、を実行させる。
本発明では、ワンタイムパスワードの入力が必要な高度なユーザ認証を行っているWebサイトにアクセスする際に、ユーザの利便性をより向上することができる。
以下、本発明の実施の形態について説明する。
<第1の実施形態>
図1は、本発明の第1の実施形態が適用された認証システムの全体構成図である。
図示する認証システムは、ユーザ端末として携帯電話1またはPC(Personal Computer)などの端末2と、認証サーバ5とを有する。これらの装置1、2、5は、携帯電話網やインターネットなどのネットワークを介して接続される。
本認証システムのユーザは、認証サーバ5が提供するWebサイトのサービスを利用可能なユーザであって、あらかじめ認証サーバ5に登録し、ユーザIDを取得しているものとする。
また、ユーザは、携帯電話1または端末2を用いて、認証サーバ5のWebサイトにアクセスするものとする。携帯電話1を用いて認証サーバ5のWebサイトにアクセスする場合、ユーザは、認証サーバ5からワンタイムパスワードを取得する。また、端末2を用いて認証サーバ5のWebサイトにアクセスする場合、ユーザは、ハードウェアトークン3からワンタイムパスワードを取得する。
携帯電話1は、ユーザの指示を受け付ける指示受付部と、各種の情報・画面を表示する表示部とを有する。指示受付部および表示部は、ブラウザと同様の機能を有するものとする。
端末2は、ユーザの各種指示を受け付ける指示受付部と、各種の情報・画面を表示する表示部とを有する。指示受付部および表示部は、ブラウザと同様の機能を有するものとする。
ハードウェアトークン3は、ワンタイムパスワードを生成する装置であって、ワンタイムパスワード生成キーと、ワンタイムパスワード生成部と、ワンタイムパスワード表示部とを有する。
認証サーバ5は、ユーザ端末(携帯電話1、端末2)からのアクセス要求を認証し、認証に成功した場合に所定のサービスを提供する。図示する認証サーバ5は、1次認証を行う1次認証部51と、ユーザ端末が携帯電話1か否かを判別する判別部52と、ユーザ端末が携帯電話1の場合にワンタイムパスワードを生成する第1の生成部53と、ユーザ端末が端末2の場合にワンタイムパスワードを要求するワンタイムパスワード要求部54と、ユーザ端末からワンタイムパスワードを受信するワンタイムパスワード受信部55と、認証用のワンタイムパスワードを生成する第2の生成部56と、ユーザ端末から送信されたワンタイムパスワードと第2の生成部が生成したワンタイムパスワードとを検証する2次認証部57と、ユーザ端末に所定のサービスを提供する業務処理部58と、を有する。
また、認証サーバ5は、認証に必要な各種の情報が記憶される認証テーブル61と、ユーザ端末のセッション情報を記憶するセッション情報テーブル62と、を有する。
図2は、認証テーブル61の一例を示す図である。図示する認証テーブル61は、ユーザID201と、パスワード202と、携帯電話ID203と、ワンタイムパスワード生成キー204とを有する。携帯電話ID203は、携帯電話あるいはその所持者であるユーザを特定するための情報であって、携帯電話の機種などに応じて様々な情報を用いることができる。例えば、携帯電話ID203に、携帯電話1のメモリ(携帯電話1から着脱可能なICカードを含む)などに記憶された機体識別番号、電話番号、ユーザ情報などを用いることが考えられる。また、携帯電話ID203に、電話番号に基づいてキャリアのゲートウェイが発行する識別情報を用いることことが考えられる。
ワンタイムパスワード生成キー204は、ワンタイムパスワードを生成するための情報であって、固定情報(シード)と可変情報(カウンタ、時刻情報など)とを有する。固定情報は、ユーザ毎(またはユーザID毎)に割り当てられるユニークな文字列である。可変情報は、毎回異なるワンタイムパスワードを生成するための情報である。可変情報としては、例えば、時刻情報(タイムスタンプ)や、ワンタイムパスワードの生成回数を用いることが考えられる。
図3は、セッション情報テーブル62の一例を示す図である。図示するセッション情報テーブル62は、セッションID301(セッション情報)とユーザID302とを有する。セッションID301は、認証サーバ5にアクセスしたユーザ端末(携帯電話1または端末2)を識別するための情報であって、ログインからログアウトまでのセッション毎に一意に割り振られる情報である。
上記説明した、携帯電話1、端末2および認証サーバ5は、いずれも、例えば図4に示すようなCPU901と、メモリ902と、HDD等の外部記憶装置903と、キーボードやマウスなどの入力装置904と、ディスプレイやプリンタなどの出力装置905と、ネットワークと接続するための通信制御装置906と、を備えた汎用的なコンピュータシステムを用いることができる。このコンピュータシステムにおいて、CPU901がメモリ902上にロードされた所定のプログラムを実行することにより、各装置の各機能が実現される。
例えば、携帯電話1、端末2および認証サーバ5の各機能は、携帯電話1用のプログラムの場合は携帯電話1のCPU901が、端末2のプログラムの場合は端末2のCPU901が、そして、認証サーバ5用のプログラムの場合は認証サーバ5のCPU901が、それぞれ実行することにより実現される。
なお、認証サーバ5の認証テーブル61およびセッション情報テーブル62には、認証サーバ5のメモリ902または外部記憶装置903が用いられるものとする。また、認証サーバ5は、複数のサーバにより構成されるものであってもよい。
次に、ユーザ端末(携帯電話1または端末2)から認証サーバ5のWebサイトにアクセスする際の処理について説明する。
図5および図6は、アクセス処理のシーケンス図である。図7は、ユーザ端末の出力装置に表示される各種画面の一例を示したものである。図7(a)は、ユーザ端末が携帯電話1の場合の各種画面例で、図7(b)は、ユーザ端末が端末2の場合の各種画面例である。
ユーザ端末は、ユーザの指示を受け付けて、所定のURL(Uniform Resource Locator)を指定して認証サーバ5のWebサイトにアクセスし、認証サーバ5が提供するログイン画面を取得する。そして、ユーザ端末は、例えば図7(a)に示すログイン画面71を、出力装置に表示する(S11)。
図7(a)に示すログイン画面71は、ユーザ端末が携帯電話1の場合のログイン画面であって、ユーザID入力欄と、パスワード入力欄と、送信ボタンとが表示されている。なお、ユーザ端末が端末2の場合、図7(a)のログイン画面71と同様のログイン画面が端末2に表示される。ユーザは、あらかじめ認証テーブル61に登録済みのユーザIDおよびパスワードを、それぞれの入力欄に入力し、送信ボタンをクリックする。ユーザ端末は、ユーザIDおよびパスワードを含む一次認証要求を、認証サーバ5に送信する(S12)。
認証サーバ5の1次認証部51は、受信した1次認証要求のユーザIDおよびパスワードが認証テーブル61(図2参照)に存在するか否かを判別し、認証テーブル61に存在する場合に正当なユーザからのアクセスであると認証する(S13)。
そして、正当なユーザからのアクセスである場合、1次認証部51は、1次認証に成功したことを示すセッションIDを生成し、生成したセッションIDをユーザIDとともに、セッション情報テーブル62に登録する(S14)。1次認証部51は、例えば時刻情報などを用いて当該ユーザ端末を識別するためのユニークなセッションIDを生成する。なお、認証テーブル61に存在しない場合、1次認証部51は、1次認証に失敗したとしてエラーメッセージをユーザ端末に送信する。
そして、1次認証部51は、所定のメニュー画面と生成したセッションIDとを、ユーザ端末に送信する(S15)。そして、ユーザ端末は、メニュー画面を出力装置に表示する(S16)。図7(a)のメニュー画面82は、携帯電話1に表示されたメニュー画面の一例である。図示するメニュー画面には、認証サーバ5が提供する各種のサービスが表示され、S13の1次認証だけで利用可能なサービス(例えば「照会」)と、2次認証も必要なサービス(例えば「注文」)とが混在している。なお、ユーザ端末が端末2の場合、図7(a)のメニュー画面72と同様のメニュー画面が端末2に表示される。
ここでユーザは、2次認証も必要なサービス(図示する例では「注文」)を選択するものとする。そして、ユーザ端末は、選択されたメニュー番号と、メニュー画面に埋め込まれたセッションIDとを含むサービス選択指示を認証サーバ5に送信する(S17)。なお、ユーザ端末が携帯電話1の場合、携帯電話1は、認証サーバ5に情報を送信する際に、当該携帯電話1のメモリ等に記憶された携帯電話IDを併せて送信するものとする。
判別部52は、受信したサービス選択指示のセッションIDがセッション情報テーブル62に存在するか否かをチェックする(S18)。判別部52は、セッション情報テーブル62に存在する場合には当該サービス選択指示は1次認証に成功後のものであるとみなし、セッション情報テーブル62に存在しない場合には当該サービス選択指示は不正なユーザからのものであるとみなしエラーメッセージをユーザ端末に送信する。
セッションIDがセッション情報テーブル62に存在する場合、判別部52は、当該サービス番号について2次認証が必要なサービスか否かを判別する。なお、認証サーバ5のメモリなどにはサービス番号各々について2次認証の要否が記憶されているものとする。2次認証が不要なサービス番号の場合、判別部52は、サービス番号を業務処理部58に引き渡し、業務処理部58は当該サービス番号のサービスを提供するための所定の業務サービス画面をユーザ端末に送信する。
2次認証が必要なサービス番号の場合、判別部52は、当該サービス選択指示に携帯電話IDが含まれているか否かを判別する(S19)。携帯電話IDが含まれていない場合(S19:無)、すなわちユーザ端末がPCなどの端末2の場合、図6の処理に進む。一方、携帯電話IDが含まれている場合(S19:有)、すなわちユーザ端末が携帯電話1の場合、判別部52は、当該携帯電話IDおよびユーザIDが認証テーブル61に存在するか否かをチェックする(S20)。なお、判別部52は、セッション情報テーブル62から当該セッションIDに対応するユーザIDを取得するものとする。
認証テーブル61に存在する場合、判別部52は、当該レコードに設定されたパスワード生成キーを取得して第1の生成部53に送出する。一方、認証テーブル61の中に存在しない場合、判別部52は、不正なユーザまたはワンタイムパスワードの発行サービスに未登録のユーザからの要求であると判別し、エラーメッセージをユーザ端末に送信する。
第1の生成部53は、送出されたパスワード生成キーに基づいて、所定のアルゴリズム(例えば、ハッシュ関数等の一方向性関数)によりワンタイムパスワードを生成する(S21)。
そして、第1の生成部53は、生成したワンタイムパスワードを含むワンタイムパスワード確認画面と、セッションIDとをユーザ端末に送信する(S22)。ユーザ端末は、例えば、図7(a)のワンタイムパスワード確認画面73を出力装置に表示する(S23)。ユーザが当該画面のOKボタンをクリックすることにより、ユーザ端末は、表示されたワンタイムパスワード、および当該画面に埋め込まれたセッションIDを認証サーバ5に送信する(S24)。
認証サーバ5のワンタイムパスワード受信部55は、S18と同様に、受信したセッションIDがセッション情報テーブル62に存在するか否かをチェックする(S25)。セッション情報テーブル62に存在する場合、ワンタイムパスワード受信部55は、セッション情報テーブル62から対応するユーザIDを取得する。そして、ワンタイムパスワード受信部55は、認証テーブル61から取得したユーザIDに対応するワンタイムパスワード生成キーを取得して第2の生成部56に送出する。
第2の生成部56は、送出されたパスワード生成キーに基づいて、S21と同様のアルゴリズムによりワンタイムパスワードを生成する(S26)。そして、2次認証部57は、S24で受信したワンタイムパスワードと、S26で生成したワンタイムパスワードとが一致するか否かを判別する(S27)。ワンタイムパスワードが一致した場合、2次認証部57は、正当なユーザからの要求であると認証し、2次認証に成功した旨を示すログイン後画面をユーザ端末に送信する(S28)。
ユーザ端末は、例えば図7(a)に示すログイン後画面74を、出力装置に表示する(S29)。図示する画面の場合、ユーザが「次へ」のボタンをクリックすることにより、認証サーバ5の業務処理部58は、S17で送信されたメニュー番号のサービスをユーザに提供する。なお、ワンタイムパスワードが一致しない場合(S27)、2次認証部57は、2次認証に失敗した旨を示すエラーメッセージを端末2に送信する。
次に、携帯電話IDが含まれていない場合(S19:無)、すなわちユーザ端末がPCなどの端末2の場合の処理を、図6を参照して説明する。
認証サーバ5のワンタイムパスワード要求部54は、ユーザ端末にワンタイムパスワードを要求する(S41)。すなわち、ワンタイムパスワード要求部54は、ワンタイムパスワード入力画面と、セッションIDとをユーザ端末に送信する。ユーザ端末は、例えば、図7(b)のワンタイムパスワード入力画面75を出力装置に表示する(S42)。
ユーザは、ハードウェアトークン3に表示されたワンタイムパスワードを、ワンタイムパスワード入力画面に入力し、送信ボタンをクリックする。ハードウェアトークン3のメモリには、当該ハードウェアトークン3を使用するユーザのユーザID固有のワンタイムパスワード生成キーが設定されている。なお、ハードウェアトークン3に記憶されたワンタイムパスワード生成キーと、認証テーブル61の対応するワンタイムパスワード生成キーとは、同じものである。ハードウェアトークン3は、所定のタイミングでまたはユーザの指示を受け付けて、認証サーバ5と同様のアルゴリズム(S21、S26)によりワンタイムパスワードを生成し、ディスプレイなどの表示装置に表示する。
なお、ワンタイムパスワードを生成する手段は、ハードウェアトークン3を利用する場合に限定されず、他の端末を通じてワンタイムパスワードの発行を受ける場合、携帯電話1のワンタイムパスワード生成アプリを用いる場合などが考えられる。
ユーザ端末は、ユーザが入力したワンタイムパスワードと、セッションIDとを認証サーバ5に送信する(S43)。認証サーバ5は、図5で説明したS25からS28と同様に、セッション情報のチェック、ワンタイムパスワードの生成、および生成したワンタイムパスワードとユーザ端末から受信したワンタイムパスワードとが一致するか否かの2次認証を行い、ログイン後画面をユーザ端末に送信する(S44〜S47)。ユーザ端末は、例えば図7(b)に示すログイン後画面76を、出力装置に表示する(S48)。
以上説明した本実施形態の認証サーバ5は、ユーザ端末から送信されたサービス選択指示などの要求に、携帯電話IDが含まれている場合はユーザ端末が携帯電話であると判別し、ワンタイムパスワードを生成して携帯電話に送信する。これにより、ユーザは、認証サーバ5のWebサイトへのアクセス処理を中断することなく、携帯電話1に表示されたワンタイムパスワードを容易に認証サーバ5に送信することができる。すなわち、本実施形態では、携帯電話の機種に関わらず、ワンタイムパスワードの入力が必要な高度なユーザ認証を行っているWebサイトにアクセスする際に、ユーザの利便性をより向上することができる。また、本実施形態では、ワンタイムパスワードの生成機能を有しない携帯電話であっても、ワンタイムパスワードの入力が必要なWebサイトに容易にアクセスすることができる。
また、本実施形態の認証サーバ5は、ユーザ端末から送信された要求に携帯電話IDが含まれていない場合は、ユーザ端末がPCなどの端末であると判別し、ワンタイムパスワードの入力を要求する。これにより、本実施形態では、ユーザ端末が携帯電話の場合に限らずパソコンなどの端末であっても、ハードウェアトークンを利用することにより、容易にワンタイムパスワードの入力が必要なWebサイトにアクセスすることができる。
また、本実施形態の認証サーバ5は、まずユーザIDおよびパスワードの1次認証を行い、1次認証に成功した場合にセッションIDをセッション情報テーブルに記憶し、その後、ワンタイムパスワードの2次認証を行う。これにより、サービスの種類に応じて柔軟に認証レベルを設定することができる。
なお、本発明は上記の実施形態に限定されるものではなく、その要旨の範囲内で数々の変形が可能である。例えば、上記実施形態では、図5のアクセス処理のS22からS24において、認証サーバ5はワンタイムパスワード確認画面を携帯電話に表示させ、ユーザの指示によりワンタイムパスワードを認証サーバ5に送信させることとした。しかしながら、認証サーバ5の第1の生成部53は、ワンタイムパスワード確認画面を携帯電話に表示させることなく、生成したワンタイムパスワードを当該認証システムに自動的に送信させるリダイレクト指示をユーザ端末に送信することとしてもよい。これにより、ユーザの利便性をより向上することができる。
また、上記実施形態の認証サーバ5は、第1および第2の生成部53、56を有するが、1つの生成部が携帯電話1に送信するワンタイムパスワードを生成するとともに(図5:S21)、認証用のワンタイムパスワードを生成する(図5:S26)こととしてもよい。
<第2の実施形態>
図8は、本発明の第2の実施形態が適用された認証システムの全体構成図である。
図示する認証システムは、ユーザ端末として携帯電話1またはPC(Personal Computer)などの端末2と、業務サーバ7と、認証サーバ8とを有する。業務サーバ7は、携帯電話1および端末2と携帯電話網やインターネットなどのネットワークを介して接続されるとともに、認証サーバ8とLANなどのネットワークにより接続される。
本実施形態の業務サーバ7は、ユーザ端末(携帯電話1、端末2)からのアクセス要求を認証サーバ8とともに認証し、認証に成功した場合に所定のサービスを提供する。図示する業務サーバ7は、1次認証を行う1次認証部71と、ユーザ端末が携帯電話1か否かを判別する判別部72と、ユーザ端末が携帯電話1の場合にPINを要求するPIN要求部73と、ユーザ端末が端末2の場合にワンタイムパスワードを要求するワンタイムパスワード要求部74と、ユーザ端末からワンタイムパスワードを受信するワンタイムパスワード受信部75と、ワンタイムパスワードを生成する生成部76と、ユーザ端末から送信されたワンタイムパスワードと生成部76が生成したワンタイムパスワードとを検証する2次認証部77と、ユーザ端末に所定のサービスを提供する業務処理部78と、を有する。
また、図示する業務サーバ7は、認証に必要な各種の情報が記憶される第1の認証テーブル79と、第1の実施形態のセッション情報テーブル62(図3参照)と同様のセッション情報テーブル80と、を有する。
本実施形態の認証サーバ8は、業務サーバ7の要求を受け付けて携帯電話IDの検証を行う携帯電話ID検証部81と、業務サーバ7の要求を受け付けてPINの検証を行うPIN検証部82と、第2の認証テーブル85とを有する。
図9は、業務サーバ7の第1の認証テーブル79の一例を示す図である。図示する第1の認証テーブル79は、ユーザID111と、パスワード112と、ワンタイムパスワード生成キー113とを有する。
図10は、認証サーバ8の第2の認証テーブル85の一例を示す図である。図示する第2の認証テーブル80は、ユーザID121と、携帯電話ID122(機体識別番号、電話番号、携帯電話のICメモリに記憶されたユーザ情報など)と、ユーザが任意に設定する暗証番号であるPIN(Personal Identification Number)123とを有する。
次に、ユーザ端末(携帯電話1または端末2)から業務サーバ7のWebサイトにアクセスする際の処理について説明する。
図11および図12は、アクセス処理のシーケンス図である。
図11のS51からS58までの処理は、第1の実施形態の処理(図5:S11〜S18)と同様であるため、ここでは説明を省略する。なお、本実施形態では、第1の実施形態で認証サーバ5の1次認証部51および判別部52が行っていた処理を、業務サーバ7の1次認証部71および判別部72が行う。
S59において、業務サーバ7の判別部72は、当該サービス番号について2次認証が必要なサービスか否かを判別し、2次認証が不要なサービス番号の場合はサービス番号を業務処理部78に引き渡し、業務処理部78は当該サービス番号のサービスを提供するための所定の業務サービス画面をユーザ端末に送信する。一方、2次認証が必要なサービス番号の場合、判別部72は、当該サービス選択指示に携帯電話IDが含まれているか否かを判別する。
携帯電話IDが含まれていない場合(S59:無)、すなわちユーザ端末がPCなどの端末2の場合、図12の処理に進む。一方、携帯電話IDが含まれている場合(S59:有)、すなわちユーザ端末が携帯電話1の場合、判別部72は、当該携帯電話IDおよびユーザIDの検証要求を認証サーバ8に送信する(S60)。なお、判別部72は、セッション情報テーブル80から当該セッションIDに対応するユーザIDを取得するものとする。
認証サーバ8の携帯電話ID検証部81は、業務サーバ7が送信した検証要求に含まれる携帯電話IDおよびユーザIDが、第2の認証テーブル85に存在するか否かをチェックする(S61)。第2の認証テーブル85の中に存在しない場合(S61:NG)、携帯電話ID検証部81は、認証サーバ8への登録を行っていない未登録ユーザからの要求であると判別し、検証結果(NGデータ)を業務サーバ7に送信し(S62)、図12の処理に進む。一方、第2の認証テーブル85に存在する場合、携帯電話ID検証部81は、検証結果(OKデータ)を業務サーバ7に送信する(S63)。
業務サーバ7のPIN要求部73は、ユーザ端末にPIN(暗証番号)を要求する(S64)。すなわち、PIN要求部73は、PIN入力画面と、セッションIDとをユーザ端末に送信する。ユーザ端末は、PINの入力欄が設定されたPIN入力画面を出力装置に表示する(S65)。
ユーザは、あらかじめ認証サーバ8に登録したPINをPIN入力画面に入力する。ユーザ端末は、ユーザが入力したPINと、セッションIDとを業務サーバ7に送信する(S66)。業務サーバ7のPIN要求部73は、受信したセッションIDがセッション情報テーブル80に存在するか否かをチェックする(S67)。セッション情報テーブル80に存在する場合、PIN要求部73は、当該PINおよびユーザIDの検証要求を認証サーバ8に送信する(S68)。なお、PIN要求部73は、セッション情報テーブル80から当該セッションIDに対応するユーザIDを取得するものとする。
認証サーバ8のPIN検証部82は、業務サーバ7が送信したPINおよびユーザIDが、第2の認証テーブル85に存在するか否かをチェックし(S69)、検証結果(OKまたはNG)を業務サーバ7に送信する(S70)。業務サーバ7の2次認証部77は、OKの検証結果の場合、正当なユーザからの要求であると認証し、2次認証に成功した旨を示す2次認証後画面をユーザ端末に送信する(S71)。ユーザ端末は、例えば図7(a)に示すログイン後画面74を、出力装置に表示する(S72)。
なお、携帯電話IDが含まれていない場合、すなわちユーザ端末がPCなどの端末2の場合(S59:無)の処理と、携帯電話IDが認証サーバ8の第2の認証テーブルに登録されていない場合の処理(S61:NG)は、図12に示すとおりである。図12のS81からS88までの処理は、第1の実施形態の処理(図6:S41〜S48)と同様であるため、ここでは説明を省略する。図12の本実施形態では、第1の実施形態で認証サーバ5のワンタイムパスワード要求部54、ワンタイムパスワード受信部55、第2の生成部56および2次認証部57が行う処理を、業務サーバ7のワンタイムパスワード要求部74、ワンタイムパスワード受信部75、生成部76および2次認証部77が行う。
以上説明した本実施形態の業務サーバ7および認証サーバ8は、ユーザ端末から送信されたサービス選択指示などの要求に、携帯電話IDが含まれている場合はユーザ端末が携帯電話であると判別し、ワンタイムパスワードの替わりにPINの入力を要求する。ユーザは、認証サーバ5のWebサイトへのアクセス処理を中断することなく、PINを入力することにより2次認証に応答することができる。すなわち、本実施形態では、携帯電話の機種に関わらず、必要な高度なユーザ認証を行っているWebサイトにアクセスする際に、ユーザの利便性をより向上することができる。また、本実施形態では、ワンタイムパスワードの生成機能を有しない携帯電話であっても、高度なユーサ認証を行っているWebサイトに容易にアクセスすることができる。
また、本実施形態の業務サーバ7および認証サーバ8は、ユーザ端末から送信された要求に、携帯電話IDが含まれていない場合は、ユーザ端末がPCなどの端末であると判別し、ワンタイムパスワードの入力を要求する。これにより、本実施形態では、ユーザ端末が携帯電話の場合に限らず、パソコンなどの端末であっても、ハードウェアトークンを利用することにより、容易にワンタイムパスワードの入力が必要なWebサイトにアクセスすることができる。
なお、本発明は上記の実施形態に限定されるものではなく、その要旨の範囲内で数々の変形が可能である。例えば、上記実施形態では、図11のアクセス処理のS61において携帯電話IDが第2の認証テーブルに登録されていた場合(S61:OK)、PIN入力画面をユーザ端末に送信することとした(S64)。しかしながら、業務サーバ7は、第1の実施形態のようにワンタイムパスワードを生成し、ワンタイムパスワード確認画面をユーザ端末に送信し(図5:S21〜S24)、その後、PIN入力画面をユーザ端末に送信することととしてもよい。
本発明の第1の実施形態が適用された認証システムの全体構成図である。 認証テーブルの一例を示す図である。 セッション情報テーブルの一例を示す図である。 各装置のハードウェア構成例を示す図である。 アクセス処理のシーケンス図である。 アクセス処理のシーケンス図である。 ユーザ端末の各種画面例である。 本発明の第2の実施形態が適用された認証システムの全体構成図である。 第1の認証テーブルの一例を示す図である。 第2の認証テーブルの一例を示す図である。 アクセス処理のシーケンス図である。 アクセス処理のシーケンス図である。
符号の説明
1:携帯電話、2:端末、3:ハードウェアトークン、5:認証サーバ、51:1次認証部、52:判別部、53:第1の生成部、54:ワンタイムパスワード要求部、55:ワンタイムパスワード受信部、56:第2の生成部、57:2次認証部、58:業務処理部、61:認証テーブル、62:セッション情報テーブル

Claims (7)

  1. 認証システムであって、
    ユーザ端末の端末識別情報と、ワンタイムパスワードを生成するためのパスワード生成キーと、ユーザIDとを対応付けて記憶する認証記憶手段と、
    前記ユーザ端末のセッション情報とユーザIDとを対応付けて記憶するセッション情報記憶手段と、
    前記ユーザ端末からの要求に前記認証記憶手段に記憶された当該ユーザ端末の端末識別情報が含まれているか否かを判別する判別手段と、
    前記要求に前記ユーザ端末の端末識別情報が含まれている場合に、前記認証記憶手段に記憶された当該端末識別情報に対応するパスワード生成キーに基づいて第1のワンタイムパスワードを生成し、前記ユーザ端末に送信する第1の生成手段と、
    前記ユーザ端末から第2のワンタイムパスワードおよびセッション情報を受信し、前記セッション情報に対応するユーザIDを前記セッション情報記憶手段から取得するパスワード受信手段と、
    前記取得したユーザIDに対応するパスワード生成キーを前記認証記憶手段から特定し、当該パスワード生成キーに基づいて第3のワンタイムパスワードを生成する第2の生成手段と、
    前記第3のワンタイムパスワードと、前記パスワード受信手段が受信した第2のワンタイムパスワードとが一致するか否かを検証し、一致する場合に認証に成功したと判別する認証手段と、を有すること
    を特徴とする認証システム。
  2. 請求項1記載の認証システムであって、
    前記パスワード受信手段が受信した第2のワンタイムパスワードは、前記第1の生成手段が生成した第1のワンタイムパスワード、または、前記ユーザ端末においてユーザが入力したワンタイムパスワードであること
    を特徴とする認証システム。
  3. 請求項1記載の認証システムであって、
    前記要求に前記ユーザ端末の端末識別情報が含まれていない場合、ワンタイムパスワードを要求する要求指示を前記ユーザ端末に送信するワンタイムパスワード要求手段を、さらに有すること
    を特徴とする認証システム。
  4. 請求項1記載の認証システムであって、
    前記第1の生成手段は、生成した第1のワンタイムパスワードを、当該認証システムに送信させるリダイレクト指示を前記ユーザ端末に送信すること
    を特徴とする認証システム。
  5. 請求項1記載の認証システムであって、
    前記ユーザ端末からユーザIDを含む1次認証要求を受信し、前記ユーザIDが前記認証記憶手段に記憶されている場合に1次認証に成功したことを示す前記セッション情報を生成し、前記ユーザIDとともにセッション情報記憶手段に記憶する1次認証手段を、さらに有すること
    を特徴とする認証システム。
  6. 認証システムが行うワンタイムパスワードの認証方法であって、
    前記認証システムは、
    ユーザ端末の端末識別情報と、ワンタイムパスワードを生成するためのパスワード生成キーと、ユーザIDとを対応付けて記憶する認証記憶部と、
    前記ユーザ端末のセッション情報とユーザIDとを対応付けて記憶するセッション情報記憶部と、処理部とを有し、
    前記処理部は、
    前記ユーザ端末からの要求に前記認証記憶部に記憶された当該ユーザ端末の端末識別情報が含まれているか否かを判別する判別ステップと、
    前記要求に前記ユーザ端末の端末識別情報が含まれている場合に、前記認証記憶部に記憶された当該端末識別情報に対応するパスワード生成キーに基づいて第1のワンタイムパスワードを生成し、前記ユーザ端末に送信する第1の生成ステップと、
    前記ユーザ端末から第2のワンタイムパスワードおよびセッション情報を受信し、前記セッション情報に対応するユーザIDを前記セッション情報記憶部から取得するパスワード受信ステップと、
    前記取得したユーザIDに対応するパスワード生成キーを前記認証記憶部から特定し、当該パスワード生成キーに基づいて第3のワンタイムパスワードを生成する第2の生成ステップと、
    前記第3のワンタイムパスワードと、前記パスワード受信ステップで受信した第2のワンタイムパスワードとが一致するか否かを検証し、一致する場合に認証に成功したと判別する認証ステップと、を行うこと
    を特徴とする認証方法。
  7. 認証システムが実行するワンタイムパスワードの認証プログラムであって、
    前記認証システムは、
    ユーザ端末の端末識別情報と、ワンタイムパスワードを生成するためのパスワード生成キーと、ユーザIDとを対応付けて記憶する認証記憶部と、
    前記ユーザ端末のセッション情報とユーザIDとを対応付けて記憶するセッション情報記憶部と、処理部とを有し、
    前記処理部に、
    前記ユーザ端末からの要求に前記認証記憶部に記憶された当該ユーザ端末の端末識別情報が含まれているか否かを判別する判別ステップと、
    前記要求に前記ユーザ端末の端末識別情報が含まれている場合に、前記認証記憶部に記憶された当該端末識別情報に対応するパスワード生成キーに基づいて第1のワンタイムパスワードを生成し、前記ユーザ端末に送信する第1の生成ステップと、
    前記ユーザ端末から第2のワンタイムパスワードおよびセッション情報を受信し、前記セッション情報に対応するユーザIDを前記セッション情報記憶部から取得するパスワード受信ステップと、
    前記取得したユーザIDに対応するパスワード生成キーを前記認証記憶部から特定し、当該パスワード生成キーに基づいて第3のワンタイムパスワードを生成する第2の生成ステップと、
    前記第3のワンタイムパスワードと、前記パスワード受信ステップで受信した第2のワンタイムパスワードとが一致するか否かを検証し、一致する場合に認証に成功したと判別する認証ステップと、を実行させること
    を特徴とする認証プログラム。
JP2007084047A 2007-03-28 2007-03-28 認証システム、認証方法および認証プログラム Expired - Fee Related JP4960738B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007084047A JP4960738B2 (ja) 2007-03-28 2007-03-28 認証システム、認証方法および認証プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007084047A JP4960738B2 (ja) 2007-03-28 2007-03-28 認証システム、認証方法および認証プログラム

Publications (2)

Publication Number Publication Date
JP2008242926A JP2008242926A (ja) 2008-10-09
JP4960738B2 true JP4960738B2 (ja) 2012-06-27

Family

ID=39914177

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007084047A Expired - Fee Related JP4960738B2 (ja) 2007-03-28 2007-03-28 認証システム、認証方法および認証プログラム

Country Status (1)

Country Link
JP (1) JP4960738B2 (ja)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5317629B2 (ja) * 2008-11-05 2013-10-16 ヤフー株式会社 情報管理装置、情報処理システム、情報管理方法及び情報管理プログラム
JP5398291B2 (ja) * 2009-02-10 2014-01-29 日本電信電話株式会社 サービス提供装置、サービス提供方法、サービス提供プログラムおよびサービス提供システム
JP5603766B2 (ja) * 2010-12-27 2014-10-08 新日鉄住金ソリューションズ株式会社 情報処理システム、情報処理方法及びプログラム
JP5440547B2 (ja) * 2011-03-31 2014-03-12 キヤノンマーケティングジャパン株式会社 情報処理システム、情報処理装置、及びその制御方法、プログラム
CN102477820A (zh) * 2011-09-07 2012-05-30 贾松仁 基于动态密码的电子锁系统及认证方法
EP2781071A1 (en) * 2011-11-14 2014-09-24 Fon Wireless Limited Secure tunneling platform system and method
EP2683127A1 (en) * 2012-07-05 2014-01-08 Alcatel-Lucent Voucher authorization for cloud server
CA2879735A1 (en) * 2012-07-25 2014-01-30 Financial Services/Information Sharing & Analysis Center Method and system for secure authentication and information sharing and analysis
JP6322444B2 (ja) * 2014-02-28 2018-05-09 ゲヒルン株式会社 ユーザ認証サーバ、ユーザ認証方法、ユーザ認証サーバ用プログラム
JP2020201716A (ja) * 2019-06-10 2020-12-17 富士電機株式会社 認証システム及び認証方法

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002259344A (ja) * 2001-02-28 2002-09-13 Mitsubishi Electric Corp ワンタイムパスワード認証システム及び携帯電話及びユーザ認証サーバ
JP3678417B2 (ja) * 2002-04-26 2005-08-03 正幸 糸井 個人認証方法及びシステム
JP2004021311A (ja) * 2002-06-12 2004-01-22 Japan Telecom Co Ltd 情報処理装置及び情報処理方法
JP2004153300A (ja) * 2002-10-28 2004-05-27 Osaka Gas Co Ltd インターネットアクセス管理システム
JP4451339B2 (ja) * 2005-03-24 2010-04-14 株式会社野村総合研究所 負荷分散システム、および負荷分散方法
JP4755866B2 (ja) * 2005-08-23 2011-08-24 株式会社野村総合研究所 認証システム、認証サーバ、認証方法および認証プログラム

Also Published As

Publication number Publication date
JP2008242926A (ja) 2008-10-09

Similar Documents

Publication Publication Date Title
JP4960738B2 (ja) 認証システム、認証方法および認証プログラム
CN101997824B (zh) 基于移动终端的身份认证方法及其装置和系统
US8495720B2 (en) Method and system for providing multifactor authentication
JP5462021B2 (ja) 認証システム、認証方法および認証プログラム
CN104969528A (zh) 确定验证功能的查询系统和方法
KR20130107188A (ko) 사운드 코드를 이용한 인증 서버 및 인증방법
JP4755866B2 (ja) 認証システム、認証サーバ、認証方法および認証プログラム
JP2011215753A (ja) 認証システムおよび認証方法
KR20110055542A (ko) 유저 인증을 관리하기 위한 장치
JP4913624B2 (ja) 認証システムおよび認証方法
JP2011204169A (ja) 認証システム、認証装置、認証方法および認証プログラム
KR102372503B1 (ko) 탈중앙화 아이디 앱을 이용하여 인증 서비스를 제공하는 방법 및 이를 이용한 탈중앙화 아이디 인증 서버
JP2012208856A (ja) 身元確認システムおよび身元確認方法
JP5317795B2 (ja) 認証システムおよび認証方法
WO2006073008A1 (ja) ネットワークカメラへのログイン認証システム
JP5707204B2 (ja) 身元確認システムおよび身元確認方法
JP4334515B2 (ja) サービス提供サーバ、認証サーバ、および認証システム
JP5086024B2 (ja) ユーザ認証システム、装置、及び方法
JP4914725B2 (ja) 認証システム、認証プログラム
JP4824986B2 (ja) 認証システム、認証方法および認証プログラム
EP2916509B1 (en) Network authentication method for secure user identity verification
JP2011164837A (ja) 認証システムおよび認証方法
KR100993333B1 (ko) 인터넷 접속 도구를 고려한 사용자 인증 방법 및 시스템
JP4718917B2 (ja) 認証方法およびシステム
JP5793593B2 (ja) ユーザ識別情報を安全に検証するためのネットワーク認証方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090914

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120222

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120313

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120323

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150330

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees