JP2007265107A - Identification information output device, relay server and terminal apparatus - Google Patents
Identification information output device, relay server and terminal apparatus Download PDFInfo
- Publication number
- JP2007265107A JP2007265107A JP2006090245A JP2006090245A JP2007265107A JP 2007265107 A JP2007265107 A JP 2007265107A JP 2006090245 A JP2006090245 A JP 2006090245A JP 2006090245 A JP2006090245 A JP 2006090245A JP 2007265107 A JP2007265107 A JP 2007265107A
- Authority
- JP
- Japan
- Prior art keywords
- identification information
- authentication
- seed
- information
- site
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
本発明は、識別情報出力装置、中継サーバ及び端末装置に関する。 The present invention relates to an identification information output device, a relay server, and a terminal device.
コンピュータや通信ネットワークにアクセスする際のセキュリティ確保の方法として、パスワード認証に基づいた種々の認証方式が実用化されている。使用されるパスワードとして固定パスワード(固定識別情報)やワンタイムパスワード(One Time Password、適時識別情報;以下、OTPという)があるが、固定パスワードを用いた認証方式では、パスワードクラッキングツールなどを利用してパスワードが破られてしまい、不正アクセスされやすいという欠点がある。これに対して、OTPによる認証方式では、時刻等と共に変化するテンポラリなパスワードで認証を行うため、より不正アクセスがされにくいという特徴がある。 Various authentication methods based on password authentication have been put to practical use as methods for ensuring security when accessing a computer or a communication network. There are fixed passwords (fixed identification information) and one-time passwords (One Time Password; timely identification information; hereinafter referred to as OTP) as passwords to be used, but authentication methods using fixed passwords use a password cracking tool. As a result, passwords are broken and unauthorized access is easily made. On the other hand, the authentication method using OTP has a feature that unauthorized access is less likely because authentication is performed using a temporary password that changes with time.
OTP認証方式を用いた認証システムは、OTPを生成するOTP生成器(所謂、トークン)と、認証を行う認証サーバ(以下、OTP認証サイトという)とから構成される。OTP生成器は、内蔵するROM(Read Only Memory)等の記憶手段に、一のユニークなシード情報を記憶しており、このシード情報と内蔵する計時手段により計時された現在の時刻情報とが、所定のコード化アルゴリズムにより演算されることで識別情報、即ち、OTPを生成する。認証システムの利用者たるユーザは、所望するサーバやシステムにログインする際に、ログインID(ユーザID)とともに、生成されたOTPをPC(Personal Computer)等の端末装置を用いて入力することになる。 An authentication system using an OTP authentication method includes an OTP generator (so-called token) that generates OTP and an authentication server (hereinafter referred to as an OTP authentication site) that performs authentication. The OTP generator stores one unique seed information in a storage means such as a built-in ROM (Read Only Memory), and this seed information and the current time information measured by the built-in time measuring means are The identification information, that is, OTP is generated by being calculated by a predetermined encoding algorithm. When logging in to a desired server or system, a user who is a user of the authentication system inputs the generated OTP together with a login ID (user ID) using a terminal device such as a PC (Personal Computer). .
一方、認証サイトには、OTP生成器に記憶されたシード情報と同一のシード情報が記憶されている。つまり、一のシード情報を、OTP生成器と認証サーバとが夫々記憶するようになっており、認証サーバには、ユーザに配布されたOTP生成器の数のシード情報が記憶される。認証サイトでは、ログインを行ったユーザのOTP生成器に対応するシード情報と、内蔵する計時手段により計時された現在の時刻情報とを、該OTP生成器と同一のコード化アルゴリズムにより演算することで、照合用のOTPを生成し、この照合用OTPとユーザから入力されたOTPとを照合することで、ユーザ認証を行っている。 On the other hand, the same seed information as the seed information stored in the OTP generator is stored in the authentication site. That is, one seed information is stored in each of the OTP generator and the authentication server, and the authentication server stores seed information for the number of OTP generators distributed to the user. In the authentication site, the seed information corresponding to the OTP generator of the logged-in user and the current time information timed by the built-in time measuring means are calculated by the same encoding algorithm as that of the OTP generator. User authentication is performed by generating an OTP for verification and comparing the OTP for verification with the OTP input from the user.
ところで、認証サイトへのログイン時には、その都度ログインIDや、パスワード等のアカウント情報を入力する必要があるが、ログイン可能な認証サイトが複数存在する場合、ユーザはいくつものログインIDやパスワードを覚えなければならず、その管理は煩雑となる。そのため、上記固定パスワードによる認証方式に対応する複数の認証サイト(以下、RP認証サイトという)のURL(Uniform Resource Locator)やログインID、固定パスワード等を一括管理し、ログイン時にユーザがアカウント情報を入力しないで済むようにした、所謂パスワードバンクと呼ばれる技術が普及している。例えば、USB(Universal Serial Bus)端子を備えたメモリデバイス内にログインIDや固定パスワードを記憶し、ログイン時に自動的に読み出されるようにした技術が提案されている(例えば、特許文献1参照)。
しかしながら、特許文献1記載の技術は、固定パスワードであることが前提であるため、OTP認証方式に対応した認証サイト(以下、OTP認証サイトという)に対しては、用いることができないという問題がある。そのため、固定パスワード認証方式に対応した認証サイトへのログイン時には、パスワードバンクに登録したアカウント情報を利用し、OTP認証サイトへのログイン時には、所謂トークン等のOTP生成器を別途使用してOTPを生成し、このOTPを用いてログインするという使い方となるため、不便である。
However, since the technique described in
本発明の課題は、認証サイトへの接続に係る利便性を向上させることである。 The subject of this invention is improving the convenience which concerns on the connection to an authentication site.
上記課題を解決するために,請求項1記載の発明は、
照合用の適時識別情報に基づいて認証を行う一又は複数の認証サイトの夫々に対応した一又は複数のシード情報を記憶するシード情報記憶手段と、
前記シード情報記憶手段に記憶されたシード情報を元に所定のアルゴリズムに基づいて適時識別情報を生成する生成手段と、
照合用の固定識別情報に基づいて認証を行う一又は複数の認証サイトの夫々に対応した一又は複数の固定識別情報を記憶する固定識別情報記憶手段と、
前記固定識別情報記憶手段に記憶された固定識別情報を読み出す読出手段と、
接続先となる前記認証サイトの認証方式に応じて、その認証サイトに対応する適時識別情報を前記生成手段により生成させるか、その認証サイトに対応する固定識別情報を前記読出手段により読み出させるかを制御する制御手段と、
前記生成された適時識別情報又は前記読み出された固定識別情報を出力する出力手段と、
を備えたことを特徴とする。
In order to solve the above problem, the invention according to
Seed information storage means for storing one or more seed information corresponding to each of one or more authentication sites that perform authentication based on timely identification information for verification;
Generating means for generating timely identification information based on a predetermined algorithm based on seed information stored in the seed information storage means;
Fixed identification information storage means for storing one or a plurality of fixed identification information corresponding to each of one or a plurality of authentication sites that perform authentication based on the fixed identification information for verification;
Reading means for reading the fixed identification information stored in the fixed identification information storage means;
Whether the generation unit generates timely identification information corresponding to the authentication site or the fixed identification information corresponding to the authentication site is read by the reading unit according to the authentication method of the authentication site to be connected Control means for controlling
Output means for outputting the generated timely identification information or the read fixed identification information;
It is provided with.
なお、請求項1記載の発明は次のようなものであってもよい。
前記認証サイトが、適時識別情報認証方式に対応か否かを判別する判別手段を備え、
前記制御手段は、前記判別手段の判別結果に応じて、その認証サイトに対応する適時識別情報を前記生成手段により生成させるか、その認証サイトに対応する固定識別情報を前記読出手段により読み出させるかを制御する(請求項2記載の発明)。
The invention described in
A determination means for determining whether or not the authentication site is compatible with a timely identification information authentication method;
The control means causes the generation means to generate timely identification information corresponding to the authentication site or causes the reading means to read fixed identification information corresponding to the authentication site according to the determination result of the determination means. This is controlled (invention of claim 2).
前記認証サイト毎に、少なくとも前記シード情報又は固定識別情報に関係する情報を含んだアカウント情報を対応付けて記憶するアカウント情報記憶手段を備え、
前記判別手段は、前記アカウント情報に含まれた記憶内容に基づいて前記認証サイトが適時識別情報認証方式に対応か否かを判別する(請求項3記載の発明)。
Account information storage means for storing account information including at least information related to the seed information or fixed identification information in association with each authentication site,
The determination means determines whether or not the authentication site is compatible with a timely identification information authentication method based on the stored contents included in the account information (the invention according to claim 3).
前記出力手段は、前記適時識別情報又は固定識別情報とともに、認証サイトのサイト名、接続先アドレス及びログインIDを出力する(請求項4記載の発明)。 The output means outputs the site name of the authentication site, the connection destination address, and the login ID together with the timely identification information or the fixed identification information (the invention according to claim 4).
また、上記課題を解決するために,請求項5記載の発明は、
複数の認証サイトに通信回線を介して接続を行う端末装置と通信可能に接続された識別情報出力装置であって、
照合用の適時識別情報に基づいて認証を行う一又は複数の認証サイトの夫々に対応したシード情報を記憶するシード情報記憶手段と、
前記シード情報記憶手段に記憶されたシード情報を元に所定のアルゴリズムに基づいて適時識別情報を生成する生成手段と、
照合用の固定識別情報に基づいて認証を行う一又は複数の認証サイトの夫々に対応した一又は複数の固定識別情報を記憶する固定識別情報記憶手段と、
前記固定識別情報記憶手段に記憶された固定識別情報を読み出す読出手段と、
接続先となる前記認証サイトの認証方式に応じて、その認証サイトに対応する適時識別情報を前記生成手段により生成させるか、その認証サイトに対応する固定識別情報を前記読出手段により読み出させるかを制御する制御手段と、
前記生成された適時識別情報又は前記読み出された固定識別情報を前記端末装置に送信する送信手段と、
を備えたことを特徴とする。
In order to solve the above problems, the invention described in claim 5
An identification information output device that is communicably connected to a terminal device that connects to a plurality of authentication sites via a communication line,
Seed information storage means for storing seed information corresponding to each of one or a plurality of authentication sites that perform authentication based on timely identification information for verification;
Generating means for generating timely identification information based on a predetermined algorithm based on seed information stored in the seed information storage means;
Fixed identification information storage means for storing one or a plurality of fixed identification information corresponding to each of one or a plurality of authentication sites that perform authentication based on the fixed identification information for verification;
Reading means for reading the fixed identification information stored in the fixed identification information storage means;
Whether the generation unit generates timely identification information corresponding to the authentication site or the fixed identification information corresponding to the authentication site is read by the reading unit according to the authentication method of the authentication site to be connected Control means for controlling
Transmitting means for transmitting the generated timely identification information or the read fixed identification information to the terminal device;
It is provided with.
なお、請求項5記載の発明は次のようなものであってもよい。
前記認証サイトが、適時識別情報認証方式に対応か否かを判別する判別手段を備え、
前記制御手段は、前記判別手段の判別結果に応じて、その認証サイトに対応する適時識別情報を前記生成手段により生成させるか、その認証サイトに対応する固定識別情報を前記読出手段により読み出させるかを制御する(請求項6記載の発明)。
The invention described in claim 5 may be as follows.
A determination means for determining whether or not the authentication site is compatible with a timely identification information authentication method;
The control means causes the generation means to generate timely identification information corresponding to the authentication site or causes the reading means to read fixed identification information corresponding to the authentication site according to the determination result of the determination means. This is controlled (invention of claim 6).
前記認証サイト毎に、少なくとも前記シード情報又は固定識別情報に関係する情報を含んだアカウント情報を対応付けて記憶するアカウント情報記憶手段を備え、
前記判別手段は、前記アカウント情報に含まれた記憶内容に基づいて前記認証サイトが適時識別情報認証方式に対応か否かを判別する(請求項7記載の発明)。
Account information storage means for storing account information including at least information related to the seed information or fixed identification information in association with each authentication site,
The discriminating unit discriminates whether or not the authentication site is compatible with the timely identification information authentication method based on the stored contents included in the account information.
前記送信手段は、前記適時識別情報又は固定識別情報とともに、接続先サイトの接続先アドレス及びログインIDを送信する(請求項8記載の発明)。 The transmission means transmits a connection destination address and a login ID of the connection destination site together with the timely identification information or the fixed identification information (the invention according to claim 8).
また、上記課題を解決するために,請求項9記載の発明は、
端末装置から指示された認証サイトに当該端末装置を接続させる中継サーバであって、
照合用の適時識別情報に基づいて認証を行う一又は複数の認証サイトの夫々に予め割り当てられた一又は複数のシード番号を記憶するシード番号記憶手段と、
照合用の固定識別情報に基づいて認証を行う一又は複数の認証サイトの夫々に対応する固定識別情報を記憶する固定識別情報記憶手段と、
前記端末装置から指示された認証サイトに応じて、その認証サイトに対応するシード番号を前記シード番号記憶手段から読み出すか、その認証サイトに対応する固定識別情報を前記固定識別情報記憶手段から読み出すかを制御する制御手段と、
前記読み出されたシード番号又は固定識別情報を前記端末装置に送信する送信手段と、
を備えたことを特徴とする。
In order to solve the above problems, the invention described in claim 9 is
A relay server for connecting the terminal device to an authentication site instructed by the terminal device;
Seed number storage means for storing one or more seed numbers pre-assigned to each of one or more authentication sites that perform authentication based on timely identification information for verification;
Fixed identification information storage means for storing fixed identification information corresponding to each of one or a plurality of authentication sites that perform authentication based on fixed identification information for verification;
Whether the seed number corresponding to the authentication site is read from the seed number storage unit or the fixed identification information corresponding to the authentication site is read from the fixed identification information storage unit according to the authentication site instructed from the terminal device Control means for controlling
Transmitting means for transmitting the read seed number or fixed identification information to the terminal device;
It is provided with.
また、上記課題を解決するために,請求項10記載の発明は、
複数の認証サイトの夫々に予め割り当てられたシード番号を記憶し、外部から指示される特定の認証サイトへの接続要求に応じて当該認証サイトに割り当てられたシード番号を外部に通知可能な中継サーバと、前記シード番号の夫々に対応するシード情報を記憶し、外部から指示される特定のシード番号に対応するシード情報を元に前記認証サイトへの接続に係る適時識別情報を生成する識別情報出力装置と、に通信可能に接続された端末装置であって、
特定の認証サイトへの接続要求を前記中継サーバに送信する接続要求送信手段と、
前記特定の接続先サイトに割り当てられたシード番号を前記中継サーバから受信するシード番号受信手段と、
前記シード番号受信手段により受信されたシード番号を前記識別情報出力装置に送信する送信手段と、
前記識別情報出力装置により生成された前記適時識別情報を受信する適時識別情報受信手段と、
前記適時識別情報受信手段により受信された前記適時識別情報を前記特定の接続先サイトに送信する識別情報送信手段と、
を備えたことを特徴とする。
In order to solve the above problem, the invention according to
A relay server that stores a seed number previously assigned to each of a plurality of authentication sites and can notify the seed number assigned to the authentication site to the outside in response to a connection request to a specific authentication site instructed from the outside And identification information output for storing seed information corresponding to each of the seed numbers and generating timely identification information related to connection to the authentication site based on seed information corresponding to a specific seed number designated from the outside A terminal device communicably connected to the device,
A connection request transmitting means for transmitting a connection request to a specific authentication site to the relay server;
Seed number receiving means for receiving from the relay server a seed number assigned to the specific connection destination site;
Transmitting means for transmitting the seed number received by the seed number receiving means to the identification information output device;
Timely identification information receiving means for receiving the timely identification information generated by the identification information output device;
Identification information transmitting means for transmitting the timely identification information received by the timely identification information receiving means to the specific connection destination site;
It is provided with.
また、上記課題を解決するために,請求項11記載の発明は、
照合用の適時識別情報に基づいて認証を行う複数の認証サイトの夫々に予め割り当てられたシード番号を記憶し、外部から指示される特定の認証サイトへの接続要求に応じて当該接続先サイトに割り当てられたシード番号を外部に通知可能な中継サーバと通信可能に接続された端末装置であって、
特定の認証サイトへの接続要求を前記中継サーバに送信する接続要求送信手段と、
前記特定の認証サイトに割り当てられたシード番号を前記中継サーバから受信するシード番号受信手段と、
前記シード番号受信手段により受信されたシード番号を出力する出力手段と、
前記出力されたシード番号に対応するシード情報を元に生成された適時識別情報を入力可能な入力手段と、
前記入力手段により入力された適時識別情報を前記特定の認証サイトに送信する送信手段と、
を備えたことを特徴とする。
In order to solve the above problems, the invention according to
A seed number assigned in advance to each of a plurality of authentication sites that perform authentication based on timely identification information for verification is stored, and in response to a connection request to a specific authentication site instructed from the outside, A terminal device communicably connected to a relay server capable of notifying the assigned seed number to the outside;
A connection request transmitting means for transmitting a connection request to a specific authentication site to the relay server;
Seed number receiving means for receiving from the relay server a seed number assigned to the specific authentication site;
Output means for outputting the seed number received by the seed number receiving means;
Input means capable of inputting timely identification information generated based on seed information corresponding to the output seed number;
Transmitting means for transmitting the timely identification information input by the input means to the specific authentication site;
It is provided with.
請求項1記載の発明によれば、認証サイトの認証方式に応じて適時識別情報又は固定識別情報を出力することができるため、認証サイトへの接続に係る利便性を向上させることができる。 According to the first aspect of the present invention, since the identification information or the fixed identification information can be output in a timely manner according to the authentication method of the authentication site, the convenience related to the connection to the authentication site can be improved.
請求項2記載の発明によれば、認証サイトが適時識別情報認証方式に対応か否かを判別し、この判別結果に基づいて適時識別情報又は固定識別情報を出力することができるため、認証サイトへの接続に係る利便性を向上させることができる。 According to the second aspect of the present invention, it is possible to determine whether or not the authentication site is compatible with the timely identification information authentication method, and to output timely identification information or fixed identification information based on the determination result. Convenience related to the connection to can be improved.
請求項3記載の発明によれば、アカウント情報に含まれた記憶内容に基づいて接続先となる認証サイトが適時識別情報認証方式に対応か否かを判別することができる。 According to the invention described in claim 3, it is possible to determine whether or not the authentication site as the connection destination is compatible with the timely identification information authentication method based on the stored contents included in the account information.
請求項4記載の発明によれば、適時識別情報又は固定識別情報とともに、認証サイトのサイト名、接続先アドレス及びログインIDを出力することができる。 According to invention of Claim 4, the site name of a certification | authentication site, a connection destination address, and login ID can be output with timely identification information or fixed identification information.
請求項5記載の発明によれば、認証サイトの認証方式に応じて適時識別情報又は固定識別情報を認証サイトに送信することができるため、認証サイトへの接続に係る利便性を向上させることができる。 According to the invention described in claim 5, since the identification information or the fixed identification information can be transmitted to the authentication site in a timely manner according to the authentication method of the authentication site, the convenience related to the connection to the authentication site can be improved. it can.
請求項6記載の発明によれば、認証サイトが適時識別情報認証方式に対応か否かを判別し、この判別結果に基づいて適時識別情報又は固定識別情報を認証サイトに送信することができるため、認証サイトへの接続に係る利便性を向上させることができる。 According to the sixth aspect of the invention, it is possible to determine whether or not the authentication site is compatible with the timely identification information authentication method, and to transmit timely identification information or fixed identification information to the authentication site based on the determination result. Convenience related to the connection to the authentication site can be improved.
請求項7記載の発明によれば、アカウント情報に含まれた記憶内容に基づいて接続先となる認証サイトが適時識別情報認証方式に対応か否かを判別することができる。 According to the seventh aspect of the present invention, it is possible to determine whether or not the authentication site as the connection destination is compatible with the timely identification information authentication method based on the stored contents included in the account information.
請求項8記載の発明によれば、適時識別情報又は固定識別情報とともに、認証サイトのサイト名、接続先アドレス及びログインIDを送信することができる。 According to the eighth aspect of the invention, the site name, the connection destination address, and the login ID of the authentication site can be transmitted together with the timely identification information or the fixed identification information.
請求項9記載の発明によれば、認証サイトの認証方式に応じてシード番号又は固定識別情報を端末装置に提供することができるため、認証サイトへの接続に係る利便性を向上させることができる。 According to the ninth aspect of the present invention, since the seed number or the fixed identification information can be provided to the terminal device according to the authentication method of the authentication site, the convenience for connection to the authentication site can be improved. .
請求項10記載の発明によれば、認証サイトに対応した適時識別情報を送信することができるため、認証サイトへの接続に係る利便性を向上させることができる。 According to the tenth aspect of the present invention, since the timely identification information corresponding to the authentication site can be transmitted, the convenience related to the connection to the authentication site can be improved.
請求項11記載の発明によれば、認証サイトに対応した識別情報を送信することができるため、認証サイトへの接続に係る利便性を向上させることができる。 According to the eleventh aspect of the present invention, the identification information corresponding to the authentication site can be transmitted, so the convenience related to the connection to the authentication site can be improved.
以下、図面を参照して本発明を実施するための最良の形態について詳細に説明する。ただし、発明の範囲は図示例に限定されないものとする。 The best mode for carrying out the present invention will be described below in detail with reference to the drawings. However, the scope of the invention is not limited to the illustrated examples.
[第1の実施形態]
まず、図1を参照して本実施形態における認証システム100の構成を説明する。図1に示すとおり、認証システム100は、OTP生成器10、アクセス端末20、OTP認証サーバ40、シード情報管理サーバ50等から構成され、少なくともアクセス端末20とRP認証サーバ30及びOTP認証サーバ40、OTP認証サーバ40とシード情報管理サーバ50が、ネットワークNを介して相互にデータの送受信が可能に接続されている。なお、認証システム100を構成する各機器の数量は、図示例に限定されないものとする。また、各機器がなすネットワーク構成は、図示例に限定されないものとし、例えば、OTP認証サーバ40とシード情報管理サーバ50とが他のネットワークを介して接続される態様としてもよい。
[First Embodiment]
First, the configuration of the
ネットワークNは、例えば、WAN(Wide Area Network)であるが、LAN(Local Area Network)を含んでもよく、電話回線網、ISDN(Integrated Services Digital Network)回線網、広帯域通信回線網、専用線、移動体通信網、通信衛星回線、CATV(Community Antenna TeleVision)回線、光通信回線、無線通信回線と、それらを接続するインターネットサービスプロバイダ等を含む構成としてもよい。なお、各装置の間のデータ通信プロトコルは、特に限らないものとするが、例えば、TLS/SSL、S/MIME、IPsec等のセキュリティを考慮したプロトコルを使用することが好ましい。また、独自のプロトコルを使用することとしてもよい。 The network N is, for example, a WAN (Wide Area Network), but may include a LAN (Local Area Network), and includes a telephone line network, an ISDN (Integrated Services Digital Network) line network, a broadband communication line network, a dedicated line, and a mobile line. It may be configured to include a body communication network, a communication satellite line, a CATV (Community Antenna TeleVision) line, an optical communication line, a wireless communication line, and an Internet service provider that connects them. The data communication protocol between the devices is not particularly limited. For example, it is preferable to use a protocol that takes security into consideration, such as TLS / SSL, S / MIME, and IPsec. Also, a unique protocol may be used.
OTP生成器10は、認証システム100を利用する各ユーザに配布された所謂トークンであって、操作部12を介ししたユーザからの操作に応じ、シード情報及び時刻情報から認証システム100におけるユーザの識別情報となるOTPを生成する。
The
図2は、OTP生成器10の内部構成を示したブロック図である。図2に示すとおり、OTP生成器10は、CPU11、操作部12、表示部13、ROM14、RAM15、計時部16、記憶部17、I/F部18等により構成され、各部はバス19を介して接続される。
FIG. 2 is a block diagram showing an internal configuration of the
CPU11は、RAM15を作業領域として、ROM14に予め記憶された各種プログラムとの協働により各種処理を実行し、OTP生成器10を構成する各部の動作を統括的に制御する。
The
操作部12は、各種入力キー等を備え、ユーザからの操作により入力される入力信号をCPU11に出力する。表示部13は、LCD(Liquid Crystal Display)やELD(Electro Luminescence Display)パネル等により構成され、CPU11からの表示信号に基づいて各種情報を表示する。また、表示部13は、操作部12と一体的にタッチパネルを構成する態様としてもよい。
The
ROM14は、OTP生成器10の動作に必要なプログラム及び当該プログラムの実行に係るデータを記憶する。ROM14は、図2に示すように、システムプログラム141、アクセス端末連携制御プログラム142、OTP生成プログラム143、アカウント情報管理プログラム144、シードテーブル145、OTP生成器固有ID146を記憶する。
The
システムプログラム141は、OTP生成器としての基本的な諸機能を実現させるためのプログラムである。CPU11は、このシステムプログラム141との協働により、例えば、記憶部17への各種データの読み書き制御、表示部13への表示制御、操作部12の所定の入力キーに所定の機能の実行を割り当てる入力制御等を実現する。
The
アクセス端末連携制御プログラム142は、アクセス端末20との連携に係る諸機能を実現させるためのプログラムである。具体的には、CPU61との協働により、I/F部18を介して接続されたアクセス端末20から送信される各種指示情報に応じてアカウント情報管理プログラム144等の各種プログラムを実行し、アカウント情報管理テーブル171に登録されたアカウント情報の読み出しや、アカウント情報の登録等の動作を実現させる。
The access terminal
OTP生成プログラム143は、OTPの生成に係る諸機能を実現させるためのプログラムである。CPU11は、このOTP生成プログラム143との協働により、一のシード情報及び計時部16から入力される時刻情報を元に所定のアルゴリズムに基づいてOTPを生成する。
The
アカウント情報管理プログラム144は、記憶部17に記憶されたアカウント情報管理テーブル171の記憶・管理に係る諸機能を実現させるためのプログラムである。CPU11は、このアカウント情報管理プログラム144との協働により、後述するアカウント情報管理処理(図24参照)を実行させる。
The account
シードテーブル145には、複数のシード情報が当該複数のシード情報の夫々に対応する複数のシード番号(選択情報)と対応付けて登録されている。 In the seed table 145, a plurality of seed information is registered in association with a plurality of seed numbers (selection information) corresponding to the plurality of seed information.
図3は、ROM14に記憶されたシードテーブル145の一例を示した図である。図3に示すように、シードテーブル145には、複数のシード情報(1234567890等)と、当該複数のシード情報の夫々に対応する複数のシード番号(1〜20)とが対応付けて登録されている。なお、シードテーブル145に登録されるシード情報の数量は、図示例に限定されず、特に問わないものとする。CPU11は、ユーザから操作部12を介して特定のシード番号が選択されると、選択されたシード番号に対応するシード情報をシードテーブル145から読み出し、上述したOTP生成プログラム143との協働により、この読み出したシード情報と計時部16の時刻情報とを元にOTPを生成する。また、CPU11は、この生成したOTPをI/F部18を介して外部機器に送信又は表示部13に表示させる。
FIG. 3 is a diagram showing an example of the seed table 145 stored in the
OTP生成器固有ID146は、各OTP生成器10に割り当てられた製造番号等の固有IDである。CPU11は、操作部12を介した所定のユーザ操作に応じて、ROM14からOTP生成器固有ID146を読み出し、I/F部18を介して外部機器に送信又は表示部13に表示させる。
The OTP generator
RAM15は、CPU11により実行制御される各種処理において、ROM14から読み出されたプログラム、入力、若しくは出力データ及びパラメータ等の一時的な格納領域となる。
The
計時部16は、常時一定周波数を発信する不図示の水晶発振器によるクロック信号を基準に現在時刻を計測し、この計測した時刻情報をCPU11に出力する。
The
記憶部17は、磁気的、光学的記録媒体若しくは半導体メモリで構成される不揮発性の記憶媒体を備え、この記憶媒体にアカウント情報管理テーブル171を記憶する。なお、記憶媒体は、OTP生成器10に着脱自在に装着可能な構成としてもよい。
The
アカウント情報管理テーブル171には、アクセス先となるサイト名と、このサイト名の認証サイトにログインする際に必要となる各種情報とが対応付けて登録されている。ここで、アカウント情報管理テーブル171に登録される情報は、後述するアカウント情報管理処理(図24参照)においてユーザから操作部12等を介して入力される情報であって、例えば、各サイトの接続先アドレスを示したURLやIPアドレス等のアドレス情報、ログイン時に必要となるログインID等を入力することができるようになっている。
In the account information management table 171, a site name as an access destination and various information necessary for logging in to the authentication site of this site name are registered in association with each other. Here, information registered in the account information management table 171 is information input from the user via the
図4は、アカウント情報管理テーブル171の一例を示した図である。図4に示すように、アカウント情報管理テーブル171には、アクセス先となる複数のサイト名(AAA、BBB、CCC)、URL、ログインID、固定パスワード又はOTP生成の元となるシード情報に対応するシード番号が認証サイト(サイト名)毎に対応付けて登録されている。以下、上記したサイト名、URL、ログインID、固定パスワード又はシード番号の組をアカウント情報という。 FIG. 4 is a diagram showing an example of the account information management table 171. As shown in FIG. 4, the account information management table 171 corresponds to a plurality of site names (AAA, BBB, CCC) to be accessed, URLs, login IDs, fixed passwords, or seed information from which OTP is generated. A seed number is registered in association with each authentication site (site name). Hereinafter, a set of the site name, URL, login ID, fixed password, or seed number is referred to as account information.
CPU11は、操作部12からのユーザ操作により特定のサイト名が選択されると、アカウント情報管理テーブル171を参照し、選択されたサイト名に対応するアカウント情報を読み出し、I/F部18を介して外部機器に送信又は表示部13に表示させる。
When a specific site name is selected by a user operation from the
I/F部18は、CPU11の制御の下、OTP生成器10とアクセス端末20等の外部の機器との間で授受さされる各種情報の通信制御を行う通信インターフェイスである。I/F部18としては、例えば、USB(Universal Serial Bus)ポートやRS−232C端子をはじめとするシリアル入出力端子、パラレル入出力端子、SCSIインターフェイス、IrDA(Infrared Data Association)規格に準じた赤外線通信装置、BlueTooth規格に準じた無線通信装置等が挙げられ、有線又は無線通信手段によりアクセス端末20のI/F部27と接続することが可能となっている。具体的には、I/F部18を介して、OTP生成器10からシード番号やOTP生成器固有ID、アカウント情報、OTP等の各種情報がアクセス端末20に送信される。
The I /
アクセス端末20は、認証システム100を利用するユーザが操作するPC等の端末装置であって、ネットワークNに接続された各機器とのアクセスを行う。
The
図5は、アクセス端末20の内部構成を示したブロック図である。図5に示すとおり、アクセス端末20は、CPU21、操作部22、表示部23、記憶部24、RAM25、通信部26、I/F部27等により構成され、各部はバス28を介して接続される。
FIG. 5 is a block diagram showing the internal configuration of the
CPU21は、RAM25を作業領域として、記憶部24に予め記憶された各種プログラムとの協働により各種処理を実行し、アクセス端末20を構成する各部の動作を統括的に制御する。
The
操作部22は、各種入力キー等を備え、ユーザからの操作により入力される入力信号をCPU21に出力する。表示部23は、LCDやELDパネル等により構成され、CPU21からの表示信号に基づいて各種情報を表示する。また、表示部23は、操作部22と一体的にタッチパネルを構成する態様としてもよい。
The
記憶部24は、磁気的、光学的記録媒体若しくは半導体メモリで構成される不揮発性の記憶媒体を備え、アクセス端末20の動作に必要なプログラム及び当該プログラムの実行に係るデータを記憶する。記憶部24は、図5に示すように、システムプログラム241を記憶する。
The
システムプログラム241は、アクセス端末としての基本的な諸機能を実現させるためのプログラムであって、CPU21は、このシステムプログラム241との協働により、例えば、記憶部24への各種データの読み書き制御、表示部23への表示制御、操作部22の所定の入力キーに所定の機能の実行を割り当てる入力制御等を実現する。また、CPU21は、システムプログラム241との協働により、RP認証サーバ30又はOTP認証サーバ40にアクセス(接続)し、認証に供する画面や情報等を享受する情報享受機能を実現し、例えば、Webクライアントとしての機能を実現する。
The
RAM25は、CPU21により実行制御される各種処理において、記憶部24から読み出されたプログラム、入力、若しくは出力データ及びパラメータ等の一時的な格納領域となる。
The
通信部26は、モデム(MODEM:MOdulator/DEModulator)、ターミナルアダプタ(Terminal Adapter)、LANアダプタ等のネットワークインターフェースであって、CPU21の制御の下、ネットワークNに接続された他の機器(OTP認証サーバ40等)との間で授受される各種情報の通信制御を行う。
The
I/F部27は、CPU21の制御の下、アクセス端末20とOTP生成器10等の外部の機器との間で授受さされる各種情報の通信制御を行う通信インターフェイスである。I/F部27としては、例えば、USBポートやRS−232C端子をはじめとするシリアル入出力端子、パラレル入出力端子、SCSIインターフェイス、IrDA規格に準じた赤外線通信装置、BlueTooth規格に準じた無線通信装置等が挙げられ、有線又は無線通信手段によりOTP生成器10のI/F部18と接続することが可能となっている。なお、OTP生成器10のI/F部18と接続する場合、両I/F部は共通する規格に準じた通信インターフェイスを用いることが好ましい。
The I /
RP(Reusable Password)認証サーバ30は、各事業者に所属する認証サーバ(RP認証サイト)である。RP認証サーバ30は、アクセス端末20から送信されるログインIDと固定パスワードとに基づいて、当該アクセス端末20のユーザが、後述するRPユーザ登録処理(図18参照)により登録されたユーザか否かを判定し、アクセス制御を行う。
The RP (Reusable Password)
図6は、RP認証サーバ30の内部構成を示したブロック図である。図6に示すとおり、RP認証サーバ30は、CPU31、操作部32、表示部33、記憶部34、RAM35、通信部36等により構成され、各部はバス37を介して接続される。
FIG. 6 is a block diagram showing the internal configuration of the
CPU31は、RAM35を作業領域として、記憶部34に予め記憶された各種プログラムとの協働により各種処理を実行し、RP認証サーバ30を構成する各部の動作を統括的に制御する。
The
操作部32は、各種入力キー等を備え、ユーザからの操作により入力される入力信号をCPU31に出力する。表示部33は、LCDやELDパネル等により構成され、CPU31からの表示信号に基づいて各種情報を表示する。また、表示部33は、操作部32と一体的にタッチパネルを構成する態様としてもよい。
The
記憶部34は、磁気的、光学的記録媒体若しくは半導体メモリで構成される不揮発性の記憶媒体を備え、RP認証サーバ30の動作に必要なプログラム及び当該プログラムの実行に係るデータを記憶する。記憶部34は、図6に示すように、システムプログラム341、ユーザ別固定パスワードテーブル342を記憶する。
The
システムプログラム341は、RP認証サーバ30としての基本的な諸機能を実現させるためのプログラムである。CPU31は、このシステムプログラム341との協働により、例えば、記憶部34への各種データの読み書き制御、表示部33への表示制御、操作部32の所定の入力キーに所定の機能の実行を割り当てる入力制御等を実現する。また、CPU31は、システムプログラム341との協働により、認証に供する画面や情報等をアクセス端末20に提供する情報提供機能を実現し、例えば、Webサーバとしての機能を実現する。
The
ユーザ別固定パスワードテーブル342には、アクセス端末20を介して登録された各ユーザのアカウント情報が登録される。ここで、アカウント情報は、本RP認証サーバ30にログインを行う際に使用されるログインID、照合用の固定パスワードやユーザの氏名等の個人情報を含み、これら各情報がユーザ毎に対応付けて登録されている。
In the user-specific fixed password table 342, account information of each user registered via the
図7は、記憶部34に記憶されたユーザ別固定パスワードテーブル342の一例を示した図である。図7に示すように、ユーザ別固定パスワードテーブル342には、ログインID(ABCD1234)、照合用の固定パスワード(56781234)、氏名(鈴木太郎)等の情報が、ユーザ毎に対応付けて登録されている。
FIG. 7 is a diagram illustrating an example of the fixed password table for each
CPU31は、アクセス端末20から送信されたログインID、固定パスワードを受信すると、ユーザ別固定パスワードテーブル342を参照し、このログインIDに対応付けられた照合用の固定パスワードをユーザ別固定パスワードテーブル342から読み出し、この照合用の固定パスワードと、アクセス端末20から送信された固定パスワードとを比較・照合し、この照合結果に基づいてアクセス制御を行う。
When the
RAM35は、CPU31により実行制御される各種処理において、記憶部34から読み出されたプログラム、入力、若しくは出力データ及びパラメータ等の一時的な格納領域となる。
The
通信部36は、モデム、ターミナルアダプタ、LANアダプタ等のネットワークインターフェースであって、CPU31の制御の下、ネットワークNに接続された他の機器(アクセス端末20等)との間で授受される各種情報の通信制御を行う。
The
OTP認証サーバ40は、各事業者に所属する認証サーバ(OTP認証サイト)である。OTP認証サーバ40は、アクセス端末20から送信されるログインIDとOTPとに基づいて、当該アクセス端末20のユーザが、後述するOTPユーザ登録処理(図21参照)により登録されたユーザか否かを判定し、アクセス制御を行う。
The
図8は、OTP認証サーバ40の内部構成を示したブロック図である。図8に示すとおり、OTP認証サーバ40は、CPU41、操作部42、表示部43、記憶部44、RAM45、計時部46、通信部47等により構成され、各部はバス48を介して接続される。
FIG. 8 is a block diagram showing an internal configuration of the
CPU41は、RAM45を作業領域として、記憶部44に予め記憶された各種プログラムとの協働により各種処理を実行し、OTP認証サーバ40を構成する各部の動作を統括的に制御する。
The
操作部42は、各種入力キー等を備え、ユーザからの操作により入力される入力信号をCPU41に出力する。表示部43は、LCDやELDパネル等により構成され、CPU41からの表示信号に基づいて各種情報を表示する。また、表示部43は、操作部42と一体的にタッチパネルを構成する態様としてもよい。
The
記憶部44は、磁気的、光学的記録媒体若しくは半導体メモリで構成される不揮発性の記憶媒体を備え、OTP認証サーバ40の動作に必要なプログラム及び当該プログラムの実行に係るデータを記憶する。記憶部44は、図8に示すように、システムプログラム441、OTP生成プログラム442、ユーザ別シード情報テーブル443、事業者固有シード番号444、秘密鍵445を記憶する。
The
システムプログラム441は、OTP認証サーバ40としての基本的な諸機能を実現させるためのプログラムである。CPU41は、このシステムプログラム441との協働により、例えば、記憶部44への各種データの読み書き制御、表示部43への表示制御、操作部42の所定の入力キーに所定の機能の実行を割り当てる入力制御等を実現する。また、CPU41は、システムプログラム441との協働により、認証に供する画面や情報等をアクセス端末20に提供する情報提供機能を実現し、例えば、Webサーバとしての機能を実現する。
The
OTP生成プログラム442は、OTPの生成に係る諸機能を実現させるためのプログラムである。CPU41は、このOTP生成プログラム442との協働により、一のシード情報及び計時部46から入力される時刻情報を元に所定のアルゴリズムに基づいてOTPを生成する。
The
ユーザ別シード情報テーブル443には、アクセス端末20を介して登録された各ユーザのユーザ情報が登録される。ここで、ユーザ情報は、各ユーザのログインID、後述するユーザ登録処理時に入力されたOTP生成器固有ID、OTP生成の元となるシード情報、ユーザの氏名等の個人情報を含み、これら各情報がユーザ毎に対応付けて登録されている。
In the user-specific seed information table 443, user information of each user registered through the
図9は、記憶部44に記憶されたユーザ別シード情報テーブル443の一例を示した図である。図9に示すように、ユーザ別シード情報テーブル443には、ログインID(DEFG5678)、OTP生成器固有ID(ABCD1234)、シード情報(1234567890)、氏名(鈴木太郎)等の情報が、ユーザ毎に対応付けて登録されている。
FIG. 9 is a diagram showing an example of the seed information table for each
CPU41は、アクセス端末20から送信されたログインID、OTPを受信すると、ユーザ別シード情報テーブル443を参照し、このログインIDに対応するシード情報をユーザ別シード情報テーブル443から読み出し、この読み出されたシード情報と計時部46から入力される時刻情報とを元にOTP生成プログラム442との協働により照合用のOTPを生成する。そして、CPU41は、照合用のOTPと、アクセス端末20から送信されたOTPとを比較・照合し、この照合結果に基づいてアクセス制御を行う。
When the
事業者固有シード番号444は、各事業者に予め割り当てられたシード番号(選択情報)であって、事業者毎に固有のシード番号が割り当てられている。事業者固有シード番号444は、各OTP生成器10のシードテーブル145に登録されたシード番号と対応しており、事業者固有シード番号444が示す数値と同値となるシードテーブル145のシード番号に対応付けられたシード情報が、この事業者固有シード番号444のOTP認証サーバ40にログインする際に生成されるOTPの元となる。
The company-
秘密鍵445は、公開鍵暗号方式における「秘密鍵」に相当する情報である。なお、秘密鍵445に対応する公開鍵は、シード情報管理サーバ50の記憶部54に予め記憶される。CPU41は、公開鍵により暗号化されたシード情報をシード情報管理サーバ50から受信すると、この暗号化されたシード情報を当該公開鍵に対応する秘密鍵445により復号化し、この復号化されたシード情報を当該シード情報に係るユーザ情報に対応付けてユーザ別シード情報テーブル443に登録する。
The
RAM45は、CPU41により実行制御される各種処理において、記憶部44から読み出されたプログラム、入力、若しくは出力データ及びパラメータ等の一時的な格納領域となる。
The
計時部46は、常時一定周波数を発信する不図示の水晶発振器によるクロック信号を基準に現在時刻を計測し、この計測した時刻情報をCPU41に出力する。なお、計時部16と計時部46とが計時する時刻は同期しているものとする。
The
通信部47は、モデム、ターミナルアダプタ、LANアダプタ等のネットワークインターフェースであって、CPU41の制御の下、ネットワークNに接続された他の機器(アクセス端末20、シード情報管理サーバ50等)との間で授受される各種情報の通信制御を行う。
The
シード情報管理サーバ50は、各OTP生成器10に記憶された複数のシード情報を記憶・管理し、各事業者に対応したシード番号のシード情報を、OTP認証サーバ40に提供する。
The seed
図10は、シード情報管理サーバ50の内部構成を示したブロック図である。図10に示すとおり、シード情報管理サーバ50は、CPU51、操作部52、表示部53、記憶部54、RAM55、通信部56等により構成され、各部はバス57を介して接続される。
FIG. 10 is a block diagram showing the internal configuration of the seed
CPU51は、RAM55を作業領域として、記憶部54に予め記憶された各種プログラムとの協働により各種処理を実行し、シード情報管理サーバ50を構成する各部の動作を統括的に制御する。
The
操作部52は、各種入力キー等を備え、ユーザからの操作により入力される入力信号をCPU51に出力する。表示部53は、LCDやELDパネル等により構成され、CPU51からの表示信号に基づいて各種情報を表示する。また、表示部53は、操作部52と一体的にタッチパネルを構成する態様としてもよい。
The
記憶部54は、磁気的、光学的記録媒体若しくは半導体メモリで構成される不揮発性の記憶媒体を備え、シード情報管理サーバ50の動作に必要なプログラム及び当該プログラムの実行に係るデータを記憶する。
The
記憶部54は、図10に示すように、システムプログラム541、事業者情報テーブル542、シード情報管理テーブル543を記憶する。
As illustrated in FIG. 10, the
システムプログラム541は、シード情報管理サーバ50としての基本的な諸機能を実現させるためのプログラムである。CPU51は、このシステムプログラム541との協働により、例えば、記憶部54への各種データの読み書き制御、表示部53への表示制御、操作部52の所定の入力キーに所定の機能の実行を割り当てる入力制御等を実現する。
The
事業者情報テーブル542には、認証システム100に係る各事業者に関する事業者情報が事業者毎に対応付けて登録されている。ここで、事業者情報には、各事業者に予め割り当てられたシード番号(事業者固有シード番号)、事業者名、各事業者に所属するOTP認証サーバ40に記憶された秘密鍵445に対応する公開鍵、OTP認証サーバ40のドメイン名、URL、IPアドレス等が含まれており、これら各情報が事業者毎に対応付けて登録されている。
In the business operator information table 542, business enterprise information related to each business enterprise related to the
図11は、記憶部54に記憶された事業者情報テーブル542の一例を示した図である。図11に示すように、事業者情報テーブル542には、事業者毎に、シード番号と、事業者名等の事業者関連情報と、公開鍵とが対応付けて登録されている。ここで、登録されたシード番号は、OTP生成器10のROM14に記憶されたシードテーブル145のシード番号と対応しており、このシード番号に対応するシード情報を元に生成されたOTPが、当該シード番号に対応する事業者のOTP認証サーバ40へのログイン時に用いられるようになっている。
FIG. 11 is a diagram illustrating an example of the provider information table 542 stored in the
シード情報管理テーブル543には、各OTP生成器10のROM14に記憶されたシードテーブル145(シード情報とシード番号)とOTP生成器固有ID146とが対応付けて登録されている。
In the seed information management table 543, a seed table 145 (seed information and seed number) stored in the
図12は、記憶部54に記憶されたシード情報管理テーブル543の一例を示した図である。図12に示すように、シード情報管理テーブル543には、各OTP生成器10に係るOTP生成器固有IDとシード情報とシード番号とが対応付けて格納されている。
FIG. 12 is a diagram illustrating an example of the seed information management table 543 stored in the
RAM55は、CPU51により実行制御される各種処理において、記憶部54から読み出されたプログラム、入力、若しくは出力データ及びパラメータ等の一時的な格納領域となる。
The
通信部56は、モデム、ターミナルアダプタ、LANアダプタ等のネットワークインターフェースであって、CPU51の制御の下、ネットワークNに接続された他の機器(OTP認証サーバ40等)との間で授受される各種情報の通信制御を行う。
The
<認証システム100の環境設定>
次に、図13〜17を参照して、認証システム100を構成する各機器において、認証に係る環境が設定されるまでの工程を説明する。
<Environment setting of
Next, with reference to FIGS. 13 to 17, a process until each environment constituting the
図13は、OTP生成器10、OTP認証サーバ40及びシード情報管理サーバ50において、認証に係る環境が設定されるまでの工程を模式的に示した図である。
図13に示すように、OTP生成器10を製造するOTP生成器製造メーカ1では、OTP生成器10の製造工程において、各OTP生成器10のROMにシードテーブル145及びOTP生成器固有ID146をROM14に記憶させると、各OTP生成器10に記憶させたシードテーブル145及びOTP生成器固有ID146を対応付けてシード情報管理サーバ50に通知する。
FIG. 13 is a diagram schematically showing a process until an environment related to authentication is set in the
As shown in FIG. 13, in the
図14は、OTP生成器製造メーカ1にて行われる、OTP生成器の製造に係る処理の手順を示したフローチャートである。
OTP生成器の製造工程において、OTP生成器本体の製造が完了すると(ステップS11)、このOTP生成器10のROM14に、複数のシード情報と当該複数のシード情報の夫々に対応する複数のシード番号とを対応付けたシードテーブル145が記憶されるとともに(ステップS12)、当該OTP生成器10に固有の製造番号等の固有IDがOTP生成器固有ID146として記憶される(ステップS13)。
FIG. 14 is a flowchart showing a procedure of processing related to manufacture of the OTP generator performed by the
In the manufacturing process of the OTP generator, when the manufacturing of the OTP generator main body is completed (step S11), a plurality of seed numbers corresponding to each of the plurality of seed information and the plurality of seed information are stored in the
次いで、ステップS12及びS13で記憶されたシードテーブル145及びOTP生成器固有ID146が対応付けて、シード情報管理サーバ50に通知され(ステップS14)、本処理は終了する。
Next, the seed table 145 and the OTP generator
なお、ステップS12において一のOTP生成器10に記憶される複数のシード情報は、互いに異なるものとし、より好ましくは、他のOTP生成器に記憶される複数のシード情報の何れとも異なることが好ましい。
Note that the plurality of seed information stored in one
図13に戻り、OTP生成器製造メーカ1からシードテーブル145及びOTP生成器固有ID146を通知されたシード情報管理サーバ50では、このOTP生成器固有ID146とシードテーブル145とを対応付け、記憶部54のシード情報管理テーブル543に登録する。
Returning to FIG. 13, the seed
図15は、シード情報管理サーバ50にて行われる、シード情報管理テーブル543の登録に係る処理の手順を示したフローチャートである。なお、本処理は、CPU51と、記憶部54に記憶された各種プログラムとの協働により実行される処理を示している。
FIG. 15 is a flowchart showing a procedure of processing related to registration of the seed information management table 543 performed in the seed
OTP生成器製造メーカ1からシードテーブル145及びOTP生成器固有ID146が操作部52、通信部56等を介して通知(入力)されると(ステップS21)、このOTP生成器固有ID146とシードテーブル145とを対応付け、シード情報管理サーバ50の記憶部54に、シード情報管理テーブル543として記憶され(ステップS22)、本処理は終了する。
When the
図13に戻り、各事業者4(事業者A〜C)にシード番号の使用権が割り当てられると、シード情報管理サーバ50では、シード番号と、当該シード番号に割り当てられた事業者名、OTP認証サーバ40のドメイン名、IPアドレス等の事業者に関する事業者関連情報と、当該事業者に所属するOTP認証サーバ40に記憶された秘密鍵445に対応する公開鍵とを対応付け、事業者情報テーブル542に登録する。
Returning to FIG. 13, when the right to use the seed number is assigned to each business operator 4 (business operators A to C), the seed
図16は、シード情報管理サーバ50にて行われる、事業者情報テーブル542の登録に係る処理の手順を示したフローチャートである。なお、本処理は、CPU51と、記憶部54に記憶された各種プログラムとの協働により実行される処理を示している。
FIG. 16 is a flowchart showing a procedure of processing related to registration of the provider information table 542 performed in the seed
まず、各事業者に割り当てられたシード番号が操作部52、通信部56等を介して通知(入力)される(ステップS31)。次いで、各事業者に関する関連情報が入力され(ステップS32)、各事業者に所属するOTP認証サーバ40に記憶された公開鍵が入力されると(ステップS33)、入力されたシード番号、公開鍵、事業者関連情報とが、事業者毎に対応付けられ、記憶部54の事業者情報テーブル542に登録されて(ステップS34)、本処理は終了する。
First, the seed number assigned to each business operator is notified (input) via the
一方、シード番号を割り当てられた事業者に所属するOTP認証サーバ40では、当該事業者に割り当てられたシード番号を、事業者固有シード番号444として記憶部54に記憶する。
On the other hand, in the
上述したように、シード情報管理サーバ50(事業者情報テーブル542)とOTP認証サーバ40とに各事業者に応じたシード番号が定義付けられることにより、各OTP生成器10に記憶された各シード番号は、特定の事業者用と定義付けられることになる。例えば、シード番号「2」を事業者名「ABC銀行」に割り当て、事業者情報テーブル542に対応付けて記憶した場合には、図17に示すように、各OTP生成器10に記憶されたシード番号「2」は「ABC銀行」用と定義される。即ち、シード番号「2」に対応するシード情報を元に生成されるOTPが、「ABC銀行」に所属するOTP認証サーバ40へのアクセス時に用いられることになる。
As described above, each seed stored in each
<ユーザ登録時の動作について>
次に、図18を参照して、RP認証サーバ30にユーザ情報の登録を行う際の動作について説明する。
図18は、RP認証サーバ30へのユーザ情報の登録に係る処理(RPユーザ登録処理)の手順を示したラダーチャートである。なお、同図においてステップS41〜S46の各処理は、アクセス端末20のCPU21と記憶部24に記憶された各種プログラムとの協働により実行される処理を示しており、ステップS51〜S55の各処理は、RP認証サーバ30のCPU31と記憶部34に記憶された各種プログラムとの協働により実行される処理を示している。
<Operation during user registration>
Next, an operation when registering user information in the
FIG. 18 is a ladder chart illustrating a procedure of processing (RP user registration processing) related to registration of user information in the
まず、アクセス端末20では、操作部22を介した所定のユーザ操作に応じて、特定のRP認証サーバ30にユーザ情報の登録を行う旨の指示情報が(ユーザ登録要求情報)が送信される(ステップS41)。
First, in the
RP認証サーバ30では、アクセス端末20からユーザ登録要求情報が受信されると(ステップS51)、登録を行うユーザの氏名やログインID、固定パスワード等を含んだユーザ情報の入力を促す画面の表示を指示する指示情報(登録画面表示情報)がアクセス端末20に送信される(ステップS52)。
When the user registration request information is received from the access terminal 20 (step S51), the
一方、アクセス端末20では、RP認証サーバ30から登録画面表示情報が受信されると(ステップS42)、この登録画面表示情報に基づき、表示部13にユーザ情報の入力を促す画面が表示される(ステップS43)。続いて、表示部13に表示された画面に基づき、操作部12を介してユーザの氏名やログインID、固定パスワード等が入力されると、この入力されたユーザ情報がRP認証サーバ30へと送信される(ステップS44)。
On the other hand, in the
RP認証サーバ30では、アクセス端末20からユーザ情報が受信されると(ステップS53)、このユーザ情報に含まれる各種情報が、ユーザ別固定パスワードテーブル342に対応付けて登録された後(ステップS54)、登録完了の表示を指示する指示情報(登録完了情報)が、アクセス端末20に送信され(ステップS55)、RP認証サーバ30の処理は終了する。
In the
アクセス端末20では、RP認証サーバ30から登録完了情報が受信されると(ステップS45)、この登録完了情報に基づき、表示部13に事業者固有シード番号及び登録完了を通知する画面が表示され(ステップS46)、アクセス端末20の処理は終了する。
In the
上記の処理により、RP認証サーバ30にユーザ情報が登録され、これ以降、このユーザ情報に係るユーザは、アクセス端末20からRP認証サーバ30にログインすることが可能となる。
Through the above processing, user information is registered in the
次に、図19〜23を参照して、OTP認証サーバ40にユーザ情報の登録を行う際の動作について説明する。
Next, an operation when registering user information in the
図19は、ユーザ情報の登録時において、OTP生成器10で実行される処理を示したフローチャートである。なお、本処理は、CPU11と、ROM14に記憶された各種プログラムとの協働により実行される処理を示している。
FIG. 19 is a flowchart illustrating processing executed by the
まず、操作部12を介して、OTP生成器10のOTP生成器固有IDの表示を指示する旨の操作信号が入力されると(ステップS61)、ROM14に記憶されたOTP生成器固有ID146が読み出される(ステップS62)。そして、この読み出されたOTP生成器固有ID146が、図20に示すように表示部13に表示され(ステップS63)、本処理を終了する。
First, when an operation signal for instructing display of the OTP generator unique ID of the
なお、本実施の形態では、OTP生成器固有ID146を表示部13に出力することとしたが、これに限らず、I/F部18にアクセス端末20が接続されている場合には、当該I/F部18を介してアクセス端末20に送信する態様としてもよい。
In this embodiment, the OTP generator
図21は、OTP認証サーバ40へのユーザ情報の登録に係る処理(OTPユーザ登録処理)の手順を示したラダーチャートである。なお、同図においてステップS71〜S76の各処理は、アクセス端末20のCPU21と記憶部24に記憶された各種プログラムとの協働により実行される処理を示しており、ステップS81〜S88の各処理は、OTP認証サーバ40のCPU41と記憶部44に記憶された各種プログラムとの協働により実行される処理を示しており、ステップS91〜S93の各処理は、シード情報管理サーバ50のCPU51と記憶部54に記憶された各種プログラムとの協働により実行される処理を示している。
FIG. 21 is a ladder chart showing a procedure of processing (OTP user registration processing) related to registration of user information in the
まず、アクセス端末20では、操作部22を介した所定のユーザ操作に応じて、特定のOTP認証サーバ40にユーザ情報の登録を行う旨の指示情報(ユーザ登録要求情報)が送信される(ステップS71)。
First, the
OTP認証サーバ40では、アクセス端末20からユーザ登録要求情報が受信されると(ステップS81)、ユーザの氏名やログインID(ユーザID)、OTP生成器固有ID等を含んだユーザ情報の入力を促す画面の表示を指示する指示情報(登録画面表示情報)がアクセス端末20に送信される(ステップS82)。
When the user registration request information is received from the access terminal 20 (step S81), the
一方、アクセス端末20では、OTP認証サーバ40から登録画面表示情報が受信されると(ステップS72)、この登録画面表示情報に基づき、表示部13にユーザ情報の入力を促す画面が表示される(ステップS73)。続いて、表示部13に表示された画面に基づき、操作部12を介してユーザの氏名やユーザID、OTP生成器固有ID等のユーザ情報が入力されると、この入力されたユーザ情報がOTP認証サーバ40へと送信される(ステップS74)。ここで、入力されるOTP生成器固有IDは、図19の処理においてOTP生成器10の表示部13に表示されたOTP生成器固有IDが入力されるものとするが、その入力態様は特に問わず、ユーザから操作部22を介して入力される態様としてもよいし、I/F部27にOTP生成器10が接続されている場合には、当該OTP生成器10から送信されたOTP生成器固有IDが入力される態様としてもよい。
On the other hand, in the
OTP認証サーバ40では、アクセス端末20からユーザ情報が受信されると(ステップS83)、本OTP認証サーバ40に割り当てられた事業者固有シード番号444が記憶部44から読み出され(ステップS84)、ユーザ情報に含まれたOTP生成器固有IDと、読み出された事業者固有シード番号とが検索キーとして、シード情報管理サーバ50に送信される(ステップS85)。
In the
シード情報管理サーバ50では、OTP認証サーバ40から検索キーが受信されると(ステップS91)、シード情報検索処理(ステップS92)へと移行する。以下、図22を参照して、ステップS92のシード情報検索処理について説明する。
In the seed
図22は、シード情報検索処理の手順を示したフローチャートである。
まず。検索キーに含まれたOTP生成器固有ID及び事業者固有シード番号に対応するシード情報がシード情報管理テーブル543から検索され(ステップS921)、該当するシード情報がシード情報管理テーブル543から読み出される(ステップS922)。次いで、検索キーに含まれた事業者固有シード番号に対応する公開鍵が事業者情報テーブル542から検索され(ステップS923)、該当する公開鍵が事業者情報テーブル542から読み出されると(ステップS924)、この公開鍵に基づいてステップS922で読み出されたシード情報が暗号化され(ステップS925)、ステップS93へと移行する。
FIG. 22 is a flowchart showing the seed information search process.
First. Seed information corresponding to the OTP generator unique ID and the operator unique seed number included in the search key is retrieved from the seed information management table 543 (step S921), and the corresponding seed information is read from the seed information management table 543 ( Step S922). Next, the public key corresponding to the provider-specific seed number included in the search key is searched from the provider information table 542 (step S923), and when the corresponding public key is read from the provider information table 542 (step S924). Based on this public key, the seed information read in step S922 is encrypted (step S925), and the process proceeds to step S93.
図21に戻り、ステップS925で暗号化されたシード情報(以下、暗号化済シード情報という)が、この検索キーを送信したOTP認証サーバ40に送信され(ステップS93)、シード情報管理サーバ50の処理は終了する。
Returning to FIG. 21, the seed information encrypted in step S925 (hereinafter referred to as encrypted seed information) is transmitted to the
このように、暗号化されたシード情報をOTP認証サーバ40に送信するため、シード情報に係るセキュリティを向上させることができる。
In this way, since the encrypted seed information is transmitted to the
一方、OTP認証サーバ40では、シード情報管理サーバ50から暗号化済シード情報が受信されると(ステップS86)、ユーザ情報登録処理(ステップS87)へと移行する。以下、図23を参照して、ステップS87のユーザ情報登録処理について説明する。
On the other hand, when the encrypted seed information is received from the seed information management server 50 (step S86), the
図23は、ユーザ情報登録処理の手順を示したフローチャートである。
まず、記憶部44に記憶された秘密鍵445が読み出され(ステップS871)、この秘密鍵445に基づいて暗号化済シード情報からシード情報が復号化される(ステップS872)。続いて、復号化されたシード情報が、ステップS83で受信したユーザ情報と対応付けてユーザ別シード情報テーブル443に登録され(ステップS873)、ステップS88へと移行する。
FIG. 23 is a flowchart showing the procedure of the user information registration process.
First, the
図21に戻り、本OTP認証サーバ40に割り当てられた事業者固有シード番号444及び登録完了の表示を指示する指示情報(登録完了情報)が、アクセス端末20に送信され(ステップS88)、OTP認証サーバ40の処理は終了する。
Returning to FIG. 21, the operator-
アクセス端末20では、OTP認証サーバ40から登録完了情報が受信されると(ステップS75)、この登録完了情報に基づき、表示部13に事業者固有シード番号及び登録完了を通知する画面が表示され(ステップS77)、アクセス端末20の処理は終了する。
In the
上記の処理により、OTP認証サーバ40にユーザ情報が登録され、これ以降、このユーザ情報に係るユーザは、アクセス端末20からOTP認証サーバ40にログインすることが可能となる。
Through the above processing, user information is registered in the
上述したとおり、OTP生成器10の記憶部17には、アカウント情報管理テーブル171が記憶されており、ユーザは操作部12等を介して、接続先サイトとなるRP認証サーバ30又はOTP認証サーバ40のサイト名、URL、ログインID、固定パスワード又はOTPからなるアカウント情報をアカウント情報管理テーブル171に登録する指示をCPU11に入力することが可能となっている。このアカウント情報管理テーブル171は、所謂パスワードバンク機能と有しており、このアカウント情報管理テーブル171に登録されたアカウント情報を、後述するOTP認証サーバ40へのログイン時に用いることにより、RP認証サーバ30又はOTP認証サーバ40への接続の便宜を向上させることができる。
As described above, the account information management table 171 is stored in the
図24は、アカウント情報管理テーブル171への登録に係る処理(アカウント情報管理処理)の手順を示したフローチャートである。なお、本処理は、CPU11と、ROM14に記憶された各種プログラムとの協働により実行される処理を示している。
FIG. 24 is a flowchart showing a procedure of processing (account information management processing) related to registration in the account information management table 171. This process indicates a process executed by the cooperation of the
まず、操作部12を介した所定のユーザ操作により、アカウント情報の登録を行う旨の指示信号が入力されると(ステップS101)、固定パスワード認証方式かOTP認証方式かの選択を促す画面が表示される(ステップS102)。 First, when an instruction signal for registering account information is input by a predetermined user operation via the operation unit 12 (step S101), a screen prompting selection of a fixed password authentication method or an OTP authentication method is displayed. (Step S102).
ここで、固定パスワード認証方式を選択する指示信号が入力されると(ステップS103;RP)、接続先サイトのURL、ログインID、固定パスワードの入力を促す画面が表示部13に表示される(ステップS104)。 Here, when an instruction signal for selecting a fixed password authentication method is input (step S103; RP), a screen prompting input of the URL of the connection destination site, the login ID, and the fixed password is displayed on the display unit 13 (step S103). S104).
続いて、操作部12を介した所定のユーザ操作により、URL、ログインID、固定パスワードが入力され、その指示信号が入力されると(ステップS105)、この入力された各種情報が対応付けて、アカウント情報管理テーブル171に登録され(ステップS106)、本処理を終了する。
Subsequently, when a URL, a login ID, and a fixed password are input by a predetermined user operation via the
一方、ステップS103において、OTP認証方式を選択する指示信号が入力されると(ステップS103;OTP)、シードテーブル145に登録された全てのシード番号が読み出され(ステップS107)、この読み出された全てのシード番号が、操作部12を介して選択可能な態様で表示部13に表示される(ステップS108)。
On the other hand, when an instruction signal for selecting an OTP authentication method is input in step S103 (step S103; OTP), all seed numbers registered in the seed table 145 are read (step S107). All seed numbers are displayed on the
ここで、操作部12を介した所定のユーザ操作により、特定のシード番号が選択され、その指示信号が入力されると(ステップS109)、続いて、接続先サイトのURL、ログインIDの入力を促す画面が表示部13に表示される(ステップS110)。
Here, when a specific seed number is selected by a predetermined user operation via the
続いて、操作部12を介した所定のユーザ操作により、URL、ログインIDが入力され、その指示信号が入力されると(ステップS111)、この入力されたURL、ログインIDと、ステップS109で選択されたシード番号とが対応付けて、アカウント情報管理テーブル171に登録され(ステップS112)、本処理を終了する。
Subsequently, when a URL and login ID are input by a predetermined user operation via the
なお、本実施の形態では、シードテーブル145に登録された全てのシード番号から一のシード番号を選択する態様としたが、これに限らず、例えば、上述したユーザ登録処理のステップS76においてOTP生成器10の表示部13に表示された事業者固有シード番号をOTP生成器10におけるシード番号とし、このシード番号とアカウント情報とを対応付けてアカウント情報管理テーブル171に登録する態様としてもよい。
In the present embodiment, one seed number is selected from all seed numbers registered in the seed table 145. However, the present invention is not limited to this. For example, OTP generation is performed in step S76 of the user registration process described above. The provider-specific seed number displayed on the
また、本処理では、操作部12を介してアカウント情報の入力を行うこととしたが、これに限らず、I/F部18を介してアクセス端末20等の外部端末装置からアカウント情報の入力を行う態様としてもよい。
In this process, the account information is input via the
<ログイン時の動作について>
次に、図25〜28を参照して、アクセス端末20からRP認証サーバ30又はOTP認証サーバ40にログインを行う際の動作について説明する。なお、本実施形態では、OTP生成器10とアクセス端末20とが、I/F部18及びI/F部27を介して接続されているものとする。
<Operation at login>
Next, an operation when logging in to the
図25は、RP認証サーバ30又はOTP認証サーバ40へのログイン時において、OTP生成器10、アクセス端末20で実行される処理の手順を示したラダーチャートである。なお、同図においてステップS121〜S125の各処理は、アクセス端末20のCPU21と記憶部24に記憶された各種プログラムとの協働により実行される処理を示しており、ステップS131〜S142の各処理は、OTP生成器10のCPU11とROM14に記憶された各種プログラムとの協働により実行される処理を示している。
FIG. 25 is a ladder chart showing a procedure of processes executed by the
まず、アクセス端末20では、操作部22を介した所定のユーザ操作により、ログインを行う旨の指示情報が入力されると(ステップS121)、OTP生成器10にて接続先サイトの選択を行うよう促す画面(図26参照)が表示部23に表示される(ステップS122)。続いて、アカウント情報管理テーブル171に登録された全てのサイト名を一覧表示させる指示情報(サイト名表示情報)が、OTP生成器10に送信される(ステップS123)。
First, in the
OTP生成器10では、アクセス端末20からサイト名表示情報が受信されると(ステップS131)、アカウント情報管理テーブル171に登録された全てのサイト名が選択可能な態様で表示部13に一覧表示される(ステップS132)。
In the
図27は、ステップS132において、表示部13に表示されたサイト名の一例を示した図である。ユーザは、操作部12を介して、サイト名「AAA」、「BBB」、「CCC」から所望する一のサイト名を選択することが可能となっており、この選択されたサイト名を指示する指示信号がCPU11に入力される。
FIG. 27 is a diagram showing an example of the site name displayed on the
操作部12を介した所定のユーザ操作により、特定のサイト名が選択され(例えば、「AAA」)、その指示信号が入力されると(ステップS133)、この選択されたサイト名の認証サイトにログインするか否かを確認する画面(図28参照)が表示部13に表示される(ステップS134)。ここで、ログインを行わない旨の指示情報が操作部12を介して入力された場合には(ステップS135;No)、ステップS132に戻り、アカウント情報管理テーブル171に登録された全てのサイト名が表示部13に再度一覧表示される。
When a specific site name is selected by a predetermined user operation via the operation unit 12 (for example, “AAA”) and the instruction signal is input (step S133), the authentication site of the selected site name is entered. A screen for confirming whether to log in (see FIG. 28) is displayed on the display unit 13 (step S134). Here, when the instruction information indicating that the login is not to be performed is input via the operation unit 12 (step S135; No), the process returns to step S132, and all the site names registered in the account information management table 171 are stored. The list is displayed again on the
一方、ステップS135において、ログインを行う旨の指示情報が操作部12を介して入力された場合には(ステップS135;Yes)、アカウント情報管理テーブル171が参照され、選択されたサイト名にシード番号が対応付けて登録されているか否かが判別される(ステップS136)。
On the other hand, when the instruction information to log in is input via the
ステップS136において、選択されたサイト名にシード番号が対応付けて登録されていない、即ち、固定パスワードが対応付けて登録されていると判別された場合には(ステップS136;No)、この選択されたサイト名に対応付けられたURL、ログインID、固定パスワードがアカウント情報管理テーブル171から読み出され(ステップS137)、この読み出された各種情報がアクセス端末20に送信された後(ステップS138)、OTP生成器10の処理は終了する。
If it is determined in step S136 that the selected site name is not registered in association with the seed number, that is, it is determined that the fixed password is registered in association with the selected site name (step S136; No), the selected site name is selected. The URL, login ID, and fixed password associated with the site name are read from the account information management table 171 (step S137), and the read information is transmitted to the access terminal 20 (step S138). The processing of the
一方、ステップS136において、選択されたサイト名にシード番号が対応付けて登録されていると判別された場合には(ステップS136;Yes)、この選択されたサイト名に対応付けられたシード番号に対応するシード情報がシードテーブル145から読み出され(ステップS139)、読み出されたシード情報及び計時部16から入力される時刻情報を元にOTPが生成される(ステップS140)。 On the other hand, if it is determined in step S136 that the seed number is registered in association with the selected site name (step S136; Yes), the seed number associated with the selected site name is set. Corresponding seed information is read from the seed table 145 (step S139), and an OTP is generated based on the read seed information and time information input from the timer unit 16 (step S140).
続いて、選択されたサイト名に対応付けられたURL、ログインIDがアカウント情報管理テーブル171から読み出され(ステップS141)、この読み出された各種情報がステップS140で生成されたOTPとともにアクセス端末20に送信された後(ステップS142)、OTP生成器10の処理は終了する。
Subsequently, the URL and login ID associated with the selected site name are read from the account information management table 171 (step S141), and the read various information together with the OTP generated in step S140 is an access terminal. 20 (step S142), the processing of the
アクセス端末20では、OTP生成器10から接続先となる認証サイトのURL、ログインID、パスワード(固定パスワード又はOTP)が受信されると(ステップS124)、このURL宛に、ログインIDとパスワード(固定パスワード又はOTP)が送信されることで、接続対象となった認証サイトにログインが行われ(ステップS125)、アクセス端末20の処理は終了する。
When the
以上のように、本実施形態によれば、接続先となった認証サイト(RP認証サーバ30又はOTP認証サーバ40)の認証方式に応じてOTP又は固定パスワードを、認証サイトに送信することができるため、認証サイトへの接続に係る利便性を向上させることができる。
As described above, according to the present embodiment, an OTP or a fixed password can be transmitted to the authentication site according to the authentication method of the authentication site (
[第2の実施形態]
次に、本発明の第2の実施形態について説明する。なお、説明の簡略化のため、上述した第1の実施形態と同一要素については同符号を付し、その詳細な説明は適宜省略する。
[Second Embodiment]
Next, a second embodiment of the present invention will be described. For simplification of description, the same elements as those in the first embodiment described above are denoted by the same reference numerals, and detailed description thereof is omitted as appropriate.
以下、図29〜32を参照して、アクセス端末20からRP認証サーバ30又はOTP認証サーバ40にログインを行う際の動作について説明する。なお、本実施形態では、OTP生成器10とアクセス端末20とは、I/F部18及びI/F部27を介して接続されておらず、夫々が独立した状態で認証システム100を構成しているものとする。
Hereinafter, with reference to FIGS. 29 to 32, an operation when logging in to the
図29は、RP認証サーバ30又はOTP認証サーバ40へのログイン時において、OTP生成器10で実行される処理の手順を示したフローチャートである。なお、本処理は、CPU11と、ROM14に記憶された各種プログラムとの協働により実行される処理を示している。
FIG. 29 is a flowchart illustrating a procedure of processes executed by the
まず、操作部12を介した所定のユーザ操作により、接続先サイトを選択する旨の指示信号が入力されると(ステップS151)、アカウント情報管理テーブル171に登録された全てのサイト名が選択可能な態様で表示部13に一覧表示される(ステップS152)。なお、ここで表示される画面は、上述した図27と同様の画面であるため、その詳細な説明は省略する。 First, when an instruction signal for selecting a connection destination site is input by a predetermined user operation via the operation unit 12 (step S151), all site names registered in the account information management table 171 can be selected. In such a manner, a list is displayed on the display unit 13 (step S152). Note that the screen displayed here is the same as the screen shown in FIG. 27 described above, and a detailed description thereof will be omitted.
続いて、操作部12を介した所定のユーザ操作により、特定のサイト名が選択され、その指示信号が入力されると(ステップS153)、アカウント情報管理テーブル171が参照され、選択されたサイト名にシード番号が対応付けて登録されているか否かが判別される(ステップS154)。
Subsequently, when a specific site name is selected by a predetermined user operation via the
ステップS154において、選択されたサイト名にシード番号が対応付けて登録されていない、即ち、固定パスワードが対応付けて登録されていると判別された場合には(ステップS154;No)、この選択されたサイト名に対応付けられたURL、ログインID、固定パスワードがアカウント情報管理テーブル171から読み出され(ステップS155)、この読み出された各種情報が、選択されたサイト名とともに表示部13に表示された後(ステップS156)、本処理は終了する。
If it is determined in step S154 that the selected site name is not registered in association with the seed number, that is, it is determined that the fixed password is registered in association with the selected site name (step S154; No), the selected site name is selected. The URL, login ID, and fixed password associated with the selected site name are read from the account information management table 171 (step S155), and the read various information is displayed on the
図30は、ステップS156において、表示部13に表示されたサイト名、URL、ログインID、固定パスワードの一例を示した図である。なお、ここでは、アカウント情報管理テーブル171にと登録されたサイト名のうち、「AAA」が選択された場合の表示画面を示している。
FIG. 30 is a diagram illustrating an example of the site name, URL, login ID, and fixed password displayed on the
一方、ステップS154において、選択されたサイト名にシード番号が対応付けて登録されていると判別された場合には(ステップS154;Yes)、この選択されたサイト名に対応付けられたシード番号に対応するシード情報がシードテーブル145から読み出され(ステップS157)、このシード情報及び計時部16から入力される時刻情報を元にOTPが生成される(ステップS158)。 On the other hand, if it is determined in step S154 that a seed number is registered in association with the selected site name (step S154; Yes), the seed number associated with the selected site name is set. Corresponding seed information is read from the seed table 145 (step S157), and an OTP is generated based on the seed information and time information input from the time measuring unit 16 (step S158).
続いて、選択されたサイト名に対応付けられたURL、ログインIDがアカウント情報管理テーブル171から読み出され(ステップS159)、この読み出された各種情報が、選択ざれたサイト名及びステップS139で生成されたOTPとともに表示部13に表示された後(ステップS160)、本処理は終了する。
Subsequently, the URL and login ID associated with the selected site name are read out from the account information management table 171 (step S159), and the various pieces of read out information are selected in the selected site name and step S139. After being displayed on the
図31は、ステップS160において、表示部13に表示されたサイト名、URL、ログインID、OTPの一例を示した図である。なお、ここでは、アカウント情報管理テーブル171にと登録されたサイト名のうち、「BBB」が選択された場合の表示画面を示している。
FIG. 31 is a diagram showing an example of the site name, URL, login ID, and OTP displayed on the
図30又は31に示したように、OTP生成器10の表示部13に表示されたURLが、ユーザから操作部22を介してアクセス端末20に入力されることで、このURLに対応する認証サイトに接続が行われ、図32に示すように、アクセス端末20の表示部23に当該サイトへのログイン画面が表示される。さらに、このログイン画面に含まれたログインID及びパスワードの入力領域(231及び232)に、OTP生成器10の表示部13に表示されたログインID、パスワード(固定パスワード又はOTP)が操作部22を介して入力され送信されることで、接続対象となった認証サイトにログインが行われることになる。
As shown in FIG. 30 or 31, the URL displayed on the
以上のように、本実施形態によれば、接続先となった認証サイト(RP認証サーバ30又はOTP認証サーバ40)の認証方式に応じてOTP又は固定パスワードを表示することができるため、接続先に応じたパスワードをユーザに通知することができ、このパスワードを認証サイトに送信することができるため、認証サイトへの接続に係る利便性を向上させることができる。
As described above, according to the present embodiment, the OTP or the fixed password can be displayed according to the authentication method of the authentication site (
[第3の実施形態]
次に、本発明の第3の実施形態について説明する。なお、説明の簡略化のため、上述した第1の実施形態と同一要素については同符号を付し、その詳細な説明は適宜省略する。
[Third Embodiment]
Next, a third embodiment of the present invention will be described. For simplification of description, the same elements as those in the first embodiment described above are denoted by the same reference numerals, and detailed description thereof is omitted as appropriate.
まず、図33を参照して、本実施形態における認証システム100の構成を説明する。
図33に示すように、本実施形態の認証システム100は、第1の実施形態の認証システム100の構成に加え、ログイン管理サーバ60を有する。
First, the configuration of the
As shown in FIG. 33, the
ログイン管理サーバ60は、アカウント情報管理テーブル644を記憶・管理するパスワードバンク機能を有し、アクセス端末20からの要求に応じて、当該アカウント情報管理テーブル644に登録された特定のサイト名に係るアカウント情報をアクセス端末20に提供する。
The
図34は、ログイン管理サーバ60の内部構成を示したブロック図である。図34に示すとおり、ログイン管理サーバ60は、CPU61、操作部62、表示部63、記憶部64、RAM65、通信部66等により構成され、各部はバス67を介して接続される。
FIG. 34 is a block diagram showing the internal configuration of the
CPU61は、RAM65を作業領域として、記憶部64に予め記憶された各種プログラムとの協働により各種処理を実行し、ログイン管理サーバ60を構成する各部の動作を統括的に制御する。
The
操作部62は、各種入力キー等を備え、ユーザからの操作により入力される入力信号をCPU61に出力する。表示部63は、LCDやELDパネル等により構成され、CPU21からの表示信号に基づいて各種情報を表示する。また、表示部63は、操作部62と一体的にタッチパネルを構成する態様としてもよい。
The
記憶部64は、磁気的、光学的記録媒体若しくは半導体メモリで構成される不揮発性の記憶媒体を備え、ログイン管理サーバ60の動作に必要なプログラム及び当該プログラムの実行に係るデータを記憶する。記憶部64は、図34に示すように、システムプログラム641、アクセス端末連携制御プログラム642、アカウント情報管理プログラム643、アカウント情報管理テーブル644を記憶する。
The
システムプログラム641は、ログイン管理サーバ60としての基本的な諸機能を実現させるためのプログラムであって、CPU61は、このシステムプログラム641との協働により、例えば、記憶部64への各種データの読み書き制御、表示部63への表示制御、操作部62の所定の入力キーに所定の機能の実行を割り当てる入力制御等を実現する。
The
アクセス端末連携制御プログラム642は、アクセス端末20との連携に係る諸機能を実現させるためのプログラムである。具体的には、CPU61との協働により、通信部66を介して接続されたアクセス端末20から送信される各種指示情報に応じてアカウント情報管理プログラム643等の各種プログラムを実行し、アカウント情報管理テーブル644に登録されたアカウント情報の読み出しや、アカウント情報の登録等の動作を実現させる。
The access terminal
アカウント情報管理プログラム643は、アカウント情報管理テーブル644の登録・管理に係る諸機能を実現させるためのプログラムである。CPU61は、このアカウント情報管理プログラム643との協働により、上述したアカウント情報管理処理(図24参照)と同様の処理を実行させる。
The account
アカウント情報管理テーブル644には、アクセス先となるサイト名と、このサイト名の認証サイトにログインする際に必要となる各種情報とが対応付けて登録されている。なお、アカウント情報管理テーブル644は、上述したアカウント情報管理テーブル171と同様のテーブル構造(図4参照)を有するため、その詳細な説明は省略する。また、アカウント情報管理テーブル644への各種情報の登録は、上述したアカウント情報管理処理(図24参照)と同様の処理がCPU61とアカウント情報管理プログラム643との協働により実行されるものとし、本処理内における各指示信号はネットワークNを介してアクセス端末20の操作部22から入力されるものとする。
In the account information management table 644, a site name as an access destination and various kinds of information necessary for logging in to the authentication site of this site name are registered in association with each other. Note that the account information management table 644 has the same table structure (see FIG. 4) as the account information management table 171 described above, and a detailed description thereof will be omitted. The registration of various types of information in the account information management table 644 is performed by the same processing as the above-described account information management processing (see FIG. 24) in cooperation with the
RAM65は、CPU61により実行制御される各種処理において、記憶部64から読み出されたプログラム、入力、若しくは出力データ及びパラメータ等の一時的な格納領域となる。
The
通信部66は、モデム、ターミナルアダプタ、LANアダプタ等のネットワークインターフェースであって、CPU61の制御の下、ネットワークNに接続された他の機器(アクセス端末20等)との間で授受される各種情報の通信制御を行う。
The
また、本実施形態のOTP生成器10は、記憶部17にアカウント情報管理テーブル171を記憶しないものとするが、これに限らず、アカウント情報管理テーブル171を記憶する態様としてもよい。
Moreover, although the
以下、図35〜39を参照して、アクセス端末20からRP認証サーバ30又はOTP認証サーバ40にログインを行う際の動作について説明する。なお、本実施形態では、OTP生成器10とアクセス端末20とが、I/F部18及びI/F部27を介して接続されているものとする。
Hereinafter, with reference to FIGS. 35 to 39, an operation when logging in to the
図35及び図36は、RP認証サーバ30又はOTP認証サーバ40へのログイン時において、OTP生成器10、アクセス端末20、ログイン管理サーバ60で実行される処理の手順を示したラダーチャートである。なお、同図においてステップS171〜S184の各処理は、アクセス端末20のCPU21と記憶部24に記憶された各種プログラムとの協働により実行される処理を示しており、ステップS191〜S199の各処理は、ログイン管理サーバ60のCPU61と記憶部64に記憶された各種プログラムとの協働により実行される処理を、ステップS201〜S204の各処理は、OTP生成器10のCPU11とROM14に記憶された各種プログラムとの協働により実行される処理を示している。
FIGS. 35 and 36 are ladder charts showing a procedure of processes executed by the
まず、アクセス端末20では、操作部22を介した所定のユーザ操作により、ログインを行う旨の指示情報が入力されると(ステップS171)、ログイン管理サーバ60にて接続先サイトの選択を行うよう促す画面(図37参照)が表示部23に表示される(ステップS172)。続いて、アカウント情報管理テーブル644に登録された全てのサイト名を要求する指示情報(サイト名要求情報)が、ログイン管理サーバ60に送信される(ステップS173)。
First, in the
ログイン管理サーバ60では、アクセス端末20からサイト名要求情報が受信されると(ステップS191)、アカウント情報管理テーブル644に登録された全てのサイト名が読み出され(ステップS192)、この読み出されたサイト名を通知する指示情報(サイト名通知情報)がアクセス端末20に送信される(ステップS193)。
In the
アクセス端末20では、ログイン管理サーバ60からサイト名通知情報が受信されると(ステップS174)、このサイト名通知情報により通知されたサイト名が、操作部12を介して選択可能な態様で表示部13に一覧表示される(ステップS175)。
In the
図38は、ステップS175において、表示部23に表示されたサイト名の一例を示した図である。ユーザは、操作部22を介して、サイト名「AAA」、「BBB」、「CCC」から所望する一のサイト名を選択することが可能となっており、この選択されたサイト名を指示する指示信号がCPU21に入力される。
FIG. 38 is a diagram showing an example of the site name displayed on the
操作部22を介した所定のユーザ操作により、特定のサイト名が選択され(例えば、「AAA」)、その指示信号が入力されると(ステップS176)、この選択されたサイト名の認証サイトにログインするか否かを確認する画面(図39参照)が表示部23に表示される(ステップS177)。ここで、ログインを行わない旨の指示情報が入力された場合には(ステップS178;No)、ステップS175に戻り、ログイン管理サーバ60から通知されたサイト名が表示部23に再度一覧表示される。
When a specific site name is selected by a predetermined user operation via the operation unit 22 (for example, “AAA”) and the instruction signal is input (step S176), the authentication site of the selected site name is entered. A screen for confirming whether to log in (see FIG. 39) is displayed on the display unit 23 (step S177). Here, when instruction information indicating that login is not to be performed is input (step S178; No), the process returns to step S175, and the site names notified from the
一方、ステップS178において、ログインを行う旨の指示情報が入力された場合には(ステップS178;Yes)、選択されたサイト名を指示する指示情報がログイン管理サーバ60に送信される(ステップS179)。 On the other hand, if the instruction information for logging in is input in step S178 (step S178; Yes), the instruction information indicating the selected site name is transmitted to the login management server 60 (step S179). .
ログイン管理サーバ60では、アクセス端末20から特定のサイト名を指示する指示情報が受信されると(ステップS194)、アカウント情報管理テーブル644が参照され、この指示されたサイト名にシード番号が対応付けて登録されているか否かが判別される(ステップS195)。
In the
ステップS195において、指示されたサイト名にシード番号が対応付けて登録されていない、即ち、固定パスワードが対応付けて登録されていると判別された場合には(ステップS195;No)、この指示されたサイト名に対応付けられたURL、ログインID、固定パスワードがアカウント情報管理テーブル644から読み出され(ステップS196)、この読み出された各種情報がアクセス端末20に送信された後(ステップS197)、OTP生成器10の処理は終了する。
If it is determined in step S195 that no seed number is associated with the designated site name, that is, it is determined that a fixed password is associated and registered (step S195; No), this instruction is given. The URL, login ID, and fixed password associated with the site name are read from the account information management table 644 (step S196), and the read information is transmitted to the access terminal 20 (step S197). The processing of the
一方、ステップS195において、指示されたサイト名にシード番号が対応付けて登録されていると判別された場合には(ステップS195;Yes)、この指示されたサイト名に対応付けられたURL、ログインID、シード番号が読み出され(ステップS198)、この読み出された各種情報とともに、当該各種情報がOTPに係る情報であることを指示するOPTフラグがアクセス端末20に送信された後(ステップS199)、ログイン管理サーバ60の処理は終了する。
On the other hand, if it is determined in step S195 that a seed number is registered in association with the designated site name (step S195; Yes), the URL associated with the designated site name, login An ID and a seed number are read (step S198), and an OPT flag indicating that the various information is information related to OTP is transmitted to the
アクセス端末20では、ログイン管理サーバ60から各種情報が受信されると(ステップS180)、この情報にOPTフラグが含まれているか否かが判別され、OTPフラグが含まれていないと判別された場合には(ステップS181;No)、ステップS184に移行し、ステップS180で受信された情報に含まれるURL宛に、当該情報に含まれたログインIDと固定パスワードとが送信されることでログインが行われ(ステップS184)、本処理は終了する。
In the
一方、ステップS181において、OTPフラグが含まれると判別された場合には(ステップS181;Yes)、ステップS180で受信された情報のうち、シード番号を通知する指示情報(シード番号通知情報)がOTP生成器10に送信される(ステップS182)。 On the other hand, if it is determined in step S181 that the OTP flag is included (step S181; Yes), among the information received in step S180, the instruction information (seed number notification information) for notifying the seed number is OTP. The data is transmitted to the generator 10 (step S182).
OTP生成器10では、アクセス端末20からシード番号通知情報が受信されると(ステップS201)、この通知されたシード番号に対応するシード情報がシードテーブル145から読み出され(ステップS202)、このシード情報及び計時部16から入力される時刻情報を元にOTPが生成される(ステップS203)。そして、この生成されたOTPを通知する指示情報(OTP通知情報)がアクセス端末20に送信され(ステップS204)、OTP生成器10の処理は終了する。
In the
アクセス端末20では、OTP生成器10からOTP通知情報が受信されると(ステップS183)、ステップS180で受信された情報に含まれるURL宛に、当該情報に含まれたログインIDとステップS183で通知されたOTPとが送信されることで、接続対象となった認証サイトにログインが行われ(ステップS184)、本処理は終了する。
In the
以上のように、本実施形態によれば、接続先となった認証サイト(RP認証サーバ30又はOTP認証サーバ40)の認証方式に応じてOTP又は固定パスワードを、認証サイトに送信することができるため、認証サイトへの接続に係る利便性を向上させることができる。
As described above, according to the present embodiment, an OTP or a fixed password can be transmitted to the authentication site according to the authentication method of the authentication site (
[第4の実施形態]
次に、本発明の第4の実施形態について説明する。なお、説明の簡略化のため、上述した第1の実施形態、第3の実施形態と同一要素については同符号を付し、その詳細な説明は適宜省略する。
[Fourth embodiment]
Next, a fourth embodiment of the present invention will be described. For simplification of description, the same elements as those in the first embodiment and the third embodiment described above are denoted by the same reference numerals, and detailed description thereof is omitted as appropriate.
図40〜44を参照して、アクセス端末20からRP認証サーバ30又はOTP認証サーバ40にログインを行う際の動作について説明する。なお、本実施形態では、OTP生成器10とアクセス端末20とは、I/F部18及びI/F部27を介して接続されておらず、夫々が独立した状態で認証システム100を構成しているものとする。
With reference to FIGS. 40 to 44, an operation when logging in to the
図40、41は、RP認証サーバ30又はOTP認証サーバ40へのログイン時において、アクセス端末20、ログイン管理サーバ60で実行される処理の手順を示したラダーチャートである。なお、同図においてステップS211〜S224の各処理は、アクセス端末20のCPU21と記憶部24に記憶された各種プログラムとの協働により実行される処理を示しており、ステップS231〜S239の各処理は、ログイン管理サーバ60のCPU61と記憶部64に記憶された各種プログラムとの協働により実行される処理を示している。
40 and 41 are ladder charts showing a procedure of processes executed by the
まず、アクセス端末20では、操作部22を介した所定のユーザ操作により、ログインを行う旨の指示情報が入力されると(ステップS211)、ログイン管理サーバ60にて接続先サイトの選択を行うよう促す画面(図37参照)が表示部23に表示される(ステップS212)。続いて、アカウント情報管理テーブル644に登録された全てのサイト名を要求する指示情報(サイト名要求情報)が、ログイン管理サーバ60に送信される(ステップS213)。
First, in the
ログイン管理サーバ60では、アクセス端末20からサイト名要求情報が受信されると(ステップS231)、アカウント情報管理テーブル644に登録された全てのサイト名が読み出され(ステップS232)、この読み出されたサイト名を通知する指示情報(サイト名通知情報)がアクセス端末20に送信される(ステップS233)。
In the
アクセス端末20では、ログイン管理サーバ60からサイト名通知情報が受信されると(ステップS214)、このサイト名通知情報により通知されたサイト名が、操作部12を介して選択可能な態様で表示部13に一覧表示される(ステップS215)。なお、ここで表示される画面は、上述した図38と同様の画面であるため、その詳細な説明は省略する。
In the
操作部22を介した所定のユーザ操作により、特定のサイト名が選択され(例えば、「CCC」)、その指示信号が入力されると(ステップS216)、この選択されたサイト名の認証サイトにログインするか否かを確認する画面が表示部23に表示される(ステップS217)。ここで、ログインを行わない旨の指示情報が入力された場合には(ステップS218;No)、ステップS215に戻り、ログイン管理サーバ60から通知されたサイト名が表示部23に再度一覧表示される。
When a specific site name is selected by a predetermined user operation via the operation unit 22 (for example, “CCC”) and the instruction signal is input (step S216), the authentication site of the selected site name is entered. A screen for confirming whether or not to log in is displayed on the display unit 23 (step S217). Here, when the instruction information indicating that the login is not performed is input (step S218; No), the process returns to step S215, and the site names notified from the
一方、ステップS218において、ログインを行う旨の指示情報が入力された場合には(ステップS218;Yes)、選択されたサイト名を指示する指示情報がログイン管理サーバ60に送信される(ステップS219)。 On the other hand, when the instruction information for logging in is input in step S218 (step S218; Yes), the instruction information indicating the selected site name is transmitted to the login management server 60 (step S219). .
ログイン管理サーバ60では、アクセス端末20から特定のサイト名を指示する指示情報が受信されると(ステップS234)、アカウント情報管理テーブル644が参照され、この指示されたサイト名にシード番号が対応付けて登録されているか否かが判別される(ステップS235)。
In the
ステップS235において、指示されたサイト名にシード番号が対応付けて登録されていない、即ち、固定パスワードが対応付けて登録されていると判別された場合には(ステップS235;No)、この指示されたサイト名に対応付けられたURL、ログインID、固定パスワードがアカウント情報管理テーブル644から読み出され(ステップS236)、この読み出された各種情報がアクセス端末20に送信された後(ステップS237)、OTP生成器10の処理は終了する。
If it is determined in step S235 that the seed number is not registered in association with the designated site name, that is, it is determined that the fixed password is registered in association with the designated site name (step S235; No), this instruction is given. The URL, login ID, and fixed password associated with the site name are read from the account information management table 644 (step S236), and the read information is transmitted to the access terminal 20 (step S237). The processing of the
一方、ステップS235において、指示されたサイト名にシード番号が対応付けて登録されていると判別された場合には(ステップS235;Yes)、この指示されたサイト名に対応付けられたURL、ログインID、シード番号が読み出され(ステップS238)、この読み出された各種情報とともに、当該各種情報がOTPに係る情報であることを指示するOPTフラグがアクセス端末20に送信された後(ステップS239)、ログイン管理サーバ60の処理は終了する。
On the other hand, if it is determined in step S235 that a seed number is registered in association with the designated site name (step S235; Yes), the URL associated with the designated site name, login The ID and seed number are read (step S238), and together with the read various information, an OPT flag indicating that the various information is information related to OTP is transmitted to the access terminal 20 (step S239). ) The processing of the
アクセス端末20では、ログイン管理サーバ60から各種情報が受信されると(ステップS220)、この情報にOPTフラグが含まれているか否かが判別され、OTPフラグが含まれていないと判別された場合には(ステップS221;No)、ステップS224に移行し、ステップS180で受信された情報に含まれるURL宛に、当該情報に含まれたログインIDと固定パスワードとが送信されることでログインが行われ(ステップS224)、本処理は終了する。
In the
一方、ステップS221において、OTPフラグが含まれると判別された場合には(ステップS221;Yes)、ステップS180で受信された情報のうち、シード番号を通知する旨の画像が表示部23に表示され(ステップS222)、OTPの入力が待機される(ステップS223;No)。
On the other hand, when it is determined in step S221 that the OTP flag is included (step S221; Yes), an image for notifying the seed number among the information received in step S180 is displayed on the
図42は、ステップS222において、表示部23に表示された画面の一例を示した図である。なお、ここでは、ステップS216で選択されたサイト名「CCC」をシード番号「5」とともに表示した例を示している。
ここで、表示部23に表示されたシード番号が、操作部12を介してOTP生成器10に入力され、当該OTP生成器10により生成されたOTPが、操作部22を介してOTP入力領域233に入力されることになる。
FIG. 42 is a diagram showing an example of a screen displayed on the
Here, the seed number displayed on the
図43は、OTP生成器10で実行される処理の流れを示したフローチャートである。なお、本処理は、CPU11と、ROM14に記憶された各種プログラムとの協働により実行される処理を示している。
FIG. 43 is a flowchart showing the flow of processing executed by the
まず、操作部12を介した所定のユーザ操作により、OTPの生成を行う旨の指示情報が入力されると(ステップS241)、シードテーブル145に格納された全てのシード番号が読み出され(ステップS242)、この読み出された複数のシード番号が、操作部12を介して選択可能な態様で表示部13に表示される(ステップS243)。
First, when instruction information for generating an OTP is input by a predetermined user operation via the operation unit 12 (step S241), all seed numbers stored in the seed table 145 are read (step S241). In step S242), the plurality of read seed numbers are displayed on the
次いで、操作部12を介した所定のユーザ操作により、アクセス端末20の表示部23に表示されたシード番号が選択され、その指示信号が入力されると(ステップS244)、この入力されたシード番号に対応するシード情報がシードテーブル145から読み出される(ステップS245)。そして、この読み出されたシード情報と計時部16から入力される時刻情報とを元にOTPが生成され(ステップS246)、この生成されたOTPが、表示部13に表示されて(ステップS247)、本処理は終了する。
Next, when a seed number displayed on the
図44は、ステップS247において、表示部13に表示されたOTPの一例を示した図である。なお、同図では、OTP「284510」とともに、当該OTPに係るシード番号「5」を併せて表示した例を示している。
FIG. 44 is a diagram illustrating an example of the OTP displayed on the
図41に戻り、操作部22を介した所定のユーザ操作により、OTP生成器10の表示部13に表示されたOTPが入力され、その指示信号が入力されると(ステップS223;Yes)、ステップS220で受信された情報に含まれるURL宛に、当該情報に含まれたログインIDとステップS223で入力されたOTPとが送信されることで、接続対象となった認証サイトにログインが行われ(ステップS224)、本処理は終了する。
Returning to FIG. 41, when the OTP displayed on the
以上のように、本実施形態によれば、本実施形態によれば、接続先となった認証サイト(RP認証サーバ30又はOTP認証サーバ40)の認証方式に応じてOTP又は固定パスワードを表示することができるため、接続先に応じたパスワードをユーザに通知することができ、このパスワードを認証サイトに送信することができるため、認証サイトへの接続に係る利便性を向上させることができる。
As described above, according to the present embodiment, according to the present embodiment, the OTP or the fixed password is displayed according to the authentication method of the authentication site (
なお、本発明の適用は、上述した例に限らず、本発明の趣旨を逸脱しない範囲で適宜変更可能である。 The application of the present invention is not limited to the example described above, and can be changed as appropriate without departing from the spirit of the present invention.
例えば、上記実施形態では、アカウント情報管理テーブルをOTP生成器10又はログイン管理サーバ60に記憶する態様としたが、これに限らず、アクセス端末20の記憶部24に記憶する態様としてもよい。この場合、アカウント情報管理プログラムも記憶部24に記憶し、このアカウント情報管理プログラムとCPU21との協働により、アカウント情報管理テーブルの記憶・管理に係る諸機能が実現されるものとする。
For example, in the above-described embodiment, the account information management table is stored in the
100 認証システム
10 OTP生成器
11 CPU
12 操作部
13 表示部
14 ROM
141 システムプログラム
142 アクセス端末連携制御プログラム
143 OTP生成プログラム
144 アカウント情報管理プログラム
145 シードテーブル
146 OTP生成器固有ID
15 RAM
16 計時部
17 記憶部
171 アカウント情報管理テーブル
18 I/F部
19 バス
20 アクセス端末
21 CPU
22 操作部
23 表示部
24 記憶部
241 システムプログラム
25 RAM
26 通信部
27 I/F部
28 バス
30 RP認証サーバ
31 CPU
32 操作部
33 表示部
34 記憶部
341 システムプログラム
342 ユーザ別固定パスワードテーブル
35 RAM
36 通信部
37 バス
40 OTP認証サーバ
41 CPU
42 操作部
43 表示部
44 記憶部
441 システムプログラム
442 OTP生成プログラム
443 ユーザ別シード情報テーブル
444 事業者固有シード番号
445 秘密鍵
45 RAM
46 計時部
47 通信部
48 バス
50 シード情報管理サーバ
51 CPU
52 操作部
53 表示部
54 記憶部
541 システムプログラム
542 事業者情報テーブル
543 シード情報管理テーブル
55 RAM
56 通信部
57 バス
60 ログイン管理サーバ
61 CPU
62 操作部
63 表示部
64 記憶部
641 システムプログラム
642 アクセス端末連携制御プログラム
643 アカウント情報管理プログラム
644 アカウント情報管理テーブル
65 RAM
66 通信部
67 バス
100
12
141
15 RAM
16
22
26 Communication Unit 27 I /
32
36
42
46
52
56
62
66
Claims (11)
前記シード情報記憶手段に記憶されたシード情報を元に所定のアルゴリズムに基づいて適時識別情報を生成する生成手段と、
照合用の固定識別情報に基づいて認証を行う一又は複数の認証サイトの夫々に対応した一又は複数の固定識別情報を記憶する固定識別情報記憶手段と、
前記固定識別情報記憶手段に記憶された固定識別情報を読み出す読出手段と、
接続先となる前記認証サイトの認証方式に応じて、その認証サイトに対応する適時識別情報を前記生成手段により生成させるか、その認証サイトに対応する固定識別情報を前記読出手段により読み出させるかを制御する制御手段と、
前記生成された適時識別情報又は前記読み出された固定識別情報を出力する出力手段と、
を備えたことを特徴とする識別情報出力装置。 Seed information storage means for storing one or more seed information corresponding to each of one or more authentication sites that perform authentication based on timely identification information for verification;
Generating means for generating timely identification information based on a predetermined algorithm based on seed information stored in the seed information storage means;
Fixed identification information storage means for storing one or a plurality of fixed identification information corresponding to each of one or a plurality of authentication sites that perform authentication based on the fixed identification information for verification;
Reading means for reading the fixed identification information stored in the fixed identification information storage means;
Whether the generation unit generates timely identification information corresponding to the authentication site or the fixed identification information corresponding to the authentication site is read by the reading unit according to the authentication method of the authentication site to be connected Control means for controlling
Output means for outputting the generated timely identification information or the read fixed identification information;
An identification information output device comprising:
前記制御手段は、前記判別手段の判別結果に応じて、その認証サイトに対応する適時識別情報を前記生成手段により生成させるか、その認証サイトに対応する固定識別情報を前記読出手段により読み出させるかを制御することを特徴とする請求項1に記載の識別情報出力装置。 A determination means for determining whether or not the authentication site is compatible with a timely identification information authentication method;
The control means causes the generation means to generate timely identification information corresponding to the authentication site or causes the reading means to read fixed identification information corresponding to the authentication site according to the determination result of the determination means. The identification information output device according to claim 1, wherein the identification information output device is controlled.
前記判別手段は、前記アカウント情報に含まれた記憶内容に基づいて前記認証サイトが適時識別情報認証方式に対応か否かを判別することを特徴とする請求項2に記載の識別情報出力装置。 Account information storage means for storing account information including at least information related to the seed information or fixed identification information in association with each authentication site,
3. The identification information output apparatus according to claim 2, wherein the determination unit determines whether or not the authentication site corresponds to a timely identification information authentication method based on the stored contents included in the account information.
照合用の適時識別情報に基づいて認証を行う一又は複数の認証サイトの夫々に対応したシード情報を記憶するシード情報記憶手段と、
前記シード情報記憶手段に記憶されたシード情報を元に所定のアルゴリズムに基づいて適時識別情報を生成する生成手段と、
照合用の固定識別情報に基づいて認証を行う一又は複数の認証サイトの夫々に対応した一又は複数の固定識別情報を記憶する固定識別情報記憶手段と、
前記固定識別情報記憶手段に記憶された固定識別情報を読み出す読出手段と、
接続先となる前記認証サイトの認証方式に応じて、その認証サイトに対応する適時識別情報を前記生成手段により生成させるか、その認証サイトに対応する固定識別情報を前記読出手段により読み出させるかを制御する制御手段と、
前記生成された適時識別情報又は前記読み出された固定識別情報を前記端末装置に送信する送信手段と、
を備えたことを特徴とする識別情報出力装置。 An identification information output device that is communicably connected to a terminal device that connects to a plurality of authentication sites via a communication line,
Seed information storage means for storing seed information corresponding to each of one or a plurality of authentication sites that perform authentication based on timely identification information for verification;
Generating means for generating timely identification information based on a predetermined algorithm based on seed information stored in the seed information storage means;
Fixed identification information storage means for storing one or a plurality of fixed identification information corresponding to each of one or a plurality of authentication sites that perform authentication based on the fixed identification information for verification;
Reading means for reading the fixed identification information stored in the fixed identification information storage means;
Whether the generation unit generates timely identification information corresponding to the authentication site or the fixed identification information corresponding to the authentication site is read by the reading unit according to the authentication method of the authentication site to be connected Control means for controlling
Transmitting means for transmitting the generated timely identification information or the read fixed identification information to the terminal device;
An identification information output device comprising:
前記制御手段は、前記判別手段の判別結果に応じて、その認証サイトに対応する適時識別情報を前記生成手段により生成させるか、その認証サイトに対応する固定識別情報を前記読出手段により読み出させるかを制御することを特徴とする請求項5に記載の識別情報出力装置。 A determination means for determining whether or not the authentication site is compatible with a timely identification information authentication method;
The control means causes the generation means to generate timely identification information corresponding to the authentication site or causes the reading means to read fixed identification information corresponding to the authentication site according to the determination result of the determination means. 6. The identification information output device according to claim 5, wherein the identification information output device is controlled.
前記判別手段は、前記アカウント情報に含まれた記憶内容に基づいて前記認証サイトが適時識別情報認証方式に対応か否かを判別することを特徴とする請求項6に記載の識別情報出力装置。 Account information storage means for storing account information including at least information related to the seed information or fixed identification information in association with each authentication site,
7. The identification information output device according to claim 6, wherein the determination unit determines whether or not the authentication site is compatible with a timely identification information authentication method based on stored contents included in the account information.
照合用の適時識別情報に基づいて認証を行う一又は複数の認証サイトの夫々に予め割り当てられた一又は複数のシード番号を記憶するシード番号記憶手段と、
照合用の固定識別情報に基づいて認証を行う一又は複数の認証サイトの夫々に対応する固定識別情報を記憶する固定識別情報記憶手段と、
前記端末装置から指示された認証サイトに応じて、その認証サイトに対応するシード番号を前記シード番号記憶手段から読み出すか、その認証サイトに対応する固定識別情報を前記固定識別情報記憶手段から読み出すかを制御する制御手段と、
前記読み出されたシード番号又は固定識別情報を前記端末装置に送信する送信手段と、
を備えたことを特徴とする中継サーバ。 A relay server for connecting the terminal device to an authentication site instructed by the terminal device;
Seed number storage means for storing one or more seed numbers pre-assigned to each of one or more authentication sites that perform authentication based on timely identification information for verification;
Fixed identification information storage means for storing fixed identification information corresponding to each of one or a plurality of authentication sites that perform authentication based on fixed identification information for verification;
Whether the seed number corresponding to the authentication site is read from the seed number storage unit or the fixed identification information corresponding to the authentication site is read from the fixed identification information storage unit according to the authentication site instructed from the terminal device Control means for controlling
Transmitting means for transmitting the read seed number or fixed identification information to the terminal device;
A relay server comprising:
特定の認証サイトへの接続要求を前記中継サーバに送信する接続要求送信手段と、
前記特定の接続先サイトに割り当てられたシード番号を前記中継サーバから受信するシード番号受信手段と、
前記シード番号受信手段により受信されたシード番号を前記識別情報出力装置に送信する送信手段と、
前記識別情報出力装置により生成された前記適時識別情報を受信する適時識別情報受信手段と、
前記適時識別情報受信手段により受信された前記適時識別情報を前記特定の接続先サイトに送信する識別情報送信手段と、
を備えたことを特徴とする端末装置。 A relay server that stores a seed number previously assigned to each of a plurality of authentication sites and can notify the seed number assigned to the authentication site to the outside in response to a connection request to a specific authentication site instructed from the outside And identification information output for storing seed information corresponding to each of the seed numbers and generating timely identification information related to connection to the authentication site based on seed information corresponding to a specific seed number designated from the outside A terminal device communicably connected to the device,
A connection request transmitting means for transmitting a connection request to a specific authentication site to the relay server;
Seed number receiving means for receiving from the relay server a seed number assigned to the specific connection destination site;
Transmitting means for transmitting the seed number received by the seed number receiving means to the identification information output device;
Timely identification information receiving means for receiving the timely identification information generated by the identification information output device;
Identification information transmitting means for transmitting the timely identification information received by the timely identification information receiving means to the specific connection destination site;
A terminal device comprising:
特定の認証サイトへの接続要求を前記中継サーバに送信する接続要求送信手段と、
前記特定の認証サイトに割り当てられたシード番号を前記中継サーバから受信するシード番号受信手段と、
前記シード番号受信手段により受信されたシード番号を出力する出力手段と、
前記出力されたシード番号に対応するシード情報を元に生成された適時識別情報を入力可能な入力手段と、
前記入力手段により入力された適時識別情報を前記特定の認証サイトに送信する送信手段と、
を備えたことを特徴とする端末装置。 A seed number assigned in advance to each of a plurality of authentication sites that perform authentication based on timely identification information for verification is stored, and in response to a connection request to a specific authentication site instructed from the outside, A terminal device communicably connected to a relay server capable of notifying the assigned seed number to the outside;
A connection request transmitting means for transmitting a connection request to a specific authentication site to the relay server;
Seed number receiving means for receiving from the relay server a seed number assigned to the specific authentication site;
Output means for outputting the seed number received by the seed number receiving means;
Input means capable of inputting timely identification information generated based on seed information corresponding to the output seed number;
Transmitting means for transmitting the timely identification information input by the input means to the specific authentication site;
A terminal device comprising:
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006090245A JP4899580B2 (en) | 2006-03-29 | 2006-03-29 | Relay server and authentication system |
| PCT/JP2007/057510 WO2007119667A1 (en) | 2006-03-29 | 2007-03-28 | Identification information output device |
| EP07740946A EP1999678A1 (en) | 2006-03-29 | 2007-03-28 | Identification information output device |
| US11/729,416 US20070234064A1 (en) | 2006-03-29 | 2007-03-28 | Identification information output device |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006090245A JP4899580B2 (en) | 2006-03-29 | 2006-03-29 | Relay server and authentication system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2007265107A true JP2007265107A (en) | 2007-10-11 |
| JP4899580B2 JP4899580B2 (en) | 2012-03-21 |
Family
ID=38638018
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006090245A Active JP4899580B2 (en) | 2006-03-29 | 2006-03-29 | Relay server and authentication system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4899580B2 (en) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103294938A (en) * | 2012-02-29 | 2013-09-11 | 国际商业机器公司 | Access request verification method and system, authorization information generation method, hardware equipment |
| JP2016004479A (en) * | 2014-06-18 | 2016-01-12 | Kddi株式会社 | Log management device, log management method and log management program |
| JP2017091222A (en) * | 2015-11-10 | 2017-05-25 | 株式会社スタートトゥデイ | Authentication system |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000105747A (en) * | 1998-09-29 | 2000-04-11 | Hitachi Ltd | Screen control method for single log-in system |
| JP2000357156A (en) * | 1999-05-04 | 2000-12-26 | Rsa Security Inc | System and method for authentication sheet distribution |
| JP2004295271A (en) * | 2003-03-26 | 2004-10-21 | Renesas Technology Corp | Card and pass code generator |
| US20050067485A1 (en) * | 2002-01-17 | 2005-03-31 | Michel Caron | Apparatus and method of identifying the user thereof by means of a variable identification code |
-
2006
- 2006-03-29 JP JP2006090245A patent/JP4899580B2/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000105747A (en) * | 1998-09-29 | 2000-04-11 | Hitachi Ltd | Screen control method for single log-in system |
| JP2000357156A (en) * | 1999-05-04 | 2000-12-26 | Rsa Security Inc | System and method for authentication sheet distribution |
| US20050067485A1 (en) * | 2002-01-17 | 2005-03-31 | Michel Caron | Apparatus and method of identifying the user thereof by means of a variable identification code |
| JP2004295271A (en) * | 2003-03-26 | 2004-10-21 | Renesas Technology Corp | Card and pass code generator |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103294938A (en) * | 2012-02-29 | 2013-09-11 | 国际商业机器公司 | Access request verification method and system, authorization information generation method, hardware equipment |
| JP2016004479A (en) * | 2014-06-18 | 2016-01-12 | Kddi株式会社 | Log management device, log management method and log management program |
| JP2017091222A (en) * | 2015-11-10 | 2017-05-25 | 株式会社スタートトゥデイ | Authentication system |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4899580B2 (en) | 2012-03-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP1999678A1 (en) | Identification information output device | |
| EP3375161B1 (en) | Single sign-on identity management between local and remote systems | |
| US8479002B2 (en) | Electronic certificate issuance system, electronic certificate issuing device, communication device, and program therefor | |
| EP2200217B1 (en) | Server certificate issuance system | |
| JP4413774B2 (en) | User authentication method and system using e-mail address and hardware information | |
| JP5711430B2 (en) | ID authentication management apparatus and method | |
| KR101634980B1 (en) | System and method for performing user authentication using a fingerprint, and the financial card information stored in the mobile communication terminal | |
| US20160191489A1 (en) | Method for assigning an agent device from a first device registry to a second device registry | |
| WO2010116404A1 (en) | Access authentication method and information processor | |
| US11277400B2 (en) | Reminder terminal apparatus and authentication method | |
| US8924430B2 (en) | Image processing apparatus, image processing system, and method of processing image | |
| CN105684483A (en) | Registry apparatus, agent device, application providing apparatus and corresponding methods | |
| JP2005284985A (en) | Network compatible device, maintenance method for maintaining network compatible device, program, medium storing program thereon, and maintenance system thereof | |
| JP2011238036A (en) | Authentication system, single sign-on system, server device and program | |
| WO2017115427A1 (en) | User certification method and system for implementing user certification method | |
| JP2013098749A (en) | Registration method, registration program, and registration device | |
| JP4899580B2 (en) | Relay server and authentication system | |
| JP5991143B2 (en) | Information processing apparatus, system, and information registration method | |
| JP6451888B2 (en) | Information processing apparatus, system, and program | |
| JP4857857B2 (en) | Seed information management server and authentication system | |
| JP6075011B2 (en) | Information processing apparatus, system, and information providing method | |
| JP5254909B2 (en) | Setting information distribution system, setting information distribution method, distribution server, and distribution server program | |
| JP2017175227A (en) | Certificate management system, certificate management method, and program | |
| TW201537377A (en) | Information processing device, information processing method, program and recording medium | |
| JP2009181396A (en) | User authentication system and its method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080604 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110705 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110901 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20110901 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20111018 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20111108 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20111206 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20111219 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4899580 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150113 Year of fee payment: 3 |