JPH11316740A - ワンタイムパスワード認証システム - Google Patents
ワンタイムパスワード認証システムInfo
- Publication number
- JPH11316740A JPH11316740A JP10122598A JP12259898A JPH11316740A JP H11316740 A JPH11316740 A JP H11316740A JP 10122598 A JP10122598 A JP 10122598A JP 12259898 A JP12259898 A JP 12259898A JP H11316740 A JPH11316740 A JP H11316740A
- Authority
- JP
- Japan
- Prior art keywords
- time
- password
- user
- authentication
- authentication server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000001360 synchronised effect Effects 0.000 abstract 2
- 238000000034 method Methods 0.000 description 19
- 239000000284 extract Substances 0.000 description 1
Landscapes
- Computer And Data Communications (AREA)
Abstract
(57)【要約】
【課題】 時間同期方式による認証ではパスワードが不
正者に盗まれる恐れがあるし、チャレンジ&レスポンス
方式ではユーザのキー入力操作回数が増し、ログインに
手間取る。 【解決手段】 時間同期方式において、ユーザ側は、時
刻の暗号化に”秒”単位データを付加したパスワードを
送信する。認証サーバ側は、”秒”の部分から暗号化さ
れた分以上の時刻を推定し(S2)、この時刻を暗号化
し(S3)、この分以上の暗号化時刻に一致するものが
あり(S4)、かつ前回のログイン時に更新登録する時
刻よりも暗号化時刻が後になるときに正規のユーザとし
て認証し(S5)、今回の時刻を更新登録しておく(S
6)。”秒”に代えて、パスワード発生回数になるカウ
ンタ値とすることも含む。
正者に盗まれる恐れがあるし、チャレンジ&レスポンス
方式ではユーザのキー入力操作回数が増し、ログインに
手間取る。 【解決手段】 時間同期方式において、ユーザ側は、時
刻の暗号化に”秒”単位データを付加したパスワードを
送信する。認証サーバ側は、”秒”の部分から暗号化さ
れた分以上の時刻を推定し(S2)、この時刻を暗号化
し(S3)、この分以上の暗号化時刻に一致するものが
あり(S4)、かつ前回のログイン時に更新登録する時
刻よりも暗号化時刻が後になるときに正規のユーザとし
て認証し(S5)、今回の時刻を更新登録しておく(S
6)。”秒”に代えて、パスワード発生回数になるカウ
ンタ値とすることも含む。
Description
【0001】
【発明の属する技術分野】本発明は、リモートにあるコ
ンピュータにユーザがログインするにおいて、ユーザが
認証を得るためのワンタイムパスワード認証システムに
関する。
ンピュータにユーザがログインするにおいて、ユーザが
認証を得るためのワンタイムパスワード認証システムに
関する。
【0002】
【従来の技術】電話回線やインターネットを通してリモ
ートにあるコンピュータにアクセスする場合、ユーザ認
証のセキュリティを高めるシステムとしてワンタイムパ
スワード認証システムがある。
ートにあるコンピュータにアクセスする場合、ユーザ認
証のセキュリティを高めるシステムとしてワンタイムパ
スワード認証システムがある。
【0003】このシステムでは、ユーザは携帯に不自由
を感じさせないほど十分小型なワンタイムパスワード発
生器を保持し、これにより発生させたパスワードとユー
ザIDを手元のコンピュータに打ち込み、手元のコンピ
ュータからリモートにあるコンピュータにログインす
る。
を感じさせないほど十分小型なワンタイムパスワード発
生器を保持し、これにより発生させたパスワードとユー
ザIDを手元のコンピュータに打ち込み、手元のコンピ
ュータからリモートにあるコンピュータにログインす
る。
【0004】現在の代表的なワンタイムパスワード認証
システムには、時間同期方式とチャレンジ&レスポンス
方式がある。
システムには、時間同期方式とチャレンジ&レスポンス
方式がある。
【0005】時間同期方式は、認証サーバとワンタイム
パスワード発生器が共通の暗号鍵を保持し、ワンタイム
パスワード発生器はパスワードを発生させるときの時刻
を共通の暗号鍵により暗号化し、これをパスワードとす
るものである。認証サーバ側でもログイン要求があった
ときの時刻を共通の暗号鍵により暗号化し、送られてき
たパスワードと比較して認証を行う。パスワード発生器
と認証サーバ側の時計のずれを考慮して、時刻は分まで
を暗号化する。また、認征サーバでは認証サーバの時
刻、1分前後の時刻或は数分前後内の時刻をすべて分間
隔で暗号化し、この内のどれかと一致すれば有効なパス
ワードとする。
パスワード発生器が共通の暗号鍵を保持し、ワンタイム
パスワード発生器はパスワードを発生させるときの時刻
を共通の暗号鍵により暗号化し、これをパスワードとす
るものである。認証サーバ側でもログイン要求があった
ときの時刻を共通の暗号鍵により暗号化し、送られてき
たパスワードと比較して認証を行う。パスワード発生器
と認証サーバ側の時計のずれを考慮して、時刻は分まで
を暗号化する。また、認征サーバでは認証サーバの時
刻、1分前後の時刻或は数分前後内の時刻をすべて分間
隔で暗号化し、この内のどれかと一致すれば有効なパス
ワードとする。
【0006】チャレンジ&レスポンス方式も同様に、認
証サーバとワンタイムパスワード発生器が共通の暗号鍵
を保持する。認証要求があると認証サーバはチャレンジ
コードと呼ばれる乱数を発生させ、これをユーザの手元
にあるコンピュータに送る。ユーザはこのチャレンジコ
ードをパスワード発生器に打ち込み、パスワード発生器
はチャレンジコードを共通の暗号鍵で暗号化し、これを
パスワードとする。認証サーバでもチャレンジコードを
共通の暗号鍵で暗号化し、送られてきたパスワードと比
較することで認証を行う。
証サーバとワンタイムパスワード発生器が共通の暗号鍵
を保持する。認証要求があると認証サーバはチャレンジ
コードと呼ばれる乱数を発生させ、これをユーザの手元
にあるコンピュータに送る。ユーザはこのチャレンジコ
ードをパスワード発生器に打ち込み、パスワード発生器
はチャレンジコードを共通の暗号鍵で暗号化し、これを
パスワードとする。認証サーバでもチャレンジコードを
共通の暗号鍵で暗号化し、送られてきたパスワードと比
較することで認証を行う。
【0007】
【発明が解決しようとする課題】従来の時間同期方式で
は、パスワードが数分間有効なため厳密な意味ではワン
タイムパスワードではない。このため、不正者が回線上
を盗聴することにより、或は傍らで指の動きを見てパス
ワードを盗み、ただちにこのパスワードを用いてログイ
ンすることが可能となる。
は、パスワードが数分間有効なため厳密な意味ではワン
タイムパスワードではない。このため、不正者が回線上
を盗聴することにより、或は傍らで指の動きを見てパス
ワードを盗み、ただちにこのパスワードを用いてログイ
ンすることが可能となる。
【0008】パスワードの有効時間を短くすればセキュ
リティは高くなるが、パスワード発生器と認証サーバ側
の時計のずれの発生によって正規ユーザがログインでき
なくなる可能性が高まる。
リティは高くなるが、パスワード発生器と認証サーバ側
の時計のずれの発生によって正規ユーザがログインでき
なくなる可能性が高まる。
【0009】この点、チャレンジ&レスポンス方式は、
上記の問題は起きないが、時間同期方式に比較して、認
証サーバから送られてきたチャレンジコードをパスワー
ド発生器に打ち込むというユーザの手間が1つ増える。
パスワード発生器は携帯の利便性を考慮して小型に作ら
れているため、チャレンジコードを打ち込むのは面倒で
ある。さらに、認証サーバとクライアントマシン間のや
りとりが1回増えるため時間同期方式に比べてログイン
に時間がかかる。
上記の問題は起きないが、時間同期方式に比較して、認
証サーバから送られてきたチャレンジコードをパスワー
ド発生器に打ち込むというユーザの手間が1つ増える。
パスワード発生器は携帯の利便性を考慮して小型に作ら
れているため、チャレンジコードを打ち込むのは面倒で
ある。さらに、認証サーバとクライアントマシン間のや
りとりが1回増えるため時間同期方式に比べてログイン
に時間がかかる。
【0010】本発明の目的は、時間同期方式において、
ログインのためのユーザの手間数、認証サーバ、クライ
アントマシン間のやりとりを増すことなく、真に1回の
み有効なパスワードを発生させることができるワンタイ
ムパスワード認証システムを提供することにある。
ログインのためのユーザの手間数、認証サーバ、クライ
アントマシン間のやりとりを増すことなく、真に1回の
み有効なパスワードを発生させることができるワンタイ
ムパスワード認証システムを提供することにある。
【0011】
【課題を解決するための手段】本発明は、前記課題を解
決するため、ユーザ側はパスワードにログイン時刻の”
秒”データ又はパスワード発生回数データになるカウン
タ値を付加して暗号化して送信し、認証サーバ側は”
秒”データ又はカウンタ値を除いた時刻データの前後関
係、さらにはカウンタ値の大小関係から正規のユーザを
認証するようにしたもので、以下の構成を特徴とする。
決するため、ユーザ側はパスワードにログイン時刻の”
秒”データ又はパスワード発生回数データになるカウン
タ値を付加して暗号化して送信し、認証サーバ側は”
秒”データ又はカウンタ値を除いた時刻データの前後関
係、さらにはカウンタ値の大小関係から正規のユーザを
認証するようにしたもので、以下の構成を特徴とする。
【0012】(第1の発明)認証サーバとユーザ側のパ
スワード発生器が共通の暗号鍵を保持し、ユーザ側はパ
スワードを発生するときの時刻を前記暗号鍵により暗号
化して認証サーバにログインを要求し、認証サーバ側は
ログイン要求があったときの時刻を前記暗号鍵により暗
号化し、送られてきたパスワードとの一致で認証を行う
時間同期方式のワンタイムパスワード認証システムにお
いて、前記ユーザ側は、時刻の暗号化に”秒”単位デー
タを付加したパスワードとする手段を設け、前記認証サ
ーバ側は、前記ユーザ側から受信した暗号化された時刻
の”分”単位以上の暗号化時刻とその前後数分の暗号化
時刻とが一致し、かつ前回のログイン時の時刻よりも今
回受信した暗号化時刻が後になる場合に正規のユーザと
して認証する手段を設けたことを特徴とする。
スワード発生器が共通の暗号鍵を保持し、ユーザ側はパ
スワードを発生するときの時刻を前記暗号鍵により暗号
化して認証サーバにログインを要求し、認証サーバ側は
ログイン要求があったときの時刻を前記暗号鍵により暗
号化し、送られてきたパスワードとの一致で認証を行う
時間同期方式のワンタイムパスワード認証システムにお
いて、前記ユーザ側は、時刻の暗号化に”秒”単位デー
タを付加したパスワードとする手段を設け、前記認証サ
ーバ側は、前記ユーザ側から受信した暗号化された時刻
の”分”単位以上の暗号化時刻とその前後数分の暗号化
時刻とが一致し、かつ前回のログイン時の時刻よりも今
回受信した暗号化時刻が後になる場合に正規のユーザと
して認証する手段を設けたことを特徴とする。
【0013】(第2の発明)認証サーバとユーザ側のパ
スワード発生器が共通の暗号鍵を保持し、ユーザ側はパ
スワードを発生するときの時刻を前記暗号鍵により暗号
化して認証サーバにログインを要求し、認証サーバ側は
ログイン要求があったときの時刻を前記暗号鍵により暗
号化し、送られてきたパスワードとの一致で認証を行う
時間同期方式のワンタイムパスワード認証システムにお
いて、前記ユーザ側は、時刻の暗号化にパスワード発生
回数になるカウンタ値を付加したパスワードとする手段
を設け、認証サーバ側は、前記ユーザ側から受信したパ
スワードのカウンタ値も含めた前後数分の時刻データを
暗号化し、この暗号化データと受信パスワードが一致
し、かつ登録されている時刻よりも後であるとき、又は
登録されている時刻と同じで認証サーバに更新登録して
おくカウンタ値よりもパスワードのカウンタ値の方が大
きい場合に正規のユーザとして認証する手段を設けたこ
とを特徴とする。
スワード発生器が共通の暗号鍵を保持し、ユーザ側はパ
スワードを発生するときの時刻を前記暗号鍵により暗号
化して認証サーバにログインを要求し、認証サーバ側は
ログイン要求があったときの時刻を前記暗号鍵により暗
号化し、送られてきたパスワードとの一致で認証を行う
時間同期方式のワンタイムパスワード認証システムにお
いて、前記ユーザ側は、時刻の暗号化にパスワード発生
回数になるカウンタ値を付加したパスワードとする手段
を設け、認証サーバ側は、前記ユーザ側から受信したパ
スワードのカウンタ値も含めた前後数分の時刻データを
暗号化し、この暗号化データと受信パスワードが一致
し、かつ登録されている時刻よりも後であるとき、又は
登録されている時刻と同じで認証サーバに更新登録して
おくカウンタ値よりもパスワードのカウンタ値の方が大
きい場合に正規のユーザとして認証する手段を設けたこ
とを特徴とする。
【0014】
【発明の実施の形態】(第1の実施形態)本実施形態の
ハードウェア構成は、従来と時間同期方式と同様に、認
証サーバ及びユーザのパスワード発生器に共通の暗号鍵
を設ける。認証サーバにはユーザ毎に、ユーザID、暗
号鍵、最後にアクセスした秒単位までの時刻が登録され
ている。パスワード発生器には認証サーバに登録されて
いるものと同じ暗号鍵が登録されている。
ハードウェア構成は、従来と時間同期方式と同様に、認
証サーバ及びユーザのパスワード発生器に共通の暗号鍵
を設ける。認証サーバにはユーザ毎に、ユーザID、暗
号鍵、最後にアクセスした秒単位までの時刻が登録され
ている。パスワード発生器には認証サーバに登録されて
いるものと同じ暗号鍵が登録されている。
【0015】本実施形態による認証手順を以下に詳細に
説明する。なお、図1に認証サーバ側の処理手順を示
す。
説明する。なお、図1に認証サーバ側の処理手順を示
す。
【0016】(ユーザ側処理) (a)パスワード発生器は、ログイン時の時刻(秒単位
まで含む)を暗号鍵により暗号化する。
まで含む)を暗号鍵により暗号化する。
【0017】例 ログイン時刻:1997年9月24
日15時32分7秒 時刻データ:19970924153207 暗号化したデータ:****** (b)上記の(a)の結果にログイン時刻の秒単位の数
値を付けたものをパスワードとして表示する。
日15時32分7秒 時刻データ:19970924153207 暗号化したデータ:****** (b)上記の(a)の結果にログイン時刻の秒単位の数
値を付けたものをパスワードとして表示する。
【0018】例 ログイン時刻:1997年9月24日15時32分7秒 パスワード:07****** (c)ユーザIDをユーザのコンピュータに入力し、上
記の(b)のパスワードと共に認証サーバ側に送信す
る。
記の(b)のパスワードと共に認証サーバ側に送信す
る。
【0019】(認証サーバ側処理、図1参照) (a)認証サーバは、ユーザIDとパスワードの受信が
あったとき(S1)、その時の時刻と受信したパスワー
ドの”秒”の部分から、パスワードが暗号化された時刻
を推定し(S2)、その時刻の前後数分内の時刻をすべ
て(分間隔で)暗号鍵で暗号化し(S3)、受信したパ
スワードから“秒”を除いたものと比較する(S4)。
一致するものがなければ認証失敗として回線を切断し、
一致するものがあれば次の処理へ進む。
あったとき(S1)、その時の時刻と受信したパスワー
ドの”秒”の部分から、パスワードが暗号化された時刻
を推定し(S2)、その時刻の前後数分内の時刻をすべ
て(分間隔で)暗号鍵で暗号化し(S3)、受信したパ
スワードから“秒”を除いたものと比較する(S4)。
一致するものがなければ認証失敗として回線を切断し、
一致するものがあれば次の処理へ進む。
【0020】例 認証サーバが受信した時刻:1997年9月24日15
時32分23秒 受信したパスワード:07****** 推定時刻:1997年9月24日15時32分7秒 前後数分の時刻データ:1997092415300
7、19970924153107、19970924
153207、19970924153307、199
70924153407 比較:前後数分の時刻データを暗号化し、受信パスワー
ドの「******」部分と比較する。
時32分23秒 受信したパスワード:07****** 推定時刻:1997年9月24日15時32分7秒 前後数分の時刻データ:1997092415300
7、19970924153107、19970924
153207、19970924153307、199
70924153407 比較:前後数分の時刻データを暗号化し、受信パスワー
ドの「******」部分と比較する。
【0021】(b)認証サーバは、上記の(a)により
判明した暗号化された時刻と認証サーバに登録されてあ
る最後にアクセした時刻を比較し(S5)、暗号化され
た時刻が、最後にアクセスした時刻よりも後であれば最
後にアクセスした時刻を更新する(暗号化された時刻に
置き換える)と共に認証成功として接続する(S6)。
暗号化された時刻が、最後にアクセスした時刻と同じ
か、それより前であれば認証失敗として切断する。
判明した暗号化された時刻と認証サーバに登録されてあ
る最後にアクセした時刻を比較し(S5)、暗号化され
た時刻が、最後にアクセスした時刻よりも後であれば最
後にアクセスした時刻を更新する(暗号化された時刻に
置き換える)と共に認証成功として接続する(S6)。
暗号化された時刻が、最後にアクセスした時刻と同じ
か、それより前であれば認証失敗として切断する。
【0022】したがって、本実施形態では、時間同期方
式のワンタイムパスワード認証方式において、ユーザ側
は、ログイン時刻の”秒”単位まで含めてその暗号化を
行い、時刻の”秒”単位部分を付加したパスワードとユ
ーザIDを送信する。
式のワンタイムパスワード認証方式において、ユーザ側
は、ログイン時刻の”秒”単位まで含めてその暗号化を
行い、時刻の”秒”単位部分を付加したパスワードとユ
ーザIDを送信する。
【0023】認証サーバ側は、最後にアクセスされた時
刻を更新記憶しておき、受信したパスワードの”秒”部
分を一致させて生成する前後数分の時刻データを暗号化
し、この暗号化データと受信パスワードの暗号化データ
が一致し、かつ最後にアクセスされた時刻よりも後であ
るときに認証成功とする。
刻を更新記憶しておき、受信したパスワードの”秒”部
分を一致させて生成する前後数分の時刻データを暗号化
し、この暗号化データと受信パスワードの暗号化データ
が一致し、かつ最後にアクセスされた時刻よりも後であ
るときに認証成功とする。
【0024】これにより、従来の時間同期方式における
パスワードが不正者に盗まれた場合にも”秒”データが
異なるため、不正なログインを防止できる。しかも、正
規のユーザは、パスワード発生器と認証サーバ側の時計
のずれによるログイン失敗を起こすことはない。また、
ユーザ側と認証サーバ側のデータのやり取りは1回で済
み、チャレンジ&レスポンス方式に比べてユーザのキー
入力操作回数が減るし、ログイン時間の短縮を図ること
ができる。
パスワードが不正者に盗まれた場合にも”秒”データが
異なるため、不正なログインを防止できる。しかも、正
規のユーザは、パスワード発生器と認証サーバ側の時計
のずれによるログイン失敗を起こすことはない。また、
ユーザ側と認証サーバ側のデータのやり取りは1回で済
み、チャレンジ&レスポンス方式に比べてユーザのキー
入力操作回数が減るし、ログイン時間の短縮を図ること
ができる。
【0025】(第2の実施形態)本実施形態のハードウ
ェア構成は、従来と時間同期方式と同様に、認証サーバ
及びユーザのパスワード発生器に共通の暗号鍵を設け
る。認証サーバにはユーザ毎に、ユーザID、暗号鍵、
カウンタ値(その日にパスワード発生器がパスワードを
発生した回数)が年月日と共に登録されている。もし、
その日にまだ1回もアクセスされていない場合は、最後
にアクセスされた年月日と、その年月日にパスワードを
発生した回数が登録されている。
ェア構成は、従来と時間同期方式と同様に、認証サーバ
及びユーザのパスワード発生器に共通の暗号鍵を設け
る。認証サーバにはユーザ毎に、ユーザID、暗号鍵、
カウンタ値(その日にパスワード発生器がパスワードを
発生した回数)が年月日と共に登録されている。もし、
その日にまだ1回もアクセスされていない場合は、最後
にアクセスされた年月日と、その年月日にパスワードを
発生した回数が登録されている。
【0026】パスワード発生器には認証サーバに登録さ
れているものと同じ暗号鍵、及びカウンタ値(その日に
パスワードを発生した回数)が年月日と共に登録されて
いる。もし、その日にまだ1回もパスワードを発生して
いない場合は、最後にパスワードを発生した年月日と、
その年月日にパスワードを発生した回数が登録されてい
る。
れているものと同じ暗号鍵、及びカウンタ値(その日に
パスワードを発生した回数)が年月日と共に登録されて
いる。もし、その日にまだ1回もパスワードを発生して
いない場合は、最後にパスワードを発生した年月日と、
その年月日にパスワードを発生した回数が登録されてい
る。
【0027】本実施形態による認証手順を以下に詳細に
説明する。なお、図2に認証サーバ側の処理手順を示
す。
説明する。なお、図2に認証サーバ側の処理手順を示
す。
【0028】(ユーザ側処理) (a)パスワード発生器は、ログイン時の年月日と登録
されている年月日を比較し、同じ日ならばカウンタ(パ
スワードを発生した回数)を1増やす。異なるなら、登
録されている年月日を更新し、カウンタを1にする。
されている年月日を比較し、同じ日ならばカウンタ(パ
スワードを発生した回数)を1増やす。異なるなら、登
録されている年月日を更新し、カウンタを1にする。
【0029】(b)パスワード発生器は、ログイン時の
時刻(分まで)にカウンタの値を付けたものを暗号鍵に
より暗号化する。
時刻(分まで)にカウンタの値を付けたものを暗号鍵に
より暗号化する。
【0030】例 ログイン時刻:1997年9月24
日15時32分、 カウンタ値:7 時刻データ:7199709241532 暗号化したデータ:****** (c)上記の(b)の結果にカウンタ値及び識別子(パ
スワードからカウンタ値のみを抽出するためのもの、例
えばアルファベットの”A”)を付けたものをパスワー
ドとし表示する。なお、第1の実施形態の場合は“秒”
は2桁と決まっているので識別子は必要としない。
日15時32分、 カウンタ値:7 時刻データ:7199709241532 暗号化したデータ:****** (c)上記の(b)の結果にカウンタ値及び識別子(パ
スワードからカウンタ値のみを抽出するためのもの、例
えばアルファベットの”A”)を付けたものをパスワー
ドとし表示する。なお、第1の実施形態の場合は“秒”
は2桁と決まっているので識別子は必要としない。
【0031】例 ログイン時刻:1997年9月24日15時32分、 カウンタ値:7 パスワード:7A****** (d)ユーザIDとユーザのコンピュータに入力し、上
記(c)のパスワードと共に認証サーバ側に送信する。
記(c)のパスワードと共に認証サーバ側に送信する。
【0032】(認証サーバ側処理、図2参照) (a)認証サーバは、ユーザIDとパスワードの受信が
あったとき(S11)、受信したパスワードからカウン
タ値を取り出し、その時の時刻(分まで)の前後数分内
の時刻をすべて(分間隔で)にカウンタ値を付けたもの
を暗号鍵で暗号化し(S12)、受信したパスワードか
らカウンタ値、識別子を除いたものと比較する(S1
3)。一致するものがなければ認証失敗として回線を切
断し、一致するものがあれば次の処理へ進む。
あったとき(S11)、受信したパスワードからカウン
タ値を取り出し、その時の時刻(分まで)の前後数分内
の時刻をすべて(分間隔で)にカウンタ値を付けたもの
を暗号鍵で暗号化し(S12)、受信したパスワードか
らカウンタ値、識別子を除いたものと比較する(S1
3)。一致するものがなければ認証失敗として回線を切
断し、一致するものがあれば次の処理へ進む。
【0033】例 認証サーバが受信した時刻:1997年9月24日15
時32分 受信したパスワード:7A****** カウンタ値を付けた前後数分の時刻データ:71997
09241530、7199709241531、71
99709241532、719970924153
3、7199709241534 比較:カウンタ値を付けた前後数分の時刻データを暗号
化し、受信パスワードの「******」部分と比較す
る。
時32分 受信したパスワード:7A****** カウンタ値を付けた前後数分の時刻データ:71997
09241530、7199709241531、71
99709241532、719970924153
3、7199709241534 比較:カウンタ値を付けた前後数分の時刻データを暗号
化し、受信パスワードの「******」部分と比較す
る。
【0034】(b)認証サーバは、上記の(a)により
判明した暗号化された時刻の年月日と認証サーバに登録
されてある年月日の比較結果で一致するものがある場
合、登録されている年月日の方が前であるとき(S1
4)、登録されてある年月日を更新し、認証サーバのカ
ウンタ値を1にし(S15)、認証成功として接続す
る。
判明した暗号化された時刻の年月日と認証サーバに登録
されてある年月日の比較結果で一致するものがある場
合、登録されている年月日の方が前であるとき(S1
4)、登録されてある年月日を更新し、認証サーバのカ
ウンタ値を1にし(S15)、認証成功として接続す
る。
【0035】また、暗号化された時刻の年月日と認証サ
ーバに登録されてある年月日が同じであるとき(S1
6)、カウンタ値を比較し、認証サーバのカウンタ値よ
りもパスワードから抽出したカウンタ値の方が大きいと
き(S17)、認証サーバのカウンタ値をパスワードか
ら抽出したカウンタ値に置き換える更新をし(S1
8)、認証成功として接続する。上記のいずれでもない
場合は、認証失敗として回線を切断する。
ーバに登録されてある年月日が同じであるとき(S1
6)、カウンタ値を比較し、認証サーバのカウンタ値よ
りもパスワードから抽出したカウンタ値の方が大きいと
き(S17)、認証サーバのカウンタ値をパスワードか
ら抽出したカウンタ値に置き換える更新をし(S1
8)、認証成功として接続する。上記のいずれでもない
場合は、認証失敗として回線を切断する。
【0036】したがって、本実施形態では、時間同期方
式のワンタイムパスワード認証方式において、ユーザ側
は、ログイン時の時刻にパスワードを発生した回数にな
るカウンタ値を含めてその暗号化を行い、カウンタ値を
付加したパスワードとユーザIDを送信する。
式のワンタイムパスワード認証方式において、ユーザ側
は、ログイン時の時刻にパスワードを発生した回数にな
るカウンタ値を含めてその暗号化を行い、カウンタ値を
付加したパスワードとユーザIDを送信する。
【0037】認証サーバ側は、受信したパスワードのカ
ウンタ値も含めた前後数分の時刻データを暗号化し、こ
の暗号化データと受信パスワードが一致し、かつ登録し
ておく時刻よりも後であるときに認証成功とする。ま
た、登録しておく時刻と同じで認証サーバに更新登録し
ておくカウンタ値よりもパスワードのカウンタ値の方が
大きい場合に認証成功とする。
ウンタ値も含めた前後数分の時刻データを暗号化し、こ
の暗号化データと受信パスワードが一致し、かつ登録し
ておく時刻よりも後であるときに認証成功とする。ま
た、登録しておく時刻と同じで認証サーバに更新登録し
ておくカウンタ値よりもパスワードのカウンタ値の方が
大きい場合に認証成功とする。
【0038】これにより、従来の時間同期方式における
パスワードが不正者に盗まれた場合にもそれにカウンタ
値が存在しないため、又はカウンタ値の前後に違いがあ
るため、不正なログインを防止できる。しかも、正規の
ユーザは、パスワード発生器と認証サーバ側の時計のず
れによるログイン失敗を起こすことはない。また、ユー
ザ側と認証サーバ側のデータのやり取りは1回で済み、
チャレンジ&レスポンス方式に比べてユーザのキー入力
操作回数が減るし、ログイン時間の短縮を図ることがで
きる。
パスワードが不正者に盗まれた場合にもそれにカウンタ
値が存在しないため、又はカウンタ値の前後に違いがあ
るため、不正なログインを防止できる。しかも、正規の
ユーザは、パスワード発生器と認証サーバ側の時計のず
れによるログイン失敗を起こすことはない。また、ユー
ザ側と認証サーバ側のデータのやり取りは1回で済み、
チャレンジ&レスポンス方式に比べてユーザのキー入力
操作回数が減るし、ログイン時間の短縮を図ることがで
きる。
【0039】
【発明の効果】以上のとおり、本発明によれば、ユーザ
側はパスワードにログイン時刻の”秒”データ又はパス
ワード発生回数データになるカウンタ値を付加して暗号
化して送信し、認証サーバ側は”秒”データ又はカウン
タ値を除いた時刻データの前後関係、さらにはカウンタ
値の大小関係から正規のユーザを認証するようにしたた
め、従来の時間同期方式とユーザの同じ手間数、認証サ
ーバ、クライアントマシン間の同じやりとり数で、真に
1回のみ有効なパスワードを発生させることが可能とな
り、高いセキュリティを実現できる。
側はパスワードにログイン時刻の”秒”データ又はパス
ワード発生回数データになるカウンタ値を付加して暗号
化して送信し、認証サーバ側は”秒”データ又はカウン
タ値を除いた時刻データの前後関係、さらにはカウンタ
値の大小関係から正規のユーザを認証するようにしたた
め、従来の時間同期方式とユーザの同じ手間数、認証サ
ーバ、クライアントマシン間の同じやりとり数で、真に
1回のみ有効なパスワードを発生させることが可能とな
り、高いセキュリティを実現できる。
【図1】本発明の第1の実施形態を示す認証サーバの認
証アルゴリズム。
証アルゴリズム。
【図2】本発明の第2の実施形態を示す認証サーバの認
証アルゴリズム。
証アルゴリズム。
Claims (2)
- 【請求項1】 認証サーバとユーザ側のパスワード発生
器が共通の暗号鍵を保持し、ユーザ側はパスワードを発
生するときの時刻を前記暗号鍵により暗号化して認証サ
ーバにログインを要求し、認証サーバ側はログイン要求
があったときの時刻を前記暗号鍵により暗号化し、送ら
れてきたパスワードとの一致で認証を行う時間同期方式
のワンタイムパスワード認証システムにおいて、 前記ユーザ側は、時刻の暗号化に”秒”単位データを付
加したパスワードとする手段を設け、 前記認証サーバ側は、前記ユーザ側から受信した暗号化
された時刻の”分”単位以上の暗号化時刻とその前後数
分の暗号化時刻とが一致し、かつ前回のログイン時の時
刻よりも今回受信した暗号化時刻が後になる場合に正規
のユーザとして認証する手段を設けたことを特徴とする
ワンタイムパスワード認証システム。 - 【請求項2】 認証サーバとユーザ側のパスワード発生
器が共通の暗号鍵を保持し、ユーザ側はパスワードを発
生するときの時刻を前記暗号鍵により暗号化して認証サ
ーバにログインを要求し、認証サーバ側はログイン要求
があったときの時刻を前記暗号鍵により暗号化し、送ら
れてきたパスワードとの一致で認証を行う時間同期方式
のワンタイムパスワード認証システムにおいて、 前記ユーザ側は、時刻の暗号化にパスワード発生回数に
なるカウンタ値を付加したパスワードとする手段を設
け、 認証サーバ側は、前記ユーザ側から受信したパスワード
のカウンタ値も含めた前後数分の時刻データを暗号化
し、この暗号化データと受信パスワードが一致し、かつ
登録されている時刻よりも後であるとき、又は登録され
ている時刻と同じで認証サーバに更新登録しておくカウ
ンタ値よりもパスワードのカウンタ値の方が大きい場合
に正規のユーザとして認証する手段を設けたことを特徴
とするワンタイムパスワード認証システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP10122598A JPH11316740A (ja) | 1998-05-06 | 1998-05-06 | ワンタイムパスワード認証システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP10122598A JPH11316740A (ja) | 1998-05-06 | 1998-05-06 | ワンタイムパスワード認証システム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH11316740A true JPH11316740A (ja) | 1999-11-16 |
Family
ID=14839904
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP10122598A Pending JPH11316740A (ja) | 1998-05-06 | 1998-05-06 | ワンタイムパスワード認証システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPH11316740A (ja) |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002259344A (ja) * | 2001-02-28 | 2002-09-13 | Mitsubishi Electric Corp | ワンタイムパスワード認証システム及び携帯電話及びユーザ認証サーバ |
| JP2005010826A (ja) * | 2003-06-16 | 2005-01-13 | Fujitsu Ltd | 認証端末装置、生体情報認証システム、及び生体情報取得システム |
| JP2006186484A (ja) * | 2004-12-27 | 2006-07-13 | Akira Taguchi | 照合システム |
| WO2008004312A1 (fr) * | 2006-07-07 | 2008-01-10 | Jcb Co., Ltd. | Dispositif d'aide au règlement net |
| JP2008102840A (ja) * | 2006-10-20 | 2008-05-01 | Ricoh Co Ltd | ソフトウェア実行制御プログラム及びソフトウェア実行制御方法 |
| JP2008517384A (ja) * | 2004-10-15 | 2008-05-22 | ベリサイン・インコーポレイテッド | ワンタイムパスワード |
| JP2008198147A (ja) * | 2007-02-16 | 2008-08-28 | Dainippon Printing Co Ltd | 時刻同期方式のワンタイムパスワードを生成するトークンの時刻を合わせる方法、時計の時刻をセキュアに修正する機能を備えたトークン、及び、トークンの時刻を修正するためのメッセージを生成するサーバ |
| JP2009157772A (ja) * | 2007-12-27 | 2009-07-16 | Toppan Printing Co Ltd | パスワード発生装置およびパスワード生成方法 |
| JP2009290319A (ja) * | 2008-05-27 | 2009-12-10 | Toshiba Corp | コンテンツ再生装置及びコンテンツ配信装置 |
| JP2011008801A (ja) * | 2001-12-21 | 2011-01-13 | Qualcomm Inc | 簡易音声認証方法および装置 |
| US8391480B2 (en) | 2002-02-15 | 2013-03-05 | Qualcomm Incorporated | Digital authentication over acoustic channel |
| JP2013142994A (ja) * | 2012-01-10 | 2013-07-22 | Clarion Co Ltd | 情報配信方法、情報配信システムおよび車載端末 |
| JP2013191962A (ja) * | 2012-03-13 | 2013-09-26 | Toshiba Corp | データ送信装置、データ受信装置、及びプログラム |
| US8943583B2 (en) | 2002-05-15 | 2015-01-27 | Qualcomm Incorporated | System and method for managing sonic token verifiers |
| US9258124B2 (en) | 2006-04-21 | 2016-02-09 | Symantec Corporation | Time and event based one time password |
| WO2018020830A1 (ja) * | 2016-07-29 | 2018-02-01 | 株式会社デンソー | セキュリティシステム、車両用装置、セキュリティプログラム |
-
1998
- 1998-05-06 JP JP10122598A patent/JPH11316740A/ja active Pending
Cited By (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002259344A (ja) * | 2001-02-28 | 2002-09-13 | Mitsubishi Electric Corp | ワンタイムパスワード認証システム及び携帯電話及びユーザ認証サーバ |
| JP2011008801A (ja) * | 2001-12-21 | 2011-01-13 | Qualcomm Inc | 簡易音声認証方法および装置 |
| US8391480B2 (en) | 2002-02-15 | 2013-03-05 | Qualcomm Incorporated | Digital authentication over acoustic channel |
| US8943583B2 (en) | 2002-05-15 | 2015-01-27 | Qualcomm Incorporated | System and method for managing sonic token verifiers |
| JP2005010826A (ja) * | 2003-06-16 | 2005-01-13 | Fujitsu Ltd | 認証端末装置、生体情報認証システム、及び生体情報取得システム |
| US8434138B2 (en) | 2004-10-15 | 2013-04-30 | Symantec Corporation | One time password |
| JP2008517384A (ja) * | 2004-10-15 | 2008-05-22 | ベリサイン・インコーポレイテッド | ワンタイムパスワード |
| JP4672362B2 (ja) * | 2004-12-27 | 2011-04-20 | 亮 田口 | 照合システム |
| JP2006186484A (ja) * | 2004-12-27 | 2006-07-13 | Akira Taguchi | 照合システム |
| US9258124B2 (en) | 2006-04-21 | 2016-02-09 | Symantec Corporation | Time and event based one time password |
| KR101248058B1 (ko) * | 2006-07-07 | 2013-03-27 | 가부시기가이샤제이씨비 | 인터넷 결제 시스템 |
| WO2008004312A1 (fr) * | 2006-07-07 | 2008-01-10 | Jcb Co., Ltd. | Dispositif d'aide au règlement net |
| JP2008102840A (ja) * | 2006-10-20 | 2008-05-01 | Ricoh Co Ltd | ソフトウェア実行制御プログラム及びソフトウェア実行制御方法 |
| JP2008198147A (ja) * | 2007-02-16 | 2008-08-28 | Dainippon Printing Co Ltd | 時刻同期方式のワンタイムパスワードを生成するトークンの時刻を合わせる方法、時計の時刻をセキュアに修正する機能を備えたトークン、及び、トークンの時刻を修正するためのメッセージを生成するサーバ |
| JP2009157772A (ja) * | 2007-12-27 | 2009-07-16 | Toppan Printing Co Ltd | パスワード発生装置およびパスワード生成方法 |
| JP2009290319A (ja) * | 2008-05-27 | 2009-12-10 | Toshiba Corp | コンテンツ再生装置及びコンテンツ配信装置 |
| JP2013142994A (ja) * | 2012-01-10 | 2013-07-22 | Clarion Co Ltd | 情報配信方法、情報配信システムおよび車載端末 |
| JP2013191962A (ja) * | 2012-03-13 | 2013-09-26 | Toshiba Corp | データ送信装置、データ受信装置、及びプログラム |
| US9088421B2 (en) | 2012-03-13 | 2015-07-21 | Kabushiki Kaisha Toshiba | Data transmitting device, data receiving device, and computer-readable storage medium |
| WO2018020830A1 (ja) * | 2016-07-29 | 2018-02-01 | 株式会社デンソー | セキュリティシステム、車両用装置、セキュリティプログラム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US5418854A (en) | Method and apparatus for protecting the confidentiality of passwords in a distributed data processing system | |
| CN109728909B (zh) | 基于USBKey的身份认证方法和系统 | |
| US5491752A (en) | System for increasing the difficulty of password guessing attacks in a distributed authentication scheme employing authentication tokens | |
| US7409543B1 (en) | Method and apparatus for using a third party authentication server | |
| CN104798083B (zh) | 用于验证访问请求的方法和系统 | |
| CN1323538C (zh) | 一种动态身份认证方法和系统 | |
| JPH11316740A (ja) | ワンタイムパスワード認証システム | |
| US8402519B2 (en) | Transparent client authentication | |
| US20080034216A1 (en) | Mutual authentication and secure channel establishment between two parties using consecutive one-time passwords | |
| JP2002521962A (ja) | 認証トークンを使用して共有秘密を確立する方法及びシステム | |
| JP2003337923A (ja) | データ更新方法及びデータ更新システム | |
| EP3556070B1 (en) | Use of personal device for convenient and secure authentication | |
| KR20040079858A (ko) | 네트워크 접속 시스템 | |
| JP3362780B2 (ja) | 通信システムにおける認証方法、センタ装置、認証プログラムを記録した記録媒体 | |
| US20080250248A1 (en) | Identity Management System with an Untrusted Identity Provider | |
| US11374759B2 (en) | Username-less and password-less one-time identification and authentication code method and system | |
| KR20140002932A (ko) | Otp 기반 인증 시스템 및 방법 | |
| CN100425018C (zh) | 一种网络中动态加密装置及其口令认证方法 | |
| JPH11212922A (ja) | パスワード管理、回復方式 | |
| JP2000148689A (ja) | ネットワークシステムのユーザ認証方法 | |
| US20220237595A1 (en) | Cryptocurrency key management | |
| US7669233B2 (en) | Methods and systems for secure transmission of identification information over public networks | |
| EP3757920A1 (en) | Cryptocurrency key management | |
| JP3078666B2 (ja) | 相互認証/暗号鍵配送方式 | |
| WO2002025860A1 (en) | The dynamic identification method without identification code |