JP2007065789A - Authentication system and method - Google Patents

Authentication system and method Download PDF

Info

Publication number
JP2007065789A
JP2007065789A JP2005248224A JP2005248224A JP2007065789A JP 2007065789 A JP2007065789 A JP 2007065789A JP 2005248224 A JP2005248224 A JP 2005248224A JP 2005248224 A JP2005248224 A JP 2005248224A JP 2007065789 A JP2007065789 A JP 2007065789A
Authority
JP
Japan
Prior art keywords
user
authentication
code string
processing
options
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2005248224A
Other languages
Japanese (ja)
Inventor
Takao Shimada
岳雄 島田
Kimihiko Senhen
公彦 浅辺
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nomura Research Institute Ltd
Original Assignee
Nomura Research Institute Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nomura Research Institute Ltd filed Critical Nomura Research Institute Ltd
Priority to JP2005248224A priority Critical patent/JP2007065789A/en
Publication of JP2007065789A publication Critical patent/JP2007065789A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To prevent any code group for authentication to be used for authenticating a user from being abused even when it is stolen by unspecified persons. <P>SOLUTION: In a user registration step, an authentication device (13) presents a plurality of choices to which a plurality of types of working rules are respectively assigned in such configurations that the types of the assigned working rules can not be specified by a user to a user device (100), and stores information for authentication based on the working rules assigned to the choices selected by the user and an input code string for authentication are stored in a storage region (17). A user terminal 100 stores information expressing the working rule. In a user authentication step, the user terminal 100 works a code string for authentication input by the user by the stored working rule, and transmits it to a server 13. The server 13 judges whether the worked code string for authentication matches the information for authentication stored in the storage region. <P>COPYRIGHT: (C)2007,JPO&INPIT

Description

本発明は、ユーザを認証するための技術に関する。   The present invention relates to a technique for authenticating a user.

認証技術として、例えば、以下の特許文献1乃至特許文献4に開示されている技術がある。   As an authentication technique, for example, there are techniques disclosed in Patent Documents 1 to 4 below.

特開2005−85071号公報JP 2005-85071 A 特開2002−245244号公報JP 2002-245244 A 特開2003−337799号公報JP 2003-337799 A 特許第2993275号公報Japanese Patent No. 2993275

ところで、近年、「フィッシング詐欺」と呼ばれる新手の詐欺が問題視されてきている。「フィッシング詐欺」とは、金融機関或いはオンラインショップ等の特定機関を装ってメールを発行し、そのメールの受信者から、その受信者の当該特定機関での認証用コード群(例えば、クレジットカード番号、有効期限、暗証番号など)を釣り上げる(つまり不正に取得する)詐欺行為である。フィッシング詐欺を行う者(以下、フィッシング詐欺師)は、不特定多数のインターネット利用者に偽メールを送りつけ、認証用コード群を引き出す。   By the way, in recent years, a new type of scam called “phishing scam” has been regarded as a problem. “Phishing scam” is a method of issuing an email pretending to be a specific institution such as a financial institution or an online shop, and from the recipient of the e-mail to a group of authentication codes (for example, a credit card number) , Frauds, passwords, etc.) (ie fraudulent acquisition). A person who performs a phishing scam (hereinafter referred to as a phishing scammer) sends a fake mail to an unspecified number of Internet users and extracts a group of codes for authentication.

具体的には、例えば、フィッシング詐欺師は、クレジットカード会社名義で、「プレゼントに当選されました」というメッセージと、認証用コード群の入力を受付けるページのURLとを記載したメールを不特定多数のインターネット利用者に送信する。メール受信者は、フィッシング詐欺とは気づかずに、受信したメールに記載されているURLにアクセスし、それにより表示されたページに認証用コード群を入力してしまうと、フィッシング詐欺師に自分の認証用コード群を与えてしまうことになる。その結果、自分が与えた認証用コード群が悪用される(例えば、自分になりすまされて買い物がされてしまう)ことがある。   Specifically, for example, a phishing scammer unidentified a large number of e-mails in the name of a credit card company that include a message “Winned for a present” and the URL of a page that accepts an input of an authentication code group. Send to Internet users. The email recipient is not aware of the phishing scam, accesses the URL in the received email, and enters the code group for authentication on the displayed page. An authentication code group will be given. As a result, the authentication code group provided by the user may be misused (for example, the customer is impersonated and shopping).

このようなフィッシング詐欺の対策が望まれている。フィッシング詐欺に限らず、他の方法で盗られた認証用コード群が悪用されてしまうことを防ぐことが望まれている。   Countermeasures against such phishing scams are desired. In addition to phishing scams, it is desired to prevent misuse of authentication code groups stolen by other methods.

従って、本発明の目的は、ユーザの認証に用いられる認証用コード群が不特定の人間に盗られたとしてもそれが悪用されないようにすることにある。   Accordingly, an object of the present invention is to prevent an authentication code group used for user authentication from being abused even if it is stolen by an unspecified person.

本発明の他の目的は、後の説明から明らかになるであろう。   Other objects of the present invention will become clear from the following description.

本発明に従う認証システムは、ユーザ装置と認証装置とを備え、ユーザ登録段階と、前記ユーザ登録段階の後の段階であるユーザ認証段階とがある。前記認証装置が、前記ユーザ登録段階において、前記ユーザの認証用コード列の入力を前記ユーザに求める手段と、前記ユーザ登録段階において、前記ユーザの認証用コード列を加工する規則である複数種類の加工規則がそれぞれ割り当てられていて、割り当てられた加工規則の種類をユーザが特定できないような態様になっている複数の選択肢を、ユーザの使用する前記ユーザ装置に提示する手段と、前記ユーザ登録段階において、前記複数の選択肢の中から前記ユーザに選択された選択肢と前記ユーザの認証用コード列とに基づく情報(例えば、選択された選択肢を特定するための情報と認証用コード列とのセット、或いは、選択された選択肢に割り当てられている加工規則で加工された認証用コード列)を前記ユーザ装置から受ける手段と、前記ユーザ登録段階において、前記受けた情報に基づく認証用情報(例えば、受けた情報それ自体、或いは、受けた認証用コード列を、選択された選択肢に割り当てられている加工規則で加工したもの)を記憶域に格納する手段と、前記ユーザ認証段階において、前記ユーザの認証用コード列の入力を前記ユーザに求める手段と、前記ユーザ認証段階において、前記ユーザ登録段階で前記ユーザに選択された選択肢に割り当てられていた加工規則に従って前記ユーザの認証用コード列が前記ユーザ装置において加工されたものである加工後コード列を受ける手段と、前記ユーザ認証段階において、前記受けた加工後コード列が、前記記憶域に記憶されている前記ユーザの認証用情報に適合するか否かを判断する(例えば、認証用情報から得られた加工後コード列と受けた加工後コード列とが一致するか否かを判断する)手段とを備え、前記判断によって肯定的な判断結果が得られた場合に前記当該ユーザを認証する。前記ユーザ装置が、不揮発性の記憶資源と、前記ユーザ登録段階において、前記認証装置から提示された複数の選択肢を表示する手段と、前記ユーザ登録段階において、前記認証装置からの求めに応じて前記ユーザの認証用コード列の入力を受ける手段と、前記ユーザ登録段階において、前記表示した複数の選択肢の中から前記ユーザに選択された選択肢に割り当てられている加工規則を表す加工規則情報を前記記憶資源に格納する手段と、前記ユーザ登録段階において、前記選択された選択肢と前記入力された認証用コード列とに基づく情報を前記認証装置に送る手段と、前記ユーザ認証段階において、前記認証装置からの求めに応じて前記ユーザの認証用コード列の入力を受ける手段と、前記ユーザ認証段階において、前記入力された認証用コード列を、前記記憶資源に格納されている加工規則情報が表す加工規則に従って加工することにより、前記加工後パスワード列を生成する手段と、前記ユーザ認証段階において、前記生成された加工後パスワード列を前記認証装置に送る手段とを備える。   The authentication system according to the present invention includes a user device and an authentication device, and includes a user registration step and a user authentication step that is a step after the user registration step. The authentication device includes means for requesting the user to input an authentication code string for the user in the user registration stage, and a plurality of types of rules for processing the user authentication code string in the user registration stage. Means for presenting, to the user device used by the user, a plurality of choices each having a processing rule assigned thereto and in a form in which the user cannot identify the type of the assigned processing rule; and the user registration step Information based on the option selected by the user from the plurality of options and the authentication code string of the user (for example, a set of information and an authentication code string for specifying the selected option, Alternatively, it is possible to receive an authentication code string processed by the processing rule assigned to the selected option from the user device. In the user registration stage, the authentication information based on the received information (for example, the received information itself or the received authentication code string is processed according to the processing rule assigned to the selected option. In the storage area; means for requesting the user to input an authentication code string for the user; and selected in the user registration stage by the user in the user authentication stage. Means for receiving a processed code string in which the user authentication code string is processed in the user device according to a processing rule assigned to the selected option, and the processed code string received in the user authentication step. Is determined to be compatible with the user authentication information stored in the storage area (for example, authentication information Means for determining whether or not the obtained processed code sequence matches the received processed code sequence), and authenticates the user when a positive determination result is obtained by the determination . The user device is a non-volatile storage resource, means for displaying a plurality of options presented by the authentication device in the user registration step, and in response to a request from the authentication device in the user registration step. Means for receiving an input of a code string for user authentication; and processing rule information representing a processing rule assigned to an option selected by the user from among the plurality of displayed options in the user registration stage; Means for storing in resources; means for sending information based on the selected option and the inputted authentication code string to the authentication apparatus in the user registration stage; and from the authentication apparatus in the user authentication stage. Means for receiving the user's authentication code string in response to the request, and in the user authentication step, the input authentication. Means for generating the processed password string by processing the code string according to the processing rule indicated by the processing rule information stored in the storage resource, and the processed password generated in the user authentication step. Means for sending a sequence to the authenticator.

本発明に従う認証システムの第一の態様では、前記ユーザ装置の前記格納する手段は、前記認証装置以外の装置との間で共有されることのないよう制御されるデータ(例えばWEBブラウザによって制御されるデータ)に、前記加工規則情報を設定し、前記加工規則情報が設定されたデータを、前記記憶資源に格納することができる。   In a first aspect of the authentication system according to the present invention, the storing means of the user device is controlled so as not to be shared with a device other than the authentication device (for example, controlled by a WEB browser). The processing rule information is set in the data), and the data in which the processing rule information is set can be stored in the storage resource.

ここで、そのデータとして、クッキー或いはシェアドオブジェクトとすることができる。具体的には、例えば、認証装置が、そのデータをユーザ装置に提供し、ユーザ装置(例えばユーザ装置に備えられているWebブラウザ)が、そのデータに、前記加工規則情報を設定することができる。   Here, the data can be a cookie or a shared object. Specifically, for example, the authentication device can provide the data to the user device, and the user device (for example, a Web browser provided in the user device) can set the processing rule information in the data. .

本発明に従う認証システムの第二の態様では、前記複数の選択肢の中から選択される選択肢の数は前記ユーザの任意の数であってもよい。この場合、前記ユーザ装置から前記認証装置が受ける加工後コード列の長さは、前記ユーザに選択された選択肢の数に応じて異なっている。   In the second aspect of the authentication system according to the present invention, the number of options selected from the plurality of options may be any number of the users. In this case, the length of the processed code string received by the authentication device from the user device differs depending on the number of options selected by the user.

本発明に従う認証装置は、ユーザの認証用コード列を加工する規則である複数種類の加工規則がそれぞれ割り当てられていて、割り当てられた加工規則の種類をユーザが特定できないような態様になっている複数の選択肢を、ユーザの使用するユーザ装置に提示する手段と、前記ユーザに認証用コード列の入力を求める手段と、前記提示した複数の選択肢の中から前記ユーザに選択された選択肢に割り当てられている加工規則と、前記ユーザに入力された認証用コード列とに基づく認証用情報を記憶域に格納する手段とを備える。これらの各手段は、ユーザ登録段階で実行されるようになっている。更に、認証装置は、前記ユーザ登録段階で前記ユーザに選択された選択肢に割り当てられていた加工規則に従って前記ユーザの認証用コード列が前記ユーザ装置において加工されたものである加工後コード列を受ける手段と、前記受けた加工後コード列が、前記記憶域に記憶されている前記ユーザの認証用情報に適合するか否かを判断する手段とを備え、これらはユーザ認証段階で実行されるようになっている。   The authentication apparatus according to the present invention is configured such that a plurality of types of processing rules, which are rules for processing a user authentication code string, are respectively assigned, and the type of the assigned processing rules cannot be specified by the user. A means for presenting a plurality of options to a user device used by the user; a means for requesting the user to input an authentication code string; and a choice selected by the user from the plurality of presented options. And means for storing authentication information based on the processing rules and the authentication code string input by the user in a storage area. Each of these means is executed at the user registration stage. Further, the authentication device receives a post-processing code sequence in which the user authentication code sequence is processed in the user device in accordance with a processing rule assigned to the option selected by the user in the user registration stage. Means and means for determining whether the received post-processing code string is compatible with the user authentication information stored in the storage area, and these are executed in the user authentication stage. It has become.

本発明に従う認証装置の第一の態様では、前記ユーザ登録段階において、前記複数種類の加工規則を前記複数の選択肢にそれぞれ割り当てる手段が更に備えられる。前記割り当てる手段は、同一の選択肢に割り当てる加工規則の種類を、前記ユーザ登録段階の都度に違えることができる。   In the first aspect of the authentication apparatus according to the present invention, the user registration step further includes means for assigning the plurality of types of processing rules to the plurality of options, respectively. The assigning means can change the type of processing rule assigned to the same option at each user registration stage.

本発明に従う認証装置の第二の態様では、同一のユーザであってもユーザ認証段階の都度に中身の異なる電子的な鍵を生成する手段と、前記生成された鍵を前記ユーザ装置に提供する手段と、前記ユーザ装置から受けた、前記提供された鍵で前記加工後コード列が暗号化されたものを、前記鍵で復号化する手段とが更に備えられる。これらは、前記ユーザ認証段階において実行される。前記判断する手段は、前記鍵での復号化によって得られた加工後コード列が前記ユーザの認証用情報に適合する否かを判断する。   In the second aspect of the authentication device according to the present invention, even for the same user, means for generating an electronic key having a different content at every user authentication stage, and providing the generated key to the user device And means for decrypting the processed code string encrypted with the provided key received from the user apparatus with the key. These are executed in the user authentication stage. The determining means determines whether or not the processed code string obtained by the decryption with the key matches the user authentication information.

上述した各手段は、ハードウェア、コンピュータプログラム又はそれらの組み合わせで実現することができる。コンピュータプログラムは、CD−ROM等の記録媒体に記録しておきその記録媒体からインストールすることもできるし、通信ネットワークを介して或る装置からダウンロードすることもできる。   Each unit described above can be realized by hardware, a computer program, or a combination thereof. The computer program can be recorded on a recording medium such as a CD-ROM and installed from the recording medium, or can be downloaded from a certain device via a communication network.

本発明によれば、ユーザの認証に用いられる認証用コード群が不特定の人間に盗られたとしてもそれが悪用されないようにすることができる。   According to the present invention, even if an authentication code group used for user authentication is stolen by an unspecified person, it can be prevented from being abused.

以下、図面を参照して、本発明の一実施形態について説明する。   Hereinafter, an embodiment of the present invention will be described with reference to the drawings.

図1は、本発明の一実施形態に係る認証システムの構成例を示す。   FIG. 1 shows a configuration example of an authentication system according to an embodiment of the present invention.

例えば、WEBサーバ13は、通信ネットワーク(例えばインターネット)51を介して、ユーザが使用する各ユーザ端末(別の言い方をすればクライアントマシン)100と通信することができる。ユーザ端末100は、CPUやメモリ等を備えた据置型の或いはモバイル型のコンピュータマシンであり、具体的には、例えば、パーソナルコンピュータ、携帯電話機などである。WEBサーバ13は、データベース(例えばデータベースサーバ)17にも通信可能に接続することができる。データベース17には、後述するユーザテーブル31を格納することができる。   For example, the WEB server 13 can communicate with each user terminal (in other words, a client machine) 100 used by a user via a communication network (for example, the Internet) 51. The user terminal 100 is a stationary or mobile computer machine including a CPU, a memory, and the like, and specifically, for example, a personal computer, a mobile phone, and the like. The WEB server 13 can also be communicably connected to a database (for example, a database server) 17. The database 17 can store a user table 31 to be described later.

WEBサーバ13は、例えば、通信ネットワーク51を介した通信を行うためのインターフェース装置(以下、「I/F」と略記)7や、データベース17と通信を行うためのI/F5を備える。また、WEBサーバ13は、プロセッサ9や、メモリ11及び/又はメディアドライブ(例えばハードディスクドライブ)3等の記憶資源を備える。記憶資源には、複数種類のソフトウェア(コンピュータプログラム)が記憶され、各種ソフトウェアが適宜にプロセッサ9に読み込まれて実行される。   The WEB server 13 includes, for example, an interface device (hereinafter abbreviated as “I / F”) 7 for performing communication via the communication network 51 and an I / F 5 for performing communication with the database 17. The WEB server 13 includes storage resources such as the processor 9, the memory 11 and / or the media drive (for example, hard disk drive) 3. In the storage resource, a plurality of types of software (computer programs) are stored, and various types of software are appropriately read into the processor 9 and executed.

図1Bは、WEBサーバ13におけるソフトウェアアーキテクチャの概要の一例を示す。   FIG. 1B shows an example of the outline of the software architecture in the WEB server 13.

WEBサーバ13では、ウィンドウズ(登録商標)等のオペレーティングシステム(OS)21上で、アプリケーションプログラムの一種として認証プログラム23が実行される。認証プログラム23には、複数のプログラムモジュールが含まれている。複数のプログラムモジュールには、例えば、メールやURLを生成することができるメール/URL生成モジュール24と、ユーザから入力されたパスワードの加工を制御する加工制御モジュール25と、電子的な鍵を生成するための鍵生成モジュール26と、生成された鍵を用いた復号化を行うための復号化モジュール27とがある。認証プログラム23は、これらのモジュール24、25、26及び27を適宜に利用して種々の処理を実行することができる。勿論、認証プログラム23は、これらのモジュール24、25、26及び27以外のモジュールを備えることもできる。   In the WEB server 13, an authentication program 23 is executed as a kind of application program on an operating system (OS) 21 such as Windows (registered trademark). The authentication program 23 includes a plurality of program modules. In the plurality of program modules, for example, a mail / URL generation module 24 that can generate a mail or a URL, a processing control module 25 that controls processing of a password input by a user, and an electronic key are generated. There are a key generation module 26 for decoding and a decryption module 27 for performing decryption using the generated key. The authentication program 23 can execute various processes by appropriately using these modules 24, 25, 26 and 27. Of course, the authentication program 23 can also include modules other than these modules 24, 25, 26 and 27.

図1Cは、ユーザ端末100に備えられるソフトウェアアーキテクチャの概要の一例を示す。   FIG. 1C shows an example of an outline of the software architecture provided in the user terminal 100.

ユーザ端末100では、ウィンドウズ(登録商標)等のOS121上で、アプリケーションプログラムの一種としてWEBブラウザ123が実行される。WEBブラウザ123には、種々のコンピュータプログラム、例えば、制御プログラム125がプラグインされている。   In the user terminal 100, a WEB browser 123 is executed as a kind of application program on the OS 121 such as Windows (registered trademark). Various computer programs such as a control program 125 are plugged into the WEB browser 123.

制御プログラム125は、例えば、WEBサーバ13から指定された場所からダウンロードされたコンピュータプログラムとすることができる。制御プログラム125は、例えば、Javascript(登録商標)で記述されたものであり、ユーザ端末100における所定の記憶域(例えば所定のフォルダ)128上のクッキー126に記述されている加工方式情報が表す加工方式で、WEBブラウザ123が表示している画面上でユーザから入力されたパスワードを加工することができる(Javaは登録商標)。   The control program 125 can be, for example, a computer program downloaded from a location designated from the WEB server 13. The control program 125 is described in, for example, Javascript (registered trademark), and the processing represented by the processing method information described in the cookie 126 on a predetermined storage area (for example, a predetermined folder) 128 in the user terminal 100. By this method, it is possible to process the password input by the user on the screen displayed by the WEB browser 123 (Java is a registered trademark).

なお、図1Cに記載のアーキテクチャは一例にすぎず、他のアーキテクチャを採用することができる。例えば、制御プログラム125は、プラグインされることに代えて、例えば、WEBブラウザ123が、所定のタイミングで、WEBサーバ13から制御プログラム125を受信し(例えばHTMLで書かれた画面情報(例えばログイン用の画面の情報)と共に受信し)、それを解釈して実行しても良い。制御プログラム125もWEBブラウザ123も、ユーザ端末100内の図示しないプロセッサに読み込まれて実行されるものである。   Note that the architecture illustrated in FIG. 1C is merely an example, and other architectures can be employed. For example, instead of being plugged in, for example, the WEB browser 123 receives the control program 125 from the WEB server 13 at a predetermined timing (for example, screen information written in HTML (for example, login) For example) and may be interpreted and executed. Both the control program 125 and the WEB browser 123 are read and executed by a processor (not shown) in the user terminal 100.

図2は、ユーザテーブル31の構成例を示す。   FIG. 2 shows a configuration example of the user table 31.

ユーザテーブル31には、各ユーザ毎に、少なくとも、ユーザがWEBサーバ13にログインするために必要な情報が登録される。具体的には、例えば、ユーザテーブル31には、各ユーザ毎に、ユーザID、加工後パスワード群、加工方式情報群及び電子メールアドレスが登録される。加工後パスワード群とは、加工方式情報群に含まれる各加工方式情報が表す加工方式で加工された後のパスワードである。二種類以上の加工方式に従ってパスワードが加工された場合には、加工後パスワード群は、加工された各パスワードが一つに連結されたもので構成される(詳細は後述する)。加工方式情報群とは、加工方式を表す加工方式情報を一つ以上含んだ情報である。加工方式とは、パスワードをどのように加工するかの方式であり、パスワードの変換規則と言うこともできる。図2には全てを図示しているわけではないが、この実施形態では、複数種類の加工方式として、5種類の加工方式「反転」、「1文字左シフト」、「2文字右シフト」、「2文字左シフト」及び「1文字右シフト」が用意されている。例えば、「反転」とは、パスワードを構成する各コードの位置を左右に反転することの意味であり、具体例として、パスワードが"12345"である場合には、加工方式「反転」に従うと、加工後のパスワードは"54321"となる。また、「1文字左シフト」とは、パスワードを構成する各コードの位置が一つ左に移動し、それに伴って、一番左に位置するコードが一番右に位置することを意味する。具体例として、パスワードが"12345"である場合では、加工方式「1文字左シフト」に従うと、加工後のパスワードは"23451"となる(なお、他のシフト系の加工方式についての説明は省略するが、この「1文字左シフト」の加工方式についての説明から、他のシフト系の加工方式についても理解することができる)。   In the user table 31, at least information necessary for the user to log in to the WEB server 13 is registered for each user. Specifically, for example, a user ID, a post-processing password group, a processing method information group, and an e-mail address are registered in the user table 31 for each user. The post-processing password group is a password after being processed by the processing method represented by each processing method information included in the processing method information group. When passwords are processed according to two or more types of processing methods, the processed password group is configured by connecting the processed passwords into one (details will be described later). The processing method information group is information including one or more processing method information representing the processing method. The processing method is a method of processing a password, and can also be called a password conversion rule. Although not all are shown in FIG. 2, in this embodiment, as a plurality of types of processing methods, five types of processing methods “reverse”, “one character left shift”, “two character right shift”, “2 character left shift” and “1 character right shift” are prepared. For example, “reverse” means that the position of each code constituting the password is reversed left and right. As a specific example, when the password is “12345”, according to the processing method “reverse”, The password after processing is “54321”. “Shift one character left” means that the position of each code constituting the password moves one place to the left, and accordingly, the code located at the leftmost position is located at the rightmost position. As a specific example, when the password is “12345”, the password after processing is “23451” according to the processing method “shift left by one character” (note that description of processing methods for other shift systems is omitted). However, it is possible to understand other shift processing methods from the description of the processing method of “shift one character to the left”).

この実施形態では、ユーザは、複数種類の加工方式の中から一種類以上の加工方式を選択することができる。二種類以上の加工方式が選択された場合、各種加工方式によって加工された各パスワードが連結され、複数の加工後パスワードから成る加工後パスワード群とされる。つまり、選択された加工方式の種類の数が多いほど、加工後パスワード群の桁数も多くなる。例えば、図2を見れば分かるとおり、パスワードが5桁の場合、選択された加工方式が3種類であれば、3種類の加工方式に従って加工された3つのパスワードが連結されるので、加工後パスワード群は15桁になり、一方、選択された加工方式が2種類であれば、同様の理由から、加工後パスワード群は10桁になる。   In this embodiment, the user can select one or more types of processing methods from among a plurality of types of processing methods. When two or more types of processing methods are selected, the passwords processed by the various processing methods are connected to form a processed password group consisting of a plurality of processed passwords. That is, the greater the number of types of selected processing methods, the greater the number of digits in the processed password group. For example, as can be seen from FIG. 2, if the password is 5 digits and the selected processing method is three types, three passwords processed according to the three types of processing methods are connected, so the processed password On the other hand, if the number of processing methods selected is two, the password group after processing will be 10 digits for the same reason.

以下、図3以降を参照して、本実施形態で行われる処理の流れを説明する。   Hereinafter, the flow of processing performed in the present embodiment will be described with reference to FIG.

図3及び図4は、ユーザ登録処理の流れの一例を示す。   3 and 4 show an example of the flow of user registration processing.

WEBサーバ(以下、単に「サーバ」と言う)13は、所定のタイミングで(例えば、ユーザ端末100からの所定の要求に応答して後述のユーザ登録画面41をユーザ端末100に提供する場合に)、各選択肢と各種加工方式とをランダムに組み合わせる(ステップS1)。具体的には、例えば、認証プログラム23を読み出して実行するプロセッサ9が(以下、「認証プログラム23が」と言う)、各選択肢と各種加工方式との不規則的な組み合わせを決定し、その組み合わせをメモリ11に記憶させておく。ここで、選択肢とは、ユーザ端末100に表示されてユーザの選択を受け得る情報である。この実施形態では、選択肢として、番号が採用されるが、それに限らず、他種の情報、例えば、アルファベット、色などを採用することができる。大事なことは、選択肢は、選択肢を見ただけでは、ユーザがその選択肢に対応付けられた加工方式を特定できないような態様になっていることである。ここでは、選択肢「1」に対して加工方式「反転」が、選択肢「2」に対して加工方式「1文字左シフト」が、選択肢「3」に対して加工方式「2文字右シフト」が、選択肢「4」に対して加工方式「2文字左シフト」が、選択肢「5」に対して「1文字右シフト」が、それぞれ組み合わされたとする。   The WEB server (hereinafter simply referred to as “server”) 13 is at a predetermined timing (for example, when a user registration screen 41 described later is provided to the user terminal 100 in response to a predetermined request from the user terminal 100). Each option and various processing methods are randomly combined (step S1). Specifically, for example, the processor 9 that reads and executes the authentication program 23 (hereinafter referred to as “authentication program 23”) determines an irregular combination of each option and various processing methods, and the combination Is stored in the memory 11. Here, the option is information that can be displayed on the user terminal 100 and can be selected by the user. In this embodiment, a number is adopted as an option, but the present invention is not limited thereto, and other types of information such as alphabets and colors can be adopted. What is important is that the option is in such a manner that the user cannot specify the processing method associated with the option simply by looking at the option. Here, the processing method “reverse” is selected for option “1”, the processing method “shift left by one character” is selected for option “2”, and the processing method “shift right by two characters” is selected for option “3”. Suppose that the processing method “2 character left shift” is combined with the option “4”, and “1 character right shift” is combined with the option “5”.

次に、認証プログラム23は、ユーザIDの登録欄43、パスワードの登録欄45及び複数の加工方式の選択肢47が表示される電子的な画面(以下、ユーザ登録画面)41を準備し(S2)、準備したユーザ登録画面41をユーザ端末100に提供する(S3)。ここで着目すべき工夫点として、各選択肢と各選択肢に組み合わされた加工方式とのうち、準備されるユーザ登録画面41に表示されるのは、選択肢のみであって、加工方式は表示されない点である。   Next, the authentication program 23 prepares an electronic screen (hereinafter, user registration screen) 41 on which a user ID registration field 43, a password registration field 45, and a plurality of processing method options 47 are displayed (S2). The prepared user registration screen 41 is provided to the user terminal 100 (S3). As an ingenuity point to be noted here, among the options and the processing methods combined with each option, only the options are displayed on the prepared user registration screen 41, and the processing method is not displayed. It is.

ユーザ端末100のWEBブラウザ123は、提供されたユーザ登録画面41を、ユーザ端末100の図示しない表示装置に表示する。WEBブラウザ123は、ユーザから、ユーザID及びパスワードの入力や、一つ以上の選択肢の選択を受ける(S4)。ここでは、選択肢「1」、「3」及び「4」が選択されたとする。   The WEB browser 123 of the user terminal 100 displays the provided user registration screen 41 on a display device (not shown) of the user terminal 100. The WEB browser 123 receives input of a user ID and password and selection of one or more options from the user (S4). Here, it is assumed that options “1”, “3”, and “4” are selected.

WEBブラウザ123が、選択肢「1」、「3」及び「4」にそれぞれ対応した加工方式「反転」、「2文字右シフト」及び「2文字左シフト」を表す情報をクッキー126(サーバ13から所定のタイミングで受けたもの)に設定すると共に、ユーザID、パスワード及びユーザに指定された選択肢「1」、「3」、「4」を、サーバ13に送信する(S5)。   The WEB browser 123 displays information indicating the processing methods “reverse”, “2 character right shift”, and “2 character left shift” corresponding to the options “1”, “3”, and “4” respectively from the cookie 126 (from the server 13). The user ID, password, and options “1”, “3”, and “4” designated by the user are transmitted to the server 13 (S5).

なお、ここでは、例えば、WEBブラウザ123が、S3で、サーバ13から提供されたユーザ登録画面41の情報と共に、どの選択肢にどの加工方式が対応しているのかを表す情報を受けていて、S5で、その情報を基に、ユーザから指定された選択肢に対応する加工方式を表す情報をクッキー126に設定して保存しても良い。或いは、例えば、WEBブラウザ123が、S5で、ユーザに指定された各選択肢に対応する加工方式をサーバ13に問い合わせ、サーバ13が、その選択肢に対応する加工方式の情報をメモリ11から特定してユーザ端末100に返答し、WEBブラウザ123が、返答された加工方式をクッキー126に設定して、例えばユーザ端末100内のハードディスクドライブに保存しても良い。また、WEBブラウザ123は、制御プログラム125を実行することにより、選択された選択肢に対応する加工方式でパスワードを加工して加工後パスワード群を生成し、加工後パスワード群をサーバ13に送信しても良い。   Here, for example, the WEB browser 123 receives information indicating which processing method corresponds to which option together with information on the user registration screen 41 provided from the server 13 in S3. Thus, based on the information, information representing the processing method corresponding to the option designated by the user may be set in the cookie 126 and stored. Alternatively, for example, the WEB browser 123 inquires the processing method corresponding to each option designated by the user to the server 13 in S5, and the server 13 specifies the processing method information corresponding to the option from the memory 11. In response to the user terminal 100, the WEB browser 123 may set the returned processing method in the cookie 126 and store it in a hard disk drive in the user terminal 100, for example. Further, the WEB browser 123 executes the control program 125 to process the password by the processing method corresponding to the selected option to generate a processed password group, and transmits the processed password group to the server 13. Also good.

サーバ13は、ユーザID、パスワード及び一以上の選択肢を受信する(S6)。認証プログラム23は、受信した一以上の選択肢にそれぞれ対応した一以上の加工方式情報をメモリ11から特定し、加工制御モジュール25により、特定された一以上の加工方式情報が表す一以上の加工方式で、受信したパスワードを加工する(S7)。ここでは、例えば、選択肢「1」、「3」及び「4」にそれぞれ対応した3種類の加工方式に従ってパスワードが加工され、その結果、3つの加工後パスワードから成る加工後パスワード群が得られる。   The server 13 receives the user ID, password, and one or more options (S6). The authentication program 23 identifies one or more machining method information respectively corresponding to the received one or more options from the memory 11, and one or more machining methods represented by the one or more machining method information identified by the machining control module 25. Then, the received password is processed (S7). Here, for example, the password is processed according to three types of processing methods corresponding to the options “1”, “3”, and “4”, respectively, and as a result, a processed password group including three processed passwords is obtained.

認証プログラム23は、ユーザID、加工後パスワード群及び加工方式情報群(ユーザに選択された一以上の選択肢に対応する一以上の加工方式情報を含んだもの)を、データベース(以下、DB)17内のユーザテーブル31に登録する(S8)。なお、認証プログラム23は、加工後パスワード群がユーザ端末100で生成された場合には、そのユーザ端末100からの加工後パスワード群をユーザテーブル31に登録しても良い。   The authentication program 23 stores a user ID, a post-processing password group, and a processing method information group (including one or more processing method information corresponding to one or more options selected by the user) into a database (hereinafter, DB) 17. In the user table 31 (S8). The authentication program 23 may register the processed password group from the user terminal 100 in the user table 31 when the processed password group is generated by the user terminal 100.

次に、認証プログラム23は、電子メールアドレス登録欄49を有した電子的な画面48を準備してユーザ端末100に送信する(S9)。   Next, the authentication program 23 prepares an electronic screen 48 having an e-mail address registration field 49 and transmits it to the user terminal 100 (S9).

ユーザ端末100のWEBブラウザ123が、画面48を受けて表示する。画面48の登録欄49に電子メールアドレスが入力された場合、WEBブラウザ123は、その電子メールアドレスをサーバ13に送信する(S10)。   The WEB browser 123 of the user terminal 100 receives the screen 48 and displays it. When an e-mail address is entered in the registration field 49 of the screen 48, the WEB browser 123 transmits the e-mail address to the server 13 (S10).

認証プログラム23は、電子メールアドレスを受け、その電子メールアドレスを、DB17内のユーザテーブル31の、S8で登録したユーザIDに対応する位置に登録する(S11)。   The authentication program 23 receives the e-mail address and registers the e-mail address in the position corresponding to the user ID registered in S8 in the user table 31 in the DB 17 (S11).

その後、認証プログラム23は、登録完了通知をユーザ端末100に送信する(S12)。ユーザ端末100がその通知を受領することにより(S13)、ユーザ登録の終了となる。   Thereafter, the authentication program 23 transmits a registration completion notification to the user terminal 100 (S12). When the user terminal 100 receives the notification (S13), the user registration is completed.

図5は、ログイン処理の流れの一例を示す。   FIG. 5 shows an example of the flow of login processing.

認証プログラム23が、鍵生成モジュール26により、電子的な鍵(例えば乱数)を生成してメモリ11に記憶させ、生成した鍵と、ユーザID入力欄53及びパスワード入力欄55を有した電子的な画面(以下、ログイン要求画面)51とを、ユーザ端末100に提供する(S11)。   The authentication program 23 generates an electronic key (for example, a random number) by the key generation module 26 and stores it in the memory 11. The authentication program 23 is an electronic key having a generated key, a user ID input field 53, and a password input field 55. A screen (hereinafter, a login request screen) 51 is provided to the user terminal 100 (S11).

ユーザ端末100は、ログイン要求画面51及び鍵を受信し、WEBブラウザ123が、受信したログイン要求画面51を表示する。やがて、WEBブラウザ123は、ユーザからユーザID及びパスワードの入力を受ける(S12)。   The user terminal 100 receives the login request screen 51 and the key, and the WEB browser 123 displays the received login request screen 51. Eventually, the WEB browser 123 receives an input of a user ID and a password from the user (S12).

WEBブラウザ123は、パスワードの入力を受けた場合、通信相手のサーバ13のドメイン名に対応したクッキー126を所定の記憶域128から特定する(S13)。そして、WEBブラウザ123は、制御プログラム125を実行することにより(このプログラム125は例えばS11で受けても良い)、特定されたクッキー126に設定されている加工方式情報群中の各加工方式情報が表す各加工方式で、入力されたパスワードを加工し、それにより、加工後パスワード群を生成する(S14)。   When receiving the password, the WEB browser 123 specifies the cookie 126 corresponding to the domain name of the communication partner server 13 from the predetermined storage area 128 (S13). Then, the web browser 123 executes the control program 125 (this program 125 may be received in S11, for example), so that each processing method information in the processing method information group set in the specified cookie 126 is displayed. The input password is processed by each processing method to be expressed, thereby generating a post-processing password group (S14).

また、WEBブラウザ123は、生成された加工後パスワード群を、上記受信した鍵(例えば乱数)で暗号化することにより、暗号加工後パスワード群を生成する(S15)。この暗号化のためのプログラムも、プラグインされていても良いし、所定のタイミングでサーバ13から提供されても良い。   Further, the WEB browser 123 generates the encrypted password group by encrypting the generated processed password group with the received key (for example, a random number) (S15). This encryption program may also be plugged in or provided from the server 13 at a predetermined timing.

WEBブラウザ123は、入力されたユーザID及び生成された暗号加工後パスワード群と、ログイン要求とを、サーバ13に送信する(S16)。   The WEB browser 123 transmits the input user ID, the generated post-encryption password group, and the login request to the server 13 (S16).

サーバ13は、ユーザID及び暗号加工後パスワード群とログイン要求とを受信する(S17)。   The server 13 receives the user ID, the encrypted password group, and the login request (S17).

ログイン要求に応答して、認証プログラム23が、受信したユーザIDに対応する加工後パスワード群をDB17内のユーザテーブル31から取得する(S18)。また、認証プログラム23は、復号化モジュール27により、受信した暗号加工後パスワード群をS11で生成した鍵(メモリ11に記憶させた鍵)で復号化することで、加工後パスワード群を得る(S19)。なお、この復号化に失敗した場合、認証プログラム23は、ユーザ端末100にエラー報告をしてもよい。   In response to the login request, the authentication program 23 acquires a processed password group corresponding to the received user ID from the user table 31 in the DB 17 (S18). Further, the authentication program 23 uses the decryption module 27 to decrypt the received encrypted password group with the key generated in S11 (the key stored in the memory 11), thereby obtaining the processed password group (S19). ). If this decryption fails, the authentication program 23 may report an error to the user terminal 100.

認証プログラム23は、S18で取得された加工後パスワード群と、S19で得られた加工後パスワード群とを比較する(S20)。その結果、一致が得られなければ(S21でNO)、認証プログラム23は、ログインを拒否し(S22)、一方、一致が得られたならば(S21でYES)、ログインを許可する(S23)。   The authentication program 23 compares the processed password group obtained in S18 with the processed password group obtained in S19 (S20). As a result, if a match is not obtained (NO in S21), the authentication program 23 rejects the login (S22). On the other hand, if a match is obtained (YES in S21), the login is permitted (S23). .

このログイン処理によれば、ユーザ登録処理においてユーザ端末100に保存されたクッキー126に設定されている加工方式情報群を基に、ログイン処理において入力されたパスワードが加工される。しかし、この実施形態では、別のユーザ端末100にも、そのクッキー126を設定することができる。以下、そのために行われる処理流れの一例を説明する。   According to this login process, the password input in the login process is processed based on the processing method information group set in the cookie 126 stored in the user terminal 100 in the user registration process. However, in this embodiment, the cookie 126 can be set in another user terminal 100. Hereinafter, an example of a processing flow performed for that purpose will be described.

図6は、ユーザ登録処理においてユーザ端末100に保存されたクッキー126を別のユーザ端末100に設定するための準備処理の流れの一例を示す。   FIG. 6 shows an example of the flow of a preparation process for setting the cookie 126 stored in the user terminal 100 in another user terminal 100 in the user registration process.

この準備処理は、例えば、ログイン処理において、S23でログイン許可され、ログイン済み状態になっている場合に行なわれる。   This preparation process is performed, for example, in the login process when the login is permitted in S23 and the logged-in state is entered.

WEBブラウザ123は、他のユーザ端末100からでもログインすることができるようにすることをサーバ13に依頼する(S31)。   The WEB browser 123 requests the server 13 to log in from another user terminal 100 (S31).

認証プログラム23は、その依頼に応答して、ログイン済みになっているユーザのユーザIDに対応した加工方式情報群及び電子メールアドレスを、DB17内のユーザテーブル31から取得する(S32)。   In response to the request, the authentication program 23 acquires a processing method information group and an e-mail address corresponding to the user ID of the logged-in user from the user table 31 in the DB 17 (S32).

次に、認証プログラム23は、取得した加工方式情報群及び有効期限(例えば現時点から10日後の日時)を設定したクッキー126を準備し、そのクッキー126を所定の記憶域(例えばDB17)に格納し、格納後のクッキー126の場所を示すURLを、メール/URL生成モジュール24により生成する(S33)。なお、上記の有効期限とは、クッキー126の有効期限、換言すれば、生成されたURLの有効期限である。   Next, the authentication program 23 prepares the cookie 126 in which the acquired processing method information group and the expiration date (for example, the date and time 10 days after the current time) are set, and stores the cookie 126 in a predetermined storage area (for example, the DB 17). The URL indicating the location of the cookie 126 after storage is generated by the mail / URL generation module 24 (S33). Note that the above expiration date is the expiration date of the cookie 126, in other words, the expiration date of the generated URL.

認証プログラム23は、メール/URL生成モジュール24により、S32で取得した電子メールアドレス宛ての電子メールを準備し、その電子メールに、S33で生成したURLを記載する(S34)。   The authentication program 23 uses the mail / URL generation module 24 to prepare an e-mail addressed to the e-mail address acquired in S32, and describes the URL generated in S33 in the e-mail (S34).

サーバ23は、生成された電子メールを送信し(S35)、依頼受付完了画面を、S31の依頼元のユーザ端末100に提供する(S36)。   The server 23 transmits the generated e-mail (S35), and provides a request acceptance completion screen to the user terminal 100 that is the request source of S31 (S36).

この一連の準備処理により、ユーザは、S33で準備されたクッキー126のURLを取得することができる。具体的には、例えば、ユーザは、ユーザ登録処理において登録した電子メールアドレスを別の所望のユーザ端末100に設定すれば、その別のユーザ端末100で、S35で送信された電子メールを受信することができる。或いは、ユーザは、ログイン済みのユーザ端末100で電子メールを受信し、別の所望のユーザ端末100に設定されている別の電子メールアドレスにその電子メールを転送することにより、その別のユーザ端末100で、S35で送信された電子メールを受信することもできる。   Through this series of preparation processes, the user can acquire the URL of the cookie 126 prepared in S33. Specifically, for example, if the user sets the e-mail address registered in the user registration process to another desired user terminal 100, the other user terminal 100 receives the e-mail transmitted in S35. be able to. Alternatively, the user receives the e-mail at the logged-in user terminal 100, and transfers the e-mail to another e-mail address set in another desired user terminal 100, whereby the other user terminal At 100, the email sent in S35 can also be received.

図7は、クッキー126のURLが記載された電子メールが別のユーザ端末100に入力された後に行われる処理の流れの一例を示す。   FIG. 7 shows an example of the flow of processing performed after an electronic mail in which the URL of the cookie 126 is entered is input to another user terminal 100.

別のユーザ端末100は、ユーザからの操作に応答して、電子メールに書かれているURLにアクセスする(S41)。   Another user terminal 100 accesses the URL written in the e-mail in response to an operation from the user (S41).

サーバ13の認証プログラム23は、そのアクセスを受けた場合、そのアクセスで指定されているURLに存在するクッキー126の有効期限をチェックする(S42)。その結果、アクセスを受けた日時が有効期限を過ぎていれば(S43でNO)、認証プログラム23は、別のユーザ端末100にエラーを報告し(S44)、一方、アクセスを受けた日時が有効期限内であれば(S43でYES)、指定されたURLに存在するクッキー126を、別のユーザ端末100に送信する(S45)。   When receiving the access, the authentication program 23 of the server 13 checks the expiration date of the cookie 126 existing in the URL specified by the access (S42). As a result, if the access date / time has passed the expiration date (NO in S43), the authentication program 23 reports an error to another user terminal 100 (S44), while the access date / time is valid. If it is within the time limit (YES in S43), the cookie 126 existing in the designated URL is transmitted to another user terminal 100 (S45).

別のユーザ端末100は、サーバ13からクッキー126を受信し、受信したクッキー126を、その端末100内の記憶資源303に保存することができる(S46)。この後は、別のユーザ端末100は、図5に例示したログイン処理において、S11−S21が行われることにより、S23のように、ログインを許可してもらうことができる。   Another user terminal 100 can receive the cookie 126 from the server 13 and store the received cookie 126 in the storage resource 303 in the terminal 100 (S46). Thereafter, another user terminal 100 can have the login permitted as in S23 by performing S11-S21 in the login process illustrated in FIG.

以上、上述した実施形態によれば、ログイン処理において、ユーザ端末100で、ユーザに予め選択された加工方式でパスワードが加工されて加工後パスワード群が生成され、サーバ13では、ユーザ端末100から受信した加工後パスワード群の正当性が検証される。これにより、仮に、フィッシング詐欺等の方法によってパスワードが盗られてしまったとしても、予め選択された加工方式さえ知られなければ、盗られたパスワードでサーバ13にログインされてしまうことを防ぐことができる。   As described above, according to the above-described embodiment, in the login process, the password is processed by the user terminal 100 by the processing method selected in advance by the user to generate the processed password group, and the server 13 receives the password from the user terminal 100. The correctness of the processed password group is verified. As a result, even if the password is stolen by a method such as phishing, it is possible to prevent the server 13 from being logged in with the stolen password unless the processing method selected in advance is known. it can.

また、上述した実施形態によれば、ユーザ登録処理において選択され得る各選択肢と各加工方式との組み合わせは、ユーザ登録処理の都度に異なる。すなわち、或るユーザ登録処理において或る選択肢に対応付けられた加工方式と、別のユーザ登録処理において同一の選択肢に対応付けられた加工方式とが異なる。これは、加工方式が漏洩することの防止に貢献すると考えられる。   Further, according to the above-described embodiment, the combination of each option that can be selected in the user registration process and each processing method is different for each user registration process. That is, a processing method associated with a certain option in a certain user registration process is different from a processing method associated with the same option in another user registration process. This is considered to contribute to prevention of leakage of the processing method.

また、上述した実施形態によれば、ユーザ登録処理において、各選択肢と各選択肢に対応付けられた各加工方式とのうち、表示されるのは選択肢のみであって、加工方式は表示されない。そして、選択肢は、それを見ただけでは、それに対応付けられている加工方式が分からないような態様になっている。このことも、加工方式が漏洩することの防止に貢献すると考えられる。   Further, according to the above-described embodiment, in the user registration process, only the options are displayed among the options and the processing methods associated with the options, and the processing methods are not displayed. Then, the option is in such a mode that the processing method associated with it is not known by just looking at it. This is also considered to contribute to prevention of leakage of the processing method.

また、上述した実施形態によれば、サーバ13で鍵が生成され、生成された鍵がユーザ端末100に送られ、ユーザ端末100が、その鍵で、生成された加工後パスワード群を暗号化してから送信するようになっているが、その鍵は、ログイン処理の都度に異なる値である。これにより、暗号加工後パスワード群が盗聴されたとしても、盗聴された暗号加工後パスワード群を用いて別のログイン処理で不正にログインされてしまうといったことを防ぐことができる。   Further, according to the above-described embodiment, a key is generated by the server 13, the generated key is sent to the user terminal 100, and the user terminal 100 encrypts the generated processed password group with the key. The key is a different value every time the login process is performed. Thereby, even if the password group after encryption processing is wiretapped, it is possible to prevent an unauthorized login by another login process using the wiretapped password group after encryption processing.

以上、本発明の一実施形態を説明したが、これは本発明の説明のための例示であって、本発明の範囲をこの実施形態にのみ限定する趣旨ではない。本発明は、他の種々の形態でも実施することが可能である。   The embodiment of the present invention has been described above, but this is an example for explaining the present invention, and the scope of the present invention is not limited to this embodiment. The present invention can be implemented in various other forms.

例えば、加工後パスワード群同士の一致というのは、完全に加工後パスワード群同士が一致していることに限らず、実質的に一致、換言すれば、一致しているという関係性が得られればよい。例えば、一方の加工後パスワード群が「K」で、他方の加工後パスワード群が「−K」でも、一致としてもよい(例えばKは0又は0以外のコード)。   For example, the match between processed password groups is not limited to the completely matched password groups, but substantially matches, in other words, if the relationship of matching is obtained. Good. For example, one post-processing password group may be “K” and the other post-processing password group may be “−K” (for example, K may be a code other than 0 or 0).

また、例えば、加工後パスワード群は、ユーザテーブル31に登録されなくてもよい。この場合、認証プログラム23は、ユーザ認証の際には、ユーザテーブル31からパスワードと加工方式情報群とを読出し、それらに基づいて加工後パスワード群を生成し、生成された加工後パスワード群と、ユーザ端末100から受信した加工後パスワード群とを比較しても良い。或いは、認証プログラム23は、ユーザテーブル31に登録されている加工方式情報群を基に、ユーザ端末100からの加工後パスワード群からパスワードを算出し、算出されたパスワードと、ユーザテーブル31に登録されているパスワードとを比較しても良い。   For example, the post-processing password group may not be registered in the user table 31. In this case, at the time of user authentication, the authentication program 23 reads the password and the processing method information group from the user table 31, generates a processed password group based on them, and generates the processed password group, The processed password group received from the user terminal 100 may be compared. Alternatively, the authentication program 23 calculates a password from the processed password group from the user terminal 100 based on the processing method information group registered in the user table 31, and is registered in the calculated password and the user table 31. You may compare it with your password.

また、例えば、クッキー126の代わりに、別種の電子的なファイル、例えば、いわゆるフラッシュクライアントといわゆるフラッシュコミュニケーションサーバとの間で共有されるシェアドオブジェクトが採用されても良い。   For example, instead of the cookie 126, another kind of electronic file, for example, a shared object shared between a so-called flash client and a so-called flash communication server may be employed.

図1は、本発明の一実施形態に係る認証システムの構成例を示す。図1Bは、WEBサーバ13におけるソフトウェアアーキテクチャの概要の一例を示す。図1Cは、ユーザ端末100におけるソフトウェアアーキテクチャの概要の一例を示す。FIG. 1 shows a configuration example of an authentication system according to an embodiment of the present invention. FIG. 1B shows an example of the outline of the software architecture in the WEB server 13. FIG. 1C shows an example of the outline of the software architecture in the user terminal 100. 図2は、ユーザテーブル31の構成例を示す。FIG. 2 shows a configuration example of the user table 31. 図3は、本発明の一実施形態におけるユーザ登録処理の流れの一例の一部を示す。FIG. 3 shows a part of an example of the flow of user registration processing in an embodiment of the present invention. 図4は、本発明の一実施形態におけるユーザ登録処理の流れの一例の残りの一部を示す。FIG. 4 shows the remaining part of an example of the flow of user registration processing in an embodiment of the present invention. 図5は、本発明の一実施形態におけるログイン処理の流れの一例を示す。FIG. 5 shows an example of the flow of login processing in an embodiment of the present invention. 図6は、ユーザ登録処理においてユーザ端末100に保存されたクッキー126を別のユーザ端末100に設定するための準備処理の流れの一例を示す。FIG. 6 shows an example of the flow of a preparation process for setting the cookie 126 stored in the user terminal 100 in another user terminal 100 in the user registration process. 図7は、クッキー126のURLが記載された電子メールが別のユーザ端末100に入力された後に行われる処理の流れの一例を示す。FIG. 7 shows an example of the flow of processing performed after an electronic mail in which the URL of the cookie 126 is entered is input to another user terminal 100.

符号の説明Explanation of symbols

11…メモリ 13…WEBサーバ 17…データベース 23…認証プログラム 24…メール/URL生成モジュール 25…加工制御モジュール 26…鍵生成モジュール 27…復号化モジュール 100…ユーザ端末 123…WEBブラウザ 125…制御プログラム   DESCRIPTION OF SYMBOLS 11 ... Memory 13 ... WEB server 17 ... Database 23 ... Authentication program 24 ... Mail / URL generation module 25 ... Processing control module 26 ... Key generation module 27 ... Decryption module 100 ... User terminal 123 ... WEB browser 125 ... Control program

Claims (8)

ユーザ装置と認証装置とを備えた認証システムであって、
ユーザ登録段階と、前記ユーザ登録段階の後の段階であるユーザ認証段階とがあり、
前記認証装置が、
前記ユーザ登録段階において、前記ユーザの認証用コード列の入力を前記ユーザに求める手段と、
前記ユーザ登録段階において、前記ユーザの認証用コード列を加工する規則である複数種類の加工規則がそれぞれ割り当てられていて、割り当てられた加工規則の種類をユーザが特定できないような態様になっている複数の選択肢を、ユーザの使用する前記ユーザ装置に提示する手段と、
前記ユーザ登録段階において、前記複数の選択肢の中から前記ユーザに選択された選択肢と前記ユーザの認証用コード列とに基づく情報を前記ユーザ装置から受ける手段と、
前記ユーザ登録段階において、前記受けた情報に基づく認証用情報を記憶域に格納する手段と、
前記ユーザ認証段階において、前記ユーザの認証用コード列の入力を前記ユーザに求める手段と、
前記ユーザ認証段階において、前記ユーザ登録段階で前記ユーザに選択された選択肢に割り当てられていた加工規則に従って前記ユーザの認証用コード列が前記ユーザ装置において加工されたものである加工後コード列を受ける手段と、
前記ユーザ認証段階において、前記受けた加工後コード列が、前記記憶域に記憶されている前記ユーザの認証用情報に適合するか否かを判断する手段と
を備え、前記判断によって肯定的な判断結果が得られた場合に前記当該ユーザを認証し、
前記ユーザ装置が、
不揮発性の記憶資源と、
前記ユーザ登録段階において、前記認証装置から提示された複数の選択肢を表示する手段と、
前記ユーザ登録段階において、前記認証装置からの求めに応じて前記ユーザの認証用コード列の入力を受ける手段と、
前記ユーザ登録段階において、前記表示した複数の選択肢の中から前記ユーザに選択された選択肢に割り当てられている加工規則を表す加工規則情報を前記記憶資源に格納する手段と、
前記ユーザ登録段階において、前記選択された選択肢と前記入力された認証用コード列とに基づく情報を前記認証装置に送る手段と、
前記ユーザ認証段階において、前記認証装置からの求めに応じて前記ユーザの認証用コード列の入力を受ける手段と、
前記ユーザ認証段階において、前記入力された認証用コード列を、前記記憶資源に格納されている加工規則情報が表す加工規則に従って加工することにより、前記加工後パスワード列を生成する手段と、
前記ユーザ認証段階において、前記生成された加工後パスワード列を前記認証装置に送る手段と
を備える
認証システム。 An authentication system comprising a user device and an authentication device,
A user registration stage and a user authentication stage, which is a stage after the user registration stage,
The authentication device is
Means for requesting the user to input an authentication code string of the user in the user registration stage;
In the user registration stage, a plurality of types of processing rules, which are rules for processing the user authentication code string, are assigned, and the user cannot specify the type of processing rules assigned. Means for presenting a plurality of options to the user device used by the user;
Means for receiving, from the user device, information based on an option selected by the user from the plurality of options and an authentication code string of the user in the user registration step;
Means for storing authentication information based on the received information in a storage area in the user registration step;
Means for requesting the user to input an authentication code string of the user in the user authentication step;
In the user authentication stage, a post-processing code string is generated in which the user authentication code string is processed in the user device in accordance with the processing rule assigned to the option selected by the user in the user registration stage. Means,
Means for determining whether the received post-processing code string is compatible with the authentication information of the user stored in the storage area in the user authentication step, and the determination is affirmative If the result is obtained, the user is authenticated,
The user equipment is
Non-volatile storage resources;
Means for displaying a plurality of options presented by the authentication device in the user registration stage;
Means for receiving an input of the code string for authentication of the user in response to a request from the authentication device in the user registration stage;
Means for storing, in the storage resource, processing rule information representing a processing rule assigned to an option selected by the user from among the plurality of displayed options in the user registration step;
Means for sending information based on the selected option and the input authentication code string to the authentication device in the user registration step;
Means for receiving an input of an authentication code string of the user in response to a request from the authentication device in the user authentication step;
Means for generating the processed password string by processing the input authentication code string in accordance with a processing rule represented by the processing rule information stored in the storage resource in the user authentication step;
An authentication system comprising: means for sending the generated post-processing password string to the authentication device in the user authentication step. 前記ユーザ装置の前記格納する手段は、前記認証装置以外の装置との間で共有されることのないよう制御されるデータに、前記加工規則情報を設定し、前記加工規則情報が設定されたデータを、前記記憶資源に格納する、
請求項1記載の認証システム。 The storing means of the user device sets the processing rule information in data controlled so as not to be shared with devices other than the authentication device, and the data in which the processing rule information is set Is stored in the storage resource,
The authentication system according to claim 1. 前記複数の選択肢の中から選択される選択肢の数は前記ユーザの任意の数であり、
前記ユーザ装置から前記認証装置が受ける加工後コード列の長さは、前記ユーザに選択された選択肢の数に応じて異なっている、
請求項1記載の認証システム。 The number of options selected from the plurality of options is an arbitrary number of the users,
The length of the processed code string received by the authentication device from the user device differs depending on the number of options selected by the user.
The authentication system according to claim 1. ユーザ登録段階において、
ユーザの認証用コード列を加工する規則である複数種類の加工規則がそれぞれ割り当てられていて、割り当てられた加工規則の種類をユーザが特定できないような態様になっている複数の選択肢を、ユーザの使用するユーザ装置に提示する手段と、
前記ユーザに認証用コード列の入力を求める手段と、
前記提示した複数の選択肢の中から前記ユーザに選択された選択肢に割り当てられている加工規則と、前記ユーザに入力された認証用コード列とに基づく認証用情報を記憶域に格納する手段と、
ユーザ認証段階において、
前記ユーザ登録段階で前記ユーザに選択された選択肢に割り当てられていた加工規則に従って前記ユーザの認証用コード列が前記ユーザ装置において加工されたものである加工後コード列を受ける手段と、
前記受けた加工後コード列が、前記記憶域に記憶されている前記ユーザの認証用情報に適合するか否かを判断する手段と
を備え、前記判断によって肯定的な判断結果が得られた場合に前記当該ユーザを認証する、
認証装置。 During the user registration stage
A plurality of types of processing rules, which are rules for processing the user's authentication code string, are allotted, and a plurality of options in such a manner that the user cannot specify the type of the processing rules assigned are selected by the user. Means for presenting to a user device to use;
Means for prompting the user to input an authentication code string;
Means for storing, in a storage area, authentication information based on a processing rule assigned to an option selected by the user from among the plurality of presented options and an authentication code string input to the user;
In the user authentication phase,
Means for receiving a post-processing code sequence in which the user's authentication code sequence is processed in the user device according to a processing rule assigned to the option selected by the user in the user registration stage;
A means for determining whether the received processed code string is compatible with the user authentication information stored in the storage area, and a positive determination result is obtained by the determination; To authenticate the user,
Authentication device. 前記ユーザ登録段階において、前記複数種類の加工規則を前記複数の選択肢にそれぞれ割り当てる手段を更に有し、
前記割り当てる手段は、同一の選択肢に割り当てる加工規則の種類を、前記ユーザ登録段階の都度に違える、
請求項4記載の認証装置。 In the user registration stage, further comprising means for assigning the plurality of types of processing rules to the plurality of options,
The assigning means changes the type of processing rule assigned to the same option every time the user registration stage,
The authentication device according to claim 4. 前記ユーザ認証段階において、
同一のユーザであってもユーザ認証段階の都度に中身の異なる電子的な鍵を生成する手段と、
前記生成された鍵を前記ユーザ装置に提供する手段と、
前記ユーザ装置から受けた、前記提供された鍵で前記加工後コード列が暗号化されたものを、前記鍵で復号化する手段と
を備え、
前記判断する手段は、前記鍵での復号化によって得られた加工後コード列が前記ユーザの認証用情報に適合する否かを判断する、
請求項4記載の認証装置。 In the user authentication step,
Means for generating an electronic key with different contents at each user authentication stage even for the same user;
Means for providing the generated key to the user device;
Means for decrypting the processed code string encrypted with the provided key received from the user device with the key;
The means for determining determines whether or not a processed code string obtained by decryption with the key matches the authentication information of the user.
The authentication device according to claim 4. ユーザ登録段階において、
認証装置が、前記ユーザの認証用コード列の入力をユーザに求めるステップと、
前記認証装置が、前記ユーザの認証用コード列を加工する規則である複数種類の加工規則がそれぞれ割り当てられていて、割り当てられた加工規則の種類をユーザが特定できないような態様になっている複数の選択肢を、前記ユーザの使用するユーザ装置に提示するステップと、
前記ユーザ装置が、前記認証装置から提示された複数の選択肢を表示するステップと、
前記ユーザ装置が、前記認証装置からの求めに応じて前記ユーザの認証用コード列の入力を受けるステップと、
前記ユーザ装置が、前記表示した複数の選択肢の中から前記ユーザに選択された選択肢に割り当てられている加工規則を表す加工規則情報を不揮発性の記憶資源に格納するステップと、
前記ユーザ装置が、前記選択された選択肢と前記入力された認証用コード列とに基づく情報を前記認証装置に送るステップと、
前記認証装置が、前記ユーザ装置から受けた情報に基づく認証用情報を記憶域に格納するステップと、
ユーザ認証段階において、
前記認証装置が、前記ユーザの認証用コード列の入力を前記ユーザに求めるステップと、
前記ユーザ装置が、前記認証装置からの求めに応じて前記ユーザの認証用コード列の入力を受けるステップと、
前記ユーザ装置が、前記入力された認証用コード列を、前記記憶資源に格納されている加工規則情報が表す加工規則に従って加工することにより、前記加工後パスワード列を生成するステップと、
前記ユーザ装置が、前記生成された加工後パスワード列を前記認証装置に送るステップと、
前記認証装置が、前記ユーザ装置から加工後パスワード列を受けるステップと、
前記認証装置が、前記受けた加工後コード列が、前記記憶域に記憶されている前記ユーザの認証用情報に適合するか否かを判断するステップと、
前記認証装置が、前記判断によって肯定的な判断結果が得られた場合に前記当該ユーザを認証するステップと
を有する認証方法。 During the user registration stage
An authentication device prompting the user to input an authentication code string of the user;
The authentication apparatus is assigned with a plurality of types of processing rules that are rules for processing the user authentication code string, and the plurality of modes are such that the user cannot specify the type of the processing rules assigned. Presenting the options to the user device used by the user;
The user device displaying a plurality of options presented by the authentication device;
The user device receiving an input of the authentication code string of the user in response to a request from the authentication device;
The user device stores processing rule information representing a processing rule assigned to an option selected by the user from the displayed plurality of options in a nonvolatile storage resource;
The user device sending information to the authentication device based on the selected option and the input authentication code string;
The authentication device storing authentication information based on information received from the user device in a storage area;
In the user authentication phase,
The authentication device prompting the user to input an authentication code string for the user;
The user device receiving an input of the authentication code string of the user in response to a request from the authentication device;
The user device generates the post-processing password string by processing the input authentication code string according to a processing rule represented by the processing rule information stored in the storage resource;
The user device sending the generated post-processing password string to the authentication device;
The authentication device receiving a processed password string from the user device;
The authentication device determining whether the received processed code string is compatible with the user authentication information stored in the storage area; and
And a step of authenticating the user when the authentication device obtains a positive determination result by the determination. ユーザ登録段階において、
ユーザの認証用コード列を加工する規則である複数種類の加工規則がそれぞれ割り当てられていて、割り当てられた加工規則の種類をユーザが特定できないような態様になっている複数の選択肢を、ユーザの使用するユーザ装置に提示するステップと、
前記ユーザに認証用コード列の入力を求めるステップと、
前記提示した複数の選択肢の中から前記ユーザに選択された選択肢に割り当てられている加工規則と、前記ユーザに入力された認証用コード列とに基づく認証用情報を記憶域に格納するステップと、
ユーザ認証段階において、
前記ユーザ登録段階で前記ユーザに選択された選択肢に割り当てられていた加工規則に従って前記ユーザの認証用コード列が前記ユーザ装置において加工されたものである加工後コード列を受けるステップと、
前記受けた加工後コード列が、前記記憶域に記憶されている前記ユーザの認証用情報に適合するか否かを判断するステップと
前記判断によって肯定的な判断結果が得られた場合に前記当該ユーザを認証するステップと
をコンピュータに実行させるためのコンピュータプログラム。 During the user registration stage
A plurality of types of processing rules, which are rules for processing the user's authentication code string, are allotted, and a plurality of options in such a manner that the user cannot specify the type of the processing rules assigned are selected by the user. Presenting to a user device to use;
Prompting the user to enter an authentication code string;
Storing authentication information based on a processing rule assigned to an option selected by the user from the plurality of presented options and an authentication code string input to the user in a storage area;
In the user authentication phase,
Receiving a processed code string in which the user's authentication code string is processed in the user device according to a processing rule assigned to the option selected by the user in the user registration stage;
A step of determining whether the received post-processing code string is compatible with the user authentication information stored in the storage area; and when the determination results in a positive determination A computer program for causing a computer to execute a step of authenticating a user.
JP2005248224A 2005-08-29 2005-08-29 Authentication system and method Pending JP2007065789A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2005248224A JP2007065789A (en) 2005-08-29 2005-08-29 Authentication system and method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2005248224A JP2007065789A (en) 2005-08-29 2005-08-29 Authentication system and method

Publications (1)

Publication Number Publication Date
JP2007065789A true JP2007065789A (en) 2007-03-15

Family

ID=37927962

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005248224A Pending JP2007065789A (en) 2005-08-29 2005-08-29 Authentication system and method

Country Status (1)

Country Link
JP (1) JP2007065789A (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008276602A (en) * 2007-05-01 2008-11-13 Chugoku Electric Power Co Inc:The Authentication method and authentication device
WO2009006759A1 (en) * 2007-07-11 2009-01-15 Essence Technology Solution, Inc. An immediate, bidirection and interactive communication method provided by website
WO2017101427A1 (en) * 2015-12-15 2017-06-22 乐视控股(北京)有限公司 Website password generation method and device

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008276602A (en) * 2007-05-01 2008-11-13 Chugoku Electric Power Co Inc:The Authentication method and authentication device
WO2009006759A1 (en) * 2007-07-11 2009-01-15 Essence Technology Solution, Inc. An immediate, bidirection and interactive communication method provided by website
WO2017101427A1 (en) * 2015-12-15 2017-06-22 乐视控股(北京)有限公司 Website password generation method and device

Similar Documents

Publication Publication Date Title
CN107302539B (en) Electronic identity registration and authentication login method and system
JP5330567B2 (en) Computer-implemented authentication interface system
JP5066827B2 (en) Method and apparatus for authentication service using mobile device
TWI526037B (en) Method and system for abstrcted and randomized one-time use passwords for transactional authentication
US10454923B2 (en) System and method for providing limited access to data
CN101427510B (en) Digipass for the web-functional description
US9356930B2 (en) Secure randomized input
US10848304B2 (en) Public-private key pair protected password manager
US10924289B2 (en) Public-private key pair account login and key manager
KR101381789B1 (en) Method for web service user authentication
JP5777804B2 (en) Web-based security authentication system and method
US10045210B2 (en) Method, server and system for authentication of a person
US20130205360A1 (en) Protecting user credentials from a computing device
TR201810238T4 (en) The appropriate authentication method and apparatus for the user using a mobile authentication application.
US20080229109A1 (en) Human-recognizable cryptographic keys
JP2017507552A (en) Method and apparatus for providing client-side score-based authentication
JP2007527059A (en) User and method and apparatus for authentication of communications received from a computer system
Gandhi et al. Advanced online banking authentication system using one time passwords embedded in QR code
JP2007058807A (en) Authentication system and method
JP2007065789A (en) Authentication system and method
WO2011058629A1 (en) Information management system
JP2020102741A (en) Authentication system, authentication method, and authentication program
JP2006004321A (en) Security system
Corella et al. Fundamental Security Flaws in the 3-D Secure 2 Cardholder Authentication Specification
Radke Security ceremonies: including humans in cryptographic protocols