[go: up one dir, main page]

JP4973292B2 - Authentication device, authentication program, authentication system, password generation device, portable security device, and password generation program - Google Patents

Authentication device, authentication program, authentication system, password generation device, portable security device, and password generation program Download PDF

Info

Publication number
JP4973292B2
JP4973292B2 JP2007103136A JP2007103136A JP4973292B2 JP 4973292 B2 JP4973292 B2 JP 4973292B2 JP 2007103136 A JP2007103136 A JP 2007103136A JP 2007103136 A JP2007103136 A JP 2007103136A JP 4973292 B2 JP4973292 B2 JP 4973292B2
Authority
JP
Japan
Prior art keywords
password
counter
authentication
generation
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2007103136A
Other languages
Japanese (ja)
Other versions
JP2008262299A (en
Inventor
一郎 尾関
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Dai Nippon Printing Co Ltd
Original Assignee
Dai Nippon Printing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Dai Nippon Printing Co Ltd filed Critical Dai Nippon Printing Co Ltd
Priority to JP2007103136A priority Critical patent/JP4973292B2/en
Publication of JP2008262299A publication Critical patent/JP2008262299A/en
Application granted granted Critical
Publication of JP4973292B2 publication Critical patent/JP4973292B2/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

この発明は、ワンタイムパスワードにより認証を行う認証装置、認証プログラム、および認証システム、並びに、ワンタイムパスワードを生成するパスワード生成装置、携帯型セキュリティデバイス、およびパスワード生成プログラムに関するものである。   The present invention relates to an authentication device, an authentication program, and an authentication system that perform authentication using a one-time password, a password generation device that generates a one-time password, a portable security device, and a password generation program.

近年、パスワードの通信傍受などによるシステムへの不正アクセスを回避してセキュリティを強化するために、1回のみ有効なOTP(ワンタイムパスワード)を用いた認証システムが広く普及している。OTPを生成する方法としては、カウンタ同期方式、時刻同期方式、チャレンジアンドレスポンス方式などが知られている。   In recent years, an authentication system using an OTP (one-time password) that is effective only once has been widely used in order to prevent unauthorized access to the system due to interception of password communication and the like to enhance security. As a method for generating OTP, a counter synchronization method, a time synchronization method, a challenge and response method, and the like are known.

カウンタ同期方式では、まず、トークンと呼ばれるパスワード生成装置と、認証を行う認証サーバとのそれぞれに、予めOTPの生成に使用するカウンタと鍵情報とを保持する。なお、カウンタの値は認証実行のたびに各装置でそれぞれインクリメントされ、同期が取られるようになっている。そして、認証を実行するたびに、トークンおよび認証サーバでカウンタと鍵情報とからOTPをそれぞれ生成し、両者を照合することにより認証を行う。   In the counter synchronization method, first, a counter and key information used to generate an OTP are held in advance in each of a password generation device called a token and an authentication server that performs authentication. The value of the counter is incremented by each device every time authentication is executed, and synchronization is taken. Each time authentication is performed, an OTP is generated from the counter and the key information by the token and the authentication server, and authentication is performed by comparing the two.

時刻同期方式は、カウンタを同期させる代わりに、各装置で時刻が同期していることを前提として、時刻と鍵情報とを用いてOTPを生成する方式である。また、チャレンジアンドレスポンス方式は、カウンタの代わりになるランダムな文字列(チャレンジ)を認証サーバ側で生成し、トークン側でこの文字列を入力して所定の演算を行った結果(レスポンス)を認証サーバで照合することにより認証を行う方式である。   The time synchronization method is a method of generating OTP using time and key information on the assumption that the time is synchronized in each device instead of synchronizing the counter. The challenge-and-response method generates a random character string (challenge) instead of a counter on the authentication server side, and inputs the character string on the token side to authenticate the result (response) of the given calculation. In this method, authentication is performed by collating with a server.

OTPを利用した認証システムでは、毎回パスワードが変更されるため、仮にパスワードを通信傍受してもそのパスワードを再利用することができない。このため、通常のパスワードを用いた認証方法と比較して安全性が向上する。   In the authentication system using OTP, the password is changed every time, so that even if the password is intercepted by communication, the password cannot be reused. For this reason, safety is improved as compared with an authentication method using a normal password.

特許文献1では、インターネットバンキングなどのネットワーク上で動作するアプリケーションに適用可能な認証システムであって、カウンタ同期方式で生成されるOTPを利用するとともに、決済カード細目を送信する必要をなくしてセキュリティを強化した認証システムに関する技術が提案されている。   Patent Document 1 is an authentication system that can be applied to an application that operates on a network such as Internet banking, and uses an OTP generated by a counter synchronization method and eliminates the need to transmit a payment card detail. Technologies for enhanced authentication systems have been proposed.

カウンタ同期方式では、誤操作等に起因してトークンでOTPを生成したにも関わらず認証サーバで認証を行わなかった場合は、トークンと認証サーバとでカウンタ値のずれが発生しうる。このようにカウンタ値にずれが生じた場合に直ちに認証不可とすべきでないため、認証サーバ側では、通常、照合に用いるカウンタ値にある程度の幅を設けている。すなわち、保持しているカウンタ値以降の複数のカウンタ値でOTPを生成して、送信されたOTPとの比較を行うことにより、カウンタ値のずれを所定の範囲で許容し、当該範囲内でずれを修正してカウンタの同期を取っている。   In the counter synchronization method, when the authentication server does not perform authentication even though the OTP is generated with the token due to an erroneous operation or the like, the counter value may deviate between the token and the authentication server. Since the authentication value should not be immediately disabled when the counter value is shifted in this way, the authentication server usually provides a certain range for the counter value used for verification. That is, by generating an OTP with a plurality of counter values after the held counter value and comparing it with the transmitted OTP, a deviation of the counter value is allowed within a predetermined range, and the deviation is within the range. Fix the counter to synchronize.

例えば、特許文献1では、トークン側のカウンタの最下位ビットをトークンから認証サーバへ送信することにより、認証サーバ側で、所定の範囲内で最下位ビットが一致するカウンタに同期させる技術が開示されている。   For example, Patent Document 1 discloses a technique in which the least significant bit of a token-side counter is transmitted from a token to an authentication server, so that the authentication server synchronizes with a counter that matches the least significant bit within a predetermined range. ing.

特表2004−524605号公報JP-T-2004-524605

しかしながら、特許文献1の方法では、カウンタの最下位ビットを用いてカウンタ値の同期を行っているが、カウンタ値のずれの許容範囲については考慮されていないため、ユーザの利便性を向上させることができないという問題があった。   However, in the method of Patent Document 1, the counter value is synchronized using the least significant bit of the counter. However, since the allowable range of the counter value deviation is not considered, the convenience of the user is improved. There was a problem that could not.

一方、従来のカウンタ同期方式では、利便性向上のためカウンタ値の許容範囲を大きくすると、認証サーバ側が照合に用いるパスワードの個数が増えることによりセキュリティが低下するという問題があった。また、照合に用いるパスワードの個数が増えるため、認証サーバ側での認証処理の処理時間が増加するという問題もあった。   On the other hand, in the conventional counter synchronization method, if the allowable range of the counter value is increased for the sake of convenience, there is a problem that the security decreases due to an increase in the number of passwords used for verification by the authentication server. Further, since the number of passwords used for verification increases, there is a problem that the processing time of the authentication process on the authentication server side increases.

本発明は、上記に鑑みてなされたものであって、セキュリティを低下させずにカウンタ値の許容範囲を広げることにより利便性を向上させることができる認証装置、認証プログラム、認証システム、パスワード生成装置、携帯型セキュリティデバイス、およびパスワード生成プログラムを提供することを目的とする。   The present invention has been made in view of the above, and an authentication apparatus, an authentication program, an authentication system, and a password generation apparatus that can improve convenience by expanding the allowable range of counter values without reducing security An object of the present invention is to provide a portable security device and a password generation program.

上述した課題を解決し、目的を達成するために、本発明は、パスワードを生成する度に更新される生成カウンタに基づいて生成されたワンタイムパスワードを、ネットワークを介して接続された端末装置から受信して認証を行う認証装置であって、ユーザを識別するユーザIDと、前記ユーザを認証する度に更新される認証カウンタとを対応づけて記憶する記憶部と、前記端末装置から、前記ユーザIDと、前記生成カウンタの下位の予め定められた桁数の数値を含む前記ワンタイムパスワードとを受信する受信部と、受信した前記ワンタイムパスワードから前記数値を抽出する抽出部と、受信した前記ユーザIDに対応する前記認証カウンタを前記記憶部から取得し、取得した前記認証カウンタより大きく、下位の前記桁数の値が抽出した前記数値と一致するカウンタ値を生成するカウンタ生成部と、生成された前記カウンタ値に基づいて、照合用パスワードを生成するパスワード生成部と、生成された前記照合用パスワードと、受信した前記ワンタイムパスワードとを照合して、受信した前記ユーザIDの前記ユーザを認証する認証部と、を備えたことを特徴とする。本発明によれば、下位の所定桁数の数値が一致するカウンタ値のみを用いて照合用のパスワードを生成し、受信したワンタイムパスワードと比較できるため、照合するパスワード数を増加させずにカウンタの許容範囲を広げることができる。すなわち、セキュリティを低下させずにカウンタ値の許容範囲を広げることにより利便性を向上させることができる。   In order to solve the above-described problems and achieve the object, the present invention provides a one-time password generated based on a generation counter updated every time a password is generated from a terminal device connected via a network. An authentication apparatus that receives and authenticates, a storage unit that stores a user ID that identifies a user and an authentication counter that is updated each time the user is authenticated, and the terminal device from the user A receiving unit for receiving the ID and the one-time password including a predetermined number of digits lower than the generation counter; an extracting unit for extracting the numerical value from the received one-time password; The authentication counter corresponding to the user ID is acquired from the storage unit, and the value of the number of digits lower than the acquired authentication counter is extracted. A counter generation unit that generates a counter value that matches the written value, a password generation unit that generates a verification password based on the generated counter value, the generated verification password, and the received one-time And an authentication unit that verifies the password and authenticates the user of the received user ID. According to the present invention, the password for verification can be generated using only the counter value that matches the numerical value of the lower predetermined number of digits and can be compared with the received one-time password. Therefore, the counter can be used without increasing the number of passwords to be verified. Can be expanded. That is, convenience can be improved by expanding the allowable range of the counter value without reducing security.

また、本発明は、上記認証装置を実行することができるプログラムである。本発明によれば、下位の所定桁数の数値が一致するカウンタ値のみを用いて照合用のパスワードを生成し、受信したワンタイムパスワードと比較する処理を認証装置に実行させることができるため、照合するパスワード数を増加させずにカウンタの許容範囲を広げることができる。   Moreover, this invention is a program which can perform the said authentication apparatus. According to the present invention, it is possible to generate a verification password using only the counter value that matches the numerical value of the lower predetermined number of digits, and to cause the authentication device to execute processing for comparison with the received one-time password. The allowable range of the counter can be expanded without increasing the number of passwords to be verified.

また、本発明は、パスワードを生成する度に更新される生成カウンタを記憶する記憶部と、前記記憶部に記憶された前記生成カウンタに基づいて生成したパスワードに、前記生成カウンタの下位の予め定められた桁数の数値を追加したワンタイムパスワードを生成するパスワード生成部と、前記数値が追加された前記ワンタイムパスワードを表示する表示部と、を備えたことを特徴とする。本発明によれば、パスワード生成時のカウンタの下位の所定桁数の数値が追加されたワンタイムパスワードを生成することができる。このため、ワンタイムパスワードを照合する認証装置側では、下位の所定桁数の数値が一致するカウンタ値のみを用いて照合用のパスワードを生成し、ワンタイムパスワードと比較できるため、照合するパスワード数を増加させずにカウンタの許容範囲を広げることができる。   In addition, the present invention provides a storage unit that stores a generation counter that is updated each time a password is generated, and a password that is generated based on the generation counter stored in the storage unit, in a lower order of the generation counter. And a display unit for displaying the one-time password with the added numerical value. The password generating unit generates a one-time password with the added number of digits. According to the present invention, it is possible to generate a one-time password to which a numerical value of a predetermined number of digits lower than the counter at the time of password generation is added. For this reason, the authentication device that verifies the one-time password can generate a verification password using only the counter value that matches the lower-order number of digits, and can compare it with the one-time password. The allowable range of the counter can be expanded without increasing the value.

また、本発明は、記憶部に記憶され、パスワードを生成する度に更新される生成カウンタに基づいて生成したパスワードに、前記生成カウンタの下位の予め定められた桁数の数値を追加したワンタイムパスワードを生成するパスワード生成手順と、前記数値が追加された前記ワンタイムパスワードを出力する出力手順と、をコンピュータに実行させることができるプログラムである。本発明によれば、パスワード生成時のカウンタの下位の所定桁数の数値が追加されたワンタイムパスワードを生成する処理をコンピュータに実行させることができる。このため、ワンタイムパスワードを照合する認証装置側では、下位の所定桁数の数値が一致するカウンタ値のみを用いて照合用のパスワードを生成し、ワンタイムパスワードと比較できるため、照合するパスワード数を増加させずにカウンタの許容範囲を広げることができる。   Further, the present invention provides a one-time operation in which a numerical value of a predetermined number of digits lower than the generation counter is added to a password generated based on a generation counter stored in the storage unit and updated each time a password is generated. A program capable of causing a computer to execute a password generation procedure for generating a password and an output procedure for outputting the one-time password to which the numerical value is added. According to the present invention, it is possible to cause a computer to execute a process for generating a one-time password to which a numerical value of a predetermined number of digits lower than the counter at the time of password generation is added. For this reason, the authentication device that verifies the one-time password can generate a verification password using only the counter value that matches the lower-order number of digits, and can compare it with the one-time password. The allowable range of the counter can be expanded without increasing the value.

また、本発明は、パスワードを表示する表示装置と通信可能な携帯型セキュリティデバイスであって、パスワードを生成する度に更新される生成カウンタを記憶する記憶部と、前記記憶部に記憶された前記生成カウンタに基づいて生成したパスワードに、前記生成カウンタの下位の予め定められた桁数の数値を追加したワンタイムパスワードを生成するパスワード生成部と、前記数値が追加された前記ワンタイムパスワードを前記表示装置に出力する出力部と、を備えたことを特徴とする。本発明によれば、パスワード生成時のカウンタの下位の所定桁数の数値が追加されたワンタイムパスワードを生成することができる。このため、ワンタイムパスワードを照合する認証装置側では、下位の所定桁数の数値が一致するカウンタ値のみを用いて照合用のパスワードを生成し、ワンタイムパスワードと比較できるため、照合するパスワード数を増加させずにカウンタの許容範囲を広げることができる。   Further, the present invention is a portable security device that can communicate with a display device that displays a password, a storage unit that stores a generation counter that is updated each time a password is generated, and the storage unit that stores the generation counter A password generation unit that generates a one-time password by adding a predetermined number of digits lower than the generation counter to a password generated based on the generation counter, and the one-time password to which the numerical value is added And an output unit for outputting to a display device. According to the present invention, it is possible to generate a one-time password to which a numerical value of a predetermined number of digits lower than the counter at the time of password generation is added. For this reason, the authentication device that verifies the one-time password can generate a verification password using only the counter value that matches the lower-order number of digits, and can compare it with the one-time password. The allowable range of the counter can be expanded without increasing the value.

また、本発明は、ワンタイムパスワードを生成するパスワード生成装置と、ネットワークを介して接続された端末装置から前記パスワード生成装置が生成した前記ワンタイムパスワードを受信して認証を行う認証装置とを備えた認証システムであって、前記パスワード生成装置は、パスワードを生成する度に更新される生成カウンタを記憶する第1記憶部と、前記第1記憶部に記憶された前記生成カウンタに基づいて生成したパスワードに、前記生成カウンタの下位の予め定められた桁数の数値を追加した前記ワンタイムパスワードを生成する第1パスワード生成部と、前記数値が追加された前記ワンタイムパスワードを表示する表示部と、を備え、前記認証装置は、ユーザを識別するユーザIDと、前記ユーザを認証する度に更新される認証カウンタとを対応づけて記憶する第2記憶部と、前記端末装置から、前記ユーザIDと、前記パスワード生成装置が生成した前記ワンタイムパスワードとを受信する受信部と、受信した前記ワンタイムパスワードから前記数値を抽出する抽出部と、受信した前記ユーザIDに対応する前記認証カウンタを前記第2記憶部から取得する取得部と、取得した前記認証カウンタより大きく、下位の前記桁数の値が抽出した前記数値と一致するカウンタ値を生成するカウンタ生成部と、生成された前記カウンタ値に基づいて、照合用パスワードを生成する第2パスワード生成部と、生成された前記照合用パスワードと、受信した前記ワンタイムパスワードとを照合して、受信した前記ユーザIDの前記ユーザを認証する認証部と、を備えたことを特徴とする。本発明によれば、パスワード生成装置では、パスワード生成時のカウンタの下位の所定桁数の数値が追加されたワンタイムパスワードを生成し、認証装置では、下位の所定桁数の数値が一致するカウンタ値のみを用いて照合用のパスワードを生成し、パスワード生成装置によって生成されたワンタイムパスワードと比較できるため、照合するパスワード数を増加させずにカウンタの許容範囲を広げることができる。   The present invention also includes a password generation device that generates a one-time password, and an authentication device that receives and authenticates the one-time password generated by the password generation device from a terminal device connected via a network. The password generation device generates a password based on a first storage unit that stores a generation counter that is updated each time a password is generated, and the generation counter stored in the first storage unit. A first password generating unit for generating the one-time password by adding a predetermined number of digits lower than the generation counter to the password; and a display unit for displaying the one-time password to which the numerical value has been added; The authentication device includes a user ID for identifying a user and an authentication that is updated each time the user is authenticated. From the second storage unit that stores the counter in association with each other, the reception unit that receives the user ID and the one-time password generated by the password generation device from the terminal device, and the received one-time password An extraction unit that extracts the numerical value, an acquisition unit that acquires the authentication counter corresponding to the received user ID from the second storage unit, and a value of the number of digits lower than the acquired authentication counter A counter generation unit that generates a counter value that matches the numeric value, a second password generation unit that generates a verification password based on the generated counter value, and the generated verification password An authentication unit that verifies the one-time password and authenticates the user of the received user ID. To. According to the present invention, the password generation device generates a one-time password to which the numerical value of the lower predetermined number of digits of the counter at the time of password generation is added, and the authentication device has a counter in which the numerical value of the lower predetermined number of digits matches. Since the password for verification can be generated using only the value and compared with the one-time password generated by the password generation device, the allowable range of the counter can be expanded without increasing the number of passwords to be verified.

また、本発明は、パスワードを表示する表示装置と通信可能な携帯型セキュリティデバイスと、ネットワークを介して接続された端末装置から前記携帯型セキュリティデバイスが生成した前記ワンタイムパスワードを受信して認証を行う認証装置とを備えた認証システムであって、前記携帯型セキュリティデバイスは、パスワードを生成する度に更新される生成カウンタを記憶する第1記憶部と、前記第1記憶部に記憶された前記生成カウンタに基づいて生成したパスワードに、前記生成カウンタの下位の予め定められた桁数の数値を追加した前記ワンタイムパスワードを生成する第1パスワード生成部と、前記数値が追加された前記ワンタイムパスワードを前記表示装置に出力する出力部と、を備え、前記認証装置は、ユーザを識別するユーザIDと、前記ユーザを認証する度に更新される認証カウンタとを対応づけて記憶する第2記憶部と、前記端末装置から、前記ユーザIDと、前記パスワード生成装置が生成した前記ワンタイムパスワードとを受信する受信部と、受信した前記ワンタイムパスワードから前記数値を抽出する抽出部と、受信した前記ユーザIDに対応する前記認証カウンタを前記第2記憶部から取得する取得部と、取得した前記認証カウンタより大きく、下位の前記桁数の値が抽出した前記数値と一致するカウンタ値を生成するカウンタ生成部と、生成された前記カウンタ値に基づいて、照合用パスワードを生成する第2パスワード生成部と、生成された前記照合用パスワードと、受信した前記ワンタイムパスワードとを照合して、受信した前記ユーザIDの前記ユーザを認証する認証部と、を備えたことを特徴とする。本発明によれば、携帯型セキュリティデバイスでは、パスワード生成時のカウンタの下位の所定桁数の数値が追加されたワンタイムパスワードを生成し、認証装置では、下位の所定桁数の数値が一致するカウンタ値のみを用いて照合用のパスワードを生成し、携帯型セキュリティデバイスによって生成されたワンタイムパスワードと比較できるため、照合するパスワード数を増加させずにカウンタの許容範囲を広げることができる。   In addition, the present invention receives and authenticates a portable security device that can communicate with a display device that displays a password, and the one-time password generated by the portable security device from a terminal device connected via a network. An authentication system comprising an authentication device for performing the authentication, wherein the portable security device stores a first counter that stores a generation counter that is updated each time a password is generated, and the first storage that is stored in the first storage A first password generation unit for generating the one-time password by adding a numerical value of a predetermined number of digits lower than the generation counter to a password generated based on the generation counter; and the one-time to which the numerical value is added An output unit for outputting a password to the display device, wherein the authentication device is a user identifying user. A second storage unit that stores the ID and an authentication counter that is updated each time the user is authenticated; the user ID from the terminal device; and the one-time password generated by the password generation device Receiving unit, an extracting unit for extracting the numerical value from the received one-time password, an acquiring unit for acquiring the authentication counter corresponding to the received user ID from the second storage unit, and A counter generation unit that generates a counter value that is larger than the authentication counter and that has a value of the lower digit that matches the extracted numeric value; and a second password that generates a verification password based on the generated counter value The generated user ID, the generated verification password and the received one-time password are verified, and the received user ID Characterized by comprising an authentication unit authenticating the user. According to the present invention, the portable security device generates a one-time password to which the numerical value of the lower-order predetermined number of digits of the counter at the time of password generation is added, and the authentication device matches the numerical value of the lower-order predetermined number of digits. Since the password for verification can be generated using only the counter value and compared with the one-time password generated by the portable security device, the allowable range of the counter can be expanded without increasing the number of passwords to be verified.

本発明によれば、セキュリティを低下させずにカウンタ値の許容範囲を広げることにより利便性を向上させることができるという効果を奏する。   According to the present invention, there is an effect that convenience can be improved by expanding the allowable range of the counter value without reducing security.

以下に添付図面を参照して、この発明にかかる認証装置、認証プログラム、認証システム、パスワード生成装置、携帯型セキュリティデバイス、およびパスワード生成プログラムの最良な実施の形態を詳細に説明する。   Exemplary embodiments of an authentication device, an authentication program, an authentication system, a password generation device, a portable security device, and a password generation program according to the present invention will be described below in detail with reference to the accompanying drawings.

(第1の実施の形態)
第1の実施の形態にかかる認証システムは、トークンによって生成されたOTP(ワンタイムパスワード)にトークン側のカウンタ値の下1桁の数値を付加し、認証サーバ側では、受信したOTPから当該下1桁の数値を抽出し、保持するカウンタ値以降で下1桁が一致するカウンタ値を用いてOTPを生成して、受信したOTPとの照合を行うものである。 (First embodiment)
The authentication system according to the first embodiment adds the last one digit value of the counter value on the token side to the OTP (one-time password) generated by the token. A one-digit numerical value is extracted, an OTP is generated using a counter value that matches the last one digit after the held counter value, and collated with the received OTP.

以下では、インターネットバンキングアプリケーションを提供するWEBサーバに対する認証処理で、OTP認証を行う認証システムを例に説明する。なお、適用できるシステムはこのようなインターネットアプリケーションに限られるものではなく、カウンタ同期方式のOTPを用いた認証システムであれば、あらゆるシステムに適用しうる。   Hereinafter, an authentication system that performs OTP authentication in an authentication process for a WEB server that provides an Internet banking application will be described as an example. Note that the applicable system is not limited to such an Internet application, and can be applied to any system as long as it is an authentication system using a counter-synchronized OTP.

図1は、第1の実施の形態にかかる認証システムの構成を示すブロック図である。図1に示すように、本実施の形態の認証システムは、端末装置10と、WEBサーバ20と、認証装置としての認証サーバ200とが、インターネットによるネットワーク30を介して接続され、さらにパスワード生成装置としてのトークン100を備えた構成となっている。   FIG. 1 is a block diagram illustrating a configuration of an authentication system according to the first embodiment. As shown in FIG. 1, the authentication system of the present embodiment includes a terminal device 10, a WEB server 20, and an authentication server 200 as an authentication device connected via a network 30 based on the Internet, and a password generation device. The token 100 is configured as follows.

ここで、トークン100のハードウェア構成について説明する。図2は、第1の実施の形態にかかるトークン100のハードウェア構成の一例を示す説明図である。   Here, the hardware configuration of the token 100 will be described. FIG. 2 is an explanatory diagram illustrating an example of a hardware configuration of the token 100 according to the first embodiment.

第1の実施の形態にかかるトークン100は、CPU(Central Processing Unit)61などの制御装置と、ROM(Read Only Memory)62やRAM(Random Access Memory)63などの記憶装置と、生成したパスワードなどを表示可能な表示装置64と、PIN(Personal Identification Number)入力のためのボタンやパスワード生成開始のためのボタンなどを含む入力装置である操作ボタン65と、各部を接続するバス66を備えている。   The token 100 according to the first embodiment includes a control device such as a CPU (Central Processing Unit) 61, a storage device such as a ROM (Read Only Memory) 62 and a RAM (Random Access Memory) 63, a generated password, and the like. A display device 64 that can display a password, an operation button 65 that is an input device including a button for inputting a PIN (Personal Identification Number), a button for starting password generation, and the like, and a bus 66 that connects each unit. .

図1に戻り、各装置の機能について説明する。まず、端末装置10について説明する。端末装置10は、インターネットバンキングアプリケーションのユーザが操作するクライアント端末であり、入力部11と、表示部12と、アプリケーション部13と、送受信部14とを備えている。   Returning to FIG. 1, the function of each device will be described. First, the terminal device 10 will be described. The terminal device 10 is a client terminal operated by a user of an internet banking application, and includes an input unit 11, a display unit 12, an application unit 13, and a transmission / reception unit 14.

入力部11は、ユーザがアプリケーションの動作に必要な情報や命令などを入力するためのキーボード、マウスなどのインターフェースである。表示部12は、WEBブラウザ画面などをユーザに表示するディスプレイなどの表示装置である。   The input unit 11 is an interface such as a keyboard and a mouse for the user to input information and commands necessary for the operation of the application. The display unit 12 is a display device such as a display that displays a WEB browser screen or the like to the user.

アプリケーション部13は、インターネットバンキングアプリケーションの実行に必要なWEBブラウザの動作を制御するものである。送受信部14は、ネットワーク30を介して、アプリケーションの動作に必要な各種情報(ユーザID、OTPなど)を、WEBサーバ20との間で送受信するものである。   The application unit 13 controls the operation of the WEB browser necessary for executing the Internet banking application. The transmission / reception unit 14 transmits / receives various information (user ID, OTP, etc.) necessary for the operation of the application to / from the WEB server 20 via the network 30.

次に、WEBサーバ20について説明する。WEBサーバ20は、インターネットバンキングアプリケーションを提供するサーバ装置である。なお、WEBサーバ20は、インターネットバンキングアプリケーション以外のWEBアプリケーションを提供するように構成してもよい。また、WEBサーバ20のようにインターネットを用いたアプリケーションである必要はなく、その他のあらゆる形態のアプリケーションを提供するサーバ装置をWEBサーバ20の代わりに備えるように構成することができる。   Next, the WEB server 20 will be described. The WEB server 20 is a server device that provides an Internet banking application. The WEB server 20 may be configured to provide a WEB application other than the Internet banking application. Moreover, it is not necessary to be an application using the Internet like the WEB server 20, and a server device that provides all other forms of applications can be provided instead of the WEB server 20.

次に、トークン100について説明する。トークン100は、カウンタ同期方式によりOTPを生成するものであり、カウンタ記憶部121と、操作部122と、表示部123と、個別鍵記憶部124と、PIN認証部101と、パスワード生成部102と、カウンタ生成部103と、制御部111と、を備えている。   Next, the token 100 will be described. The token 100 generates an OTP by a counter synchronization method, and includes a counter storage unit 121, an operation unit 122, a display unit 123, an individual key storage unit 124, a PIN authentication unit 101, and a password generation unit 102. The counter generation unit 103 and the control unit 111 are provided.

カウンタ記憶部121は、カウンタ生成部103でOTPの生成ごとにインクリメントされる生成カウンタ(以下、単にカウンタという)を記憶するものである。図3は、カウンタ記憶部121に格納された情報のデータ構造の一例を示す説明図である。同図に示すように、カウンタ記憶部121には、トークン100側で管理するカウンタが記憶されている。個別鍵記憶部124は、トークン100に固有の個別鍵情報を記憶するものである。   The counter storage unit 121 stores a generation counter (hereinafter simply referred to as a counter) that is incremented every time an OTP is generated by the counter generation unit 103. FIG. 3 is an explanatory diagram illustrating an example of a data structure of information stored in the counter storage unit 121. As shown in the figure, the counter storage unit 121 stores a counter managed on the token 100 side. The individual key storage unit 124 stores individual key information unique to the token 100.

図1に戻り、操作部122は、PINを入力するためのテンキー、OTP生成を開始するためのOTP生成ボタンなどを備えた入力インターフェースである。なお、PINの入力が不要な場合は、OTP生成の開始を指示するボタンなどの入力インターフェースが最小限備えられていればよい。表示部123は、生成したOTPをユーザに対して表示するものである。   Returning to FIG. 1, the operation unit 122 is an input interface including a numeric keypad for inputting a PIN, an OTP generation button for starting OTP generation, and the like. Note that if PIN input is not required, it is sufficient that an input interface such as a button for instructing the start of OTP generation is provided at a minimum. The display unit 123 displays the generated OTP to the user.

PIN認証部101は、操作部122から入力されたPINの認証を行うものである。PIN認証部101は、予め記憶部(図示せず)等に記憶されているPINと、ユーザにより入力されたPINとが一致しているか否かによってPINの認証を行う。   The PIN authentication unit 101 performs authentication of the PIN input from the operation unit 122. The PIN authentication unit 101 authenticates the PIN depending on whether the PIN stored in advance in a storage unit (not shown) or the like matches the PIN input by the user.

パスワード生成部102は、カウンタ同期方式によりOTPを生成するものである。パスワード生成部102は、まずカウンタ記憶部121に記憶されているカウンタと、個別鍵記憶部124に記憶されている個別鍵情報とから、通常のカウンタ同期方式と同様の方法によりパスワードを生成する。そして、パスワード生成部102は、生成したパスワードの末尾にこのとき使用したカウンタの下1桁の数値を追加し、出力するOTPとして生成する。   The password generation unit 102 generates an OTP by a counter synchronization method. The password generation unit 102 first generates a password from the counter stored in the counter storage unit 121 and the individual key information stored in the individual key storage unit 124 by a method similar to a normal counter synchronization method. Then, the password generation unit 102 adds the last one digit of the counter used at this time to the end of the generated password, and generates the output OTP.

なお、追加するカウンタの桁数は下1桁に限られるものではなく、2桁以上の数値を追加するように構成してもよい。ただし、追加する桁数が増加すると、OTP全体の桁数が増加してユーザの入力負担が増大するため、最小限の桁数の数値を追加するのが望ましい。また、数値を追加する位置は、パスワードの末尾に限られず、先頭に追加するように構成してもよいし、パスワードの所定の桁の後に挿入するように構成してもよい。   The number of digits of the counter to be added is not limited to the last one digit, and a numerical value of two digits or more may be added. However, if the number of added digits increases, the number of digits in the entire OTP increases and the input burden on the user increases. Therefore, it is desirable to add a numerical value with a minimum number of digits. Further, the position where the numerical value is added is not limited to the end of the password, but may be configured to be added to the beginning, or may be configured to be inserted after a predetermined digit of the password.

制御部111は、OTP生成処理全体の制御を行うものである。例えば、制御部111は、操作部122からPINが入力された場合に、PIN認証部101によって入力されたPINを認証する処理を制御する。また、制御部111は、パスワード生成部102によって生成されたOTPを表示部123に表示する処理を制御する。   The control unit 111 controls the entire OTP generation process. For example, when a PIN is input from the operation unit 122, the control unit 111 controls processing for authenticating the PIN input by the PIN authentication unit 101. The control unit 111 also controls processing for displaying the OTP generated by the password generation unit 102 on the display unit 123.

次に、認証サーバ200について説明する。認証サーバ200は、トークン100で生成され、ユーザが端末装置10に入力して送信したOTPによってユーザの認証を行うものである。認証サーバ200は、カウンタ記憶部221と、カウンタ許容回数記憶部222と、マスタ鍵記憶部223と、送受信部201と、抽出部202と、カウンタ生成部203と、パスワード生成部204と、認証部205と、を備えている。   Next, the authentication server 200 will be described. The authentication server 200 authenticates the user by OTP generated by the token 100 and input and transmitted from the user to the terminal device 10. The authentication server 200 includes a counter storage unit 221, a counter allowable number storage unit 222, a master key storage unit 223, a transmission / reception unit 201, an extraction unit 202, a counter generation unit 203, a password generation unit 204, and an authentication unit. 205.

カウンタ記憶部221は、認証ごとにカウンタ生成部203でインクリメントされる認証カウンタ(以下、単にカウンタという)を記憶するものである。図4は、カウンタ記憶部221に格納された情報のデータ構造の一例を示す説明図である。同図に示すように、カウンタ記憶部221には、ユーザを識別するユーザIDと、認証サーバ200側で管理するユーザごとのカウンタとが対応づけられて記憶されている。   The counter storage unit 221 stores an authentication counter (hereinafter simply referred to as a counter) that is incremented by the counter generation unit 203 for each authentication. FIG. 4 is an explanatory diagram illustrating an example of a data structure of information stored in the counter storage unit 221. As shown in the figure, the counter storage unit 221 stores a user ID for identifying a user and a counter for each user managed on the authentication server 200 side in association with each other.

カウンタ許容回数記憶部222は、カウンタを増加する回数として許容される予め定められた許容回数を記憶するものである。また、マスタ鍵記憶部223は、ユーザごとに固有の鍵を生成する元となるマスタ鍵情報を記憶するものである。   The counter allowable number storage unit 222 stores a predetermined allowable number allowed as the number of times to increase the counter. The master key storage unit 223 stores master key information that is a source for generating a unique key for each user.

なお、トークン100のカウンタ記憶部121、個別鍵記憶部124、認証サーバ200のカウンタ記憶部221、カウンタ許容回数記憶部222、およびマスタ鍵記憶部223は、HDD(Hard Disk Drive)、光ディスク、メモリカード、RAMなどの一般的に利用されているあらゆる記憶媒体により構成することができる。   Note that the counter storage unit 121, the individual key storage unit 124 of the token 100, the counter storage unit 221, the counter allowable number storage unit 222, and the master key storage unit 223 of the authentication server 200 are an HDD (Hard Disk Drive), an optical disk, and a memory. It can be configured by any commonly used storage medium such as a card or RAM.

図1に戻り、送受信部201は、認証に必要なユーザIDおよびOTPをWEBサーバ20から受信する処理、認証結果をWEBサーバ20に送信する処理など、ネットワーク30を介した情報の送受信を行うものである。   Returning to FIG. 1, the transmission / reception unit 201 performs transmission / reception of information via the network 30 such as processing for receiving a user ID and OTP necessary for authentication from the WEB server 20 and processing for transmitting an authentication result to the WEB server 20. It is.

抽出部202は、送受信部201により受信したOTPから、トークン100が当該OTPを生成したときに追加したカウンタの下1桁の数値を抽出するものである。具体的には、抽出部202は、OTPの末尾の1桁の数値を、カウンタの下1桁の数値として抽出する。   The extraction unit 202 extracts, from the OTP received by the transmission / reception unit 201, the last digit of the counter added when the token 100 generates the OTP. Specifically, the extraction unit 202 extracts the last digit of the OTP as the last digit of the counter.

カウンタ生成部203は、認証に用いる照合用のパスワードを生成するための認証サーバ200側のカウンタ値を生成するものである。具体的には、カウンタ生成部203は、まず、受信したユーザIDに対応するカウンタをカウンタ記憶部221から取得する。次に、カウンタ生成部203は、取得したカウンタより大きい値であって、値の下1桁が抽出部202により抽出された数値と一致するカウンタ値を生成する。   The counter generation unit 203 generates a counter value on the authentication server 200 side for generating a verification password used for authentication. Specifically, the counter generation unit 203 first acquires a counter corresponding to the received user ID from the counter storage unit 221. Next, the counter generation unit 203 generates a counter value that is larger than the acquired counter and whose last one digit matches the numerical value extracted by the extraction unit 202.

パスワード生成部204は、カウンタ生成部203により新たに生成されたカウンタ値を用いて照合用のパスワードを生成するものである。具体的には、まず、パスワード生成部204は、マスタ鍵記憶部223に格納されたマスタ鍵情報と、送受信部201により受信したユーザIDとから当該ユーザIDに固有の個別鍵を生成する。そして、パスワード生成部204は、生成した個別鍵と、カウンタ生成部203により新たに生成されたカウンタ値とから、通常のカウンタ同期方式と同様の方法により照合用のパスワードを生成する。なお、カウンタ記憶部221に記憶されたカウンタ値は、カウンタ生成部203により新たに生成されたカウンタ値で更新される。   The password generation unit 204 generates a verification password using the counter value newly generated by the counter generation unit 203. Specifically, first, the password generation unit 204 generates an individual key unique to the user ID from the master key information stored in the master key storage unit 223 and the user ID received by the transmission / reception unit 201. The password generation unit 204 generates a verification password from the generated individual key and the counter value newly generated by the counter generation unit 203 by a method similar to the normal counter synchronization method. The counter value stored in the counter storage unit 221 is updated with the counter value newly generated by the counter generation unit 203.

認証部205は、パスワード生成部204により新たに生成された照合用のパスワードと、送受信部201により受信したOTPとを照合することによりユーザの認証を行うものである。なお、受信したOTPの下1桁にはカウンタの下1桁の数値が追加されているので、認証部205は、OTPからこの数値を除いた文字列と照合用のパスワードとが一致するか否かにより認証を行う。   The authentication unit 205 authenticates the user by comparing the verification password newly generated by the password generation unit 204 with the OTP received by the transmission / reception unit 201. Note that since the last digit of the counter is added to the last digit of the received OTP, the authentication unit 205 determines whether the character string obtained by removing this numeric value from the OTP matches the verification password. Authenticate by

次に、このように構成された第1の実施の形態にかかる認証システムによる認証処理について図5を用いて説明する。図5は、第1の実施の形態における認証処理の全体の流れを示すフローチャートである。   Next, an authentication process by the authentication system according to the first embodiment configured as described above will be described with reference to FIG. FIG. 5 is a flowchart showing the overall flow of the authentication processing in the first embodiment.

まず、端末装置10を利用するユーザが、アプリケーション部13を用いて、インターネットバンキングのWEBページを管理しているWEBサーバ20へのアクセスを開始する(ステップS401)。次に、WEBサーバ20は、対応するインターネットバンキングアプリケーションのポータルページを表示する(ステップS402)。   First, a user who uses the terminal device 10 uses the application unit 13 to start access to the WEB server 20 that manages the Internet banking WEB page (step S401). Next, the WEB server 20 displays the portal page of the corresponding internet banking application (step S402).

次に、端末装置10のアプリケーション部13は、表示部12に表示したログイン画面に対してユーザが入力部11を用いて入力したログイン用のユーザIDおよびパスワードによってWEBサーバ20に対するログイン処理を行う(ステップS403)。なお、ここで入力されるパスワードは、インターネットバンキングアプリケーション利用のための固定パスワードであり、後述する振込み手続きで要求されるOTPとは異なるものである。また、ユーザIDおよび固定パスワードは、送受信部14を介してWEBサーバ20に送信される。   Next, the application unit 13 of the terminal device 10 performs a login process to the WEB server 20 with a login user ID and password input by the user using the input unit 11 on the login screen displayed on the display unit 12 ( Step S403). Note that the password entered here is a fixed password for using the Internet banking application, and is different from OTP required in the transfer procedure described later. Further, the user ID and the fixed password are transmitted to the WEB server 20 via the transmission / reception unit 14.

次に、WEBサーバ20は、送信されたユーザIDおよび固定パスワードによる認証を行い、認証結果を端末装置10に送信する(ステップS404)。   Next, the WEB server 20 performs authentication using the transmitted user ID and fixed password, and transmits an authentication result to the terminal device 10 (step S404).

次に、端末装置10のアプリケーション部13は、OTPが要求される処理の一例として、振込み手続きをWEBサーバ20に対して要求する(ステップS405)。この場合、WEBサーバ20は、OTPを入力するためのOTP入力画面を端末装置10に送信して表示する(ステップS406)。   Next, the application unit 13 of the terminal device 10 requests a transfer procedure from the WEB server 20 as an example of a process for which OTP is requested (step S405). In this case, the WEB server 20 transmits an OTP input screen for inputting the OTP to the terminal device 10 and displays it (step S406).

OTP入力画面は図示しないが、ユーザIDの入力フィールド、OTPの入力フィールド、認証開始を要求するための送信ボタンなどを備えた一般的なログイン画面と同様の構成を有するものである。OTP入力画面が表示された場合、ユーザはトークン100の操作を開始する(ステップS407)。具体的には、ユーザは、操作部122を用いてPINを入力し、OTP生成ボタンを押下することで操作を開始する。この操作を受けてトークン100はOTP生成処理を実行する(ステップS408)。OTP生成処理では、カウンタ同期方式によってカウンタと鍵情報とからパスワードが生成され、そのパスワードにカウンタの下1桁を追加したOTPが生成され、生成されたOTPが表示部123に表示される。OTP生成処理の詳細については後述する。   Although not shown, the OTP input screen has the same configuration as a general login screen having a user ID input field, an OTP input field, a send button for requesting authentication start, and the like. When the OTP input screen is displayed, the user starts operating the token 100 (step S407). Specifically, the user starts the operation by inputting a PIN using the operation unit 122 and pressing an OTP generation button. In response to this operation, the token 100 executes an OTP generation process (step S408). In the OTP generation process, a password is generated from the counter and key information by the counter synchronization method, an OTP obtained by adding the last digit of the counter to the password is generated, and the generated OTP is displayed on the display unit 123. Details of the OTP generation process will be described later.

次に、ユーザは、OTP生成処理で生成され、トークン100の表示部123に表示されたOTPを確認し、ユーザIDと生成されたOTPとを端末装置10に表示されたOTP入力画面に入力する(ステップS409)。   Next, the user confirms the OTP generated by the OTP generation process and displayed on the display unit 123 of the token 100, and inputs the user ID and the generated OTP to the OTP input screen displayed on the terminal device 10. (Step S409).

端末装置10のアプリケーション部13は、OTP入力画面の送信ボタンのクリックを検知し、入力されたユーザIDおよびOTPをWEBサーバ20に送信する(ステップS410)。   The application unit 13 of the terminal device 10 detects the click of the transmission button on the OTP input screen, and transmits the input user ID and OTP to the WEB server 20 (step S410).

次に、WEBサーバ20は、OTPによる認証を行うため、受信したユーザIDおよびOTPを認証サーバ200に送信する(ステップS411)。次に、認証サーバ200は、WEBサーバ20から送信されたユーザIDおよびOTPを用いたOTP認証処理を実行する(ステップS412)。OTP認証処理の詳細については後述する。   Next, the WEB server 20 transmits the received user ID and OTP to the authentication server 200 in order to perform authentication by OTP (step S411). Next, the authentication server 200 executes an OTP authentication process using the user ID and OTP transmitted from the WEB server 20 (step S412). Details of the OTP authentication processing will be described later.

OTP認証処理の後、認証サーバ200の認証部205は、OTP認証処理の結果を、送受信部201を介してWEBサーバ20に送信する(ステップS413)。なお、OTP認証処理で認証が失敗したことを表す情報(NGなど)が認証結果として設定された場合も、その認証結果をWEBサーバ20に送信する。次に、WEBサーバ20は、受信した認証結果を端末装置10に送信する(ステップS414)。   After the OTP authentication process, the authentication unit 205 of the authentication server 200 transmits the result of the OTP authentication process to the WEB server 20 via the transmission / reception unit 201 (step S413). Even when information (NG or the like) indicating that the authentication has failed in the OTP authentication process is set as the authentication result, the authentication result is transmitted to the WEB server 20. Next, the WEB server 20 transmits the received authentication result to the terminal device 10 (step S414).

認証が成功した場合は、端末装置10のアプリケーション部13は、振込み手続きをWEBサーバ20に対して指示する(ステップS415)。WEBサーバ20は、その指示を受け、振込み手続き処理を実行する(ステップS416)。WEBサーバ20は、処理結果を端末装置10へ送信する(ステップS417)。   If the authentication is successful, the application unit 13 of the terminal device 10 instructs the transfer procedure to the WEB server 20 (step S415). The WEB server 20 receives the instruction and executes a transfer procedure process (step S416). The WEB server 20 transmits the processing result to the terminal device 10 (step S417).

次に、ステップS408のOTP生成処理の詳細について説明する。図6は、トークン100におけるOTP生成処理の全体の流れを示すフローチャートである。   Next, details of the OTP generation processing in step S408 will be described. FIG. 6 is a flowchart showing the overall flow of the OTP generation process in the token 100.

ステップS407でユーザによるトークン100の操作が開始する。具体的には、ユーザは、操作部122を用いてPINを入力し、OTP生成ボタンを押下する。トークン100の制御部111は、ユーザが操作部122を用いて入力したPINを受付ける(ステップS501)。次に、PIN認証部101は、予め記憶されたPINと、入力されたPINとを比較することにより入力されたPINを認証する(ステップS502)。なお、トークン100の操作の仕様上、PINの入力が不要な場合は、制御部111は、OTP生成の開始を指示するボタンの押下などのタイミングでOTPを生成する。   In step S407, the operation of the token 100 by the user starts. Specifically, the user inputs a PIN using the operation unit 122 and presses the OTP generation button. The control unit 111 of the token 100 receives the PIN input by the user using the operation unit 122 (step S501). Next, the PIN authenticating unit 101 authenticates the input PIN by comparing the PIN stored in advance with the input PIN (step S502). Note that if the input of a PIN is not required due to the operation specifications of the token 100, the control unit 111 generates an OTP at a timing such as pressing a button for instructing the start of OTP generation.

次に、パスワード生成部102は、個別鍵記憶部124から個別鍵を取得し、カウンタ記憶部121からカウンタを取得する(ステップS503)。続いて、パスワード生成部102は、取得したカウンタをインクリメントする(ステップS504)。なお、インクリメントされたカウンタの値はカウンタ記憶部121で更新される。   Next, the password generation unit 102 acquires an individual key from the individual key storage unit 124 and acquires a counter from the counter storage unit 121 (step S503). Subsequently, the password generation unit 102 increments the acquired counter (step S504). Note that the incremented counter value is updated in the counter storage unit 121.

次に、パスワード生成部102は、取得した個別鍵と、カウンタ生成部103でインクリメントしたカウンタとからOTPを生成する(ステップS505)。続いて、パスワード生成部102は、生成したパスワードの末尾にインクリメント後のカウンタの下1桁の数値を付加する(ステップS506)。   Next, the password generation unit 102 generates an OTP from the acquired individual key and the counter incremented by the counter generation unit 103 (step S505). Subsequently, the password generation unit 102 adds the last digit of the incremented counter to the end of the generated password (step S506).

次に、制御部111は、パスワード生成部102が数値を付加したOTPを、表示部123に表示し(ステップS507)、OTP生成処理を終了する。これにより、カウンタの下1桁が末尾に追加されたOTPが生成される。ユーザは、このOTPをステップS409で端末装置10のOTP入力画面上に入力することとなる。   Next, the control unit 111 displays the OTP with the numerical value added by the password generation unit 102 on the display unit 123 (step S507), and ends the OTP generation process. As a result, an OTP with the last digit of the counter added to the end is generated. The user inputs this OTP on the OTP input screen of the terminal device 10 in step S409.

次に、ステップS412のOTP認証処理の詳細について説明する。図7は、認証サーバ200におけるOTP認証処理の全体の流れを示すフローチャートである。   Next, details of the OTP authentication processing in step S412 will be described. FIG. 7 is a flowchart showing the overall flow of the OTP authentication process in the authentication server 200.

ステップS411でWEBサーバ20からユーザIDおよびOTPが送信されると、認証サーバ200の送受信部201は、送信されたユーザIDとOTPとを受信する(ステップS601)。次に、抽出部202は、受信したOTPからカウンタ下1桁の数値を抽出する(ステップS602)。具体的には、抽出部202は、受信したOTPの末尾の1桁の数値を、カウンタ下1桁の数値として取得する。   When the user ID and OTP are transmitted from the WEB server 20 in step S411, the transmission / reception unit 201 of the authentication server 200 receives the transmitted user ID and OTP (step S601). Next, the extraction unit 202 extracts the numerical value of the last digit of the counter from the received OTP (step S602). Specifically, the extraction unit 202 acquires the last one-digit value of the received OTP as the last one-digit value of the counter.

次に、パスワード生成部204は、受信したIDを使用して、マスタ鍵記憶部223に記憶されているマスタ鍵情報からユーザIDに固有の個別鍵を生成する(ステップS603)。   Next, using the received ID, the password generation unit 204 generates an individual key unique to the user ID from the master key information stored in the master key storage unit 223 (step S603).

次に、カウンタ生成部203は、受信したIDに対応するカウンタを、カウンタ記憶部221から取得する(ステップS604)。次に、カウンタ生成部203は、取得したカウンタより大きい値であって、抽出部202が抽出した数値と下1桁が一致するカウンタ値を生成する(ステップS605)。例えば、トークン100で生成したOTPのカウンタ値が13の場合、抽出部202は、下1桁の値である3を取得する。そして、カウンタ生成部203は、現在のカウンタが10であれば、次に下1桁が一致する13をカウンタ値として生成する。   Next, the counter generation unit 203 acquires a counter corresponding to the received ID from the counter storage unit 221 (step S604). Next, the counter generation unit 203 generates a counter value that is larger than the acquired counter and whose numerical value extracted by the extraction unit 202 matches the last one digit (step S605). For example, when the counter value of the OTP generated with the token 100 is 13, the extraction unit 202 acquires 3 which is the last one digit value. Then, if the current counter is 10, the counter generation unit 203 generates 13 as the counter value, which has the same last 1 digit.

次に、パスワード生成部204は、カウンタの増加回数の値を算出し、算出した増加回数の値が、カウンタ許容回数記憶部222に記憶された許容回数を超えているか否かを判断する(ステップS606)。   Next, the password generation unit 204 calculates the value of the counter increase count, and determines whether or not the calculated increase count value exceeds the allowable count stored in the counter allowable count storage section 222 (step). S606).

これによって、照合用のパスワードの個数が増加することによるセキュリティの低下を回避することができる。   As a result, it is possible to avoid a decrease in security due to an increase in the number of verification passwords.

カウンタの増加回数が許容回数を越えていない場合は(ステップS606:NO)、パスワード生成部204は、ステップS605で生成されたカウンタ値と、ステップS603で生成された個別鍵とから、照合用のOTPを生成する(ステップS607)。   When the increment count of the counter does not exceed the allowable count (step S606: NO), the password generation unit 204 uses the counter value generated in step S605 and the individual key generated in step S603 for verification. An OTP is generated (step S607).

次に、認証部205は、パスワード生成部204によって生成されたOTPと、WEBサーバ20を介して端末装置10より受信したOTPとを照合することにより、ユーザの認証を行う(ステップS608)。次に、認証部205は、照合が成功したか否か、すなわち、生成されたOTPと、受信したOTP(下1桁を除く)とが一致したか否かを判断する(ステップS609)。一致しない場合は(ステップS609:NO)、次に下1桁が一致するカウンタ値をさらに生成して処理を繰り返す(ステップS605)。   Next, the authentication unit 205 authenticates the user by checking the OTP generated by the password generation unit 204 with the OTP received from the terminal device 10 via the WEB server 20 (step S608). Next, the authentication unit 205 determines whether or not the collation has succeeded, that is, whether or not the generated OTP matches the received OTP (excluding the last one digit) (step S609). If they do not match (step S609: NO), then a counter value that matches the last one digit is further generated and the process is repeated (step S605).

一致した場合は(ステップS609:YES)、認証部205は、認証結果に認証が成功したことを表す情報(OKなど)を設定し(ステップS610)、OTP認証処理を終了する。   If they match (step S609: YES), the authentication unit 205 sets information (such as OK) indicating that the authentication is successful in the authentication result (step S610), and ends the OTP authentication process.

ステップS606で、カウンタの増加回数が許容回数を越えた場合は(ステップS606:YES)、認証部205は、認証結果に認証が失敗したことを表す情報(NGなど)を設定し(ステップS611)、OTP認証処理を終了する。OTP認証処理の結果は、ステップS413において認証サーバ200からWEBサーバ20へ送信されることとなる。   If the increment count of the counter exceeds the allowable count in step S606 (step S606: YES), the authentication unit 205 sets information (NG or the like) indicating that the authentication has failed in the authentication result (step S611). Then, the OTP authentication process is terminated. The result of the OTP authentication process is transmitted from the authentication server 200 to the WEB server 20 in step S413.

なお、上記説明では、下1桁が一致するカウンタ値を生成するごとに、パスワードの生成と照合を行っていた。これに対し、下1桁が一致するカウンタ値を所定数分、一括して生成し、さらに、パスワードもカウンタ値に対応する所定数分を一括して生成したあと、生成したパスワードを順次照合するように構成してもよい。   In the above description, password generation and verification are performed each time a counter value that matches the last one digit is generated. In contrast, a predetermined number of counter values with the same last digit are generated in batches, and a predetermined number of passwords corresponding to the counter values are generated in batches, and then the generated passwords are sequentially verified. You may comprise as follows.

次に、このように構成された第1の実施の形態の認証システムで処理されるOTPの具体例について説明する。まず、比較のため、従来の認証システムで処理されるOTPの例について説明する。図8は、従来の認証システムで処理されるOTPの一例を示す説明図である。   Next, a specific example of OTP processed in the authentication system according to the first embodiment configured as described above will be described. First, for comparison, an example of OTP processed by a conventional authentication system will be described. FIG. 8 is an explanatory diagram showing an example of an OTP processed by a conventional authentication system.

図8は、カウンタの許容範囲を、次に有効なカウンタ値から10個分のカウンタとして設定した場合の例を示している。すなわち、例えば、認証サーバ側で次に有効なカウンタが11であり、トークン側のOTP生成時のカウンタが13であった場合、認証サーバは、カウンタ=11〜20までに相当するOTP10個を生成して、トークンで生成したOTPと比較することを示している。   FIG. 8 shows an example in which the allowable range of the counter is set as 10 counters from the next effective counter value. That is, for example, when the next effective counter is 11 on the authentication server side and the counter at the time of OTP generation on the token side is 13, the authentication server generates 10 OTPs corresponding to counter = 11 to 20 Thus, the comparison with the OTP generated by the token is shown.

このため、仮にトークン側で10回以上、OTPを生成したにも関わらず、認証サーバに対して認証を要求しなかった場合、認証サーバ側のカウンタの許容範囲を超えるため、認証が不可能となる。   For this reason, if the authentication is not requested to the authentication server even though the OTP has been generated 10 times or more on the token side, it exceeds the allowable range of the counter on the authentication server and authentication is impossible. Become.

次に、本実施の形態で処理されるOTPの例について説明する。図9は、第1の実施の形態の認証システムで処理されるOTPの一例を示す説明図である。   Next, an example of OTP processed in this embodiment will be described. FIG. 9 is an explanatory diagram illustrating an example of the OTP processed by the authentication system according to the first embodiment.

図9では、図8の例と同様に10個分のOTPを照合用に用いる場合であっても、カウンタの許容範囲を広げることができることが示されている。すなわち、図9に示すように、本実施の形態では、OTPの末尾にカウンタの下1桁の値が追加されるため、認証サーバ200側は、下1桁が一致するカウンタ値により照合用のOTPを生成することができる。   FIG. 9 shows that the allowable range of the counter can be expanded even when ten OTPs are used for verification as in the example of FIG. That is, as shown in FIG. 9, in this embodiment, since the last digit value of the counter is added to the end of the OTP, the authentication server 200 side uses the counter value that matches the last digit value for verification. An OTP can be generated.

これにより、上述の例と同様に、認証サーバ200側で次に有効なカウンタが11であり、トークン100側のOTP生成時のカウンタが13であった場合、認証サーバ200は、カウンタ=13、23、33、・・・、103の10個のOTPを生成して照合対象として用いることができる。したがって、照合対象となるOTPの個数は、従来の方法を示す図8と同様に10個であるにも関わらず、カウンタの許容範囲は最大100に拡大する。なお、上述のように追加する桁数を2桁以上にすれば、さらにカウンタの許容範囲を広げることができる。   Thus, as in the above-described example, when the next valid counter is 11 on the authentication server 200 side and the counter at the time of OTP generation on the token 100 side is 13, the authentication server 200 determines that the counter = 13, Ten OTPs 23, 33,..., 103 can be generated and used as collation targets. Therefore, although the number of OTPs to be collated is 10 as in FIG. 8 showing the conventional method, the allowable range of the counter is expanded to a maximum of 100. If the number of digits to be added is two or more as described above, the allowable range of the counter can be further expanded.

また、トークン100側と認証サーバ200側のカウンタの差分が小さい場合は(例えば、トークン100のカウンタが11、認証サーバ200のカウンタが13)、従来の方法では3回の照合で一致すると判断されるのに対し、本実施の形態では1回の照合で一致すると判断することができる。このように、本実施の形態の方法によれば、認証処理の処理負担を軽減することができるという効果も得られる。   Further, when the difference between the counters on the token 100 side and the authentication server 200 side is small (for example, the counter of the token 100 is 11 and the counter of the authentication server 200 is 13), it is determined that the matching is performed by three comparisons in the conventional method. On the other hand, in the present embodiment, it can be determined that they match in one verification. Thus, according to the method of the present embodiment, an effect that the processing load of the authentication process can be reduced is also obtained.

このように、第1の実施の形態にかかる認証システムでは、トークンで生成するOTPにトークン側のカウンタ値の下1桁の数値を付加し、認証サーバ側では、受信したOTPからこの数値を抽出し、保持するカウンタ値以降で下1桁が抽出された数値と一致するカウンタ値を用いて照合用OTPを生成してWEBサーバから受信したOTPとの照合を行うことができる。このため、照合するOTPの個数が従来と同じであっても、カウンタの許容範囲を拡大することができる。すなわち、セキュリティを低下させずにカウンタ値の許容範囲を広げることにより利便性を向上させることができる。   As described above, in the authentication system according to the first embodiment, the last one digit of the counter value on the token side is added to the OTP generated by the token, and this value is extracted from the received OTP on the authentication server side. Then, it is possible to generate a verification OTP using a counter value that matches the numeric value with the last digit extracted after the counter value to be stored, and perform verification with the OTP received from the WEB server. For this reason, even if the number of OTPs to be collated is the same as the conventional one, the allowable range of the counter can be expanded. That is, convenience can be improved by expanding the allowable range of the counter value without reducing security.

(第2の実施の形態)
第2の実施の形態にかかる認証システムは、トークン単体でOTPを生成するのではなく、ボタン操作やOTPの表示が可能なパスワード表示装置と、当該パスワード表示装置に差し込むことによりOTPの生成処理が実行可能となるIC(Integrated Circuit)カードとによってOTPを生成するものである。 (Second Embodiment)
The authentication system according to the second embodiment does not generate an OTP by a token alone, but a password display device capable of button operation and OTP display, and an OTP generation process by inserting the password into the password display device. An OTP is generated by an IC (Integrated Circuit) card that can be executed.

図10は、第2の実施の形態にかかる認証システムの構成を示すブロック図である。図10に示すように、本実施の形態の認証システムは、端末装置10と、WEBサーバ20と、認証サーバ200とが、インターネットによるネットワーク30を介して接続され、さらに携帯型セキュリティデバイスとしてのICカード900と、パスワード表示装置950とを備えた構成となっている。   FIG. 10 is a block diagram illustrating a configuration of an authentication system according to the second embodiment. As shown in FIG. 10, the authentication system of the present embodiment includes a terminal device 10, a WEB server 20, and an authentication server 200 connected via a network 30 via the Internet, and an IC as a portable security device. The card 900 and the password display device 950 are provided.

第2の実施の形態では、トークン100の代わりに、ICカード900およびパスワード表示装置950が追加されている。その他の装置は、第1の実施の形態にかかる認証システムの構成を表すブロック図である図1と同様であるので、同一符号を付し、ここでの説明は省略する。   In the second embodiment, an IC card 900 and a password display device 950 are added instead of the token 100. The other devices are the same as those in FIG. 1, which is a block diagram showing the configuration of the authentication system according to the first embodiment, and thus are denoted by the same reference numerals and description thereof is omitted here.

ここで、ICカード900およびパスワード表示装置950のハードウェア構成について説明する。図11は、第2の実施の形態にかかるICカード900のハードウェア構成の一例を示す説明図である。   Here, the hardware configuration of the IC card 900 and the password display device 950 will be described. FIG. 11 is an explanatory diagram illustrating an example of a hardware configuration of the IC card 900 according to the second embodiment.

同図に示すように、ICカード900は、通信I/F(Interface)51と、CPU52と、RAM53と、ROM54と、EEPROM(Electronically Erasable and Programmable Read Only Memory)55とを備えている。   As shown in the figure, the IC card 900 includes a communication I / F (Interface) 51, a CPU 52, a RAM 53, a ROM 54, and an EEPROM (Electronically Erasable and Programmable Read Only Memory) 55.

通信I/F51は、接触端子などを備え、パスワード表示装置950などのようにICカード900を挿入して動作する外部装置と、CPU52との間の通信を媒介するものである。CPU52は、ICカード900を統括制御する中央処理装置であって、通信I/F51を介して外部装置から受信するコマンドに応じた処理を行い、その結果をレスポンスとして送信する。   The communication I / F 51 includes a contact terminal and mediates communication between the CPU 52 and an external device that operates by inserting the IC card 900, such as a password display device 950. The CPU 52 is a central processing unit that performs overall control of the IC card 900, performs processing according to a command received from an external device via the communication I / F 51, and transmits the result as a response.

RAM53は、CPU52が処理を行うための作業領域として使用する揮発性メモリである。ROM54は、オペレーティングシステムなどのCPU52が処理を行うために必要なプログラムを主に記憶している不揮発性の読み出し専用メモリである。EEPROM55は、随時書き換え可能な不揮発性のメモリであって、アプリケーションなどのCPU52が処理を行うために必要なプログラムおよびデータが記憶されている。   The RAM 53 is a volatile memory used as a work area for the CPU 52 to perform processing. The ROM 54 is a nonvolatile read-only memory that mainly stores programs necessary for the CPU 52 such as an operating system to perform processing. The EEPROM 55 is a non-volatile memory that can be rewritten as needed, and stores programs and data necessary for the CPU 52 such as applications to perform processing.

図12は、第2の実施の形態にかかるパスワード表示装置950のハードウェア構成の一例を示す説明図である。   FIG. 12 is an explanatory diagram illustrating an example of a hardware configuration of the password display device 950 according to the second embodiment.

第2の実施の形態にかかるパスワード表示装置950は、CPU61などの制御装置と、ROM62やRAM63などの記憶装置と、生成したパスワードなどを表示可能な表示装置64と、PIN入力のためのボタンやパスワード生成開始のためのボタンなどを含む入力装置である操作ボタン65と、各部を接続するバス66を備えている。   The password display device 950 according to the second embodiment includes a control device such as a CPU 61, a storage device such as a ROM 62 and a RAM 63, a display device 64 that can display a generated password, a button for PIN input, An operation button 65, which is an input device including a button for starting password generation, and a bus 66 for connecting each unit are provided.

図10に戻り、各装置の機能について説明する。まず、ICカード900について説明する。ICカード900は、パスワード表示装置950の所定の差込口に差し込むことによりパスワード表示装置950と通信可能となり、パスワード表示装置950からの要求に応じてOTPを生成するものである。ICカード900は、カウンタ記憶部121と、個別鍵記憶部124と、PIN認証部101と、パスワード生成部102と、カウンタ生成部103と、通信部922とを備えている。   Returning to FIG. 10, the function of each device will be described. First, the IC card 900 will be described. The IC card 900 can communicate with the password display device 950 by being inserted into a predetermined insertion port of the password display device 950, and generates an OTP in response to a request from the password display device 950. The IC card 900 includes a counter storage unit 121, an individual key storage unit 124, a PIN authentication unit 101, a password generation unit 102, a counter generation unit 103, and a communication unit 922.

カウンタ記憶部121、個別鍵記憶部124、PIN認証部101、パスワード生成部102、カウンタ生成部103の機能は、第1の実施の形態のトークン100に備えられた各部と同様であるため、同一符号を付し、ここでの説明は省略する。   The functions of the counter storage unit 121, the individual key storage unit 124, the PIN authentication unit 101, the password generation unit 102, and the counter generation unit 103 are the same as those provided in the token 100 according to the first embodiment, and thus are the same. Reference numerals are assigned, and description thereof is omitted here.

通信部922は、パスワード表示装置950のR/W(リーダ/ライタ)951との間で各種情報を送受信するものである。例えば、通信部922は、パスワード表示装置950で入力されたPIN情報を受信し、PIN認証のためにPIN認証部101に送出する。また、通信部922は、パスワード生成部102により生成されたOTPをパスワード表示装置950に送信する。   The communication unit 922 transmits / receives various information to / from the R / W (reader / writer) 951 of the password display device 950. For example, the communication unit 922 receives the PIN information input from the password display device 950 and sends it to the PIN authentication unit 101 for PIN authentication. In addition, the communication unit 922 transmits the OTP generated by the password generation unit 102 to the password display device 950.

次に、パスワード表示装置950について説明する。パスワード表示装置950は、PIN入力を受付け、OTPの生成を開始する処理や、生成されたOTPの表示処理を行うものである。図10に示すように、パスワード表示装置950は、R/W951と、制御部911と、操作部122と、表示部123とを備えている。   Next, the password display device 950 will be described. The password display device 950 receives a PIN input, and performs a process for starting the generation of an OTP and a process for displaying the generated OTP. As shown in FIG. 10, the password display device 950 includes an R / W 951, a control unit 911, an operation unit 122, and a display unit 123.

操作部122および表示部123の機能は、第1の実施の形態のトークン100に備えられた操作部122および表示部123と同様であるため、同一符号を付し、ここでの説明は省略する。   Since the functions of the operation unit 122 and the display unit 123 are the same as those of the operation unit 122 and the display unit 123 provided in the token 100 of the first embodiment, the same reference numerals are given, and description thereof is omitted here. .

R/W951は、ICカード900との間で接触式で通信を媒介するものである。例えば、R/W951は、ICカード900に対するPINの送信、ICカード900が生成したOTPの受信などを行う。なお、ICカード900との間の通信は接触式に限られるものではなく、非接触式によって通信を行うように構成してもよい。   The R / W 951 mediates communication with the IC card 900 in a contact manner. For example, the R / W 951 transmits a PIN to the IC card 900, receives an OTP generated by the IC card 900, and the like. Note that the communication with the IC card 900 is not limited to the contact type, and may be configured to perform the communication by a non-contact type.

制御部911は、OTP生成処理全体の制御を行うものである。本実施の形態では、制御部911は、例えば、ICカード900が差込口に挿入されたときに、PIN入力を受付け、受付けたPINをICカード900に送信する処理を制御する。また、制御部911は、ICカード900により生成されたOTPを表示部123に表示する処理の制御を行う。   The control unit 911 controls the entire OTP generation process. In the present embodiment, for example, when the IC card 900 is inserted into an insertion slot, the control unit 911 controls a process of accepting a PIN input and transmitting the accepted PIN to the IC card 900. The control unit 911 controls processing for displaying the OTP generated by the IC card 900 on the display unit 123.

このように、本実施の形態では、第1の実施の形態のトークン100の機能のうち、主にOTP生成に関わる機能をICカード900に分離し、主にユーザインターフェースに関わる機能をパスワード表示装置950に分離した構成となっている。このような構成により、例えば、ICカード900を差し替えることで1つのパスワード表示装置950を複数のユーザで共有することが可能となる。   As described above, in this embodiment, among the functions of the token 100 of the first embodiment, the functions mainly related to OTP generation are separated into the IC card 900, and the functions mainly related to the user interface are password display devices. The configuration is separated into 950. With such a configuration, for example, by replacing the IC card 900, one password display device 950 can be shared by a plurality of users.

次に、このように構成された第2の実施の形態にかかる認証システムによる認証処理について図13を用いて説明する。図13は、第2の実施の形態における認証処理の全体の流れを示すフローチャートである。   Next, an authentication process performed by the authentication system according to the second embodiment configured as described above will be described with reference to FIG. FIG. 13 is a flowchart illustrating the entire flow of the authentication process according to the second embodiment.

ステップS1001からステップS1006までの、WEBページログイン処理、OTP入力画面表示処理は、第1の実施の形態の認証処理におけるステップS401からステップS406までと同様の処理なので、その説明を省略する。   Since the WEB page login process and the OTP input screen display process from step S1001 to step S1006 are the same as the process from step S401 to step S406 in the authentication process of the first embodiment, description thereof is omitted.

OTP入力画面が表示された後、ユーザは、パスワード表示装置950の操作を開始する(ステップS1007)。続いて、ICカード900およびパスワード表示装置950によるOTP生成処理が実行される(ステップS1008)。このように、第1の実施の形態ではトークン100が単体でOTP生成処理を実行していたのに対し(図5、ステップS408)、第2の実施の形態では、ICカード900とパスワード表示装置950とが連動してOTP生成処理を実行する。OTP生成処理の詳細については後述する。   After the OTP input screen is displayed, the user starts operating the password display device 950 (step S1007). Subsequently, an OTP generation process is executed by the IC card 900 and the password display device 950 (step S1008). As described above, in the first embodiment, the token 100 alone executes the OTP generation process (FIG. 5, step S408), whereas in the second embodiment, the IC card 900 and the password display device. The OTP generation process is executed in conjunction with 950. Details of the OTP generation process will be described later.

ステップS1009からステップS1017までの、OTP送信処理、OTP認証処理、結果送信処理は、第1の実施の形態の認証処理におけるステップS409からステップS417までと同様の処理なので、その説明を省略する。   Since the OTP transmission process, the OTP authentication process, and the result transmission process from step S1009 to step S1017 are the same as the process from step S409 to step S417 in the authentication process of the first embodiment, description thereof is omitted.

次に、ステップS1008のOTP生成処理の詳細について説明する。図14は、第2の実施の形態におけるOTP生成処理の全体の流れを示すフローチャートである。   Next, details of the OTP generation processing in step S1008 will be described. FIG. 14 is a flowchart illustrating an overall flow of the OTP generation process according to the second embodiment.

まず、ユーザによりICカード900がパスワード表示装置950に差し込まれることによりOTP生成処理が開始される(ステップS1101)。パスワード表示装置950の制御部911は、ユーザが操作部122を用いて入力したPINを受付け、R/W951を介してICカード900に送信する(ステップS1102)。   First, the OTP generation process is started when the user inserts the IC card 900 into the password display device 950 (step S1101). The control unit 911 of the password display device 950 accepts the PIN input by the user using the operation unit 122 and transmits the PIN to the IC card 900 via the R / W 951 (step S1102).

ステップS1103からステップS1107までの、PIN認証処理、OTP生成・カウンタインクリメント処理は、第1の実施の形態のOTP認証処理におけるステップS502からステップS506までと同様の処理なので、その説明を省略する。   Since the PIN authentication process and the OTP generation / counter increment process from step S1103 to step S1107 are the same as the process from step S502 to step S506 in the OTP authentication process of the first embodiment, the description thereof is omitted.

生成されたOTPにカウンタ下1桁の数値が付加された後、通信部922は生成されたOTPをパスワード表示装置950に送信する。パスワード表示装置950の制御部911は、受信したOTPを表示部123に表示し(ステップS1108)、OTP生成処理を終了する。   After the lower digit of the counter is added to the generated OTP, the communication unit 922 transmits the generated OTP to the password display device 950. The control unit 911 of the password display device 950 displays the received OTP on the display unit 123 (step S1108), and ends the OTP generation process.

このように、第2の実施の形態にかかる認証システムでは、パスワード表示装置に差し込むことによりOTPの生成処理が実行可能となるICカードによってOTPを生成することができる。   As described above, in the authentication system according to the second embodiment, an OTP can be generated by an IC card that can execute an OTP generation process by being inserted into a password display device.

このため、1つのパスワード表示装置を複数のユーザで共有することが可能となりユーザの利便性が向上する。また、パスワード表示装置を紛失しただけでは不正アクセスが不可能であるため、トークンを紛失した場合に不正アクセスが可能となる第1の実施の形態と比較してセキュリティが向上する。また、さまざまな機能を同時に搭載可能なICカードを利用しているため、1枚のICカードでOTP生成を含む複数の機能を実行することができ、ユーザの利便性が向上する。   For this reason, one password display device can be shared by a plurality of users, and user convenience is improved. Further, since unauthorized access is impossible only by losing the password display device, security is improved compared to the first embodiment in which unauthorized access is possible when the token is lost. In addition, since an IC card that can be mounted with various functions at the same time is used, a plurality of functions including OTP generation can be executed with one IC card, and the convenience for the user is improved.

次に、第1および第2の実施の形態にかかる認証サーバ200のハードウェア構成について説明する。図15は、第1および第2の実施の形態にかかる認証サーバ200のハードウェア構成の一例を示す説明図である。   Next, the hardware configuration of the authentication server 200 according to the first and second embodiments will be described. FIG. 15 is an explanatory diagram illustrating an example of a hardware configuration of the authentication server 200 according to the first and second embodiments.

第1または第2の実施の形態にかかる認証サーバ200は、CPU71などの制御装置と、ROM72やRAM73などの記憶装置と、ネットワークに接続して通信を行う通信I/F74と、HDD、CD(Compact Disc)ドライブ装置などの外部記憶装置と、ディスプレイ装置などの表示装置と、キーボードやマウスなどの入力装置と、各部を接続するバス75を備えており、通常のコンピュータを利用したハードウェア構成となっている。   The authentication server 200 according to the first or second embodiment includes a control device such as a CPU 71, a storage device such as a ROM 72 and a RAM 73, a communication I / F 74 that communicates by connecting to a network, an HDD, and a CD ( (Compact Disc) An external storage device such as a drive device, a display device such as a display device, an input device such as a keyboard and a mouse, and a bus 75 for connecting each part, and a hardware configuration using a normal computer It has become.

第1の実施の形態にかかるトークン100または第2の実施の形態にかかるICカード900で実行されるパスワード生成プログラムと、第1または第2の実施の形態にかかる認証サーバ200で実行される認証プログラムとは、インストール可能な形式又は実行可能な形式のファイルでCD−ROM(Compact Disk Read Only Memory)、フレキシブルディスク(FD)、CD−R(Compact Disk Recordable)、DVD(Digital Versatile Disk)等のコンピュータで読み取り可能な記録媒体に記録されて提供される。   The password generation program executed by the token 100 according to the first embodiment or the IC card 900 according to the second embodiment and the authentication executed by the authentication server 200 according to the first or second embodiment. A program is a file in an installable or executable format such as a CD-ROM (Compact Disk Read Only Memory), a flexible disk (FD), a CD-R (Compact Disk Recordable), a DVD (Digital Versatile Disk), etc. The program is provided by being recorded on a computer-readable recording medium.

また、上記パスワード生成プログラムおよび上記認証プログラムを、インターネット等のネットワークに接続されたコンピュータ上に格納し、ネットワーク経由でダウンロードさせることにより提供するように構成してもよい。また、上記パスワード生成プログラムおよび上記認証プログラムをインターネット等のネットワーク経由で提供または配布するように構成してもよい。   Further, the password generation program and the authentication program may be stored on a computer connected to a network such as the Internet and provided by being downloaded via the network. The password generation program and the authentication program may be provided or distributed via a network such as the Internet.

また、上記パスワード生成プログラムおよび上記認証プログラムを、ROM等に予め組み込んで提供するように構成してもよい。   The password generation program and the authentication program may be provided by being incorporated in advance in a ROM or the like.

第1の実施の形態にかかるトークン100または第2の実施の形態にかかるICカード900で実行されるパスワード生成プログラムは、上述した各部(PIN認証部、パスワード生成部など)を含むモジュール構成となっている。また、第1または第2の実施の形態にかかる認証サーバ200で実行される認証プログラムは、上述した各部(送受信部、抽出部、カウンタ生成部、パスワード生成部、認証部)を含むモジュール構成となっている。そして、実際のハードウェアとしては各装置に含まれるCPU(CPU52、CPU61、CPU71)が上記記憶媒体から各プログラムを読み出して実行することにより上記各部が主記憶装置上にロードされ、上述した各部が主記憶装置上に生成されるようになっている。   The password generation program executed by the token 100 according to the first embodiment or the IC card 900 according to the second embodiment has a module configuration including the above-described units (such as a PIN authentication unit and a password generation unit). ing. The authentication program executed by the authentication server 200 according to the first or second embodiment includes a module configuration including the above-described units (transmission / reception unit, extraction unit, counter generation unit, password generation unit, authentication unit). It has become. As actual hardware, the CPU (CPU 52, CPU 61, CPU 71) included in each device reads each program from the storage medium and executes the program, so that each unit is loaded on the main storage device. It is generated on the main memory.

以上のように、本発明にかかる認証装置、認証プログラム、認証システム、パスワード生成装置、携帯型セキュリティデバイス、およびパスワード生成プログラムは、カウンタ同期方式で生成されたワンタイムパスワードを用いた認証システムに適している。   As described above, the authentication device, the authentication program, the authentication system, the password generation device, the portable security device, and the password generation program according to the present invention are suitable for the authentication system using the one-time password generated by the counter synchronization method. ing.

第1の実施の形態にかかる認証システムの構成を示すブロック図である。It is a block diagram which shows the structure of the authentication system concerning 1st Embodiment. トークンのハードウェア構成の一例を示す説明図である。It is explanatory drawing which shows an example of the hardware constitutions of a token. トークンのカウンタ記憶部に格納された情報のデータ構造の一例を示す説明図である。It is explanatory drawing which shows an example of the data structure of the information stored in the counter memory | storage part of a token. 認証サーバのカウンタ記憶部に格納された情報のデータ構造の一例を示す説明図である。It is explanatory drawing which shows an example of the data structure of the information stored in the counter memory | storage part of an authentication server. 第1の実施の形態における認証処理の全体の流れを示すフローチャートである。It is a flowchart which shows the whole flow of the authentication process in 1st Embodiment. 第1の実施の形態におけるOTP生成処理の全体の流れを示すフローチャートである。It is a flowchart which shows the whole flow of the OTP production | generation process in 1st Embodiment. 第1の実施の形態におけるOTP認証処理の全体の流れを示すフローチャートである。It is a flowchart which shows the whole flow of the OTP authentication process in 1st Embodiment. 従来の認証システムで処理されるOTPの一例を示す説明図である。It is explanatory drawing which shows an example of OTP processed with the conventional authentication system. 第1の実施の形態の認証システムで処理されるOTPの一例を示す説明図である。It is explanatory drawing which shows an example of OTP processed with the authentication system of 1st Embodiment. 第2の実施の形態にかかる認証システムの構成を示すブロック図である。It is a block diagram which shows the structure of the authentication system concerning 2nd Embodiment. ICカードのハードウェア構成の一例を示す説明図である。It is explanatory drawing which shows an example of the hardware constitutions of IC card. パスワード表示装置のハードウェア構成の一例を示す説明図である。It is explanatory drawing which shows an example of the hardware constitutions of a password display apparatus. 第2の実施の形態における認証処理の全体の流れを示すフローチャートである。It is a flowchart which shows the whole flow of the authentication process in 2nd Embodiment. 第2の実施の形態におけるOTP生成処理の全体の流れを示すフローチャートである。It is a flowchart which shows the whole flow of the OTP production | generation process in 2nd Embodiment. 認証サーバのハードウェア構成の一例を示す説明図である。It is explanatory drawing which shows an example of the hardware constitutions of an authentication server.

符号の説明Explanation of symbols

10 端末装置
11 入力部
12 表示部
13 アプリケーション部
14 送受信部
20 WEBサーバ
30 ネットワーク
51 通信I/F
52 CPU
53 RAM
54 ROM
55 EEPROM
61 CPU
62 ROM
63 RAM
64 表示装置
65 操作ボタン
66 バス
71 CPU
72 ROM
73 RAM
74 通信I/F
75 バス
100 トークン
101 PIN認証部
102 パスワード生成部
103 カウンタ生成部
111 制御部
121 カウンタ記憶部
122 操作部
123 表示部
124 個別鍵記憶部
200 認証サーバ
201 送受信部
202 抽出部
203 カウンタ生成部
204 パスワード生成部
205 認証部
221 カウンタ記憶部
222 カウンタ許容回数記憶部
223 マスタ鍵記憶部
900 ICカード
911 制御部
922 通信部
950 パスワード表示装置 DESCRIPTION OF SYMBOLS 10 Terminal device 11 Input part 12 Display part 13 Application part 14 Transmission / reception part 20 WEB server 30 Network 51 Communication I / F
52 CPU
53 RAM
54 ROM
55 EEPROM
61 CPU
62 ROM
63 RAM
64 Display device 65 Operation button 66 Bus 71 CPU
72 ROM
73 RAM
74 Communication I / F
75 Bus 100 Token 101 PIN Authentication Unit 102 Password Generation Unit 103 Counter Generation Unit 111 Control Unit 121 Counter Storage Unit 122 Operation Unit 123 Display Unit 124 Individual Key Storage Unit 200 Authentication Server 201 Transmission / Reception Unit 202 Extraction Unit 203 Counter Generation Unit 204 Password Generation Unit 205 authentication unit 221 counter storage unit 222 counter allowable number storage unit 223 master key storage unit 900 IC card 911 control unit 922 communication unit 950 password display device

Claims (15)

パスワードを生成する度に更新される生成カウンタに基づいて生成されたワンタイムパスワードを、ネットワークを介して接続された端末装置から受信して認証を行う認証装置であって、
ユーザを識別するユーザIDと、前記ユーザを認証する度に更新される認証カウンタとを対応づけて記憶する記憶部と、
前記端末装置から、前記ユーザIDと、前記生成カウンタの下位の予め定められた桁数の数値を含む前記ワンタイムパスワードとを受信する受信部と、
受信した前記ワンタイムパスワードから前記数値を抽出する抽出部と、
受信した前記ユーザIDに対応する前記認証カウンタを前記記憶部から取得し、取得した前記認証カウンタより大きく、下位の前記桁数の値が抽出した前記数値と一致するカウンタ値を生成するカウンタ生成部と、
生成された前記カウンタ値に基づいて、照合用パスワードを生成するパスワード生成部と、
生成された前記照合用パスワードと、受信した前記ワンタイムパスワードとを照合して、受信した前記ユーザIDの前記ユーザを認証する認証部と、
を備えたことを特徴とする認証装置。 An authentication device that receives and authenticates a one-time password generated based on a generation counter updated every time a password is generated from a terminal device connected via a network,
A storage unit that associates and stores a user ID for identifying a user and an authentication counter that is updated each time the user is authenticated;
A receiving unit that receives the user ID and the one-time password including a predetermined number of digits below the generation counter from the terminal device;
An extraction unit for extracting the numerical value from the received one-time password;
The counter generation unit that acquires the authentication counter corresponding to the received user ID from the storage unit, and generates a counter value that is larger than the acquired authentication counter and the value of the lower digit matches the extracted numerical value When,
Based on the generated counter value, a password generation unit that generates a verification password;
An authentication unit that verifies the generated verification password and the received one-time password and authenticates the user of the received user ID;
An authentication apparatus comprising: 前記カウンタ生成部は、前記認証部が認証に失敗したときに、生成した前記カウンタ値より大きく、下位の前記桁数の値が抽出した前記数値と一致する前記カウンタ値をさらに生成し、
前記パスワード生成部は、前記カウンタ生成によってさらに生成された前記カウンタ値に基づいて、前記照合用パスワードをさらに生成し、
前記認証部は、前記パスワード生成部によってさらに生成された前記照合用パスワードと、受信した前記ワンタイムパスワードとを照合して、受信した前記ユーザIDの前記ユーザをさらに認証すること、
を特徴とする請求項1に記載の認証装置。 The counter generation unit further generates the counter value that is larger than the generated counter value when the authentication unit fails in authentication, and the value of the lower digit matches the extracted numeric value,
The password generation unit further generates the verification password based on the counter value further generated by the counter generation,
The authentication unit further verifies the user of the received user ID by verifying the verification password further generated by the password generation unit and the received one-time password,
The authentication device according to claim 1. 前記認証部が認証に失敗した回数が予め定められた閾値を超えた場合に、前記ユーザの認証が失敗したことを表す認証結果を前記端末装置に送信する送信部をさらに備えたこと、
を特徴とする請求項2に記載の認証装置。 A transmission unit that transmits an authentication result indicating that the user authentication has failed to the terminal device when the number of times the authentication unit has failed authentication exceeds a predetermined threshold;
The authentication device according to claim 2. 前記カウンタ生成部は、取得した前記認証カウンタより大きく、下位の前記桁数の値が抽出した前記数値と一致する前記カウンタ値を、予め定められた個数分生成し、
前記パスワード生成部は、生成された前記カウンタ値に基づいて、前記個数分の前記照合用パスワードを生成し、
前記認証部は、生成された前記個数分の前記照合用パスワードのそれぞれと、受信した前記ワンタイムパスワードとを照合して、受信した前記ユーザIDの前記ユーザを認証すること、
を特徴とする請求項1に記載の認証装置。 The counter generation unit generates a predetermined number of counter values that are larger than the acquired authentication counter and the value of the lower digit matches the extracted numerical value,
The password generation unit generates the number of verification passwords for the number based on the generated counter value,
The authentication unit compares each of the generated passwords for verification with the received one-time password to authenticate the user of the received user ID;
The authentication device according to claim 1. 生成された前記個数分のすべての前記照合用パスワードについて認証が失敗した場合に、前記ユーザの認証が失敗したことを表す認証結果を前記端末装置に送信する送信部をさらに備えたこと、
を特徴とする請求項4に記載の認証装置。 And further comprising a transmission unit that transmits an authentication result indicating that the user authentication has failed to the terminal device when authentication has failed for all of the generated passwords for verification.
The authentication device according to claim 4. 前記受信部は、前記端末装置から、前記ユーザIDと、前記生成カウンタの下位1桁の前記数値を含む前記ワンタイムパスワードとを受信し、
前記生成部は、取得した前記認証カウンタより大きく、下位1桁の値が抽出した前記数値と一致する前記カウンタ値を生成すること、
を特徴とする請求項1に記載の認証装置。 The receiving unit receives the user ID and the one-time password including the numerical value of the lower one digit of the generation counter from the terminal device,
The generating unit generates the counter value that is larger than the acquired authentication counter and whose lower one digit value matches the extracted numerical value;
The authentication device according to claim 1. パスワードを生成する度に更新される生成カウンタを記憶する記憶部と、
前記記憶部に記憶された前記生成カウンタに基づいて生成したパスワードに、前記生成カウンタの下位の予め定められた桁数の数値を追加したワンタイムパスワードを生成するパスワード生成部と、
前記数値が追加された前記ワンタイムパスワードを表示する表示部と、
を備えたことを特徴とするパスワード生成装置。 A storage unit for storing a generation counter that is updated each time a password is generated;
A password generation unit that generates a one-time password by adding a numerical value of a predetermined number of digits below the generation counter to a password generated based on the generation counter stored in the storage unit;
A display for displaying the one-time password with the numerical value added;
A password generation device comprising: 前記パスワード生成部は、生成した前記パスワードの予め定められた桁の前または後ろに、前記生成カウンタの前記桁数の数値を追加した前記ワンタイムパスワードを生成すること、
を特徴とする請求項7に記載のパスワード生成装置。 The password generation unit generates the one-time password in which a numerical value of the number of digits of the generation counter is added before or after a predetermined digit of the generated password;
The password generation device according to claim 7. 前記生成部は、前記生成カウンタの下位1桁の数値を追加した前記ワンタイムパスワードを生成すること、
を特徴とする請求項7に記載のパスワード生成装置。 The generation unit generates the one-time password to which a numerical value of the lower one digit of the generation counter is added;
The password generation device according to claim 7. 前記生成部は、生成した前記パスワードの末尾に、前記数値を追加した前記ワンタイムパスワードを生成すること、
を特徴とする請求項7に記載のパスワード生成装置。 The generating unit generates the one-time password with the numerical value added to the end of the generated password;
The password generation device according to claim 7. パスワードを表示する表示装置と通信可能な携帯型セキュリティデバイスであって、
パスワードを生成する度に更新される生成カウンタを記憶する記憶部と、
前記記憶部に記憶された前記生成カウンタに基づいて生成したパスワードに、前記生成カウンタの下位の予め定められた桁数の数値を追加したワンタイムパスワードを生成するパスワード生成部と、
前記数値が追加された前記ワンタイムパスワードを前記表示装置に出力する出力部と、
を備えたことを特徴とする携帯型セキュリティデバイス。 A portable security device that can communicate with a display device that displays a password,
A storage unit for storing a generation counter that is updated each time a password is generated;
A password generation unit that generates a one-time password by adding a numerical value of a predetermined number of digits below the generation counter to a password generated based on the generation counter stored in the storage unit;
An output unit for outputting the one-time password to which the numerical value is added to the display device;
A portable security device comprising: ワンタイムパスワードを生成するパスワード生成装置と、ネットワークを介して接続された端末装置から前記パスワード生成装置が生成した前記ワンタイムパスワードを受信して認証を行う認証装置とを備えた認証システムであって、
前記パスワード生成装置は、
パスワードを生成する度に更新される生成カウンタを記憶する第1記憶部と、
前記第1記憶部に記憶された前記生成カウンタに基づいて生成したパスワードに、前記生成カウンタの下位の予め定められた桁数の数値を追加した前記ワンタイムパスワードを生成する第1パスワード生成部と、
前記数値が追加された前記ワンタイムパスワードを表示する表示部と、を備え、
前記認証装置は、
ユーザを識別するユーザIDと、前記ユーザを認証する度に更新される認証カウンタとを対応づけて記憶する第2記憶部と、
前記端末装置から、前記ユーザIDと、前記パスワード生成装置が生成した前記ワンタイムパスワードとを受信する受信部と、
受信した前記ワンタイムパスワードから前記数値を抽出する抽出部と、
受信した前記ユーザIDに対応する前記認証カウンタを前記第2記憶部から取得する取得部と、
取得した前記認証カウンタより大きく、下位の前記桁数の値が抽出した前記数値と一致するカウンタ値を生成するカウンタ生成部と、
生成された前記カウンタ値に基づいて、照合用パスワードを生成する第2パスワード生成部と、
生成された前記照合用パスワードと、受信した前記ワンタイムパスワードとを照合して、受信した前記ユーザIDの前記ユーザを認証する認証部と、
を備えたことを特徴とする認証システム。 An authentication system comprising: a password generation device that generates a one-time password; and an authentication device that receives and authenticates the one-time password generated by the password generation device from a terminal device connected via a network. ,
The password generator is
A first storage unit that stores a generation counter that is updated each time a password is generated;
A first password generation unit that generates the one-time password by adding a predetermined number of digits lower than the generation counter to a password generated based on the generation counter stored in the first storage unit; ,
A display unit for displaying the one-time password with the numerical value added thereto,
The authentication device
A second storage unit that stores a user ID for identifying a user and an authentication counter that is updated each time the user is authenticated;
A receiving unit that receives the user ID and the one-time password generated by the password generation device from the terminal device;
An extraction unit for extracting the numerical value from the received one-time password;
An acquisition unit for acquiring the authentication counter corresponding to the received user ID from the second storage unit;
A counter generation unit that generates a counter value that is larger than the acquired authentication counter and whose value of the lower digit matches the extracted numerical value;
A second password generation unit for generating a verification password based on the generated counter value;
An authentication unit that verifies the generated verification password and the received one-time password and authenticates the user of the received user ID;
An authentication system characterized by comprising: パスワードを表示する表示装置と通信可能な携帯型セキュリティデバイスと、ネットワークを介して接続された端末装置から前記携帯型セキュリティデバイスが生成した前記ワンタイムパスワードを受信して認証を行う認証装置とを備えた認証システムであって、
前記携帯型セキュリティデバイスは、
パスワードを生成する度に更新される生成カウンタを記憶する第1記憶部と、
前記第1記憶部に記憶された前記生成カウンタに基づいて生成したパスワードに、前記生成カウンタの下位の予め定められた桁数の数値を追加した前記ワンタイムパスワードを生成する第1パスワード生成部と、
前記数値が追加された前記ワンタイムパスワードを前記表示装置に出力する出力部と、を備え、
前記認証装置は、
ユーザを識別するユーザIDと、前記ユーザを認証する度に更新される認証カウンタとを対応づけて記憶する第2記憶部と、
前記端末装置から、前記ユーザIDと、前記パスワード生成装置が生成した前記ワンタイムパスワードとを受信する受信部と、
受信した前記ワンタイムパスワードから前記数値を抽出する抽出部と、
受信した前記ユーザIDに対応する前記認証カウンタを前記第2記憶部から取得する取得部と、
取得した前記認証カウンタより大きく、下位の前記桁数の値が抽出した前記数値と一致するカウンタ値を生成するカウンタ生成部と、
生成された前記カウンタ値に基づいて、照合用パスワードを生成する第2パスワード生成部と、
生成された前記照合用パスワードと、受信した前記ワンタイムパスワードとを照合して、受信した前記ユーザIDの前記ユーザを認証する認証部と、
を備えたことを特徴とする認証システム。 A portable security device capable of communicating with a display device that displays a password, and an authentication device that receives and authenticates the one-time password generated by the portable security device from a terminal device connected via a network Authentication system,
The portable security device is:
A first storage unit that stores a generation counter that is updated each time a password is generated;
A first password generation unit that generates the one-time password by adding a predetermined number of digits lower than the generation counter to a password generated based on the generation counter stored in the first storage unit; ,
An output unit for outputting the one-time password to which the numerical value is added to the display device,
The authentication device
A second storage unit that stores a user ID for identifying a user and an authentication counter that is updated each time the user is authenticated;
A receiving unit that receives the user ID and the one-time password generated by the password generation device from the terminal device;
An extraction unit for extracting the numerical value from the received one-time password;
An acquisition unit for acquiring the authentication counter corresponding to the received user ID from the second storage unit;
A counter generation unit that generates a counter value that is larger than the acquired authentication counter and whose value of the lower digit matches the extracted numerical value;
A second password generation unit for generating a verification password based on the generated counter value;
An authentication unit that verifies the generated verification password and the received one-time password and authenticates the user of the received user ID;
An authentication system characterized by comprising: パスワードを生成する度に更新される生成カウンタに基づいて生成されたワンタイムパスワードを、ネットワークを介して接続された端末装置から受信して認証を行う認証装置に実行させる認証プログラムであって、
前記認証装置は、ユーザを識別するユーザIDと、前記ユーザを認証する度に更新される認証カウンタとを対応づけて記憶する記憶部を備え、
前記端末装置から、前記ユーザIDと、前記生成カウンタの下位の予め定められた桁数の数値を含む前記ワンタイムパスワードとを受信する受信手順と、
受信した前記ワンタイムパスワードから前記数値を抽出する抽出手順と、
受信した前記ユーザIDに対応する前記認証カウンタを前記記憶部から取得し、取得した前記認証カウンタより大きく、下位の前記桁数の値が抽出した前記数値と一致するカウンタ値を生成するカウンタ生成手順と、
生成された前記カウンタ値に基づいて、照合用パスワードを生成するパスワード生成手順と、
生成された前記照合用パスワードと、受信した前記ワンタイムパスワードとを照合して、受信した前記ユーザIDの前記ユーザを認証する認証手順と、
を前記認証装置に実行させる認証プログラム。 An authentication program for receiving a one-time password generated based on a generation counter updated every time a password is generated from a terminal device connected via a network and executing it on an authentication device,
The authentication device includes a storage unit that stores a user ID for identifying a user and an authentication counter that is updated every time the user is authenticated,
A receiving procedure for receiving from the terminal device the user ID and the one-time password including a predetermined number of digits lower than the generation counter;
An extraction procedure for extracting the numerical value from the received one-time password;
A counter generation procedure for acquiring the authentication counter corresponding to the received user ID from the storage unit, and generating a counter value that is larger than the acquired authentication counter and the value of the lower digit matches the extracted numerical value When,
A password generation procedure for generating a verification password based on the generated counter value;
An authentication procedure for verifying the user of the received user ID by verifying the generated verification password and the received one-time password;
An authentication program for causing the authentication device to execute. 記憶部に記憶され、パスワードを生成する度に更新される生成カウンタに基づいて生成したパスワードに、前記生成カウンタの下位の予め定められた桁数の数値を追加したワンタイムパスワードを生成するパスワード生成手順と、
前記数値が追加された前記ワンタイムパスワードを出力する出力手順と、
をコンピュータに実行させるパスワード生成プログラム。 Password generation for generating a one-time password by adding a predetermined number of digits lower than the generation counter to a password generated based on a generation counter stored in the storage unit and updated every time a password is generated Procedure and
An output procedure for outputting the one-time password with the numerical value added;
A password generation program that causes a computer to execute.
JP2007103136A 2007-04-10 2007-04-10 Authentication device, authentication program, authentication system, password generation device, portable security device, and password generation program Expired - Fee Related JP4973292B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007103136A JP4973292B2 (en) 2007-04-10 2007-04-10 Authentication device, authentication program, authentication system, password generation device, portable security device, and password generation program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007103136A JP4973292B2 (en) 2007-04-10 2007-04-10 Authentication device, authentication program, authentication system, password generation device, portable security device, and password generation program

Publications (2)

Publication Number Publication Date
JP2008262299A JP2008262299A (en) 2008-10-30
JP4973292B2 true JP4973292B2 (en) 2012-07-11

Family

ID=39984745

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007103136A Expired - Fee Related JP4973292B2 (en) 2007-04-10 2007-04-10 Authentication device, authentication program, authentication system, password generation device, portable security device, and password generation program

Country Status (1)

Country Link
JP (1) JP4973292B2 (en)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5434203B2 (en) * 2009-04-02 2014-03-05 大日本印刷株式会社 Authentication device, authentication program, authentication system, password generation device, portable security device, and password generation program
US9306743B2 (en) * 2012-08-30 2016-04-05 Texas Instruments Incorporated One-way key fob and vehicle pairing verification, retention, and revocation
US10057250B2 (en) * 2013-05-14 2018-08-21 Kara Partners Llc Technologies for enhancing computer security
CN104580063A (en) * 2013-10-10 2015-04-29 中兴通讯股份有限公司 A network management security authentication method and device, and network management security authentication system
JP2017027207A (en) * 2015-07-17 2017-02-02 ソフトバンク株式会社 Authentication system
JP7139621B2 (en) * 2018-02-27 2022-09-21 大日本印刷株式会社 Electronic information storage medium, communication program, and communication device
US10546444B2 (en) * 2018-06-21 2020-01-28 Capital One Services, Llc Systems and methods for secure read-only authentication

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100213188B1 (en) * 1996-10-05 1999-08-02 윤종용 Apparatus and method for user authentication
US20040059952A1 (en) * 2000-12-14 2004-03-25 Peter Newport Authentication system

Also Published As

Publication number Publication date
JP2008262299A (en) 2008-10-30

Similar Documents

Publication Publication Date Title
JP4973292B2 (en) Authentication device, authentication program, authentication system, password generation device, portable security device, and password generation program
JP4966765B2 (en) Biometric authentication system
EP1791073B1 (en) Processing device, helper data generating device, terminal device, authentication device and biometrics authentication system
JP4551380B2 (en) Authentication system and method
JP4713694B1 (en) Two-factor user authentication system and method
JP4713693B1 (en) Offline two-factor user authentication system, method and program
EP3490220B1 (en) Information processing apparatus
EP3435591A1 (en) 1:n biometric authentication, encryption, signature system
KR20210091155A (en) Biocrypt Digital Wallet
JP2001352324A (en) One-time password generator, authentication method and recording medium with one-time password generating program recorded therein
JP5434203B2 (en) Authentication device, authentication program, authentication system, password generation device, portable security device, and password generation program
EP2587400A1 (en) Simplified multi-factor authentication
JP5602054B2 (en) Offline two-factor user authentication system, method and program
US9058476B2 (en) Method and image forming apparatus to authenticate user by using smart card
JP2005521171A (en) User authentication method and system in digital communication system
JP2009245365A (en) Information processing system, authentication server, service providing server, authentication method, service providing method, and program
EP3374912B1 (en) Method and system for user authentication
JP2006018773A (en) Password authentication device, password authentication method, and password authentication program
JP2012063863A (en) Information processing equipment, authentication control method and authentication control program
JP5602055B2 (en) Two-factor user authentication system and method
JP7614788B2 (en) IC card, portable electronic device and issuing device
JP2008217089A (en) Ic card authentication device and ic card authentication system
US20220052838A1 (en) Reinitialization of an application secret by way of the terminal
CN110740042A (en) kinds of intelligent key equipment and its verification method
JP2007299306A (en) User authentication device

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100119

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120307

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120313

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120326

R150 Certificate of patent or registration of utility model

Ref document number: 4973292

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150420

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees